惡意軟件發展方向：2025 年的動機和目的

Palo Alto Networks 的 Cyberpedia 將惡意軟件描述為“任何故意設計用于損害、利用或以其他方式危害設備、網絡或數據的軟件。網絡犯罪分子使用惡意軟件竊取敏感信息、破壞運營、獲取未經授權的訪問權限或向個人或組織索要贖金。”

我們將軟件定義為由計算機系統處理的指令。這不包括社會工程學，例如網絡釣魚電子郵件，這些是人類大腦處理的指令。社會工程學在本系列的另一篇 Cyber Insights 文章中進行了討論。

惡意軟件是攻擊者用來獲取經濟利益、破壞系統、進行網絡間諜活動和竊取 IP 的網絡工具。攻擊者可能是普通罪犯、精英國家黑客，也可能是兩者兼而有之。然而，攻擊者和工具都會受到不斷變化的網絡生態圈的影響。

我們將集中關注三個將影響到 2025 年惡意軟件使用的領域：犯罪利用（又名勒索軟件）；人工智能對惡意軟件使用的影響；以及到 2025 年地緣政治的影響。

勒索軟件

勒索軟件長期以來一直是流行的惡意軟件。 

2025年這種情況還會繼續嗎？ 

無疑。 

這個術語是為了定義一種新的網絡犯罪敲詐勒索形式而創造的，這種勒索勒索包括加密系統文件并要求支付解密密鑰的費用。關鍵詞是“敲詐勒索”——加密只是敲詐勒索的一種手段。還有其他手段——例如實際竊取敏感或機密專有數據并要求支付費用以安全歸還；或者添加 DDoS 作為額外的敲詐勒索手段或偽裝網絡操作、數據提取和犯罪分子離開的方法。 

勒索贖金的具體形式將取決于犯罪分子最有效的方式——目前似乎沒有必要改變現狀。從犯罪分子的角度來看，這種方法并沒有問題，所以沒有必要去修改它。

Systal Technology Solutions 的數字取證和 IR 顧問 Calum Bai

但這并不意味著 2025 年不會有任何變化。“網絡安全就像是一場貓捉老鼠的游戲，”Systal Technology Solutions 的數字取證和 IR 顧問 Calum Baird 表示，“網絡威脅者開發新的策略和技術來實現他們的目標，網絡安全專業人員開發技能和技術來預防、檢測、遏制和應對威脅。考慮到這一點，我們可以預期勒索軟件（和其他網絡威脅）將在 2025 年發生變化。”

一旦防御者能夠熟練地阻止勒索軟件的成功，勒索軟件就會適應。

與此同時，勒索軟件的大部分變化很可能是對已經成功的攻擊方法的改進。例如，大量受害者數據的泄露需要時間，并且可能會讓受害者暴露攻擊行為。Fortra 威脅研究高級研究員 John Wilson 表示：“我預測勒索軟件將發展到包含一種算法，甚至可能是人工智能算法，以識別和泄露系統中發現的最敏感數據。”“通過優先考慮要泄露的數據，攻擊者更有可能獲得可獲利的黑材料，而不會觸發任何基于數量的警報。”

然而，“只要使用勒索這個詞，從定義上來說，它就是勒索軟件，”BlackFog 創始人兼首席執行官達倫·威廉姆斯 (Darren Williams) 解釋道。“所使用的方法并不能真正決定其分類。” 

勒索攻擊仍在增加。IEEE 高級會員、阿爾斯特大學網絡安全教授 Kevin Curran 表示：“醫療保健和制造業等關鍵行業可能仍是主要目標，這些行業的攻擊數量急劇增加。勒索軟件即服務可能會擴大，讓技術水平較低的攻擊者更容易發起復雜的攻擊。”

Kevin Curran，IEEE 高級會員、阿爾斯特大學網絡安全教授

我們籠統地歸類為勒索軟件的威脅和惡意軟件將在 2025 年繼續增長。

但是——網絡預測中總是有一個“但是”——我們所說的勒索軟件與我們所說的“擦除器”相差無幾。無法檢索的加密文件實際上被銷毀（或擦除）。“大多數當代勒索軟件構建器（由眾多參與者和操作共享）都包含覆蓋（即擦除）數據的參數，而不僅僅是加密數據。這種能力多年來一直只是一個命令行選項，”Sentinel Labs 高級威脅研究員 Jim Walter 警告說。

