勒索软件加密数据导致业务中断的“大事件”是否仍是衡量网络风险的首要标尺?当前的安全防御体系,是否过度聚焦于这类具有明显破坏特征的威胁,而忽视了那些更为隐蔽、旨在长期潜伏的攻击活动?Picus Labs近期发布的《2026年度红色报告》(Red Report™ 2026)为我们揭示了攻击策略的深刻转变。该报告基于对110万个恶意文件及2025年观测到的1550万次攻击行为的分析指出:攻击者的核心目标已不再是制造即时性的破坏,而是转向寻求长期、隐蔽的访问权限。
需要明确,勒索软件本身并未消失,其攻击手段仍在持续演进。然而,数据显示,整体攻击策略已从追求高调影响,明显转向优先考虑规避检测、实现持久驻留,并隐蔽地滥用身份凭证与可信基础设施。现代攻击者日益表现出“数字寄生虫”的特性——它们悄无声息地嵌入宿主系统内部,窃取资源与凭据,并竭尽所能地延长自身的潜伏周期。
公众与媒体的注意力常常被大规模中断事件所吸引,但本年度的报告数据却指向一个更不易察觉的现实:防御者的可见性正在一些关键环节持续流失,攻击的成功标准已经改变。
勒索软件作为风险信号的效力正在减弱
在过去十年中,系统被锁定、数据被加密曾是网络入侵最明确无误的信号。当业务因此被迫停摆时,攻击事实无可辩驳。
如今,这一信号的效力正在减弱。数据显示,以“为制造影响而加密数据”为目的的攻击(对应MITRE ATT&CK技术T1486)占比同比大幅下降38%,从2024年的21.00%降至2025年的12.94%。这种下降并非源于攻击能力的退化,而是攻击策略的主动转变。
攻击者正越来越多地将“数据勒索”(即窃取数据后威胁公开)作为主要获利模式,以取代传统的“加密勒索”。通过避免执行显眼的加密操作,攻击者能够在维持目标系统基本运行的同时,实现以下目标:
- 隐蔽地外泄敏感数据。
- 持续窃取有效的登录凭证与访问令牌。
- 在受害环境中建立并维持长期驻留。
- 在后期通过威胁公开数据等方式施压,而非立即造成破坏。
这揭示出一种全新的威胁逻辑:攻击的最终影响不再取决于是否瞬间锁定了系统,而在于攻击者能够在“宿主”系统中维持多久的、不被察觉的访问权限。
“攻击者的商业模式已从即时破坏转向长期潜伏。” ——《Picus 2026年度红色报告》
凭证窃取已成为攻击链的控制中枢
随着攻击策略向长期隐蔽驻留演进,合法的身份凭证成为了攻击者最可靠、最持久的控制途径。《2026年度红色报告》显示,“从密码存储中获取凭证”(T1555)出现在近四分之一(23.49%)的攻击活动中,使其成为过去一年中最普遍的恶意行为。
攻击者不再总是依赖高调的凭证转储工具或复杂的漏洞利用链。相反,他们越来越多地直接瞄准浏览器、操作系统密钥链以及密码管理器等本地存储,提取其中保存的登录信息。一旦获得有效的身份凭证,后续的权限提升与横向移动往往只需借助系统自带的常规管理工具(如PsExec、WMI)即可实现,这使得恶意活动更难与正常的运维行为区分。
现代恶意软件活动正日益呈现出数字寄生虫的典型特征:没有刺耳的警报、没有系统崩溃、缺乏明显的异常指标,只有诡异的静默。这种追求“隐身”的逻辑正在更广泛地重塑着攻击手法。
80%的主流攻击技术服务于隐蔽与持久化目标
尽管MITRE ATT&CK框架涵盖了极其广泛的技术点,但实际的恶意软件活动仍然高度集中在少数优先考虑规避与持久性的技术上。报告揭示了一个显著的失衡:2025年十大最普遍的ATT&CK技术中,有八项的主要功能是服务于规避检测、实现持久化或建立隐蔽的命令与控制(C2)通道。这是Picus Labs有记录以来,隐蔽型技术集中度最高的一次,标志着攻击成功的评判标准发生了根本性转变。
现代攻击者正在优化其攻击的“最大驻留时间”,而非“即时破坏效果”。那些能够帮助攻击者隐藏自身、融入环境并长期运作的技术,其流行度已经超过了那些专为破坏而设计的技术。本年度报告中最常见的行为包括:
- T1055 - 进程注入:将恶意代码注入到可信的系统进程(如
svchost.exe, explorer.exe)中运行,使其活动难以与合法进程区分。
- T1547 - 启动项持久化:通过注册表、启动文件夹、计划任务等方式,使恶意代码在系统重启或用户登录时自动执行,实现持久驻留。
- T1071 - 应用层协议:利用HTTP、DNS、HTTPS等常见协议为命令控制(C2)创建“低语通道”,将攻击流量巧妙地混入正常的网络通信中。
- T1497 - 虚拟化/沙箱检测:使恶意软件能够识别分析环境(如沙箱),并在检测到自己处于受监控环境时拒绝执行恶意负载。
