安全分析与研究
专注于全球恶意软件的分析与研究
十年饮冰,难凉热血,我的2023年,2024年继续努力,奋斗……
前言概述
好几个月没有更新公众号了,最近这段时间有点忙,时光飞逝,岁月如梭,蓦然回首,2023年悄然而过,马上就要2024年了,今天是2023年的最后一个工作日,回顾自己的2023年,注定是忙碌且收获的一年。
一转眼又到了写年度总结的时候了,咱就整理一篇吧,就算是对自己全年相关工作的一个回顾与总结,并从一个安全研究人员的专业角度去分析一下全球一些安全威胁事件,回想自己写年度总结已经坚持了十多年了,以前没有公众号,就发在自己的博客上面,后面开始运营公众号,就在公众号上发布了。
2023年对于国内网络安全行业来说是艰难的一年,国内安全厂商安全业务增长放缓,部分安全厂商开始缩减成本,采取了一些降本增效的措施,包括高管降薪、收缩业务、精减人员等等,一些朋友开始担忧,其实大可不必,如果你真的热爱安全,就坚持去做就好了,安全本身是一个长期的过程,做安全真的需要一份热爱,需要持续坚持才能做好,并不是每个人都适合做安全,如果不是真的热爱这个行业,还是早点转行比较好,因为真的很难坚持,迟早也会慢慢被这个行业所淘汰。
国内安全企业业务增长放缓,是不是网络安全行业不行了?事实并非如此,2023年国外安全企业的增长其实都还不错,而且这一年各种网络安全事件层出不穷,网络犯罪日益猖獗、针对企业数据的安全攻击事件频繁发生,使得安全产品和安全服务需求都在大幅度增加,全球各国政府和企业都在寻找优秀的安全产品和安全服务给他们提供安全保障。
在全球网络安全形势严峻,网络安全保障需求增加的情况之下,然而国内安全企业业务增速反而放缓,经济形势可能是一方面原因,更多的原因,我觉得还是在自身,有没有把握自己的核心业务和核心能力,有没有站在客户的角度去思考问题,以客户导向帮助客户防御和解决这些安全问题?有没有持续提升自身的安全业务能力和服务水平?2023年你的客户最需要解决的安全问题究竟是什么?你是否为你的客户提供了持续的安全保障?这些可能都需要国内一些安全企业和安全从业人员好好思考一下,2024年国内安全企业和安全从业人员都需要更聚焦自己的核心业务和核心能力,持续为你的客户提供更好的安全产品和安全服务。
十年饮冰,难凉热血,脚踏实地,行稳致远,人需要沉淀与积累,才能变得更强大,2023年笔者仍然专注于全球流行恶意软件的分析与研究工作,同时重点关注全球企业面临的三大主流安全威胁,包含APT攻击、黑产攻击、勒索攻击,下面笔者就分别从全球流行的恶意软件以及APT、黑产、勒索这几个点跟大家一起回顾一下2023年全球安全威胁以及相关安全技术。
恶意软件
黑客与恶意软件,是一场网络安全持久战,只要存在黑客组织,他们就会持续不断的开发更新各种各样的恶意软件,恶意软件是黑客组织最常用的攻击武器,也是全球大多数顶级黑客组织获利的重要渠道之一,这些恶意软件被应用到各种网络安全攻击活动当中,包含各种APT攻击活动、挖矿勒索攻击活动、黑灰产攻击活动等,随着全球网络安全战的发展,各种Wiper类型的恶意软件被大量应用到了国与国之间的网络安全战,成为网络安全战的重要攻击武器,专门针对敌对国的基础设施进行网络攻击行动,破坏敌国的各种基础设施。
从计算机诞生的那一刻开始,计算机病毒也就开始流行了,最早的恶意软件其实就是简单的病毒、木马、后门、蠕虫等,随后互联网时代的到来,各种网络游戏与通讯应用软件不断的涌现,发展出了很多针对个人电脑的盗号木马,远控后门等,随着国家政企业重要核心数据的积累,黑客又将目光瞄准了一些国家的大型企事业单位,于是又开发出针对国家重要企事业进行定向APT攻击的木马后门,最近一些年虚拟货币的流行和发展,黑客又发现了新的利益,于时又出现了各种挖矿勒索病毒,恶意软件类型随着操作系统和平台的发展,也在不断在发展,无文件类型的恶意软件也在最近几年开始变的流行起来,恶意软件已经无处不在,防不胜防,关于恶意软件的详细内容,有兴趣的可以去参考笔者的另外一篇文章《你真的了解病毒分析吗?反病毒专家为你深度揭密》。
2023年全球流行的恶意软件家族,去年笔者已经给大家总结过了,可以去查看笔者去年的年度总结《2022年度总结》,今年全球主流的一些恶意软件家族变化不大,但在去年的基础上今年又新增了很多Stealer(窃密)类型恶意软件家族,加起来差不多有一百多种不同类型的Stealer,而且新的Stealer家族类型还在不断增加,如下:
