2022年的5大威脅將繼續(xù)影響2023年

深入研究并準(zhǔn)備好應(yīng)對(duì)本文提到的五種威脅，你將能更好地保護(hù)企業(yè)的網(wǎng)絡(luò)、資產(chǎn)和員工。

威脅形勢(shì)是高度多樣化的，攻擊的復(fù)雜程度也從最基本的騙局發(fā)展為國(guó)家級(jí)別的網(wǎng)絡(luò)間諜活動(dòng)。企業(yè)需要優(yōu)先考慮可能影響業(yè)務(wù)運(yùn)營(yíng)和員工安全的最常見(jiàn)威脅，并部署針對(duì)性防御措施。

網(wǎng)絡(luò)安全公司Malwarebytes在其最新發(fā)布的《年度惡意軟件狀態(tài)報(bào)告》中，選擇了五種威脅，他們認(rèn)為這些威脅是2022年觀察到的一些最常見(jiàn)的惡意軟件家族的原型：

·LockBit勒索軟件

·Emotet僵尸網(wǎng)絡(luò)

·SocGholish網(wǎng)頁(yè)掛馬攻擊/過(guò)路式下載攻擊（drive-by download）

·Android木馬

·macOS Genio廣告軟件

該公司在報(bào)告中指出，“想要在2023年剩余的時(shí)間里保護(hù)業(yè)務(wù)正常運(yùn)營(yíng)，你需要明白一點(diǎn)：你將面臨的最危險(xiǎn)的網(wǎng)絡(luò)威脅并非你所見(jiàn)過(guò)的最奇怪的攻擊，也非最復(fù)雜或最引人注目的攻擊，它們甚至并非最普遍的攻擊。相反地，這些最危險(xiǎn)的威脅往往來(lái)自一系列已知的、成熟的工具和策略，整個(gè)網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)都依賴這些工具和策略，且每年從中獲利數(shù)十億美元?！?/p>

勒索軟件之王LockBit

去年，勒索軟件威脅形勢(shì)發(fā)生了巨大變化，像Conti這樣非常成功的團(tuán)伙關(guān)閉了業(yè)務(wù)。這一空白很快被大量其他規(guī)模較小的組織填補(bǔ)。到目前為止，最突出的是LockBit，這是一家勒索軟件即服務(wù)（RaaS）公司，它迅速創(chuàng)新并吸引了大量的附屬機(jī)構(gòu)。

附屬機(jī)構(gòu)是地下網(wǎng)絡(luò)犯罪組織的雇傭兵。無(wú)論是單獨(dú)的黑客還是專業(yè)的個(gè)人團(tuán)體，他們主要負(fù)責(zé)處理入侵的初始訪問(wèn)和橫向移動(dòng)等任務(wù)，然后部署與他們相關(guān)的勒索軟件程序，以獲得受害者支付的很大一部分贖金。同時(shí)，勒索軟件的開(kāi)發(fā)者負(fù)責(zé)提供軟件本身、后端基礎(chǔ)設(shè)施，并處理與受害者的談判過(guò)程。

LockBit并非一種新型威脅，它自2019年以來(lái)就已經(jīng)存在了，最初的名字是ABCD。在成立后的頭兩年里，它們?cè)贛aze、Ryuk和Conti等更大、更多產(chǎn)的組織面前可謂黯然失色，后者也成功地吸引了大部分黑客人才。但這種情況在2021年隨著LockBit 2.0的發(fā)布開(kāi)始發(fā)生改變，并在去年LockBit 3.0推出時(shí)真正呈現(xiàn)爆發(fā)態(tài)勢(shì)。現(xiàn)在的整個(gè)附屬計(jì)劃進(jìn)行了大量修改，使其對(duì)在Conti消亡后尋找工作的附屬機(jī)構(gòu)而言更有吸引力。

Malwarebytes的研究人員稱，LockBit花了很多精力向附屬機(jī)構(gòu)推銷自己，維護(hù)一個(gè)光鮮的暗網(wǎng)網(wǎng)站，搞公關(guān)噱頭，并為發(fā)現(xiàn)軟件缺陷的人支付漏洞獎(jiǎng)金。它聲稱自己已擁有100個(gè)附屬機(jī)構(gòu)。因此，如果其中一個(gè)被捕獲，LockBit的運(yùn)營(yíng)也不會(huì)中斷。

