江民赤豹反病毒:盤點(diǎn)近期惡意代碼威脅趨勢(shì)!
2023-10-21?來源:安全資訊
在無休止的網(wǎng)絡(luò)攻防大戰(zhàn)中,惡意代碼威脅一直在不斷演變。與此同時(shí),攻擊的數(shù)量和速度都在飆升,受害者所付出的代價(jià)也在增加。據(jù)Cybersecurity Ventures發(fā)布的《2022年官方網(wǎng)絡(luò)犯罪報(bào)
在無休止的網(wǎng)絡(luò)攻防大戰(zhàn)中,惡意代碼威脅一直在不斷演變。與此同時(shí),攻擊的數(shù)量和速度都在飆升,受害者所付出的代價(jià)也在增加。據(jù)Cybersecurity Ventures發(fā)布的《2022年官方網(wǎng)絡(luò)犯罪報(bào)告》預(yù)計(jì),網(wǎng)絡(luò)犯罪的成本將從2015年的3萬億美元飆升至2025年的10.5萬億美元。接下來,我們一起盤點(diǎn)下近期流行的惡意代碼威脅。
近期流行的惡意代碼威脅
(1)無文件攻擊威脅陡增
最近基于無文件攻擊的網(wǎng)絡(luò)犯罪活動(dòng)越來越多,一些網(wǎng)絡(luò)犯罪團(tuán)伙開發(fā)了各種基于無文件攻擊的惡意軟件攻擊套件,這些惡意軟件攻擊套件可用于勒索病毒、挖礦病毒、RAT遠(yuǎn)控、僵尸網(wǎng)絡(luò)等惡意軟件,在過去的幾年時(shí)間里,無文件感染技術(shù)已經(jīng)成為了終端安全新威脅,同時(shí)無文件技術(shù)也被廣泛應(yīng)用于各類APT攻擊活動(dòng)。
在未來基于無文件攻擊的網(wǎng)絡(luò)犯罪活動(dòng)依然會(huì)持續(xù)增加,并將成為主流的網(wǎng)絡(luò)攻擊方式之一,網(wǎng)絡(luò)攻擊犯罪團(tuán)隊(duì)可以通過這種方式,在受害者主機(jī)上留下最少的犯罪痕跡,受害者主機(jī)上無落地的PE惡意軟件,惡意軟件作者通過采用這種無文件攻擊的方式逃避或推遲一些安全廠商安全產(chǎn)品的檢測(cè)。
GandCrab勒索病毒大家已經(jīng)非常熟悉了,此勒索病毒是全球危害最大擴(kuò)散最廣的勒索病毒,該勒索病毒就利用無文件的形式發(fā)起網(wǎng)絡(luò)攻擊活動(dòng),主要的攻擊流程如下:
(2)多個(gè)攻擊組織合作結(jié)盟開發(fā)惡意軟件
在最近針對(duì)賭場(chǎng)運(yùn)營商米高梅(MGM)和凱撒娛樂的攻擊活動(dòng)中,攻擊者不僅利用社會(huì)工程伎倆欺騙了IT服務(wù)臺(tái),成功獲取到非法的訪問權(quán)限,同時(shí),另一個(gè)更加令人不安的動(dòng)向是,兩起攻擊事件的背后都有多個(gè)攻擊組織的合作,包括講英語的Scattered Spider黑客組織與講俄語的Alphv勒索軟件團(tuán)伙。Scattered Spider使用了由Alphv提供的BlackCat勒索軟件,而Alphv團(tuán)伙的成員之前隸屬DarkSide,該組織是Colonial Pipeline攻擊的幕后黑手。歐美的黑客組織與講俄語的黑客組織結(jié)盟合作在之前非常罕見,這或許會(huì)促使網(wǎng)絡(luò)攻擊的威脅態(tài)勢(shì)往令人不安的新方向發(fā)展。
(3)出現(xiàn)新型逃逸型網(wǎng)絡(luò)釣魚攻擊
最近,一種利用谷歌加速移動(dòng)頁面(AMP)的新型網(wǎng)絡(luò)釣魚策略已經(jīng)進(jìn)入威脅領(lǐng)域,并被證明在達(dá)到預(yù)定目標(biāo)方面非常成功。谷歌AMP是由谷歌和30個(gè)合作伙伴共同開發(fā)的一個(gè)開源的HTML框架,旨在加快網(wǎng)頁內(nèi)容在移動(dòng)設(shè)備上的加載速度。
