威胁狩猎（Cyber threat hunting）是一种主动的网络防御活动，通过主动和持续地搜索网络，可以检测和发现现有数字化环境中的各种安全威胁。近日，专业安全厂商CrowdStrike发布了《2023年威胁狩猎研究报告》，对过去一年中威胁狩猎专家所观察到的最新攻击态势和攻击手法进行了分析和总结。

报告数据显示：目前攻击者的平均突破时间已经缩短至79分钟，创历史新低，其中所记录到的最快攻击突破时间仅为7分钟；Kerberoasting身份攻击同比增长583%，这反映了基于身份的入侵活动正在大规模升级；此外，攻击者越来越多地利用合法远程监控管理（RMM）工具，来规避检测并访问敏感数据、部署勒索软件或采取更具针对性的后续策略。

01

网络入侵态势分析

在过去一年中，研究人员观察到交互式入侵数量持续攀升，同比增长40%。其中，针对金融服务行业的交互式入侵活动数量增加了80%以上。金融行业的安全管理者们应该密切关注这一趋势，因为随着活动数量的增加，威胁的多样性也在增加。今年，研究人员发现，针对金融行业的活动涵盖了所有攻击动机类型（如经济动机、政治动机、滋扰/破坏、间谍活动等），并全面覆盖了所有主流操作系统和云基础设施。

出于经济动机的电子犯罪（eCrime）威胁行为者主要以金融部门为目标，其中一些攻击者专注于窃取加密货币或不可替代代币（NFT），而机会主义的“big game hunting”（BGH）勒索软件和数据盗窃活动则是金融机构面临的更严重威胁。由于受害组织自身的敏感性以及需要维持系统正常运行，很多金融机构不得不满足攻击者支付赎金的要求。

此外，科技行业也仍然是网络攻击者的高价值目标，勒索软件攻击是该行业面临的最普遍安全威胁。技术部门对高度敏感数据的依赖和访问使其成为勒索攻击组织的重点目标。科技行业面临的其他主要网络犯罪威胁包括服务滥用、访问代理和信息盗窃等。

02

基于身份的威胁快速增长

掌握过去攻击者的行为趋势是形成有效和主动防御的关键。报告研究发现，在过去一年中，80%的网络攻击活动使用了被泄露的身份。身份的滥用，特别是与新一代检测逃避方法相结合时，将为攻击者的违法活动提供更大便利。尽管身份被广泛认为是日益增长的安全威胁，但很多企业组织并没有很好理解身份安全防护的重要价值。

在过去一年中，研究人员观察到Kerberoasting攻击（窃取或伪造kerberos票据的一种攻击技术）难以置信的增加了583%，这些攻击的目的是提升特权，并在受害企业的环境中进行横向移动。Kerberoasting攻击尤其针对与SPN相关的票据盗窃，因为这些票据中包含了加密的凭据，可以使用暴力破解方法脱机破解以发现明文凭据。

对于攻击者来说，Kerberoasting是一项非常有效的技术，因为它针对的是与Active Directory账户相关联的SPN，而且由于这些SPN通常与服务账户相关联。此外，这些攻击很难检测，因为Kerberos活动在日常监控中非常普遍，这使得攻击者能够成功混淆视听。

由于越来越多的攻击者使用Kerberoasting，防御者应该及时关注这一迹象，并帮助识别协议弱点和薄弱或受损的账户，找到改进检测的机会。报告也给出了以下建议：

• 查询Windows事件日志。安全事件ID 4769（Kerberos服务票证请求）和事件ID 4771（Kerberos预身份验证失败）都可以表示正在发生Kerberoasting。应该过滤安全事件ID 4769以查找票据加密类型。 
• 针对可能成为Kerberoasting攻击目标的账户进行安全性审计。这可以通过检查Active Directory设置来完成，以查看哪些服务账户注册了SPN。
• 确保服务账户使用了安全的密码。这将使它们对密码破解更具防护力，要确保每个服务账户使用唯一的密码，以防止一个漏洞影响多个账户。
• 采取进攻性行动。考虑通过蜜标（honey token）方法来检测使用了弱密码的SPN服务账户。

03

攻击方式“左移”

今年，研究人员观察到在众多入侵活动中，攻击者似乎在多个地区和垂直行业撒下了一张大网，以获取初始访问权限，然后在命中某个高价值目标后，他们又会调整自己的后续战术、技术和程序（TTPs）。以INDRIK SPIDER攻击团伙为例，他们会根据受感染主机和受害组织的特征来调整自己的行动，并采取了多阶段的攻击方法。

利用面向公众的合法应用程序也是今年网络犯罪和入侵活动的另一个常见主题，在所有交互式入侵中，有20%+涉及利用面向公众的应用程序，而各种生产型应用程序中的漏洞正是此类活动关注的重点。

在过去一年，犯罪或地下社区中的访问代理广告增加了147%。受感染凭据供应的急剧增加可能表明，希望购买这些凭据用于后续活动的攻击者也在不断增长。

RMM工具允许企业的IT管理员远程支持工作站和服务器端点。然而，这些工具也可能会被攻击者滥用，以试图获得并维持进入受害者环境的快捷通道。在过去一年里，研究人员观察到大约14%的入侵使用了一个或者多个RMM工具，威胁行为者利用RMM工具的入侵数量同比增长了312%。其中最受欢迎的工具是Anydesk，此外，ScreenConnect和AteraAgent等工具也经常被犯罪分子滥用。

04

云安全威胁形势严峻

在过去的几年中，基于云的技术采用经历了迅速增长，云计算提供的好处使其成为企业现代IT基础设施不可或缺的一部分。然而，对云服务需求的快速增长，以及云管理和控制的复杂性，导致了企业的威胁攻击面已经发生了变化，并为使用云计算的组织带来了重大的安全挑战。

研究人员发现，过去一年中攻击者对云上安全漏洞的利用率增加了95%，和云计算应用相关的安全事件更是增长了3倍。很显然，攻击者已经意识到了云的重要性，并且坚持不懈地尝试访问云上业务和数据资产。

为了更好保障云计算应用安全，研究人员给出了以下防御建议：

• 将本地安全的最佳实践适用到云中。云工作负载服务器应该至少遵守与其他本地服务器相同的安全策略；
• 提升云计算应用的可见性。对云资产的可见性可以帮助安全从业者了解和改进其环境的整体基线安全状态和合规性；
• 了解云计算平台的背景和核心功能。攻击者通常会利用主流云平台的一些合法特性来支持他们的恶意攻击活动，因此，云安全防御者也必须了解云平台的关键技术和主要功能，这样才能充分理解他们所负责的云环境安全。

参考链接：

https://go.crowdstrike.com/rs/281-OBQ-266/images/report-crowdstrike-2023-threat-hunting-report.pdf