信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”。

惡意軟件是指那些能夠危害計(jì)算機(jī)設(shè)備功能、竊取數(shù)據(jù)、監(jiān)視用戶并造成混亂的破壞性軟件程序，具體可細(xì)分為間諜軟件、勒索軟件、病毒程序、僵尸網(wǎng)絡(luò)、惡意廣告、鍵盤記錄程序和木馬軟件等。這些惡意軟件通常會(huì)通過易受攻擊的軟件、文件共享、網(wǎng)站、廣告、電子郵件附件或惡意鏈接進(jìn)行傳播。

盡管很多企業(yè)為了應(yīng)對(duì)惡意軟件威脅已經(jīng)采取了大量措施和工作，但是每天都會(huì)有新的惡意軟件樣本不斷被檢測(cè)到。這些層出不窮的惡意軟件能夠輕松繞過組織已有的防護(hù)措施，對(duì)組織的數(shù)字化環(huán)境和應(yīng)用系統(tǒng)構(gòu)成了巨大的安全威脅。

日前，獨(dú)立安全分析師Cristina Gaia在LinkedIn上發(fā)布了當(dāng)前最危險(xiǎn)的10種新型惡意軟件威脅。通過研究這些威脅的新特性，并學(xué)習(xí)如何識(shí)別、預(yù)防和抵御它們的方法，企業(yè)可以為可能到來的下一波攻擊做好準(zhǔn)備。

1

Rorschach：加密數(shù)據(jù)最快的勒索軟件

2023年初，網(wǎng)絡(luò)安全公司Check Point的研究人員發(fā)現(xiàn)了一個(gè)勒索軟件新變種——Rorschach。根據(jù)Check Point研究人員的描述，Rorschach是迄今為止加密數(shù)據(jù)最快的勒索軟件。與其他勒索軟件不同的是，Rorschach勒索病毒沒有與任何以前已知的勒索軟件集團(tuán)關(guān)聯(lián)，因此這種惡意軟件威脅在技術(shù)上具有很多獨(dú)特的功能，不僅具有自我傳播能力，而且還從LockBit v2.0、Babuk和Darkside等主要勒索軟件變種中引入了一些功能，大大提高了勒索攻擊的能力門檻。

2

Chameleon：移動(dòng)應(yīng)用領(lǐng)域的新威脅

Chameleon（變色龍）惡意軟件是由網(wǎng)絡(luò)安全公司Cyble在今年初發(fā)現(xiàn)的一種新型安卓惡意軟件，可以冒充澳大利亞政府機(jī)構(gòu)CoinSpot加密貨幣交易所和IKO銀行，通過受損網(wǎng)站、Discord附件和Bitbucket托管服務(wù)進(jìn)行分發(fā)，對(duì)受害用戶展開網(wǎng)絡(luò)攻擊。

Cyble安全研究人員表示，Chameleon主要通過疊加注入和密鑰記錄、Cookie和受感染設(shè)備的短信竊取用戶憑據(jù)。該惡意軟件有很強(qiáng)的逃避安全檢查能力，一旦啟動(dòng)后會(huì)立即執(zhí)行各種“檢查”，以逃避安全軟件的檢測(cè)，并會(huì)賦予自己更多的權(quán)限。Chameleon惡意軟件的出現(xiàn)凸顯了移動(dòng)應(yīng)用領(lǐng)域惡意軟件風(fēng)險(xiǎn)的增長趨勢(shì)。

3

Goldoson：下載量已經(jīng)過億

Goldoson是另外一種應(yīng)該關(guān)注的Android惡意軟件，這種攻擊可以利用60多個(gè)流行的應(yīng)用程序，目前累計(jì)下載量已超過1億次。據(jù)發(fā)現(xiàn)Goldoson的McAfee研究團(tuán)隊(duì)表示，該惡意軟件可以收集有關(guān)已安裝應(yīng)用程序、WiFi和藍(lán)牙連接設(shè)備以及用戶GPS位置的數(shù)據(jù)。此外，它還可以在未經(jīng)用戶同意的情況下，自動(dòng)在后臺(tái)點(diǎn)擊付費(fèi)廣告來進(jìn)行廣告欺詐。

4

Rhadamanthys：更高級(jí)的信息竊取軟件

Rhadamanthys是一款更加高級(jí)的信息竊取軟件，于2022年9月在暗網(wǎng)上首次發(fā)布，并快速受到非法攻擊者的追捧。Rhadamanthys主要通過谷歌廣告分發(fā)，并將受感染的用戶重新定向到偽造的網(wǎng)絡(luò)釣魚網(wǎng)頁。這些廣告主要針對(duì)個(gè)人在線消費(fèi)者，同時(shí)也可以用于攻擊企業(yè)組織，此時(shí)它會(huì)通過垃圾郵件傳播，并在其中包含帶有惡意負(fù)載的附件。

作為一個(gè)信息竊取器，Rhadamanthys會(huì)從受害者處收集盡可能多的信息，包括用戶名、隨機(jī)存儲(chǔ)器（RAM）、CPU信息、瀏覽歷史、cookies、登錄憑據(jù)等，甚至受害者的電腦屏幕也會(huì)被截屏，這些信息都會(huì)被自動(dòng)轉(zhuǎn)發(fā)到攻擊者控制的服務(wù)器上。在進(jìn)一步的攻擊行動(dòng)中，攻擊者可以使用這些信息進(jìn)行身份盜竊，竊取銀行賬戶或從事其他惡意活動(dòng)。

