VIRUSTOTAL恶意软件趋势报告：新兴格式和传递技术

Jirehlov1234

阅读原文：https://assets.virustotal.com/reports/2023emerging.pdf
Translated by ChatGPT



主要观察结果：

1. 尽管这种技术已经存在几十年，但电子邮件附件仍然是传播恶意软件的一种常用方式。
2. 传统文件类型，如Excel、RTF、CAB和压缩格式，在作为电子邮件附件传播恶意软件的方式中变得不那么受欢迎。
3. 虽然PDF的使用在过去几个月慢慢减少，但除了与攻击活动相对应的偶发峰值外，在2023年6月我们观察到了过去两年中可疑样本数量的最大峰值。
4. 新的趋势包括在2023年迅速增长的用于传播恶意软件的格式，例如使用OneNote和JavaScript与HTML一起分发。
5. OneNote在2023年成为攻击者对其他Office产品中传统宏使用的可靠替代方案。
6. 防病毒产品最初对于将OneNote用于传播恶意软件感到措手不及。
7. 攻击者增加了使用ISO文件传播恶意软件的频率，它们传播各种类型的恶意软件家族并参与有针对性的攻击活动。
8. ISO文件也被作为高度压缩的电子邮件附件进行传播。一旦解压缩，其较大的文件大小使得某些安全解决方案难以对其进行扫描。
9. ISO文件被伪装成各种软件的合法安装包，包括Windows、Telegram、AnyDesk和恶意CryptoNotepad等。



恶意软件分发趋势：

攻击者结合了众所周知的分发向量和新的格式来进行恶意软件活动，这有助于他们了解防御措施的演变和不同社会工程技术的效果。我们从2021年1月开始监测提交到VirusTotal的样本，以确定攻击者技术的演变，特别是用于恶意软件分发的首选文件格式。

从今年初开始，我们对恶意邮件附件的文件演变数据进行了观察，在2023年3月至4月之间，我们观察到了显著的增加。实际上，尽管这是一种非常古老的技术，但通过电子邮件附件传播恶意软件的流行度自2022年起就有所增加。我们首先分析了作为恶意附件使用的传统文件类型的演变（图1）。


图1 自2022年以来用作恶意附件的文件类型

在过去的两年中，我们观察到可疑的PDF文件与攻击活动相关，出现了峰值。虽然自2022年4月以来这一趋势似乎有所减少，但在2023年仍然发现新的攻击活动，包括在2023年6月出现的迄今为止最高峰的可疑PDF文件。我们观察到这些PDF文件被用于各种目的；例如，它们可能被"武器化"用于利用漏洞，或者只是包含一个指向钓鱼网站的链接，请求用户提供信息。

在2022年，我们观察到可疑的Excel文件出现峰值，其中许多与Emotet传播相关。在此期间，Microsoft Word似乎有一个更加稳定的基线，较少出现较小的峰值，这似乎暗示了其用于恶意软件分发的使用在减少，但尚未完全消失。在2023年5月，我们观察到了Word和Excel的峰值，随后在2023年6月出现了最大的峰值。这表明了在不同攻击活动中，对这两种格式的机会性使用。

这两种文件类型（以及PDF文件）的峰值似乎表明在2023年中期，恶意软件分发的努力有了显著增加。

如图2所示，OneNote在2023年成为恶意软件作为电子邮件附件分发的新兴格式。我们将在下一节中描述这种OneNote攻击方式。按比例计算，它成为了2023年恶意附件中最强劲的新进入格式。


图2 自2021年以来作为恶意附件分发的不同文件类型的比较

在2023年，我们观察到JavaScript的显著增加，通常与HTML一起分发，被用于复杂的钓鱼攻击，旨在窃取受害者的凭据。Excel、RTF、CAB、压缩格式和Word这些传统文件类型在作为恶意附件使用的流行度似乎相对下降。


OneNote
OneNote指的是微软OneNote笔记软件，它是微软Office套件的一部分，并可在套件之外的所有平台上免费提供。攻击者可以在OneNote文档中包含恶意URL和不同的脚本格式，包括JavaScript、PowerShell、Visual Basic Script和Windows Script。这使得OneNote对攻击者来说非常灵活和有资源，成为对其他Office产品中传统宏使用的可靠替代方案。

OneNote可以作为附件添加到电子邮件中用于恶意软件传播，通常作为受密码保护的文件。大多数情况下，它们用于执行嵌入的脚本以下载额外的恶意软件。

尽管我们观察到在2023年OneNote在恶意软件传播中日益受欢迎，但甚至在2022年4月我们发现了用于分发NjRAT和AsyncRAT的样本的痕迹。2023年发现的大多数OneNote样本都是作为恶意电子邮件附件进行主动传播，而2022年的样本则仅仅是被上传到VirusTotal。这表明2022年的样本是用于测试防病毒检测，而2023年的样本则用于实际攻击活动。

