2025年主流病毒趋势分析报告_第1页
2025年主流病毒趋势分析报告_第2页
2025年主流病毒趋势分析报告_第3页
2025年主流病毒趋势分析报告_第4页
2025年主流病毒趋势分析报告_第5页
已阅读5页,还剩52页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

2025年主流病毒趋势分析报告目

···

·

·

·

·

····录

CO

N

T

序言:在高度对抗中重构防御边界01

银狐木马的分析与预测02

威胁态势综述:从金融黑产到混合型威胁的战略蜕变

03

2025年银狐木马活动全景回顾

04

技术深度分析

08

检测与防御指南

13

2026年及未来趋势预测

15

钓鱼攻击趋势与未来展望16

2025年统计数据深度透视

17

2025年全球网络安全格局与重大钓鱼事件回顾

19

技术趋势分析:进化的攻击向量与防御规避

22

2025年防御技术与策略的演进

24

2026年及未来展望:代理AI与量子威胁

26勒索软件威胁报告与预测28

年度勒索软件攻击态势

29

重点行业勒索威胁分析

34

主要勒索软件家族与活跃组织的演变36

勒索软件攻击重要事件梳理

39

攻击技术演进与战术升级

41

法律监管与执法行动的雷霆之势

44

未来趋势预测:迈向自主与智能的对抗44

反勒索产品趋势46深信服AI赋能的网络安全防护解决方案48

云威胁情报网关应用实践49

钓鱼检测大模型应用实践

50

安全托管服务应用实践

50总结:从主动防御迈向数字韧性51参考链接52回望过去一年,全球网络空间的安全格局正经历着从“技术攻防”向“生态对抗”的深刻演变。威胁环境呈现出前所未有的复杂性,其核心逻辑已由随机攻击转向高度精准的工程化作业。网络钓鱼已告别了低劣的模板时代。随着生成式

AI

的深度介入,攻击者能够以极低成本伪造极具迷惑性的多语言、跨平台社会工程学陷阱。“银狐(SilverFox)”作为近年来活跃度最高的定向攻击组织之一

,他们通过微信、钉钉等社交工具,精准锁定财税、政企人员,利用高度伪装的白签名程序与不断翻新的免杀技术,通过流水线方式生产针对性攻击。而勒索病毒则在双重、多重勒索模式的基础上,进一步转向“供应链渗透”与“无文件化”攻击,针对关键基础设施的勒索已不再仅为了获取赎金,更成为瘫痪社会运行/政治与经济稳定的武器。本报告旨在通过对上述三大威胁的深度剖析,揭示隐藏在像素级伪装、代码混淆与经济博弈背后的攻击链路,帮助企业与监管机构在日益严峻的数字荒原中,寻找构建韧性安全体系的确定性。序言:在高度对抗中重构防御边界 01

2025年主流病毒趋势分析报告银狐木马的分析与预测2025年主流病毒趋势分析报告

02

“银狐”最初进入安全视野时,被普遍定义为一个活跃于东亚地区、主要针对中国境内中小企业财务人员实施网络诈骗的

犯罪团伙。其早期战术具有明显的“撒网式”特征,主要依赖钓鱼邮件传播

Gh0st

RAT

及各类窃密木马,意图窃取银行账

户凭据及社交软件的控制权以实施电信诈骗。然而,进入2025年,随着地缘政治局势的波动与网络黑产技术的迭代,“银狐”的组织性质发生了根本性的质变,呈现出“网络犯罪”与“网络间谍”深度融合的混合型威胁特征。情报分析显示,“银狐”组织开展的活动已不再是单纯的攻击实施,而是呈现出地下黑产供应链核心节点的特征。该组织

通过出售恶意软件源代码、出租

C2基础设施以及提供“恶意软件即服务”(MaaS),构建了一个去中心化的攻击生态。这

种生态结构导致了恶意软件变种,如

ValleyRAT/Winos4.0的爆发式增长,

下游攻击者可能分属不同的犯罪团伙,但共享

同一套核心技术栈(TTPs)和基础设施。这种碎片化的组织结构极大地增加了归因溯源的难度,使得防御者难以区分一次

攻击究竟是独立的金融犯罪,还是APT行动的前奏。地缘政治的投射:

在针对中国台湾地区及印度的攻击活动中,表现出了明显的地缘政治情报收集意图。例如,

伪装成中国台湾地区税务局或印度所得税部门的钓鱼行动,不仅意在获取经济利益,更意在窃取政务数据与公

民隐私信息,

这标志着银狐木马被用于更广泛的攻击行为中,

从原有的黑产组织使用获取经济收益到APT组

织使用窃取。行业维度的泛化:

攻击目标从传统的制造业、电商财务部门,

迅速扩展至医疗卫生系统、关键基础设施以及政

府税务部门。特别是针对医疗行业的攻击,利用医院对数据可用性的高敏感度,实施“窃密+勒索”的双重打击,显示出极高的攻击破坏性。威胁态势综述:从金融黑产到混合型威胁的战略蜕变2025

年被视为银狐木马全球化战略扩张的元年。虽然使用银狐木马的群体的核心目标仍集中在中国境内的组织及个人,但情报显示其攻击触角已显著延伸至南亚、东南亚及北美地区。

组织身份的重构与归因困境

·

全球化视野下的攻击重心转移 03

2025年主流病毒趋势分析报告2025

年是银狐木马活动极为频密的一年,其攻击波次呈现出明显的“热点跟随”与“节点定制”特征。攻击者不再满足于无差别的广撒网,而是针对特定时间节点、特定行业痛点精心策划了一系列高影响力的攻击。

攻击战术:假冒微软Teams与俄语混淆行动2025年11月,一系列针对中国境内企业及在华外资机构的SEO投毒攻击引发了广泛关注,该攻击活动被观测到使用与“银狐”相关的木马作为C2。事件复盘攻击者注册了与其官方域名极度相似的恶意域名teamscn[.]com,并利用

