惡意軟件趨勢:舊即新
許多最成功的網(wǎng)絡犯罪分子都很精明;他們想要良好的投資回報率,但他們不想重新發(fā)明輪子才能獲得它。
?很明顯,網(wǎng)絡犯罪是世界上最賺錢的非法產(chǎn)業(yè)之一——可能占據(jù)頭把交椅。由于與投資回報相關的自有品牌關鍵績效指標,威脅行為者的策略變得更加細致和富有創(chuàng)造力,甚至恢復了過時和被遺忘已久的技術。畢竟,如果成功翻拍一部經(jīng)典影片可以產(chǎn)生新的收入,制片人會欣然接受。
許多最成功的網(wǎng)絡犯罪分子都很精明;他們想要良好的投資回報率,但他們不想重新發(fā)明輪子才能獲得它。這就是他們利用現(xiàn)有基礎設施和舊威脅來最大化機會的原因之一。作為一名安全專家,需要了解攻擊者的意圖,以便可以適當?shù)丶匈Y源。
重塑經(jīng)典
當 FortiGuard Labs 研究團隊展望 2022 年下半年時,代碼重用(舊代碼被改造成新版本)以及僵尸網(wǎng)絡、惡意軟件和擦除器空間中知名名稱的重新出現(xiàn)——例如 Emotet 和 GandCrab,其中 - 提醒人們威脅和惡意軟件永遠不會真正消失。他們只是退到地下,等待另一個機會。任何想購買的人都可以隨時批發(fā)購買。
事實上,觀察到的大多數(shù)頂級惡意軟件都存在了一年多。某些惡意軟件類型已被網(wǎng)絡安全標準淘汰。許多合法的軟件計劃回收代碼以在已建立的基礎上創(chuàng)建新的應用程序,這為改進留出了空間。每個版本也有可能分支并發(fā)展成不同的東西,并且可以改進、修改和再次發(fā)布代碼。
當犯罪分子以這種方式更改他們的“應用程序”時,它會是什么樣子?讓我們以 Emotet 為例。
Emotet 就是不會退出
Emotet 于 2014 年作為銀行木馬首次被發(fā)現(xiàn),并繼續(xù)造成嚴重破壞。該惡意軟件家族從受害者的計算機中竊取敏感和私人信息,已經(jīng)感染了超過一百萬臺設備,被認為是十年來最危險的威脅之一。最近,它通過惡意 Microsoft Office 文件(稱為 maldocs)傳播,這些文件包含在網(wǎng)絡釣魚電子郵件中。Excel 4.0 宏或 VBA 宏用于運行惡意代碼,一旦受害者打開相關文檔,就會下載并啟動 Emotet 惡意軟件。
研究人員調(diào)查了 98 種不同的 Emotet 變體相互“借用”代碼的傾向。我們發(fā)現(xiàn) Emotet 自最初浮出水面以來的九年里經(jīng)歷了重大的物種形成。我們發(fā)現(xiàn),使用相當復雜的網(wǎng)絡社區(qū)檢測算法,這 98 種變體可以分為大約六種不同的惡意軟件“種類”,實際上所有這些變體至少共享部分代碼。
最初是一個銀行木馬,現(xiàn)在已經(jīng)變成了一個惡意軟件分發(fā)僵尸網(wǎng)絡。Emotet 使用垃圾郵件進行傳播,在訪問系統(tǒng)后,它會通過連接到該系統(tǒng)的聯(lián)系人列表繼續(xù)這樣做。Emotet 于 2021 年 1 月消失,但它具有彈性,并于當年 11 月卷土重來??偛吭O在俄羅斯的犯罪組織 Conti 被認為在 2022 年 5 月之前一直在使用 Emotet,當時該組織被關閉。
Emotet 之所以強大,是因為它主要依賴于其打包程序的多態(tài)性,使其能夠輕松繞過遺留的 AV 工具。Emotet 的創(chuàng)建者也在改變他們的行為方式,調(diào)整策略以避免被發(fā)現(xiàn),并增加他們的預期目標打開垃圾郵件的可能性。在奪取一臺計算機的控制權后,它會利用受害者的電子郵件帳戶和收件箱發(fā)起后續(xù)攻擊。
對抗復古潮流
贏得代碼重用和變體頻率之戰(zhàn)的關鍵在于響應時間。您快速防御、識別和化解此類風險的能力決定了您的安全立場是否成功以及您將敵人拒之門外的能力。云、網(wǎng)絡、端點和電子郵件都必須具有自動化和集中管理的防御。在整個分布式網(wǎng)絡中使用諸如分段之類的策略可以在架構設計發(fā)生變化時更輕松地檢測和停止跨基礎架構的橫向移動。
最后但并非最不重要的一點是,由機器學習提供支持的分析將有助于將非典型行為與需要立即評估和采取行動的警告相關聯(lián)?;贏I/ML的工具還可以檢測 Emotet 等病毒的新突變。對于決心保護其環(huán)境的企業(yè),在攻擊者的 TTP 配置文件上運行 MITRE ATT&CK 系統(tǒng)并定期測試針對您的網(wǎng)絡安全工具的新策略至關重要。攻擊模擬的解決方案和服務可以幫助進行差距分析和關閉。
戰(zhàn)勝危險趨勢
就像我們最喜歡的童年電視節(jié)目的有線重播一樣,惡意軟件世界中的一切舊事物都是新的。但與那些節(jié)目不同的是,惡意軟件不是一種受歡迎的消遣娛樂,而是一種必須主動應對的嚴重威脅。Emotet 只是組織需要注意的當前惡意軟件重啟趨勢的一個例子。使用上述防御策略來抵御這種危險的翻新迭代。