SC Media指出， BlackLotus 、Emotet 、Beep 和Dark Pink是2024年威脅最大的惡意軟件家族。每個惡意軟件家族都在不斷演變其戰(zhàn)術(shù)，了解這些惡意軟件的行為、動機和目標，已成為企業(yè)和安全團隊構(gòu)建有效防御策略的關(guān)鍵。

1.BlackLotus：引導程序黑馬

BlackLotus 已成為首個已知能夠繞過安全啟動的惡意軟件，針對現(xiàn)代 Windows 系統(tǒng)的統(tǒng)一可擴展固件接口（UEFI）層。通過嵌入固件，它能夠規(guī)避標準檢測并在重啟后保持持久性。這種深層系統(tǒng)妥協(xié)使攻擊者能夠長期訪問，以進行間諜活動、破壞或勒索操作。

BlackLotus 將理論變?yōu)楝F(xiàn)實，通過繞過安全啟動保護實現(xiàn) UEFI 引導程序攻擊。其使用反分析功能使其難以被檢測，其跨平臺能力威脅到依賴系統(tǒng)正常運行和保證安全性的行業(yè)，如關(guān)鍵基礎設施、金融服務和醫(yī)療保健。

BlackLotus 以系統(tǒng)底層安全為目標，導致傳統(tǒng)防御措施失效。它對政府、金融和國防等高監(jiān)管和高安全要求的行業(yè)構(gòu)成重大威脅。它在高度敏感環(huán)境中能夠持續(xù)不被檢測的能力，標志著固件級攻擊的升級，要求情報機構(gòu)和私營組織重新評估硬件和固件安全措施。

為了防御 BlackLotus，組織應優(yōu)先進行 UEFI 更新，實施固件安全控制，并定期進行系統(tǒng)審計。多因素身份驗證和基于硬件的安全措施（如受信任的平臺模塊 TPM）至關(guān)重要。

2.Emotet：持久的網(wǎng)絡釣魚者

Emotet 曾是一種銀行木馬，現(xiàn)已演變?yōu)槎喙δ軔阂廛浖脚_，通過帶有惡意附件的網(wǎng)絡釣魚電子郵件進行傳播。Emotet 還充當其他惡意軟件的傳播機制，包括勒索軟件，通過電子郵件劫持將自身嵌入合法商業(yè)對話中。

該惡意軟件在電子郵件劫持和社交工程策略中的作用變得日益復雜，使得網(wǎng)絡釣魚電子郵件更難以檢測。金融服務和法律領(lǐng)域依賴通信的行業(yè)尤其容易受到攻擊。

Emotet 作為惡意軟件傳播平臺的角色及其嵌入受信任電子郵件線程的能力，使其成為一個重要的情報威脅，尤其是在數(shù)據(jù)保密性至關(guān)重要的行業(yè)。情報團隊應監(jiān)控其與其他惡意軟件運營者的合作關(guān)系，因為 Emotet 通常作為更大規(guī)模勒索軟件或數(shù)據(jù)外泄活動的門戶。

組織應加強網(wǎng)絡釣魚防御，收緊電子郵件過濾，并培訓用戶識別可疑電子郵件。限制宏使用和附件處理可以減少暴露風險。

3.Beep：靜默入侵者

Beep 惡意軟件旨在隱蔽性強，采用延遲執(zhí)行等技術(shù)以避免沙箱檢測。它通過模塊化組件傳遞惡意負載，允許攻擊者根據(jù)目標環(huán)境定制攻擊。Beep增強了其模塊化，使得部署多樣化的惡意負載變得更加容易。它主要針對缺乏嚴格端點監(jiān)控的 Windows 企業(yè)系統(tǒng)，尤其是在零售、物流和制造等行業(yè)。

該惡意軟件專注于規(guī)避檢測和模塊化，給傳統(tǒng)檢測方法帶來了挑戰(zhàn)。它代表了一種日益增長的惡意軟件即服務（MaaS）趨勢，多個威脅行為者可以利用該趨勢進行間諜或勒索活動。其隱蔽能力對管理敏感數(shù)據(jù)或知識產(chǎn)權(quán)的行業(yè)尤其令人擔憂。

安全團隊應投資于行為分析工具，并監(jiān)控網(wǎng)絡流量中的異常情況。通過反規(guī)避機制加強端點檢測將有助于減輕 Beep 的風險。

4.Dark Pink：區(qū)域間諜專家

Dark Pink，也被稱為Saaiwc組，是一個APT間諜組織。該組織主要在亞太地區(qū)活動，針對政府機構(gòu)、軍事組織和非政府組織（NGO），通過網(wǎng)絡釣魚電子郵件和 DLL 側(cè)加載等技術(shù)進行攻擊。

該惡意軟件已將目標擴展到包括能源和技術(shù)等關(guān)鍵行業(yè)的研究組織和私營企業(yè)。這些惡意軟件使用基于云的服務和加密通信通道，使得檢測變得更加復雜。

