在无休止的网络攻防大战中,恶意代码威胁一直在不断演变。与此同时,攻击的数量和速度都在飙升,受害者所付出的代价也在增加。据Cybersecurity Ventures发布的《2022年官方网络犯罪报告》预计,网络犯罪的成本将从2015年的3万亿美元飙升至2025年的10.5万亿美元。接下来,我们一起盘点下近期流行的恶意代码威胁。
近期流行的恶意代码威胁
(1)无文件攻击威胁陡增
最近基于无文件攻击的网络犯罪活动越来越多,一些网络犯罪团伙开发了各种基于无文件攻击的恶意软件攻击套件,这些恶意软件攻击套件可用于勒索病毒、挖矿病毒、RAT远控、僵尸网络等恶意软件,在过去的几年时间里,无文件感染技术已经成为了终端安全新威胁,同时无文件技术也被广泛应用于各类APT攻击活动。
在未来基于无文件攻击的网络犯罪活动依然会持续增加,并将成为主流的网络攻击方式之一,网络攻击犯罪团队可以通过这种方式,在受害者主机上留下最少的犯罪痕迹,受害者主机上无落地的PE恶意软件,恶意软件作者通过采用这种无文件攻击的方式逃避或推迟一些安全厂商安全产品的检测。
GandCrab勒索病毒大家已经非常熟悉了,此勒索病毒是全球危害最大扩散最广的勒索病毒,该勒索病毒就利用无文件的形式发起网络攻击活动,主要的攻击流程如下:
(2)多个攻击组织合作结盟开发恶意软件
在最近针对赌场运营商米高梅(MGM)和凯撒娱乐的攻击活动中,攻击者不仅利用社会工程伎俩欺骗了IT服务台,成功获取到非法的访问权限,同时,另一个更加令人不安的动向是,两起攻击事件的背后都有多个攻击组织的合作,包括讲英语的Scattered Spider黑客组织与讲俄语的Alphv勒索软件团伙。Scattered Spider使用了由Alphv提供的BlackCat勒索软件,而Alphv团伙的成员之前隶属DarkSide,该组织是Colonial Pipeline攻击的幕后黑手。欧美的黑客组织与讲俄语的黑客组织结盟合作在之前非常罕见,这或许会促使网络攻击的威胁态势往令人不安的新方向发展。
(3)出现新型逃逸型网络钓鱼攻击
最近,一种利用谷歌加速移动页面(AMP)的新型网络钓鱼策略已经进入威胁领域,并被证明在达到预定目标方面非常成功。谷歌AMP是由谷歌和30个合作伙伴共同开发的一个开源的HTML框架,旨在加快网页内容在移动设备上的加载速度。
通过分析发现,这些活动所涉的网站托管在Google.com或Google.co. uk上,这两个都被大多数用户认为是可信的域。这种网络钓鱼活动不仅使用Google AMP URL来规避检测,而且还结合了其他许多已知可以成功绕过电子邮件安全基础设施的战术、技术和程序(TTPs)。
(4)出现针对虚拟设备的RaaS勒索软件
勒索软件即服务(RaaS)已经将目标移到了VMware流行的ESXi虚拟机管理程序。2023年4月,一个名为MichaelKors的新RaaS团伙为其加盟者提供了针对Windows和ESXi/Linux系统的勒索软件二进制文件。使用专门针对ESXi的RaaS平台成为越来越吸引网络犯罪分子的新目标,原因是这些虚拟设备上缺少安全工具、对ESXi接口缺乏足够的网络分段,同时,大量的ESXi漏洞也让攻击者更容易得手。
(5)出现利用AI生成的恶意代码
AI人工智能带来新的安全威胁。首先是黑客利用人工智能开发恶意软件;他们还利用它来创建更多的网络钓鱼和诈骗信息,其内容准确地模仿了合法电子邮件的语言、语气和设计,将网络钓鱼和诈骗提升到了前所未有的水平。
生成式AI不仅提高了黑客的攻击速度和能力,还进一步扩大了攻击范围。黑客现在可以使用生成式AI来创建几乎任何语言的可信文本的网络钓鱼活动,包括那些迄今为止遭受攻击较少的语言。
利用AI的网络威胁SANS列举的“2023年最危险的5大网络攻击”中的第一大威胁。在RSAC 2023大会上,SANS漏洞研究人员Steven Sims展示了即使是非专业性的犯罪分子也开始尝试利用ChatGPT生成勒索软件代码,并已经在特定代码段中发现了由ChatGPT自动生成的零日漏洞。
下面是我们给出的一些对抗防御措施:
1、安装江民反病毒产品并将病毒库升级为最新版本,并定期进行全盘扫描。
2、在使用移动介质前,应对移动介质内文件进行扫描确认不携带病毒文件。
3、不打开陌生电子邮件,防止鱼叉式钓鱼式攻击。
4、及时更新操作系统及应用软件补丁,防止漏洞利用攻击。
5、为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
6、不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
7、定期进行目标机器的异常检查,包括是否出现新增账户、Guest是否被启用、系统日志是否存在异常、杀毒软件是否存在异常拦截等。
江民赤豹反病毒实验室专注反病毒技术研究,拥有自主研发的文件威胁检测引擎、AI威胁检测引擎、流迭代威胁检测引擎等多款反病毒引擎产品,形成了全平台的恶意代码防御体系,并针对日新月异的网络安全环境,提供安全事件应急响应、恶意代码分析处置等多种全服务。江民赤豹反病毒实验室致力于提供全面、系统、一体化的网络安全防护,为客户提供强大的技术支撑。