在数字化时代，网络安全的威胁日益严峻，恶意软件的种类和复杂性不断增加。2024 年，恶意软件家族BlackLotus 、Emotet 、Beep 和Dark Pink正以其独特的攻击手法和隐蔽性，成为各行业组织面临的巨大威胁。无论是通过绕过固件安全、实施精巧的网络钓鱼，还是利用模块化设计进行定制化攻击，这些恶意软件不仅威胁着企业的运营安全，也对国家安全构成了潜在风险。

通过理解这些恶意软件的行为和演变，安全团队可以有效地预见和减轻这些高级威胁带来的风险。

了解恶意软件“四大家族“

SC Media指出， BlackLotus 、Emotet 、Beep 和Dark Pink是2024年威胁最大的恶意软件家族。每个恶意软件家族都在不断演变其战术，了解这些恶意软件的行为、动机和目标，已成为企业和安全团队构建有效防御策略的关键。

1、BlackLotus：引导程序黑马

BlackLotus 已成为首个已知能够绕过安全启动的恶意软件，针对现代 Windows 系统的统一可扩展固件接口（UEFI）层。通过嵌入固件，它能够规避标准检测并在重启后保持持久性。这种深层系统妥协使攻击者能够长期访问，以进行间谍活动、破坏或勒索操作。

BlackLotus 将理论变为现实，通过绕过安全启动保护实现 UEFI 引导程序攻击。其使用反分析功能使其难以被检测，其跨平台能力威胁到依赖系统正常运行和保证安全性的行业，如关键基础设施、金融服务和医疗保健。

BlackLotus 以系统底层安全为目标，导致传统防御措施失效。它对政府、金融和国防等高监管和高安全要求的行业构成重大威胁。它在高度敏感环境中能够持续不被检测的能力，标志着固件级攻击的升级，要求情报机构和私营组织重新评估硬件和固件安全措施。

为了防御 BlackLotus，组织应优先进行 UEFI 更新，实施固件安全控制，并定期进行系统审计。多因素身份验证和基于硬件的安全措施（如受信任的平台模块 TPM）至关重要。

2、Emotet：持久的网络钓鱼者

Emotet 曾是一种银行木马，现已演变为多功能恶意软件平台，通过带有恶意附件的网络钓鱼电子邮件进行传播。Emotet 还充当其他恶意软件的传播机制，包括勒索软件，通过电子邮件劫持将自身嵌入合法商业对话中。

该恶意软件在电子邮件劫持和社交工程策略中的作用变得日益复杂，使得网络钓鱼电子邮件更难以检测。金融服务和法律领域依赖通信的行业尤其容易受到攻击。

Emotet 作为恶意软件传播平台的角色及其嵌入受信任电子邮件线程的能力，使其成为一个重要的情报威胁，尤其是在数据保密性至关重要的行业。情报团队应监控其与其他恶意软件运营者的合作关系，因为 Emotet 通常作为更大规模勒索软件或数据外泄活动的门户。

组织应加强网络钓鱼防御，收紧电子邮件过滤，并培训用户识别可疑电子邮件。限制宏使用和附件处理可以减少暴露风险。

3、Beep：静默入侵者

Beep 恶意软件旨在隐蔽性强，采用延迟执行等技术以避免沙箱检测。它通过模块化组件传递恶意负载，允许攻击者根据目标环境定制攻击。Beep增强了其模块化，使得部署多样化的恶意负载变得更加容易。它主要针对缺乏严格端点监控的 Windows 企业系统，尤其是在零售、物流和制造等行业。

该恶意软件专注于规避检测和模块化，给传统检测方法带来了挑战。它代表了一种日益增长的恶意软件即服务（MaaS）趋势，多个威胁行为者可以利用该趋势进行间谍或勒索活动。其隐蔽能力对管理敏感数据或知识产权的行业尤其令人担忧。

安全团队应投资于行为分析工具，并监控网络流量中的异常情况。通过反规避机制加强端点检测将有助于减轻 Beep 的风险。

4、Dark Pink：区域间谍专家

Dark Pink，也被称为Saaiwc组，是一个APT间谍组织。该组织主要在亚太地区活动，针对政府机构、军事组织和非政府组织（NGO），通过网络钓鱼电子邮件和 DLL 侧加载等技术进行攻击。

