上一章我们分析了一些桌面恶意软件和移动端恶意软件。在本章中,我将分析加密货币挖掘恶意软件和新兴分析攻击趋势。加密货币挖掘恶意软件开发了危险的功能加密货币挖掘恶意软件窃取了挖掘加密货币以获取收入的系统上的资源,攻击者已使用此恶意软件攻击个人系统和主要企业网络。直到最近,加密货币挖矿恶意软件主要用于此目的。然而,在2020年第三季度,攻击者为加密货币挖矿恶意软件添加了功能,例如窃取凭证或访问功能。这种转变使得加密货币挖矿恶意软件对组织来说比对企业数字资产的威胁更加危险。由于加密货币挖矿恶意软件运营商出于经济动机,他们可能会利用这些新功能通过出售被盗受害者的数据来进一步获利。2020年第三季度,研究人员发现多个加密货币挖矿恶意软件运营商将加密以外的功能整合到他们的恶意软件中。2020年7月28日,据报道,一种名为Doki的新恶意软件变种正在使用Dogecoin加密货币区块链动态生成命令和控制(C2)域来感染Docker服务器。僵尸网络没有传播加密货币挖掘恶意软件,而是开始传播Doki。Doki是一种多线程恶意软件,它使用狗狗币区块链以动态方式生成C2域地址,以实现与运营商通信的无文件方式。8月,Intezer研究人员发现了Doki,这是一种利用无文件技术来逃避检测的Linux恶意软件。自2020年1月14日上传至VirusTotal以来,已被60个恶意软件检测引擎检测和分析。Doki成功绕过了这些引擎的检测,其攻击目标主要是AWS、Azure、阿里云等公有云平台上的Docker服务器。Doki恶意软件的功能包括:执行从操作员处收到的命令;使用狗狗币区块链浏览器实时动态生成其C2域名;使用embedTLS库进行加密和网络通信;构建短期有效的URL,并使用这些URL下载有效负载;2020年8月17日,研究人员发现了一个名为TeamTNT的网络犯罪组织发起的一项活动,该组织似乎是第一个从受感染服务器中窃取AmazonWebServices(AWS)凭据的加密挖掘恶意软件操作。2020年8月21日,出现了一份报告,详细介绍了嵌入在AWS社区亚马逊机器实例(AMI)的弹性云计算(EC2)服务器中的门罗币挖矿脚本。虽然恶意软件的主要目标是加密货币挖掘,但它也允许攻击者连接到Windows计算机并使用它来访问环境的其他敏感区域,例如访问受影响的AWS账户的整个EC2基础设施。2020年8月25日,观察到Lemon_Duck加密挖掘恶意软件的新变种通过SSH暴力攻击以基于Linux的系统为目标,以感染运行Redis和Hadoop实例的服务器。新版本的Lemon_Duck添加了一个利用CVE-2020-0796(也称为SMBGhost)的模块,这是一个WindowsSMBv3客户端远程代码执行(CE)漏洞,允许攻击者收集有关受感染计算机的信息。与“传统”加密货币挖掘恶意软件相比,上述添加的恶意功能有可能对组织的系统造成更广泛的破坏。您可以在此处阅读新泽西网络安全和通信集成团队对一种流行的加密货币挖矿恶意软件变体的研究。移动恶意软件2020年第三季度,基于Android的恶意软件主导了整个季度的攻击趋势。这是2020年第二季度观察到的结果的延续,当时SpyNote等一些移动恶意软件重新出现。在本季度末,RecordedFuture观察到由于恶意软件源代码的泄露,Cerberus银行木马的使用激增。尽管这些恶意软件的功能各不相同,但它们的核心功能是在不知不觉中窃取Android用户数据,这证明了移动恶意软件已从间谍软件演变为特洛伊木马,正如前两个季度所反映的那样。SpyNoteQ3Android恶意软件主导的移动恶意软件趋势在移动恶意软件方面,RecordedFuture观察到2020年第三季度几个地下论坛上对SpyNote的讨论。SpyNote,也称为SpyMaxAndroidRAT,是一种具有许多监视功能的恶意软件,包括击键日志记录、位置详细信息和远程命令执行。该工具的开发者被称为“Scream”,很可能是居住在中东的以阿拉伯语为母语的人,他活跃于阿拉伯语黑客论坛Sa3ka。2020年第二季度,研究人员报告了COVID-19网络钓鱼攻击的全球分布情况,其中一些攻击使用了SpyNote恶意软件。虽然研究人员发现与COVID-19相关的移动恶意软件诱饵数量有所下降,但SpyNote仍然是2020年第三季度破解论坛等地下论坛的热门讨论话题。论坛帖子显示SpyNote的持续发展和广告版本6.4,声称新版本增加了应用程序稳定性、加密功能和改进的GUI,SpyMax是同一开发商RAT的另一款Android。根据观察到的地下活动,InsiktGroup认为SpyNote将继续被攻击者使用,尤其是在中东和东南亚等Android用户较多的地区。Cerberus银行木马Cerberus银行木马于2019年6月首次出现,当时研究人员分析并将该木马命名为Anubis的变种。