信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

2024年，惡意軟件持續(xù)演變，攻擊者不斷采用新技術(shù)和策略，增強(qiáng)隱蔽性和破壞力。

Check Point的數(shù)據(jù)顯示，F(xiàn)akeUpdates、Qbot和Formbook等惡意軟件在全球范圍內(nèi)廣泛傳播，感染了大量組織。ESET的報告也指出，惡意的Chrome瀏覽器擴(kuò)展和偽裝為AI軟件的安裝程序等新型威脅層出不窮。面對這些日益復(fù)雜的威脅，對惡意軟件的了解和防御措施變得尤為重要。

以下是2024年十大最危險的惡意軟件：

一、BlackLotus：首個繞過安全啟動的UEFI引導(dǎo)程序

BlackLotus是首個已知能夠繞過安全啟動（Secure Boot）的惡意軟件，直接攻擊現(xiàn)代Windows系統(tǒng)的統(tǒng)一可擴(kuò)展固件接口（UEFI）層。通過嵌入固件中，它能夠避開常規(guī)檢測，并在系統(tǒng)重啟后仍保持持久性。這種深層次的系統(tǒng)妥協(xié)使攻擊者能夠長期訪問受害系統(tǒng)，用于間諜活動、破壞或勒索軟件操作。

防御措施：

• 固件更新：定期更新UEFI固件，確保修補(bǔ)已知漏洞。
• 多因素認(rèn)證：實施多因素認(rèn)證，增加未經(jīng)授權(quán)訪問的難度。
• 硬件安全模塊：利用可信平臺模塊（TPM）等硬件安全技術(shù)，增強(qiáng)系統(tǒng)安全性。
• 系統(tǒng)完整性監(jiān)控：部署支持UEFI完整性驗證的工具。

二、Emotet：持續(xù)進(jìn)化的釣魚高手

Emotet最初是一個銀行木馬，現(xiàn)已演變?yōu)槎喙δ艿膼阂廛浖脚_，因其高效的“敏捷開發(fā)”能力在業(yè)界聞名，主要通過帶有惡意附件的釣魚郵件傳播。Emotet還充當(dāng)其他惡意軟件的傳送工具，包括勒索軟件，能夠通過劫持電子郵件對話嵌入到合法的業(yè)務(wù)溝通中。

防御措施：

• 電子郵件過濾：使用高級反垃圾郵件過濾器，攔截含有惡意附件或鏈接的郵件。
• 網(wǎng)絡(luò)釣魚培訓(xùn)：定期培訓(xùn)員工識別釣魚郵件，提高安全意識。
• 禁用宏功能：限制Microsoft Office中宏的使用，防止惡意代碼執(zhí)行。
• 端點檢測和響應(yīng)（EDR）：實時檢測和響應(yīng)潛在威脅。

三、Beep：靜默入侵者

Beep惡意軟件以其隱蔽性著稱，采用延遲執(zhí)行等技術(shù)來避免被沙箱檢測。它通過模塊化組件傳送惡意負(fù)載，使攻擊者能夠根據(jù)目標(biāo)環(huán)境定制攻擊。Beep主要針對Windows企業(yè)系統(tǒng)，尤其是零售、物流和制造業(yè)等可能缺乏嚴(yán)格終端監(jiān)控的行業(yè)。

防御措施：

• 行為分析：投資于行為分析工具，監(jiān)控異常網(wǎng)絡(luò)活動。
• 終端檢測：加強(qiáng)終端檢測和響應(yīng)能力，部署反規(guī)避機(jī)制。
• 網(wǎng)絡(luò)監(jiān)控：持續(xù)監(jiān)控網(wǎng)絡(luò)流量，識別潛在的惡意活動。
• 模塊化分析：重點監(jiān)控系統(tǒng)中可疑模塊的加載和運行情況。

四、Dark Pink：亞太地區(qū)的“王牌間諜”

DarkPink，又稱Saaiwc組織，是一個高級持續(xù)性威脅（APT）間諜組織，主要在亞太地區(qū)活動，針對政府機(jī)構(gòu)、軍事組織和非政府組織（NGO）。主要通過魚叉式釣魚郵件和DLL側(cè)加載等技術(shù)進(jìn)行攻擊。

防御措施：

• 魚叉式釣魚防御：加強(qiáng)對魚叉式釣魚攻擊的安全意識培訓(xùn)和技術(shù)防御，實施嚴(yán)格的電子郵件驗證機(jī)制。
• 文件活動監(jiān)控：監(jiān)控異常的文件活動，及時發(fā)現(xiàn)潛在威脅。
• 郵件隔離：隔離并檢查外部不明郵件附件和鏈接。
• 情報共享：監(jiān)控已知APT組織的活動，及時更新相關(guān)指標(biāo)并與其他組織和機(jī)構(gòu)共享威脅情報，提升整體防御能力。

五、FakeUpdates（又名SocGholish）瀏覽器殺手

用JavaScript編寫的下載器，在啟動有效負(fù)載之前將其寫入磁盤。通過許多其他惡意軟件導(dǎo)致進(jìn)一步的危害，包括GootLoader、Dridex、NetSupport、DoppelPaymer和AZORult。

