破除AI炒作｜百万恶意样本分析，揭秘真实黑客战术

报告基于对100万恶意软件样本的分析，映射了1,400万恶意行为和1,100万MITRE ATT&CK技术实例。

平均每个样本，触发14项恶意行为和12项ATT&CK技术。

重点聚焦2024年最常用的十大技术，涵盖进程注入、凭证窃取、防御破坏等核心攻击策略。

攻击者确实在持续创新，尽管AI必将扮演越来越重要的角色，但最新数据表明，一系列已知的战术、技术和程序（TTPs）仍主导着攻击领域。

尽管AI占据媒体头条，但真实数据揭示了更为复杂的恶意软件威胁图景。

以下是2024年最具影响力的攻击活动中最关键的发现与趋势，以及网络安全团队需要采取的应对措施。

一、为什么说AI炒作言过其实

当媒体将AI吹捧为网络犯罪的”万能新武器”时，统计数据却讲述着不同的故事。

Picus Labs发现，2024年基于AI的战术并无显著增长。

攻击者虽已开始利用AI提升效率，如制作更逼真的钓鱼邮件或调试恶意代码，但尚未在绝大多数攻击中释放AI的变革性力量。

这种认知偏差源于：

• 恐惧营销：网络安全行业存在夸大新兴威胁的倾向；

• 技术拟人化：公众易将AI拟人化为”超级黑客”，忽视其工具本质；

• 防御者焦虑：面对AI未知性产生的心理投射。

但不可否认，AI可能正在重塑攻防平衡：

• 攻击侧：目前主要用于效率工具，如钓鱼话术生成、代码优化。

• 防御侧：行为分析、异常检测等AI应用正成为破局关键。

这种不对称发展，可能会导致防御方的AI应用成熟度，将决定未来战场的主动权。

针对密码管理器、浏览器缓存凭证的攻击，在2024年增长了3倍。

这表明，攻击者正在集中攻击密码存储库、浏览器凭证和缓存登录信息，利用窃取密钥提升权限并在网络内横向移动。

这种三级跳式增长，凸显了强化凭证管理与主动威胁检测的紧迫性。

随着AI的应用，复杂攻击升级。

因此，现代信息窃取类恶意软件正实施融合隐蔽性、自动化与持久性的多阶段攻击。

通过合法进程掩盖恶意操作，借助日常网络流量隐藏数据外传，攻击者无需声势浩大地”破门抢劫”，就能在安全团队眼皮底下窃取数据，并且持续潜伏暗处等待你的下一个失误。

尽管MITRE ATT&CK框架涵盖广泛，但攻击者仍聚焦核心TTPs。

前十大ATT&CK技术中，以下数据外渗和隐蔽技术最为常用：

• T1055（进程注入）：将恶意代码注入可信系统进程，增加检测难度。如恶意软件Lumma Stealer通过注入iexplore.exe进程绕过检测。

• T1059（命令与脚本解释器）：通过目标设备的合法解释器运行恶意指令。

• T1071（应用层协议）：利用HTTPS/DNS-over-HTTPS等常见协议，建立隐蔽通信。

综合效果如何？

看似合法的流程，使用合法工具，通过广泛使用的网络通道收集和传输数据。

因此仅通过基于签名的方法很难检测到这些技术。

但是，使用行为分析，特别是当使用多种技术一起监控和关联数据时，可以更容易发现异常。

现代威胁往往串联多个攻击阶段实现渗透、驻留与外传。

当某个环节被发现时，攻击链可能已进入下一阶段。

虽然威胁形势日益复杂，百万恶意软件样本分析却揭示了一个简单真相：当前大部分恶意活动，仍围绕少量攻击技术展开。

因此，企业实际上应该注重：

• 攻击面管理：93%攻击使用已知技术，暴露基础防护的持续性价值；

• 凭证安全新维度：云原生环境下，传统密码管理已无法应对横向移动威胁；

• 检测范式转变：从单一特征检测到行为模式识别，需要构建”数字免疫系统”。

通过强化凭证保护、威胁检测和安全验证等基础安全实践，企业可以暂时忽略AI炒作，专注应对真实威胁。

基于对百万恶意软件样本的分析得出，攻击者正从“利用漏洞”转向“精密的多阶段行动”，因此防御者需结合持续验证、行为分析和自适应威胁狩猎。

建议企业需着力：

• 动态验证机制：通过持续攻击模拟保持防御有效性；

• 威胁情报转化：将ATT&CK框架从知识库转化为可操作的检测规则；

• 人员能力建设：培养能识别”正常中的异常”的分析师团队。

最好的防御往往不是追逐最新技术，而是夯实基础、理解对手、建立持续演进的防御体系。

在AI时代，这种战略定力将比任何时候都更为重要。