SEO

投毒将其在搜索引擎中的排名提升至首页。该网站复刻了微软Teams的中文官方下载页面,诱导用户下载名为MSTчamsSetup.zip的安装包

58。技术特点此次攻击展示了“银狐”在多语言环境下的适应能力。攻击者利用了印度用户对政府税务机构的信任心理,结

合ValleyRAT(Winos4.0)的强大控制能力,成功入侵了印度多个金融及外包服务机构的网络。攻击手法攻击者冒充印度所得税部门(IncomeTaxDepartment),向目标发送包含“税务审查通知”或“退税申请表”的钓鱼邮件。邮件附件通过重定向链接指向恶意域名,诱导用户下载名为taxaffairs.zip的恶意文件。威胁归因值得注意的是,攻击者在恶意样本中植入了大量的西里尔字符,并将部分函数命名模仿已知的俄罗斯黑客组织风格。但通过对C2基础设施及历史样本特征的关联分析,仍可归因为银狐木马。影响范围由于Teams是众多跨国企业的核心协作工具,此次攻击成功渗透了大量企业网络,导致大量敏感商业机密泄露。

南亚风暴:印度所得税(IncomeTax)钓鱼攻击2025年下半年,银狐木马的攻击触角延伸至南亚次大陆,利用印度报税季的关键时间窗口发起了大规模钓鱼攻击

57。2025年银狐木马活动全景回顾2025年主流病毒趋势分析报告

04

重大攻击事件总结ValleyRAT(Winos4.0)作为攻击者的旗舰武器,ValleyRAT展现了极高的成熟度。它不再是一个简单的

RAT,而是一个支持动态插

件加载的复杂框架。攻击者可以根据受害主机的环境,从

C2

服务器下发特定的功能模块,如键盘记录、凭

据窃取、横向移动模块。代码混淆“银狐”在

2025

年广泛采用了

VMProtect

等商业级加壳工具,结合大量的垃圾代码填充和控制流平坦化技术,

使得静态分析工具难以提取有效特征。Gh0stRAT及其变种尽管

Gh0stRAT

是基于十几年前泄露的源码,但“银狐”通过持续的“魔改”,使其具备了对抗现代防御体

系的能力。部分变种专注于隐蔽性,通过内核级Rootkit技术隐藏进程。2025年,银狐木马家族完成了从单一功能的远程控制工具向模块化、插件化、服务化攻击平台的演变。

恶意软件生态的多元化2025年11月,一系列针对中国境内企业及在华外资机构的SEO投毒攻击引发了广泛关注,该攻击活动被观测到使用与“银狐”相关的木马作为C2。攻击机制攻击者搭建了大量仿冒DeepSeek官网的钓鱼站点,宣称提供“DeepSeek

本地私有化部署包”或“无限制访问版”。

安装包中捆绑了ValleyRAT,利用用户在安装大型软件时习惯性授予的高权限,在后台静默植入木马。目标人群此次攻击主要瞄准IT

开发人员、数据科学家及企业系统管理员。这类人群通常拥有企业核心系统的访问权限,一旦受感染,攻击者即可获得极高价值的内网跳板。

AI热点利用:DeepSeek

伪装攻击链随着中国AI大模型的爆发式增长,“银狐”迅速跟进,利用技术人员对高性能AI工具的渴望进行投毒。 052025年主流病毒趋势分析报告052025年主流病毒趋势分析报告

技术特征演进:从单一木马到模块化军火库

混淆与反检测技术的质变010201目标类别被攻击软件示例攻击意图分析AI与生产力工具DeepSeek

Al,ChatGPT,Notion利用AI技术热点,通过“破解版”、“国内直连版”诱导下载,目标为高价值知识工作者。协作通信软件MicrosoftTeams,Zoom,DingTalk针对跨国企业及远程办公场景,通过伪造的“官方中文版”页面进行投毒,利用Teams安装包植入后门

60。网络与运维工具WinSCP,PuTTY,FlyVPN,OpenVPN针对

IT管理员与运维人员,

一旦感染可直接获取服务

器SSH凭据或VPN通道权限,实现内网横向移动。办公套件WPS

Office,PDF

Readers利用文档处理软件的普及性,

实现大规模的企业边界设备入侵。 初始访问:SEO中毒与即时通讯渗透2025

年,SEO

投毒已成为“银狐”最核心的初始访问手段。攻击者不再被动等待,而是主动出击,通过购买

SEO

服务,使得其控制的恶意下载站在Google、Bing及百度等搜索引擎中占据首位。攻击目标与策略分析“银狐”的

SEO

投毒目标经过了精心筛选,主要覆盖企业办公、IT

运维及

AI

生产力工具,这些软件通常由拥有较高权限的技术人员或关键岗位员工使用。地域围栏ValleyRAT

引入了特定的地域检查逻辑。例如,通过检测注册表中是否存在微信或钉钉的安装路径,来判断

受害者是否为中国境内的真实用户。这种筛选机制既提高了攻击的精准度,也降低了在全球威胁情报网络

中暴露的风险。环境感知恶意代码在执行前会进行详尽的环境检查。例如,通过

CPUID

指令检查

CPU

厂商

ID,通过注册表查询是

否存在

VMware、VirtualBox

的特征键值,甚至检测是否存在

Wireshark、Fiddler

等分析工具。一旦发现

处于沙箱或分析环境中,木马会立即终止运行或执行无害代码以迷惑分析师。在这些攻击中,“银狐”不仅使用了传统的恶意安装包,还广泛采用了“双重安装”策略:受害者下载并运行安装包后,真正的合法软件会被正常安装,而恶意载荷则在后台静默植入。这种“以假乱真”的手法极大地降低了用户的警觉性。此外,即时通讯工具渗透也是其一大特色。攻击者潜伏在各类行业交流群中,伪装成业务人员发送名为“2025

