?透析惡意軟件“四大家族”
責編:gltian |2024-11-19 14:51:08在數字化時代,網絡安全的威脅日益嚴峻,惡意軟件的種類和復雜性不斷增加。2024 年,惡意軟件家族BlackLotus 、Emotet 、Beep 和Dark Pink正以其獨特的攻擊手法和隱蔽性,成為各行業組織面臨的巨大威脅。無論是通過繞過固件安全、實施精巧的網絡釣魚,還是利用模塊化設計進行定制化攻擊,這些惡意軟件不僅威脅著企業的運營安全,也對國家安全構成了潛在風險。
通過理解這些惡意軟件的行為和演變,安全團隊可以有效地預見和減輕這些高級威脅帶來的風險。
了解惡意軟件“四大家族“
SC Media指出, BlackLotus 、Emotet 、Beep 和Dark Pink是2024年威脅最大的惡意軟件家族。每個惡意軟件家族都在不斷演變其戰術,了解這些惡意軟件的行為、動機和目標,已成為企業和安全團隊構建有效防御策略的關鍵。
1、BlackLotus:引導程序黑馬
BlackLotus 已成為首個已知能夠繞過安全啟動的惡意軟件,針對現代 Windows 系統的統一可擴展固件接口(UEFI)層。通過嵌入固件,它能夠規避標準檢測并在重啟后保持持久性。這種深層系統妥協使攻擊者能夠長期訪問,以進行間諜活動、破壞或勒索操作。
BlackLotus 將理論變為現實,通過繞過安全啟動保護實現 UEFI 引導程序攻擊。其使用反分析功能使其難以被檢測,其跨平臺能力威脅到依賴系統正常運行和保證安全性的行業,如關鍵基礎設施、金融服務和醫療保健。
BlackLotus 以系統底層安全為目標,導致傳統防御措施失效。它對政府、金融和國防等高監管和高安全要求的行業構成重大威脅。它在高度敏感環境中能夠持續不被檢測的能力,標志著固件級攻擊的升級,要求情報機構和私營組織重新評估硬件和固件安全措施。
為了防御 BlackLotus,組織應優先進行 UEFI 更新,實施固件安全控制,并定期進行系統審計。多因素身份驗證和基于硬件的安全措施(如受信任的平臺模塊 TPM)至關重要。
2、Emotet:持久的網絡釣魚者
Emotet 曾是一種銀行木馬,現已演變為多功能惡意軟件平臺,通過帶有惡意附件的網絡釣魚電子郵件進行傳播。Emotet 還充當其他惡意軟件的傳播機制,包括勒索軟件,通過電子郵件劫持將自身嵌入合法商業對話中。
該惡意軟件在電子郵件劫持和社交工程策略中的作用變得日益復雜,使得網絡釣魚電子郵件更難以檢測。金融服務和法律領域依賴通信的行業尤其容易受到攻擊。
Emotet 作為惡意軟件傳播平臺的角色及其嵌入受信任電子郵件線程的能力,使其成為一個重要的情報威脅,尤其是在數據保密性至關重要的行業。情報團隊應監控其與其他惡意軟件運營者的合作關系,因為 Emotet 通常作為更大規模勒索軟件或數據外泄活動的門戶。
組織應加強網絡釣魚防御,收緊電子郵件過濾,并培訓用戶識別可疑電子郵件。限制宏使用和附件處理可以減少暴露風險。
3、Beep:靜默入侵者
Beep 惡意軟件旨在隱蔽性強,采用延遲執行等技術以避免沙箱檢測。它通過模塊化組件傳遞惡意負載,允許攻擊者根據目標環境定制攻擊。Beep增強了其模塊化,使得部署多樣化的惡意負載變得更加容易。它主要針對缺乏嚴格端點監控的 Windows 企業系統,尤其是在零售、物流和制造等行業。
該惡意軟件專注于規避檢測和模塊化,給傳統檢測方法帶來了挑戰。它代表了一種日益增長的惡意軟件即服務(MaaS)趨勢,多個威脅行為者可以利用該趨勢進行間諜或勒索活動。其隱蔽能力對管理敏感數據或知識產權的行業尤其令人擔憂。
安全團隊應投資于行為分析工具,并監控網絡流量中的異常情況。通過反規避機制加強端點檢測將有助于減輕 Beep 的風險。
4、Dark Pink:區域間諜專家
Dark Pink,也被稱為Saaiwc組,是一個APT間諜組織。該組織主要在亞太地區活動,針對政府機構、軍事組織和非政府組織(NGO),通過網絡釣魚電子郵件和 DLL 側加載等技術進行攻擊。