其中比较流行的几大窃密家族,分别为:Lumma Stealer、StealC Stealer、AgentTesla、RedLine Stealer、FormBook、Lokibot、Strela Stealer、Statc Stealer、Bandit Stealer、Mystic Stealer、Atomic Stealer、Meduza Stealer、WhiteSnake Stealer、Meta Stealer、Strela Stealer、Prynt Stealer、ImBetter Stealer、DarkCloud Stealer、Stealerium Stealer、Enigma Stealer、Album Stealer、Arkei Stealer、Rhadamanthys Stealer等。
恶意Google Ads是攻击者传播恶意软件常见攻击手段之一,在搜索引擎上搜索任何流行免费软件的时候,受害者很可能会被诱骗或者重定向到虚假的软件网站,这些虚假网站有些被攻击者制作成与真实软件相同的网页,其中包含下载恶意软件的链接,有些直接诱骗受害者到某个指定的下载连接去下载恶意软件,2023年笔者发现多个攻击者使用Google Ad攻击活动,这些攻击活动覆盖了很多常用的工具和软件,利用这些伪装的工具和软件传播多个窃密木马或间谍软件等恶意软件,同时这些攻击样本使用“增肥”技术,样本体积高达几百M,以逃避安全软件的检测。
除了使用“增肥”技术以外,攻击者在开发样本的时候,还会使用更多的免杀绕过相关技术,笔者此前也整理过,如下所示:
2023年攻击者开始频繁使用BYOVD技术对抗终端安全软件,相关的开源项目也越来越多,这种技术被广泛应用到了各种APT、勒索、黑产等攻击活动当中,相关的开源的BYOVD项目,如下所示:
2023年2月,笔者猎捕到一例伪造成Cisco VPN证书更新程序的攻击样本,该样本同样使用OneNote作为载体进行传播,通过分析发现该OneNote攻击样本,发现该攻击样本传播了一种新型的C3木马通信程序,该通信木马免杀隐藏性非常强。
C3是一种自定义控制命令工具,由WithSecure安全实验室开发并维护,该工具允许红队快速开发和利用自定义的命令和控制通道,同时提供与现有攻击工具包的集成,可极大提高C2工具的免杀能力,该C3工具曾被用于DarkSide勒索病毒攻击活动,笔者预测未来OneNote载体可能会被应用到更多的APT攻击或定向勒索攻击活动当中,关于C3木马相关研究,可以参考链接
https://labs.withsecure.com/publications/hunting-for-c3。
2023年3月国外某安全厂商首次发现了一例绕过系统安全启动的UEFI BootKit攻击样本,被将它命名为黑莲花BlackLotus,笔者第一时间对该攻击样本进行了详细的跟踪分析,发现该样本存在多种反调试和反虚拟机技巧,通过分析发现该攻击样本主要利用了CVE-2022-21894漏洞来绕过系统启动安全检测,其实早在去年10月份,国外一名恶意软件开发者在地下论坛上出售一款名称为黑莲花BlackLotus的新型UEFI BootKit恶意软件,这款UEFI BootKit恶意软件售价为5000美元,具有集成的安全启动绕过功能,具有内置的Ring0/Kernel保护以防止被删除,并将以恢复或安全模式启动,同时该恶意软件还具备反虚拟机、反调试和代码混淆等功能,可以有效的阻止安全分析人员对其进行恶意代码逆向分析。
BlackLotus攻击样本的整体流程,如下所示:
除这次发现的BlackLotus之外,笔者此前还详细跟踪分析研究了多例国外一些安全厂商发现的一些UEFI BootKit类型的恶意软件家族以及相关技术,如下所示:
关于这些UEFI BootKit恶意软件家族以及使用的相关技术,笔者后面有空再给大家分享吧。
自从微软2022年开始默认阻止宏运行之后,黑客组织开始大量使用MSI、VHD、CHM、ISO等格式的文件载体传播恶意软件。
