1. 2025年第三季度恶意软件威胁态势总览
2025年第三季度网络安全形势持续恶化,根据多州信息共享与分析中心(MS-ISAC)的最新监控数据显示,恶意软件感染事件较上一季度激增38%。这个数字背后反映出一个严峻的现实:网络犯罪工具和技术正在以惊人的速度进化,而防御体系却面临前所未有的挑战。
在众多威胁中,JavaScript下载器SocGholish依然稳居恶意软件榜首,占所有检测量的26%。这个"老牌"恶意软件已经连续两年占据头把交椅,其持久性和适应性令人咋舌。更令人担忧的是,恶意软件生态呈现出明显的"多元化"发展趋势——加密货币挖矿程序CoinMiner、远程访问木马Agent Tesla等不同类型的威胁同时活跃,攻击者正在构建更加立体的攻击矩阵。
本季度还出现了几个值得警惕的新变化:
- Gh0st、Lumma Stealer和TeleGrab等"老面孔"重新杀回榜单
- 新型下载器Jinupd首次亮相,展现出攻击工具持续创新的趋势
- 曾经被执法部门端掉基础设施的Lumma Stealer卷土重来,证明打击网络犯罪的持久战特性
2. 十大恶意软件深度解析
2.1 SocGholish:持续领跑的JS下载器
作为榜单常客,SocGholish的工作原理值得每个安全从业者深入了解。这个用JavaScript编写的下载器主要通过两种方式传播:
- 入侵合法网站植入恶意脚本
- 搭建伪装成软件更新服务的钓鱼网站
其攻击链通常包含以下阶段:
- 用户访问被篡改网站或被诱导点击恶意链接
- 弹出伪装成浏览器更新的提示窗口
- 下载并执行恶意载荷(常伪装成update.js或install.js)
- 建立C2连接,下载第二阶段恶意工具
关键防御建议:实施严格的JavaScript执行策略,对网站更新机制实施多因素验证,监控异常的子进程创建行为。
近期活跃的SocGholish相关IOC包括:
- 域名:billing[.]roofnrack[.]us
- 域名:cpanel[.]365axissolution[.]com
- 域名:email[.]directoryindustry[.]com
2.2 CoinMiner:加密货币挖矿程序的进化
CoinMiner在本季度跃居第二位,反映出加密货币价值回升带来的黑产利益驱动。这个挖矿恶意软件家族展现出几个新特点:
传播方式:
- 利用Office文档漏洞的鱼叉式钓鱼邮件(占比42%)
- 通过SMB漏洞横向移动(占比33%)
- 被其他恶意软件作为二级载荷投放(占比25%)
技术特征:
- 使用WMI实现持久化(注册__EventFilter等WMI类)
- 采用无文件技术驻留内存
- 内置端口扫描和弱口令爆破功能
- 最新变种加入了对GPU挖矿的支持
典型哈希样本:
- 063A65D2D36CAE110D6D6C400956A125B9C35176D628A9A8F4D8E2133EC4D887
- 0338C2CC1E83C851ADAA3EBB836A40B849DF0C48060BD3086193542CC6A7F26C
2.3 Agent Tesla:功能丰富的商业RAT
Agent Tesla作为一款商业化远程访问工具,其第三季度活动呈现以下趋势:
分发渠道:
- 钓鱼邮件附带恶意Excel附件(占比68%)
- 伪装成PDF阅读器的软件捆绑包(占比22%)
- 被其他恶意软件投放(占比10%)
数据窃取能力:
- 键盘记录(支持包括中文在内的多语言输入)
- 浏览器密码提取(覆盖Chrome、Firefox、Edge等)
- 剪贴板监控(特别针对加密货币钱包地址)
- 屏幕截图定时捕获(可配置时间间隔)
近期活跃样本特征:
- 使用TLS 1.3加密C2通信
- 采用Process Hollowing技术注入合法进程
- 通过注册表Run键实现持久化
2.4 新兴威胁:Jinupd与Lumma Stealer
Jinupd作为新上榜的POS恶意软件,其技术特点包括:
- 专门针对支付系统内存抓取(使用GetProcessMemory API)
- 伪装成Java更新程序(javaupdate.exe)
- 通过修改注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run实现持久化
Lumma Stealer的回归则展示了恶意软件的韧性:
- 采用多层加密(AES+RSA)保护C2通信
- 具备虚拟机检测能力(检查CPUID、内存大小等)
- 针对加密货币钱包的专项窃取功能
- 通过Tor网络与C2服务器通信
3. 感染途径与防御策略
3.1 主要感染向量分析
2025年第三季度的感染途径分布出现显著变化:
-
多重途径(占比47%):
- CoinMiner:钓鱼邮件+漏洞利用组合
- TeleGrab:恶意广告+社会工程
- VenomRAT:软件供应链污染+自动传播
-
恶意广告(占比31%):
- 主要传播SocGholish和ZPHP
- 通过受损的广告网络投放
- 常伪装成Flash Player更新
-
恶意邮件(占比18%):
- Agent Tesla的主要传播方式
- 使用商业邮件泄露(BEC)技术提高可信度
- 附件类型从宏文档转向ISO映像
-
被投放(占比4%):
- Gh0st主要通过此方式传播
- 通常作为攻击链的后续阶段
3.2 基于CIS防御模型的防护建议
根据CIS社区防御模型(CDM)v2.0,可采取以下措施防御77%的恶意软件技术:
基础防护层:
- 应用白名单(CIS控制项2)
- 持续漏洞管理(CIS控制项3)
- 特权账户控制(CIS控制项4)
- 安全配置加固(CIS控制项5)
高级防护层:
- 邮件服务器防护(DMARC/DKIM/SPF)
- 网络流量分析(检测C2通信)
- 终端行为监控(EDR解决方案)
- 内存保护(防无文件攻击)
针对性防护措施:
- 对SocGholish:禁用不必要的JavaScript执行
- 对CoinMiner:限制WMI使用和监控异常CPU使用
- 对Agent Tesla:实施附件沙箱分析和宏控制
- 对POS恶意软件:实施内存保护和支付系统隔离
4. 威胁狩猎与事件响应
4.1 IOC的有效利用
提供的IOC指标应整合到安全监控体系中:
域名IOC应用:
- 在防火墙/代理服务器上阻断恶意域名
- 配置DNS日志监控相关域名查询
- 在SIEM中设置关联规则检测访问行为
文件哈希IOC应用:
- 在终端防护系统中添加哈希黑名单
- 定期扫描存储系统中的匹配文件
- 设置文件创建/修改的监控规则
4.2 检测规则示例
以下是一些可用于检测这些威胁的Sigma规则示例:
检测SocGholish下载行为:
yaml复制title: SocGholish JS Download
description: 检测SocGholish相关的JS文件下载
logsource:
product: webserver
detection:
selection:
cs-uri-extension: 'js'
cs-uri:
- '*update.js'
- '*install.js'
condition: selection
检测CoinMiner的WMI持久化:
yaml复制title: CoinMiner WMI Persistence
description: 检测CoinMiner使用的WMI持久化技术
logsource:
category: process_creation
detection:
selection:
CommandLine|contains:
- '__EventFilter'
- 'ActiveScriptEventConsumer'
condition: selection
4.3 事件响应流程
当检测到这些恶意软件时,建议采取以下响应步骤:
-
隔离受影响系统:
- 立即断开网络连接
- 记录当前网络会话
- 保存内存转储
-
取证分析:
- 分析进程树和网络连接
- 检查自动启动项和计划任务
- 提取相关IOC用于威胁狩猎
-
根除与恢复:
- 根据恶意软件类型使用专用清除工具
- 重置受影响账户凭证
- 从干净备份恢复系统
-
后续加固:
- 修补利用的漏洞
- 更新检测规则
- 开展安全意识培训
5. 未来威胁趋势预测
基于当前恶意软件的发展轨迹,我们可以预见以下几个趋势:
-
跨平台攻击工具增多:
- 针对Linux系统的恶意软件将增加
- 云原生环境成为新目标
- 容器逃逸技术可能被滥用
-
AI技术的恶意应用:
- 使用生成式AI制作更逼真的钓鱼内容
- 自适应恶意软件可动态调整行为
- 自动化漏洞挖掘工具降低攻击门槛
-
供应链攻击复杂化:
- 对开源软件仓库的投毒攻击
- CI/CD管道成为攻击目标
- 软件更新机制被滥用
-
防御规避技术升级:
- 更多使用合法数字证书签名
- 利用云服务隐藏C2基础设施
- 采用无文件和无日志技术
面对这些挑战,安全团队需要:
- 建立威胁情报共享机制
- 实施纵深防御策略
- 定期进行红蓝对抗演练
- 投资自动化安全运维能力
在实际工作中,我们发现许多组织仍在使用过时的恶意软件防御方法。现代威胁环境要求我们转变思维——从单纯的签名检测转向行为分析和异常检测,从被动响应转向主动威胁狩猎,从孤立防御转向协同联防。只有持续学习和适应,才能在这场不对称的网络战争中保持防御优势。