在過去一年中，網絡安全領域遭逢劇變。隨著地緣政治和經濟局勢日趨緊張和不確定，組織對有效的全球威脅情報的需求持續(xù)增長；隨著新的參與者和威脅在全球范圍內不斷涌現(xiàn)，威脅行為者也在持續(xù)進化，試圖開發(fā)并執(zhí)行新的戰(zhàn)術和方法。安全專家應該假設，沒有任何組織或個人能夠真正免于網絡威脅，并且越來越迫切地需要監(jiān)控和研究那些以新的姿態(tài)重新席卷而來的威脅。

隨著勒索軟件家族的規(guī)模和復雜程度日益增加——包括通過地下論壇與其他威脅參與者協(xié)調和合作，勒索軟件仍是全球許多組織始終存在的“夢靨”；誘騙個人泄露其設備或敏感信息的社會工程策略正變得越來越狡猾和有針對性，同時能夠輕松逃避安全工具的檢測；此外，正如在烏克蘭、以色列和其他地區(qū)的威脅活動所觀察到的那樣，為政治、經濟和領土野心服務的網絡攻擊趨勢仍在繼續(xù)。

Trellix高級研究中心威脅情報主管John Fokker表示：

“如今的網絡環(huán)境比以往任何時候都更加復雜。網絡犯罪分子——從勒索軟件家族到國家行為體組織——在調整策略以遵循新計劃方面正變得更加智能、快速、協(xié)調。我們預計這種情況在長期內不會發(fā)生變化。為了擺脫不斷升級的攻擊并智勝威脅參與者，所有行業(yè)都需要采用一種始終保持警惕、可操作、可理解并能適應新威脅的網絡戰(zhàn)略。這是我們在未來一年確保領先網絡犯罪分子一步的方法?！?/p>

下面，來自Trellix高級研究中心團隊的網絡安全專家和威脅研究人員匯總了他們對趨勢、策略和威脅的預測，隨著2024年的步伐漸進，組織應該牢記這些預測，以保持敏銳的目光向前發(fā)展。

人工智能的威脅

1. 惡意LLM的地下開發(fā)

人工智能的最新進展已經產生了能夠生成類似人類文本的大型語言模型（LLM）。雖然LLM在積極應用方面表現(xiàn)出了顯著的技術潛力，但其“兩用性”（dual-use）本質也使其容易受到惡意利用。與LLM相關的一個重要安全問題是，它們可能會被網絡罪犯濫用于大規(guī)模攻擊。

領先的LLM（如GPT-4、Claude和PaLM2）在生成連貫的文本、回答復雜的查詢、解決問題、編碼和許多其他自然語言任務方面取得了無與倫比的成果。但這些高級的LLM的可用性和易用性也為網絡罪犯打開了新世紀大門。與早期不那么復雜的人工智能系統(tǒng)不同，如今的LLM為黑客提供了一種強大而經濟的工具，消除了對大量專業(yè)知識、時間和資源的需求。值得注意的是，地下網絡犯罪市場成功把握住了這種價值。

為大規(guī)模網絡釣魚活動建立基礎設施已經變得更便宜、更容易，甚至對技術技能有限的個人同樣有效。像FraudGPT和WormGPT這樣的工具在網絡犯罪網絡中已經十分突出。如今流行的暗網論壇經常作為協(xié)同開發(fā)網絡釣魚電子郵件、假冒網頁以及創(chuàng)建惡意軟件和漏洞的平臺，這些惡意軟件和漏洞旨在逃避成千上萬用戶的檢測。這些LLM應用程序可以幫助緩解網絡犯罪分子所面臨的巨大挑戰(zhàn)，我們預計這些工具的開發(fā)和惡意使用將在2024年加速。