2023年黑客又开始大量使用OneNote文件格式传播恶意软件,OneNote是Microsoft创建的数字笔记本,可通过Microsoft 365产品套件获得,黑客组织使用OneNote主要是为了绕过威胁检测,2023年2月份到4月初笔者跟踪捕获到大量通过OneNote传播恶意软件家族的攻击样本,通过详细分析这些OneNote攻击样本,发现黑客组织主要利用这些OneNote攻击样本传播如下恶意软件家族:
同月,笔者跟踪捕获到一例,使用ChatGPT客户端安装程序捆绑Bumblebee木马的攻击样本,并对该样本进行了详细分析,攻击样本使用了合法的数字签字证书。
2023年5月,笔者分析了一例通过github下载恶意软件的钓鱼攻击样本,通过分析该攻击样本,发现该攻击样本在行为隐藏、流量隐藏和反溯源方面都做了相关处理,使得该攻击样本免杀效果还不错。
行为隐藏方面,攻击者使用与Chrome、Edge等浏览器更新程序类似的文件名或者使用Windows系统更新类似的文件名,设置与正常的Chrome、Edge和Windows系统更新计划任务非常相似的自启动计划任务。
流量隐藏方面,攻击者通过使用obfs4混淆Tor Bridge网络流量,隐藏真实的IP网络流量。
反溯源方面,攻击者上传github项目的邮箱地址被攻击者隐藏起来了,设置了指定github提交邮箱,邮箱地址格式为
[ID+USERNAME]@users.noreply.github.com,导致分析者无法拿到攻击者的真实邮箱地址。
2023年6月,ChatGPT火遍全球,AI技术被应用到全球各行各业当中,国内外各大厂商也开始推出自己的安全GPT,AI技术在网络安全行业得到了很多应用,不管是网络安全研究人员、安全厂商还是黑客组织都开始研究和使用AI技术,通过AI技术降低防御成本和攻击成本。
笔者最开始研究AI在网络安全一些场景的应用是在2017年的时候,当时AI技术最主要的应用就是利用AI进行WEB安全相关的检测以及利用AI进行恶意软件的分类、利用AI技术进行安全数据的分析等,近年来随着AI技术的发展,LLM模型的成熟,算力的持续提升与完善,AI技术不仅仅用于安全检测,还可以应用到安全攻防等多个方面,同时一些黑客组织还使用AI辅助开发恶意软件等。
AI技术的普及,在一定程度上确实会降低了安全攻击的成本,一些黑客组织已经开始使用AI技术来进行简单的自动化攻击活动,包括编写简单的恶意软件等,然而高端的黑客组织使用的攻击样本,目前来讲短时间内还是无法通过AI实现,比方笔者上面提到的这些全球顶级的流行恶意软件家族,也都还暂时无法使用AI来生成,复杂混淆免杀型恶意软件也无法使用AI来生成,高端定向的APT攻击样本也暂时无法使用AI完成,AI目前能做的事还是比较初级,还需要学习更多的专业安全知识,这就是一个长期的过程,AI目前可以作为一个工具,来提升一些效率,替代一些简单的工作,未来AI要走的路还很长,关于AI与网络安全更多相关的内容,可以参考笔者的文章《研究多态恶意软件,探讨网络安全与AI》。
2023年7月份,笔者跟踪发现一些黑客组织使用SocGholish框架发起新一轮的攻击活动,该攻击活动非常频繁,SocGholish被Malwarebytes称为全球企业面临的五种最危险的恶意软件之一,它通常伪装成关键的浏览器更新,欺骗受害者安装更新,下载安装RAT恶意软件。
黑客组织最早在2020年左右就开始使用SocGholish框架发起攻击活动,该框架模拟多个浏览器(Chrome、FireFox)更新、Flash Player更新等网站,通过钓鱼、水坑、社会工程技术等攻击手法诱骗受害者访问网站,并点击下载更新脚本,安装各种恶意软件,相关的攻击活动详细内容,可以参考笔者的文章《黑客组织利用SocGholish框架发动新一轮攻击活动》。
今年夏天,通过一次跨国行动打掉了QakBot恶意软件黑客组织之后,2023年底这款全球最流行的恶意软件Qakbot家族,更新了64位样本并针对全球酒店行业进行攻击活动,可谓是“野火烧不尽,春风吹又生”,黑客组织从未停止过开发更新他们的恶意软件并进行攻击活动。
2023年几款全球流行的RAT恶意软件,被应用到APT、黑产、勒索等攻击活动以及各种恶意软件攻击活动当中,2024年仍然需要持续关注这些流行的RAT家族,这几款RAT恶意软件家族分别为:Quasar RAT、Async RAT、NetSupport RAT、Remcos RAT、Reverse RAT、DcRAT等。