税务新规”、“最新发票格式”的文件,利用社交信任链进行传播。在中国及东南亚地区,微信、钉钉、企业微信及

Telegram

是企业沟通的命脉。

“银狐”组织高度依赖这一生态,构建了一套基于“信任传递”的社会工程学攻击链。

攻击链剖析:全链路的信任滥用2025年主流病毒趋势分析报告

06

0203信任链的利用:由于文件来自“同事”、“领导”或“税务专员”,受害者往往会跳过常规的安全检查直接打开文件。在部分案例中,攻击者甚至会利用受控的微信账号与受害者进行多轮对话,建立信任后再发送恶意载荷,这种交互式攻击的成功率远高于传统手段。税务行业的定向攻击:2025年下半年,“银狐”发起了一波针对特定垂直行业的猛烈攻势,显示出其对行业业务流程的深刻理解。税务行业的攻击行动:攻击者利用税务改革的时间窗口,精准投递伪装成税务插件或通知的恶意软件。在印度,攻击者冒充所得税部门发送包含恶意PDF的钓鱼邮件,诱导用户下载名为tax

affairs.zip的恶意载荷;在中国,则利用“金税四期/五期”上线的名义,诱导财务人员下载所谓的“税务接口升级包”。“鱼叉”式群组攻击:与广撒网式的邮件钓鱼不同,“银狐”攻击者通常通过前期渗透获取某个受害者的社交账号控制权,

或者伪造企业高管、合作伙伴的账号,潜伏在财务群、项目群、HR群中。在关键时间节点(如月底报税日、年终奖发放日、医保政策调整日),攻击者会在群内发布带有高度诱导性话术的恶意文件,如“2025年税务审查白名单.zip”、“全员薪资调整通知.exe”或“医保违规记录核查.exe”。IM钓鱼案例:压缩包内含有实际为带有签名的名为“微软电脑管家”的exe、隐藏属性的.exe.config文件,以及隐藏属性的m$RECYCLE.BIN

目录,通过修改配置文件实现

AppDomain劫持,使其执行隐藏在m$RECYCLE.BIN下的恶意exe文件。PendingFileRenameOperations滥用:PendingFileRenameOperations的操作时机早于驱动加载,

系统完成重命名后再调用各持久化项。银狐木马结合文件关联和设备映射技术,在系统重启时触发恶意文件的重命名或移动操作,使得安全软件在系统重启前无法正常的关联持久化项和恶意文件,达到规避检测的目的。

载荷投递与防御规避技术“白利用”是指利用合法系统工具或第三方软件加载恶意代码,在2025

年被“银狐”发挥到了极致。攻击者不再简单地运行恶意EXE,而是构建了复杂的侧载链条,利用带有有效数字签名的“白文件”来加载恶意的DLL“黑文件”。典型攻击链条解析:银行钓鱼案例:攻击者使用带有Avira

数字签名的合法文件

dszfp.exe

作为白文件,侧载恶意的

scew.dll。由于主进程是受信任的杀毒软件组件,EDR系统往往会放宽对其行为的监控。 07

2025年主流病毒趋势分析报告为了对抗静态扫描和沙箱分析,还使用了以下两种方式:0202030101PyInstaller打包与动态执行:使用

Python

编写并经

PyInstaller

打包。这些样本在解包后并不直接释放恶意

EXE,而是执行一段高度混淆的

Python

脚本。脚本内置了严苛的环境检测逻辑,如检查系统语言是否为中文、检测

VMware/VirtualBox

特征、检测调试器等。只有通过检测后,才会动态解密Shellcode,并在内存中直接加载调用,全程无文件落地。内存注入加载器利用VirtualAlloc分配内存,将解密后的Payload写入,

然后通过CreateThread或QueueUserAPC通过异步过程调用触发执行。这种技术有效地规避了基于文件扫描的杀毒软件。“银狐”也常使用进程镂空、线程池注入等多种手法。

核心加载器(Loader)的全内存执行“银狐”在2025年广泛使用了一种“全功能加载器”(All-in-one

Loader)。该加载器通常是一个经过高度混淆的PE文件,其核心功能是将加密的Shellcode解密后直接注入到系统内存中执行,全程不产生落地文件。

NET全局程序集缓存(GAC)劫持2025年,“银狐”被发现利用.NET

框架的底层机制⃞全局程序集缓存(Global

Assembly

Cache,GAC)进行系统级劫持。这是该组织技术能力大幅跃升的标志。

权限提升与持久化在获取初始权限后,“银狐”通常利用

COM

接口滥用,如

CMSTPLUA、Fodhelper

等来绕过

UAC,获取管理员权限。持久化方面,除了传统的注册表Run键值外,还通过CreateService、RPC等方式服务,通过COM、RPC创建计划任务。MSBuild滥用在部分变种中,载荷被注入到合法的MSBuild.exe进程中。由于MSBuild是.NET框架的构建工具,其执行动态代码的行为在很多环境中被视为正常,这为木马提供了极佳的掩护。2025年主流病毒趋势分析报告

08

·

恶意代码机理剖析技术深度分析04技术原理.NET

框架允许通过配置文件指定一个自定义的

AppDomainManager

类,用于管理应用程序域的创建和配置。如果在配置文件中指定了恶意的程序集和类型,

CLR在初始化时就会自动加载并执行该恶意代码。KeePass利用案例“银狐”利用合法的开源密码管理器KeePass.exe作为宿主。攻击者放置一个恶意的KeePass.exe.config文件,其中包含<dependentAssembly>配置节,强制将合法的系统程序集版本重定向到一个不存在的高版本,从而触发加载恶意的配置文件KeePass.config.xml。该XML文件中定义了一个自动执行的“Trigger”,一旦KeePass启动,就会触发下载并执行远程恶意载荷。整个过程完全基于合法的配置机制,无需修补二进制文件。技术原理GAC是Windows用于存储多个应用程序共享的.NET程序集的中央存储库(通常位于

C:\Windows\assembly)。当.NET应用程序尝试加载一个强签名(Strong-Named)的程序集时,公共语言运行时(CLR)会优先在GAC

中查找,而不是在应用程序的本地目录中查找。攻击实现“银狐”通过特定的

MSI安装包或

PowerShell脚本,将恶意的

DLL注册到GAC

中。特别值得注意的是,攻击者伪造了一个名为System.Collections.Modle.dll

的程序集。一旦注册成功,任何引用该命名空间的

.NET程序在启动时都会优先加载这个恶意DLL。机制解析PoolParty是一种针对Windows用户模式线程池的注入技术。现代Windows应用广泛使用线程池来处理异步任务。攻击者不直接创建新的线程,而是操纵目标进程的工作工厂。危害性这种攻击实现了“全局性”的劫持,攻击者无需修改目标程序本身,

