The Last 24 Hours | 安全无小事

从勒索软件到驻留:数字寄生虫的崛起内幕

2026/2/10 威胁情报 The Hacker News

勒索软件和加密仍然是现代网络攻击的标志性信号吗,还是业界过于关注噪音而错过了悄然发生的更危险的转变?

根据 Picus Labs 最新的《Red Report 2026》,该报告分析了超过 110 万恶意文件,并绘制了 2025 年观察到的 1550 万对抗性行为,攻击者不再追求破坏性,而是追求长期、隐蔽的访问。

需要说明的是,勒索软件并未消失,攻击者仍在创新。但数据表明,战略已明显从喧闹的破坏性攻击转向旨在规避检测、在环境中持久存在并悄悄利用身份和受信任基础设施的技术。如今的攻击者更像是数字寄生虫:它们生活在宿主内部,吸取凭证和服务,并尽可能长时间保持不被发现。

公众注意力往往集中在戏剧性的停机和可见影响上。今年的 Red Report 数据讲述了一个更安静的故事,揭示了防御者实际上失去可视性的地方。

勒索软件信号正在淡化

过去十年,勒索软件加密是网络风险最清晰的信号。当系统被锁定、业务停摆时,妥协是不可否认的。

该信号正失去相关性。逐年,“数据加密以实现影响”(T1486)下降了 38%,从 2024 年的 21.00% 降至 2025 年的 12.94%。这种下降并不说明攻击者能力下降,而是策略的刻意转变。

攻击者不再通过加密锁定数据来逼迫付款,而是转向数据敲诈作为主要变现模式。通过避免加密,攻击者保持系统运行,同时他们:

  • 悄悄外泄敏感数据
  • 收集凭证和令牌
  • 在环境中长期潜伏
  • 随后通过敲诈而非破坏施压

含义很明确:影响不再由系统被锁定来定义,而是攻击者在不被检测的情况下能够在宿主系统中维持访问的时长。

“对手的商业模式已从即时破坏转向长期存取。” – Picus Red Report 2026

凭证盗窃成为控制平面(占四分之一攻击)

随着攻击者转向长期、隐蔽的持久化,身份成为最可靠的控制路径。

Red Report 2026 显示,“从密码存储中获取凭证”(T1555)出现在近四分之一的攻击中(23.49%),成为过去一年观察到的最常见行为之一。

攻击者不再依赖嘈杂的凭证转储或复杂的利用链,而是越来越多地直接从浏览器、钥匙串和密码管理器中提取已保存的凭证。一旦获得有效凭证,特权提升和横向移动通常只需使用本地的管理工具即可实现。

越来越多的现代恶意软件活动表现得像数字寄生虫。没有警报、没有崩溃,也没有明显的指示,只有一种诡异的寂静。

同样的逻辑现在更广泛地塑造了攻击者的作战手法。

80% 的顶级 ATT&CK 技术现在偏向隐蔽

尽管 MITRE ATT&CK® 框架范围广泛,现实中的恶意软件活动仍集中在少数技术上,这些技术越来越强调规避和持久化。

Red Report 2026 揭示了明显的不平衡:前十名 ATT&CK 技术中有八项现在主要用于规避、持久化或隐蔽的指挥控制。这是 Picus Labs 有史以来记录的最高隐蔽技术集中度,标志着攻击者成功度量的根本转变。

攻击者不再优先考虑即时影响,而是优化最大驻留时间。能够让攻击者隐藏、混入并长期运行的技术现在超过了旨在破坏的技术。

以下是今年报告中最常见的行为:

  • T1055 – 进程注入,使恶意软件能够在受信任的系统进程内部运行,难以与合法执行区分。
  • T1547 – 启动或登录自动执行,确保通过重启和用户登录后仍能持久化。
  • T1071 – 应用层协议,为指挥控制提供“低声通道”,将攻击流量混入正常的网页和云通信。
  • T1497 – 虚拟化和沙箱规避,使恶意软件能够检测分析环境并在怀疑被观察时拒绝执行。

综合效果强大。看似合法的进程使用合法工具在广受信任的通道上悄悄运行。基于特征的检测在这种环境中举步维艰,而行为分析变得日益重要,以识别故意伪装成正常的非法活动。

当加密曾定义攻击时,隐蔽如今定义其成功。

自觉的恶意软件拒绝被分析

当隐蔽成为成功的主要衡量标准,仅仅规避检测已不够。攻击者还必须避免触发防御者用于观察其恶意行为的工具。Red Report 2026 明确显示,虚拟化和沙箱规避(T1497)在 2025 年已进入攻击者技术的顶层。

现代恶意软件在执行前会评估“它所在的位置”,决定是否行动。它们不再仅依赖简单的工件检查,而是评估执行上下文和用户交互,以判断是否真实环境。

报告中举的一个例子,LummaC2 使用几何学分析鼠标移动模式,计算欧氏距离和光标角度,以区分人类交互与自动化沙箱的线性运动。当条件显得人为时,它会刻意抑制任何执行,保持沉默。

这种行为反映了攻击者逻辑的更深层转变。恶意软件不再在沙箱环境中自行暴露,而是设计成在真实生产系统出现前保持休眠。

在以隐蔽和持久为主的生态系统中,“不作为本身”已成为核心规避技术。

AI 炒作 vs. 现实:演进而非革命

随着攻击者表现出日益适应性的行为,人们自然会问人工智能在其中扮演何种角色。

Red Report 2026 数据给出一个审慎的答案。尽管广泛猜测甚至期待 AI 会重塑恶意软件格局,Picus Labs 在 2025 年的数据集中并未观察到 AI 驱动的恶意软件技术有显著增长。

相反,最常见的行为仍是熟悉的。长期存在的技术如进程注入和命令脚本解释器仍主导真实入侵,说明攻击者并不需要先进的 AI 来绕过现代防御。

一些恶意软件家族已开始尝试使用大语言模型 API,但迄今为止其使用范围仍然有限。在观察到的案例中,LLM 服务主要用于检索预定义命令或作为便利的通信层。这些实现提升了效率,但并未根本改变攻击者的决策或执行逻辑。

因此,数据表明 AI 正在被“吸收”进现有作战手法,而非“重新定义”它们。数字寄生虫的机制仍未改变:凭证盗窃、隐蔽持久、滥用受信任进程以及越来越长的驻留时间。

攻击者并非通过发明全新技术取胜,而是通过变得更安静、更耐心、并且越来越难以与合法活动区分而获胜。

回归基础,适应不同的威胁模型

我们已经连续多年发布这些报告,看到许多相同的战术年复一年出现。根本变化在于目标。

现代攻击优先考虑:

  • 保持隐形
  • 滥用受信任的身份和工具
  • 悄悄禁用防御
  • 长期维持访问

通过加倍关注现代安全基础、基于行为的检测、凭证卫生以及持续的对抗性暴露验证,组织可以减少对戏剧性攻击场景的关注,转而防御真正成功的威胁。

准备好针对数字寄生虫进行验证了吗?

虽然勒索软件头条仍占据新闻周期,但 Red Report 2026 表明,真正的风险越来越在于静默、持久的妥协。Picus Security 专注于验证防御针对攻击者当前使用的具体技术,而不仅仅是最吵闹的技术。

准备好查看数字寄生虫模型背后的完整数据吗?

下载 Picus Red Report 2026,探索今年的发现,了解现代对手如何在网络内部停留的时间比以往更长。

注:本文作者为 Picus Security 的安全研究工程师 Sıla Özeren Hacıoğlu。