“萬能惡意軟件”開始快速流行

根據Picus Security的最新報告，可在網絡殺傷鏈中執行惡意操作并逃避檢測的“萬能惡意軟件”正在迅速增長。

該報告對來自商業和開源威脅情報，安全供應商和研究人員以及惡意軟件沙箱和數據庫中收集的超過55萬個真實惡意軟件樣本進行了分析。

2022年惡意軟件十大流行ATT&CK技術

研究人員提取了超過5萬個惡意行為，并使用這些數據來統計2022年網絡犯罪分子最常用的十種ATT&CK技術，列表如下（按流行度排序）：

• 使用命令和腳本解釋器運行任意代碼
• 從受感染系統的操作系統和實用程序轉儲憑據
• 數據加密
• 將惡意代碼注入合法進程（DLL注入、線程執行劫持、進程挖空等）
• 收集有關計算機系統或網絡的數據（以促進橫向移動）
• 使用遠程服務（例如RDP、SSH、VNC等）進行訪問和控制
• 濫用WMI（Windows Management Instrumentation）在受感染的Windows主機中執行惡意命令和有效負載
• 計劃任務/作業的使用
• 反虛擬化和反沙盒功能
• 發現遠程主機和網絡

分析表明：

• 惡意軟件平均利用11種不同的策略、技術和程序（TTP）。三分之一的惡意軟件（32%）利用20多個TTP，十分之一利用30多個TTP。
• 命令和腳本解釋器是最流行的ATT&CK技術，近三分之一的惡意軟件樣本使用了該技術。遠程系統發現和遠程服務首次出現在列表中，這進一步證明了惡意軟件現在可以濫用操作系統中的內置工具和協議來逃避檢測。
• 在10種最流行的ATT&CK技術中，有4種用于在企業網絡內橫向移動。
• 四分之一的惡意軟件能夠加密數據，這凸顯了勒索軟件的持續威脅。

Picus Labs分析的總樣本中有三分之一使用了超過20個TTP，這一事實表明惡意軟件正在“瑞士軍刀化”。惡意軟件越來越多地濫用合法軟件、執行橫向移動和加密文件。其復雜程度日益提高可能得益于資源豐富的勒索軟件集團的支持，同時也是針對防御者不斷進步的基于行為的檢測方法。

“萬能”惡意軟件成為趨勢

“現代惡意軟件有多種形式，”Picus Labs副總裁Suleyman Ozarslan博士指出：“一些惡意軟件負責執行基本功能，就好比外科醫生的手術刀，被設計成可以非常精確地執行單個任務。但是今天我們發現越來越多的惡意軟件幾乎可以做任何事情。這種‘瑞士軍刀式’的惡意軟件可以使攻擊者以極快的速度在未被發現的情況下在網絡中橫向移動，獲取訪問關鍵系統的憑據并加密數據。”

面對防御日益復雜的惡意軟件，安全團隊必須持續發展完善安全防御方法，確定常用攻擊技術的優先級，并不斷驗證安全控制的有效性，確保將注意力和資源集中在將產生最大影響的領域。