研究结论
- 威胁格局转变: 攻击者已从“ smash-and-grab”模式转向“数字寄生虫”模式,优先考虑持久化和隐蔽性,而非破坏性攻击。
- 主要攻击技术: Process Injection (T1055) 和 Command and Scripting Interpreter (T1059) 位列攻击技术前 ten,表明攻击者擅长利用系统工具和脚本进行攻击。
- 防御 evasion 持续增长: 80% 的顶级攻击技术用于防御绕过和持久化,攻击者不断改进技术以躲避现代防御措施。
- 云服务和物理层成为目标: 攻击者利用云 API 和远程访问硬件绕过传统防御,并窃取凭证进行横向移动。
- 身份成为关键目标: 凭证盗窃技术 (T1555) 普及率极高,攻击者利用身份系统进行权限提升和数据窃取。
- 攻击者采用 APT 技术: 勒索软件团伙开始采用 APT 组织的隐蔽技术和持久化方法。
关键数据
- 恶意文件分析: 研究分析了超过 110 万个恶意文件和 1550 万个恶意行为,涵盖 2025 年的全年数据。
- 顶级攻击技术排名: Process Injection (T1055)、Command and Scripting Interpreter (T1059)、Credentials from Password Stores (T1555)、Virtualization/Sandbox Evasion (T1497)、Application Layer Protocol (T1071) 等技术位列前 ten。
- 攻击者使用的工具: Empire、PowerSploit、Nishang、PoshC2 等框架和工具被广泛用于攻击。
建议
- 实施反规避防御: 使用硬件辅助分析、假设突破、时间扭曲等技术对抗虚拟化/沙盒规避。
- 强化云身份和 API 端口: 监控非人类身份、检查受信任 Web 流量、强制执行最小权限和缩短会话寿命。
- 保护物理和硬件层: 监控物理连接、进行可视和物理审计、保护 BIOS/UEFI 密码并实施网络访问控制。
- 从“抗加密”转向“抗勒索”: 实施出口过滤和流量整形、部署“示警”令牌、关注数据丢失预防并审计云存储访问。
- 现代化身份防御: 禁用浏览器密码存储、过渡到 FIDO2/WebAuthn、检测会话劫持并审计本地管理员权限。
- 管理远程访问软件: 审计“影子 IT”远程工具、监控开发者隧道、实施应用程序允许列表并限制 RDP 暴露。
