勒索软件攻击仅需25分钟.pptxVIP

勒索软件攻击仅需25分钟

现代威胁时间线和最关键的保护环节

1

20212022202320242025

图1.最活跃的勒索软件泄漏网站—2025年1月至2025年3月

在接下来的几页中，我们将通过时间线来描述一次25分钟的攻击。它反应了传统端点防护平台(EPP)

的失败之处，展示了现代防御措施在每个关键阶段的介入点。

第0分钟：收到电子邮件

您的财务经理收到了发票查询电子邮件。它有着无懈可击的语法、看起来合法的发件人域名和恰当的

时机。这封电子邮件没有任何可疑迹象。对手利用人工智能编写了数千种不同正文，对主题行进行了

A/B测试，并优化了发送时间。您的员工会打开它，因为78%的人都会打开。2

传统安全的失败之处

基于签名的电子邮件安全措施无法捕捉到它从未见过的内容。该载荷尚未被录入任何威胁情报数

据库。

CortexXDR如何进行干预

借助CortexXDR®,行为分析可检查整个组织的电子邮件模式。机器学习可识别通信和附件行为中的

异常情况。在打开附件前，与身份数据的交叉关联性检查会标记出不寻常的发件人关系。

计算结果总是触目惊心。2021年时，勒索软件操作员需要9天时间才能将数据泄露出去。到2023年，这一数字下降到两天。2024年时，经过Unit42®的模拟，攻击最快可在25分钟内完成。1

短短三年时间，速度就提高了100多倍。

1.《2024年Unit42事故响应报告》，PaloAltoNetworksUnit42，2024年2月22日。

2.“SoSafe数据显示，五分之一的人点击人工智能生成的网络钓鱼电子邮件”，SoSafe，2023年4月24日。

9天

8天

7天

6天

5天

4天

3天

2天

1天

0天

2

第1—5分钟：初步入侵

该附件利用了三天前披露的一个通用漏洞披露(CVE)。您的安全团队看到了公告，但计划在下周的

维护窗口期进行补丁修复。漏洞利用会执行程序、建立持久存在并开始获取凭证。它使用合法的

Windows实用程序—PowerShell、窗口管理工具(WMI)，以及不符合传统恶意软件特征的“就地取材”的二进制文件。

传统EPP的失败之处

该漏洞利用了可信系统工具，因此检测不到恶意文件。手动分析工作流程尚未启动。对于传统的EPP

来说，这种活动看起来就像正常的系统管理。

CortexXDR如何进行干预

CortexXDR漏洞利用防范系统可在执行漏洞之前阻止初始入侵尝试。如果有威胁潜入，行为威胁防护系统会识别系统实用程序的异常使用情况。该智能体可将端点活动与网络流量模式关联起来，从而捕

获到传统EPP因止步于端点而无法看到的命令与控制(C2)信标。

第6—10分钟：横向移动

攻击者已经拥有凭证。他们从专门从事您所在行业垂直领域的初始访问代理那里购买，因此这次攻击

是有针对性的。然后，攻击者使用合法的远程桌面协议横向移动。不过，您的安全工具会看到授权管理员凭据访问授权系统的情况。一切看起来都很正常。

传统EPP的失败之处

EPP失败的原因在于其可视性止步于端点。它们与网络、云或身份系统没有任何关联。每个安全工具都只看到自己的狭小范围，并得出“未检测到威胁”的报告。

CortexXDR如何进行干预

人工智能驱动的检测可同时分析来自端点、网络、云、电子邮件和身份系统的数据。当70%的事件

跨越三个或更多攻击面时3，这种交叉关联性就能捕捉到攻击行为。异常检测可发现异常的用户行为，

如用管理员凭据访问了他们通常不会接触到的系统、在他们通常下班的时间访问系统，以及从与他们的模式不符的位置访问系统。

威胁检测会主动搜索整个环境中的入侵指标，即使攻击者正在缓慢移动以躲避检测，也能发现他们的踪迹。

3.PaloAltoNetworksUnit42，《2024年事故响应报告》。

3

第11—15分钟：皇冠上的宝石

攻击者已经确定了您最有价值的数据，