即可执行恶意代码。由于GAC中的程序集具有极高的信任级别,这种行为极难被传统的应用白名单或杀毒软件拦截。

AppDomainManager注入技术与GAC劫持相配合,“银狐”还大规模使用了AppDomainManager注入技术,这是一种更为隐蔽的“无DLL劫持”技术。

PoolParty进程注入:针对Windows线程池的攻击为了对抗基于API监控,如监控CreateRemoteThread的EDR系统,“银狐”利用PoolParty

技术。 092025年主流病毒趋势分析报告092025年主流病毒趋势分析报告攻击逻辑

恶意软件加载这些驱动程序到内核空间。+通过DeviceIoControl发送特定的

IOCTL控制码。

驱动程序在内核模式下执行存在漏洞的代码,该代码允许调用者传入任意进程

PID并强行终止该进程。银狐木马利用这一机制,精准猎杀Windows

Defender等安全软件的守护进程。由于操作是由合法的内核驱动发起的,

操作系统内核保护机制,如

PPL往往无法拦截。攻击流程

恶意进程在目标进程中分配内存并写入Shellcode。

创建一个ALPC端口。+利用TpAllocAlpcCompletion函数,将该ALPC端口与目标进程的线程池关联起来。

向该ALPC端口发送特制消息。

目标进程的线程池工作线程在处理该消息时,会被误导去执行恶意的Shellcode。

WDAC策略滥用WDAC

Windows

系统中用于控制哪些驱动程序和应用程序可以在设备上运行的安全功能,通过修改policy文件可以阻止指定路径的进程启动。隐蔽性由于恶意代码是由合法的系统线程池工作线程执行的,且没有产生新的线程创建事件,绝大多数现有的EDR

行为检测规则都会失效。

BYOVD:自带漏洞驱动的内核级对抗为了彻底致盲终端安全软件,“银狐”集成了BYOVD攻击模块

59。武器化驱动攻击者随身携带合法的、带有有效数字签名但存在已知漏洞的驱动程序。攻击方式写入SiPolicy.p7b文件试图阻止各类安全软件的启动。2025年主流病毒趋势分析报告

10动态加密部分数据载荷使用AES-256算法加密,但密钥并非硬编码,

而是通过Diffie-Hellman密钥交换协议动态生成,或使用基于时间的动态XOR密钥。这意味着即使捕获了网络流量,

若无法获取当时的会话密钥,

也难以解密还原出具体的指令内容。流量伪装C2通信流量通常伪装成正常的HTTPS流量,甚至混入大量的伪造HTTP头,如伪造的User-Agent、Referer,在流量分析日志中会出现看似正常的网页浏览行为。攻击流程+通过PPID欺骗技术创建一个伪装成高权限进程,如winlogon.exe子进程的新进程。+继承父进程的调试端口(Debug

Port)。由于调试端口具有PROCESS_ALL_ACCESS

完全访问权限,攻击者可以利用这个调试端口向被调试的高权限进程注入恶意代码或执行任意操作。 调试端口和PPIDSpoofing银狐木马通过结合调试端口和

PPID

Spoofing

的方式完成提权操作。这种方法绕过了传统的权限检查机制,是一种隐蔽性较强的提权手段。技术原理通过触发执行流的跨架构切换。使32位木马的恶意代码能在64位模式下运行,

直接调用未被EDR工具Hook的64位系统服务,如NtCreateFile,规避传统安全软件对32位API的监控。

天堂之门为了对抗安全软件的内存监控,银狐木马使用了天堂之门技术隐藏自身的特征。 112025年主流病毒趋势分析报告112025年主流病毒趋势分析报告危害性利用系统机制阻止指定进程执行,不了解此技术原理将无法完成对系统的恢复。魔术字节部分通信数据包头部包含特定的魔术字节,用于服务端识别客户端身份。

加密算法与通信协议“银狐”的通信协议设计变种较多,不具有通用特征。模块化架构服务端(称为“WinOs”)采用插件化设计,支持根据目标环境动态下发

DLL插件。核心插件包括:+Screen

Management:支持高速、后台等多种屏幕监控模式,甚至包含针对多显示器的优化。+Credential

Theft:

专门的解密数据.dll模块,用于提取Chrome/Edge浏览器的Cookie、密码,

以及Telegram、WeChat的本地聊天记录数据库密钥。+

SystemControl:

包含文件管理、注册表操作、远程Shell(CM

D/PowerShell)及服务管理。+

Rootkit模块:

部署

Nidhogg等开源

Rootkit,用于在内核层隐藏恶意文件、进程及网络端口。通信协议C2通信高度加密且隐蔽,

主要采用WebSocket协议,通过非标准端口,

如特征性的6666端口进行传输。流量头部通常包含特定的魔术字节,载荷经过如AES-256加密,极难被流量分析设备识别。基础设施复用情报分析发现,“银狐”可能正在向“接入即服务”

(AaaS)模式转型,

即作为上游供应商,将其获取的受害者网络访问权限出售给其他犯罪组织。多层级代理攻击者不直接连接受害者主机。C2

通常是托管在VPS服务商、云服务商的虚拟主机中。域名伪装攻击者偏好使用具有误导性的域名,

常见模式包括在知名品牌后添加后缀或利用拼写错误。云服务滥用为了对抗域名封锁,银狐木马大量利用合法的公共

云服务来托管配置文件和恶意载荷。例如,利用阿

OSS、有

记、GitHub

Pages甚

至Discord附件链接来分发木马。

由于这些域名的信

誉度较高,企业的防火墙通常不会对其进行拦截。

旗舰武器:ValleyRAT(Winos4.0)ValleyRAT(在地下论坛被称为

Winos4.0)是“银狐”在2025年的核心远控工具,展现了极强的模块化与商业化软件特征。

C2服务器网络拓扑“银狐”构建了一个去中心化、高弹性的C2网络。2025年主流病毒趋势分析报告

12

基础设施架构分析

域名与托管特征针对银狐木马在2025年的技术特征,应重点关注以下检测逻辑:

端点检测与响应(EDR)白名单程序加载异常

DLL:对于

Thunder.exe

等常用软件,如果其加载了未知的、无签名的或签名异常的DLL,需要立即介入审查。异常父子进程关系:严密监控

rundll32.exe、regsvr32.exe

powershell.exe

的父进程。如果这些进程由Web浏览器、压缩软件或即时通讯工具直接启动,应视为高危告警。BYOVD

检测:

