2024年度总结

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

除了做点安全研究，别的我好像什么都不会，注定一条道走到底

时光荏苒，2024年已经接近尾声，又到了写年度总结的时候了，每年的年底笔者都会坚持写一个年度总结，算是对自己这一年的回顾与总结，人生短短几十年，一年过完又一年，年纪越大，越懂得要珍惜自己的时间，不要虚度自己的光阴，每天每月每年都要去做一些自己喜欢的事，做一些让自己开心的事就好了。

2023年对于国内网络安全行业来说应该是艰难的一年，国内各大安全厂商安全业务增长放缓，部分安全厂商开始缩减成本，采取了一些降本增效的措施，包括高管降薪、收缩业务、精减人员等等。

2024年好像这一情况并没有改善，安全问题好像越来越多，但国内安全厂商的业务增长并没有明显增加，这究竟是什么原因导致的呢？其实主要原因，笔者简单总结一下，前几年勒索病毒大爆发安全迎来了高速发展，很多人当时其实根本不懂怎么做安全，以及做安全的价值是什么就瞎搞一通，反正行业在高速发展期，就像雷军说的风来了，猪都能吹起来，同时听了一些什么机构的预测，以为安全市场会迎来大爆发，又瞎招了大批不懂安全的人进来瞎搞，其实那些机构都是瞎扯淡。

最近这几年，安全的发展平稳了，风停了，潮水退去了，才发现不管是产品，还是服务都没有什么核心竞争力，高速发展的时候没有沉下心来打磨自己的产品，提升自己的安全能力和安全服务水平，市场竞争力不强，所以出现现在的困境。

其实安全行业一直是这样的，它就是一个长期的过程，它会一直存在，安全行业本身也不是一个暴利的行业，又不是搞黑灰产，还是要踏踏实实，越是在发展平稳期，越是需要沉下心来，努力提升自身的安全能力，打磨自己的安全产品，提升自身的安全服务，更需要回归安全的价值，回归客户，一切以客户为导向，做客户需要的东西，而不是自己在那里瞎搞些新东西，今天搞搞这个，明天又搞搞那个，最后都不是客户要的，回归客户，沉下心来做好自己该做的事，打磨自身的安全产品和服务，拥有自己的核心能力(核心竞争力)，然后只需要耐心等待，是目前国内所有安全厂商都需要做，也唯一能做的事。

2024年笔者的公众号仍然以原创安全分析技术分享为主，大家做公众号，要么做流量，要么做技术，做流量很简单，啥火就发啥，啥火就蹭啥，或者去翻译一些国外的热点文章就行了，最好是行业出现的一些新闻八卦抢着发就行了，也有一些公众号不做原创技术，做一些行业分析和趋势解读，也做的还可以，流量也不错，如果想做技术就只能老老实实花费自己的时间和精力去写点原创技术文章，这样的文章，愿意耐心看的人少，看懂的人也不会很多，就不用过于追求阅读量，也没办法玩流量，需要的人自然会主动看，主动学习，所以纯技术类的文章只发给需要的人看，就跟做产品和服务一样，只需要找准你的目标客户群体就行了，是想做流量，还是做技术，看公众号运营作者个人想法以及技术水平了，都可以。（虽然笔者的公众号大多数以原创安全技术分析为主，不过流量还算可以，可能因为笔者发的一些东西对大多数真心想做安全的从业者还有一点点用处吧，另外还有一种公众号，专门在网上到处抄别人的文章发到自己公众号，这种就懒得说了）

之前笔者喜欢把自己写的一些技术文章转发到一些群，后面有人说笔者引流广告啥的，哈哈哈哈，懒得理论，现在这个圈里啥人都有，很多人一点技术都不懂的，也都在这个圈里混，天天就是各种扯蛋吹水，专门为圈里的一些水货们搞流量，真以为每个人都跟他们一样，喜欢搞些乱七八糟的东西，玩流量啥的，也有些人会一点点皮毛就喜欢在那里装逼，好像啥都会，谈起各种名词概念头头是道，好像啥都很懂似的，说起来就是这个简单，那个简单，让他真正自己会去分析点东西，做点啥，就啥也不会了，现在这个圈里很多嘴炮型选手，实干型选手不多了。

