安全团队依靠威胁报告来了解外面有什么,并保证其组织的安全。但一份新报告显示,这些报告可能只透露了部分故事。隐藏的恶意软件变种正在悄悄地通过防御,让团队有一种错误的安全感。
Stairwell的《2025年隐藏恶意软件报告》分析了2023年3月至2025年7月期间发布的769份威胁报告。这些报告包含超过10,000个恶意软件文件标识符。通过深入挖掘这些文件,研究人员发现了超过16,000个未包含在原始报告中的恶意软件变种。
什么是恶意软件变种,为什么它们很重要
恶意软件变体是现有恶意软件的略有修改的版本。攻击者很少从头开始构建新的恶意软件。相反,他们使用有效的东西并进行小的更改,例如重新打包文件、调整代码或重命名其部分内容。这些更改足以生成一个完全不同的哈希,这就是大多数安全工具跟踪恶意软件的方式。
问题是,许多工具经常依赖完全匹配。如果文件的哈希值发生变化,它可能不再与已知的签名匹配,使其无法通过检测。这就是攻击者在不需要制造全新威胁的情况下保持领先的方式。
对于捍卫者来说,这意味着捕获一个恶意文件只是开始。如果不发现相关变体,安全团队可能会错过大局,留下攻击者可以躲藏的漏洞。
Stairwell首席技术官Mike Wiacek说:“如果你依赖静态哈希,你就是在对抗昨天的威胁。”
报告发现了什么
这项研究强调了变异问题的普遍性。平均而言,每份威胁报告都包含13个已知恶意软件样本的哈希值。当对这些相同的文件进行进一步分析时,平均发现了21个额外的相关恶意软件变种。
随着时间的推移,报告中共享的哈希数量也在增加。2023年,一份报告平均包含11个哈希值。到2025年,这个数字已经增加到18个。这表明,虽然供应商正在共享更多信息,但未发现的恶意软件数量增长得更快。
报告还指出,较旧的恶意软件家族往往有更多的变种。成功的恶意软件通常被攻击者复制和重复使用,攻击者会进行小幅调整以避免被发现。这导致了一个循环,即使是有据可查的威胁也会继续演变并逃避防御。
隐藏威胁的风险
当恶意软件变种未被发现时,其结果可能会造成破坏。安全团队可能认为威胁已被消除,但实际上,修改后的版本在环境中仍然活跃。这造成了攻击者可以长期利用的盲点。
最大的危险是虚假的信心。相信防御在无效时是有效的,可能会导致响应时间延迟,并错过在攻击蔓延之前阻止攻击的机会。
团队如何应对
报告强调需要持续分析,而不是仅仅依靠时间点扫描或静态签名。安全团队可以通过以下方式采取措施来改善他们的防御:
- 使用各种检测方法持续寻找威胁。
- 编写和更新规则,如YARA规则,以识别超出精确哈希的模式。
- 在日志和系统中搜索妥协的迹象,而不仅仅是已知的指标。
- 随着新的威胁情报的出现,定期重新分析文件。
原文链接地址:https://www.helpnetsecurity.com/2025/09/19/discover-hidden-malware-variants/
暂无评论内容