十年饮冰，难凉热血，我的2023年，2024年继续努力，奋斗……

好几个月没有更新公众号了，最近这段时间有点忙，时光飞逝，岁月如梭，蓦然回首，2023年悄然而过，马上就要2024年了，今天是2023年的最后一个工作日，回顾自己的2023年，注定是忙碌且收获的一年。

一转眼又到了写年度总结的时候了，咱就整理一篇吧，就算是对自己全年相关工作的一个回顾与总结，并从一个安全研究人员的专业角度去分析一下全球一些安全威胁事件，回想自己写年度总结已经坚持了十多年了，以前没有公众号，就发在自己的博客上面，后面开始运营公众号，就在公众号上发布了。

2023年对于国内网络安全行业来说是艰难的一年，国内安全厂商安全业务增长放缓，部分安全厂商开始缩减成本，采取了一些降本增效的措施，包括高管降薪、收缩业务、精减人员等等，一些朋友开始担忧，其实大可不必，如果你真的热爱安全，就坚持去做就好了，安全本身是一个长期的过程，做安全真的需要一份热爱，需要持续坚持才能做好，并不是每个人都适合做安全，如果不是真的热爱这个行业，还是早点转行比较好，因为真的很难坚持，迟早也会慢慢被这个行业所淘汰。

国内安全企业业务增长放缓，是不是网络安全行业不行了？事实并非如此，2023年国外安全企业的增长其实都还不错，而且这一年各种网络安全事件层出不穷，网络犯罪日益猖獗、针对企业数据的安全攻击事件频繁发生，使得安全产品和安全服务需求都在大幅度增加，全球各国政府和企业都在寻找优秀的安全产品和安全服务给他们提供安全保障。

在全球网络安全形势严峻，网络安全保障需求增加的情况之下，然而国内安全企业业务增速反而放缓，经济形势可能是一方面原因，更多的原因，我觉得还是在自身，有没有把握自己的核心业务和核心能力，有没有站在客户的角度去思考问题，以客户导向帮助客户防御和解决这些安全问题？有没有持续提升自身的安全业务能力和服务水平？2023年你的客户最需要解决的安全问题究竟是什么？你是否为你的客户提供了持续的安全保障？这些可能都需要国内一些安全企业和安全从业人员好好思考一下，2024年国内安全企业和安全从业人员都需要更聚焦自己的核心业务和核心能力，持续为你的客户提供更好的安全产品和安全服务。

十年饮冰，难凉热血，脚踏实地，行稳致远，人需要沉淀与积累，才能变得更强大，2023年笔者仍然专注于全球流行恶意软件的分析与研究工作，同时重点关注全球企业面临的三大主流安全威胁，包含APT攻击、黑产攻击、勒索攻击，下面笔者就分别从全球流行的恶意软件以及APT、黑产、勒索这几个点跟大家一起回顾一下2023年全球安全威胁以及相关安全技术。

黑客与恶意软件，是一场网络安全持久战，只要存在黑客组织，他们就会持续不断的开发更新各种各样的恶意软件，恶意软件是黑客组织最常用的攻击武器，也是全球大多数顶级黑客组织获利的重要渠道之一，这些恶意软件被应用到各种网络安全攻击活动当中，包含各种APT攻击活动、挖矿勒索攻击活动、黑灰产攻击活动等，随着全球网络安全战的发展，各种Wiper类型的恶意软件被大量应用到了国与国之间的网络安全战，成为网络安全战的重要攻击武器，专门针对敌对国的基础设施进行网络攻击行动，破坏敌国的各种基础设施。