笔者也没必要浪费时间去跟这些人解释啥，也不怕去得罪谁，笔者脾气一直这样不会拐弯摸角的，在安全圈混了这一二十年，什么样的人都见过，咱这一大把年纪了，也没必要去讨好谁，奉承谁，更没必要去跟他们扯些什么，反正这些人也不懂，还浪费我时间，不如多花点时间做好自己的事，多学点技术，多研究一些东西，而且我也不是吃饱撑着没事做，所以后面就都懒得发一些群里了，有些娱乐群直接就退了，现在笔者大多数时间都用在恶意软件的安全技术研究上面，因为时间太宝贵了，需要研究的东西还很多，不是没事做了，真没必要浪费时间在一些没必要的人和事上面，专注做好自己的事就行了。

目前公众号的所有的技术分析文章会首发在先知论坛，公众号发布之后只发在笔者的安全技术交流群和朋友圈，其他群一概不发，爱看不看，此前笔者想着多发几个群，可以让更多需要的人看到，后面想想其实没必要发一些群，如果学习安全分析技术还要人天天逼着学，也没啥意义，我又不是搞流量，专业技术的东西本身也没几个人愿意看，想学习的，自然会看，想更深入学习的，会自己去分析一遍，不想学的，真没必要了，所以如果想学安全分析技术的，就关注笔者的公众号，实时订阅就行了，如果想看娱乐八卦新闻之类的，就不用关注了，如果对恶意软件分析和研究感兴趣，想跟笔者随时交流的，可以微信联系笔者，加入笔者的安全技术交流群（付费加入）。

十年饮冰，难凉热血，脚踏实地，行稳致远，人需要沉淀与积累，才能变得更强大，2024年笔者仍然专注于全球流行恶意软件的分析与研究工作，同时重点关注全球企业面临的三大主流安全威胁，包含流行恶意软件攻击、国内外黑产攻击、全球APT攻击。

恶意软件

黑客与恶意软件，是一场网络安全持久战，只要存在黑客组织，他们就会持续不断的开发更新各种各样的恶意软件，恶意软件是黑客组织最常用的攻击武器，也是全球大多数顶级黑客组织获利的重要渠道之一，这些恶意软件被应用到各种网络安全攻击活动当中，笔者总结了2024年比较流行的恶意软件，如下所示：

黑产组织

去年使用“银狐”黑客工具的黑产团伙非常活跃，今年这些黑产团伙仍然非常活跃，而且仍然在不断的更新自己的攻击样本，采用各种免杀方式，逃避安全厂商的检测，免杀对抗手法一直在升级，同时银狐类黑产组织开始针对虚拟货币进行钓鱼攻击，盗取受害者虚拟货币，笔者今年针对“银狐”黑产组织，分析了其多个不同的加载器母体样本，其中使用了多种反调试，反沙箱，加密混淆对抗技术，同时最新的样本还使用了正常的数字签名，以逃避安全厂商的检测。

今年又出现一个新的黑产组织，“黑猫”黑产组织其使用的核心PayLoad与“银狐”黑产组织使用的PayLoad不一样，需要持续关注，同时还有其他两个黑产组织，笔者也做了相应的跟踪分析，如下所示：

正所谓野火烧不尽，春风吹又生，有人的地方就有江湖，有江湖的地方，只要有利益的存在，就会有对抗与斗争，也就会存在黑与白，有攻必有防，有矛必有盾，黑产组织今年似乎比去年更加活跃，更新频率也更快了，安全对抗会一直持续存在，并不断升级，有攻必有防，攻与防就类似于矛与盾的关系，安全研究人员需要持续不断的提升自己的安全能力。