2. 腳本小子復興

最開始，免費和開源軟件的可用性導致了“腳本小子”（Script Kiddies）群體的興起，這些人幾乎沒有技術專長，主要依靠預先存在的自動化工具或腳本發(fā)動網絡攻擊。盡管他們有時被視為技能不熟練的業(yè)余愛好者或黑帽的追隨者，但先進的生成式人工智能工具的日益普及，以及它們被惡意軟件濫用的可能性，意味著腳本小子將對市場構成重大且日益增長的威脅。

現(xiàn)在，互聯(lián)網上充斥著各種人工智能驅動的工具，用于創(chuàng)建演示文稿、生成語音筆記、撰寫議論文等等。許多最著名的工具（如ChatGPT、Bard或Perplexity AI）都帶有安全機制，以防止其被用于編寫惡意代碼。然而，并非市場上所有可用的人工智能工具都存在安全機制，尤其是那些在暗網上開發(fā)的工具。

網絡犯罪分子獲得不受限制的生成式人工智能只是時間問題，這種人工智能可以編寫惡意代碼、創(chuàng)建deepfakes視頻、協(xié)助社會工程計劃等等。這將使技能有限的攻擊者比以往任何時候都更容易大規(guī)模地執(zhí)行復雜的攻擊。此外，廣泛利用這些工具來濫用漏洞將使攻擊溯源分析變得更具挑戰(zhàn)性。我們認為這是2024年需要仔細監(jiān)測的領域。

3. 用于社會工程的AI生成語音詐騙

AI生成語音詐騙的增加也是一個令人擔憂的現(xiàn)象，并預計會在未來一年出現(xiàn)繼續(xù)增長趨勢，給個人和組織帶來重大風險。這些騙局通常涉及社會工程策略，騙子使用心理操縱技術欺騙個人采取特定行動，例如披露個人信息或執(zhí)行金融交易。AI生成的語音在這方面發(fā)揮著至關重要的作用，因為它們可以向受害者灌輸信任和緊迫感，使他們更容易受到操縱。

AI的最新進展極大地提高了AI生成語音的質量。它們現(xiàn)在可以非常逼真地模仿人類的語言模式和細微差別，這使得區(qū)分真實和虛假的聲音變得越來越困難。此外，AI語音生成工具的可訪問性和可負擔性也進一步擴大其采用率。即使是沒有技術專長的人也可以很容易地利用這些工具來制造令人信服的人造聲音，從而使騙子有機可施。

可擴展性是另一個關鍵因素。騙子可以利用AI生成的聲音來自動化和放大他們的欺詐活動。他們可以通過個性化的語音信息或電話同時瞄準眾多潛在的受害者，增加他們的影響力和有效性。實時檢測AI生成的聲音是一項重大挑戰(zhàn)，特別是對于不熟悉這項技術的人來說。AI生成語音的真實性越來越高，使得受害者很難區(qū)分真實和虛假的通信。此外，這些騙局不受語言障礙的限制，允許騙子針對不同地理區(qū)域和語言背景的受害者。

網絡釣魚和語音釣魚攻擊都在上升。隨著AI語音技術的進步，威脅行為者將利用這些應用程序與受害者進行實時電話通話，冒充合法實體，以此提高其騙局的有效性。

威脅行為者行為的變化趨勢

4. 針對托管文件傳輸解決方案的供應鏈攻擊

托管文件傳輸（MFT）解決方案的設計初衷是在實體之間安全地交換敏感數(shù)據(jù)，但它本身就包含了大量機密信息，涉及知識產權、客戶數(shù)據(jù)、財務記錄等等。MFT解決方案在現(xiàn)代業(yè)務運營中發(fā)揮著關鍵作用，組織嚴重依賴它們來促進內部和外部的無縫數(shù)據(jù)共享。這些系統(tǒng)的任何中斷或破壞都可能導致重大的操作停機、聲譽受損和經濟損失。鑒于此，它們成為勒索軟件攻擊者的關鍵目標。