不过,其开发者在推特上发布消息,建议安全厂商将其命名为:Trojan-Android:Banker-Cerberus,Cerberus(地狱犬)正式出现在公众视野中。Cerberus开发者称,近两年一直在试运营,目前正在寻找合作伙伴,并已在地下论坛正式开始出租。Cerberus拥有专门的销售渠道,目前拥有广泛的客户群。其木马经过不断更新,现已适配绝大部分国家。Cerberus开发人员还声称,该代码并非继承自Anubis或其他银行木马,而是经过重写。进入2020年之后,地狱犬变得更加活跃。功能更新后,木马可以窃取GoogleAuthenticator应用创建的2-FactorAuthentication(2FA)代码,从而绕过认证服务,启动TeamViewer进行远程控制。而且,当“新型冠状病毒”在全球爆发时,它还以“新型冠状病毒”为诱饵进行传播,成为第一个通过“新型冠状病毒”传播的移动木马。2020年7月,RecordedFuture观察到Cerberus安卓木马项目的开发商或销售商“ANDROID-Cerberus”在Exploit和XSS论坛上拍卖了该软件,包括源代码、管理面板源代码、payload服务器和所有客户数据库有效的许可证和联系信息。拍卖起价为25,000美元,也可以以100,000美元的价格直接购买恶意软件。由于没有时间维护自己开发的恶意软件,开发者于2020年8月11日停止维护Cerberus,并分享了Cerberus基础设施的源代码,包括Cerberusv1、Cerberusv2、安装脚本管理面板和SQLDB,攻击者还共享了所有可用的网络注入。源代码包括几个精心设计的模拟银行、金融机构和社交网络的网页。由于Cerberus滥用Android的辅助功能来执行网络注入,并且似乎可以访问用户手机上的各种数据,包括短信、谷歌身份验证器代码和设备的解锁模式,双因素身份验证(2FA)无法完全利用。为了减轻此类攻击,数百名攻击者可能会在日常欺诈活动中使用泄露的代码和方法。由于源代码的发布,银行和金融机构可能会发现欺诈企图激增。攻击趋势预测2020年10月1日,美国财政部发布了两项公告,以提高对勒索软件攻击的认识,并概述了与启用恶意软件的网络活动相关的勒索软件支付相关攻击的风险。这些通知说明了美国对要求支付赎金的勒索软件攻击采取的强硬立场。美国政府建议组织不要支付赎金,因为支付赎金不仅意味着受害者的妥协,还会给攻击者带来可观的利润,这很可能损害美国的国家安全和外交政策目标。然而,美国国内实际上并没有统一的应对机制,目前也没有统一的联邦法规来解决组织应该如何应对数量迅速增加的勒索软件攻击。勒索软件运营商可能会留在这里并继续使用勒索软件作为发起各种攻击的手段。然而,财政部的建议和相关报告可能会影响勒索软件的传播趋势和对勒索要求的态度转变,并可能改变网络保险公司的计算方式。在总体成本基础上,网络保险公司通常愿意支付赎金,即使有其他选择。尽管有上述建议,但由于担心客户敏感数据在勒索软件网站上泄露的公共关系和法律后果,受害者可能别无选择,只能支付赎金。Emotet运营商可能会在2020年第四季度继续不受限制地向大量受害者分发恶意软件,但是,攻击运营商可能会看到类似于2019年底观察到的减少,当时研究人员观察到从2020年12月到1月中旬活动减少2020年。Emotet仍然是组织的主要攻击威胁,因为它现在主要是其他恶意软件(包括不同类型的勒索软件)的传播者。CISA和MS-ISAC在2020年10月6日发出的警告中强调了这一点,该警告称利用Emotet网络钓鱼电子邮件针对州和地方政府的恶意网络攻击者将会显着增加。组织应熟悉Emotet的TTP并遵循CISA和MS-ISAC概述的缓解措施。虽然加密货币挖掘恶意软件在安全团队的优先攻击列表中排名靠后,但上述研究趋势表明,该恶意软件类别已经具有可能对组织产生重大影响的危险功能。如果攻击者从预先存在的加密货币挖矿恶意软件感染开始,或使用加密货币挖矿恶意软件作为初始感染媒介,恶意软件操作者可以利用感染来传播更危险的恶意软件,例如勒索软件或其他变体,从而导致数据泄露和盗窃。如果加密货币挖掘恶意软件功能增加的趋势继续下去,研究人员可能会在2020年第四季度和2021年初看到更多攻击者使用这些感染作为攻击平台。Android移动恶意软件仍然是影响网络安全的主导力量,并且由于广泛传播使用AndroidOS设备(占所有智能手机用户的75%)和恶意软件中传播的动态工具集,攻击者很可能成为2020年第四大Android恶意软件在本季度之前继续被用于针对用户。除了一般的Android恶意软件之外,研究人员认为,由于Cerberus银行木马源代码的发布,银行和金融机构的欺诈企图将会激增。受此木马影响的组织应熟悉相关的TTP,以加强对受损客户帐户的防御。本文翻译自:https://www.recordedfuture.com/q3-malware-trends/如有转载请注明出处。
