恶意软件发展方向:2025 年的动机和目的
Palo Alto Networks 的 Cyberpedia 将恶意软件描述为“任何故意设计用于损害、利用或以其他方式危害设备、网络或数据的软件。网络犯罪分子使用恶意软件窃取敏感信息、破坏运营、获取未经授权的访问权限或向个人或组织索要赎金。”
我们将软件定义为由计算机系统处理的指令。这不包括社会工程学,例如网络钓鱼电子邮件,这些是人类大脑处理的指令。社会工程学在本系列的另一篇 Cyber Insights 文章中进行了讨论。
恶意软件是攻击者用来获取经济利益、破坏系统、进行网络间谍活动和窃取 IP 的网络工具。攻击者可能是普通罪犯、精英国家黑客,也可能是两者兼而有之。然而,攻击者和工具都会受到不断变化的网络生态圈的影响。
我们将集中关注三个将影响到 2025 年恶意软件使用的领域:犯罪利用(又名勒索软件);人工智能对恶意软件使用的影响;以及到 2025 年地缘政治的影响。
勒索软件
勒索软件长期以来一直是流行的恶意软件。
2025年这种情况还会继续吗?
无疑。
这个术语是为了定义一种新的网络犯罪敲诈勒索形式而创造的,这种勒索勒索包括加密系统文件并要求支付解密密钥的费用。关键词是“敲诈勒索”——加密只是敲诈勒索的一种手段。还有其他手段——例如实际窃取敏感或机密专有数据并要求支付费用以安全归还;或者添加 DDoS 作为额外的敲诈勒索手段或伪装网络操作、数据提取和犯罪分子离开的方法。
勒索赎金的具体形式将取决于犯罪分子最有效的方式——目前似乎没有必要改变现状。从犯罪分子的角度来看,这种方法并没有问题,所以没有必要去修改它。
Systal Technology Solutions 的数字取证和 IR 顾问 Calum Bai
但这并不意味着 2025 年不会有任何变化。“网络安全就像是一场猫捉老鼠的游戏,”Systal Technology Solutions 的数字取证和 IR 顾问 Calum Baird 表示,“网络威胁者开发新的策略和技术来实现他们的目标,网络安全专业人员开发技能和技术来预防、检测、遏制和应对威胁。考虑到这一点,我们可以预期勒索软件(和其他网络威胁)将在 2025 年发生变化。”
一旦防御者能够熟练地阻止勒索软件的成功,勒索软件就会适应。
与此同时,勒索软件的大部分变化很可能是对已经成功的攻击方法的改进。例如,大量受害者数据的泄露需要时间,并且可能会让受害者暴露攻击行为。Fortra 威胁研究高级研究员 John Wilson 表示:“我预测勒索软件将发展到包含一种算法,甚至可能是人工智能算法,以识别和泄露系统中发现的最敏感数据。”“通过优先考虑要泄露的数据,攻击者更有可能获得可获利的黑材料,而不会触发任何基于数量的警报。”
然而,“只要使用勒索这个词,从定义上来说,它就是勒索软件,”BlackFog 创始人兼首席执行官达伦·威廉姆斯 (Darren Williams) 解释道。“所使用的方法并不能真正决定其分类。”
勒索攻击仍在增加。IEEE 高级会员、阿尔斯特大学网络安全教授 Kevin Curran 表示:“医疗保健和制造业等关键行业可能仍是主要目标,这些行业的攻击数量急剧增加。勒索软件即服务可能会扩大,让技术水平较低的攻击者更容易发起复杂的攻击。”
Kevin Curran,IEEE 高级会员、阿尔斯特大学网络安全教授
我们笼统地归类为勒索软件的威胁和恶意软件将在 2025 年继续增长。