根據(jù)Malwarebytes的遙測(cè)數(shù)據(jù)顯示，LockBit是去年迄今為止最活躍的勒索軟件，受害者數(shù)量是第二活躍的勒索軟件ALPHV的3.5倍?？傮w而言，2022年三分之一的勒索事件涉及LockBit，該團(tuán)伙索要的最高贖金為5000萬(wàn)美元。LockBit的附屬機(jī)構(gòu)旨在攻擊所有類型的企業(yè)——從小型律師事務(wù)所到大型跨國(guó)公司——并使用各種方法獲得初始訪問(wèn)權(quán)限，從濫用弱遠(yuǎn)程訪問(wèn)憑據(jù)（RDP和VPN），到利用面向公眾的系統(tǒng)的漏洞，再到帶有惡意附件的釣魚電子郵件。成功入侵目標(biāo)后，便會(huì)銷毀備份并使用橫向移動(dòng)技術(shù)獲得域管理訪問(wèn)權(quán)。

惡意軟件研究人員表示，如果能夠理解并解決LockBit問(wèn)題，你將大大降低企業(yè)受到任何勒索軟件攻擊的風(fēng)險(xiǎn)。

不朽的僵尸網(wǎng)絡(luò)Emotet

地下網(wǎng)絡(luò)犯罪的另一個(gè)大玩家是Emotet，作為一個(gè)僵尸網(wǎng)絡(luò)，它是其他惡意軟件家族的傳播平臺(tái)，包括近年來(lái)最多產(chǎn)的一些勒索軟件和木馬程序。

從2014年開(kāi)始，Emotet經(jīng)歷了多次迭代，最初是一個(gè)銀行木馬——一個(gè)專注于竊取網(wǎng)上銀行憑證的程序。當(dāng)這一網(wǎng)絡(luò)犯罪分支變得不那么受歡迎時(shí)，僵尸網(wǎng)絡(luò)的所有者開(kāi)始將目光轉(zhuǎn)向了惡意軟件的傳播。Emotet的模塊化架構(gòu)使其非常靈活，易于定制不同的任務(wù)。

歐洲刑警組織曾將Emotet稱為“世界上最危險(xiǎn)的惡意軟件”。2021年，包括美國(guó)、英國(guó)、加拿大、德國(guó)和荷蘭在內(nèi)的多個(gè)國(guó)家的執(zhí)法機(jī)構(gòu)成功接管了該僵尸網(wǎng)絡(luò)的C2基礎(chǔ)設(shè)施?？上У氖?，拆除的喜悅只是短暫的，Emotet很快得以重建，凸顯出它的彈性。

2022年11月，該僵尸網(wǎng)絡(luò)在中斷四個(gè)月后，以新的迭代形式回歸，每天分發(fā)數(shù)十萬(wàn)封惡意電子郵件。使用電子郵件作為主要的傳遞機(jī)制，Emotet的創(chuàng)建者專門利用線程劫持和語(yǔ)言本地化等技術(shù)來(lái)發(fā)送垃圾郵件。最新的垃圾郵件活動(dòng)將包含惡意宏的Excel文件與存檔一起分發(fā)。

部署后，Emotet將在系統(tǒng)中刪除額外的惡意軟件。在過(guò)去，它曾安裝與Ryuk勒索軟件有密切關(guān)系的另一個(gè)僵尸網(wǎng)絡(luò)TrickBot。在最近的攻擊中，可以看到僵尸網(wǎng)絡(luò)丟棄了XMRig加密程序和IcedID木馬，后者本身與其他惡意軟件家族有關(guān)。Emotet還會(huì)從安裝在電腦上的Outlook帳戶中竊取聯(lián)系人，并使用它們發(fā)送更多的垃圾郵件，并試圖破解網(wǎng)絡(luò)共享的密碼。

Malwarebytes的研究人員指出，“因?yàn)镋motet病毒會(huì)非常兇猛地感染和重新感染其他機(jī)器，所以從企業(yè)中刪除Emotet病毒可能是一項(xiàng)極其復(fù)雜和代價(jià)高的任務(wù)。例如，在賓夕法尼亞州阿倫敦市，一次錯(cuò)誤的點(diǎn)擊便導(dǎo)致了病毒爆發(fā)，據(jù)報(bào)道花費(fèi)了100萬(wàn)美元才完成補(bǔ)救?！?/p>

就像LockBit是現(xiàn)代勒索軟件程序的原型一樣，Emotet也是僵尸網(wǎng)絡(luò)的原型，充當(dāng)惡意軟件傳遞平臺(tái)，是進(jìn)入企業(yè)網(wǎng)絡(luò)的初始訪問(wèn)提供商之一。

