勒索软件、供应链攻击等带来的思考！

2023年勒索软件、供应链攻击、地缘政治冲突与黑客活动主义、国家黑客间谍与APT组织活动成为网络安全的热点话题，生成式人工智能技术的武器化更是给动荡的全球网络安全威胁态势增加了不确定性、不对称性和复杂性。

即将到来的2024年，随着网络犯罪的规模化和新兴网络威胁的快速增长，防御者将面临前所未有的艰巨挑战。根据Cybersecurity Ventures的预测，到2024年底，网络攻击给全球经济造成的损失预计将高达10.5万亿美元。这意味着，2024年全球网络犯罪造成的损失有望首次突破10万亿美元大关，网络犯罪已经成为“GDP”增速惊人的全球第三大“经济体”。

面对复杂动态且不断恶化种的威胁态势，如何进行威胁预测和优先级排序成为企业风险管理的头号难题，以下，GoUpSec为读者梳理分析2024年的十大新兴安全威胁和风险趋势：

一、云集中风险

2023年11月阿里云发生全球性停机事故，此次故障的严重程度、影响规模和范围在公有云历史上都极为罕见，严重打击了各行业用户对公有云可靠性和安全性的信心，进一步凸显了Gartner三季度风险报告中强调的“云集中”风险。

导致“云集中风险”的原因有很多，许多企业为了降低IT复杂性、成本和技能要求，选择将IT服务集中在少数几个战略云供应商手中；而加剧这一风险的是，少数几个云计算巨头凭借其技术能力优势、业务覆盖范围和合作伙伴生态系统，在全球和区域市场占据主导地位。

在全球科技巨头和云服务商争先恐后“大炼数据”的生成式人工智能时代，企业和个人对存放于云端数据的安全焦虑与日俱增，密码学专家布鲁斯施奈尔认为，单纯增加云服务商数量并不能从根本上降低“云风险”，一个可行的策略是将身份、数据和行为解耦合。

“企业不应再对云服务商的数据安全能力和意愿抱有幻想，企业唯一的出路是将数据安全重新掌握在自己手中。”施奈尔说道。

二、针对中小企业的“无恶意软件攻击”暴增

根据Huntress发布的中小企业威胁报告，2023年针对中小企业的“无恶意软件攻击”呈上升趋势，2023年针对中小企业的网络攻击中，只有44%部署了恶意软件，其余56%的安全事件属于“无恶意软件攻击“——攻击技术和工具包括使用“离地生存”二进制文件（LOLBins）、脚本框架（如PowerShell）和远程监控和管理（RMM）软件。

在65%的“无恶意软件攻击”事件中，攻击者在初次访问受害者环境后使用RMM软件作为持久性或远程访问机制的方法。

三、二维码网络钓鱼攻击肆虐全球

2023年，基于二维码的网络钓鱼活动开始流行。2024年，以二维码为中心的网络钓鱼活动预计会加速增长，主要原因是人们对二维码的固有信任仍未打破，人们习惯毫无戒备，不假思索地扫描二维码。网络犯罪分子利用用户对二维码的这种信任在二维码中嵌入恶意链接（指向恶意网站或者恶意软件下载地址）。

为了进一步提高攻击成功率，攻击者还会利用企业内部被盗邮件账户来发送钓鱼邮件。

网络犯罪分子热衷使用恶意二维码的另外一个原因是传统电子邮件安全产品往往无法检测到二维码网络钓鱼攻击，因为二维码钓鱼邮件邮件往往不包含任何文本，只有一个图片文件附件，能够绕过基于文本分析的电子邮件安全方案。

四、“小语种”恶意软件激增

近年来，使用Golang、Nim和Rust等“小语种”编程语言开发的恶意软件越来越多，2024年“小语种”恶意软件将激增。

Go的简单性和并发能力使其成为快速制作轻量级恶意软件的首选。Nim对性能和表现力的关注使其对于开发复杂的恶意软件非常有用。同时，Rust的内存管理功能对于勒索软件组织和其他注重恶意软件样本加密效率的攻击者来说很有吸引力。

Nim和Rust语言相对较新，与C或Python等流行语言相比，安全业界缺乏针对这类语言的全面分析工具，给分析和对抗用“小语种”恶意软件的网络安全专家带来了重大挑战，这进一步增加了“小语种”恶意软件的风险。

五、工业物联网边缘设备成为APT重点目标

随着IT与OT进一步融合，企业物联网资产与漏洞管理、威胁检测与事件响应难度不断加大。勒索软件、供应链攻击、地缘政治冲突、国家黑客与APT组织对工业物联网和关键基础设施的威胁不断增长。

2024年，网络安全威胁焦点将向边缘转移，经常被忽视的边缘设备（包括防火墙、路由器、VPN、交换机、多路复用器和网关等）正在成为勒索软件和APT组织的热门目标。（物联网）边缘设备面临独特的网络安全挑战，因为黑客将更多地利用零日漏洞来实现长期驻留和访问，而且这些边缘设备与传统网络组件不同，难以通过部署IDS/IPS进行入侵检测。

