2024年发生了多起备受瞩目的网络攻击事件，戴尔和TicketMaster等大公司都遭遇了数据泄露和其他基础设施受损的情况。2025年，这一趋势仍将持续。因此，为了防范任何形式的恶意软件攻击，每个组织都需要提前了解网络敌人。以下是五种常见的恶意软件家族，您可以立即开始准备应对。

　　Lumma

　　Lumma是一款广泛传播的恶意软件，旨在窃取敏感信息。自2022年起，它就在暗网上公开出售。这款恶意软件能够有效收集并从目标应用程序中提取数据，包括登录凭证、财务信息和个人详细信息。

　　Lumma会定期更新以增强其功能。它能够记录被入侵系统的详细信息，如浏览历史和加密货币钱包数据。它还可以在受感染的设备上安装其他恶意软件。2024年，Lumma通过多种方式传播，包括虚假的验证码页面、种子文件和定向钓鱼邮件。

　　在沙箱环境中对可疑文件和URL进行主动分析，可以有效帮助您防范Lumma感染。

　　让我们来看看如何使用ANY.RUN的基于云的沙箱来做到这一点。它不仅对恶意软件和钓鱼提供明确判断以及可操作的指标，还允许与威胁和系统进行实时交互。

　　Lumma攻击分析

　　ANY.RUN允许您手动打开文件和启动可执行文件。它从一个包含可执行文件的压缩包开始。一旦我们启动.exe文件，沙箱就会自动记录所有进程和网络活动，显示Lumma的行为。

　　Suricata IDS向我们报告了与Lumma的C2服务器的恶意连接。它连接到其命令和控制（C2）服务器。

　　负责从系统窃取数据的恶意进程。接下来，它开始从计算机收集和提取数据。

　　您可以使用沙箱提取的IOC（入侵指标）来增强您的检测系统。完成分析后，我们可以导出该样本的报告，其中包含所有重要的IOC和TTP（战术、技术和程序），可用于加强您组织对可能的Lumma攻击的防御。

　　XWorm

　　XWorm是一款恶意程序，使网络犯罪分子能够远程控制受感染的计算机。它首次出现在2022年7月，能够收集包括财务信息、浏览历史、保存的密码和加密货币钱包数据在内的广泛敏感信息。

　　XWorm允许攻击者通过跟踪按键、捕获网络摄像头图像、监听音频输入、扫描网络连接和查看打开的窗口来监控受害者的活动。它还可以访问和操纵计算机的剪贴板，可能会窃取加密货币钱包的凭证。

　　2024年，XWorm参与了多起大规模攻击，包括利用CloudFlare隧道和合法数字证书的攻击。

　　XWorm攻击分析

　　钓鱼邮件通常是XWorm攻击的第一阶段。在这次攻击中，我们可以看到原始的钓鱼邮件，其中包含一个指向Google Drive的链接。

　　一个包含恶意压缩包下载链接的Google Drive页面。一旦我们点击链接，就会被提示下载一个受密码保护的压缩包。

　　打开的恶意压缩包包含一个.vbs文件。密码可以在邮件中找到。输入后，我们可以在.zip文件中访问一个.vbs脚本。

　　XWorm使用MSBuild.exe在系统上持久存在。一旦我们启动脚本，沙箱就会立即检测到恶意活动，这些活动最终导致XWorm在机器上部署。

　　AsyncRAT

　　AsyncRAT是列表中的另一个远程访问木马。它首次出现在2019年，最初通过垃圾邮件传播，经常利用COVID-19疫情作为诱饵。自那以后，这款恶意软件变得流行起来，并被用于各种网络攻击。

　　AsyncRAT随着时间的推移不断发展，包含了广泛的恶意功能。它可以秘密记录受害者的屏幕活动、记录按键、安装额外的恶意软件、窃取文件、在受感染的系统上保持持续存在、禁用安全软件以及发动使目标网站不堪重负的攻击。

　　2024年，AsyncRAT仍然是一个重大威胁，经常伪装成盗版软件。它也是首批作为涉及AI生成的脚本的复杂攻击的一部分而传播的恶意软件家族之一。

　　AsyncRAT攻击分析

　　包含.exe文件的初始压缩包。在这次分析会话中，我们可以看到另一个包含恶意可执行文件的压缩包。

　　用于下载有效载荷的PowerShell进程。引爆文件会启动XWorm的执行链，这涉及使用PowerShell脚本来获取促进感染所需的其他文件。

　　ANY.RUN提供了威胁判断以及相关标签以提供更多背景信息。一旦分析完成，沙箱就会显示对该样本的最终判断。

　　Remcos

　　Remcos是一款被其创建者宣传为合法的远程访问工具的恶意软件。自2019年推出以来，它已被用于多次攻击，执行广泛的恶意活动，包括窃取敏感信息、远程控制系统、记录按键、捕获屏幕活动等。

　　2024年，分发Remcos的活动使用了基于脚本的攻击等技术，这些攻击通常以VBScript开始，该脚本启动一个PowerShell脚本来部署恶意软件，并利用了如CVE-2017-11882等漏洞，通过恶意XML文件进行攻击。

　　Remcos攻击分析

　　在ANY.RUN的交互式沙箱中打开的钓鱼邮件。在这个例子中，我们又遇到了一封包含.zip附件和密码的钓鱼邮件。

　　感染链中使用的cmd进程。最终有效载荷利用命令提示符和Windows系统进程来加载和执行Remcos。

　　MITRE ATT&CK矩阵提供了对该恶意软件技术的全面视图。ANY.RUN沙箱为了方便起见，将整个攻击链映射到MITRE ATT&CK矩阵上。

　　LockBit

　　LockBit是一款主要针对Windows设备的勒索软件，被视为最大的勒索软件威胁之一，在“勒索软件即服务”(RaaS)攻击中占据了相当大的比例。LockBit组织具有去中心化的特点，这使得它能够攻击全球众多知名组织，其中包括英国的皇家邮政和印度的国家航空航天实验室（2024年发生的事件）。

　　执法机构已采取措施打击LockBit组织，并逮捕了多名开发人员和合作伙伴。尽管做出了这些努力，该组织仍在继续运作，并计划在2025年推出新版本LockBit 4.0。

　　LockBit攻击分析

　　LockBit勒索软件在ANY.RUN沙箱的安全环境中启动查看此沙箱会话，了解LockBit如何快速感染并加密系统上的文件。

　　ANY.RUN的交互式沙箱可以让您查看系统上每个被修改文件的静态分析通过跟踪文件系统变化，我们可以看到它在不到一分钟的时间内修改了300个文件。

　　勒索信指示受害者联系攻击者该恶意软件还会留下一封勒索信，详细说明如何赎回数据。