APT
2023年全球APT组织攻击活动事件也比较活跃,笔者主要关注的几个APT组织,如下所示:
Bitter APT组织主要采用鱼叉式钓鱼邮件攻击手法,附带CHM、LNK、WinRAR自解压恶意文件以及带漏洞的xlsx文件,对中国、巴基斯坦以及孟加拉等相关国家发起网络攻击活动,主要针对政府(外交、国防)、核工业、能源、国防、军工、船舶工业、航空工业以及海运等行业进行攻击,攻击中使用了多种不同的恶意软件家族,包含:wmRAT、BDarkRAT、BLilithRAT等,这些RAT恶意软件代码参考了开源的RAT恶意软件源代码。
CNC APT组织最早于2019年被发现,由于其使用的远控木马PDB信息中包含了cnc_client,因此取名为CNC APT组织,该组织通过鱼叉式钓鱼攻击,频繁针对我国多个重点教育、科研机构及航空航天等行业,通过恶意软件窃取高新研究技术成果,开展定向窃密攻击活动,同时还伪造国内合法企业证书、文件等相关信息以获取目标信任,攻击中使用了多种不同的恶意软件家族,包含:“摆渡”木马、cnc_client木马、GRAT2远控等。
Patchwork APT组织是一支疑似南亚某政府背景的黑客组织,最早于2009年左右被发现,主要攻击中国、巴基斯坦、孟加拉国等国家军工、外交、教育,科研机构等,窃密重要数据,该组织主要使用鱼叉式钓鱼攻击手法,附带伪造为PDF文件的LNK恶意文件,通过PS脚本从黑客远程C2服务器下载恶意软件,攻击中使用了多种不同的恶意软件家族,包含:BADNEWS木马、Spyder后门、Remcos RAT、Havoc C2、NorthStarC2、GRAT等。
以上三个APT组织应该是今年上半年针对我国军工、教育、科研机构以及航空航天等攻击比较频繁的APT组织,这些APT组织开展攻击活动的目标就是通过各种不同的恶意软件窃取这些组织和机构重要的科研成果和核心数据。
SiderWinder APT组织是一支疑似具有南亚政府背景的黑客组织,最早于2012年被发现,其攻击目标主要为中国、巴基斯坦、孟加拉国等国家的军工、外交、科研高校等敏感单位,2023年上半年发现该组织针对巴基斯坦攻击比较频繁,该组织主要使用鱼叉式钓鱼攻击手法,附带有密码的压缩包,压缩包包含一个LNK文件,通过LNK文件执行HTA,调用VBS脚本从黑客远程C2服务器下载恶意软件,或者通过带有恶意宏代码或带有漏洞的Office文档、RTF远程模板注入文档,通过执行宏代码、shellcode代码加载js脚本,或者远程模板链接,从黑客远程C2服务器下载NET加载器等恶意软件,攻击中使用多种不同的恶意软件家族,包含:NET Loader加载器、CS Loader加载器、DLL Loader加载器、JS和HTA脚本加载器、CS木马等。
2023年6月1日,俄罗斯联邦安全局揭露美国情报部门使用苹果移动设备的进行情报收集的攻击行动,相关的报告链接:
http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10439739%40fsbMessage.html
称发现数千台苹果手机被利用软件漏洞植入以前未知的恶意软件(VPO)。
除了国内用户外,还发现了在俄罗斯的外交使团和大使馆登记的外国号码和使用SIM卡的用户被该攻击活动感染,包括北约集团和后苏联空间国家,以及以色列、SAR特区和中国等。
俄罗斯情报部门收到的信息证明了美国苹果公司与国家情报界,特别是美国国家安全局的密切合作,提供软件漏洞以帮助达到监视目标的目的,并证实了已宣布的确保苹果设备用户个人数据隐私性和机密性的政策是不真实的,苹果公司为美国情报机构提供了广泛的能力,以监视白宫感兴趣的任何人。
随后卡巴斯基披露了一起以前未知的针对iOS设备的APT攻击活动,该攻击活动极其复杂且专业性很高,攻击的目的是在不易被发现的情况下,将间谍软件植入卡巴斯基员工iPhone设备当中,其中包括公司的中高层管理人员,攻击者通过使用iMessage 0day漏洞,使恶意软件以root权限运行,获得对设备和用户数据的完全控制,该起未知的针对iOS设备的移动APT攻击活动被卡巴斯基命名为Operation Triangulation(三角行动),详细报告链接:
https://securelist.com/operation-triangulation/109842/
卡巴斯基通过统一监控和分析平台(KUMA)监控到自己专用的移动设备的公司Wi-Fi网络的网络流量时,发现了一些异常,注意到来自几部基于iOS的手机存在可疑活动,由于不能从iOS内存检查这些设备是否存在问题,卡巴斯基的研究人员,针对这些可疑的iOS手机创建了离线备份,通过使用移动验证工具包mvt-ios检测这些备份数据,从而发现了该APT攻击活动。
卡巴针对可疑的iOS设备创建了离线备份,该备份包含了一些用户数据和服务数据库,通过备份数据中的文件、文件夹和数据库记录的时间戳允许粗略地重建设备上发生的事件,使用mvt-ios工具生成事件的时间线,基于事件的时间线,可以推导出iOS设备被攻击的过程。
1.目标iOS设备通过iMessage服务接收到一条消息,该消息包含一个漏洞的附件。
2.在没有任何用户交互的情况下,消息会触发漏洞导致恶意代码执行。
3.恶意代码会从C&C服务器上下载后续阶段的恶意代码,其中包括用于提权的漏洞利用恶意代码。
4.提权漏洞恶意代码成功执行之后,会从C&C服务器下载最终的payload恶意代码,是一个功能齐全的APT攻击平台武器。
5.最后删除附中的初始消息和漏洞附件。
可能由于iOS操作系统的限制,该APT攻击平台武器不具备持久化操作,所以多台设备的时间线显示该攻击活动在重启后被再次感染。
该攻击活动最早的攻击痕迹发生在2019年,一直在2023年6月,该攻击活动仍然在继续,攻击的目标是最新版设备iOS15.7,最终的payload以root权限运行,用于收集系统和用户信息,其中包括麦克风录音、即时通讯工具的照片、地理定位以及许多其他活动的数据,并且可以运行从C&C服务器作为插件模块下载的任意代码。
近期卡巴斯基公布了整个攻击活动的相关详细,还原了整个攻击链,如下所示:
整个攻击链使用4个0day漏洞,分别为:
(1)Apple独有的ADJUST True Type字体指令远程代码执行漏洞CVE-2023-41990,执行JavaScript进行提权。
(2)整数溢出漏洞CVE-2023-32434来获取用户级别对设备整个物理内存的读/写访问权限。
(3)利用Safari漏洞CVE-2023-32435来执行 shellcode。
(4)利用两个相同的内核漏洞CVE-2023-32434和CVE-2023-38606,来获得根权限并继续执行其他阶段,加载间谍恶意软件。
Lazarus是疑似具有东北亚背景的APT组织,其攻击活动最早可追溯到2007年,Lazarus早期主要针对政府机构以窃取敏感情报为目的,但自2014年后开始以全球金融机构、虚拟货币交易场等为目标,进行敛财为目的的攻击活动。
最近一两年该组织还针对安全研究人员展开多次供应链投毒攻击活动,2023年Lazarus APT也频繁发起多次供应链攻击活动,此前3CX软件供应链攻击事件幕后组织就疑似为Lazarus APT组织,还包括2023年下半年npm包供应链的攻击事件,同时该APT组织今年针对macOS平台攻击非常频繁,开发了多个不同的macOS平台的恶意软件,针对macOS用户进行窃密攻击活动,攻击中使用多种不同类型的恶意软件,包含:RustBucket、MacStealer、Atomic Stealer、QuiteRAT。
2023年一个比较有趣的组织,就是疑似海莲花最新的攻击活动,该攻击活动使用鱼叉式钓鱼攻击手法,附带伪造成PDF文件的LNK恶意文件或者使用CHM,ISO等恶意载体,执行HTA脚本,通过白+黑的方式加载恶意软件,最终的恶意软件基本都是使用CS木马,这些攻击活动的一些特征与此前海莲花组织有一些类似,但是攻击技巧又与APT28、APT29组织有一些类似,笔者暂没有确切的证据证明该攻击活动背后的组织是海莲花,不过部分友商已经标记成了海莲花APT组织,是不是海莲花组织学习模仿APT28、APT29的攻击技巧,然后进行“假旗”攻击活动,同时还发现该组织利用相关漏洞针对Linux平台进行相关的攻击活动,其样本免杀效果非常好。
