2022年的五大威胁将继续影响2023年

深入研究并准备好应对本文提到的年的年五种威胁
，你将能更好地保护企业的大威网络 、资产和员工。继续

威胁形势是影响高度多样化的，攻击的年的年复杂程度也从最基本的骗局发展为国家级别的网络间谍活动。企业需要优先考虑可能影响业务运营和员工安全的大威最常见威胁，并部署针对性防御措施。模板下载继续

网络安全公司Malwarebytes在其最新发布的影响《年度恶意软件状态报告》中，选择了五种威胁 ，年的年他们认为这些威胁是大威2022年观察到的一些最常见的恶意软件家族的原型：

LockBit勒索软件 Emotet僵尸网络 SocGholish网页挂马攻击/过路式下载攻击( drive-by download ) Android木马 macOS Genio广告软件

该公司在报告中指出 ，“想要在2023年剩余的继续时间里保护业务正常运营 ，你需要明白一点：你将面临的影响最危险的网络威胁并非你所见过的最奇怪的攻击，云计算也非最复杂或最引人注目的年的年攻击，它们甚至并非最普遍的大威攻击。相反地，继续这些最危险的威胁往往来自一系列已知的、成熟的工具和策略，整个网络犯罪生态系统都依赖这些工具和策略 ，且每年从中获利数十亿美元。”

勒索软件之王LockBit

去年，勒索软件威胁形势发生了巨大变化
，像Conti这样非常成功的免费模板团伙关闭了业务 。这一空白很快被大量其他规模较小的组织填补
。到目前为止，最突出的是LockBit
，这是一家勒索软件即服务(RaaS)公司 ，它迅速创新并吸引了大量的附属机构 。

附属机构是地下网络犯罪组织的雇佣兵。无论是单独的服务器租用黑客还是专业的个人团体，他们主要负责处理入侵的初始访问和横向移动等任务
，然后部署与他们相关的勒索软件程序，以获得受害者支付的很大一部分赎金。同时
，勒索软件的开发者负责提供软件本身、后端基础设施，并处理与受害者的谈判过程 。

LockBit并非一种新型威胁 ，源码下载它自2019年以来就已经存在了，最初的名字是ABCD。在成立后的头两年里
，它们在Maze、Ryuk和Conti等更大、更多产的组织面前可谓黯然失色 ，后者也成功地吸引了大部分黑客人才 。但这种情况在2021年随着LockBit 2.0的发布开始发生改变，并在去年LockBit 3.0推出时真正呈现爆发态势。现在的整个附属计划进行了大量修改，高防服务器使其对在Conti消亡后寻找工作的附属机构而言更有吸引力 。

Malwarebytes的研究人员称，LockBit花了很多精力向附属机构推销自己，维护一个光鲜的暗网网站  ，搞公关噱头，并为发现软件缺陷的人支付漏洞奖金。它声称自己已拥有100个附属机构
。因此 ，如果其中一个被捕获  ，LockBit的运营也不会中断。

根据Malwarebytes的遥测数据显示，LockBit是去年迄今为止最活跃的勒索软件 ，受害者数量是第二活跃的勒索软件ALPHV的3.5倍 。总体而言 ，2022年三分之一的勒索事件涉及LockBit，该团伙索要的最高赎金为5000万美元 。LockBit的附属机构旨在攻击所有类型的企业——从小型律师事务所到大型跨国公司——并使用各种方法获得初始访问权限
，从滥用弱远程访问凭据(RDP和VPN)，到利用面向公众的系统的漏洞 ，再到带有恶意附件的钓鱼电子邮件。成功入侵目标后 ，便会销毁备份并使用横向移动技术获得域管理访问权
。

恶意软件研究人员表示
 ，如果能够理解并解决LockBit问题 ，你将大大降低企业受到任何勒索软件攻击的风险。

不朽的僵尸网络Emotet

地下网络犯罪的另一个大玩家是Emotet，作为一个僵尸网络，它是其他恶意软件家族的传播平台 ，包括近年来最多产的一些勒索软件和木马程序。

从2014年开始，Emotet经历了多次迭代
，最初是一个银行木马——一个专注于窃取网上银行凭证的程序。当这一网络犯罪分支变得不那么受欢迎时 ，僵尸网络的所有者开始将目光转向了恶意软件的传播。Emotet的模块化架构使其非常灵活 ，易于定制不同的任务。

欧洲刑警组织曾将Emotet称为“世界上最危险的恶意软件”。2021年 ，包括美国、英国、加拿大 、德国和荷兰在内的多个国家的执法机构成功接管了该僵尸网络的C2基础设施。可惜的是，拆除的喜悦只是短暂的 ，Emotet很快得以重建 ，凸显出它的弹性 。

