根据网络安全公Malwarebytes最新发布的恶意软件状态报告,2022年最流行的五大恶意软件家族如下:

  • Lockbit(勒索软件)
  • Emotet(僵尸网络)
  • SocGholish(路过式下载)
  • Dropper(安卓恶意软件投放器)
  • Genio(MacOS广告软件)

报告指出,五大恶意软件家族在2023年仍将兴风作浪,对企业网络安全构成严重威胁,以下是对各恶意软件家族的盘点:

勒索之王:Lockbit

2022年勒索软件威胁态势发生了巨变,Conti等一度风光无限的勒索软件团伙关闭了运营,但这个空白很快就被大量其他小规模勒索软件组织填补。到目前为止,表现最突出的是LockBit,这是一种勒索软件即服务(RaaS),通过快速创新吸引了大批拥趸(加盟组织)。

LockBit诞生于2019年,最初名为ABCD。在其面世头两年,风头被Maze,Ryuk和Conti等大型多产勒索软件组织掩盖。但是随着2022年LockBit3.0版本的发布,以及新版联盟计划对加盟组织的吸引力大增,LockBit开始爆炸式增长,目前号称已经拥有100个加盟组织。

根据Malwarebytes的遥测数据,LockBit是2022年迄今为止最多产的勒索软件操作,受害者数量是排名第二的ALPHV的3.5倍。总体而言,2022年三分之一的勒索软件事件都与及LockBit有关,其最高勒索赎金纪录是50万美元。

LockBit的加盟组织攻击所有类型的企业,从小型律师事务所到大型跨国公司,并使用各种方法来获得初始访问权限,从滥用弱远程访问凭据(RDP和VPN)、面向公众的系统中的漏洞,到带有恶意附件的网络钓鱼电子邮件。LockBit入侵企业网络后会销毁数据备份,并使用横向移动技术来获取域管理访问权限。

僵尸网络王者归来

地下网络犯罪的另一个重量级玩家是Emotet僵尸网络,大量恶意软件家族都将Emotet当作投放平台,包括近年来一些最活跃和多产的勒索软件和木马程序。

Emotet的历史可追溯到2014年,最初的“业务定位”是银行木马,后期经历了多次迭代。金融木马过气后,Emotet转型提供恶意软件分发服务。Emotet的模块化架构使其非常灵活,并且易于针对不同的任务进行定制。

欧洲刑警组织曾称Emotet为世界上最危险的恶意软件。2021年,来自美国、英国、加拿大、德国和荷兰等多个国家的执法机构设法接管了Emotet僵尸网络的命令和控制基础设施。但这次下架尝试是短暂的,Emotet很快就被重建,显示出强大的弹性。

2022年11月,Emotet僵尸网络在蛰伏四个月后再次迭代回归,每天分发数十万封恶意电子邮件。Emotet的创建者使用电子邮件作为主要分发机制,专门研究垃圾邮件诱饵,使用线程劫持和语言本地化等技术。最新的垃圾邮件活动分发了包含恶意宏的Excel文件。

成功部署后,Emotet将在系统中删除其他恶意软件。过去,Emotet会在受害者系统中安装TrickBot——另一个与Ryuk勒索软件关系密切的僵尸网络。但在最新的活动中,研究者监测到Emotet投放了XMRig加密矿工和IcedID木马,后者本身与其他恶意软件家族相关联。Emotet还从计算机中的Outlook帐户中窃取联系人发送更多垃圾邮件,并尝试破解网络共享的密码。

路过式下载新势力:SocGholish

路过式下载是一个术语,指通过网站而非电子邮件投放恶意软件。早在Java、Flash Player和Adobe Reader等浏览器插件流行的年代,路过式下载曾是极为流行的技术,因为攻击者可以利用这些插件的过时版本中的漏洞。今天,虽然Flash Player之类的浏览器插件已经消亡,但路过式下载作为一种黑客攻击技术依然有着极强的生命力,只是现在需要增加一些用户交互和一些社会工程元素。

2022年路过式下载攻击的代表性恶意软件无疑是SocGholish,这是一种远程访问木马(RAT),常被用作恶意软件加载程序,通过在受感染网站上显示关键浏览器更新的虚假弹出窗口或通过恶意广告进行分发。如果用户不小心点击了流氓浏览器更新,就会下载一个包含JavaScript文件的ZIP存档。如果执行,此文件将在计算机和网络上执行侦测,然后部署其他一些恶意软件威胁,通常是勒索软件。

“SocGholish的技术原理很简单,但它的社会工程和目标指纹技术足以威胁到知名公司甚至关键基础设施,”Malwarebytes研究人员警告说:“SocGholish的最终目标是投放勒索软件,足以引起高度重视。”

安卓生态的害群之马:Dropper

由于移动设备通常占公司设备资产的很大一部分,因此不应忽视安卓生态的威胁。安卓投放器(Android Dropper)是一种木马程序,通常伪装成合法应用程序或付费应用程序的免费版本,并从第三方应用商店和用户可能访问的各种网站分发。

一般来说,安卓投放器不像Windows上的恶意软件那样容易安装,因为用户需要更改默认安全设置并忽略警告,但值得警惕的是,包含安卓投放器的恶意应用程序成功混入了官方Google Play商店,这很可能导致一些用户放松安全警惕。

安卓投放器可用于部署其他恶意软件,例如隐藏广告、银行木马和窃取密码、电子邮件、录制音频和拍照的应用程序。

“2022年安卓投放器占安卓恶意软件检测量的14%,”Malwarebytes指出:“其他恶意软件更为普遍,但安卓投放器对企业构成的威胁最大。”

MacOS的头号威胁:Genio

与Windows相比,MacOS的恶意软件生态系统要小得多,但威胁确实存在。最流行的类型之一是广告软件——注入用户不需要的广告的应用程序。MacOS上最古老的广告软件之一是Genio,可用于劫持浏览器搜索。

与安卓投放器一样,大多数MacOS广告软件和恶意软件通常作为虚假应用程序或更新进行分发。Genio曾经伪装成Flash Player更新或与视频编解码器捆绑在一起,但现在它伪装成PDF阅读或视频转换器应用程序。

一旦部署,Genio很难被删除,因为它在隐藏自己方面做到了极致。Genio会模仿系统文件和其他应用程序的文件,并使用代码混淆。Genio还会将库注入其他进程,利用系统缺陷授予自己权限,未经同意安装浏览器扩展,并操纵用户的密码钥匙串。

虽然被归类为广告软件,但Genio被检测到一系列类似恶意软件的行为。根据Malwarebytes的报告,Genio占去年MacOS威胁检测数量的十分之一。