Check Point的數(shù)據(jù)顯示,F(xiàn)akeUpdates、Qbot和Formbook等惡意軟件在全球范圍內(nèi)廣泛傳播,感染了大量組織。ESET的報(bào)告也指出,惡意的Chrome瀏覽器擴(kuò)展和偽裝為AI軟件的安裝程序等新型威脅層出不窮。面對這些日益復(fù)雜的威脅,對惡意軟件的了解和防御措施變得尤為重要。
以下是2024年十大最危險的惡意軟件:
一、BlackLotus:首個繞過安全啟動的UEFI引導(dǎo)程序
BlackLotus是首個已知能夠繞過安全啟動(Secure Boot)的惡意軟件,直接攻擊現(xiàn)代Windows系統(tǒng)的統(tǒng)一可擴(kuò)展固件接口(UEFI)層。通過嵌入固件中,它能夠避開常規(guī)檢測,并在系統(tǒng)重啟后仍保持持久性。這種深層次的系統(tǒng)妥協(xié)使攻擊者能夠長期訪問受害系統(tǒng),用于間諜活動、破壞或勒索軟件操作。
防御措施:
- 固件更新:定期更新UEFI固件,確保修補(bǔ)已知漏洞。
- 多因素認(rèn)證:實(shí)施多因素認(rèn)證,增加未經(jīng)授權(quán)訪問的難度。
- 硬件安全模塊:利用可信平臺模塊(TPM)等硬件安全技術(shù),增強(qiáng)系統(tǒng)安全性。
- 系統(tǒng)完整性監(jiān)控:部署支持UEFI完整性驗(yàn)證的工具。
二、Emotet:持續(xù)進(jìn)化的釣魚高手
Emotet最初是一個銀行木馬,現(xiàn)已演變?yōu)槎喙δ艿膼阂廛浖脚_,因其高效的“敏捷開發(fā)”能力在業(yè)界聞名,主要通過帶有惡意附件的釣魚郵件傳播。Emotet還充當(dāng)其他惡意軟件的傳送工具,包括勒索軟件,能夠通過劫持電子郵件對話嵌入到合法的業(yè)務(wù)溝通中。
防御措施:
- 電子郵件過濾:使用高級反垃圾郵件過濾器,攔截含有惡意附件或鏈接的郵件。
- 網(wǎng)絡(luò)釣魚培訓(xùn):定期培訓(xùn)員工識別釣魚郵件,提高安全意識。
- 禁用宏功能:限制Microsoft Office中宏的使用,防止惡意代碼執(zhí)行。
- 端點(diǎn)檢測和響應(yīng)(EDR):實(shí)時檢測和響應(yīng)潛在威脅。
三、Beep:靜默入侵者
Beep惡意軟件以其隱蔽性著稱,采用延遲執(zhí)行等技術(shù)來避免被沙箱檢測。它通過模塊化組件傳送惡意負(fù)載,使攻擊者能夠根據(jù)目標(biāo)環(huán)境定制攻擊。Beep主要針對Windows企業(yè)系統(tǒng),尤其是零售、物流和制造業(yè)等可能缺乏嚴(yán)格終端監(jiān)控的行業(yè)。
防御措施:
- 行為分析:投資于行為分析工具,監(jiān)控異常網(wǎng)絡(luò)活動。
- 終端檢測:加強(qiáng)終端檢測和響應(yīng)能力,部署反規(guī)避機(jī)制。
- 網(wǎng)絡(luò)監(jiān)控:持續(xù)監(jiān)控網(wǎng)絡(luò)流量,識別潛在的惡意活動。
- 模塊化分析:重點(diǎn)監(jiān)控系統(tǒng)中可疑模塊的加載和運(yùn)行情況。
四、Dark Pink:亞太地區(qū)的“王牌間諜”
DarkPink,又稱Saaiwc組織,是一個高級持續(xù)性威脅(APT)間諜組織,主要在亞太地區(qū)活動,針對政府機(jī)構(gòu)、軍事組織和非政府組織(NGO)。主要通過魚叉式釣魚郵件和DLL側(cè)加載等技術(shù)進(jìn)行攻擊。
防御措施:
- 魚叉式釣魚防御:加強(qiáng)對魚叉式釣魚攻擊的安全意識培訓(xùn)和技術(shù)防御,實(shí)施嚴(yán)格的電子郵件驗(yàn)證機(jī)制。
- 文件活動監(jiān)控:監(jiān)控異常的文件活動,及時發(fā)現(xiàn)潛在威脅。
- 郵件隔離:隔離并檢查外部不明郵件附件和鏈接。
- 情報(bào)共享:監(jiān)控已知APT組織的活動,及時更新相關(guān)指標(biāo)并與其他組織和機(jī)構(gòu)共享威脅情報(bào),提升整體防御能力。
五、FakeUpdates(又名SocGholish)瀏覽器殺手
用JavaScript編寫的下載器,在啟動有效負(fù)載之前將其寫入磁盤。通過許多其他惡意軟件導(dǎo)致進(jìn)一步的危害,包括GootLoader、Dridex、NetSupport、DoppelPaymer和AZORult。