该恶意软件已将目标扩展到包括能源和技术等关键行业的研究组织和私营企业。这些恶意软件使用基于云的服务和加密通信通道，使得检测变得更加复杂。

Dark Pink 专注于间谍活动，尤其是在地缘政治敏感地区，引发了国家安全担忧。其转向针对能源和技术行业的攻击，表明其更广泛的情报战略，旨在通过数据盗窃获得战略优势。情报机构和网络安全团队应优先监控其活动，特别是在高风险地区。

安全团队应加强对网络钓鱼攻击的防御，并监控异常文件活动。政府机构和关键行业的企业应增强对间谍驱动恶意软件的保护。

恶意软件发展的四大趋势

综上所述，安全牛总结分析了这四种恶意软件在攻击手法、目标行业和隐蔽性方面存在一些共同点：一是所有恶意软件都在不断演变，以规避检测和利用受信任的安全机制；二是它们都针对高价值目标，尤其是在金融、政府和关键基础设施等行业；三是这些恶意软件的攻击手法越来越复杂，利用社交工程和模块化设计来增强其隐蔽性和灵活性。

从恶意软件“四大家族”的关键特性，我们也可以观察到当前恶意软件发展的一些重要趋势：

1、固件攻击的上升

随着 BlackLotus 等恶意软件的出现，固件攻击逐渐成为网络攻击的新前沿。攻击者通过针对 UEFI 和固件层面进行深度渗透，能够绕过传统的安全防护措施，导致更难以检测和响应的长期威胁。这种趋势促使企业必须重新评估其固件安全策略。CISA建议企业定期更新固件，实施多因素身份验证，并加强对固件的监控，以防止潜在的固件攻击。

2、恶意软件即服务模型的兴起

Beep 等恶意软件的模块化设计表明，恶意软件即服务（MaaS）模型正在兴起，允许多个威胁行为者根据需要定制和部署攻击MaaS平台，使得即使是技术不熟练的攻击者，也能轻松获取和使用恶意软件，降低了网络犯罪的技术门槛。企业应关注这一趋势，考虑采用更为灵活的安全防护措施，以应对不断变化的攻击手法。

3、社交工程的复杂化

Emotet 的演变显示出社交工程攻击的复杂性正在增加，攻击者利用更精细的钓鱼手法和电子邮件劫持技术，使得识别和防御变得更加困难。PhishLabs的研究显示，2023年社交工程攻击占所有成功攻击的43%。为此，企业应加强员工培训，提高对社交工程攻击的警惕性，并实施更严格的电子邮件过滤和监控措施。

4、针对特定行业的定制攻击

Dark Pink 等APT 组织的活动表明，针对特定行业（如能源和技术）的定制攻击正在增加，攻击者通过深入了解目标行业的运作方式来制定更有效的攻击策略。根据KnowBe4的研究，从2023年1月至2024年1月期间，全球关键基础设施遭受了超过4.2亿次网络攻击，比上一年增长了30%。企业应加强对行业特定威胁的监控，定期进行安全评估，以识别潜在的攻击风险。

企业应对恶意软件的策略重点

面对这些恶意软件的威胁，企业应采取以下措施：

1、加强固件和 UEFI 安全

组织应优先更新 UEFI 和固件设置，实施固件安全控制，并定期进行系统审计。根据 CISA       的建议，企业应确保固件的完整性，定期检查固件更新，并实施多因素身份验证，以防止未授权访问。

2、强化网络钓鱼防御

加强网络钓鱼检测，收紧电子邮件过滤，培训用户识别可疑电子邮件，限制宏使用和附件处理。根据 FBI 的建议，企业应定期进行网络钓鱼模拟测试，以提高员工的警惕性和应对能力。

3、投资行为分析工具

监控网络流量异常，增强端点检测，特别是针对隐蔽性强的恶意软件如 Beep 。行为分析工具通过实时监控、减少误报、增强适应性、提高内部威胁检测能力以及预测未来威胁等多种方式，显著提高了网络安全中的检测率。

4、关注间谍活动威胁

对于在地缘政治敏感地区运营的企业，必须增强对间谍驱动恶意软件的防御。企业应加强对外部威胁的监控，定期进行安全评估，并与政府机构合作，共同应对网络安全挑战。

未来，企业应不断关注恶意软件的持续演变和新兴攻击手法，以保持安全防护的有效性。

声明：本文来自安全牛，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。