专家警告多用途恶意软件激增

安全研究人员警告称，越来越多的多功能恶意软件变种能够在网络杀伤链中执行多种恶意操作。

Picus Security去年分析了50多万个恶意软件样本，确定了它们的战术、技术和程序TTP，并提取了530多万个行动，编制了《2023年红色报告》。

然后，供应商将这些操作映射到MITRE ATT&CK技术。

报告显示，现在平均每个恶意软件变体利用11个TTP或9个MITRE ATT&CK技术。报告显示，三分之一(32%)的人使用超过20个TTP，十分之一的人使用超过30个ttp。

Picus Security联合创始人Suleyman Ozarslan解释说:“现代恶意软件有多种形式。一些基本类型的恶意软件旨在执行基本功能。其他的，比如外科医生的手术刀，被设计成非常精确地执行单一任务。”

他说：“现在我们看到越来越多的恶意软件可以做任何事情。这种‘瑞士军刀’恶意软件可以使攻击者在不被发现的情况下快速在网络中移动，获得访问关键系统和加密数据的凭据。”

Picus发现，最流行的MITRE ATT&CK技术中有40%用于帮助横向移动，这突出了当今许多威胁行为者的重点。

这些技术包括久经考验的技术，如命令和脚本解释器和操作系统凭据转储，以及较新的技术，如远程服务、远程系统发现和WMI。

该报告列出的十大技术中最常见的是命令和脚本解释器，它涉及滥用合法解释器(如PowerShell、AppleScript和Unix shell)来执行任意命令。Picus说：“这表明黑客在攻击中更倾向于使用合法的现有工具，而不是定制的工具。”

清单上的第二个是操作系统凭据转储，攻击者使用它来劫持帐户和横向移动。第三个是数据加密影响，揭示了勒索软件构成的持续威胁。

勒索软件运营商的目标是尽可能快速有效地实现目标。事实上，越来越多的恶意软件可以进行横向移动，这表明所有类型的对手都被迫适应IT环境的差异，并更加努力地工作以获得回报。

面对日益复杂的恶意软件，安全团队也必须继续改进他们的方法。通过优先考虑常用的攻击技术，并通过不断验证安全控制的有效性，组织将更好地准备保护关键资产。