大约在2022年12月左右，我们首次开始观察到更加精心制作的样本，具有令人信服的信息，这很可能导致收件人与电子邮件互动（图3显示了一个例子）。


图3 恶意PDF示例

这些测试的明显成功（因为受害者面对一个不熟悉的格式），以及OneNote的灵活性，可能是我们观察到的雪球效应的原因。我们观察到，作为电子邮件附件分发的OneNote文件使用了不同的文件扩展名，可能是为了复杂化分析，或者在受害者面前显得不那么可疑。图4显示了大多数情况下它们似乎被分发为GIF或PNG文件，实际上在执行后主要导致一个DLL文件被下载到受害者的设备上。


图4 OneNote文件在作为恶意附件分发时使用的文件扩展名

我们在VirusTotal中观察到了超过70个收集，其中OneNote文件被用于分发，其中68个是在2023年创建的。到目前为止，我们观察到OneNote被用于分发至少Qakbot、lcelD、Emotet、AsyncRAT和Redline等恶意软件。还观察到威胁行为者Kimsuky使用OneNote进行恶意软件分发，该组织是我们Mandiant同事所指的APT43的一个分支组织。


图5 AV（防病毒）检测对OneNote文件的演变情况

图5显示了AV在OneNote文件首次在VirusTotal中出现几周后，为一组最初未被检测到的文件添加了检测。对于在2023年首次出现并被公开讨论作为恶意活动的一部分的OneNote文件，其检测率约为35％，这是相当高的。有趣的是，当怀疑的OneNote文件作为活跃的恶意软件分发活动的一部分被发现时，检测率平均下降到23％，这意味着这些样本使用了更好的混淆技术来逃避检测。这可能还展示了AV引擎如何整合对公开已知恶意样本的检测能力。


ISO文件

我们观察到2023年可疑ISO文件的数量比2022年有所增加（图6）。我们发现这是一种在恶意软件分发中越来越重要的格式。虽然我们在2022年的一些攻击活动中已经发现了ISO文件的存在，但在2023年，我们发现它正在传播不同的恶意软件家族（例如lockbit、darkbit、Quakbot、AsyncRAT、RemcosRAT等），并且它也参与了更有针对性的攻击活动，包括（根据开放源情报）涉及MuddyWater、Dark Pink、Saaiwc以及一个未经证实的疑似俄罗斯威胁行为者的威胁行动者。


图6 自2022年以来提交到VirusTotal的可疑ISO文件时间线


在本节中，我们希望提供有关恶意行为者在攻击活动中如何使用ISO文件的更多细节，以及从防御者的角度来看，了解哪些特征是有用的。我们还发现了一些使用ISO文件进行恶意软件分发的攻击活动。

我们首先绘制了一个图表，其中包含了在VirusTotal中发现的所有ISO文件，其中X轴表示文件大小，Y轴表示检测率（图7）。每个黑色的点代表一个单独的ISO文件。


图7 VirusTotal中的ISO文件按检测次数（Y轴）和文件大小（X轴）绘制的图表

让我们重点关注图表左侧的集群。这是一个轻量级ISO文件的集群（小于15MB），其中72%的文件看起来可疑（意味着AV检测率超过10%）。排除了这个集群，对于所有其他ISO文件，“可疑性”比率为6%（而不是72%）。简而言之，根据这些数据，较小的ISO文件比较大的ISO文件更有可能是恶意的。

通过使用这个10%的检测率来过滤ISO文件，我们可以观察到更小的集群，对应于恶意活动，如图8所示。


图8 VirusTotal中的可疑聚类ISO文件按检测次数（Y轴）和文件大小（X轴）绘制的图表

我们发现了一个包含18,000个文件的聚类，大小在1.15MB和1.2MB之间，并且具有较高的检测率，它们作为电子邮件附件分发，用于安装LokiBot和AgentTesla的下载器（以下是参考资料）。

第二个聚类包含大约7,000个大小约为125MB的文件，这些文件主要用于分发Chromeloader样本，其中大部分未被防病毒引擎检测到。
根据ISO文件的元数据（如卷修改日期），我们估计此攻击活动在2022年1月至11月之间活跃。在攻击者使用的文件名中存在明显的优势：


图9 这个聚类中攻击者最常用的文件名

我们发现了第三个聚类，其中包含1,200个样本，ISO文件的大小通过添加零字节人为膨胀到300MB至315MB。这样可以将ISO文件打包成300KB的ZIP文件，从而可以通过邮件发送给受害者。这也使得攻击者可以避开一些依据文件大小限制分析的安全解决方案。

