在 2024 年上半年被偵測的 187 個獨特的 Microsoft LOLbin 中，最常被濫用的可信任應用程式是遠端桌面通訊協定 (RDP)。在 Sophos 分析的近 200 起事件回應案例中，有 89% 的攻擊者濫用了 RDP。這一趨勢延續了 2023 年《主動攻擊者報告》中首次觀察到的模式，當時 RDP 濫用在所有調查的事件回應案例中佔比高達 90%。

Sophos 現場技術長 John Shier 表示：「就地取材 (Living off the Land) 不僅能讓攻擊者的行為更具隱蔽性，甚至被默許可以執行。濫用某些合法工具可能會引起部分防禦人員的警覺，甚至是觸發警報，但濫用 Microsoft 二進位檔案卻不會有這些問題。許多被濫用的 Microsoft 工具是 Windows 系統的重要組成且有其合法用途。因此，系統管理員必須了解這些工具在環境中的使用方式，以及如何區分合法使用與濫用。若缺乏對環境的精細和情境化的認識，包括持續對網路中不斷發生的新事件保持警覺性，目前已經疲於奔命的 IT 團隊可能會錯過一些重要的威脅活動，而它們往往會導致勒索軟體攻擊。」

此外，報告發現，儘管政府機構在今年 2 月破獲了 LockBit 的主要洩密網站和基礎架構，但 LockBit 仍是最常見的勒索軟體集團，佔 2024 年上半年勒索案例約 21%。

最新《主動攻擊者報告》的其他關鍵發現：
• 攻擊的根本原因：延續在《給科技領袖的主動攻擊者報告》中首次提出的看法，被竊憑證仍然是攻擊的首要根本原因，佔 39% 的案例。不過，這一數字相較於 2023 年的 56% 有所下降。
• 網路入侵佔 MDR 案例的多數：在單獨分析 Sophos MDR 團隊的案例時，網路入侵是該團隊最常遇到的主要事件類型。
• MDR 案例的潛伏時間更短：對於 Sophos 事件回應團隊的案例來說，潛伏時間 (從攻擊開始到被偵測到的時間) 大約維持在 8 天。然而，在 MDR 的案例中，各類事件的中位潛伏時間僅為 1 天，勒索軟體攻擊的中位潛伏時間也僅為 3 天。
• 最常被攻擊的 Active Directory 伺服器版本已經接近停止支援 (EOL)：攻擊者最常攻擊的 Active Directory (AD) 伺服器版本為 2019、2016 和 2012，而這三個版本已經不列入 Microsoft 主流支援——這是終止支援 (EOL) 前的最後階段，除非付費購買支援服務，否則將無法獲得修補程式。此外，遭受攻擊的 AD 伺服器版本中，有高達 21% 已經處於終止支援狀態 (EOL)。

若想了解更多攻擊者行為、工具和技術的資訊，請參閱 Sophos.com 的《內部攻擊：Sophos 主動攻擊者報告》。

- 新聞稿有效日期，至2024/12/31為止

上一篇：深圳市越疆科技股份有限公司公佈於香港聯交所主板上市的詳情
下一篇：兩廳院以表演藝術陪伴銀髮族 「表演藝術社會處方箋先驅計畫」體驗工作坊