但是——网络预测中总是有一个“但是”——我们所说的勒索软件与我们所说的“擦除器”相差无几。无法检索的加密文件实际上被销毁(或擦除)。“大多数当代勒索软件构建器(由众多参与者和操作共享)都包含覆盖(即擦除)数据的参数,而不仅仅是加密数据。这种能力多年来一直只是一个命令行选项,”Sentinel Labs 高级威胁研究员 Jim Walter 警告说。
“我们有理由期待参与者更积极地利用这种能力,而不是将擦除器保留用于破坏而非经济利益的场景。擦除器是很好的手段,但并不总是实现其目的的最佳后勤手段。同样,大多数现代勒索软件(以及许多商品 RAT)已经可以擦除数据,但这种程度的破坏很少是攻击性网络行动的真正目标。”然而,在地缘政治紧张局势加剧(稍后讨论)和敌对民族国家活动增加的时代,这一点值得注意。
2025 年的人工智能与恶意软件
2025 年,人工智能(包括 LLM 和更受约束的 ML 模型)的使用将渗透到网络,并将影响网络安全的几乎每个方面。人工智能的道德和伦理无关紧要。它存在并且不会消失——我们只需要最大限度地发挥它的好处并尽量减少它的危险。自动化恶意软件的生成和大规模使用是危险之一;更快速地检测和缓解入侵是好处之一。
Palo Alto Networks Unit 42 首席技术官兼工程副总裁 Michael Sikorski 毫不怀疑,恶意攻击者将使用 AI 大规模自动发起攻击。“预计到 2025 年,网络犯罪分子将进一步利用 gen-AI 来加速和简化攻击生命周期的每个阶段——从侦察到泄露。我们预计会看到更快、更先进的攻击,例如 AI 驱动的勒索软件、自动化社交工程和超个性化网络钓鱼活动,”他说。
“Gen-AI 预计将大幅缩短攻击时间,事件响应数据表明,泄露数据的平均时间可能降至仅 25 分钟——比 2021 年快 100 多倍。它还将使攻击者能够快速穿越网络,自动化帮助他们保持访问权限并传播到其他易受攻击的系统的过程。”
这还不是人工智能生成的恶意软件,而主要是人工智能协助使用人造恶意软件攻击。Splunk SURGe 全球安全策略师 Mick Baccio 表示:“没有证据表明网络犯罪分子正在利用人工智能开发恶意软件。”相反,“我们已经看到攻击者在攻击链的其他阶段利用人工智能系统,例如侦察和网络钓鱼来获得对受害者网络的初步访问权。”目前,攻击者主要在探索人工智能的自动化潜力,以扩大现有的攻击方法。
尽管如此,同样明显的是,网络犯罪分子也在探索使用人工智能来自动化和加速开发新恶意软件的过程的潜力。早在 2023 年夏天,Hyas Labs 就宣布“我们已经构建了一个简单的概念验证 (PoC),利用大型语言模型来动态合成多态键盘记录器功能,在运行时动态修改良性代码——所有这些都无需任何命令和控制基础设施来交付或验证恶意键盘记录器功能。鉴于这种恶意软件带来的威胁,我们将我们的 PoC 称为 BlackMamba。”
目前还不完全清楚有多少人工智能被用来构建该恶意软件,或者仅仅用来增强恶意软件。
BlackMamba 并非突破性的恶意软件。尽管如此,它还是预示了可能发生的情况,有迹象表明,可能发生的情况将在 2025 年开始发生——尽管 2025 年可能更像是人工智能生成的恶意软件的转折点,而非泛滥之年。
Bambenek Consulting 总裁 John Bambenek 表示:“我们可能会看到一些由人工智能生成的恶意软件,但任何使用过人工智能副驾驶的人都知道,它可以做简单的事情,但可能只能做 70% 的复杂事情。恶意软件作者可能会用它来增强和加速他们的工作,但可能不会出现完全由人工智能创建的复杂恶意软件。”
