事件概述

2023年12月，一家制造公司的十几名员工收到了大量钓鱼邮件，导致他们无法正常开展工作。一小时后，攻击者已经渗透到公司网络的深处。这一事件展示了网络入侵的速度正在加快，以及攻击者为实现这一速度所采用的策略。

攻击速度与突破时间

安全公司ReliaQuest指出，2024年威胁行为者的“突破时间”（从初始访问到网络内横向移动的时间）比2023年缩短了22%。在此次攻击中，突破时间仅为48分钟。ReliaQuest的研究员Irene Fuentes McDonnell强调，突破时间是防御者最关键的窗口期，成功在此阶段遏制威胁可以避免数据泄露、勒索软件部署、数据丢失、声誉损害和财务损失等严重后果。

攻击过程

1. 钓鱼邮件作为诱饵：大量垃圾邮件作为诱饵，攻击者通过Microsoft Teams冒充IT支持人员，向受影响的员工提供帮助。
2. 远程控制：至少两名员工上当，打开了Windows内置的Quick Assist远程访问应用，将桌面控制权交给了攻击者。
3. 横向移动：攻击者在7分钟内通过443和10443端口将员工桌面连接到远程命令控制服务器，尝试使用SMB工具上传恶意DLL文件到敏感OneDrive目录。当SMB失败后，攻击者转而使用RDP和PowerShell成功上传文件，并通过PowerShell触发恶意载荷在受感染的管理员账户上运行。
4. 权限提升：攻击者通过访问之前可能被攻陷的服务账户，获得管理SQL数据库的权限，创建了具有最高管理权限的新账户，并使用SoftPerfect Network Scanner扫描网络中的脆弱目标。

攻击成功的关键因素

1. 低技术但高效的诱饵：钓鱼邮件不含恶意链接或附件，看似无害，实则有效干扰了员工的正常工作，并为攻击者提供了联系员工的合理借口。
2. 技术熟练：攻击者熟练使用DLL侧载、命令行工具、RDP和PowerShell等技术，并能够灵活切换工具以应对失败。
3. 合法工具的使用：攻击者仅使用合法工具（如Quick Assist、Teams、SMB、RDP和SoftPerfect）以避免被检测，这种技术被称为“利用现有资源”。
4. 预先准备：攻击者进行了细致的研究和准备，包括获取之前被攻陷的服务账户。

勒索软件即服务（RaaS）模式

Black Basta等勒索软件组织通常采用RaaS模式，核心团队开发勒索软件并出租给多个附属组织，这些附属组织分工合作，分别负责发送钓鱼邮件、冒充IT支持人员、使用命令行工具深入网络等任务。

防御建议

1. 卸载不必要的远程访问应用：如Quick Assist，或限制其访问权限。
2. 禁用不再需要的账户：减少攻击面。
3. 建立严格的验证程序：确保员工与合法的帮助台人员互动。
4. 其他最佳实践：包括网络分段、定期更新和修补系统、加强员工安全意识培训等。

通过这些措施，组织可以增强网络防御能力，抵御类似攻击。