Dark Pink 專注于間諜活動，尤其是在地緣政治敏感地區(qū)，引發(fā)了國家安全擔憂。其轉(zhuǎn)向針對能源和技術(shù)行業(yè)的攻擊，表明其更廣泛的情報戰(zhàn)略，旨在通過數(shù)據(jù)盜竊獲得戰(zhàn)略優(yōu)勢。情報機構(gòu)和網(wǎng)絡安全團隊應優(yōu)先監(jiān)控其活動，特別是在高風險地區(qū)。

安全團隊應加強對網(wǎng)絡釣魚攻擊的防御，并監(jiān)控異常文件活動。政府機構(gòu)和關(guān)鍵行業(yè)的企業(yè)應增強對間諜驅(qū)動惡意軟件的保護。

惡意軟件發(fā)展的四大趨勢

綜上所述，安全?？偨Y(jié)分析了這四種惡意軟件在攻擊手法、目標行業(yè)和隱蔽性方面存在一些共同點：一是所有惡意軟件都在不斷演變，以規(guī)避檢測和利用受信任的安全機制；二是它們都針對高價值目標，尤其是在金融、政府和關(guān)鍵基礎設施等行業(yè)；三是這些惡意軟件的攻擊手法越來越復雜，利用社交工程和模塊化設計來增強其隱蔽性和靈活性。

從惡意軟件“四大家族”的關(guān)鍵特性，我們也可以觀察到當前惡意軟件發(fā)展的一些重要趨勢：

1.固件攻擊的上升

隨著 BlackLotus 等惡意軟件的出現(xiàn)，固件攻擊逐漸成為網(wǎng)絡攻擊的新前沿。攻擊者通過針對 UEFI 和固件層面進行深度滲透，能夠繞過傳統(tǒng)的安全防護措施，導致更難以檢測和響應的長期威脅。這種趨勢促使企業(yè)必須重新評估其固件安全策略。CISA建議企業(yè)定期更新固件，實施多因素身份驗證，并加強對固件的監(jiān)控，以防止?jié)撛诘墓碳簟?/p>

2.惡意軟件即服務模型的興起

Beep 等惡意軟件的模塊化設計表明，惡意軟件即服務（MaaS）模型正在興起，允許多個威脅行為者根據(jù)需要定制和部署攻擊MaaS平臺，使得即使是技術(shù)不熟練的攻擊者，也能輕松獲取和使用惡意軟件，降低了網(wǎng)絡犯罪的技術(shù)門檻。企業(yè)應關(guān)注這一趨勢，考慮采用更為靈活的安全防護措施，以應對不斷變化的攻擊手法。

3.社交工程的復雜化

Emotet 的演變顯示出社交工程攻擊的復雜性正在增加，攻擊者利用更精細的釣魚手法和電子郵件劫持技術(shù)，使得識別和防御變得更加困難。PhishLabs的研究顯示，2023年社交工程攻擊占所有成功攻擊的43%。為此，企業(yè)應加強員工培訓，提高對社交工程攻擊的警惕性，并實施更嚴格的電子郵件過濾和監(jiān)控措施。

4.針對特定行業(yè)的定制攻擊

Dark Pink 等APT 組織的活動表明，針對特定行業(yè)（如能源和技術(shù)）的定制攻擊正在增加，攻擊者通過深入了解目標行業(yè)的運作方式來制定更有效的攻擊策略。根據(jù)KnowBe4的研究，從2023年1月至2024年1月期間，全球關(guān)鍵基礎設施遭受了超過4.2億次網(wǎng)絡攻擊，比上一年增長了30%。企業(yè)應加強對行業(yè)特定威脅的監(jiān)控，定期進行安全評估，以識別潛在的攻擊風險。

企業(yè)應對惡意軟件的策略重點

面對這些惡意軟件的威脅，企業(yè)應采取以下措施：

1.加強固件和 UEFI 安全

組織應優(yōu)先更新 UEFI 和固件設置，實施固件安全控制，并定期進行系統(tǒng)審計。根據(jù) CISA       的建議，企業(yè)應確保固件的完整性，定期檢查固件更新，并實施多因素身份驗證，以防止未授權(quán)訪問。

2.強化網(wǎng)絡釣魚防御

加強網(wǎng)絡釣魚檢測，收緊電子郵件過濾，培訓用戶識別可疑電子郵件，限制宏使用和附件處理。根據(jù) FBI 的建議，企業(yè)應定期進行網(wǎng)絡釣魚模擬測試，以提高員工的警惕性和應對能力。

3.投資行為分析工具

監(jiān)控網(wǎng)絡流量異常，增強端點檢測，特別是針對隱蔽性強的惡意軟件如 Beep 。行為分析工具通過實時監(jiān)控、減少誤報、增強適應性、提高內(nèi)部威脅檢測能力以及預測未來威脅等多種方式，顯著提高了網(wǎng)絡安全中的檢測率。

4.關(guān)注間諜活動威脅

對于在地緣政治敏感地區(qū)運營的企業(yè)，必須增強對間諜驅(qū)動惡意軟件的防御。企業(yè)應加強對外部威脅的監(jiān)控，定期進行安全評估，并與政府機構(gòu)合作，共同應對網(wǎng)絡安全挑戰(zhàn)。

未來，企業(yè)應不斷關(guān)注惡意軟件的持續(xù)演變和新興攻擊手法，以保持安全防護的有效性。