微软：部分勒索软件攻击所需时间不到45分钟

多年来，微软安全情报报告一直是提供网络安全和威胁情报格局中所有重大事件和趋势的年度概览的黄金标准。

虽然微软在2018年毫不客气地让旧的SIR Reports退休，但这家操作系统制造商似乎已经意识到了自己的错误，并于今天将其带回来，更名为新的微软数字防御报告(Microsoft Digital Defense Report)。

利用其在大片台式机、服务器、企业和云生态系统中的优势，微软总结了当今公司在面对网络犯罪和民族国家攻击者时应对的最大威胁。

这份报告长88页，包括2019年7月和2020年6月的数据，一些用户可能没有时间完整阅读。以下是主要讨论要点、微软的主要发现和总体威胁形势趋势的摘要。

毫无疑问，2020年将因新冠肺炎(冠状病毒)大流行而被铭记。虽然一些网络犯罪集团利用新冠肺炎主题来引诱和感染用户，但微软表示，这些操作只是整个恶意软件生态系统的一小部分，而且这场流行病似乎在今年的恶意软件攻击中起到的作用微乎其微。

企业部门的电子邮件钓鱼也在持续增长，并已成为主要的传播媒介。大多数网络钓鱼的诱饵都集中在微软和其他SaaS提供商身上，最受欺骗的前5个品牌包括微软、UPS、亚马逊、苹果和Zoom。

微软表示，它在2019年拦截了超过130亿封恶意和可疑邮件，其中超过10亿封包含明确目的是为了发动凭据钓鱼攻击而设置的URL。

成功的网络钓鱼操作也经常被用作商业电子邮件危害(BEC)诈骗的第一步。微软表示，骗子进入一名高管的电子邮件收件箱，监视电子邮件通信，然后突然出现，诱骗被黑客攻击的用户向错误的银行账户支付发票。

根据微软的说法，BEC骗局中最具针对性的账户是针对高管以及会计和薪资员工的账户。

但微软也表示，钓鱼并不是进入这些账户的唯一途径。黑客还开始对IMAP和SMTP等传统电子邮件协议采用密码重用和密码喷射攻击。近几个月来，这些攻击尤其流行，因为它还允许攻击者绕过多因子身份验证(MFA)解决方案，因为通过IMAP和SMTP登录不支持此功能。

此外，微软表示，它还看到网络犯罪集团越来越多地滥用基于公共云的服务来存储攻击中使用的文物，而不是使用自己的服务器。此外，如今，组也在更快地更改域和服务器，主要是为了避免被发现并保持在雷达之下。

但是，到目前为止，过去一年中最具破坏性的网络犯罪威胁是勒索软件团伙。微软表示，从2019年10月到2020年7月，勒索软件感染一直是该公司事件响应(IR)事件背后最常见的原因。

在所有勒索软件团伙中，最让微软头疼的是被称为“大型猎人”和“人工操作勒索软件”的两个群体。这些组织专门针对属于大公司或政府组织的精选网络，知道他们将收到更大的赎金。

这些组织中的大多数要么使用其他网络犯罪组织提供的恶意软件基础设施，要么通过大规模扫描互联网上新披露的漏洞来运作。

在大多数情况下，组织可以进入系统并保持立足点，直到他们准备好发动攻击。不过微软表示，今年这些勒索软件团伙特别活跃，减少了发动攻击所需的时间，尤其是在新冠肺炎疫情期间。

微软今天表示，攻击者利用新冠肺炎危机缩短了他们在受害者系统中的停留时间-泄露、泄露数据，在某些情况下还会迅速赎回-显然是认为疫情爆发会增加支付意愿。

在某些情况下，网络罪犯从最初进入到赎回整个网络只需不到45分钟。

微软选择强调的另一个主要趋势是近几个月来针对供应链的目标增加，而不是直接攻击目标。

这使得威胁行为者可以攻击一个目标，然后使用目标自己的基础设施来攻击所有客户，或者一个接一个地，或者同时攻击所有客户。

微软表示，通过帮助遭受网络安全入侵的客户，微软检测和响应团队观察到，在2019年7月至2020年3月期间，供应链攻击有所上升。

但微软指出，虽然有所增加，但供应链攻击在整个DART活动中所占比例相对较小。

尽管如此，这并没有削弱保护供应链免受可能的损害的重要性。在这里，微软强调了来自托管服务提供商(MSP，即提供非常具体服务并被允许访问公司网络的第三方)、物联网设备(通常安装在公司网络上却被遗忘)和开源软件库(如今这些软件构成了公司的大部分软件)的网络带来的危险。

至于民族国家黑客组织(也被称为APT，或高级持续威胁)，微软表示，今年相当繁忙。

微软表示，在2019年7月至2020年6月期间，它通过电子邮件向客户发送了超过1.3万份民族国家通知(NSN)。

根据微软的说法，大多数人被派往与俄罗斯国家支持的组织有关联的黑客行动，而大多数受害者位于美国。

这些电子邮件通知是针对其客户的电子邮件网络钓鱼攻击而发送的。微软表示，它试图通过使用法院命令没收这些攻击中使用的域名来反击其中的一些攻击。

在过去的一年里，微软夺取了之前由中国锶(俄罗斯)、中国钡业(中国)、中国磷业(伊朗)和中国铊业(朝鲜)等民族国家组织运营的域名。

微软数字防御报告的另一个有趣发现是，APT攻击的主要目标一直是非政府组织和服务业。

这一特殊发现与事实不符。大多数行业专家经常警告说，APT小组更喜欢针对关键基础设施，但微软表示，他们的发现告诉了我们一个不同的故事。

微软表示，国家政府的活动更有可能以关键基础设施部门以外的组织为目标，超过90%的通知是在这些部门之外送达的。

至于过去一年(2019年7月至2020年6月)民族国家团体首选的技术，微软注意到了几个有趣的发展，其中包括：

总而言之，微软得出的结论是，犯罪集团在过去一年里改进了他们的技术，以提高他们行动的成功率，因为防御系统在阻止他们过去的攻击方面变得更好了。

就像几年前一样，整个网络安全格局似乎坐在巨大的旋转木马上，防御者需要不断学习和监控，才能跟上不断演变的攻击者，可能是出于经济动机的团体，也可能是国家支持的团体。