六、影子AI

根据Gartner的报告，2022年82%的数据泄露是“员工不安全或疏忽行为造成的”，三分之一的成功网络攻击来自影子IT，给企业造成数百万美元的损失。而影子AI正在加速放大这种“人为因素”产生的威胁。

根据The Conference Board的一项调查，56%的北美企业员工在工作中使用生成式AI，但只有26%的企业制定了明确的生成式AI使用政策。在没有制订AI政策的企业中，使用影子AI的员工中只有40%向主管如实汇报。

很多公司都在尝试限制或规范员工在工作中使用生成式AI的行为。但是，在提高生产力的“第一性”需求刺激下，多达30%的员工在没有IT部门的许可，不计后果地使用生成式AI，也就是所谓的影子AI。

七、恶意大语言模型成为主流黑客工具

大型语言模型是一柄双刃剑，激发生产力的同时也容易被网络犯罪分子滥用进行大规模攻击。

GPT-4、Claude和PaLM2等领先的大语言模型在生成连贯文本、回答复杂查询、解决问题、编码和许多其他自然语言任务方面取得了突破性的进展，同时也为黑客提供了一种经济高效的工具，无需大量专业知识、时间和资源就可发动大规模针对性攻击。

2023年，FraudGPT和WormGPT等武器化的恶意大语言模型工具已经在网络犯罪网络中占据主导地位，用于自动化创建网络钓鱼电子邮件、假冒网页以及能够逃避检测的恶意软件，使得大规模网络钓鱼活动变得更便宜且更容易实施。根据CrowdStrike的报道，恶意大语言模型已经成为暗网最畅销的黑客工具，吸引了数以千计的不法分子。

恶意大语言模型应用极大地降低了网络犯罪的门槛并极大提高攻击效率和成功率，预计2024年恶意大语言模型工具的开发和滥用将加速。

八、“脚本小子”复活

免费和开源软件导致了“脚本小子”的崛起，这些人几乎没有任何专业技术知识，使用自动化工具或脚本来发起攻击。随着企业网络安全工具和措施的不断健全，脚本小子逐渐淡出视野。但是，过去一年随着勒索软件即服务（RaaS）和人工智能技术的爆炸式增长，以及恶意大语言模型工具的泛滥，低技能攻击者比以往任何时候都更容易发起大规模的复杂攻击。脚本小子将再次复活，并对企业构成重大安全威胁。

九、驱动程序攻击将构成重大威胁

最近的许多安全事件表明，易受攻击的驱动程序构成了重大威胁。签名的易受攻击驱动程序在黑客论坛“炙手可热”，因为它们可用于隐秘驻留并能在攻击的早期阶段禁用安全解决方案。在此类攻击中，攻击者会删除使用有效证书签名并能够在受害者设备上以内核权限运行的合法驱动程序。成功利用该漏洞使攻击者能够实现内核级权限升级，从而授予他们对目标系统资源的最高级别访问和控制权。

ZeroMemoryEx Blackout项目、Spyboy的Terminator工具和AuKill工具都成功利用易受攻击的驱动程序绕过安全控制并成功实施了震惊业界的攻击。虽然业界发布了一些缓解措施，例如微软的Vulnerable Driver Blocklist和LOL Drivers项目。然而，这并没有改变这样一个事实：驱动程序攻击执行起来既简单成功率又高，并且易受攻击的驱动程序更容易访问。预计2024年基于驱动程序的漏洞利用将产生广泛影响。

十、基于合法工具的攻击

随着企业网络安全工具和措施的不断升级，越来越多的攻击者开始利用合法工具来绕过安全工具检测实施破坏，包括禁用安全措施、横向移动和传输文件等，因为基于合法商业工具的攻击更容易逃避检测。

利用合法工具的攻击可以伪装成日常操作，从而绕过检测横向移动或者长期驻留，因为端点安全产品通常可以检测到自定义攻击工具或恶意软件，但往往会为合法商用工具放行。

例如GMER，PC Hunter，Process Hacker和Defender Control等第三方和内置的Windows工具都不是恶意软件，但却常被攻击者用来禁用或卸载安全产品。上述工具的滥用已经多次出现在真实的网络攻击中，尤其是勒索软件攻击。

攻击者还热衷使用远程监控和管理（RMM）软件来访问或长期驻留系统。经常被利用的RMM软件包括ConnectWise Control（以前称为ScreenConnect），AnyDesk，Atera和Syncro等。

还有一些用于审核、AD枚举和密码恢复的合法工具，攻击者可以方便地使用这些工具来实施侦测或凭据转储。

被滥用的不仅仅是第三方工具。攻击者还尝试使用操作系统自身的合法二进制文件执行恶意活动，或利用内置Windows进程（如taskkill或net stop命令）杀死或停止进程，以停止与备份相关的进程。