信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”。

在數(shù)字化時(shí)代，網(wǎng)絡(luò)安全的威脅日益嚴(yán)峻，惡意軟件的種類(lèi)和復(fù)雜性不斷增加。2024年，惡意軟件家族BlackLotus、Emotet、Beep和Dark Pink正以其獨(dú)特的攻擊手法和隱蔽性，成為各行業(yè)組織面臨的巨大威脅。無(wú)論是通過(guò)繞過(guò)固件安全、實(shí)施精巧的網(wǎng)絡(luò)釣魚(yú)，還是利用模塊化設(shè)計(jì)進(jìn)行定制化攻擊，這些惡意軟件不僅威脅著企業(yè)的運(yùn)營(yíng)安全，也對(duì)國(guó)家安全構(gòu)成了潛在風(fēng)險(xiǎn)。

通過(guò)理解這些惡意軟件的行為和演變，安全團(tuán)隊(duì)可以有效地預(yù)見(jiàn)和減輕這些高級(jí)威脅帶來(lái)的風(fēng)險(xiǎn)。

了解惡意軟件“四大家族“

SC Media指出，BlackLotus、Emotet、Beep和Dark Pink是2024年威脅最大的惡意軟件家族。每個(gè)惡意軟件家族都在不斷演變其戰(zhàn)術(shù)，了解這些惡意軟件的行為、動(dòng)機(jī)和目標(biāo)，已成為企業(yè)和安全團(tuán)隊(duì)構(gòu)建有效防御策略的關(guān)鍵。

1.BlackLotus：引導(dǎo)程序黑馬

BlackLotus已成為首個(gè)已知能夠繞過(guò)安全啟動(dòng)的惡意軟件，針對(duì)現(xiàn)代Windows系統(tǒng)的統(tǒng)一可擴(kuò)展固件接口（UEFI）層。通過(guò)嵌入固件，它能夠規(guī)避標(biāo)準(zhǔn)檢測(cè)并在重啟后保持持久性。這種深層系統(tǒng)妥協(xié)使攻擊者能夠長(zhǎng)期訪問(wèn)，以進(jìn)行間諜活動(dòng)、破壞或勒索操作。

BlackLotus將理論變?yōu)楝F(xiàn)實(shí)，通過(guò)繞過(guò)安全啟動(dòng)保護(hù)實(shí)現(xiàn)UEFI引導(dǎo)程序攻擊。其使用反分析功能使其難以被檢測(cè)，其跨平臺(tái)能力威脅到依賴(lài)系統(tǒng)正常運(yùn)行和保證安全性的行業(yè)，如關(guān)鍵基礎(chǔ)設(shè)施、金融服務(wù)和醫(yī)療保健。

BlackLotus以系統(tǒng)底層安全為目標(biāo)，導(dǎo)致傳統(tǒng)防御措施失效。它對(duì)政府、金融和國(guó)防等高監(jiān)管和高安全要求的行業(yè)構(gòu)成重大威脅。它在高度敏感環(huán)境中能夠持續(xù)不被檢測(cè)的能力，標(biāo)志著固件級(jí)攻擊的升級(jí)，要求情報(bào)機(jī)構(gòu)和私營(yíng)組織重新評(píng)估硬件和固件安全措施。

為了防御BlackLotus，組織應(yīng)優(yōu)先進(jìn)行UEFI更新，實(shí)施固件安全控制，并定期進(jìn)行系統(tǒng)審計(jì)。多因素身份驗(yàn)證和基于硬件的安全措施（如受信任的平臺(tái)模塊TPM）至關(guān)重要。

2.Emotet：持久的網(wǎng)絡(luò)釣魚(yú)者

Emotet曾是一種銀行木馬，現(xiàn)已演變?yōu)槎喙δ軔阂廛浖脚_(tái)，通過(guò)帶有惡意附件的網(wǎng)絡(luò)釣魚(yú)電子郵件進(jìn)行傳播。Emotet還充當(dāng)其他惡意軟件的傳播機(jī)制，包括勒索軟件，通過(guò)電子郵件劫持將自身嵌入合法商業(yè)對(duì)話中。

該惡意軟件在電子郵件劫持和社交工程策略中的作用變得日益復(fù)雜，使得網(wǎng)絡(luò)釣魚(yú)電子郵件更難以檢測(cè)。金融服務(wù)和法律領(lǐng)域依賴(lài)通信的行業(yè)尤其容易受到攻擊。

Emotet作為惡意軟件傳播平臺(tái)的角色及其嵌入受信任電子郵件線程的能力，使其成為一個(gè)重要的情報(bào)威脅，尤其是在數(shù)據(jù)保密性至關(guān)重要的行業(yè)。情報(bào)團(tuán)隊(duì)?wèi)?yīng)監(jiān)控其與其他惡意軟件運(yùn)營(yíng)者的合作關(guān)系，因?yàn)镋motet通常作為更大規(guī)模勒索軟件或數(shù)據(jù)外泄活動(dòng)的門(mén)戶(hù)。