防御措施:
- 瀏覽器更新:確保所有瀏覽器插件和擴(kuò)展保持最新,修復(fù)漏洞。
- 惡意軟件掃描:定期掃描系統(tǒng)中的潛在威脅。
- 域過濾:配置DNS過濾,屏蔽已知的惡意域。
- 限制安裝:僅允許安裝經(jīng)過批準(zhǔn)的瀏覽器擴(kuò)展。
六、Qbot(又名Qakbot)多用途惡意軟件
能夠旨在竊取用戶憑據(jù)、記錄擊鍵、竊取瀏覽器的cookie、監(jiān)視銀行活動以及部署其他惡意軟件。通常通過垃圾郵件進(jìn)行分發(fā),采用多種反虛擬機(jī)、反調(diào)試和反沙箱技術(shù)來阻礙分析和逃避檢測。
防御措施:
- 憑據(jù)管理器:使用密碼管理工具生成并存儲強(qiáng)密碼。
- 賬戶監(jiān)控:持續(xù)監(jiān)控賬戶活動,檢測異常登錄。
- 零信任架構(gòu):限制用戶和設(shè)備對系統(tǒng)資源的訪問權(quán)限。
- 登錄速率限制:對登錄嘗試次數(shù)進(jìn)行限制,防止暴力破解。
七、Formbook數(shù)據(jù)扒手
針對Windows操作系統(tǒng)的信息竊取程序,能夠從各種Web瀏覽器獲取憑據(jù)、收集屏幕截圖、監(jiān)控并記錄擊鍵,并可以根據(jù)其C&C的命令下載和執(zhí)行文件。
防御措施:
- 數(shù)據(jù)加密:對敏感數(shù)據(jù)進(jìn)行加密,降低泄露風(fēng)險。
- 限制腳本執(zhí)行:限制瀏覽器中自動執(zhí)行的JavaScript和插件。
- 用戶行為監(jiān)控:使用UEBA工具識別異常的用戶行為。
- 端到端保護(hù):部署能夠發(fā)現(xiàn)信息竊取行為的端點(diǎn)安全解決方案。
八、Nanocore遠(yuǎn)程訪問木馬
針對Windows操作系統(tǒng)用戶的遠(yuǎn)程訪問木馬,包含基本插件和功能,例如屏幕捕獲、加密貨幣挖掘、遠(yuǎn)程控制桌面和網(wǎng)絡(luò)攝像頭會話盜竊。
防御措施:
- 遠(yuǎn)程桌面安全:關(guān)閉不必要的遠(yuǎn)程桌面協(xié)議(RDP)端口。
- 登錄告警:對遠(yuǎn)程登錄嘗試啟用告警機(jī)制。
- 最小權(quán)限原則:為所有用戶和服務(wù)配置最少權(quán)限訪問。
- 設(shè)備隔離:對受感染的設(shè)備立即隔離并進(jìn)行徹底檢查。
九、AsyncRAT遠(yuǎn)程訪問木馬
針對Windows平臺的木馬,將目標(biāo)系統(tǒng)的系統(tǒng)信息發(fā)送到遠(yuǎn)程服務(wù)器,從服務(wù)器接收命令來下載并執(zhí)行插件、終止進(jìn)程、卸載/更新自身以及捕獲受感染系統(tǒng)的屏幕截圖。
防御措施:
- 網(wǎng)絡(luò)分段:將關(guān)鍵網(wǎng)絡(luò)分隔開,降低橫向移動風(fēng)險。
- 入侵檢測系統(tǒng)(IDS):配置IDS以識別異地登錄或異常流量。
- 定期漏洞評估:掃描網(wǎng)絡(luò)和設(shè)備,修補(bǔ)易被利用的漏洞。
- 限制外部命令和控制:封鎖已知的惡意命令和控制(C2)地址。
十、Remcos遠(yuǎn)程訪問木馬
可通過惡意微軟Office文檔進(jìn)行傳播,能夠繞過Microsoft Windows UAC安全性并以高級權(quán)限執(zhí)行惡意軟件。
防御措施:
- 文檔驗(yàn)證:對來自外部的文檔啟用沙箱運(yùn)行環(huán)境。
- 腳本阻斷:禁用文檔中的VBA腳本和宏。
- 防御繞過技術(shù):部署安全工具以檢測和阻止UAC繞過行為。
- 敏感數(shù)據(jù)隔離:將關(guān)鍵數(shù)據(jù)存儲在高度隔離的網(wǎng)絡(luò)環(huán)境中。
總結(jié)
面對日益復(fù)雜的惡意軟件威脅,企業(yè)應(yīng)采取情報(bào)驅(qū)動的主動防御策略,包括定期更新系統(tǒng)和軟件、加強(qiáng)網(wǎng)絡(luò)釣魚防御、實(shí)施多因素身份驗(yàn)證并投資行為分析工具,以檢測和阻止?jié)撛诘墓?。只有充分理解惡意軟件的行為和演變,安全團(tuán)隊(duì)才能有效預(yù)判并緩解其帶來的風(fēng)險。