“我們有理由期待參與者更積極地利用這種能力，而不是將擦除器保留用于破壞而非經濟利益的場景。擦除器是很好的手段，但并不總是實現其目的的最佳后勤手段。同樣，大多數現代勒索軟件（以及許多商品 RAT）已經可以擦除數據，但這種程度的破壞很少是攻擊性網絡行動的真正目標。”然而，在地緣政治緊張局勢加劇（稍后討論）和敵對民族國家活動增加的時代，這一點值得注意。

2025 年的人工智能與惡意軟件

2025 年，人工智能（包括 LLM 和更受約束的 ML 模型）的使用將滲透到網絡，并將影響網絡安全的幾乎每個方面。人工智能的道德和倫理無關緊要。它存在并且不會消失——我們只需要最大限度地發揮它的好處并盡量減少它的危險。自動化惡意軟件的生成和大規模使用是危險之一；更快速地檢測和緩解入侵是好處之一。

Palo Alto Networks Unit 42 首席技術官兼工程副總裁 Michael Sikorski 毫不懷疑，惡意攻擊者將使用 AI 大規模自動發起攻擊。“預計到 2025 年，網絡犯罪分子將進一步利用 gen-AI 來加速和簡化攻擊生命周期的每個階段——從偵察到泄露。我們預計會看到更快、更先進的攻擊，例如 AI 驅動的勒索軟件、自動化社交工程和超個性化網絡釣魚活動，”他說。

“Gen-AI 預計將大幅縮短攻擊時間，事件響應數據表明，泄露數據的平均時間可能降至僅 25 分鐘——比 2021 年快 100 多倍。它還將使攻擊者能夠快速穿越網絡，自動化幫助他們保持訪問權限并傳播到其他易受攻擊的系統的過程。”

這還不是人工智能生成的惡意軟件，而主要是人工智能協助使用人造惡意軟件攻擊。Splunk SURGe 全球安全策略師 Mick Baccio 表示：“沒有證據表明網絡犯罪分子正在利用人工智能開發惡意軟件。”相反，“我們已經看到攻擊者在攻擊鏈的其他階段利用人工智能系統，例如偵察和網絡釣魚來獲得對受害者網絡的初步訪問權。”目前，攻擊者主要在探索人工智能的自動化潛力，以擴大現有的攻擊方法。

盡管如此，同樣明顯的是，網絡犯罪分子也在探索使用人工智能來自動化和加速開發新惡意軟件的過程的潛力。早在 2023 年夏天，Hyas Labs 就宣布“我們已經構建了一個簡單的概念驗證 (PoC)，利用大型語言模型來動態合成多態鍵盤記錄器功能，在運行時動態修改良性代碼——所有這些都無需任何命令和控制基礎設施來交付或驗證惡意鍵盤記錄器功能。鑒于這種惡意軟件帶來的威脅，我們將我們的 PoC 稱為 BlackMamba。”

目前還不完全清楚有多少人工智能被用來構建該惡意軟件，或者僅僅用來增強惡意軟件。 

BlackMamba 并非突破性的惡意軟件。盡管如此，它還是預示了可能發生的情況，有跡象表明，可能發生的情況將在 2025 年開始發生——盡管 2025 年可能更像是人工智能生成的惡意軟件的轉折點，而非泛濫之年。 

Bambenek Consulting 總裁 John Bambenek 表示：“我們可能會看到一些由人工智能生成的惡意軟件，但任何使用過人工智能副駕駛的人都知道，它可以做簡單的事情，但可能只能做 70% 的復雜事情。惡意軟件作者可能會用它來增強和加速他們的工作，但可能不會出現完全由人工智能創建的復雜惡意軟件。”

John Bambenek，Bambenek Consulting 總裁

貝爾德傾向于同意這一觀點。“我們可能會看到更多惡意軟件被生成；但是，這種情況發生的可能性尚不確定。幻覺對 gen-AI 來說仍然是一個挑戰，這意味著它可以提供虛假數據和錯誤代碼，而且通常對其準確性缺乏信心，”他指出。 

“網絡威脅者入侵系統的機會有限，如果部署無效的人工智能惡意軟件，則會降低其成功率。此類惡意軟件可以制造噪音并向安全團隊觸發警報，但無法實現其預期目標，從而可能破壞攻擊者的努力。”

