基于身份的攻击主导了入侵，攻击者绕过了漏洞利用

执行摘要

基于身份的攻击，而非软件漏洞，是现代网络攻击最可靠和最主要的初始访问途径。根据The Hacker News的分析，攻击者越来越多地绕过复杂的漏洞开发，简单地使用被盗的凭证和技术来绕过多因素认证（MFA）。这种转变使得复杂的零日漏洞对于初始网络入侵变得不必要，因为威胁行为者使用合法用户身份“走前门”。

技术分析

初始访问的技术障碍已显著降低。攻击者主要通过大规模凭证填充攻击获得有效凭证，利用从之前泄露中获得的大量用户名和密码对数据库。网络钓鱼仍然是凭证收集的一种高效方法，通常使用模仿合法服务的欺骗性登录页面。

一旦获得凭证，攻击者采用多种方法击败MFA，这是一个关键的次级防御层。这些包括中间人（AitM）网络钓鱼工具包，实时拦截一次性代码，以及通过向用户发送大量推送通知直到一个被意外批准来利用“MFA疲劳”。在某些情况下，攻击者滥用旧版或较弱的身份验证协议，如SMTP或IMAP，这些协议可能不执行MFA，即使更强的主登录方法受到保护，也能获得立足点。

这种方法与利用软件漏洞根本不同。它针对身份层——一个在传统漏洞管理和补丁周期之外的组件——使得检测更具挑战性，因为恶意活动来自具有合法权限的经过身份验证的账户。

入侵指标

源材料中未识别出任何入侵指标。

战术、技术与程序

这些基于身份的攻击的主要战术、技术与程序与MITRE ATT&CK框架一致，但强调无需漏洞利用即可获得初始访问：

• 初始访问 (TA0001)：
  • T1078 - 有效账户： 使用被盗凭证用于合法用户账户。
  • T1589.001 - 网络钓鱼信息： 通过欺骗性电子邮件和网站收集凭证。
• 凭证访问 (TA0006)：
  • T1110 - 暴力破解： 使用自动化工具进行凭证填充攻击。
  • T1539 - 窃取Web会话Cookie： 成功登录后会话劫持。
• 防御绕过 (TA0005)：
  • T1556 - 修改认证过程： 通过AitM网络钓鱼或令牌盗窃绕过MFA。

威胁行为者背景

源材料没有将这些技术归因于特定的命名威胁行为者群体。相反，它描述了一个广泛、普遍的趋势，被从以财务为动机的网络犯罪分子到国家支持的高级持续性威胁（APTs）的各种攻击者采用。基于身份的攻击成本低、成功率高，使它们普遍具有吸引力，有效地将攻击链的初始访问阶段商品化。

缓解措施与建议

源分析建议需要战略转移，将重点从纯粹的漏洞预防转移到身份保护。关键缓解措施包括：

• 实施抗网络钓鱼的MFA，如FIDO2/WebAuthn安全密钥，这些密钥对实时拦截和疲劳攻击具有抵抗力。
• 实施连续访问评估和条件访问策略，根据设备健康状况、位置和行为实时评估用户风险，而不仅仅是在初始登录时。
• 消除或严格监控不支持现代MFA标准的旧版身份验证协议的使用。
• 部署强大的凭证监控，通过与Have I Been Pwned等服务集成，检测和警报使用泄露密码的情况。
• 进行定期的用户意识培训，重点在于识别复杂的网络钓鱼尝试和正确处理MFA请求。