美澳联合公告：威胁行为者最常使用的恶意软件

恶意软件可以通过执行未经授权的功能或进程来破坏系统。恶意网络攻击者经常使用恶意软件进行隐秘攻击，然后获得对计算机或移动设备的访问权限。恶意软件的一些类型包括病毒、蠕虫、特洛伊木马、勒索软件、间谍软件和rootkit。

2021年，最常见的恶意软件包括远程访问木马(RAT)、银行木马、信息窃取程序和勒索软件。大多数恶意软件已经使用了五年多，各自的代码库演变成多种变体。最多产的恶意软件用户是网络犯罪分子，他们使用恶意软件传播勒索软件，或帮助盗窃个人和财务信息。

CISA和ACSC鼓励组织及时应用缓解措施，包括及时对系统应用补丁、实施用户培训、保护远程桌面协议(RDP)、修补所有系统、尤其是已知被利用的漏洞、进行数据离线备份、以及实施多因素身份验证(MFA)。

一、主要发现

2021年最流行的恶意软件包括：Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBot和GootLoader。

恶意网络攻击者使用Agent Tesla、AZORult、Formbook、LokiBot、NanoCore、Remcos和TrickBot至少五年，使用Qakbot和Ursnif已有十年。

恶意软件开发人员进行的更新，以及对这些恶意软件代码的重用，有助于恶意软件的寿命和演变成多种变体。恶意行为者对已知恶意软件的使用为组织提供了更好地准备、识别和缓解已知恶意软件攻击的机会。

Qakbot和TrickBot用于形成僵尸网络，由欧亚网络犯罪分子开发和运营，使用或代理支持僵尸网络访问来促进利润丰厚的勒索软件攻击。欧亚网络犯罪分子在俄罗斯和其他前苏联共和国享有宽松的运营环境。

TrickBot恶意软件通常会启用Conti勒索软件的初始访问权限，该勒索软件在2021年上半年被用于近450次全球勒索软件攻击。截至2020年，恶意网络行为者已多次购买受TrickBot恶意软件攻击的系统的访问权限，以进行网络犯罪行动。

2021年，网络犯罪分子利用Formbook、Agent Tesla和Remcos恶意软件开展了大规模网络钓鱼活动，这些恶意软件利用了新冠疫情流行为主题，以窃取企业和个人的个人数据和凭据。

在犯罪恶意软件行业，包括恶意软件即服务(MaaS)，开发人员创建恶意软件，恶意软件分发者通常会将其代理给恶意软件最终用户。这些常见的恶意软件的开发人员在几年内继续支持、改进和分发他们的恶意软件。恶意软件开发人员受益于利润丰厚的网络运营，负面后果风险较低。许多恶意软件开发人员通常在几乎没有法律禁止恶意软件开发和部署的地方开展业务。一些开发人员甚至将其恶意软件产品作为合法的网络安全工具进行营销。例如，Remcos和Agent Tesla的开发人员将该软件作为远程管理和渗透测试的合法工具进行营销。恶意网络行为者可以低成本在线购买Remcos和Agent Tesla，并且已观察到出于恶意目的使用这两种工具。

二、恶意软件

Agent Tesla能够从邮件客户端、Web浏览器和文件传输协议(FTP)服务器窃取数据，还可以捕获屏幕截图、视频和Windows剪贴板数据。Agent Tesla可以在线购买，伪装成管理个人电脑的合法工具。开发人员继续添加新功能，包括模糊处理功能，和针对其他应用程序的凭据窃取功能。Agent Tesla自2014年开始活跃，是远程访问木马（RAT），通常作为网络钓鱼电子邮件中的恶意附件进行传播。

AZORult用于从受感染的系统中窃取信息，已在地下黑客论坛上出售，用于窃取浏览器数据、用户凭据和加密货币信息。AZORult的开发人员正在不断更新其功能。AZORult自2016年开始活跃，是特洛伊木马，通过网络钓鱼、受感染的网站、漏洞利用工具包、或通过下载和安装AZORult恶意软件来传播。

FormBook是在黑客论坛上宣传的信息窃取程序，能够记录和捕获浏览器或电子邮件客户端密码。开发人员继续更新恶意软件，以利用最新的漏洞，例如CVE-2021-40444 Microsoft MSHTML远程代码执行漏洞。FormBook自2016年开始活跃，是特洛伊木马，通常作为网络钓鱼邮件的附件进行传播。

Ursnif是一种窃取金融信息的银行木马，也被称为Gozi，经过多年的发展，已经发展到包括持久性机制、避免沙箱和虚拟机检测、以及磁盘加密软件的搜索功能，以尝试提取未加密文件的密钥。截至2022年7月，Ursnif基础设施仍处于活跃状态。Ursnif自2007年开始活跃，是特洛伊木马，通常作为钓鱼邮件的恶意附件进行传播。

LokiBot是一种木马恶意软件，用于窃取敏感信息，包括用户凭据、加密货币钱包和其他凭据。2020年LokiBot变体被伪装成Fortnite多人视频游戏的启动器。Ursnif自2015年开始活跃，是特洛伊木马，通常作为恶意电子邮件附件进行传播。

MOUSEISLAND通常位于Microsoft Word文档的嵌入式宏中，并且可以下载其他有效负载。MOUSEISLAND可能是勒索软件攻击的初始阶段。Ursnif自2019年开始活跃，是宏下载器，通常作为电子邮件附件进行分发。