防御措施：

• 瀏覽器更新：確保所有瀏覽器插件和擴(kuò)展保持最新，修復(fù)漏洞。
• 惡意軟件掃描：定期掃描系統(tǒng)中的潛在威脅。
• 域過濾：配置DNS過濾，屏蔽已知的惡意域。
• 限制安裝：僅允許安裝經(jīng)過批準(zhǔn)的瀏覽器擴(kuò)展。

六、Qbot（又名Qakbot）多用途惡意軟件

能夠旨在竊取用戶憑據(jù)、記錄擊鍵、竊取瀏覽器的cookie、監(jiān)視銀行活動以及部署其他惡意軟件。通常通過垃圾郵件進(jìn)行分發(fā)，采用多種反虛擬機(jī)、反調(diào)試和反沙箱技術(shù)來阻礙分析和逃避檢測。

防御措施：

• 憑據(jù)管理器：使用密碼管理工具生成并存儲強(qiáng)密碼。
• 賬戶監(jiān)控：持續(xù)監(jiān)控賬戶活動，檢測異常登錄。
• 零信任架構(gòu)：限制用戶和設(shè)備對系統(tǒng)資源的訪問權(quán)限。
• 登錄速率限制：對登錄嘗試次數(shù)進(jìn)行限制，防止暴力破解。

七、Formbook數(shù)據(jù)扒手

針對Windows操作系統(tǒng)的信息竊取程序，能夠從各種Web瀏覽器獲取憑據(jù)、收集屏幕截圖、監(jiān)控并記錄擊鍵，并可以根據(jù)其C&C的命令下載和執(zhí)行文件。

防御措施：

• 數(shù)據(jù)加密：對敏感數(shù)據(jù)進(jìn)行加密，降低泄露風(fēng)險。
• 限制腳本執(zhí)行：限制瀏覽器中自動執(zhí)行的JavaScript和插件。
• 用戶行為監(jiān)控：使用UEBA工具識別異常的用戶行為。
• 端到端保護(hù)：部署能夠發(fā)現(xiàn)信息竊取行為的端點安全解決方案。

八、Nanocore遠(yuǎn)程訪問木馬

針對Windows操作系統(tǒng)用戶的遠(yuǎn)程訪問木馬，包含基本插件和功能，例如屏幕捕獲、加密貨幣挖掘、遠(yuǎn)程控制桌面和網(wǎng)絡(luò)攝像頭會話盜竊。

防御措施：

• 遠(yuǎn)程桌面安全：關(guān)閉不必要的遠(yuǎn)程桌面協(xié)議（RDP）端口。
• 登錄告警：對遠(yuǎn)程登錄嘗試啟用告警機(jī)制。
• 最小權(quán)限原則：為所有用戶和服務(wù)配置最少權(quán)限訪問。
• 設(shè)備隔離：對受感染的設(shè)備立即隔離并進(jìn)行徹底檢查。

九、AsyncRAT遠(yuǎn)程訪問木馬

針對Windows平臺的木馬，將目標(biāo)系統(tǒng)的系統(tǒng)信息發(fā)送到遠(yuǎn)程服務(wù)器，從服務(wù)器接收命令來下載并執(zhí)行插件、終止進(jìn)程、卸載/更新自身以及捕獲受感染系統(tǒng)的屏幕截圖。

防御措施：

• 網(wǎng)絡(luò)分段：將關(guān)鍵網(wǎng)絡(luò)分隔開，降低橫向移動風(fēng)險。
• 入侵檢測系統(tǒng)（IDS）：配置IDS以識別異地登錄或異常流量。
• 定期漏洞評估：掃描網(wǎng)絡(luò)和設(shè)備，修補(bǔ)易被利用的漏洞。
• 限制外部命令和控制：封鎖已知的惡意命令和控制（C2）地址。

十、Remcos遠(yuǎn)程訪問木馬

可通過惡意微軟Office文檔進(jìn)行傳播，能夠繞過Microsoft Windows UAC安全性并以高級權(quán)限執(zhí)行惡意軟件。

防御措施：

• 文檔驗證：對來自外部的文檔啟用沙箱運行環(huán)境。
• 腳本阻斷：禁用文檔中的VBA腳本和宏。
• 防御繞過技術(shù)：部署安全工具以檢測和阻止UAC繞過行為。
• 敏感數(shù)據(jù)隔離：將關(guān)鍵數(shù)據(jù)存儲在高度隔離的網(wǎng)絡(luò)環(huán)境中。

總結(jié)

面對日益復(fù)雜的惡意軟件威脅，企業(yè)應(yīng)采取情報驅(qū)動的主動防御策略，包括定期更新系統(tǒng)和軟件、加強(qiáng)網(wǎng)絡(luò)釣魚防御、實施多因素身份驗證并投資行為分析工具，以檢測和阻止?jié)撛诘墓簟Ｖ挥谐浞掷斫鈵阂廛浖男袨楹脱葑?，安全團(tuán)隊才能有效預(yù)判并緩解其帶來的風(fēng)險。