該惡意軟件已將目標擴展到包括能源和技術等關鍵行業的研究組織和私營企業。這些惡意軟件使用基于云的服務和加密通信通道,使得檢測變得更加復雜。
Dark Pink 專注于間諜活動,尤其是在地緣政治敏感地區,引發了國家安全擔憂。其轉向針對能源和技術行業的攻擊,表明其更廣泛的情報戰略,旨在通過數據盜竊獲得戰略優勢。情報機構和網絡安全團隊應優先監控其活動,特別是在高風險地區。
安全團隊應加強對網絡釣魚攻擊的防御,并監控異常文件活動。政府機構和關鍵行業的企業應增強對間諜驅動惡意軟件的保護。
惡意軟件發展的四大趨勢
綜上所述,安全牛總結分析了這四種惡意軟件在攻擊手法、目標行業和隱蔽性方面存在一些共同點:一是所有惡意軟件都在不斷演變,以規避檢測和利用受信任的安全機制;二是它們都針對高價值目標,尤其是在金融、政府和關鍵基礎設施等行業;三是這些惡意軟件的攻擊手法越來越復雜,利用社交工程和模塊化設計來增強其隱蔽性和靈活性。
從惡意軟件“四大家族”的關鍵特性,我們也可以觀察到當前惡意軟件發展的一些重要趨勢:
1、固件攻擊的上升
隨著 BlackLotus 等惡意軟件的出現,固件攻擊逐漸成為網絡攻擊的新前沿。攻擊者通過針對 UEFI 和固件層面進行深度滲透,能夠繞過傳統的安全防護措施,導致更難以檢測和響應的長期威脅。這種趨勢促使企業必須重新評估其固件安全策略。CISA建議企業定期更新固件,實施多因素身份驗證,并加強對固件的監控,以防止潛在的固件攻擊。
2、惡意軟件即服務模型的興起
Beep 等惡意軟件的模塊化設計表明,惡意軟件即服務(MaaS)模型正在興起,允許多個威脅行為者根據需要定制和部署攻擊MaaS平臺,使得即使是技術不熟練的攻擊者,也能輕松獲取和使用惡意軟件,降低了網絡犯罪的技術門檻。企業應關注這一趨勢,考慮采用更為靈活的安全防護措施,以應對不斷變化的攻擊手法。
3、社交工程的復雜化
Emotet 的演變顯示出社交工程攻擊的復雜性正在增加,攻擊者利用更精細的釣魚手法和電子郵件劫持技術,使得識別和防御變得更加困難。PhishLabs的研究顯示,2023年社交工程攻擊占所有成功攻擊的43%。為此,企業應加強員工培訓,提高對社交工程攻擊的警惕性,并實施更嚴格的電子郵件過濾和監控措施。
4、針對特定行業的定制攻擊
Dark Pink 等APT 組織的活動表明,針對特定行業(如能源和技術)的定制攻擊正在增加,攻擊者通過深入了解目標行業的運作方式來制定更有效的攻擊策略。根據KnowBe4的研究,從2023年1月至2024年1月期間,全球關鍵基礎設施遭受了超過4.2億次網絡攻擊,比上一年增長了30%。企業應加強對行業特定威脅的監控,定期進行安全評估,以識別潛在的攻擊風險。
企業應對惡意軟件的策略重點
面對這些惡意軟件的威脅,企業應采取以下措施:
1、加強固件和 UEFI 安全
組織應優先更新 UEFI 和固件設置,實施固件安全控制,并定期進行系統審計。根據 CISA ? ? ? 的建議,企業應確保固件的完整性,定期檢查固件更新,并實施多因素身份驗證,以防止未授權訪問。
2、強化網絡釣魚防御
加強網絡釣魚檢測,收緊電子郵件過濾,培訓用戶識別可疑電子郵件,限制宏使用和附件處理。根據 FBI 的建議,企業應定期進行網絡釣魚模擬測試,以提高員工的警惕性和應對能力。
3、投資行為分析工具
監控網絡流量異常,增強端點檢測,特別是針對隱蔽性強的惡意軟件如 Beep 。行為分析工具通過實時監控、減少誤報、增強適應性、提高內部威脅檢測能力以及預測未來威脅等多種方式,顯著提高了網絡安全中的檢測率。
4、關注間諜活動威脅
對于在地緣政治敏感地區運營的企業,必須增強對間諜驅動惡意軟件的防御。企業應加強對外部威脅的監控,定期進行安全評估,并與政府機構合作,共同應對網絡安全挑戰。
未來,企業應不斷關注惡意軟件的持續演變和新興攻擊手法,以保持安全防護的有效性。