这些技术的组合效果是显著的:一个看似合法的进程,使用着系统自带的工具,通过受信任的网络通道安静地进行通信和操作。基于静态特征的检测方法在此类环境中举步维艰,而基于行为的分析对于识别那些刻意伪装成正常活动的恶意行为变得愈发重要。如果说过去“加密”定义了攻击,那么现在“隐蔽性”则决定着攻击的成败。
具备环境感知能力的恶意软件主动抗拒分析
当隐蔽性成为主要成功标准时,仅仅规避常规的端点检测(EDR)已经不够了。攻击者还必须避免触发防御者用于观察和分析恶意行为的工具,例如自动化沙箱。《2026年度红色报告》清晰地显示,“虚拟化与沙箱规避”(T1497)在2025年已跃升至攻击手法的顶级梯队。
现代恶意软件越来越多地在决定是否采取行动之前,主动评估其所处的环境。部分高级样本不再依赖简单的沙箱特征检查(如检查进程列表、内存大小),而是评估更复杂的执行上下文和用户交互模式,以判断自己是否处于真实的用户环境。
报告中特别提及的Lumma C2信息窃取木马便是一个典型例子。它会通过几何学方法分析鼠标移动模式,计算光标移动的欧几里得距离和角度变化,以此来区分真实人工操作的随机性移动与沙箱自动化环境的线性或规律性移动。当环境特征呈现为人工操作时,它才会激活;否则,它会主动抑制任何恶意执行,静待时机。
这种行为反映了攻击逻辑的深层转变:防御者不能再指望恶意软件在沙箱或分析环境中“自曝”。它通过精巧的设计保持休眠状态,直至确信自己已抵达真实的生产系统。在这个以隐蔽与持久为主导的攻击生态中,“不行动”本身已成为一种核心的规避技术。
AI的作用:是进化,而非革命
面对攻击者日益显现的智能化适应行为,人们自然会关注人工智能(AI)在其中的催化作用。但《2026年度红色报告》给出了一个相对审慎的结论:尽管存在广泛的推测,但在2025年的数据集中,并未观察到由AI驱动的新型恶意技术出现有意义的增长。
最普遍的恶意行为仍然是那些经过时间考验的传统技术。进程注入、滥用命令行解释器(T1059)等长期存在的技术继续主导着实际的入侵事件,这印证了一个事实:攻击者无需高级AI,也能有效地绕过许多现代防御。
当然,部分恶意软件家族已开始试验集成大语言模型(LLM)的API。然而,目前的应用范围仍然有限。已观测到的案例中,LLM服务主要用于检索预定义的系统命令或充当通信层(如生成看似正常的聊天文本以隐藏C2指令)。这些实现虽然提升了攻击的自动化程度和效率,但并未从根本上改变攻击的决策逻辑或执行链。
数据表明,AI正被逐渐吸收进现有的攻击手法中,而非重新定义它。数字寄生虫的核心运作机制保持不变:凭证窃取、隐蔽驻留、滥用可信进程以及越来越长的潜伏时间。攻击者并非通过发明全新技术来取胜,而是通过变得更安静、更耐心、更难以与合法活动区分来获得成功。
应对新型威胁:回归安全基础
连续多年的报告分析揭示出一个持续的趋势:虽然许多具体的攻击手法(TTPs)年复一年地出现,但根本性的改变在于攻击的优先级和目标。现代攻击者优先考虑的是:
- 保持行动的不可见性。
- 滥用可信的身份凭证与系统工具。
- 静默地禁用或绕过安全防御。
- 维持长期的、不受干扰的访问权限。
因此,防御思路也需要进行相应的调整。通过持续强化现代安全基础——例如实施严格的凭证卫生管理(如多因素认证、特权账户管理)、部署基于行为的检测方案、以及进行持续的对抗性暴露验证(如自动化攻击模拟测试)——组织可以减少对“戏剧性”攻击场景的过度关注,将资源更聚焦于应对当前真正构成风险的、静默且持久的威胁。
关于MITRE ATT&CK框架的应用和针对性防御策略,云栈社区的安全板块也有许多相关的技术讨论与实践分享。
结语:验证防御,应对静默的入侵者
尽管勒索软件事件仍然占据着新闻头条,但《2026年度红色报告》清晰地表明:企业面临的真实风险,正越来越来自于那些静默且追求持久化的入侵。防御的有效性,取决于其能否检测并阻止攻击者当前实际广泛使用的技术,而非仅仅针对那些制造了最多“噪音”的威胁。从高调破坏到隐蔽寄生,攻击范式的转变要求我们的安全视野与防御策略也必须随之进化。
参考来源:
From Ransomware to Residency: Inside the Rise of the Digital Parasite
https://thehackernews.com/2026/02/from-ransomware-to-residency-inside.html
发表于 2026-2-13 06:14:30
|
查看: 29|
回复: 0