通過分析發(fā)現(xiàn),這些活動(dòng)所涉的網(wǎng)站托管在Google.com或Google.co. uk上,這兩個(gè)都被大多數(shù)用戶認(rèn)為是可信的域。這種網(wǎng)絡(luò)釣魚活動(dòng)不僅使用Google AMP URL來規(guī)避檢測(cè),而且還結(jié)合了其他許多已知可以成功繞過電子郵件安全基礎(chǔ)設(shè)施的戰(zhàn)術(shù)、技術(shù)和程序(TTPs)。
(4)出現(xiàn)針對(duì)虛擬設(shè)備的RaaS勒索軟件
勒索軟件即服務(wù)(RaaS)已經(jīng)將目標(biāo)移到了VMware流行的ESXi虛擬機(jī)管理程序。2023年4月,一個(gè)名為MichaelKors的新RaaS團(tuán)伙為其加盟者提供了針對(duì)Windows和ESXi/Linux系統(tǒng)的勒索軟件二進(jìn)制文件。使用專門針對(duì)ESXi的RaaS平臺(tái)成為越來越吸引網(wǎng)絡(luò)犯罪分子的新目標(biāo),原因是這些虛擬設(shè)備上缺少安全工具、對(duì)ESXi接口缺乏足夠的網(wǎng)絡(luò)分段,同時(shí),大量的ESXi漏洞也讓攻擊者更容易得手。
(5)出現(xiàn)利用AI生成的惡意代碼
AI人工智能帶來新的安全威脅。首先是黑客利用人工智能開發(fā)惡意軟件;他們還利用它來創(chuàng)建更多的網(wǎng)絡(luò)釣魚和詐騙信息,其內(nèi)容準(zhǔn)確地模仿了合法電子郵件的語言、語氣和設(shè)計(jì),將網(wǎng)絡(luò)釣魚和詐騙提升到了前所未有的水平。
生成式AI不僅提高了黑客的攻擊速度和能力,還進(jìn)一步擴(kuò)大了攻擊范圍。黑客現(xiàn)在可以使用生成式AI來創(chuàng)建幾乎任何語言的可信文本的網(wǎng)絡(luò)釣魚活動(dòng),包括那些迄今為止遭受攻擊較少的語言。
利用AI的網(wǎng)絡(luò)威脅SANS列舉的“2023年最危險(xiǎn)的5大網(wǎng)絡(luò)攻擊”中的第一大威脅。在RSAC 2023大會(huì)上,SANS漏洞研究人員Steven Sims展示了即使是非專業(yè)性的犯罪分子也開始嘗試?yán)肅hatGPT生成勒索軟件代碼,并已經(jīng)在特定代碼段中發(fā)現(xiàn)了由ChatGPT自動(dòng)生成的零日漏洞。
下面是我們給出的一些對(duì)抗防御措施:
1、安裝江民反病毒產(chǎn)品并將病毒庫升級(jí)為最新版本,并定期進(jìn)行全盤掃描。
2、在使用移動(dòng)介質(zhì)前,應(yīng)對(duì)移動(dòng)介質(zhì)內(nèi)文件進(jìn)行掃描確認(rèn)不攜帶病毒文件。
3、不打開陌生電子郵件,防止魚叉式釣魚式攻擊。
4、及時(shí)更新操作系統(tǒng)及應(yīng)用軟件補(bǔ)丁,防止漏洞利用攻擊。
5、為本機(jī)管理員賬號(hào)設(shè)置較為復(fù)雜的密碼,預(yù)防病毒通過密碼猜測(cè)進(jìn)行傳播,最好是數(shù)字與字母組合的密碼。
6、不要從不可靠的渠道下載軟件,因?yàn)檫@些軟件很可能是帶有病毒的。
7、定期進(jìn)行目標(biāo)機(jī)器的異常檢查,包括是否出現(xiàn)新增賬戶、Guest是否被啟用、系統(tǒng)日志是否存在異常、殺毒軟件是否存在異常攔截等。
江民赤豹反病毒實(shí)驗(yàn)室專注反病毒技術(shù)研究,擁有自主研發(fā)的文件威脅檢測(cè)引擎、AI威脅檢測(cè)引擎、流迭代威脅檢測(cè)引擎等多款反病毒引擎產(chǎn)品,形成了全平臺(tái)的惡意代碼防御體系,并針對(duì)日新月異的網(wǎng)絡(luò)安全環(huán)境,提供安全事件應(yīng)急響應(yīng)、惡意代碼分析處置等多種全服務(wù)。江民赤豹反病毒實(shí)驗(yàn)室致力于提供全面、系統(tǒng)、一體化的網(wǎng)絡(luò)安全防護(hù),為客戶提供強(qiáng)大的技術(shù)支撐。
