2024年最危險的十大惡意軟件
責編:gltian |2024-11-18 11:18:452024年,惡意軟件持續演變,攻擊者不斷采用新技術和策略,增強隱蔽性和破壞力。
Check Point的數據顯示,FakeUpdates、Qbot和Formbook等惡意軟件在全球范圍內廣泛傳播,感染了大量組織。ESET的報告也指出,惡意的Chrome瀏覽器擴展和偽裝為AI軟件的安裝程序等新型威脅層出不窮。面對這些日益復雜的威脅,對惡意軟件的了解和防御措施變得尤為重要。
以下是2024年十大最危險的惡意軟件:
一、BlackLotus:首個繞過安全啟動的UEFI引導程序
BlackLotus是首個已知能夠繞過安全啟動(Secure Boot)的惡意軟件,直接攻擊現代Windows系統的統一可擴展固件接口(UEFI)層。通過嵌入固件中,它能夠避開常規檢測,并在系統重啟后仍保持持久性。這種深層次的系統妥協使攻擊者能夠長期訪問受害系統,用于間諜活動、破壞或勒索軟件操作。
防御措施:
- 固件更新:定期更新UEFI固件,確保修補已知漏洞。
- 多因素認證:實施多因素認證,增加未經授權訪問的難度。
- 硬件安全模塊:利用可信平臺模塊(TPM)等硬件安全技術,增強系統安全性。
- 系統完整性監控:部署支持UEFI完整性驗證的工具。
二、Emotet:持續進化的釣魚高手
Emotet最初是一個銀行木馬,現已演變為多功能的惡意軟件平臺,因其高效的“敏捷開發”能力在業界聞名,主要通過帶有惡意附件的釣魚郵件傳播。Emotet還充當其他惡意軟件的傳送工具,包括勒索軟件,能夠通過劫持電子郵件對話嵌入到合法的業務溝通中。
防御措施:
- 電子郵件過濾:使用高級反垃圾郵件過濾器,攔截含有惡意附件或鏈接的郵件。
- 網絡釣魚培訓:定期培訓員工識別釣魚郵件,提高安全意識。
- 禁用宏功能:限制Microsoft Office中宏的使用,防止惡意代碼執行。
- 端點檢測和響應(EDR):實時檢測和響應潛在威脅。
三、Beep:靜默入侵者
Beep惡意軟件以其隱蔽性著稱,采用延遲執行等技術來避免被沙箱檢測。它通過模塊化組件傳送惡意負載,使攻擊者能夠根據目標環境定制攻擊。Beep主要針對Windows企業系統,尤其是零售、物流和制造業等可能缺乏嚴格終端監控的行業。
防御措施:
- 行為分析:投資于行為分析工具,監控異常網絡活動。
- 終端檢測:加強終端檢測和響應能力,部署反規避機制。
- 網絡監控:持續監控網絡流量,識別潛在的惡意活動。
- 模塊化分析:重點監控系統中可疑模塊的加載和運行情況。
四、Dark Pink:亞太地區的“王牌間諜”
DarkPink,又稱Saaiwc組織,是一個高級持續性威脅(APT)間諜組織,主要在亞太地區活動,針對政府機構、軍事組織和非政府組織(NGO)。主要通過魚叉式釣魚郵件和DLL側加載等技術進行攻擊。
防御措施:
- 魚叉式釣魚防御:加強對魚叉式釣魚攻擊的安全意識培訓和技術防御,實施嚴格的電子郵件驗證機制。
- 文件活動監控:監控異常的文件活動,及時發現潛在威脅。
- 郵件隔離:隔離并檢查外部不明郵件附件和鏈接。
- 情報共享:監控已知APT組織的活動,及時更新相關指標并與其他組織和機構共享威脅情報,提升整體防御能力。
五、FakeUpdates(又名SocGholish)瀏覽器殺手
用JavaScript編寫的下載器,在啟動有效負載之前將其寫入磁盤。通過許多其他惡意軟件導致進一步的危害,包括GootLoader、Dridex、NetSupport、DoppelPaymer和AZORult。
防御措施:
- 瀏覽器更新:確保所有瀏覽器插件和擴展保持最新,修復漏洞。
- 惡意軟件掃描:定期掃描系統中的潛在威脅。
- 域過濾:配置DNS過濾,屏蔽已知的惡意域。
- 限制安裝:僅允許安裝經過批準的瀏覽器擴展。
六、Qbot(又名Qakbot)多用途惡意軟件
能夠旨在竊取用戶憑據、記錄擊鍵、竊取瀏覽器的cookie、監視銀行活動以及部署其他惡意軟件。通常通過垃圾郵件進行分發,采用多種反虛擬機、反調試和反沙箱技術來阻礙分析和逃避檢測。
防御措施:
- 憑據管理器:使用密碼管理工具生成并存儲強密碼。
- 賬戶監控:持續監控賬戶活動,檢測異常登錄。
- 零信任架構:限制用戶和設備對系統資源的訪問權限。
- 登錄速率限制:對登錄嘗試次數進行限制,防止暴力破解。
七、Formbook數據扒手
針對Windows操作系統的信息竊取程序,能夠從各種Web瀏覽器獲取憑據、收集屏幕截圖、監控并記錄擊鍵,并可以根據其C&C的命令下載和執行文件。
防御措施:
- 數據加密:對敏感數據進行加密,降低泄露風險。
- 限制腳本執行:限制瀏覽器中自動執行的JavaScript和插件。
- 用戶行為監控:使用UEBA工具識別異常的用戶行為。
- 端到端保護:部署能夠發現信息竊取行為的端點安全解決方案。
八、Nanocore遠程訪問木馬
針對Windows操作系統用戶的遠程訪問木馬,包含基本插件和功能,例如屏幕捕獲、加密貨幣挖掘、遠程控制桌面和網絡攝像頭會話盜竊。
防御措施:
- 遠程桌面安全:關閉不必要的遠程桌面協議(RDP)端口。
- 登錄告警:對遠程登錄嘗試啟用告警機制。
- 最小權限原則:為所有用戶和服務配置最少權限訪問。
- 設備隔離:對受感染的設備立即隔離并進行徹底檢查。
九、AsyncRAT遠程訪問木馬
針對Windows平臺的木馬,將目標系統的系統信息發送到遠程服務器,從服務器接收命令來下載并執行插件、終止進程、卸載/更新自身以及捕獲受感染系統的屏幕截圖。
防御措施:
- 網絡分段:將關鍵網絡分隔開,降低橫向移動風險。
- 入侵檢測系統(IDS):配置IDS以識別異地登錄或異常流量。
- 定期漏洞評估:掃描網絡和設備,修補易被利用的漏洞。
- 限制外部命令和控制:封鎖已知的惡意命令和控制(C2)地址。
十、Remcos遠程訪問木馬
可通過惡意微軟Office文檔進行傳播,能夠繞過Microsoft Windows UAC安全性并以高級權限執行惡意軟件。
防御措施:
- 文檔驗證:對來自外部的文檔啟用沙箱運行環境。
- 腳本阻斷:禁用文檔中的VBA腳本和宏。
- 防御繞過技術:部署安全工具以檢測和阻止UAC繞過行為。
- 敏感數據隔離:將關鍵數據存儲在高度隔離的網絡環境中。
總結
面對日益復雜的惡意軟件威脅,企業應采取情報驅動的主動防御策略,包括定期更新系統和軟件、加強網絡釣魚防御、實施多因素身份驗證并投資行為分析工具,以檢測和阻止潛在的攻擊。只有充分理解惡意軟件的行為和演變,安全團隊才能有效預判并緩解其帶來的風險。