从计算机诞生的那一刻开始，计算机病毒也就开始流行了，最早的恶意软件其实就是简单的病毒、木马、后门、蠕虫等，随后互联网时代的到来，各种网络游戏与通讯应用软件不断的涌现，发展出了很多针对个人电脑的盗号木马，远控后门等，随着国家政企业重要核心数据的积累，黑客又将目光瞄准了一些国家的大型企事业单位，于是又开发出针对国家重要企事业进行定向APT攻击的木马后门，最近一些年虚拟货币的流行和发展，黑客又发现了新的利益，于时又出现了各种挖矿勒索病毒，恶意软件类型随着操作系统和平台的发展，也在不断在发展，无文件类型的恶意软件也在最近几年开始变的流行起来，恶意软件已经无处不在，防不胜防，关于恶意软件的详细内容，有兴趣的可以去参考笔者的另外一篇文章《你真的了解病毒分析吗？反病毒专家为你深度揭密》。

2023年全球流行的恶意软件家族，去年笔者已经给大家总结过了，可以去查看笔者去年的年度总结《2022年度总结》，今年全球主流的一些恶意软件家族变化不大，但在去年的基础上今年又新增了很多Stealer(窃密)类型恶意软件家族，加起来差不多有一百多种不同类型的Stealer，而且新的Stealer家族类型还在不断增加，如下：

其中比较流行的几大窃密家族，分别为:Lumma Stealer、StealC Stealer、AgentTesla、RedLine Stealer、FormBook、Lokibot、Strela Stealer、Statc Stealer、Bandit Stealer、Mystic Stealer、Atomic Stealer、Meduza Stealer、WhiteSnake Stealer、Meta Stealer、Strela Stealer、Prynt Stealer、ImBetter Stealer、DarkCloud Stealer、Stealerium Stealer、Enigma Stealer、Album Stealer、Arkei Stealer、Rhadamanthys Stealer等。

恶意Google Ads是攻击者传播恶意软件常见攻击手段之一，在搜索引擎上搜索任何流行免费软件的时候，受害者很可能会被诱骗或者重定向到虚假的软件网站，这些虚假网站有些被攻击者制作成与真实软件相同的网页，其中包含下载恶意软件的链接，有些直接诱骗受害者到某个指定的下载连接去下载恶意软件,2023年笔者发现多个攻击者使用Google Ad攻击活动，这些攻击活动覆盖了很多常用的工具和软件，利用这些伪装的工具和软件传播多个窃密木马或间谍软件等恶意软件，同时这些攻击样本使用“增肥”技术，样本体积高达几百M，以逃避安全软件的检测。

除了使用“增肥”技术以外，攻击者在开发样本的时候，还会使用更多的免杀绕过相关技术，笔者此前也整理过，如下所示：

2023年攻击者开始频繁使用BYOVD技术对抗终端安全软件，相关的开源项目也越来越多，这种技术被广泛应用到了各种APT、勒索、黑产等攻击活动当中，相关的开源的BYOVD项目，如下所示：

2023年2月，笔者猎捕到一例伪造成Cisco VPN证书更新程序的攻击样本，该样本同样使用OneNote作为载体进行传播，通过分析发现该OneNote攻击样本，发现该攻击样本传播了一种新型的C3木马通信程序，该通信木马免杀隐藏性非常强。

C3是一种自定义控制命令工具，由WithSecure安全实验室开发并维护，该工具允许红队快速开发和利用自定义的命令和控制通道，同时提供与现有攻击工具包的集成，可极大提高C2工具的免杀能力，该C3工具曾被用于DarkSide勒索病毒攻击活动，笔者预测未来OneNote载体可能会被应用到更多的APT攻击或定向勒索攻击活动当中，关于C3木马相关研究，可以参考链接

https://labs.withsecure.com/publications/hunting-for-c3。

2023年3月国外某安全厂商首次发现了一例绕过系统安全启动的UEFI BootKit攻击样本，被将它命名为黑莲花BlackLotus，笔者第一时间对该攻击样本进行了详细的跟踪分析，发现该样本存在多种反调试和反虚拟机技巧，通过分析发现该攻击样本主要利用了CVE-2022-21894漏洞来绕过系统启动安全检测，其实早在去年10月份，国外一名恶意软件开发者在地下论坛上出售一款名称为黑莲花BlackLotus的新型UEFI BootKit恶意软件，这款UEFI BootKit恶意软件售价为5000美元，具有集成的安全启动绕过功能，具有内置的Ring0/Kernel保护以防止被删除，并将以恢复或安全模式启动，同时该恶意软件还具备反虚拟机、反调试和代码混淆等功能，可以有效的阻止安全分析人员对其进行恶意代码逆向分析。

