基于凭证的攻击模糊了入侵和正常活动之间的界限

执行摘要

现代攻击领域最重大的变化是故意将恶意活动与合法业务操作混淆。正如Dark Reading分析所详述的，威胁行为者现在优先考虑窃取和滥用有效凭证，然后使用本地系统工具和标准协议进行横向移动和数据泄露。这种方法通常被称为本地生存，使得入侵看起来像是常规用户或管理员的工作，从根本上破坏了依赖于检测恶意软件或异常网络流量的传统安全模型。

技术分析

核心的技术挑战是缺乏清晰的签名。攻击者没有部署具有可识别模式的定制恶意软件。相反，他们利用通过网络钓鱼、信息窃取恶意软件或从初始访问经纪人那里购买的被盗凭证来作为合法用户进行身份验证。一旦进入内部，他们使用内置操作系统实用程序如PowerShell、WMI、certutil或sc.exe来执行他们的目标，并滥用受信任的云服务（例如OneDrive、Dropbox）或协议（例如RDP、SMB）进行命令和控制以及数据盗窃。此类活动生成的日志和网络流量，在孤立的情况下，与授权IT人员或执行其工作的用户提供的日志和网络流量完全相同。技术欺骗是完整的；攻击完全在允许的工具和凭证访问的范围内进行。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

基于描述的攻击方法，主要的TTPs与MITRE ATT&CK框架一致。初始访问向量通常是有效账户（T1078），通过凭证盗窃或购买实现。持久性通过这些账户或创建新账户来维持。对于执行，攻击者特别偏好命令和脚本解释器（T1059），尤其是PowerShell和Windows命令壳。横向移动通过远程服务（T1021）如RDP和SMB，以及远程系统发现（T1018）进行。数据泄露伪装成正常用户活动，通常使用网络服务（T1102）或通过网络服务泄露（T1567）到受信任的云平台。总体技术是防御逃避（TA0005），通过与正常流量混合和使用受信任的进程来实现。

威胁行为者背景

这种转变不是归因于单一的威胁集团，而是代表了从经济动机的网络犯罪分子到国家支持的高级持续性威胁（APTs）的广泛行为者采用的广泛的工艺演变。初始访问的商品化和广泛可用的利用本地生存二进制文件（LOLBins）的攻击工具包使这种隐蔽的方法民主化。共同点是经济和战术计算：使用合法凭证和工具更可靠、更难以检测，通常比开发和部署必须逃避基于签名的防病毒和网络入侵检测系统的定制恶意软件更便宜。

缓解措施与建议

组织必须实施以身份保护为中心的深度防御策略，并假设入侵。关键缓解措施包括：

1. 实施强大的身份卫生：普遍强制执行抗网络钓鱼的多因素身份验证（MFA），特别是对于所有特权账户。实施严格的条件访问策略，评估设备健康状况、位置和用户风险评分。定期审计和删除陈旧账户和过度权限。
2. **采用零信任原则：**从基于周界的模型转变为需要持续验证的模型。分割网络并强制执行微分割以限制横向移动。对所有用户和服务账户应用最小权限原则。
3. **投资身份威胁检测和响应（ITDR）：**部署和调整可以基线正常用户和实体行为并标记偏差的安全工具。从身份提供商（例如，Microsoft Entra）、端点检测和响应（EDR）系统和云访问安全代理（CASB）的相关警报。
4. 启用增强日志记录：确保身份系统、端点进程创建和云服务使用的详细日志记录。将这些日志集中到SIEM中，可以应用行为分析。至关重要的是，启用并收集PowerShell脚本块日志记录。
5. **定期进行紫队演习：**针对使用本地生存技术的现实、基于凭证的攻击场景测试检测和响应能力。这验证了安全控制并培训分析师寻找表明入侵的微妙异常。