惡意軟件是指那些能夠危害計算機設備功能、竊取數據、監視用戶并造成混亂的破壞性軟件程序,具體可細分為間諜軟件����、勒索軟件、病毒程序�、僵尸網絡�����、惡意廣告、鍵盤記錄程序和木馬軟件等����。這些惡意軟件通常會通過易受攻擊的軟件�、文件共享���、網站��、廣告����、電子郵件附件或惡意鏈接進行傳播���。
盡管很多企業為了應對惡意軟件威脅已經采取了大量措施和工作�,但是每天都會有新的惡意軟件樣本不斷被檢測到。這些層出不窮的惡意軟件能夠輕松繞過組織已有的防護措施���,對組織的數字化環境和應用系統構成了巨大的安全威脅。
<1>Rorschach:加密數據最快的勒索軟件
2023年初����,網絡安全公司Check Point的研究人員發現了一個勒索軟件新變種——Rorschach����。
Rorschach是迄今為止加密數據最快的勒索軟件�����。與其他勒索軟件不同的是����,Rorschach勒索病毒沒有與任何以前已知的勒索軟件集團關聯�����,因此這種惡意軟件威脅在技術上具有很多獨特的功能,不僅具有自我傳播能力�,而且還從LockBit v2.0���、Babuk和Darkside等主要勒索軟件變種中引入了一些功能�,大大提高了勒索攻擊的能力門檻���。
Rorschach調用API函數將shellcode注入白進程notepad.exe的內存中��,從而實現在目標進程的上下文中執行任意代碼�,該操作能夠繞過一些殺毒軟件��、防火墻等的安全措施���。
<2>Chameleon:移動應用領域的新威脅
Chameleon(變色龍)惡意軟件是由網絡安全公司Cyble在今年初發現的一種新型安卓惡意軟件�,可以冒充澳大利亞政府機構CoinSpot加密貨幣交易所和IKO銀行�����,通過受損網站���、Discord附件和Bitbucket托管服務進行分發���,對受害用戶展開網絡攻擊��。
Cyble安全研究人員表示, Chameleon主要通過疊加注入和密鑰記錄�、Cookie和受感染設備的短信竊取用戶憑據。該惡意軟件有很強的逃避安全檢查能力,一旦啟動后會立即執行各種“檢查”����,以逃避安全軟件的檢測����,并會賦予自己更多的權限�����。Chameleon惡意軟件的出現凸顯了移動應用領域惡意軟件風險的增長趨勢��。
<3>Goldoson:下載量已經過億
Goldoson是另外一種應該關注的Android惡意軟件�����,這種攻擊可以利用60多個流行的應用程序,目前累計下載量已超過1億次。據發現 Goldoson的McAfee研究團隊表示�����,該惡意軟件可以收集有關已安裝應用程序����、WiFi和藍牙連接設備以及用戶GPS位置的數據。此外,它還可以在未經用戶同意的情況下�,自動在后臺點擊付費廣告來進行廣告欺詐�����。
<4>Rhadamanthys:更高級的信息竊取軟件
Rhadamanthys是一款更加高級的信息竊取軟件,于2022年9月在暗網上首次發布�����,并快速受到非法攻擊者的追捧���。Rhadamanthys主要通過谷歌廣告分發����,并將受感染的用戶重新定向到偽造的網絡釣魚網頁���。這些廣告主要針對個人在線消費者��,同時也可以用于攻擊企業組織��,此時它會通過垃圾郵件傳播,并在其中包含帶有惡意負載的附件��。
作為一個信息竊取器����,Rhadamanthys會從受害者處收集盡可能多的信息,包括用戶名����、隨機存儲器(RAM)��、CPU信息、瀏覽歷史�����、cookies���、登錄憑據等��,甚至受害者的電腦屏幕也會被截屏�,這些信息都會被自動轉發到攻擊者控制的服務器上�����。在進一步的攻擊行動中,攻擊者可以使用這些信息進行身份盜竊��,竊取銀行賬戶或從事其他惡意活動���。
<5>Pipedream:以工業控制系統為目標
PIPEDREAM是威脅組織CHERNOVITE開發的針對工業控制系統的惡意軟件���。PIPEDREAM是一個模塊化的ICS攻擊框架�,攻擊者可以利用它來根據目標和環境造成中斷或破壞。
