本文来自微信公众号“安全牛”。
恶意软件已经存在了很多年,并逐渐演变成一个复杂多变的网络犯罪生态体系。为了获取更大的攻击收益,非法攻击者正在不断寻找新的传播路径和感染手段,并不断尝试任何可行的策略,来增强恶意软件的攻击能力。为了更好地识别和预防新一代恶意软件的攻击威胁,安全研究人员通过对近期出现的新型感染方式和传播路径进行总结分析,梳理出以下5个恶意软件演进发展的重要趋势。
趋势1
基于AI的安全检测规避
很多恶意软件在设计时都带有了能够规避传统安全检测(比如第一代沙箱和基于特征的网关)的逃逸能力,这并不是什么新鲜事。然而,由于人工智能技术的不断发展和应用,新型恶意软件变得更加复杂、更具攻击性,并有更强的规避检测能力,这种基于AI的规避手段将使得传统静态恶意软件分析效果更加不尽如人意。
在此背景下,企业开展恶意软件攻击检测将变得更加具有挑战性,因为基于已知攻击模式的检测方法将不再有效,而基于配置文件的异常行为检测又会产生很多误报。虽然机器学习可用于自动生成检测模型,但随着时间的推移,潜在的“概念漂移”也会使检测模型的效率和准确率大大降低。
趋势2
从针对性攻击转向规模化的漏洞利用
针对性攻击需要攻击者执行大量的手动工作,先有效识别出受害者的系统安全状况,然后才能设计出有效的攻击方法,并且创建定制的攻击流程。研究人员发现,今天的攻击者已经尝试用自动化方式来处理这些任务,并且不再只针对特定的攻击目标。开展自动化侦察和攻击的一个重要特点是,攻击活动一旦开始,其攻击步骤和行为就无法被改变。因此,对于企业的网络安全团队来说,最好的防御方法是尽早识别恶意软件的攻击模式,并竭力减小组织资产被暴露的风险。
趋势3
针对云计算的恶意软件
随着现代企业越来越依赖云服务,对于恶意软件制作者而言,也同样开始觊觎企业在云上的数据信息和业务资产。此外,由于很多企业的云安全管理并不成熟,缺乏灵活性和便利性,也让针对云应用的恶意软件有了更多可乘之机。研究人员发现,针对云的新型恶意软件主要有两类:第一类是使用云进行交付和通信(命令和控制)的恶意软件;另一类是针对云上资产和应用的恶意软件。新型云恶意软件会对企业的云计算应用构成很多安全风险,包括违反合规性、终端用户控制、共享安全漏洞、知识产权的窃取、客户隐私泄露以及商誉损失等。
趋势4
MFA系统漏洞利用
多因素身份验证(MFA)系统已经在企业的数字化环境中得到了广泛采用,很多人甚至把这种技术看成是解决网络安全攻击的灵丹妙药,但事实证明,MFA系统并不是百分百安全,其中同样会存在可被攻击者利用的安全漏洞。例如,如果某用户的身份凭据被泄露,攻击者就可以使用一种名为“提示轰炸”的技术造成MFA验证疲劳,最终实现非法的攻击目标。许多针对MFA的攻击会首先扫描企业中易受攻击的登录过程,并寻找机会将恶意软件代码注入网站中。尽管MFA漏洞不被认为是传统意义上的恶意软件,但它们一旦被恶意软件所利用,同样会造成敏感信息泄露的危害。
趋势5
物联网恶意软件快速增长
随着大量物联网设备(比如家用电器、汽车或智能终端)连接到企业的办公网络环境中,它们可能会成为企业恶意软件防护体系中最薄弱的环节。据网络安全厂商SonicWall在2022年底发布的一项研究报告显示,针对物联网应用的恶意软件数量已快速增长了77%,其中金融行业增长151%、医疗行业增长123%、零售行业增长123%。不幸的是,目前针对笔记本电脑和手机设备的安全防护方案在保护物联网设备时的效果甚微,也难以快速识别出物联网设备(例如Zigbee)通信协议中的安全漏洞。因此,企业安全团队需要更深入地研究物联网设备的应用特性,更快速地发现后门植入、恶意启动项以及对不同固件的恶意修改。