这个第三个聚类中的许多样本都伪装成合法的ISO安装程序，如图10所示。这种伪装使得受害者更容易被欺骗，以为这些ISO文件是合法的软件安装程序，但实际上它们包含了恶意软件，可能会导致系统受到感染并遭受损失。


图10 恶意ISO安装程序所假冒的软件的分发统计

在这个聚类中，我们还发现了一个恶意版本的Crypto Notepad在分发中被使用，除了安装预期的软件外，还能够执行在Discord中托管的PowerShell脚本。

除了根据大小对聚类进行分析外，我们还发现了大量包含单个PE可执行文件的ISO文件。实际上，这类ISO文件似乎最为普遍，占总数的79%。总体而言，包含单个恶意可执行文件的ISO文件的检测率低于捆绑了恶意可执行文件的ISO文件的检测率。这些ISO文件主要通过电子邮件进行分发（79.6%的样本），要么直接将ISO文件作为附件发送，要么通过中间存档（如压缩文件）进行发送。其余的样本（20.4%）在互联网上找到。

我们发现托管ISO文件的顶级域名的分布情况如图11所示，突显了该格式用于电子邮件附件的使用情况，以及滥用合法域名如discordapp、dropbox、catbox、sendspace、onedrive或filetransfer的情况。


图11 分发可疑ISO文件的域名



总结
攻击者从技术和灵活性的角度出发，不断改变恶意软件传播的格式，以增加其传播活动的有效性。这包括社交工程和技术层面，以及所选择的格式在受害者端执行操作和避免安全措施的灵活性。

虽然传统的文件类型仍经常用于恶意软件传递，但了解替代格式如何获得流行，并且这可能为攻击者带来优势是很重要的。在意识方面，我们希望这份报告可以帮助安全社区投入更多资源来确保阻止这些新的传播方法。从技术方面来看，OneNote似乎是Word、Excel和RTF的自然替代品（或补充），具有类似的功能。ISO可能是压缩格式的替代品。

在分发方面，值得一提的是持续使用不同的合法平台进行恶意软件分发，这在我们之前的报告中已经提到。这也似乎是将恶意软件伪装成合法ISO文件的另一个优势。令人惊讶的是，将恶意样本简单地捆绑在ISO文件中会立即降低AV的检测率。我们还观察到在OneNote恶意文件的首波中检测率较低，尽管随着时间的推移有所改善。这些技术既用于通用的恶意软件传播，也用于有针对性的攻击。

我们建议一些措施来最小化最常见的风险：
• 监控恶意软件传播趋势，并积极检查您的安全堆栈对其的响应。
• 在分析中包含与允许的合法网站之间的所有日志，因为它们经常用于恶意软件分发，不要仅将异常检测集中在未知流量上。
• 除了与格式无关的安全意识计划外，考虑实施零信任架构。

我们认为本报告提供的细节应该引起对恶意软件传播的更高安全意识。分析恶意活动中所使用的格式的演变有助于防御者和安全分析师更好地了解如何预防和调查正在进行的攻击。演进将继续，可能会增加新的元素以使社交工程更加有效。随着我们的观察，VirusTotal将继续通报任何新的相关趋势。

asnjj

最近还真是有遇到iso病毒的邮件

nicole

Blender居然也....

gostrmao

安卓是java,ios是什么

Mxu

gostrmao 发表于 2023-7-30 12:06
安卓是java,ios是什么

？？
你在想什么呢？
iso和ios都没分清。。。

隐逸云

旧瓶装新酒

2910372828

有点懵看不懂

aikafans

其实比较好奇pdf的转播方式，是文档里插入一个超链接诱导用户下载病毒和木马么

Eunismal

aikafans 发表于 2023-8-7 15:03
其实比较好奇pdf的转播方式，是文档里插入一个超链接诱导用户下载病毒和木马么

PDF里面插入脚本受害者打开后会自动执行，用户完全不需要点开任何链接。

XSS漏洞的原理
XSS（跨站脚本）漏洞是一种常见的Web安全漏洞，攻击者通过在Web页面中插入恶意脚本代码，从而在用户浏览页面时执行恶意操作。PDF XSS漏洞利用了PDF文件的结构和内容，将恶意脚本代码嵌入到PDF文件中，当用户打开PDF文件时，恶意脚本代码会被执
行。

aikafans

Eunismal 发表于 2023-8-15 11:45
PDF里面插入脚本受害者打开后会自动执行，用户完全不需要点开任何链接。

谢谢科普