CHERNOVITE組織的PIPEDREAM惡意軟件可以執行38%的已知ICS攻擊技術和83%的已知ICS攻擊戰術�����。PIPEDREAM可以操縱各種工業控制PLC和工業軟件,包括歐姆龍(Omron)和施耐德(Schneider)控制器����,并且可以攻擊無處不在的工業技術���,包括CODESYS��、Modbus和OPC UA?����?傊?,PIPEDREAM可以影響全球相當大比例的工業資產。PIPEDREAM目前沒有利用任何Schneider或Omron漏洞�,而是利用本機功能��。
雖然CHERNOVITE專門針對施耐德電氣和歐姆龍PLC,但也可能有針對其他供應商的其他模塊����,并且PIPEDREAM的功能可以在數百個不同的控制器上運行。因此��,將重點放在設備供應商上是錯誤的�����,而應將重點放在攻擊者正在利用的戰術和技術上�。
CHERNOVITE能夠枚舉工業環境����、滲透工程工作站、利用過程控制器、跨越安全和流程區域��、從根本上禁用控制器�、并操縱執行的邏輯和編程。所有這些能力都可能導致工業環境失去安全性、可用性和控制力���,從而大大增加恢復時間,同時可能使生命、生計和社區面臨風險��。
圖2 CHERNOVITE模型圖
<6>Evil Extractor:善于偽裝的“教育工具”
Evil Extractor惡意軟件最初是由一家名為Kodex的公司開發��,該公司稱其為“教育工具”����。根據安全研究人員的說法�,它通常被偽裝成一個合法文件。但它一旦被受害者加載��,就會利用PowerShell進行惡意攻擊目的�����。正如它的名字一樣����,Evil Extractor的惡意活動包括從端點提取敏感信息���,并將其發送到威脅行為者的FTP服務器����。
EvilExtractor還具有勒索軟件功能�����,它被稱為“Kodex勒索軟件”��,如下圖所示。我們從上一節提到的.net加載程序中提取了此PowerShell腳本����,其勒索軟件的腳本與其竊取程序的腳本相似�。
Kodex勒索信息:
<7>LockBit:最危險的勒索攻擊威脅
LockBit勒索軟件于2019年首次浮出水面���,由于其不斷采用新的策略����、技術和支付方式�����,經不斷發展和演變,現已成為勒索軟件領域作案最為頻繁的威脅團伙之一,也被研究人員列為當前“最危險的惡意軟件威脅之一”�����。LockBit勒索軟件與其他勒索軟件的關鍵區別在于���,在勒索策略上已經開始資本化發展��,成為一款勒索軟件即服務(RaaS)產品。同時��,該團伙還一直將工業基礎設施作為重點關注的攻擊目標���。
勒索信息:
<8>Mirai僵尸網絡:助推DDos攻擊
Mirai僵尸網絡首次出現于2016年8月�,并被廣泛用于針對各大網站、企業網絡和其他信息基礎設施發動大規模DDoS攻擊����。Mirai惡意軟件善于利用各種技術上的漏洞來非法控制計算設備�����,并將這些設備連接在一起,形成一個龐大的僵尸網絡系統�,而被劫持的設備會被編程以執行進一步的網絡攻擊�����。就在最近,研究人員觀察到Mirai僵尸網絡的一些新動態�����,它正在積極利用TP-Link Archer A21(AX1800)WIFI路由器漏洞����。盡管目前的Mirai僵尸網絡活動主要還是針對一些東歐地區國家,但其可能會快速向全球蔓延�。
<9>CV惡意軟件:輕松繞過主流的防病毒工具
顧名思義�,CV(簡歷)惡意軟件通過受感染或偽造的簡歷文件來運行��,并將惡意軟件投遞到受害者的系統����。研究人員發現�,CV惡意軟件可以繞過50多種不同的殺毒軟件應用程序��,其開發者可能針對主流的反病毒產品都進行了逆向工程�����,以確保CV惡意軟件工具可以逃脫檢測。需要指出的是,CV惡意軟件是惡意軟件的通用類別,同時也是一種特定的惡意軟件類型���。這種惡意軟件會有許多不同的版本變異,研究人員建議企業用戶要對各種形式的CV惡意軟件保持警惕。
<10>AI惡意軟件:網絡攻防的下一站
網絡攻擊者現在正在積極利用人工智能技術���,創建由AI驅動的,具有高度規避能力的惡意軟件和勒索軟件��。這種軟件可以分析企業信息化系統的防御機制��,并迅速偽裝成合法的通信模式���,以逃避安全檢測��。在過去的2022年,各種和AI技術利用相關的網絡威脅也引起了安全專家們的高度關注�,企業組織也必須努力了解最新的AI網絡威脅形勢�����,并采取相應的安全措施。
400-001-9776
