网络安全专业人员正面临威胁者能力前所未有的加速提升,在2025年6月至8月的报告期内,平均突破时间(从初始入侵到横向移动的时长)已骤降至仅18分钟。
这一令人担忧的数据较之前的时间段大幅下降,其中有记录的最快事件仅用了6分钟——当时Akira勒索软件运营商攻破了SonicWall VPN,并以创纪录的速度发起横向移动。
现代威胁攻击者的行动速度使得防御者的检测和响应窗口极为狭窄。
ReliaQuest的分析师们发现,这种加速源于复杂的自动化技术以及对合法系统工具的武器化利用,这些手段能够规避传统的安全控制措施。
路过式入侵、基于USB的恶意软件传播以及高级规避技术的融合,为快速的网络渗透和入侵制造了一场完美风暴。
在本报告期内,路过式入侵仍然是主要的初始访问途径,占事件总数的34%。
然而,ReliaQuest的研究人员注意到,与Gamarue恶意软件相关的基于USB的攻击出现了令人担忧的激增,这种恶意软件利用了组织对可移动媒体设备的固有信任。
这种恶意软件的复杂手段包括对恶意动态链接库进行极为有效的隐藏,使得大多数用户对感染情况毫不知情,同时恶意的LNK文件会伪装成USB设备上已有的合法文件。
牡蛎恶意软件的出现成为主要威胁,从根本上改变了网络安全格局。
通过由人工智能和自动化驱动的复杂搜索引擎优化投毒攻击活动,“牡蛎”(Oyster)的操作者扩大了其行动规模,专门针对IT管理员——他们意识到,攻陷这些高价值账户就能获得进入整个组织基础设施的“黄金门票”。
这种恶意软件利用恶意广告,通过puttysystems[.]com等具有迷惑性的虚假网站,分发被植入木马的正版IT工具(如PuTTY)。
通过系统二进制文件利用实现的高级规避
牡蛎(Oyster)的技术成熟度远超传统恶意软件的能力,这得益于它对受信任的Windows系统二进制文件(尤其是rundll32.exe)的战略性滥用。
这个合法的Windows组件已成为恶意软件规避策略的核心,使其能够在绕过安全解决方案所依赖的基于文件的检测机制的同时,执行恶意DLL。
该恶意软件通过精心安排的计划任务部署一个名为“twain_96.dll”的特定动态链接库(DLL),这些任务模仿了合法的系统活动。
这种方法代表了攻击方法的根本性转变,因为它利用了安全系统对已签名系统二进制文件的固有信任。
这些计划任务被设计成看似常规的维护操作,这使得通过行为分析来检测它们的难度大大增加。
rundll32.exe twain_96.dll,DllRegisterServerOyster所采用的持久化机制展现出了极高的技术复杂度。该恶意软件并未依赖现代端点检测系统会主动监控的传统注册表修改或启动文件夹条目,而是创建了按看似随机的时间间隔执行的计划任务。
这些任务会调用rundll32.exe并附带特定参数,在加载恶意有效载荷的同时,保持合法系统进程的外观。
ReliaQuest的分析师发现,在涉及“匹配合法名称或位置”子技术的事件中,仅Oyster就占了48%,这凸显出该恶意软件的命名规则和文件放置策略成功欺骗了自动化安全工具和人类分析师。
这种恶意软件伪装成可信系统文件的能力,代表着规避技术的重大发展,各组织必须通过增强行为监控和异常检测能力来应对这一问题。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