此外，MFT系統(tǒng)的復雜性及其與內部業(yè)務網絡的集成通常會產生安全弱點和漏洞，這些弱點和漏洞可能被網絡罪犯利用。就在上個月，我們看到Cl0P組織利用Go-anywhere MFT解決方案和MOVEit漏洞，將一個成功的漏洞變成了一個重大的全球軟件供應鏈漏洞。在接下來的一年里，我們預計這些類型的攻擊只會增加，有更多威脅行為者將參與其中。因此，強烈建議組織徹底審查其托管文件傳輸解決方案，實施數(shù)據(jù)丟失防護（DLP）解決方案并加密敏感數(shù)據(jù)以保護自己。

5. 惡意軟件威脅正變得多語言化

近年來，使用諸如Golang、Nim和Rust等編程語言開發(fā)惡意軟件的情況明顯增加。雖然與C或c++等其他語言相比，它的數(shù)量仍然很低，但我們預計這種情況在未來將有所改變。

Go的簡單性和并發(fā)能力使其成為制作輕量級和快速惡意軟件的最愛。Nim對性能和表現(xiàn)力的關注使得它對于創(chuàng)建復雜的惡意軟件非常有用。同時，Rust的內存管理功能對勒索軟件組織和其他關注惡意軟件樣本加密效率的威脅參與者極具吸引力。

缺乏針對這些語言的綜合分析工具，使得這個新興領域變得更加復雜。Nim和Rust相對較新，這意味著與C或Python等語言相比，現(xiàn)有的安全工具較少。分析工具的稀缺性給網絡安全專家?guī)砹酥卮筇魬?zhàn)，使他們難以剖析和抵御用這些語言編寫的惡意軟件。

最近幾個月，我們已經觀察到基于Golang的惡意軟件呈增加趨勢，因此，預測2024基于這些語言開發(fā)的惡意軟件將顯著激增。

6. 更多重的勒索軟件敲詐

由于勒索軟件組織主要是受經濟驅動的，所以看到他們找到新的方法向受害者勒索更多的錢并迫使他們支付贖金也就不足為奇了。我們開始看到勒索軟件組織聯(lián)系受害者的客戶，作為一種新的方式來施加壓力，回擊最新的勒索軟件緩解措施。這使得他們不僅可以向其攻擊的直接受害者勒索被盜數(shù)據(jù)，還可以向可能受到被盜數(shù)據(jù)影響的受害者的任何客戶進行勒索。

勒索軟件組織想辦法利用媒體和公眾的壓力來對付他們的受害者并不是什么新鮮事。早在2022年，澳大利亞最大的健康保險公司之一就遭遇了數(shù)據(jù)泄露。在向保險公司支付贖金的同時，威脅行為者還公布了大量醫(yī)療數(shù)據(jù)——導致公眾和官員向勒索軟件受害者施加壓力，要求他們支付贖金以刪除醫(yī)療信息。此外，由于發(fā)布的數(shù)據(jù)具有極大的私密性，許多客戶甚至走進保險公司的店面，提出要付費刪除自己的詳細信息。

隨著這種勒索形式越來越流行，它為這些攻擊者提供了新的途徑來勒索受影響的人。我們預計勒索軟件組織將更多地瞄準那些不僅處理敏感個人信息，還處理可用于勒索客戶的私密細節(jié)的實體。2024年，醫(yī)療保健、社交媒體、教育和軟件即服務（SaaS）行業(yè)將更容易受到這些勒索團伙的攻擊。

7. 選舉安全必須從保護“圈內人”開始

針對選舉安全的關鍵威脅仍然是基本的，通常從電子郵件或短信開始，“壞人”通過創(chuàng)造性的網絡釣魚計劃積極針對選舉官員，以試圖獲取憑據(jù)。回顧過去三年，“網絡釣魚”一詞被明顯地用于關注四個戰(zhàn)場州的關鍵官員。除非從城市和鄉(xiāng)村選舉官員到志愿者等各級參與的個人都得到保護，否則即將到來的選舉周期也不會有什么不同。