除了上面笔者比较关注的一些APT组织以外,2023年活跃的APT组织还包含:Kasablanka、SideCopy、Donot、APT37、APT-C-36、Group123、Konni、GroupA21等,这些APT组织的攻击活动大部分是境外针对境外的攻击活动,有兴趣的可以参考一些分析报告进行分析研究,笔者就不一一介绍了。
2023年基于供应链攻击的安全事件也在频繁发生,供应链攻击技术是APT攻击组织常用的攻击技术之一,也是最近一些年APT攻击组织使用最多的攻击方式之一,主要针对特定的企业和用户进行定向攻击活动,供应链攻击方式多种多样,软件供应链攻击是供应链攻击当中比较主流的一种攻击方式,基于软件源代码、开源软件第三方包和软件开发工具相关等攻击都是软件供应链攻击,2023年供应链相关安全事件,如下所示:
其中3CX软件供应链攻击事件,笔者此前对相关样本进行了详细分析,后面又对整个攻击事件进行了详细的分析,该3CX软件供应链攻击事件是全球首例双供应链攻击事件,整个攻击链包含两次供应链攻击活动,已经溯源分析到背后的攻击者疑似Lazarus APT组织,后面有空再给大家详细分享。
黑产
2023年的黑产行业,笔者只能用疯狂两个字来形容了, 特别是与“银狐”工具相关的黑产组织基乎每天都在更新自己的基础设施以及攻击样本,攻击技巧和手法也是变化非常快,笔者此前研究过一些相关的黑灰产攻击活动,还真没有见过更新如此之快,基础设施如此之多的黑产。
随着各厂商对“银狐”的深入分析,可以得出“银狐”并不是一个黑产组织,而是一个工具,与“银狐”相关的黑产组织很多,“银狐”工具开发运营维护黑产组织人员通过类似MAAS模式分发他们开发的各种不同类型的“银狐”工具,然后再由其他各大小黑产组织进行传播感染。
整个“银狐”黑色产业链,包含有专业的恶意软件开发人员,这些恶意软件开发人员主要负责“银狐”免杀样本的开发、更新和运营,他们每天的任务基本上就是研究各种免杀技术,通过各种混淆加密和免杀加载方式,以逃避安全厂商的检测,这有点类似“红队”开发人员的工作,然后他们将这些攻击样本上传到一个类似MAAS恶意软件分发平台,再由其他一些黑产组织进行分发传播,并维护相关的基础设施,同时他们应该还有专门的诈骗运营团队,“银狐”工具远程控制这些受害企业之后,诈骗运营团队的工作人员,就需要对这些受害企业进行诈骗攻击,这可能是一种新型的“诈骗”模式吧。
最后就是利益分配了,这些与“银狐”工具相关的黑产组织形成了一个庞大的运转机构,里面分工明确,每个团队既相互联系,又相互独立运营,环环相扣,这就是为啥“银狐”会更新如此频繁,更新速度如此之快的原因,有点类似RAAS模式的勒索病毒运营,不过它比勒索病毒RAAS运营更新要快的多的多。
笔者从2023年3月份开始深入分析和研究与“银狐”相关的黑产组织,差不多一年的时候,分析和研究的“银狐”黑产相关的攻击样本有好几百个,其中“银狐”工具变种高达30个变种之多。
各种免杀加载方式也有10多种不同的变种,基本上每隔一个月左右就会出现一批最新的变种样本,从3月份一直到现在,笔者基本上每天都会花一定时间出来分析和跟踪银狐的最新攻击样本,变化真的太快了,其中某个样本的整体攻击流程,如下所示:
2023年国内一些主要的黑产团伙或家族,如下所示:
(银狐可能并不是一个团伙,可以代指一个工具或一个恶意软件家族Gh0st等,被一个或多个黑产团伙使用)
勒索
勒索攻击早已经成为全球网络安全最大的威胁之一,未来随着全球数字经济的发展,勒索攻击在未来几年,甚至很长的一段时间内仍然是全球最大的网络安全威胁,很多人不太懂勒索攻击,很简单的以为勒索攻击不就是加密文件吗?现在勒索攻击已经发展到了第四代勒索攻击了,并不是最开始单纯的加密文件,对于还不太了解勒索攻击的朋友,可以先去阅读一下笔者之前一篇文章《关于勒索病毒你不得不懂的知识点》。
随着云计算的发展,针对VMware虚拟化平台的勒索攻击活动不断增多,2023年已经出现多例针对VMware ESXi的勒索攻击活动,例如:
Qilin勒索病毒,利用ESXi服务器漏洞,进行勒索攻击活动。
一些勒索攻击活动通过利用应用或系统漏洞进行勒索攻击,传播相应的勒索病毒,加密企业数据,例如:
Akira勒索病毒,通过Cisco VPN漏洞,进行勒索攻击活动。
