过去 19 年中,VirusTotal 在 232 个国家或者地区每天接收超过 200 万个文件。独特的数据视角为 VirusTotal 积累了更大的优势。
VirusTotal 分析了 2021 年 1 月到 2023 年 6 月间的 30 亿样本文件。其中至少有 5% 被检测引擎判定为恶意,基于这些文件分析攻击活动中文件格式的演化与投递技术的变迁。
典型附件格式的传播趋势:
PDF 文件势头不减,传播未见减弱。Excel 文件因为 Emotet 的分发在 2022 年传播量较大,而 Word 文件则相对更为平稳。由于微软对宏代码执行默认策略的修改,OneNote 异军突起成为 2023 年最大的黑马。
JavaScript 的量在显著增加,相比之下 Excel、RTF、CAB、Word 与压缩格式文件都在相对下降。
2022 年的 OneNote 样本更多的是在测试检出情况,2023 年才大量投入实际攻击中。攻击者也开始构建各种精细化的样本引诱用户进行点击,如下所示:
通过邮件附件分发的 OneNote 文件通常会使用不同过的文件扩展名,显得没有那么可疑。据统计,主要使用的是 GIF 与 PNG 进行分发。
目前为止,Qakbot、IceID、Emotet、AsyncRAT 与 Redline 都已经开始使用 OneNote 文件进行分发,甚至有部分 APT 组织也开始尝试。
在 OneNote 文件走入公众视野时,平均检测率约为 35%。后续平均检测率下降到 23%,攻击者可能使用了更好的规避技术。
ISO 文件的使用也有所增加,不仅被 Lockbit、darkbit、Quakbot、AsyncRAT、RemcosRAT 等攻击者使用,也被 MuddyWater、Dark Pink、Saaiwc 等攻击者所喜爱。
文件大小与检出率的关系如上所示。小于 15MB 的 ISO 文件中,72% 检出率都超过了 10%。以 10% 为线再过滤后,可以发现更小的集群:
许多 Lokibot 与 AgentTesla 的 Downloader 作为邮件附件分发的 ISO 文件,大小在 1.15MB 到 1.2MB 间共计 18000 个。这些文件的检出率很高
通过追加零字节将文件膨胀到 300MB 到 315MB 间,再压缩成 300KB 的 ZIP 压缩包,共计 1200 个。很多样本都伪装成合法的安装程序:
接近八成的 ISO 文件都是通过邮件分发的,其余两成在野其他方式分发。部署 ISO 文件的域名如下所示:
OneNote 作为 Word、Excel 与 RTF 文件的替代,ISO 作为压缩文件的替代。攻击者会不断尝试新的攻击向量来扩大战果,VirusTotal 的观察视角恰好能覆盖这一点。但 VirusTotal 实际上只拿出了两种文件,并且其实也算得上是老调重弹了,还是让人觉得有些不过瘾的。
点击查看原文即可查看 VirusTotal 原报告