NanoCore用于窃取受害者的信息，包括密码和电子邮件，还可能允许恶意用户激活计算机的网络摄像头来监视受害者。恶意软件开发人员继续开发附加功能，作为可供购买的插件或恶意软件工具包在恶意网络行为者之间共享。NanoCore自2013年开始活跃，是远程访问木马，已在电子邮件中作为恶意ZIP文件中的ISO磁盘映像传播，也在云存储服务上托管的恶意PDF文档中发现。

Qakbot最初被视为银行木马，其功能已发展到包括执行侦察、横向移动、收集和泄露数据、以及交付有效负载。Qakbot也称为QBot或Pinksllot，本质上是模块化的，使恶意网络行为者能够根据自己的需要对其进行配置。Qakbot也可用于形成僵尸网络。Qakbot自2007年开始活跃，是特洛伊木马，可以通过电子邮件作为恶意附件、超链接或嵌入图像形式传递。

Remcos是一种合法的软件工具，用于远程管理和渗透测试。Remcos是Remote Control and Surveillance的缩写，在新冠疫情期间被恶意网络行为者利用进行大规模网络钓鱼活动，来窃取个人数据和凭据。Remcos在目标系统上安装后门，然后恶意网络攻击者使用Remcos后门发出命令并获得管理员权限，同时绕过防病毒产品、保持持久性、并通过将自身注入Windows进程作为合法进程运行。Remcos自2016年开始活跃，是远程访问木马（RAT），通常在钓鱼邮件中作为恶意附件传播。

TrickBot恶意软件通常用于形成僵尸网络或启用Conti勒索软件或Ryuk银行木马的初始访问权限。TrickBot由一群复杂的恶意网络行为者开发和运营，并已发展成为高度模块化的多阶段恶意软件。2020年，网络犯罪分子使用TrickBot攻击医疗保健和公共卫生部门，然后发起勒索软件攻击、泄露数据或破坏医疗保健服务。TrickBot的基础设施在2022年7月仍处于活跃状态。TrickBot自2016年开始活跃，是特洛伊木马，通常通过电子邮件作为超链接传递。

GootLoader是与GootKit恶意软件相关的恶意软件加载程序。随着其开发人员更新其功能，GootLoader已从下载恶意负载的加载程序演变为多负载恶意软件平台。作为加载程序恶意软件，GootLoader通常是系统入侵的第一阶段。通过利用搜索引擎，GootLoader的开发人员可能会破坏或创建在搜索引擎结果中排名靠前的网站，例如谷歌搜索结果。GootLoader至少自2020年开始活跃，是一款加载程序，可在搜索引擎结果排名靠前的受感染网站上下载恶意文件。

三、缓解措施

CISA和ACSC建议组织采取以下措施，以改善其网络安全态势。关键基础设施组织应立即准备并采取以下缓解措施来应对潜在的网络威胁，包括：更新软件和操作系统、实施多因子身份验证、保护和监控RDP和其他潜在风险服务、对数据进行离线备份，提供终端用户意识和培训、和进行网络分段。

更新IT网络资产上的软件，包括操作系统、应用程序和固件。优先修补已知被利用的漏洞，以及允许在面向互联网的设备上远程执行代码或拒绝服务的严重和高危漏洞。

强制执行多因子身份验证，并要求使用密码登录的账户（包括服务账户）具有强密码。不允许密码跨多个账户使用，或将密码存储在攻击者可能有权访问的系统上。

对RDP或其他具有潜在风险的服务进行安全保护和密切监控。RDP攻击是勒索软件最主要的初始感染媒介之一，包括RDP在内的高风险服务可能允许使用路径上的攻击者未经授权访问会话。限制通过内部网络访问资源，尤其是通过限制RDP和使用虚拟桌面基础设施。在评估风险后，如果认为RDP是必要的，则限制原始来源，并要求MFA减少凭证盗窃和重用。如果RDP必须在外部可用，在允许RDP连接到内部设备之前使用VPN或其他方式对连接进行身份验证和保护。监控远程访问/RDP日志，在指定次数的尝试后，强制账户锁定，以阻止暴力尝试。记录RDP登录尝试，并禁用未使用的远程访问/RDP端口。确保设备配置正确，并启用安全功能。禁用未用于业务目的的端口和协议，例如RDP传输控制协议端口3389。

维护数据离线备份，物理断开连接。应经常定期进行备份程序，至少每90天一次。定期测试备份程序，并确保备份与可能导致恶意软件传播的网络连接隔离。确保备份密钥也保持离线状态，以防止在勒索软件事件中也被加密。确保所有备份数据都是加密的、不可变的，即不能更改或删除，并涵盖整个组织的数据基础设施，特别关注关键数据资产。

提供终端用户意识培训，以帮助防止成功的有针对性的社会工程和鱼叉式网络钓鱼活动。网络钓鱼是勒索软件的主要感染媒介之一。员工了解潜在的网络威胁和交付方法。员工在收到可疑网络钓鱼电子邮件或怀疑网络事件时知道该做什么以及与谁联系。

根据角色和功能进行网络分段。通过控制各种子网络之间的流量和访问，网络分段有助于防止勒索软件的传播和威胁行为者的横向移动。例如跨国公司的澳大利亚部门受到勒索软件事件的影响，也影响到其控制范围之外的离岸分部维护和托管的资产。

参考资源：

【1】https://www.cisa.gov/uscert/ncas/alerts/aa22-216a

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。