安全專業(yè)人員必須不斷了解這些趨勢，以抵御日益復(fù)雜的威脅。

安全攻擊者與防御者之間的傳統(tǒng)“貓捉老鼠”游戲隨著新技術(shù)的出現(xiàn)和舊有低效方法的過時而變得更加激烈。

以下是惡意軟件領(lǐng)域的最新動態(tài)，哪些正在升溫，哪些正在降溫。

信息竊取工具將初始訪問權(quán)限商品化

據(jù)網(wǎng)絡(luò)安全供應(yīng)商Immersive稱，信息竊取工具最近出現(xiàn)了巨大增長，感染嘗試次數(shù)同比增長了58%。

Lumma Stealer、StealC和RisePro等惡意軟件現(xiàn)在負(fù)責(zé)了75%的憑據(jù)被盜事件。

信息竊取工具會竊取瀏覽器cookie、VPN憑據(jù)、多因素認(rèn)證(MFA)令牌、加密錢包數(shù)據(jù)等，網(wǎng)絡(luò)犯罪分子通過暗網(wǎng)市場出售這些工具竊取的數(shù)據(jù)，使攻擊者能夠輕松訪問企業(yè)系統(tǒng)。

“這種轉(zhuǎn)變將初始訪問權(quán)限商品化，使得國家層面的目標(biāo)可以通過簡單的交易實現(xiàn)，而無需復(fù)雜的攻擊，”Immersive的首席網(wǎng)絡(luò)安全工程師本·麥卡錫(Ben McCarthy)表示。

針對開發(fā)者環(huán)境的惡意軟件包

威脅行為者正通過將惡意代碼嵌入到企業(yè)用于構(gòu)建應(yīng)用程序的合法開發(fā)工具、庫和框架中，系統(tǒng)地破壞軟件供應(yīng)鏈。

“這些供應(yīng)鏈攻擊利用了開發(fā)者與包存儲庫之間的信任關(guān)系，”Immersive的麥卡錫告訴記者，“惡意軟件包經(jīng)常模仿合法軟件包，同時運(yùn)行有害代碼，從而逃避標(biāo)準(zhǔn)的代碼審查。”

2024年，研究人員在NPM、PyPI以及HuggingFace等AI平臺等軟件開發(fā)生態(tài)系統(tǒng)中發(fā)現(xiàn)了512847個惡意軟件包，同比增長了156%。

勒索軟件變得更加具有針對性和復(fù)雜性

自執(zhí)法部門打擊了LockBit等主要組織以來，勒索軟件格局發(fā)生了巨大變化。

現(xiàn)代勒索軟件威脅行為者如RansomHub和Akira現(xiàn)在更傾向于小型、高度針對性的攻擊，在完全滲透和數(shù)據(jù)泄露后將勒索軟件作為最后一步，這標(biāo)志著從廣泛的機(jī)會主義攻擊轉(zhuǎn)向了聚焦的高價值活動。

“這些有針對性的方法顯示了威脅行為者對特定漏洞的深入了解，以及他們在偵察和定制攻擊開發(fā)方面的投入意愿。”Immersive的麥卡錫評論道。

這些組織使用先進(jìn)的規(guī)避技術(shù)，如本地化工具(LOTL)戰(zhàn)術(shù)和合法的管理工具來保持隱藏，他們還從文件加密轉(zhuǎn)向數(shù)據(jù)盜竊和勒索，威脅公開泄露以迫使受害者屈服。

“我們已經(jīng)注意到，在勒索軟件工具鏈中，云服務(wù)和遠(yuǎn)程管理平臺的使用顯著增加，”網(wǎng)絡(luò)檢測和響應(yīng)提供商ExtraHop的高級技術(shù)營銷經(jīng)理杰米·莫爾斯(Jamie Moles)表示，“這與更廣泛的趨勢一致：攻擊者不再僅僅依賴傳統(tǒng)的惡意軟件負(fù)載，而是越來越多地轉(zhuǎn)向濫用可信平臺和本地化技術(shù)。”

醫(yī)療保健仍然是勒索軟件攻擊的主要目標(biāo)，而關(guān)鍵基礎(chǔ)設(shè)施也面臨著日益增長的威脅，因為攻擊者利用了促使快速支付贖金的緊迫性。

惡意軟件采用社交攻擊技術(shù)

網(wǎng)絡(luò)犯罪分子越來越多地采用ClickFix作為惡意軟件交付方法，利用社交攻擊技術(shù)成功感染終端用戶設(shè)備。

ClickFix通過欺騙用戶在其系統(tǒng)上執(zhí)行惡意代碼(通常是PowerShell腳本)來工作。

ClickFix是一種日益增長的威脅，它利用了用戶日益增長的疲勞感，這些用戶不得不通過在線障礙來“證明你是人類”。

通過劫持對熟悉的驗證碼(CAPTCHA)過程的信任，威脅行為者使用戶積極參與自己的妥協(xié)——在簡單的驗證偽裝下將惡意命令復(fù)制并粘貼到他們的系統(tǒng)中。