然而，在 2024 年 9 月，HP 發現了一個電子郵件活動，其中包含由 AI 生成的 dropper 傳遞的標準惡意軟件負載。研究人員認為這是由 AI 生成的，因為代碼中包含了注釋——任何有自尊心的新手人類壞人都不會留下注釋。但由 AI 生成的是 dropper，而不是主要負載。盡管如此，這意味著壞人正在嘗試使用生成 AI 來生成惡意軟件；如果是這樣，他們已經學會了調整模型以從代碼中排除注釋。他們正在學習

監控WhiteRabbitNeo等代碼生成 AI 模型的進展非常重要，這樣才能評估（并且實際上防范）可能在 2025 年出現的新型、規避性、AI 生成的、以漏洞為重點的惡意軟件的可能性。

與此同時，Snyk 開發者和安全關系主管 Randall Degges 看到了人工智能帶來的不同影響：注入攻擊的回歸。“隨著人工智能編碼工具成為開發工作流程的支柱，它們帶來了新的安全挑戰，需要謹慎管理。注入攻擊將在 2025 年重新成為頭號威脅，而人工智能生成的代碼漏洞將助長這種威脅，”他警告道。 

“注入漏洞曾是 OWASP 十大漏洞榜單中的主要關注點，但由于安全意識和編碼實踐的提高，2021 年注入漏洞數量有所下降。但隨著人工智能工具現在可以處理跨多個平臺和框架的代碼生成，注入風險再次成為焦點。人工智能系統處理大量輸入數據，通常沒有經過嚴格的驗證，為注入攻擊的再次出現創造了完美的條件。”

2025 年地緣政治對惡意軟件的影響

我們不喜歡談論的話題和我們不喜歡討論的影響是地緣政治對敵對網絡攻擊的影響。這令人驚訝，因為我們都受到了這種影響。 

自從 Mandiant 開始研究與中國軍方有關的 APT1（又名解放軍 61398 部隊、Comment Panda、Comment Crew 等）以來，已有 40 多個組織被冠以“APT”的稱號。雖然沒有官方規定，但 APT 稱號實際上與國家支持的網絡組織有關。

如果一個民族國家團體針對其本國以外的組織，這怎么能不是由地緣政治驅動的呢？如果一個民族國家團體針對“西方”國家的組織，而相關國家傳統上是反西方的，那么我們能否預計，每當地緣政治緊張局勢加劇時，由地緣政治驅動的攻擊就會增加？

這對于 2025 年來說是一個合理的問題，因為可以說，自 1991 年冷戰結束以來，全球地緣政治從未像 2025 年初那樣緊張。西方網絡安全捍衛者面臨的問題是，民族國家行為者往往是擁有大量資源的精英網絡侵略者中的精英。他們不像普通網絡罪犯那樣需要快速獲得財務回報——他們主要受意識形態驅動，可以花時間深入攻擊，比典型的非國家網絡罪犯堅持更長時間。

他們的目的比一般的網絡犯罪分子更“好戰”，無論是竊取知識產權以獲得國家經濟優勢，還是潛入關鍵行業以獲得破壞和造成經濟和社會混亂的潛力。這是我們在 2025 年需要考慮的問題——惡化的地緣政治條件是否會導致民族國家行為者的活動增加？如果是這樣，這些活動可能會如何表現？

Logpoint 首席技術官克里斯蒂安·哈夫 (Christian Have) 認為，2025 年不會出現任何重大升級——很大程度上，或許是因為混合戰爭已經猖獗，而且人們普遍認為，進一步升級可能引發北約第五條反應——這是沒人愿意跨越的紅線。但他承認，地緣政治已經影響到了網絡：“隨著歐洲國家開始啟動其工業基地來生產彈藥和武器，我們發現，作為供應商或制造商的中型公司越來越多地成為比以往更復雜的攻擊目標。”

Darktrace 威脅研究副總裁 Nathaniel Jones 對此不太確定。他指出，中國政府正在開發專門針對嵌入式系統的惡意軟件，以路由器和防火墻為目標，創建繞過傳統端點保護措施的持久后門。“我們在 2024 年觀察到的 EDR 殺手惡意軟件只是個開始。我們預計 2025 年會出現更多由人工智能生成的惡意軟件，但應用程序的針對性會很強。” 