在系统日志中监控

NtLoadDriver

API

的调用,特别是加载已知易受攻击驱动的行为。这通常是攻击者试图致盲EDR

的前兆。Defender

排除项篡改:

实时监控通过

PowerShell

执行

Add-MpPreference-ExclusionPath

指令的行为,这是银狐木马落地的标准动作之一。域名关联:利用威胁情报对访问的域名进行实时关联。重点检测新注册域名、动态DNS

域名以及被标记为恶意C2

IP地址。 132025年主流病毒趋势分析报告132025年主流病毒趋势分析报告协议异常:在

HTTP/HTTPS

流量中,检测

User-Agent关注心跳包频率极其固定的连接,这往往是Beaconing字段是否异常,如版本号过旧或与操作系统不符。重点行为的特征。

核心检测技术与指标检测与防御指南

网络检测与响应(NDR)

驱动程序监控020203010101

增强行为检测与狩猎能力

重点监控与AppDomainManager相关的配置文件修改行为及环境变量变化。

部署针对GAC

目录的完整性监控,及时发现异常DLL的注册。

监控

PowerShell

中执行的

Add-MpPreference-ExclusionPath

命令,这是“银狐”落地后尝试添加查杀排除项的标准动作。

利用EDR监控合法签名程序加载未知或无签名DLL的异常行为。

供应链与下载管控

软件源管控:

通过技术手段(如

DNS过滤、代理策略)禁止员工访问非官方的软件下载站。建立企业内部的软件

商店,确保所有分发的软件均经过安全扫描。 SEO

投毒防御:

对员工进行专门的搜索引擎安全培训,教育其识别搜索结果中的广告推广链接,并核对域名的准

确性。

攻击面收敛

严格的应用程序管控:

实施AppLocker

或WindowsDefender

ApplicationControl(WDAC),禁止在用户目录,如AppData、Temp下执行未签名的可执行文件。

断:在

Windows

用“易

击驱

表”,并

性(VBS)和代码完整性保护(HVCI)。

身份安全加固

抗钓鱼

MFA:鉴于“银狐”具备窃取

Cookie和中间人攻击的能力,建议在关键系统全面部署

FIDO2/WebAuthn硬件安全密钥,替代传统的短信或App验证码。

特权账号管理:

严格限制本地管理员权限,实施“即时访问”策略,杜绝凭据在内网的长期留存。2025年主流病毒趋势分析报告

14

·

综合防御策略AI对抗

AI企业部署具备AI能力的自主安全运营中心,

利用机器学习算法以机器速度对抗机器速度,

实时发现并阻断异

常行为。零信任的全面落地抛弃“内网即信任”的旧观念,构建基于身份、设备、环境动态评估的零信任访问控制体系,确保即使单点被破,

攻击者也无法在内网横向移动。自动化社会工程学AI代理能够通过分析受害者的社交媒体数据和公开信息,

自动生成极具针对性的钓鱼话术,甚至进行多轮次

的自然语言对话,直至受害者上钩。 Skills投毒

通过在SkillsHub投毒可以实现在龙虾客户端实现任意命令执行,完全控制用户主机展望2026年,我们预测银狐木马将跨越“自动化”的门槛,进入“智能化”攻击的新阶段。

代理式AI(AgenticAI)的实战化随着大语言模型、龙虾的普及,“银狐”将实现攻击链的智能化。

深度伪造(Deepfake)的规模化应用随着即时通讯工具成为主要攻击载体,将利用Deepfake

技术伪造企业高管或合作伙伴的语音甚至视频会议形象。这种攻击将突破现有的“人类信任防线”,使得财务诈骗和指令下发的成功率呈指数级上升。 152025年主流病毒趋势分析报告152025年主流病毒趋势分析报告

未来防御建议面对即将到来的智能化威胁,防御体系需要进行代际升级。

·

技术演进:

AI

驱动的自动化攻击2026年及未来趋势预测

未来攻击对抗钓鱼攻击趋势与未来展望2025年主流病毒趋势分析报告

16Phishing

Attacks60000005000000400000030000002000000100000001

2

3

4

5

6

7

8

9

10

11

12Month在深信服安全钓鱼检测大模型

2025

全年监测到的二百八十万钓鱼攻击事件中,我们发现攻击事件随季节波动较大,前两个季度明显高于后两个季度,在二月和八月份的到达波谷,

四月份到达波峰,而从八月到十二月逐渐表现出上升趋势,这一趋势可能会延续到第二年的前两个季度。在观测到的攻击事件中,绝大部分使用链接作为最终的攻击载荷,这一比例高达89%(链接钓鱼邮件+附件链接钓鱼邮件),其中大部分为凭证窃取;使用附件作为最终载荷的比例为8.72%主要用于传播恶意文件。2025年统计数据深度透视本章基于2025年全年的多维度数据,对攻击规模、经济损失及受害者特征进行量化分析。

17

2025年主流病毒趋势分析报告

攻击规模与特征Count√

全网告警邮件数是类型分布文字钓鱼邮件(2.24%)附件链接钓鱼邮件(10.43%)附件钓鱼邮件(8.72%)链接钓鱼邮件(78.61%)数据泄露成本根据

hoxhunt

报告显示,2025

年,由钓鱼攻击导致的单次数据泄露平均成本攀升至

444

万美元,

相比2024

年的

488

万美元下降了约

9%。这是过去五年来首次下降,

主要归功于企业采用了

AI

驱动的威胁检测与响应工具,缩短了发现漏洞的时间[14]。加密货币损失2025年全年,加密货币领域的欺诈与盗窃损失预计超

过170亿美元。其中,通过钓鱼获取钱包私钥或授权签

名的攻击导致了绝大多数损失。假冒诈骗(Imperson-ation

Scams)同比增长了1400%[27]。亚太地区日本、新加坡和韩国面临猛烈的攻击增长。针对亚太地区的深度伪造欺诈增长率高达1530%[17]。北美北美仍是深度伪造欺诈的重灾区,仅Q1损失超2亿美元[17]。洞察:

尽管在部署了SPF、DKIM、DMARC等协议的区域,普通垃圾邮件式钓鱼有所下降,但针对性强、利用AI生成的“高质量”钓鱼邮件数量激增。攻击者正从“量”向“质”转型。

经济损失与地下经济2025年主流病毒趋势分析报告

18

.