組織應(yīng)加強(qiáng)網(wǎng)絡(luò)釣魚(yú)防御，收緊電子郵件過(guò)濾，并培訓(xùn)用戶(hù)識(shí)別可疑電子郵件。限制宏使用和附件處理可以減少暴露風(fēng)險(xiǎn)。

3.Beep：靜默入侵者

Beep惡意軟件旨在隱蔽性強(qiáng)，采用延遲執(zhí)行等技術(shù)以避免沙箱檢測(cè)。它通過(guò)模塊化組件傳遞惡意負(fù)載，允許攻擊者根據(jù)目標(biāo)環(huán)境定制攻擊。Beep增強(qiáng)了其模塊化，使得部署多樣化的惡意負(fù)載變得更加容易。它主要針對(duì)缺乏嚴(yán)格端點(diǎn)監(jiān)控的Windows企業(yè)系統(tǒng)，尤其是在零售、物流和制造等行業(yè)。

該惡意軟件專(zhuān)注于規(guī)避檢測(cè)和模塊化，給傳統(tǒng)檢測(cè)方法帶來(lái)了挑戰(zhàn)。它代表了一種日益增長(zhǎng)的惡意軟件即服務(wù)（MaaS）趨勢(shì)，多個(gè)威脅行為者可以利用該趨勢(shì)進(jìn)行間諜或勒索活動(dòng)。其隱蔽能力對(duì)管理敏感數(shù)據(jù)或知識(shí)產(chǎn)權(quán)的行業(yè)尤其令人擔(dān)憂(yōu)。

安全團(tuán)隊(duì)?wèi)?yīng)投資于行為分析工具，并監(jiān)控網(wǎng)絡(luò)流量中的異常情況。通過(guò)反規(guī)避機(jī)制加強(qiáng)端點(diǎn)檢測(cè)將有助于減輕Beep的風(fēng)險(xiǎn)。

4.Dark Pink：區(qū)域間諜專(zhuān)家

Dark Pink，也被稱(chēng)為Saaiwc組，是一個(gè)APT間諜組織。該組織主要在亞太地區(qū)活動(dòng)，針對(duì)政府機(jī)構(gòu)、軍事組織和非政府組織（NGO），通過(guò)網(wǎng)絡(luò)釣魚(yú)電子郵件和DLL側(cè)加載等技術(shù)進(jìn)行攻擊。

該惡意軟件已將目標(biāo)擴(kuò)展到包括能源和技術(shù)等關(guān)鍵行業(yè)的研究組織和私營(yíng)企業(yè)。這些惡意軟件使用基于云的服務(wù)和加密通信通道，使得檢測(cè)變得更加復(fù)雜。

Dark Pink專(zhuān)注于間諜活動(dòng)，尤其是在地緣政治敏感地區(qū)，引發(fā)了國(guó)家安全擔(dān)憂(yōu)。其轉(zhuǎn)向針對(duì)能源和技術(shù)行業(yè)的攻擊，表明其更廣泛的情報(bào)戰(zhàn)略，旨在通過(guò)數(shù)據(jù)盜竊獲得戰(zhàn)略?xún)?yōu)勢(shì)。情報(bào)機(jī)構(gòu)和網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)優(yōu)先監(jiān)控其活動(dòng)，特別是在高風(fēng)險(xiǎn)地區(qū)。

安全團(tuán)隊(duì)?wèi)?yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)釣魚(yú)攻擊的防御，并監(jiān)控異常文件活動(dòng)。政府機(jī)構(gòu)和關(guān)鍵行業(yè)的企業(yè)應(yīng)增強(qiáng)對(duì)間諜驅(qū)動(dòng)惡意軟件的保護(hù)。

惡意軟件發(fā)展的四大趨勢(shì)

綜上所述，安全?？偨Y(jié)分析了這四種惡意軟件在攻擊手法、目標(biāo)行業(yè)和隱蔽性方面存在一些共同點(diǎn)：一是所有惡意軟件都在不斷演變，以規(guī)避檢測(cè)和利用受信任的安全機(jī)制；二是它們都針對(duì)高價(jià)值目標(biāo)，尤其是在金融、政府和關(guān)鍵基礎(chǔ)設(shè)施等行業(yè)；三是這些惡意軟件的攻擊手法越來(lái)越復(fù)雜，利用社交工程和模塊化設(shè)計(jì)來(lái)增強(qiáng)其隱蔽性和靈活性。

從惡意軟件“四大家族”的關(guān)鍵特性，我們也可以觀察到當(dāng)前惡意軟件發(fā)展的一些重要趨勢(shì)：

1.固件攻擊的上升

隨著B(niǎo)lackLotus等惡意軟件的出現(xiàn)，固件攻擊逐漸成為網(wǎng)絡(luò)攻擊的新前沿。攻擊者通過(guò)針對(duì)UEFI和固件層面進(jìn)行深度滲透，能夠繞過(guò)傳統(tǒng)的安全防護(hù)措施，導(dǎo)致更難以檢測(cè)和響應(yīng)的長(zhǎng)期威脅。這種趨勢(shì)促使企業(yè)必須重新評(píng)估其固件安全策略。CISA建議企業(yè)定期更新固件，實(shí)施多因素身份驗(yàn)證，并加強(qiáng)對(duì)固件的監(jiān)控，以防止?jié)撛诘墓碳簟?/p>

