大多數(shù)勒索軟件攻擊者使用三種主要的攻擊途徑之一來攻陷網(wǎng)絡(luò)，并獲得訪問組織關(guān)鍵系統(tǒng)和數(shù)據(jù)的權(quán)限。

據(jù)卡巴斯基最近發(fā)布的報(bào)告《網(wǎng)絡(luò)事件的性質(zhì)》顯示，比如說，2022 年成功的勒索軟件攻擊的最重要途徑就是利用面向公眾的應(yīng)用程序，這占了所有攻擊事件的 43%，其次是使用被攻擊的帳戶（24%）和惡意電子郵件（12%）。

與上一年相比，利用應(yīng)用程序和惡意電子郵件在所有攻擊中所占的比例有所下降，而利用被攻擊帳戶所占的比例較 2021 年的 18% 有所上升。

結(jié)論就是，加大關(guān)注最常見攻擊途徑的力度對于防止勒索軟件攻擊大有助益?？ò退够驊?yīng)急響應(yīng)團(tuán)隊(duì)負(fù)責(zé)人 Konstantin Sapronov 表示，許多公司并不是攻擊者最初的目標(biāo)，但由于薄弱的 IT 安全機(jī)制，它們很容易被黑客攻擊，因此網(wǎng)絡(luò)犯罪分子趁機(jī)而入。如果我們看看三大攻擊途徑，它們共占幾乎所有事件的 80%，就可以實(shí)施一些防御措施來應(yīng)對攻擊，并大大降低淪為受害者的可能性。

(相關(guān)資料圖)

卡巴斯基提到的三大攻擊途徑與事件響應(yīng)公司谷歌 Mandiant 早前的一份報(bào)告相符，Mandiant 發(fā)現(xiàn)同樣的常見攻擊途徑構(gòu)成了前三種技術(shù)：利用漏洞（32%）、網(wǎng)絡(luò)釣魚（22%）和竊取憑據(jù)（14%），但勒索軟件攻擊者往往將重點(diǎn)放在利用漏洞和竊取憑據(jù)上，這兩種攻擊技術(shù)共占所有勒索軟件事件的近一半（48%）。

勒索軟件在 2020 年和 2021 年大行其道，但在去年趨于平穩(wěn)，甚至略有下降。Mandiant 的金融犯罪分析部門首席分析師 Jeremy Kennelly 表示，但今年，勒索軟件及相關(guān)攻擊（以索要贖金為目標(biāo)的數(shù)據(jù)泄露）似乎在增加，2023 年上半年被發(fā)布到數(shù)據(jù)泄露網(wǎng)站的組織數(shù)量有所增加。

這可能是一個(gè)早期警告，表明我們在 2022 年看到的偃旗息鼓將是短暫的，能夠繼續(xù)使用同樣的初始訪問途徑助長了攻擊。

Kennelly 表示，近年來，參與勒索軟件活動的攻擊者不需要顯著完善其戰(zhàn)術(shù)、技術(shù)和程序 （TTP），因?yàn)楸娝苤墓舨呗岳^續(xù)被證明很有效。

不足為奇的三大途徑：漏洞利用、憑據(jù)和網(wǎng)絡(luò)釣魚

2022 年 12 月，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）警告，攻擊者通常使用五條初始訪問途徑，包括卡巴斯基和 Mandiant 提到的三大途徑，外加外部遠(yuǎn)程服務(wù)（比如 VPN 和遠(yuǎn)程管理軟件）以及第三方供應(yīng)鏈攻擊（又叫可信任關(guān)系）。

據(jù)卡巴斯基的報(bào)告顯示，大多數(shù)攻擊要么很快要么很慢：快速攻擊會在短短幾天內(nèi)破壞系統(tǒng)并加密數(shù)據(jù)。而在慢速攻擊中，威脅分子通常在幾個(gè)月內(nèi)更縱深地滲入到網(wǎng)絡(luò)中，可能進(jìn)行網(wǎng)絡(luò)間諜活動，然后部署勒索軟件或發(fā)送勒索信。

卡巴斯基的 Sapronov 表示，如果沒有某種應(yīng)用程序或行為監(jiān)控機(jī)制，利用面向公眾的應(yīng)用程序和濫用合法憑據(jù)這兩種現(xiàn)象也往往更難檢測出來，導(dǎo)致攻擊者在受害者的網(wǎng)絡(luò)中停留的時(shí)間更長。

組織對應(yīng)用程序監(jiān)控沒有給予足夠的關(guān)注。此外，當(dāng)攻擊者利用應(yīng)用程序時(shí)，他們需要采取更多的步驟才能企及目標(biāo)。

圖 1. 利用應(yīng)用程序是首要的初始訪問途徑，往往導(dǎo)致勒索軟件快速攻擊或持續(xù)更久的間諜活動（圖片來源：卡巴斯基）

貼士：跟蹤漏洞利用方面的趨勢

了解攻擊者可能會采取的最常見方法有助于為防御者提供信息。比如說，公司應(yīng)該繼續(xù)優(yōu)先考慮那些在野外被大肆利用的漏洞。Mandiant 的 Kennelly 表示，只有密切關(guān)注威脅生態(tài)系統(tǒng)方面的變化，公司才能確保自己為可能出現(xiàn)的攻擊做好準(zhǔn)備。

由于威脅分子可以迅速將漏洞利用代碼變成武器以支持入侵活動，了解哪些漏洞正在被肆意利用、漏洞利用代碼是否公開可用以及特定的補(bǔ)丁或補(bǔ)救策略是否有效，這很可能讓組織無須處理一起或多起主動入侵事件。

不過由于攻擊者不斷適應(yīng)防御機(jī)制，應(yīng)避免過分強(qiáng)調(diào)防范特定的初始訪問途徑。

在某個(gè)時(shí)間最常見的特定感染途徑應(yīng)該不會廣泛地改變組織的防御態(tài)勢，因?yàn)橥{分子不斷改變其活動，將重點(diǎn)放在最成功的攻擊途徑上。任何某條途徑的流行程度下降并不意味著它構(gòu)成的威脅明顯降低——比如說，通過網(wǎng)絡(luò)釣魚獲得訪問權(quán)限的入侵比例在緩慢下降，但電子郵件仍然被許多頗具影響力的威脅組織所使用。