John Bambenek,Bambenek Consulting 总裁
贝尔德倾向于同意这一观点。“我们可能会看到更多恶意软件被生成;但是,这种情况发生的可能性尚不确定。幻觉对 gen-AI 来说仍然是一个挑战,这意味着它可以提供虚假数据和错误代码,而且通常对其准确性缺乏信心,”他指出。
“网络威胁者入侵系统的机会有限,如果部署无效的人工智能恶意软件,则会降低其成功率。此类恶意软件可以制造噪音并向安全团队触发警报,但无法实现其预期目标,从而可能破坏攻击者的努力。”
然而,在 2024 年 9 月,HP 发现了一个电子邮件活动,其中包含由 AI 生成的 dropper 传递的标准恶意软件负载。研究人员认为这是由 AI 生成的,因为代码中包含了注释——任何有自尊心的新手人类坏人都不会留下注释。但由 AI 生成的是 dropper,而不是主要负载。尽管如此,这意味着坏人正在尝试使用生成 AI 来生成恶意软件;如果是这样,他们已经学会了调整模型以从代码中排除注释。他们正在学习
监控WhiteRabbitNeo等代码生成 AI 模型的进展非常重要,这样才能评估(并且实际上防范)可能在 2025 年出现的新型、规避性、AI 生成的、以漏洞为重点的恶意软件的可能性。
与此同时,Snyk 开发者和安全关系主管 Randall Degges 看到了人工智能带来的不同影响:注入攻击的回归。“随着人工智能编码工具成为开发工作流程的支柱,它们带来了新的安全挑战,需要谨慎管理。注入攻击将在 2025 年重新成为头号威胁,而人工智能生成的代码漏洞将助长这种威胁,”他警告道。
“注入漏洞曾是 OWASP 十大漏洞榜单中的主要关注点,但由于安全意识和编码实践的提高,2021 年注入漏洞数量有所下降。但随着人工智能工具现在可以处理跨多个平台和框架的代码生成,注入风险再次成为焦点。人工智能系统处理大量输入数据,通常没有经过严格的验证,为注入攻击的再次出现创造了完美的条件。”
2025 年地缘政治对恶意软件的影响
我们不喜欢谈论的话题和我们不喜欢讨论的影响是地缘政治对敌对网络攻击的影响。这令人惊讶,因为我们都受到了这种影响。
自从 Mandiant 开始研究与中国军方有关的 APT1(又名解放军 61398 部队、Comment Panda、Comment Crew 等)以来,已有 40 多个组织被冠以“APT”的称号。虽然没有官方规定,但 APT 称号实际上与国家支持的网络组织有关。
如果一个民族国家团体针对其本国以外的组织,这怎么能不是由地缘政治驱动的呢?如果一个民族国家团体针对“西方”国家的组织,而相关国家传统上是反西方的,那么我们能否预计,每当地缘政治紧张局势加剧时,由地缘政治驱动的攻击就会增加?
这对于 2025 年来说是一个合理的问题,因为可以说,自 1991 年冷战结束以来,全球地缘政治从未像 2025 年初那样紧张。西方网络安全捍卫者面临的问题是,民族国家行为者往往是拥有大量资源的精英网络侵略者中的精英。他们不像普通网络罪犯那样需要快速获得财务回报——他们主要受意识形态驱动,可以花时间深入攻击,比典型的非国家网络罪犯坚持更长时间。
他们的目的比一般的网络犯罪分子更“好战”,无论是窃取知识产权以获得国家经济优势,还是潜入关键行业以获得破坏和造成经济和社会混乱的潜力。这是我们在 2025 年需要考虑的问题——恶化的地缘政治条件是否会导致民族国家行为者的活动增加?如果是这样,这些活动可能会如何表现?
