随着威胁行为者不断改进他们的手段以绕过现代防御系统,网络安全防御人员面临着越来越狡猾的对手。
根据最新发布的 M-Trends 2025 报告,攻击者展现出了更强的能力,他们能够创建定制的恶意软件生态系统,识别并利用安全设备中的零日漏洞,还能部署先进的规避技术以持续保持对被入侵网络的访问权限。
该报告着重指出这些组织已显示出非凡的能力,能够针对特定目标开发专门的攻击工具。
这些行为者利用类似于僵尸网络的代理网络,并将目标对准传统上缺乏强大端点检测和响应能力的边缘设备,这给安全团队带来了极大的安全盲区。
Google 的研究人员发现,威胁行为者明显转向了技术更先进的攻击行动,许多威胁行为者在其恶意软件中使用自定义的混淆器来逃避检测,并增加分析的难度。
这种复杂的手段使攻击者能够在系统中长时间不被发现,全球范围内攻击者在系统中的平均驻留时间从 2023 年的 10 天增加到了 2024 年的 11 天。
初始感染途径的情况也发生了显著变化,漏洞利用在所有案例中占比 33%,仍然是主要的入侵方式。
然而,被盗取的凭据已成为第二常见的入侵方式,在初始入侵事件中占比 16%,这反映出在威胁生态系统中,信息窃取活动日益猖獗。
零日漏洞利用:终极隐秘武器
对零日漏洞的利用是高级威胁行为者采用的最为复杂的攻击方法之一。
这些此前未知的安全缺陷为攻击者提供了巨大的优势,因为在漏洞被利用时,还没有相应的补丁或特定的防御措施。
现代的零日漏洞利用通常从对目标网络的侦察开始,以识别潜在的易受攻击的系统。一旦确定了目标,攻击者就会开发或获取专门为利用该特定漏洞而设计的自定义漏洞利用代码。
漏洞利用过程通常涉及精心构造的有效载荷,这些有效载荷在执行时对系统的干扰极小,以避免触发安全警报。
M-Trends 2025 报告强调,抵御零日威胁需要采取分层的安全策略,重点关注一些基本措施,例如进行适当的系统加固、实施最小权限原则,以及在所有用户账户(尤其是拥有特权访问权限的账户)上实施符合 FIDO2 标准的多因素身份验证。
发表评论
您还未登录,请先登录。
登录