信息化观察网

本文来自微信公众号“GoUpSec”。

2024年，恶意软件持续演变，攻击者不断采用新技术和策略，增强隐蔽性和破坏力。

Check Point的数据显示，FakeUpdates、Qbot和Formbook等恶意软件在全球范围内广泛传播，感染了大量组织。ESET的报告也指出，恶意的Chrome浏览器扩展和伪装为AI软件的安装程序等新型威胁层出不穷。面对这些日益复杂的威胁，对恶意软件的了解和防御措施变得尤为重要。

以下是2024年十大最危险的恶意软件：

一、BlackLotus：首个绕过安全启动的UEFI引导程序

BlackLotus是首个已知能够绕过安全启动（Secure Boot）的恶意软件，直接攻击现代Windows系统的统一可扩展固件接口（UEFI）层。通过嵌入固件中，它能够避开常规检测，并在系统重启后仍保持持久性。这种深层次的系统妥协使攻击者能够长期访问受害系统，用于间谍活动、破坏或勒索软件操作。

防御措施：

• 固件更新：定期更新UEFI固件，确保修补已知漏洞。
• 多因素认证：实施多因素认证，增加未经授权访问的难度。
• 硬件安全模块：利用可信平台模块（TPM）等硬件安全技术，增强系统安全性。
• 系统完整性监控：部署支持UEFI完整性验证的工具。

二、Emotet：持续进化的钓鱼高手

Emotet最初是一个银行木马，现已演变为多功能的恶意软件平台，因其高效的“敏捷开发”能力在业界闻名，主要通过带有恶意附件的钓鱼邮件传播。Emotet还充当其他恶意软件的传送工具，包括勒索软件，能够通过劫持电子邮件对话嵌入到合法的业务沟通中。

防御措施：

• 电子邮件过滤：使用高级反垃圾邮件过滤器，拦截含有恶意附件或链接的邮件。
• 网络钓鱼培训：定期培训员工识别钓鱼邮件，提高安全意识。
• 禁用宏功能：限制Microsoft Office中宏的使用，防止恶意代码执行。
• 端点检测和响应（EDR）：实时检测和响应潜在威胁。

三、Beep：静默入侵者

Beep恶意软件以其隐蔽性著称，采用延迟执行等技术来避免被沙箱检测。它通过模块化组件传送恶意负载，使攻击者能够根据目标环境定制攻击。Beep主要针对Windows企业系统，尤其是零售、物流和制造业等可能缺乏严格终端监控的行业。

防御措施：

• 行为分析：投资于行为分析工具，监控异常网络活动。
• 终端检测：加强终端检测和响应能力，部署反规避机制。
• 网络监控：持续监控网络流量，识别潜在的恶意活动。
• 模块化分析：重点监控系统中可疑模块的加载和运行情况。

四、Dark Pink：亚太地区的“王牌间谍”

DarkPink，又称Saaiwc组织，是一个高级持续性威胁（APT）间谍组织，主要在亚太地区活动，针对政府机构、军事组织和非政府组织（NGO）。主要通过鱼叉式钓鱼邮件和DLL侧加载等技术进行攻击。

防御措施：

• 鱼叉式钓鱼防御：加强对鱼叉式钓鱼攻击的安全意识培训和技术防御，实施严格的电子邮件验证机制。
• 文件活动监控：监控异常的文件活动，及时发现潜在威胁。
• 邮件隔离：隔离并检查外部不明邮件附件和链接。
• 情报共享：监控已知APT组织的活动，及时更新相关指标并与其他组织和机构共享威胁情报，提升整体防御能力。

五、FakeUpdates（又名SocGholish）浏览器杀手

用JavaScript编写的下载器，在启动有效负载之前将其写入磁盘。通过许多其他恶意软件导致进一步的危害，包括GootLoader、Dridex、NetSupport、DoppelPaymer和AZORult。

防御措施：

• 浏览器更新：确保所有浏览器插件和扩展保持最新，修复漏洞。
• 恶意软件扫描：定期扫描系统中的潜在威胁。
• 域过滤：配置DNS过滤，屏蔽已知的恶意域。
• 限制安装：仅允许安装经过批准的浏览器扩展。

六、Qbot（又名Qakbot）多用途恶意软件

能够旨在窃取用户凭据、记录击键、窃取浏览器的cookie、监视银行活动以及部署其他恶意软件。通常通过垃圾邮件进行分发，采用多种反虚拟机、反调试和反沙箱技术来阻碍分析和逃避检测。

防御措施：

• 凭据管理器：使用密码管理工具生成并存储强密码。
• 账户监控：持续监控账户活动，检测异常登录。
• 零信任架构：限制用户和设备对系统资源的访问权限。
• 登录速率限制：对登录尝试次数进行限制，防止暴力破解。

七、Formbook数据扒手

针对Windows操作系统的信息窃取程序，能够从各种Web浏览器获取凭据、收集屏幕截图、监控并记录击键，并可以根据其C&C的命令下载和执行文件。

防御措施：

• 数据加密：对敏感数据进行加密，降低泄露风险。
• 限制脚本执行：限制浏览器中自动执行的JavaScript和插件。
• 用户行为监控：使用UEBA工具识别异常的用户行为。
• 端到端保护：部署能够发现信息窃取行为的端点安全解决方案。

八、Nanocore远程访问木马

针对Windows操作系统用户的远程访问木马，包含基本插件和功能，例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。

防御措施：

• 远程桌面安全：关闭不必要的远程桌面协议（RDP）端口。
• 登录告警：对远程登录尝试启用告警机制。
• 最小权限原则：为所有用户和服务配置最少权限访问。
• 设备隔离：对受感染的设备立即隔离并进行彻底检查。

九、AsyncRAT远程访问木马

针对Windows平台的木马，将目标系统的系统信息发送到远程服务器，从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。

防御措施：

• 网络分段：将关键网络分隔开，降低横向移动风险。
• 入侵检测系统（IDS）：配置IDS以识别异地登录或异常流量。
• 定期漏洞评估：扫描网络和设备，修补易被利用的漏洞。
• 限制外部命令和控制：封锁已知的恶意命令和控制（C2）地址。

十、Remcos远程访问木马

可通过恶意微软Office文档进行传播，能够绕过Microsoft Windows UAC安全性并以高级权限执行恶意软件。

防御措施：

• 文档验证：对来自外部的文档启用沙箱运行环境。
• 脚本阻断：禁用文档中的VBA脚本和宏。
• 防御绕过技术：部署安全工具以检测和阻止UAC绕过行为。
• 敏感数据隔离：将关键数据存储在高度隔离的网络环境中。

总结

面对日益复杂的恶意软件威胁，企业应采取情报驱动的主动防御策略，包括定期更新系统和软件、加强网络钓鱼防御、实施多因素身份验证并投资行为分析工具，以检测和阻止潜在的攻击。只有充分理解恶意软件的行为和演变，安全团队才能有效预判并缓解其带来的风险。