2.惡意軟件即服務(wù)模型的興起

Beep等惡意軟件的模塊化設(shè)計(jì)表明，惡意軟件即服務(wù)（MaaS）模型正在興起，允許多個(gè)威脅行為者根據(jù)需要定制和部署攻擊MaaS平臺(tái)，使得即使是技術(shù)不熟練的攻擊者，也能輕松獲取和使用惡意軟件，降低了網(wǎng)絡(luò)犯罪的技術(shù)門(mén)檻。企業(yè)應(yīng)關(guān)注這一趨勢(shì)，考慮采用更為靈活的安全防護(hù)措施，以應(yīng)對(duì)不斷變化的攻擊手法。

3.社交工程的復(fù)雜化

Emotet的演變顯示出社交工程攻擊的復(fù)雜性正在增加，攻擊者利用更精細(xì)的釣魚(yú)手法和電子郵件劫持技術(shù)，使得識(shí)別和防御變得更加困難。PhishLabs的研究顯示，2023年社交工程攻擊占所有成功攻擊的43%。為此，企業(yè)應(yīng)加強(qiáng)員工培訓(xùn)，提高對(duì)社交工程攻擊的警惕性，并實(shí)施更嚴(yán)格的電子郵件過(guò)濾和監(jiān)控措施。

4.針對(duì)特定行業(yè)的定制攻擊

Dark Pink等APT組織的活動(dòng)表明，針對(duì)特定行業(yè)（如能源和技術(shù)）的定制攻擊正在增加，攻擊者通過(guò)深入了解目標(biāo)行業(yè)的運(yùn)作方式來(lái)制定更有效的攻擊策略。根據(jù)KnowBe4的研究，從2023年1月至2024年1月期間，全球關(guān)鍵基礎(chǔ)設(shè)施遭受了超過(guò)4.2億次網(wǎng)絡(luò)攻擊，比上一年增長(zhǎng)了30%。企業(yè)應(yīng)加強(qiáng)對(duì)行業(yè)特定威脅的監(jiān)控，定期進(jìn)行安全評(píng)估，以識(shí)別潛在的攻擊風(fēng)險(xiǎn)。

企業(yè)應(yīng)對(duì)惡意軟件的策略重點(diǎn)

面對(duì)這些惡意軟件的威脅，企業(yè)應(yīng)采取以下措施：

1.加強(qiáng)固件和UEFI安全

組織應(yīng)優(yōu)先更新UEFI和固件設(shè)置，實(shí)施固件安全控制，并定期進(jìn)行系統(tǒng)審計(jì)。根據(jù)CISA的建議，企業(yè)應(yīng)確保固件的完整性，定期檢查固件更新，并實(shí)施多因素身份驗(yàn)證，以防止未授權(quán)訪問(wèn)。

2.強(qiáng)化網(wǎng)絡(luò)釣魚(yú)防御

加強(qiáng)網(wǎng)絡(luò)釣魚(yú)檢測(cè)，收緊電子郵件過(guò)濾，培訓(xùn)用戶(hù)識(shí)別可疑電子郵件，限制宏使用和附件處理。根據(jù)FBI的建議，企業(yè)應(yīng)定期進(jìn)行網(wǎng)絡(luò)釣魚(yú)模擬測(cè)試，以提高員工的警惕性和應(yīng)對(duì)能力。

3.投資行為分析工具

監(jiān)控網(wǎng)絡(luò)流量異常，增強(qiáng)端點(diǎn)檢測(cè)，特別是針對(duì)隱蔽性強(qiáng)的惡意軟件如Beep。行為分析工具通過(guò)實(shí)時(shí)監(jiān)控、減少誤報(bào)、增強(qiáng)適應(yīng)性、提高內(nèi)部威脅檢測(cè)能力以及預(yù)測(cè)未來(lái)威脅等多種方式，顯著提高了網(wǎng)絡(luò)安全中的檢測(cè)率。

4.關(guān)注間諜活動(dòng)威脅

對(duì)于在地緣政治敏感地區(qū)運(yùn)營(yíng)的企業(yè)，必須增強(qiáng)對(duì)間諜驅(qū)動(dòng)惡意軟件的防御。企業(yè)應(yīng)加強(qiáng)對(duì)外部威脅的監(jiān)控，定期進(jìn)行安全評(píng)估，并與政府機(jī)構(gòu)合作，共同應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)。

未來(lái)，企業(yè)應(yīng)不斷關(guān)注惡意軟件的持續(xù)演變和新興攻擊手法，以保持安全防護(hù)的有效性。