恶意软件检测

Windows 仍然是占比最大的攻击目标，Linux 也越来越多地成为了攻击者青睐的目标。

检测到的恶意软件中，绝大多数都是木马：

Yara 检测最多的恶意软件家族为 CobaltStrike、Metasploit：

端点行为

按操作系统统计端点告警数量，超过九成的告警都是 Windows 平台产生的：

按战术阶段进行划分，防御规避战术阶段的告警数量遥遥领先：

Windows 平台中最常见的防御规避技术是进程注入：

Linux 平台中最常见的防御规避技术是削弱防御，例如禁用防火墙、卸载内核模块等：

macOS 平台中最常见的防御规避技术是反射代码加载：

云安全

云环境中的战术阶段最多的是凭据访问、初始访问和持久化：

按云服务提供商划分，Azure 数量最多（注：微软数据为 Azure+Microsoft 365 的数据）：

在 Azure 中最多的是凭据访问：

在 AWS 中最多的是防御规避：

在 Google Cloud 中最多的是持久化：

2025 年预测

• 攻击者将会加大防御规避的力度，尤其是阻碍检测可见性的技术
• 删除日志仍然是干扰容器和服务器基础设施可见性的低成本方法
• 暴露的凭据会越来越多地导致数据暴露或未授权访问
• CSP资源宽松可能导致未来的数据暴露
• 生成式人工智能将带来新的遥测数据收集范式并识别新威胁
• 云服务提供商将改进默认安全配置

声明：本文来自威胁棱镜，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。