C3RB3R勒索病毒,利用Confluence exploit (CVE-2023-22518) 漏洞,进行勒索攻击活动。
LockBit开发出针对macOS平台的攻击样本,同时针对波音等全球多个大型企业进行攻击。
Tellyouthepass勒索病毒,利用海康威视综合安防管理平台漏洞,上传WebShell获取系统权限,进行勒索攻击活动。
Mallox勒索病毒,利用多个管理系统漏洞,针对国内多个能源、数据中心、高科技、金融和生物制药企业进行勒索攻击。
一些勒索病毒家族,会攻击数据库软件,例如:
FreeWorld勒索病毒攻击MSSQL数据库。
2023年随着BYVOD技术的流行,一些勒索病毒也开始使用BYVOD技术,例如:
使用AuKill工具通过BYOVD攻击禁用终端安全EDR软件。
未来勒索攻击的形式可能还会有新的模式出现,针对大型企业APT式的定向勒索会成为未来勒索攻击的主流,不管勒索攻击的模式如何变化,最核心的一点就是保障企业的数据安全,2023年一些主流的勒索病毒家族,如下所示:
除了上面这些流行的勒索病毒家族以外,2023年还出现一些新型的小众勒索病毒以及一些老牌勒索病毒更新版本,2023年勒索病毒家族列表,如下:
这些勒索病毒家族在笔者勒索病毒知识星球都有相关的威胁情报以及分析报告等,有兴趣的可以去学习研究一下。
威胁洞察
网络犯罪已经成为了全球第三大经济体,而且增速全球第一,2024年全球的各种网络犯罪攻击活动,包含各种恶意软件攻击、勒索、APT、黑产等攻击活动也会同比增加。
1.各种新型恶意软件会不断涌现,特别是Stealer窃密类木马以及RAT远控类木马,会被应用到各种网络攻击活动当中,针对个人核心数据进行窃取,窃密的数据可能会成为未来针对企业进行网络攻击的入口点。
2.数字签名证书被滥用,笔者跟踪分析了多款最新的全球流行恶意软件家族都带了正常的数字签名证书,攻击者通过这种手段逃避安全厂商的检测。
3.最近几年攻击者开始使用更多的语言开发恶意软件,这些语言包含最近几年比较流行的GO、Rust、Python、NIM等,未来可能还会使用更多的小众化语言,Lazarus APT组织就开始使用D语言开发新型恶意软件。
4.勒索未来会越来越多的转向针对大型企业进行定向勒索攻击,不仅仅是加密企业数据,同时会盗取企业核心数据,未来几年勒索仍然将是企业面临的最大威胁,尤其是针对企业核心数据的勒索。
5.针对MacOS系统的恶意软件攻击活动会明显增加,随着越来越多的企业人员使用MacOS进行日常办工交流,笔者观察到今年MacOS平台的恶意软件在开始流行,类似Lazarus APT组织今年针对MacOS系统的攻击活动明显增多了。
6.国内黑产明年仍然会非常流行,这种新型“诈骗”模式确实能带来巨大的利益,黑产团伙仍然会不断开发、更新和维护自己的攻击样本,以逃避安全厂商的检测查杀。
7.基于供应链的攻击活动会增多,像利用MOVEit漏洞实施大规模软件供应链攻击活动,还有一些基于Pypi库进行供应链攻击活动,一些提供基础服务供应商和企业,是黑客进行供应链攻击的首选目标,同时基于供应链的攻击活动也是未来高端APT组织最重要的攻击手段,类似Solarwinds、3CX这类攻击活动。
8.针对云基础设施和平台的攻击活动,以及针对OT平台的攻击活动会增加,随着全球云计算和物联网时代的发展,越来越多的云服务厂商和OT平台业务企业可能会成为黑客攻击的目标之一,例如针对这些云服务器基础设施和OT平台进行勒索攻击。
9.高级黑客组织的攻击活动,未来会针对IT硬件设备进行攻击,利用硬件漏洞,类似Operation Triangulation攻击活动和UEFI BootKit攻击活动。
10.笔者跟踪分析一些高端恶意软件攻击活动发现,这些高端的恶意软件基本上都是由多个模块组织的,在免杀效果上做的非常好,这些高端攻击样本不会像一些勒索病毒一样只有一个文件,会隐藏在很多文件当中,伪装自己,同时高端的攻击活动,也往往不会只使用一种恶意软件,可能会使用多个不同类型的恶意软件,在不同的阶段使用不同的恶意软件,很多恶意软件模块还是从远控下载回来执行的,整个攻击过程会使用多个不同的攻击技术、攻击样本和多个不同类型的漏洞等。