網絡攻擊（如魚叉式網絡釣魚和復雜的冒充）繼續(xù)使用電子郵件作為主要切入點，因為它可以高度定制，并專注于提高成功利用的水平。隨著我們離2024年大選周期越來越近，參與選舉的每個人都必須繼續(xù)仔細檢查電子郵件，不要相信無法識別的超鏈接。他們應該特別警惕高度針對性和復雜的冒充、商業(yè)電子郵件妥協(xié)（BEC）攻擊和魚叉式網絡釣魚活動，并考慮利用解決方案來檢測和阻止高級惡意文件和URL。

在選舉中發(fā)揮作用賦予所有個人權力，但這些作用也伴隨著一項重要的責任。每一個參與者都必須了解那些試圖通過非法手段影響選舉進程的人，并為他們做好準備。

新出現(xiàn)的威脅和攻擊方法

8. 內部威脅持續(xù)激增

近年來，內部威脅帶來了多方面的風險，影響著全球的公共和私人組織。內部威脅指的是任何人，無論是員工、承包商、合作伙伴，還是具有惡意訪問權限的人，他們曾經或現(xiàn)在有權訪問組織的關鍵資產，包括設施、信息、網絡和系統(tǒng)。根據(jù)最近的行業(yè)分析，在過去兩年中，內部威脅增加了47%，為遏制這些事件而造成的總損失為1538萬美元。

這種威脅破壞了組織的機密性和完整性，同時幫助對手收集情報，實施破壞行動，并使用詭計來實現(xiàn)他們的邪惡目標。隨著互聯(lián)設備的不斷增加，以及混合和遠程工作人員的持續(xù)存在，內部威脅只會繼續(xù)增長。快速增長的內部威脅對人員、流程和技術提出了巨大的挑戰(zhàn)。在當今的威脅環(huán)境中，組織必須識別、評估、檢測和管理這些內部威脅，以保持利益相關者的信心。

9. QR碼之戰(zhàn)愈演愈烈

基于二維碼的網絡釣魚活動的興起是另一個令人擔憂的趨勢。隨著我們的日常生活越來越依賴于數(shù)字交互，攻擊者也在調整他們的策略來利用新的漏洞。二維碼最初是為了方便和高效而設計的，但現(xiàn)在已經成為網絡犯罪分子用于實施攻擊的誘人工具。

QR碼網絡釣魚（Quishing）活動預計會增加的主要原因之一是它們固有的可信度。在新冠病毒大流行期間，從非接觸式支付到餐廳菜單，二維碼在日常生活的各個方面都變得至關重要。因此，人們已經習慣了不假思索地掃描二維碼，認為它們是安全的。這種信任感正在被網絡罪犯利用，他們在其中嵌入惡意鏈接或將受害者重定向到虛假網站。我們預計QR碼也將被用于傳播惡意軟件家族。

QR碼的創(chuàng)建和分發(fā)的便利性降低了進入網絡釣魚和惡意軟件分發(fā)世界的門檻。任何人都可以生成二維碼，并在其中嵌入惡意鏈接，這使其成為網絡犯罪分子瞄準受害者的一種既經濟又容易的方法。此外，QR碼為黑客提供了一種隱蔽的方式來傳遞他們的有效載荷。用戶甚至可能沒有意識到自己已經淪為網絡釣魚攻擊的受害者，直到為時已晚，這使得檢測和預防更具挑戰(zhàn)性。

傳統(tǒng)的電子郵件產品往往無法檢測到這些攻擊，這使得它們成為當今網絡罪犯的誘人選擇。隨著攻擊者不斷完善他們的戰(zhàn)術和制作令人信服的網絡釣魚誘餌，這些活動成功的概率將會上升。為了應對日益增長的QR碼網絡釣魚威脅，用戶在掃描二維碼時必須格外小心，尤其是來自未知或可疑來源的二維碼。

