許多最成功的網(wǎng)絡(luò)犯罪分子都很精明；他們想要良好的投資回報(bào)率，但他們不想重新發(fā)明輪子才能獲得它。

?很明顯，網(wǎng)絡(luò)犯罪是世界上最賺錢的非法產(chǎn)業(yè)之一——可能占據(jù)頭把交椅。由于與投資回報(bào)相關(guān)的自有品牌關(guān)鍵績(jī)效指標(biāo)，威脅行為者的策略變得更加細(xì)致和富有創(chuàng)造力，甚至恢復(fù)了過(guò)時(shí)和被遺忘已久的技術(shù)。畢竟，如果成功翻拍一部經(jīng)典影片可以產(chǎn)生新的收入，制片人會(huì)欣然接受。

許多最成功的網(wǎng)絡(luò)犯罪分子都很精明；他們想要良好的投資回報(bào)率，但他們不想重新發(fā)明輪子才能獲得它。這就是他們利用現(xiàn)有基礎(chǔ)設(shè)施和舊威脅來(lái)最大化機(jī)會(huì)的原因之一。作為一名安全專家，需要了解攻擊者的意圖，以便可以適當(dāng)?shù)丶匈Y源。

重塑經(jīng)典

當(dāng) FortiGuard Labs 研究團(tuán)隊(duì)展望 2022 年下半年時(shí)，代碼重用（舊代碼被改造成新版本）以及僵尸網(wǎng)絡(luò)、惡意軟件和擦除器空間中知名名稱的重新出現(xiàn)——例如 Emotet 和 GandCrab，其中 - 提醒人們威脅和惡意軟件永遠(yuǎn)不會(huì)真正消失。他們只是退到地下，等待另一個(gè)機(jī)會(huì)。任何想購(gòu)買的人都可以隨時(shí)批發(fā)購(gòu)買。

事實(shí)上，觀察到的大多數(shù)頂級(jí)惡意軟件都存在了一年多。某些惡意軟件類型已被網(wǎng)絡(luò)安全標(biāo)準(zhǔn)淘汰。許多合法的軟件計(jì)劃回收代碼以在已建立的基礎(chǔ)上創(chuàng)建新的應(yīng)用程序，這為改進(jìn)留出了空間。每個(gè)版本也有可能分支并發(fā)展成不同的東西，并且可以改進(jìn)、修改和再次發(fā)布代碼。

當(dāng)犯罪分子以這種方式更改他們的“應(yīng)用程序”時(shí)，它會(huì)是什么樣子？讓我們以 Emotet 為例。

Emotet 就是不會(huì)退出

Emotet 于 2014 年作為銀行木馬首次被發(fā)現(xiàn)，并繼續(xù)造成嚴(yán)重破壞。該惡意軟件家族從受害者的計(jì)算機(jī)中竊取敏感和私人信息，已經(jīng)感染了超過(guò)一百萬(wàn)臺(tái)設(shè)備，被認(rèn)為是十年來(lái)最危險(xiǎn)的威脅之一。最近，它通過(guò)惡意 Microsoft Office 文件（稱為 maldocs）傳播，這些文件包含在網(wǎng)絡(luò)釣魚(yú)電子郵件中。Excel 4.0 宏或 VBA 宏用于運(yùn)行惡意代碼，一旦受害者打開(kāi)相關(guān)文檔，就會(huì)下載并啟動(dòng) Emotet 惡意軟件。

研究人員調(diào)查了 98 種不同的 Emotet 變體相互“借用”代碼的傾向。我們發(fā)現(xiàn) Emotet 自最初浮出水面以來(lái)的九年里經(jīng)歷了重大的物種形成。我們發(fā)現(xiàn)，使用相當(dāng)復(fù)雜的網(wǎng)絡(luò)社區(qū)檢測(cè)算法，這 98 種變體可以分為大約六種不同的惡意軟件“種類”，實(shí)際上所有這些變體至少共享部分代碼。

最初是一個(gè)銀行木馬，現(xiàn)在已經(jīng)變成了一個(gè)惡意軟件分發(fā)僵尸網(wǎng)絡(luò)。Emotet 使用垃圾郵件進(jìn)行傳播，在訪問(wèn)系統(tǒng)后，它會(huì)通過(guò)連接到該系統(tǒng)的聯(lián)系人列表繼續(xù)這樣做。Emotet 于 2021 年 1 月消失，但它具有彈性，并于當(dāng)年 11 月卷土重來(lái)?？偛吭O(shè)在俄羅斯的犯罪組織 Conti 被認(rèn)為在 2022 年 5 月之前一直在使用 Emotet，當(dāng)時(shí)該組織被關(guān)閉。

Emotet 之所以強(qiáng)大，是因?yàn)樗饕蕾囉谄浯虬绦虻亩鄳B(tài)性，使其能夠輕松繞過(guò)遺留的 AV 工具。Emotet 的創(chuàng)建者也在改變他們的行為方式，調(diào)整策略以避免被發(fā)現(xiàn)，并增加他們的預(yù)期目標(biāo)打開(kāi)垃圾郵件的可能性。在奪取一臺(tái)計(jì)算機(jī)的控制權(quán)后，它會(huì)利用受害者的電子郵件帳戶和收件箱發(fā)起后續(xù)攻擊。

對(duì)抗復(fù)古潮流

贏得代碼重用和變體頻率之戰(zhàn)的關(guān)鍵在于響應(yīng)時(shí)間。您快速防御、識(shí)別和化解此類風(fēng)險(xiǎn)的能力決定了您的安全立場(chǎng)是否成功以及您將敵人拒之門外的能力。云、網(wǎng)絡(luò)、端點(diǎn)和電子郵件都必須具有自動(dòng)化和集中管理的防御。在整個(gè)分布式網(wǎng)絡(luò)中使用諸如分段之類的策略可以在架構(gòu)設(shè)計(jì)發(fā)生變化時(shí)更輕松地檢測(cè)和停止跨基礎(chǔ)架構(gòu)的橫向移動(dòng)。

最后但并非最不重要的一點(diǎn)是，由機(jī)器學(xué)習(xí)提供支持的分析將有助于將非典型行為與需要立即評(píng)估和采取行動(dòng)的警告相關(guān)聯(lián)?；贏I/ML的工具還可以檢測(cè) Emotet 等病毒的新突變。對(duì)于決心保護(hù)其環(huán)境的企業(yè)，在攻擊者的 TTP 配置文件上運(yùn)行 MITRE ATT&CK 系統(tǒng)并定期測(cè)試針對(duì)您的網(wǎng)絡(luò)安全工具的新策略至關(guān)重要。攻擊模擬的解決方案和服務(wù)可以幫助進(jìn)行差距分析和關(guān)閉。

戰(zhàn)勝危險(xiǎn)趨勢(shì)

就像我們最喜歡的童年電視節(jié)目的有線重播一樣，惡意軟件世界中的一切舊事物都是新的。但與那些節(jié)目不同的是，惡意軟件不是一種受歡迎的消遣娛樂(lè)，而是一種必須主動(dòng)應(yīng)對(duì)的嚴(yán)重威脅。Emotet 只是組織需要注意的當(dāng)前惡意軟件重啟趨勢(shì)的一個(gè)例子。使用上述防御策略來(lái)抵御這種危險(xiǎn)的翻新迭代。