他補充道：“人工智能的發展與國家資源的結合可能會給防御措施帶來前所未有的挑戰。地緣政治格局將繼續影響國家和黑客行動主義者的目標重點。”

威爾遜持類似觀點。“對伊朗、朝鮮和俄羅斯的制裁導致黑客大軍專注于竊取資金，以資助他們的國家野心。2025 年及以后的每場沖突都將包括網絡空間元素。惡意軟件開發對國防的重要性絲毫不亞于武器系統的發展。”

然而，Armis 首席技術官 Nadir Izrael 直言不諱。“民族國家和流氓派系正在迅速將網絡攻擊納入其軍事武器庫，網絡行動成為地緣政治沖突中的先發制人打擊選項。”針對關鍵基礎設施的攻擊可以在不發射任何實彈的情況下造成國家混亂。

他繼續說道，2025 年，“我們預計國家支持的網絡攻擊將不斷升級，旨在造成廣泛的混亂和心理壓力。隨著政府轉向先進技術（包括人工智能驅動的惡意軟件）來智勝目標，這些攻擊將變得更加復雜。”

Skyhigh Security 全球云威脅主管 Rodman Ramezanian 對此表示贊同。“地緣政治已經影響了惡意軟件的開發和使用，而且幾乎可以肯定，這種影響將在 2025 年進一步加劇。”他以中東為例。

“從中東到東南亞地區的許多國家將繼續通過加大對網絡間諜活動和破壞性行動的投資來追求自己的地緣政治目標。到 2025 年，很容易看到俄羅斯繼續專注于與烏克蘭沖突有關的間諜活動并破壞北約結盟國家的穩定，而中國可能會優先考慮秘密訪問關鍵基礎設施，尤其是針對臺灣和美國的選舉進程。如前所述，勒索軟件攻擊和復雜的勒索方法將繼續威脅安全實踐尚未成熟的組織。”

值得考慮的是中東。這兩個主要對手多年來一直活躍在真正的網絡戰爭中——首先是 Stuxnet，然后是伊朗的報復，包括擦除器。到目前為止，這種活動主要局限于中東。但仍有可能升級到涉及三個主要網絡國家：美國、俄羅斯和中國。我們已經注意到，從勒索軟件到擦除器的轉變很簡單。因此，值得注意的是，俄羅斯一個主要的勒索軟件組織 Evil Corp 與俄羅斯聯邦安全局有著密切的家族關系。

2024 年 10 月，英國國家犯罪局制裁了 16 名與 Evil Corp 有關的個人，該公司“曾被認為是全球最大的網絡犯罪威脅”。其中包括 Evil Corp 的負責人（Maksim Yakubets，已在美國被起訴）和“Yakubets 的父親 Viktor Yakubets，[和]他的岳父，前 FSB 高級官員 Eduard Benderskiy”。

鑒于主要網絡犯罪分子和國家機構之間的流動性，尤其是在俄羅斯，網絡犯罪集團總是有可能意外地走得太遠，并引發直接和過于激進的國家活動。

概括

我們從三個方面探討了惡意軟件及其使用的潛在發展方向，但這些觀點有些悲觀。網絡犯罪分子使用勒索軟件（敲詐勒索）的現象將繼續蔓延，因為它仍然很成功。在意識形態驅動的黑客行動主義者手中，勒索軟件很容易演變成無法追究責任的政府抹黑者，這些人的目的不是獲取經濟利益，而是破壞秩序——這可能包括來自難以預測的朝鮮和伊朗的政府支持的精英。政府只是否認參與其中，并將矛頭指向他們無法控制的罪犯。

直接受國家支持的精英團體可能會因為全球地緣政治緊張局勢而增加活動。如果緊張局勢加劇，活動也會增加；如果緊張局勢緩解，我們可以希望活動也會減少。在大多數情況下，我們不會知道民族國家活動的程度，只是因為他們可以運用的技能、資源和耐心。我們可以肯定這會發生，但我們必須希望沒有人扣動網絡扳機。

在此背景下，人工智能的不斷進步使得在數小時而不是數天或數周的時間內自動生成有效的、針對特定漏洞的新惡意軟件的可能性越來越大。

這些都不一定在 2025 年發生。但所有這一切都有可能發生。