BlackLotus攻击样本的整体流程，如下所示：

除这次发现的BlackLotus之外，笔者此前还详细跟踪分析研究了多例国外一些安全厂商发现的一些UEFI BootKit类型的恶意软件家族以及相关技术，如下所示：

关于这些UEFI BootKit恶意软件家族以及使用的相关技术，笔者后面有空再给大家分享吧。

自从微软2022年开始默认阻止宏运行之后，黑客组织开始大量使用MSI、VHD、CHM、ISO等格式的文件载体传播恶意软件。

2023年黑客又开始大量使用OneNote文件格式传播恶意软件，OneNote是Microsoft创建的数字笔记本，可通过Microsoft 365产品套件获得，黑客组织使用OneNote主要是为了绕过威胁检测，2023年2月份到4月初笔者跟踪捕获到大量通过OneNote传播恶意软件家族的攻击样本，通过详细分析这些OneNote攻击样本，发现黑客组织主要利用这些OneNote攻击样本传播如下恶意软件家族：

同月，笔者跟踪捕获到一例，使用ChatGPT客户端安装程序捆绑Bumblebee木马的攻击样本，并对该样本进行了详细分析，攻击样本使用了合法的数字签字证书。

2023年5月，笔者分析了一例通过github下载恶意软件的钓鱼攻击样本，通过分析该攻击样本，发现该攻击样本在行为隐藏、流量隐藏和反溯源方面都做了相关处理，使得该攻击样本免杀效果还不错。

行为隐藏方面，攻击者使用与Chrome、Edge等浏览器更新程序类似的文件名或者使用Windows系统更新类似的文件名，设置与正常的Chrome、Edge和Windows系统更新计划任务非常相似的自启动计划任务。

流量隐藏方面，攻击者通过使用obfs4混淆Tor Bridge网络流量，隐藏真实的IP网络流量。

反溯源方面，攻击者上传github项目的邮箱地址被攻击者隐藏起来了，设置了指定github提交邮箱，邮箱地址格式为

[ID+USERNAME]@users.noreply.github.com，导致分析者无法拿到攻击者的真实邮箱地址。

2023年6月，ChatGPT火遍全球，AI技术被应用到全球各行各业当中，国内外各大厂商也开始推出自己的安全GPT，AI技术在网络安全行业得到了很多应用，不管是网络安全研究人员、安全厂商还是黑客组织都开始研究和使用AI技术，通过AI技术降低防御成本和攻击成本。

笔者最开始研究AI在网络安全一些场景的应用是在2017年的时候，当时AI技术最主要的应用就是利用AI进行WEB安全相关的检测以及利用AI进行恶意软件的分类、利用AI技术进行安全数据的分析等，近年来随着AI技术的发展，LLM模型的成熟，算力的持续提升与完善，AI技术不仅仅用于安全检测，还可以应用到安全攻防等多个方面，同时一些黑客组织还使用AI辅助开发恶意软件等。

AI技术的普及，在一定程度上确实会降低了安全攻击的成本，一些黑客组织已经开始使用AI技术来进行简单的自动化攻击活动，包括编写简单的恶意软件等，然而高端的黑客组织使用的攻击样本，目前来讲短时间内还是无法通过AI实现，比方笔者上面提到的这些全球顶级的流行恶意软件家族，也都还暂时无法使用AI来生成，复杂混淆免杀型恶意软件也无法使用AI来生成，高端定向的APT攻击样本也暂时无法使用AI完成，AI目前能做的事还是比较初级，还需要学习更多的专业安全知识，这就是一个长期的过程，AI目前可以作为一个工具，来提升一些效率，替代一些简单的工作，未来AI要走的路还很长，关于AI与网络安全更多相关的内容，可以参考笔者的文章《研究多态恶意软件，探讨网络安全与AI》。