SocGholish網(wǎng)頁(yè)掛馬攻擊十分活躍

網(wǎng)頁(yè)掛馬攻擊，也稱過(guò)路式下載攻擊（Drive-by download），指的是通過(guò)網(wǎng)站而非電子郵件發(fā)送的惡意軟件威脅。在Java、Flash Player和Adobe Reader等瀏覽器插件的時(shí)代，這曾經(jīng)是一種流行的技術(shù)，因?yàn)楣粽呖梢岳眠@些插件的過(guò)時(shí)版本中的漏洞。然而，這種方法仍然在使用，即使它現(xiàn)在需要用戶交互和一點(diǎn)社交工程手段。

SocGholish是一種遠(yuǎn)程訪問(wèn)木馬（RAT），用作惡意軟件加載程序。它通常是通過(guò)虛假的彈出窗口傳播的，這些彈出窗口會(huì)顯示在受攻擊的網(wǎng)站上，或者通過(guò)惡意廣告?zhèn)鞑?。如果用戶接受了惡意的瀏覽器更新，他們通常會(huì)得到一個(gè)包含JavaScript文件的ZIP存檔。如果執(zhí)行，該文件將對(duì)機(jī)器和網(wǎng)絡(luò)執(zhí)行偵察，然后部署一些其他惡意軟件威脅，通常是勒索軟件。

Malwarebytes的研究人員警告稱，“SocGholish很簡(jiǎn)單，但它利用了社交工程和目標(biāo)指紋技術(shù)，其有效性足以危及知名公司，甚至關(guān)鍵的基礎(chǔ)設(shè)施。它的最終目標(biāo)是傳播勒索軟件，這是一個(gè)需要認(rèn)真對(duì)待的威脅?！?/p>

Android dropper

由于移動(dòng)設(shè)備在任何公司的設(shè)備中都占了很大比例，Android的威脅不應(yīng)被忽視。Android droppers是一種木馬程序，通常偽裝成合法應(yīng)用程序或付費(fèi)應(yīng)用程序的免費(fèi)版本，由第三方應(yīng)用商店和用戶可能訪問(wèn)的各種網(wǎng)站分發(fā)。

一般來(lái)說(shuō)，在Windows上安裝它們不像安裝惡意軟件那么容易，因?yàn)橛脩粜枰哪J(rèn)的安全設(shè)置并忽略警告，但在谷歌官方Play商店中也有惡意應(yīng)用程序被發(fā)現(xiàn)的案例。這些dropper可用于部署其他威脅，如隱藏廣告、銀行木馬和竊取密碼、電子郵件、錄制音頻和拍照的應(yīng)用程序。

Malwarebytes表示，在2022年，安卓系統(tǒng)檢測(cè)到的漏洞中，有14%是dropper。其他惡意軟件的傳播更為廣泛，但dropper對(duì)企業(yè)構(gòu)成的威脅最大。

廣告軟件是Mac電腦上最普遍的威脅

與Windows相比，macOS惡意軟件生態(tài)系統(tǒng)要小得多，但威脅確實(shí)存在。其中最常見(jiàn)的一種是廣告軟件（adware），即注入不必要廣告的應(yīng)用程序。macOS上最古老的此類程序之一叫做Genio，用于劫持瀏覽器搜索。

就像Android dropper一樣，大多數(shù)macOS廣告軟件和惡意軟件一般都是作為虛假應(yīng)用程序或更新分發(fā)的。Genio曾經(jīng)偽裝成Flash Player更新或捆綁視頻編解碼器，最近它開(kāi)始偽裝成PDF閱讀或視頻轉(zhuǎn)換應(yīng)用程序。

一旦部署了Genio，就很難刪除，因?yàn)樗浅７e極地隱藏自己。它會(huì)模仿系統(tǒng)文件和屬于其他應(yīng)用程序的文件，并使用代碼混淆。它還會(huì)向其他進(jìn)程注入庫(kù)，利用系統(tǒng)缺陷授予自己權(quán)限，未經(jīng)同意安裝瀏覽器擴(kuò)展，并操縱用戶的密碼密鑰鏈。

Malwarebytes的研究人員表示，盡管Genio被歸類為廣告軟件，但它也包含了一系列類似惡意軟件的行為，旨在隱藏自己以進(jìn)一步深入安裝它的計(jì)算機(jī)，穿透防御系統(tǒng)并危及安全。去年，在macOS上檢測(cè)到的威脅中，有10%是這種威脅。