恶意软件下架显示出进展,但打击网络犯罪的斗争尚未结束
据威胁情报提供商 Recorded Future 称,执法部门对恶意软件基础设施的拆除已被证明对网络犯罪活动产生了影响,尽管影响有限。
在 2024 年 1 月 9 日发布的《2023 年对手基础设施报告》中,Recorded Future 分析了 2023 年或之前发生的三次恶意软件删除操作的影响:
- 2021 年由欧洲刑警组织和欧洲司法组织领导的 Emotet 取缔
- 2023 年 3 月试图取缔商业红队产品 Cobalt Strike 的未经许可版本,这是 Microsoft、健康信息共享和分析中心 (Health-ISAC) 和拥有 Cobalt Strike 的软件公司 Fortra 的联合项目
- 2023 年 8 月由 FBI 领导的 QakBot 取缔行动
在 Cobalt Strike 和 QakBot 的案例中,执法行动在短期内产生了重大影响,与这两种工具相关的恶意活动在行动后的一个月内急剧下降。
然而,根据 Recorded Future 的观察,与这两种工具相关的恶意活动很快又开始增长。
Cobalt Strike 的“破解”版本的使用在一个月后恢复到以前的水平,因为犯罪分子使用受删除工作影响的软件可以在初始删除发生后简单地设置新的基础设施。
然而,QakBot 的复兴是有限的,犯罪分子不得不寻找利用恶意软件的新方法,例如返回旧版本或制作更新版本。
至于 Emotet,Recorded Future 观察到,该恶意软件在 2021 年至 2023 年的初始删除行动之间消失了并多次返回。
删除后的 Emotet 操作也受到 Microsoft 在 2022 年 7 月禁用文档中的 VBA 宏的影响,这些宏是 Emotet 的主要初始访问媒介。
2023 年 5 月,Recorded Future 追踪的 Emotet 操作消失了。几周后,这些行动短暂地重新浮出水面,然后又发生了一次漫长的、可能最终的失踪。在撰写本文时,Emotet活动尚未显示出复苏的迹象。
报告写道:“Emotet的下架是试图下架一个组织良好、结构良好的指挥和控制(C2)网络的一个例子,该网络具有内置的弹性,该网络在下架后仍然能够运行。
“删除的最终效果可能是由于删除工作对恶意软件运营商造成的摩擦,再加上其他因素,导致其最终消亡。”
下架增加了恶意软件操作的摩擦
Recorded Future 的研究人员得出结论,对于纯粹的犯罪恶意软件,如 QakBot 和 Emotet,大规模的基础设施拆除“至少在战术层面上,因为行动立即受到阻碍”会产生重大影响。
然而,他们也坚持认为,在战略层面上,未被拘留的网络犯罪分子可以很容易地继续使用其他入侵工具和技术。
阅读更多:FBI 的 QakBot 下架引发问题:“拆除”还是只是暂时的挫折?
他们总结说,删除不能被视为网络犯罪和恶意软件操作的单一解决方案。
因此,执法机构应继续定期拆除基础设施,同时探索其他选项,使网络犯罪分子的工作更加困难。
此外,Recorded Future 观察到,网络犯罪分子越来越多地开发新的工作方式,以便在不被发现的情况下工作。
一方面,俄罗斯国家资助的参与者倾向于将合法的互联网服务添加到他们的曲目中,并以快速的节奏更新他们的C2基础设施,每周甚至每天进行更改。
另一方面,与中国有关联的行为者越来越多地使用和共享由受感染的物联网(IoT)系统、路由器和其他设备构成的匿名化网络。
2023 年使用的恶意服务器数量翻了一番
Recorded Future 在 2023 年检测到 36,022 台恶意服务器,是 2022 年发现 17,233 台恶意服务器的两倍多。
Cobalt Strike 是网络犯罪分子使用的顶级攻击性安全工具,尽管它部分被删除,QakBot 和 Emotet 跻身用于邪恶动机的前四大僵尸网络之列。
阅读更多:五分之四的网络攻击仅由三个恶意软件加载程序提供支持
该报告还对 20 种最常用的远程访问木马 (RAT) 进行了排名,其中前五名由两个开源工具 AsyncRAT 和 Quasar RAT 以及三个成熟的工具 PlugX、ShadowPad 和 DarkComet 组成。
According to the Recorded Future researchers, this shows that “threat actors are more concerned with blending in and being non-attributable rather than being undetectable, or have simply determined that their targets are not likely to detect even these well-known tools.”
Finally, Recorded Future noticed that, while many infostealers have been used by cybercriminals over the past year, RedLine Stealer and Raccoon Stealer have clearly been dominating the scene.