地域分布与行业受害画像钓鱼攻击造成的经济损失不仅体现在企业端,也反映在暗网数据交易的繁荣上。地域热点攻击链深度复盘:目前尚无该事件的样本可供查阅。基于ALPHV/BlackCatRansomware

以往的的攻击,以下行为描述和分析供参考。此次攻击并非通过

0-day

漏洞(Zero-day

exploits)发起,而是始于针对

JLR

供应链下游承包商的一次精心策划的语音钓鱼(Vishing)活动。攻击者隶属于被称为“Scattered

Lapsus$Hunters”的新型网络犯罪联盟,该组织融合了

Scattered

Spider

的社会工程学能力、Lapsus$

的破坏性以及

ShinyHunters的数据变现网络[4]。初始入侵(Initial

Access):攻击者收集了

JLR

第三方

IT

服务供应商员工的详细资料,构建了高精度的目标画像。随后,攻击者利用

AI

变声软件伪装成

JLR

内部

IT

支持人员,致电供应商的帮助台,声称需要紧急重置MFA(多因素认证)

令牌。由于声音和术语的高度逼真,帮助台人员被成功欺骗,授予了攻击者合法的VPN访问权限[4]。医疗与制药(41.9%易感率)系统老旧、数据价值高、员工压力大[25]。教育

(224%增长)2025年增幅最大,攻击者利用奖学金发放、学费缴纳等节点进行诈骗[18]。金融与保险(39.2%易感率)资金直接关联,被攻击频率最高[25]。受害者人口统计数

了“老

骗”的

知。千

代(39%)和

Z

代(43%)实

X

代(22%)和

代(14%)更容易成为钓鱼受害者。这与其高频使用移动设备、社交媒体以及对数字环境的过度自信有关[61]。2025

年的网络威胁景观呈现出极端的两极分化:一方面,基础的自动化防御拦截了数以亿计的低级攻击;另一方面,针对高价值目标的攻击成功率却在攀升,

导致了前所未有的经济损失和供应链动荡。这一年,钓鱼攻击不再仅仅是黑客的单点突破工具,而是成为了引发系统性金融风险和国家级基础设施瘫痪的导火索。 192025年主流病毒趋势分析报告192025年主流病毒趋势分析报告2025年全球网络安全格局与重大钓鱼事件回顾

系统性风险事件:捷豹路虎(JLR)供应链瘫痪受害行业排名(按攻击密度)

:横向移动与权限提升(LateralMovement):获得立足点后,攻击者利用“寄生攻击”(Living-off-the-land)策略,使用PowerShell和PsExec等合法管理工具进行横向,规避了EDR(端点检测与响应)系统的警报。他们利用已知漏洞(CVE-2025-31324)实现了权限提升,最终控制了连接制造执行系统(MES)的关键服务器

[5]。破坏与勒索:

不同于传统的加密勒索,攻击者采取了“双重勒索”策略:一方面切断了生产线的指令传输,导致物理生产停止;另一方面,威胁泄露窃取的敏感设计图纸和供应商合同。行业启示:JLR事件深刻揭示了制造业在数字化转型中的脆弱性。尽管OT(运营技术)与IT(信息技术)的融合提高了效率,

但也打通了攻击路径。防守方必须认识到,

供应链中最薄弱的一环往往决定了整个生态系统的安全上限。单一供应商员工的MFA疲劳或被骗,足以导致数十亿的损失。API数据渗漏攻击者利用这些令牌,冒充合法的

Drift应用向

Salesforce

API发起海量请求。由于流量看似来自受信任的合作

伙伴应用,传统的异常流量检测系统未能及时触发警报。攻击者成功窃取了约15亿条CRM记录,包括客户名单、

销售机会数据甚至部分存储在备注字段中的明文密码

[6]。令牌收割在控制了

Drift

环境后,攻击者并未立即发起破坏,而是静默导出了数千个

OAuth

访问令牌(AccessTokens)

和刷新令牌(RefreshTokens)。这些令牌是Salesforce租户授予Drift应用的“通行证”,允许应用在不需用户交互的情况下读写数据[7]

技术机制

:OAuth令牌滥用此次攻击的核心在于对OAuth授权机制的滥用,而非对Salesforce核心平台的直接突破。网络犯罪组织

UNC6395利用钓鱼攻击首先入侵了Salesloft的AI聊天机器人插件Drift的集成环境。凭证获取攻击者通过入侵Salesloft的Github组织环境,在Github代码仓库中发现了硬编码的AWS访问密钥,在Drift

的AWS环境中攻击者成功窃取了与Drift‒Salesforce集成关联的OAuth令牌。如果说JLR事件展示了物理供应链的脆弱性,那么2025年8月爆发的Salesforce/Salesloft-Drift事件则暴露了数字供应链的深层危机。此次攻击被业内称为SaaS领域的“SolarWinds

时刻”,波及全球

700

多家大型企业,包括科技巨头、航空公司和金融机构

。这一事件标志着攻击重心的转移:从窃取用户密码转向窃取机器身份(Tokens)。在

SaaS高度互联的场景中,一个边缘应用的沦陷可能导致核心数据资产的全面暴露。

SaaS生态的“SolarWinds时刻”:Salesforce/Salesloft-Drift攻击2025年主流病毒趋势分析报告

20

耶鲁纽黑文卫生系统(YNHHS)泄露涉及550万人的数据泄露源于第三方供应商的网络服务器被攻破,而该供应商的初始入侵同样源于员工账号被钓鱼接管。此事件后的修复成本预计高达

