摘要: Check Point的数据显示,FakeUpdates、Qbot和Formbook等恶意软件在全球范围内广泛传播,感染了大量组织。ESET的报告也指出,恶意的Chrome浏览器扩展和伪装为AI软件的安装程序等新型威胁层出不穷。面对这些日益复杂的威胁,对恶意软...
Check Point的数据显示,FakeUpdates、Qbot和Formbook等恶意软件在全球范围内广泛传播,感染了大量组织。ESET的报告也指出,恶意的Chrome浏览器扩展和伪装为AI软件的安装程序等新型威胁层出不穷。面对这些日益复杂的威胁,对恶意软件的了解和防御措施变得尤为重要。
以下是2024年十大最危险的恶意软件:
一、BlackLotus:首个绕过安全启动的UEFI引导程序
BlackLotus是首个已知能够绕过安全启动(Secure Boot)的恶意软件,直接攻击现代Windows系统的统一可扩展固件接口(UEFI)层。通过嵌入固件中,它能够避开常规检测,并在系统重启后仍保持持久性。这种深层次的系统妥协使攻击者能够长期访问受害系统,用于间谍活动、破坏或勒索软件操作。
防御措施:
- 固件更新:定期更新UEFI固件,确保修补已知漏洞。
- 多因素认证:实施多因素认证,增加未经授权访问的难度。
- 硬件安全模块:利用可信平台模块(TPM)等硬件安全技术,增强系统安全性。
- 系统完整性监控:部署支持UEFI完整性验证的工具。
二、Emotet:持续进化的钓鱼高手
Emotet最初是一个银行木马,现已演变为多功能的恶意软件平台,因其高效的“敏捷开发”能力在业界闻名,主要通过带有恶意附件的钓鱼邮件传播。Emotet还充当其他恶意软件的传送工具,包括勒索软件,能够通过劫持电子邮件对话嵌入到合法的业务沟通中。
防御措施:
- 电子邮件过滤:使用高级反垃圾邮件过滤器,拦截含有恶意附件或链接的邮件。
- 网络钓鱼培训:定期培训员工识别钓鱼邮件,提高安全意识。
- 禁用宏功能:限制Microsoft Office中宏的使用,防止恶意代码执行。
- 端点检测和响应(EDR):实时检测和响应潜在威胁。
三、Beep:静默入侵者
Beep恶意软件以其隐蔽性著称,采用延迟执行等技术来避免被沙箱检测。它通过模块化组件传送恶意负载,使攻击者能够根据目标环境定制攻击。Beep主要针对Windows企业系统,尤其是零售、物流和制造业等可能缺乏严格终端监控的行业。
防御措施:
- 行为分析:投资于行为分析工具,监控异常网络活动。
- 终端检测:加强终端检测和响应能力,部署反规避机制。
- 网络监控:持续监控网络流量,识别潜在的恶意活动。
- 模块化分析:重点监控系统中可疑模块的加载和运行情况。
四、Dark Pink:亚太地区的“王牌间谍”
DarkPink,又称Saaiwc组织,是一个高级持续性威胁(APT)间谍组织,主要在亚太地区活动,针对政府机构、军事组织和非政府组织(NGO)。主要通过鱼叉式钓鱼邮件和DLL侧加载等技术进行攻击。
防御措施:
- 鱼叉式钓鱼防御:加强对鱼叉式钓鱼攻击的安全意识培训和技术防御,实施严格的电子邮件验证机制。
- 文件活动监控:监控异常的文件活动,及时发现潜在威胁。
- 邮件隔离:隔离并检查外部不明邮件附件和链接。
- 情报共享:监控已知APT组织的活动,及时更新相关指标并与其他组织和机构共享威胁情报,提升整体防御能力。
五、FakeUpdates(又名SocGholish)浏览器杀手
用JavaScript编写的下载器,在启动有效负载之前将其写入磁盘。通过许多其他恶意软件导致进一步的危害,包括GootLoader、Dridex、NetSupport、DoppelPaymer和AZORult。
防御措施:
- 浏览器更新:确保所有浏览器插件和扩展保持最新,修复漏洞。
- 恶意软件扫描:定期扫描系统中的潜在威胁。
- 域过滤:配置DNS过滤,屏蔽已知的恶意域。
- 限制安装:仅允许安装经过批准的浏览器扩展。
六、Qbot(又名Qakbot)多用途恶意软件
能够旨在窃取用户凭据、记录击键、窃取浏览器的cookie、监视银行活动以及部署其他恶意软件。通常通过垃圾邮件进行分发,采用多种反虚拟机、反调试和反沙箱技术来阻碍分析和逃避检测。
防御措施:
- 凭据管理器:使用密码管理工具生成并存储强密码。
- 账户监控:持续监控账户活动,检测异常登录。
- 零信任架构:限制用户和设备对系统资源的访问权限。
- 登录速率限制:对登录尝试次数进行限制,防止暴力破解。
七、Formbook数据扒手
针对Windows操作系统的信息窃取程序,能够从各种Web浏览器获取凭据、收集屏幕截图、监控并记录击键,并可以根据其C&C的命令下载和执行文件。
防御措施:
- 数据加密:对敏感数据进行加密,降低泄露风险。
- 限制脚本执行:限制浏览器中自动执行的JavaScript和插件。
- 用户行为监控:使用UEBA工具识别异常的用户行为。
- 端到端保护:部署能够发现信息窃取行为的端点安全解决方案。
八、Nanocore远程访问木马
针对Windows操作系统用户的远程访问木马,包含基本插件和功能,例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。
防御措施:
- 远程桌面安全:关闭不必要的远程桌面协议(RDP)端口。
- 登录告警:对远程登录尝试启用告警机制。
- 最小权限原则:为所有用户和服务配置最少权限访问。
- 设备隔离:对受感染的设备立即隔离并进行彻底检查。
九、AsyncRAT远程访问木马
针对Windows平台的木马,将目标系统的系统信息发送到远程服务器,从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。
防御措施:
- 网络分段:将关键网络分隔开,降低横向移动风险。
- 入侵检测系统(IDS):配置IDS以识别异地登录或异常流量。
- 定期漏洞评估:扫描网络和设备,修补易被利用的漏洞。
- 限制外部命令和控制:封锁已知的恶意命令和控制(C2)地址。
十、Remcos远程访问木马
可通过恶意微软Office文档进行传播,能够绕过Microsoft Windows UAC安全性并以高级权限执行恶意软件。
防御措施:
- 文档验证:对来自外部的文档启用沙箱运行环境。
- 脚本阻断:禁用文档中的VBA脚本和宏。
- 防御绕过技术:部署安全工具以检测和阻止UAC绕过行为。
- 敏感数据隔离:将关键数据存储在高度隔离的网络环境中。
总结
面对日益复杂的恶意软件威胁,企业应采取情报驱动的主动防御策略,包括定期更新系统和软件、加强网络钓鱼防御、实施多因素身份验证并投资行为分析工具,以检测和阻止潜在的攻击。只有充分理解恶意软件的行为和演变,安全团队才能有效预判并缓解其带来的风险。
来源: GoUpSec