5

Pipedream：以工業(yè)控制系統(tǒng)為目標(biāo)

Pipedream是由非法攻擊組織CHERNOVITE開發(fā)的一款針對(duì)工業(yè)控制系統(tǒng)，并具有跨行業(yè)破壞能力的ICS/OT惡意軟件。它采用了模塊化的ICS攻擊框架，攻擊者可以利用它來根據(jù)不同目標(biāo)和環(huán)境發(fā)起特定的攻擊。Pipedream的存在表明，今天的惡意軟件攻擊能力已經(jīng)大大增加。除了實(shí)現(xiàn)常見的ICS/OT特定協(xié)議外，Pipedream還可以給攻擊者提供豐富的選項(xiàng)，為未來的破壞性攻擊提供更充分的信息，并最終使網(wǎng)絡(luò)攻擊者能夠制造大規(guī)模的混亂和破壞。

6

Evil Extractor：善于偽裝的“教育工具”

Evil Extractor惡意軟件最初是由一家名為Kodex的公司開發(fā)，該公司稱其為“教育工具”。根據(jù)安全研究人員的說法，它通常被偽裝成一個(gè)合法文件。但它一旦被受害者加載，就會(huì)利用PowerShell進(jìn)行惡意攻擊目的。正如它的名字一樣，Evil Extractor的惡意活動(dòng)包括從端點(diǎn)提取敏感信息，并將其發(fā)送到威脅行為者的FTP服務(wù)器。Evil Extractor還可以執(zhí)行勒索軟件攻擊，并索要比特幣贖金來換取解密密鑰。

7

LockBit：最危險(xiǎn)的勒索攻擊威脅

LockBit勒索軟件于2019年首次浮出水面，由于其不斷采用新的策略、技術(shù)和支付方式，經(jīng)不斷發(fā)展和演變，現(xiàn)已成為勒索軟件領(lǐng)域作案最為頻繁的威脅團(tuán)伙之一，也被研究人員列為當(dāng)前“最危險(xiǎn)的惡意軟件威脅之一”。LockBit勒索軟件與其他勒索軟件的關(guān)鍵區(qū)別在于，在勒索策略上已經(jīng)開始資本化發(fā)展，成為一款勒索軟件即服務(wù)（RaaS）產(chǎn)品。同時(shí)，該團(tuán)伙還一直將工業(yè)基礎(chǔ)設(shè)施作為重點(diǎn)關(guān)注的攻擊目標(biāo)。

8

Mirai僵尸網(wǎng)絡(luò)：助推DDos攻擊

Mirai僵尸網(wǎng)絡(luò)首次出現(xiàn)于2016年8月，并被廣泛用于針對(duì)各大網(wǎng)站、企業(yè)網(wǎng)絡(luò)和其他信息基礎(chǔ)設(shè)施發(fā)動(dòng)大規(guī)模DDoS攻擊。Mirai惡意軟件善于利用各種技術(shù)上的漏洞來非法控制計(jì)算設(shè)備，并將這些設(shè)備連接在一起，形成一個(gè)龐大的僵尸網(wǎng)絡(luò)系統(tǒng)，而被劫持的設(shè)備會(huì)被編程以執(zhí)行進(jìn)一步的網(wǎng)絡(luò)攻擊。就在最近，研究人員觀察到Mirai僵尸網(wǎng)絡(luò)的一些新動(dòng)態(tài)，它正在積極利用TP-Link Archer A21（AX1800）WIFI路由器漏洞。盡管目前的Mirai僵尸網(wǎng)絡(luò)活動(dòng)主要還是針對(duì)一些東歐地區(qū)國家，但其可能會(huì)快速向全球蔓延。

9

CV惡意軟件：輕松繞過主流的防病毒工具

顧名思義，CV（簡(jiǎn)歷）惡意軟件通過受感染或偽造的簡(jiǎn)歷文件來運(yùn)行，并將惡意軟件投遞到受害者的系統(tǒng)。研究人員發(fā)現(xiàn)，CV惡意軟件可以繞過50多種不同的殺毒軟件應(yīng)用程序，其開發(fā)者可能針對(duì)主流的反病毒產(chǎn)品都進(jìn)行了逆向工程，以確保CV惡意軟件工具可以逃脫檢測(cè)。需要指出的是，CV惡意軟件是惡意軟件的通用類別，同時(shí)也是一種特定的惡意軟件類型。這種惡意軟件會(huì)有許多不同的版本變異，研究人員建議企業(yè)用戶要對(duì)各種形式的CV惡意軟件保持警惕。

10

AI惡意軟件：網(wǎng)絡(luò)攻防的下一站

網(wǎng)絡(luò)攻擊者現(xiàn)在正在積極利用人工智能技術(shù)，創(chuàng)建由AI驅(qū)動(dòng)的，具有高度規(guī)避能力的惡意軟件和勒索軟件。這種軟件可以分析企業(yè)信息化系統(tǒng)的防御機(jī)制，并迅速偽裝成合法的通信模式，以逃避安全檢測(cè)。在過去的2022年，各種和AI技術(shù)利用相關(guān)的網(wǎng)絡(luò)威脅也引起了安全專家們的高度關(guān)注，企業(yè)組織也必須努力了解最新的AI網(wǎng)絡(luò)威脅形勢(shì)，并采取相應(yīng)的安全措施。