1800万美元,并引发了大规模的集体诉讼[12]。DaVita透析中心事件2025

4

月,肾脏透析服

商DaVita遭

受Interlock

勒索软件组攻击,导致

270

万患者数据

泄露。攻击入口被确认为一封伪装成“紧急合规性

审计通知”的钓鱼邮件,诱导一名具有高级权限的

行政人员下载了带有恶意宏的

Excel

附件。这导致

了双重后果:不仅患者的敏感健康信息(PHI)被盗,部分透析中心的预约系统也被迫下线,直接威胁患

者生命安全

[12]。2025

年中期,网络安全研究机构

Cybernews

揭露了一个包含

160

亿条登录凭证的聚合数据库。这一被称为“超级泄露”的事件并非源于单一企业的数据库被黑,而是地下黑产多年积累的产物

。这个庞大的数据库实际上是无数“信息窃取者”(Infostealers)恶意软件日志的集合。这些恶意软件(如RedLine,

Vidar,Raccoon)

通常通过盗版软件下载、虚假游戏外挂或伪装成发票的钓鱼邮件传播。一旦感染用户设备,

它们会自动打包浏

览器中保存的所有密码、Cookie和自动填表信息。深层影响分析:凭证填充(CredentialStuffing)的燃料160亿条记录为攻击者提供了近乎无限的弹药。攻击者利用自动化工具,将这些用户名和密码组合在银行、

电商和社交媒体平台上进行大规模撞库,导致账户接管(ATO)攻击激增[13]。Cookie重放攻击泄露数据中包含大量有效的会话Cookie,使得攻击者可以绕过MFA直接接管账户,这解释了为何即使开启

了双重认证,许多用户依然遭遇了入侵[13]。 212025年主流病毒趋势分析报告212025年主流病毒趋势分析报告

医疗行业的至暗时刻:

DaVita

与耶鲁纽黑文事件

·

160

亿凭证的“超级泄露”(The

Mega

Leak)2025年,医疗行业成为钓鱼攻击与勒索软件结合打击的重灾区。根据HIPAA

Journal的数据,仅8月份就报告了55起大型数据泄露事件,影响超过350万人[10]。0201场景:最常见的诱饵是伪装成微软或谷歌的“MFA重置请求”或“账户安全扫描”,要求用户使用移动设备扫描二维码。一旦扫描,受害者被引导至移动版钓鱼页面,移动设备较小的屏幕和隐藏的地址栏进一步降低了用户识别伪造域名的能力

。BlobURI

逃逸:为了对抗新兴的二维码扫描防御,攻击者开始结合Blob

URI

技术。二维码解码后的链接指向一个在本地浏览器内存中动态生成的页面,而非远程服务器。这意味着在流量层面,安全设备看不到恶意的

HTTP请求,直到用户在本地渲染出钓鱼表单。声音克隆:2025

年,攻击者只需

3

秒钟的音频样本(通常来自社交媒体视频)即可克隆出目标人物的声音,相似度高达85%

[17]。机制:攻击者将恶意链接编码为二维码,嵌入在

PDF

附件或邮件正文中。由于SEG

主要擅长分析文本和

URL,往往无法解析图片内容,导致邮件被放行。传统的邮件钓鱼在2025年仅占攻击总量的一部分,攻击者正在利用一切可用的数字通信渠道。

二维码钓鱼(Quishing)的爆发在Hoxhunt的公开数据中,

Quishing在2025年同比增长了25%,成为绕过企业邮件网关(SEG)的首选手段[14]。2025

年的钓鱼攻击在技术层面展现出了极高的创新性。攻击者不再试图“骗过”人类的直觉,而是致力于“骗过”防御系统的算法,甚至直接利用系统逻辑的漏洞。

语音钓鱼(Vishing)与AI深度伪造AI技术的成熟使得Vishing从一种劳动密集型攻击转变为自动化攻击。技术趋势分析:进化的攻击向量与防御规避 攻击向量的多元化与“全渠道”渗透2025年主流病毒趋势分析报告

22

020301012025年是PhaaS平台全面商业化的一年。这些平台使得没有任何编程基础的犯罪分子也能发动顶级的网络攻击。市场霸主:Tycoon2FA与EvilProxy;根据

Barracuda

的监测,

Tycoon2FA平台在2025年初占据了

PhaaS攻击市场的89%份额,处于绝对垄断地位

[20]。核心技术:

中间人(AiTM)攻击;传统的钓鱼网站只是一个静态的模仿页面,而现代

PhaaS平台(如

EvilProxy)充当了受害者与合法服务(如Microsoft365)之间的透明代理。混合攻击(Hybrid

Vishing):攻击者先发送一封声称“订阅已续费,扣款

500

美元”的邮件,并在邮件中留下一个客服电话号码。当受害者惊慌失措地拨打该号码时,AI

语音机器人或真人攻击者会诱导其安装远程控制软件(如

AnyDesk)

以“处理退款”,进而接管设备。恶意广告(Malvertising):攻击者购买搜索引擎的关键词广告,将伪造的官方页面置顶。用户在搜索常用办公软件时,往往习惯性点击第一条结果。LinkedIn定向攻击:针对企业高管和HR的攻击转移到了LinkedIn

私信(InMail)。攻击者伪装成猎头或投资者,发送带有恶意OneDrive链接的“投资意向书”或“简历”。会话劫持:服务器验证通过后,会返回一个会话

Cookie(Session

Cookie)。PhaaS

平台拦截并保存这个

Cookie,然后将受害者重定向到合法页面。结果:攻击者获得了有效的

Cookie,可以在不触发

MFA

的情况下随时访问受害者账户。这种攻击完全使得传统的短信或APP验证码失效。 232025年主流病毒趋势分析报告232025年主流病毒趋势分析报告MFA拦截:服务器向受害者发送短信验证码或推送通知。受害者在钓鱼页面输入验证码或批准请求。实时转发:当受害者在钓鱼页面输入密码时,

PhaaS平台实时将密码转发给真实的服务器。

钓鱼即服务(PhaaS)的成熟与

MFA

绕过

搜索引擎与社交媒体钓鱼02020402030101效果新一代

NLP模型能够理解邮件的“意图”(如紧迫感、诱导点击),而非仅仅匹配关键词,有效降低了误报率。原理不再单一依赖文本分析,

而是同时综合分析视觉特征(检测二维码、Logo伪造)、语音声纹(检测

Deepfake音频)和行为元数据(发件人历史交互模式)。ClickFix/ConsentFix技术:这是一种利用社会工程学诱导用户自我破坏的手段。攻击者在网页上模拟一个虚假的“浏览器错误”弹窗,提示用户通过复制粘贴一段PowerShell