2022年11月 ，该僵尸网络在中断四个月后
，以新的迭代形式回归
，每天分发数十万封恶意电子邮件。使用电子邮件作为主要的传递机制 ，Emotet的创建者专门利用线程劫持和语言本地化等技术来发送垃圾邮件。最新的垃圾邮件活动将包含恶意宏的Excel文件与存档一起分发。

部署后
，Emotet将在系统中删除额外的恶意软件 。在过去，它曾安装与Ryuk勒索软件有密切关系的另一个僵尸网络TrickBot。在最近的攻击中 ，可以看到僵尸网络丢弃了XMRig加密程序和IcedID木马 ，后者本身与其他恶意软件家族有关。Emotet还会从安装在电脑上的Outlook帐户中窃取联系人
，并使用它们发送更多的垃圾邮件，并试图破解网络共享的密码 。

Malwarebytes的研究人员指出，“因为Emotet病毒会非常凶猛地感染和重新感染其他机器 ，所以从企业中删除Emotet病毒可能是一项极其复杂和代价高的任务
。例如 ，在宾夕法尼亚州阿伦敦市，一次错误的点击便导致了病毒爆发，据报道花费了100万美元才完成补救。”

就像LockBit是现代勒索软件程序的原型一样，Emotet也是僵尸网络的原型
，充当恶意软件传递平台
，是进入企业网络的初始访问提供商之一 。

SocGholish网页挂马攻击十分活跃

网页挂马攻击，也称过路式下载攻击(Drive-by download)，指的是通过网站而非电子邮件发送的恶意软件威胁。在Java、Flash Player和Adobe Reader等浏览器插件的时代，这曾经是一种流行的技术，因为攻击者可以利用这些插件的过时版本中的漏洞。然而，这种方法仍然在使用，即使它现在需要用户交互和一点社交工程手段 。

SocGholish是一种远程访问木马(RAT) ，用作恶意软件加载程序。它通常是通过虚假的弹出窗口传播的
，这些弹出窗口会显示在受攻击的网站上，或者通过恶意广告传播。如果用户接受了恶意的浏览器更新，他们通常会得到一个包含JavaScript文件的ZIP存档。如果执行，该文件将对机器和网络执行侦察，然后部署一些其他恶意软件威胁 ，通常是勒索软件。

Malwarebytes的研究人员警告称
，“SocGholish很简单，但它利用了社交工程和目标指纹技术 
，其有效性足以危及知名公司，甚至关键的基础设施 。它的最终目标是传播勒索软件 ，这是一个需要认真对待的威胁 。”

Android dropper

由于移动设备在任何公司的设备中都占了很大比例
，Android的威胁不应被忽视。Android droppers是一种木马程序，通常伪装成合法应用程序或付费应用程序的免费版本 ，由第三方应用商店和用户可能访问的各种网站分发。

一般来说，在Windows上安装它们不像安装恶意软件那么容易 ，因为用户需要更改默认的安全设置并忽略警告
，但在谷歌官方Play商店中也有恶意应用程序被发现的案例。这些dropper可用于部署其他威胁，如隐藏广告、银行木马和窃取密码、电子邮件、录制音频和拍照的应用程序 。

Malwarebytes表示 ，在2022年，安卓系统检测到的漏洞中，有14%是dropper。其他恶意软件的传播更为广泛
，但dropper对企业构成的威胁最大。

广告软件是Mac电脑上最普遍的威胁

与Windows相比，macOS恶意软件生态系统要小得多，但威胁确实存在。其中最常见的一种是广告软件(adware) ，即注入不必要广告的应用程序。macOS上最古老的此类程序之一叫做Genio，用于劫持浏览器搜索。

就像Android dropper一样 ，大多数macOS广告软件和恶意软件一般都是作为虚假应用程序或更新分发的。Genio曾经伪装成Flash Player更新或捆绑视频编解码器 ，最近它开始伪装成PDF阅读或视频转换应用程序。

一旦部署了Genio，就很难删除
，因为它非常积极地隐藏自己
。它会模仿系统文件和属于其他应用程序的文件 ，并使用代码混淆。它还会向其他进程注入库  ，利用系统缺陷授予自己权限 
，未经同意安装浏览器扩展
，并操纵用户的密码密钥链 。

Malwarebytes的研究人员表示
，尽管Genio被归类为广告软件，但它也包含了一系列类似恶意软件的行为，旨在隐藏自己以进一步深入安装它的计算机，穿透防御系统并危及安全。去年
 ，在macOS上检测到的威胁中，有10%是这种威胁。