2023年7月份，笔者跟踪发现一些黑客组织使用SocGholish框架发起新一轮的攻击活动，该攻击活动非常频繁，SocGholish被Malwarebytes称为全球企业面临的五种最危险的恶意软件之一，它通常伪装成关键的浏览器更新，欺骗受害者安装更新，下载安装RAT恶意软件。

黑客组织最早在2020年左右就开始使用SocGholish框架发起攻击活动，该框架模拟多个浏览器(Chrome、FireFox)更新、Flash Player更新等网站，通过钓鱼、水坑、社会工程技术等攻击手法诱骗受害者访问网站，并点击下载更新脚本，安装各种恶意软件，相关的攻击活动详细内容，可以参考笔者的文章《黑客组织利用SocGholish框架发动新一轮攻击活动》。

今年夏天，通过一次跨国行动打掉了QakBot恶意软件黑客组织之后，2023年底这款全球最流行的恶意软件Qakbot家族，更新了64位样本并针对全球酒店行业进行攻击活动，可谓是“野火烧不尽，春风吹又生”，黑客组织从未停止过开发更新他们的恶意软件并进行攻击活动。

2023年几款全球流行的RAT恶意软件，被应用到APT、黑产、勒索等攻击活动以及各种恶意软件攻击活动当中，2024年仍然需要持续关注这些流行的RAT家族，这几款RAT恶意软件家族分别为:Quasar RAT、Async RAT、NetSupport RAT、Remcos RAT、Reverse RAT、DcRAT等。

2023年全球APT组织攻击活动事件也比较活跃，笔者主要关注的几个APT组织，如下所示：

Bitter APT组织主要采用鱼叉式钓鱼邮件攻击手法，附带CHM、LNK、WinRAR自解压恶意文件以及带漏洞的xlsx文件，对中国、巴基斯坦以及孟加拉等相关国家发起网络攻击活动，主要针对政府（外交、国防）、核工业、能源、国防、军工、船舶工业、航空工业以及海运等行业进行攻击,攻击中使用了多种不同的恶意软件家族，包含：wmRAT、BDarkRAT、BLilithRAT等，这些RAT恶意软件代码参考了开源的RAT恶意软件源代码。

CNC APT组织最早于2019年被发现，由于其使用的远控木马PDB信息中包含了cnc_client，因此取名为CNC APT组织，该组织通过鱼叉式钓鱼攻击，频繁针对我国多个重点教育、科研机构及航空航天等行业，通过恶意软件窃取高新研究技术成果，开展定向窃密攻击活动，同时还伪造国内合法企业证书、文件等相关信息以获取目标信任，攻击中使用了多种不同的恶意软件家族，包含：“摆渡”木马、cnc_client木马、GRAT2远控等。

Patchwork APT组织是一支疑似南亚某政府背景的黑客组织，最早于2009年左右被发现，主要攻击中国、巴基斯坦、孟加拉国等国家军工、外交、教育，科研机构等，窃密重要数据，该组织主要使用鱼叉式钓鱼攻击手法，附带伪造为PDF文件的LNK恶意文件，通过PS脚本从黑客远程C2服务器下载恶意软件，攻击中使用了多种不同的恶意软件家族，包含：BADNEWS木马、Spyder后门、Remcos RAT、Havoc C2、NorthStarC2、GRAT等。

以上三个APT组织应该是今年上半年针对我国军工、教育、科研机构以及航空航天等攻击比较频繁的APT组织，这些APT组织开展攻击活动的目标就是通过各种不同的恶意软件窃取这些组织和机构重要的科研成果和核心数据。