Logpoint 首席技术官克里斯蒂安·哈夫 (Christian Have) 认为,2025 年不会出现任何重大升级——很大程度上,或许是因为混合战争已经猖獗,而且人们普遍认为,进一步升级可能引发北约第五条反应——这是没人愿意跨越的红线。但他承认,地缘政治已经影响到了网络:“随着欧洲国家开始启动其工业基地来生产弹药和武器,我们发现,作为供应商或制造商的中型公司越来越多地成为比以往更复杂的攻击目标。”
Darktrace 威胁研究副总裁 Nathaniel Jones 对此不太确定。他指出,中国政府正在开发专门针对嵌入式系统的恶意软件,以路由器和防火墙为目标,创建绕过传统端点保护措施的持久后门。“我们在 2024 年观察到的 EDR 杀手恶意软件只是个开始。我们预计 2025 年会出现更多由人工智能生成的恶意软件,但应用程序的针对性会很强。”
他补充道:“人工智能的发展与国家资源的结合可能会给防御措施带来前所未有的挑战。地缘政治格局将继续影响国家和黑客行动主义者的目标重点。”
威尔逊持类似观点。“对伊朗、朝鲜和俄罗斯的制裁导致黑客大军专注于窃取资金,以资助他们的国家野心。2025 年及以后的每场冲突都将包括网络空间元素。恶意软件开发对国防的重要性丝毫不亚于武器系统的发展。”
然而,Armis 首席技术官 Nadir Izrael 直言不讳。“民族国家和流氓派系正在迅速将网络攻击纳入其军事武器库,网络行动成为地缘政治冲突中的先发制人打击选项。”针对关键基础设施的攻击可以在不发射任何实弹的情况下造成国家混乱。
他继续说道,2025 年,“我们预计国家支持的网络攻击将不断升级,旨在造成广泛的混乱和心理压力。随着政府转向先进技术(包括人工智能驱动的恶意软件)来智胜目标,这些攻击将变得更加复杂。”
Skyhigh Security 全球云威胁主管 Rodman Ramezanian 对此表示赞同。“地缘政治已经影响了恶意软件的开发和使用,而且几乎可以肯定,这种影响将在 2025 年进一步加剧。”他以中东为例。
“从中东到东南亚地区的许多国家将继续通过加大对网络间谍活动和破坏性行动的投资来追求自己的地缘政治目标。到 2025 年,很容易看到俄罗斯继续专注于与乌克兰冲突有关的间谍活动并破坏北约结盟国家的稳定,而中国可能会优先考虑秘密访问关键基础设施,尤其是针对台湾和美国的选举进程。如前所述,勒索软件攻击和复杂的勒索方法将继续威胁安全实践尚未成熟的组织。”
值得考虑的是中东。这两个主要对手多年来一直活跃在真正的网络战争中——首先是 Stuxnet,然后是伊朗的报复,包括擦除器。到目前为止,这种活动主要局限于中东。但仍有可能升级到涉及三个主要网络国家:美国、俄罗斯和中国。我们已经注意到,从勒索软件到擦除器的转变很简单。因此,值得注意的是,俄罗斯一个主要的勒索软件组织 Evil Corp 与俄罗斯联邦安全局有着密切的家族关系。
2024 年 10 月,英国国家犯罪局制裁了 16 名与 Evil Corp 有关的个人,该公司“曾被认为是全球最大的网络犯罪威胁”。其中包括 Evil Corp 的负责人(Maksim Yakubets,已在美国被起诉)和“Yakubets 的父亲 Viktor Yakubets,[和]他的岳父,前 FSB 高级官员 Eduard Benderskiy”。
鉴于主要网络犯罪分子和国家机构之间的流动性,尤其是在俄罗斯,网络犯罪集团总是有可能意外地走得太远,并引发直接和过于激进的国家活动。
概括
我们从三个方面探讨了恶意软件及其使用的潜在发展方向,但这些观点有些悲观。网络犯罪分子使用勒索软件(敲诈勒索)的现象将继续蔓延,因为它仍然很成功。在意识形态驱动的黑客行动主义者手中,勒索软件很容易演变成无法追究责任的政府抹黑者,这些人的目的不是获取经济利益,而是破坏秩序——这可能包括来自难以预测的朝鲜和伊朗的政府支持的精英。政府只是否认参与其中,并将矛头指向他们无法控制的罪犯。
直接受国家支持的精英团体可能会因为全球地缘政治紧张局势而增加活动。如果紧张局势加剧,活动也会增加;如果紧张局势缓解,我们可以希望活动也会减少。在大多数情况下,我们不会知道民族国家活动的程度,只是因为他们可以运用的技能、资源和耐心。我们可以肯定这会发生,但我们必须希望没有人扣动网络扳机。
在此背景下,人工智能的不断进步使得在数小时而不是数天或数周的时间内自动生成有效的、针对特定漏洞的新恶意软件的可能性越来越大。
这些都不一定在 2025 年发生。但所有这一切都有可能发生。
