根据卡巴斯基安全服务最近发布的一份全球报告，密码猜测和合法账户滥用位列网络犯罪分子在2025年使用的最有效的战术之列。这一趋势反映出攻击策略的转变：攻击者不再通过容易引发告警的恶意软件触发端点防护，而是更倾向于利用合法访问权限来规避检测。

《网络世界剖析》是一份基于卡巴斯基2025年从托管检测与响应（MDR）、事件响应（IR）、入侵评估及安全运营中心（SOC）咨询服务中收集的数据所撰写的深度全球报告。报告涵盖了最常用的攻击者技术、工具及检测场景，并重点阐述了所检测到的事件的特点。

报告显示，在最常被监测的攻击技术中，有相当一部分与凭证及身份管理相关。这项分析考察了各种攻击指标（IoA）的转化率[1]，并突出了以下常见的恶意策略：

密码猜测——34.8%。这种攻击手段是指攻击者系统性地尝试各种密码，直到成功获得账户访问权限。由于该手段既出现在实际攻击中，也出现在经授权的安全评估中，因此位居转化率榜首，成为当今网络安全领域中一个持续存在的威胁。那些依赖弱密码或重复使用密码的组织，仍在助长这种由来已久的攻击策略。

本地账户创建——34.7%。一旦进入系统，攻击者通常会创建新的本地账户，这样即使其最初的入侵点被发现并清除后，仍能保持访问权限。这一技术在安全演练中经常被观察到，并且可以被检测到——但前提是必须具备适当的遥测数据，而这往往是缺失的。

有效账户滥用——34.5%。攻击者并未部署恶意软件，而是利用被盗或遭泄露的凭据登录，并伪装成普通用户的活动。由于访问行为本身看似合法，这使得检测难度大大增加。如此高的转化率充分说明了为何被泄露的凭据依然是最危险的攻击途径之一。

账户操纵——32%。攻击者通过修改现有账户来巩固访问权限，例如激活被禁用的账户、更改组成员身份或提升权限。这进一步印证了一个更广泛的模式——攻击者并非引入新工具，而是利用已有的资源来加深其控制。

网络服务发现——31.2%。在深入网络之前，攻击者通常会扫描可访问的开放服务和系统。这一侦察步骤是后续横向移动和进一步利用的前兆。及早检测到这一行为，能为安全团队提供关键的干预窗口。

该报告根据观察到的活动最终导致已确认恶意事件的频率，对攻击者的技术进行了排名。卡巴斯基专家表示，尽管 MITRE ATT&CK® 罗列了大量攻击者所使用的技术，但有效检测需要优先关注那些最有可能表明恶意意图的行为，同时避免过多的误报。

“威胁行为者并不总是需要复杂的恶意软件来实现其目标。在许多情况下，合法的管理工具和被入侵的账户仍然是他们在组织内部快速、高效移动并规避检测的最有效方式。上述技术持续受到青睐表明，组织需要对攻击者行为具备深入的可视性，并能够将攻击不同阶段中可疑活动进行关联分析。为应对这些挑战，企业可通过我们的解决方案来增强安全防护：卡巴斯基托管检测与响应及事件响应服务，涵盖从威胁检测到持续防护与修复的整个事件管理周期，”卡巴斯基安全运营中心负责人Sergey Soldatov评论说。

想要进一步了解攻击者的战术与技术、已检测事件的特征及其在不同地区和行业领域的分布情况，请查看报告全文。

[1] “转化率”是指被归类为真实告警的警报数量，与对应特定 MITRE ATT&CK 技术的警报总数之间的比率。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全与数字隐私公司。凭借其网络免疫概念，卡巴斯基致力于推动行业创新，保护消费者、企业、关键基础设施及政府机构免受网络威胁。迄今为止，已有超过十亿台设备受到卡巴斯基的保护。

卡巴斯基确保“忠于业务”的网络安全，专注于提供明确的结果、保护营收、减轻工作负载并防止系统停机。卡巴斯基深厚的威胁情报和安全专业知识不断转化为适用于各种规模组织（从小型企业到大型企业）的创新解决方案和服务，将经过验证的 AI 驱动防护技术与简单的管理和专家支持相结合。

卡巴斯基广受独立测试机构认可，并获得全球数百万个人用户及近20万家企业的信赖。我们助力客户更早发现威胁、更快做出响应，并以更大的信心和自由度开展业务，从而保护客户最核心的价值。