“在過去的一年里，我們看到這種技術(shù)在釣魚網(wǎng)站、被入侵的網(wǎng)頁和社交攻擊活動中獲得了顯著關(guān)注，”SentinelLABS的高級威脅研究員吉姆·沃爾特(Jim Walter)表示，“它簡單、有效且越來越常見。”

CISO需要警惕這種威脅，因為它通過依賴人類行為而非系統(tǒng)漏洞來繞過許多傳統(tǒng)檢測方法。

“提高意識、加強(qiáng)終端執(zhí)行策略以及部署行為檢測工具對于應(yīng)對這波惡意軟件交付浪潮至關(guān)重要。”沃爾特建議道。

針對macOS企業(yè)用戶的惡意軟件

一些安全供應(yīng)商報告稱，針對企業(yè)環(huán)境中macOS用戶的惡意軟件活動顯著增加。

SentinelLABS/SentinelOne的macOS惡意軟件研究員菲爾·斯托克斯(Phil Stokes)告訴記者：“我們看到了從偽裝成商業(yè)工具的信息竊取工具到高度復(fù)雜的模塊化后門的一切——因此，威脅行為者在針對企業(yè)環(huán)境中的蘋果用戶方面顯然加大了力度。”

例如，Atomic Infostealer通過知名企業(yè)0應(yīng)用程序的假版本傳播，而不僅僅是長期以來一直困擾安全的破解游戲或消費(fèi)者工具。

雖然勒索軟件和信息竊取工具仍然是主要威脅，但較舊的商品惡意軟件和黑客技術(shù)已經(jīng)出現(xiàn)了下降趨勢。

多態(tài)惡意軟件規(guī)避檢測機(jī)制

多態(tài)惡意軟件在每次復(fù)制或感染新系統(tǒng)時都會自動修改其代碼，使得基于簽名的檢測方法難以識別。

這種類型的惡意軟件對于防病毒軟件來說很難檢測，對于安全研究人員來說也很難分析。

Palo Alto Networks的威脅情報和事件響應(yīng)部門Unit 42的首席威脅研究員亞歷克斯·欣奇利夫(Alex Hinchliffe)表示：“非常基本或特定的檢測機(jī)制，如基于哈希的掃描器，會被多態(tài)性所挫敗，但值得注意的是，每次編譯惡意程序(例如編譯成可執(zhí)行文件)時，都會產(chǎn)生一個新的唯一指紋或哈希值。再加上大量免費(fèi)和商業(yè)上可用的壓縮器、打包器和保護(hù)器工具，這些工具可以應(yīng)用于編譯后的程序，‘相同’的程序?qū)a(chǎn)生更多的指紋變化和排列組合。”

多態(tài)惡意軟件還經(jīng)常使用加密來隱藏其有效載荷，進(jìn)一步復(fù)雜化了檢測和分析過程。

已棄用的惡意軟件技術(shù)

一些明顯的趨勢反映了惡意軟件和黑客技術(shù)的“衰落”，這主要是因為隨著安全防御和實踐的進(jìn)步，它們的有效性已經(jīng)降低。

例如，威脅行為者更多地依賴合法的管理工具(如Sysinternals Suite和本地化二進(jìn)制文件或LOLBins)進(jìn)行防御規(guī)避和持久性，而較少依賴惡意可執(zhí)行文件。

“在黑客工具方面，我們觀察到更全面的工具套件(如Cobalt Strike和Sliver)的使用有所減少，”托管檢測和響應(yīng)供應(yīng)商Huntress的技術(shù)作家林賽·韋爾奇(Lindsey Welch)表示，“然而，威脅行為者繼續(xù)使用Mimikatz和CrackMapExec等專用工具來執(zhí)行密碼嗅探、內(nèi)存轉(zhuǎn)儲、權(quán)限提升和橫向移動等功能。”

其他曾經(jīng)流行但現(xiàn)在已不再受歡迎的技術(shù)包括：

? 網(wǎng)絡(luò)蠕蟲，如Conficker，因為現(xiàn)代網(wǎng)絡(luò)現(xiàn)在具有分段、自動補(bǔ)丁和強(qiáng)大的終端防御功能，這些都限制了蠕蟲的傳播。

? 傳統(tǒng)僵尸網(wǎng)絡(luò)

? 漏洞利用工具包，這些工具包曾經(jīng)是通過基于Web的攻擊交付惡意軟件的一種常見方法，通過掃描用戶系統(tǒng)中Adobe Flash、Java或Internet Explorer等軟件的已知漏洞，然后利用這些弱點來安裝惡意軟件。

? Office宏

? 基于USB的惡意軟件