恶意软件、勒索、APT、黑产明年仍然是全球企业面临的最大的安全威胁,同时也是全球网络犯罪的最主要经济来源,是最需要安全厂商密切关注和研究的方向,未来攻击者仍然会不断的开发新的恶意软件,研究各种新的攻击技术,使用新的攻击手法,进行更复杂的攻击活动,这将会不断增加安全威胁分析和情报人员分析溯源,应急响应的难度,安全研究人员需要不断提升自己的安全能力,更好的应对未来各种威胁挑战,安全对抗会持续升级,这是一个长期的过程,也正如笔者一直说的,做安全不是一个结果,做安全是一个过程,因为永远没有结果,各种网络安全威胁会不断变化和升级,我们需要快速应对这些威胁。
总结结尾
好了,就先写到这里吧,不知不觉发现已经有一万多字了,安全包含的东西真的是太多太多了,笔者也仅仅只是从笔者专注的恶意软件方向跟大家分享2023年分析和研究的一些安全威胁、安全事件以及安全技术,安全本身是一个持续对抗不断升级的过程,安全的核心就是技术对抗,上面提到的仅仅只是笔者比较关注和一直在研究的一些安全威胁,事实上全球每年都会有很多新的安全威胁事件出现,每天都在发生各种各样的安全攻击事件,真的是数不甚数,各种安全威胁事件也是层出不穷。
2023年,笔者每天就是在不断跟踪分析和研究最新出现的各种不同类型的攻击事件和攻击样本,非常简单、纯粹、实在,也非常有趣,这些攻击事件和攻击样本,都是全球企业每天面临的最真实的一些安全威胁,也是企业最需要解决的安全问题,通过分析和研究这些恶意软件和攻击组织,可以实时了解最新的黑客组织攻击活动和攻击动态。
笔者需要对这些攻击事件和攻击样本进行溯源分析,确认该攻击样本是属于哪个黑客组织的,并构建这些黑客组织的完整画像,深度还原这些黑客组织的内部组织架构等,这些都需要花费笔者大量的时间和精力,也需要笔者平时大量的知识积累,不断提长自己的安全能力,才能更准确更清楚的了解这些黑客组织,为客户提供更专业的安全服务。
2023是忙碌且收获的一年,笔者这一年详细跟踪了多个黑客组织,同时深度研究和积累了多个安全技术,安全的路还很长,还需要继续努力奋斗,不断追求,不断前行,随着时代的发展,会出现各种各样的新型安全威胁,做安全就是活到老,学到老,一直持续不断的研究和积累,没有别的花里胡哨的东西。
2024年注定也将是更加忙碌的一年,因为有太多的恶意软件需要笔者去深入的分析研究,太多的黑客组织需要笔者去分析溯源,弄清这些黑客组织的组织画像和整体架构,这些工作都需要笔者投入大量的精力和时间,可以研究最新的攻击样本,了解最新的黑客组织攻击技术,与这些黑客组织进行深度的“对抗”,黑客组织都在不断进步,做安全的我们更不能停止脚步。
2023年已过,2024年希望大家继续保持积极乐观的心态,努力奋斗,就一定会收获满满。
最后还是那句老话:做安全,不忘初心,与时俱进,方得始终。(有时候我们要多想想自己当初为什么选择进入安全行业,从事相关的安全工作,做安全就好好研究技术,多花时间研究一下客户可能遇到的安全威胁有哪些,而不要天天去想着怎么混圈子,混圈子没有意义,不需要浪费太多的时间去混圈子,你认识某某人,没有任何意义,在一个行业能够认识一些志同道合的人,一起分析研究,一起做点事情比混圈子更实在,更有用,其实任何一个行业都是一样的,你能给别人带来或创造什么价值,才取决你能在这个行业走多远,在任何一个行业不是你认识多少人,而是看多少人认可你,打铁还需自身硬,努力提升自身的价值才是最重要,从事安全行业你要多花时间去研究如何帮助你的客户去解决他们遇到的实际安全问题,不断提升自己的安全能力,用你的专业能力去获得你的客户认可,才是做好安全的根本,才是最重要的事情)
笔者一直从事与恶意软件威胁情报相关的安全分析与研究工作,包含各种各样的不同类型的恶意软件,通过深度分析和研究这些恶意软件,了解全球黑客组织最新的攻击技术以及攻击趋势。
做安全,不忘初心,与时俱进,方得始终!
安全分析与研究,专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动,欢迎大家关注。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究
心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,安全的路还很长,一辈子只做一件事,坚持、专注,专业!