SiderWinder APT组织是一支疑似具有南亚政府背景的黑客组织，最早于2012年被发现，其攻击目标主要为中国、巴基斯坦、孟加拉国等国家的军工、外交、科研高校等敏感单位，2023年上半年发现该组织针对巴基斯坦攻击比较频繁，该组织主要使用鱼叉式钓鱼攻击手法，附带有密码的压缩包，压缩包包含一个LNK文件，通过LNK文件执行HTA，调用VBS脚本从黑客远程C2服务器下载恶意软件，或者通过带有恶意宏代码或带有漏洞的Office文档、RTF远程模板注入文档，通过执行宏代码、shellcode代码加载js脚本，或者远程模板链接，从黑客远程C2服务器下载NET加载器等恶意软件，攻击中使用多种不同的恶意软件家族，包含：NET Loader加载器、CS Loader加载器、DLL Loader加载器、JS和HTA脚本加载器、CS木马等。

2023年6月1日，俄罗斯联邦安全局揭露美国情报部门使用苹果移动设备的进行情报收集的攻击行动，相关的报告链接：

http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10439739%40fsbMessage.html

称发现数千台苹果手机被利用软件漏洞植入以前未知的恶意软件(VPO)。

除了国内用户外，还发现了在俄罗斯的外交使团和大使馆登记的外国号码和使用SIM卡的用户被该攻击活动感染，包括北约集团和后苏联空间国家，以及以色列、SAR特区和中国等。

俄罗斯情报部门收到的信息证明了美国苹果公司与国家情报界，特别是美国国家安全局的密切合作，提供软件漏洞以帮助达到监视目标的目的，并证实了已宣布的确保苹果设备用户个人数据隐私性和机密性的政策是不真实的，苹果公司为美国情报机构提供了广泛的能力，以监视白宫感兴趣的任何人。

随后卡巴斯基披露了一起以前未知的针对iOS设备的APT攻击活动，该攻击活动极其复杂且专业性很高，攻击的目的是在不易被发现的情况下，将间谍软件植入卡巴斯基员工iPhone设备当中，其中包括公司的中高层管理人员，攻击者通过使用iMessage 0day漏洞，使恶意软件以root权限运行，获得对设备和用户数据的完全控制，该起未知的针对iOS设备的移动APT攻击活动被卡巴斯基命名为Operation Triangulation(三角行动)，详细报告链接：

https://securelist.com/operation-triangulation/109842/

卡巴斯基通过统一监控和分析平台(KUMA)监控到自己专用的移动设备的公司Wi-Fi网络的网络流量时，发现了一些异常，注意到来自几部基于iOS的手机存在可疑活动，由于不能从iOS内存检查这些设备是否存在问题，卡巴斯基的研究人员，针对这些可疑的iOS手机创建了离线备份，通过使用移动验证工具包mvt-ios检测这些备份数据，从而发现了该APT攻击活动。

卡巴针对可疑的iOS设备创建了离线备份，该备份包含了一些用户数据和服务数据库，通过备份数据中的文件、文件夹和数据库记录的时间戳允许粗略地重建设备上发生的事件,使用mvt-ios工具生成事件的时间线，基于事件的时间线，可以推导出iOS设备被攻击的过程。

1.目标iOS设备通过iMessage服务接收到一条消息，该消息包含一个漏洞的附件。

2.在没有任何用户交互的情况下，消息会触发漏洞导致恶意代码执行。

3.恶意代码会从C&C服务器上下载后续阶段的恶意代码，其中包括用于提权的漏洞利用恶意代码。

4.提权漏洞恶意代码成功执行之后，会从C&C服务器下载最终的payload恶意代码，是一个功能齐全的APT攻击平台武器。

5.最后删除附中的初始消息和漏洞附件。

可能由于iOS操作系统的限制，该APT攻击平台武器不具备持久化操作，所以多台设备的时间线显示该攻击活动在重启后被再次感染。

该攻击活动最早的攻击痕迹发生在2019年，一直在2023年6月，该攻击活动仍然在继续，攻击的目标是最新版设备iOS15.7，最终的payload以root权限运行，用于收集系统和用户信息，其中包括麦克风录音、即时通讯工具的照片、地理定位以及许多其他活动的数据，并且可以运行从C&C服务器作为插件模块下载的任意代码。

近期卡巴斯基公布了整个攻击活动的相关详细，还原了整个攻击链，如下所示：

整个攻击链使用4个0day漏洞，分别为：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课