10. 對邊緣設備的隱形攻擊

威脅形勢正在悄然發(fā)生變化，主要集中在經常被忽視的邊緣設備領域。這些不起眼的組件（包括防火墻、路由器、VPN、交換機、多路復用器和網關）正成為高級持續(xù)威脅（APT）組織的新陣地。這次的不同之處在于威脅的微妙性；它并非關乎容易預見的物聯(lián)網漏洞，而是邊緣設備本身帶來的不太明顯的挑戰(zhàn)。

邊緣設備有其獨特的復雜性。然而，問題在于它們固有的檢測入侵的能力。與傳統(tǒng)的網絡組件不同，它不像連接另一個IDS或IPS那么簡單。從設計上講，通往數(shù)字世界的門戶是第一道也是最后一道防線。這使得它們既是目標也是盲點。APT組織不斷發(fā)展的策略，加上邊緣設備架構的多樣性，構成了一個巨大的挑戰(zhàn)。在強大的入侵檢測方面，MIPS或ARM等平臺的解決方案仍處于起步階段。在這場持續(xù)不斷的“貓鼠大戰(zhàn)”中，這顯然是一個“老鼠”得心應手，而“貓”仍捉摸不透的領域。

11. Python在Excel中創(chuàng)建一個潛在的新攻擊向量

隨著微軟在Excel中實施默認防御措施來阻止互聯(lián)網宏，威脅行為者對宏的使用出現(xiàn)了預期的下降。作為回應，他們正在探索最新的替代攻擊媒介，包括鮮為人知或未充分利用的OneNote文檔。然而，隨著最近Python在Excel中的創(chuàng)建和發(fā)布，我們預計這將成為網絡犯罪分子的潛在新載體。

隨著攻擊者和防御者繼續(xù)探索Python在Excel中的功能，可以肯定的是，惡意行為者將開始利用這項新技術作為網絡攻擊的一部分。當Python代碼在Azure的容器中執(zhí)行時，它可以在Power Query的幫助下訪問本地文件?，F(xiàn)在，微軟在Excel中創(chuàng)建和發(fā)布Python時確實考慮到了安全問題，并聲稱Python代碼和Visual Basic for Applications（VBA）宏之間沒有可能的聯(lián)系。此外，它只使用Python的Anaconda發(fā)行版的一個子集，提供對本地機器和互聯(lián)網的非常有限的訪問。

然而，如果被威脅參與者發(fā)現(xiàn)，這仍然有可能通過漏洞或錯誤配置被濫用。微軟的限制縮小了游戲范圍，但并沒有改變這樣一個事實，即這個新功能為威脅行為者創(chuàng)造了一個新的領域。

12. LOL驅動程序正在改變游戲規(guī)則

最近的許多安全事件表明，易受攻擊的驅動程序構成了重大威脅。簽名的脆弱驅動程序正在大出風頭，因為它們可以用于隱形持久性，并在攻擊的早期階段禁用安全解決方案。在這種攻擊中，惡意行為者會加載使用有效證書簽名的合法驅動程序，并且能夠在受害者的設備上以內核特權運行。成功的利用允許攻擊者實現(xiàn)內核級特權升級，從而授予他們對目標系統(tǒng)資源的最高級別訪問和控制。

ZeroMemoryEx Blackout項目、Spyboy開發(fā)的終結者（The Terminator）工具和AuKill工具都是繞過安全控制并執(zhí)行惡意代碼的脆弱驅動程序技術的例子。有一些功能和舉措可以防止這種攻擊，例如微軟的脆弱驅動程序黑名單（Vulnerable Driver Blocklist）和 LOL Drivers項目，旨在通過提供易受攻擊驅動程序和相關檢測機制的全面列表來彌補這一缺口。

然而，這并不能改變這樣一個事實，即這些攻擊很容易執(zhí)行，成功感染的可能性增加，易受攻擊的驅動程序更容易被訪問。由于這些原因，我們預計會看到更多這樣的基于驅動程序的漏洞利用，這將在2024年產生廣泛的影響。

原文鏈接：https://www.trellix.com/about/newsroom/stories/research/trellix-2024-threat-predictions/