VirusTotal新兴格式与投递技术报告

过去 19 年中，VirusTotal 在 232 个国家或者地区每天接收超过 200 万个文件。独特的数据视角为 VirusTotal 积累了更大的优势。

VirusTotal 分析了 2021 年 1 月到 2023 年 6 月间的 30 亿样本文件。其中至少有 5% 被检测引擎判定为恶意，基于这些文件分析攻击活动中文件格式的演化与投递技术的变迁。

典型附件格式的传播趋势：

PDF 文件势头不减，传播未见减弱。Excel 文件因为 Emotet 的分发在 2022 年传播量较大，而 Word 文件则相对更为平稳。由于微软对宏代码执行默认策略的修改，OneNote 异军突起成为 2023 年最大的黑马。

JavaScript 的量在显著增加，相比之下 Excel、RTF、CAB、Word 与压缩格式文件都在相对下降。

OneNote

2022 年的 OneNote 样本更多的是在测试检出情况，2023 年才大量投入实际攻击中。攻击者也开始构建各种精细化的样本引诱用户进行点击，如下所示：

通过邮件附件分发的 OneNote 文件通常会使用不同过的文件扩展名，显得没有那么可疑。据统计，主要使用的是 GIF 与 PNG 进行分发。

目前为止，Qakbot、IceID、Emotet、AsyncRAT 与 Redline 都已经开始使用 OneNote 文件进行分发，甚至有部分 APT 组织也开始尝试。

在 OneNote 文件走入公众视野时，平均检测率约为 35%。后续平均检测率下降到 23%，攻击者可能使用了更好的规避技术。

ISO

ISO 文件的使用也有所增加，不仅被 Lockbit、darkbit、Quakbot、AsyncRAT、RemcosRAT 等攻击者使用，也被 MuddyWater、Dark Pink、Saaiwc 等攻击者所喜爱。

文件大小与检出率的关系如上所示。小于 15MB 的 ISO 文件中，72% 检出率都超过了 10%。以 10% 为线再过滤后，可以发现更小的集群：

• 许多 Lokibot 与 AgentTesla 的 Downloader 作为邮件附件分发的 ISO 文件，大小在 1.15MB 到 1.2MB 间共计 18000 个。这些文件的检出率很高

• 分发 ChromeLoader 的 7000 个文件，大小约为 125MB。这些文件的检出率较低，使用的文件名也较为规律：

• 通过追加零字节将文件膨胀到 300MB 到 315MB 间，再压缩成 300KB 的 ZIP 压缩包，共计 1200 个。很多样本都伪装成合法的安装程序：

接近八成的 ISO 文件都是通过邮件分发的，其余两成在野其他方式分发。部署 ISO 文件的域名如下所示：

工作思考

OneNote 作为 Word、Excel 与 RTF 文件的替代，ISO 作为压缩文件的替代。攻击者会不断尝试新的攻击向量来扩大战果，VirusTotal 的观察视角恰好能覆盖这一点。但 VirusTotal 实际上只拿出了两种文件，并且其实也算得上是老调重弹了，还是让人觉得有些不过瘾的。

查看 VirusTotal 原报告：https://assets.virustotal.com/reports/2023emerging.pdf

声明：本文来自威胁棱镜，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。