代码或点击“修复”按钮来解决问题。实际上,这段代码会在后台下载恶意软件或授予攻击者OAuth权限(ConsentFix),完全绕过了浏览器的安全沙箱。合法基础设施滥用:攻击者越来越多地使用Google

Forms、Microsoft

Sway、Notion甚至IPFS(星际文件系统)来托管钓鱼内容。由于这些域名信誉极高,传统的域名黑名单无法对其进行封锁。CAPTCHA墙:越来越多的钓鱼攻击现在在恶意页面前设置了

Cloudflare

Google

的验证。这不仅让页面看起来更“合法”,更重要的是阻挡了安全厂商的自动化爬虫,使其无法扫描到后端的钓鱼表单。

多模态AI检测(MultimodalAI)针对AI生成的钓鱼邮件,防御厂商(如Sangfor防钓鱼GPT)推出了多模态AI检测引擎。2025年防御技术与策略的演进面对“魔高一尺”,防御技术在2025年也实现了“道高一丈”的突破,核心在于从被动防御转向主动阻断和零信任架构。

规避检测技术的演进2025年主流病毒趋势分析报告

24

新型防御技术为了对抗日益强大的AI防御,攻击者开发了多种反检测手段。020301风险易感性的阶梯式下降实战化模拟演练表现出显著的时间复利效应。初始阶段,未经训练的员工往往呈现较高的点击风险;通

过持续的季度性诱捕演练与即时反馈,

员工的辨识能力会经历从“盲目信任”到“审慎交互”的质变,

将人为触发安全事件的概率压制在较低水平。从“受害者”向“传感器”的职能转换SAT的终极指标并非点击,而是高报告。有效的培训能够建立标准化的威胁上报机制,使员工在发现可

疑迹象时,从被动躲避转为主动预警。这种群体性的主动防御行为,

能将威胁感知触角延伸至技术监控

的盲区,为SOC(安全运营中心)提供领先于系统告警的实战化情报,

显著缩短平均响应时间(MTTR)。

浏览器隔离(RBI)与安全扩展针对本地执行的Blob

URI

和恶意扩展,企业开始部署远程浏览器隔离技术。所有未分类或高风险的网页都在云端容器中加载,仅向用户传输安全的像素流。某些厂商推出了针对浏览器的专用安全工具,

实时监测恶意扩展的安装和敏感数据的复制粘贴行为(防范ConsentFix)。机制Passkeys基于公钥加密体系,

将登录凭证与特定的域

名和设备硬件绑定。防御效果即使用户被诱导至钓鱼网站(如

g00gle.com),浏览器也会因为域名不匹配而拒绝发起认证握手。这从根本上废除了“中间人攻击”的可能性,因为攻击者无法伪造域名的加密签名。事实证明,在钓鱼防范中,技术无法解决所有问题,在复杂的攻防博弈中,技术手段虽能过滤海量噪音,但人作为业务逻辑的最终执行者,始终是防御链条中最具变量的环节。SAT从单纯的知识灌输进化为防御行为的肌肉记忆。

抗钓鱼身份验证:Passkeys的普及2025年是FIDO2标准和Passkeys(通行密钥)大规模落地的一年。 252025年主流病毒趋势分析报告252025年主流病毒趋势分析报告

·

安全意识培训(SAT)欧盟无线电设备指令(RED)2025

8

月生效,强制要求所有联网设备必须具备内置的网络安全功能,这迫使鱼设计。IoT供应链在源头加强了防钓自主攻击链这种AI不仅能生成钓鱼邮件,还能自主执行侦察、漏洞扫描、代码编写和横向移动。它能像人类黑客一样,根据防御系统的反馈实时调整策略,但速度是人类的数千倍。中华人民共和国网络安全法保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进

经济社会信息化健康发展。美国SEC新规严格的披露窗口迫使企业不再掩盖钓鱼事件,推动了更透明的威胁情报共享。数字运营弹性法案(DORA)要求欧盟金融机构及其IT供应商定期进行“威胁主导的渗透测试”(TLPT),直接针对了供应链钓鱼风险。站在2025年的终点,我们看到网络攻防正在进入一个新的维度。2026年的钓鱼攻击将不再是人与人的对抗,甚至不再是人与机器的对抗,而是机器与机器(Machine-to-Machine)的博弈。

代理AI(Agentic

AI)的崛起2026年,我们将目睹具备自主推理能力的“代理AI”被武器化。2026年及未来展望:代理AI与量子威胁2025年主流病毒趋势分析报告

26

攻击趋势预测

·

监管政策的驱动

深度伪造的实时化与全息化深度伪造将从“异步视频”走向“实时互动”。攻击者将能够以低延迟在视频会议中实时替换面部和声音,且无明显伪影。这也将催生“元宇宙钓鱼”⃞在

Roblox、Decentraland

等虚拟世界中,攻击者伪装成知名Avatar

NPC,诱骗用户签署恶意的智能合约。

量子威胁的前奏:“现在窃取,以后解密”尽管通用量子计算机破解

RSA

算法尚需时日,但攻击者在

2026

年将加强“现在窃取,

以后解密”(Harvest

Now,Decrypt

Later)

的策略。高价值的加密通信数据(如国家机密、知识产权)

将成为首要窃取目标,尤其是通过钓鱼获取加密密钥的尝试将大幅增加。

供应链的“验证性信任”针对SaaS集成,

实施严格的OAuth令牌生命周期管理。定期审计第三方应用的权限,及时撤销未使用的授权。对于关键供应商,要求其提供符合

DORA标准的渗透测试报告。

全面实施FIDO2与

Passkeys2026年应成为“密码消亡”的一年。企业应在所有外部访问点实施抗钓鱼的FIDO2认证,弥补短信OTP和基于App的

推送验证的短板。

零信任架构的深化不再信任任何内网流量。将零信任原则扩展到AI代理身份(Entra

Agent

ID),确保每一个AI模型的调用、每一个API的

访问都经过严格的实时鉴权。

构建“AI增强”的自主SOC面对机器速度的攻击,

依靠人工分析警报已不现实。企业必须部署自主SOC(Autonomous

SOC),利用AI代理自动处理

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论