江民赤豹反病毒:盤點近期惡意代碼威脅趨勢!
2023-10-21?來源:安全資訊
在無休止的網絡攻防大戰中,惡意代碼威脅一直在不斷演變。與此同時,攻擊的數量和速度都在飆升,受害者所付出的代價也在增加。據Cybersecurity Ventures發布的《2022年官方網絡犯罪報
在無休止的網絡攻防大戰中,惡意代碼威脅一直在不斷演變。與此同時,攻擊的數量和速度都在飆升,受害者所付出的代價也在增加。據Cybersecurity Ventures發布的《2022年官方網絡犯罪報告》預計,網絡犯罪的成本將從2015年的3萬億美元飆升至2025年的10.5萬億美元。接下來,我們一起盤點下近期流行的惡意代碼威脅。
近期流行的惡意代碼威脅
(1)無文件攻擊威脅陡增
最近基于無文件攻擊的網絡犯罪活動越來越多,一些網絡犯罪團伙開發了各種基于無文件攻擊的惡意軟件攻擊套件,這些惡意軟件攻擊套件可用于勒索病毒、挖礦病毒、RAT遠控、僵尸網絡等惡意軟件,在過去的幾年時間里,無文件感染技術已經成為了終端安全新威脅,同時無文件技術也被廣泛應用于各類APT攻擊活動。
在未來基于無文件攻擊的網絡犯罪活動依然會持續增加,并將成為主流的網絡攻擊方式之一,網絡攻擊犯罪團隊可以通過這種方式,在受害者主機上留下最少的犯罪痕跡,受害者主機上無落地的PE惡意軟件,惡意軟件作者通過采用這種無文件攻擊的方式逃避或推遲一些安全廠商安全產品的檢測。
GandCrab勒索病毒大家已經非常熟悉了,此勒索病毒是全球危害最大擴散最廣的勒索病毒,該勒索病毒就利用無文件的形式發起網絡攻擊活動,主要的攻擊流程如下:
(2)多個攻擊組織合作結盟開發惡意軟件
在最近針對賭場運營商米高梅(MGM)和凱撒娛樂的攻擊活動中,攻擊者不僅利用社會工程伎倆欺騙了IT服務臺,成功獲取到非法的訪問權限,同時,另一個更加令人不安的動向是,兩起攻擊事件的背后都有多個攻擊組織的合作,包括講英語的Scattered Spider黑客組織與講俄語的Alphv勒索軟件團伙。Scattered Spider使用了由Alphv提供的BlackCat勒索軟件,而Alphv團伙的成員之前隸屬DarkSide,該組織是Colonial Pipeline攻擊的幕后黑手。歐美的黑客組織與講俄語的黑客組織結盟合作在之前非常罕見,這或許會促使網絡攻擊的威脅態勢往令人不安的新方向發展。
(3)出現新型逃逸型網絡釣魚攻擊
最近,一種利用谷歌加速移動頁面(AMP)的新型網絡釣魚策略已經進入威脅領域,并被證明在達到預定目標方面非常成功。谷歌AMP是由谷歌和30個合作伙伴共同開發的一個開源的HTML框架,旨在加快網頁內容在移動設備上的加載速度。
通過分析發現,這些活動所涉的網站托管在Google.com或Google.co. uk上,這兩個都被大多數用戶認為是可信的域。這種網絡釣魚活動不僅使用Google AMP URL來規避檢測,而且還結合了其他許多已知可以成功繞過電子郵件安全基礎設施的戰術、技術和程序(TTPs)。
(4)出現針對虛擬設備的RaaS勒索軟件
勒索軟件即服務(RaaS)已經將目標移到了VMware流行的ESXi虛擬機管理程序。2023年4月,一個名為MichaelKors的新RaaS團伙為其加盟者提供了針對Windows和ESXi/Linux系統的勒索軟件二進制文件。使用專門針對ESXi的RaaS平臺成為越來越吸引網絡犯罪分子的新目標,原因是這些虛擬設備上缺少安全工具、對ESXi接口缺乏足夠的網絡分段,同時,大量的ESXi漏洞也讓攻擊者更容易得手。
(5)出現利用AI生成的惡意代碼
AI人工智能帶來新的安全威脅。首先是黑客利用人工智能開發惡意軟件;他們還利用它來創建更多的網絡釣魚和詐騙信息,其內容準確地模仿了合法電子郵件的語言、語氣和設計,將網絡釣魚和詐騙提升到了前所未有的水平。
生成式AI不僅提高了黑客的攻擊速度和能力,還進一步擴大了攻擊范圍。黑客現在可以使用生成式AI來創建幾乎任何語言的可信文本的網絡釣魚活動,包括那些迄今為止遭受攻擊較少的語言。
利用AI的網絡威脅SANS列舉的“2023年最危險的5大網絡攻擊”中的第一大威脅。在RSAC 2023大會上,SANS漏洞研究人員Steven Sims展示了即使是非專業性的犯罪分子也開始嘗試利用ChatGPT生成勒索軟件代碼,并已經在特定代碼段中發現了由ChatGPT自動生成的零日漏洞。
下面是我們給出的一些對抗防御措施:
1、安裝江民反病毒產品并將病毒庫升級為最新版本,并定期進行全盤掃描。
2、在使用移動介質前,應對移動介質內文件進行掃描確認不攜帶病毒文件。
3、不打開陌生電子郵件,防止魚叉式釣魚式攻擊。
4、及時更新操作系統及應用軟件補丁,防止漏洞利用攻擊。
5、為本機管理員賬號設置較為復雜的密碼,預防病毒通過密碼猜測進行傳播,最好是數字與字母組合的密碼。
6、不要從不可靠的渠道下載軟件,因為這些軟件很可能是帶有病毒的。
7、定期進行目標機器的異常檢查,包括是否出現新增賬戶、Guest是否被啟用、系統日志是否存在異常、殺毒軟件是否存在異常攔截等。
江民赤豹反病毒實驗室專注反病毒技術研究,擁有自主研發的文件威脅檢測引擎、AI威脅檢測引擎、流迭代威脅檢測引擎等多款反病毒引擎產品,形成了全平臺的惡意代碼防御體系,并針對日新月異的網絡安全環境,提供安全事件應急響應、惡意代碼分析處置等多種全服務。江民赤豹反病毒實驗室致力于提供全面、系統、一體化的網絡安全防護,為客戶提供強大的技術支撐。