高级威胁

2024年一些常见的APT组织也从未停止过相关的攻击活动，其中Lazarus APT组织今年针对虚拟货币的攻击活动也非常频繁，去年CNC、Bitter、Patchwork等APT组织也一直在针对国内进行一些组织和机构进行攻击活动，这些APT组织开展攻击活动的目标就是通过各种不同的恶意软件窃取这些组织和机构重要的科研成果和核心数据，笔者今年主要关注的几个APT组织，如下所示：

技术分享

2024年笔耕不辍，做安全和写作是笔者的两大爱好，唯有坚持，坚持，再坚持，时间都是挤出来的，很多时候，时间也是被自己白白浪费掉的，今年笔者基本上保持在每周一篇的输出节奏，详细分析研究过的人就知道，公众号发的每一篇样本技术分析文章，其实都是包含一定难度和一些相关技术点，有些样本分析调试起来会有点困难，需要花费一些时间和精力，但如果能坚持，跟着笔者的文章，把笔者文章上面的每个样本都自己动手调试一遍，那你一定可以学到很多东西，你的分析和调试技术也能得到飞速的提升！

笔者之前就说过做安全不管你做哪个方向就是要多动手，看别人的分析文章能学到的东西真的非常有限，只有自己动手去详细分析一遍才能真正学到东西，很多人经常会遇到这种情况，怎么看别人的文章好像是那么回事，看起来好像也不难，这样那样一下就完了，自己一动起手来，就好像不行，连入门水平都达不到，其实就是平时锻炼少了，很多东西看起来好像很容易，其实里面包含很多东西，并不是那么容易的，如果想练就真功夫就需要多动手，多分析，多多积累，做到厚积薄发！

2024年，笔者公众号一共分享了差不多56篇文章，其中黑产组织技术分析21篇，恶意软件技术分析12篇，APT组织攻击技术分析7篇，红队样本技术分析11篇，其他文章5篇，如下所示：

笔者从恶意软件、红队样本、黑产活动、APT攻击、以及特定的针对虚拟货币的攻击活动，以及笔者从事安全分析行业的一些经验、历程与想法等几个方向做为分类分享笔者今年的一些技术文章，大家可以去学习对应分类下面的技术文章。

安全之路

谈了笔者这些年运营安全分析与研究这个公众号的一些历程，以及年安全圈存在的一些现象。

带大家一起来回顾一下恶意软件这些年的发展历史，以及恶意软件未来的发展趋势预测和研究意义，同时笔者也给大家分享一些相关恶意软件的学习资料，因为恶意软件包含的东西实在太多了没办法通过一两篇文章就能介绍很完整，笔者研究了十几年，每天都还在学习研究各种新型恶意软件的攻击技术，因为恶意软件一直在不断的更新变种，需要持续不断的分析与研究。

针对一些恶意软件的技术分析

通过github投毒的攻击事件之前已经发生过不少，笔者此前也分析过好几例，有些网友也给笔者发过一些相关的攻击样本，大家从网上下载的各种安全工具或免杀工具一定不要随便在自己机器上运行，很有可能这些工具就自带后门木马，偷偷摸摸就给你安装了一个后门在你电脑上监控你。

详细跟踪分析了通过BRC4恶意软件进行的攻击活动，通过BRC4安装其他恶意软件的过程。

制作了一个视频对Chaos勒索病毒加密和解密过程进行了完整的演示，可以用于给客户演示勒索病毒攻击过程，以及解密。

该攻击活动的黑客利用一家墨西哥能源公司的网站和一家德国医疗护理的网络作为其载荷服务器，猜测黑客先对这两家公司的网站进行了渗透测试，入侵了这两家公司的网站后台服务器，然后将恶意脚本和恶意程序上传到这两家网站服务器上，再通过脚本从这两家网站后台服务器上下载恶意脚本和恶意程序并加载执行，笔者对该攻击活动进行了详细的分析。

一款新型的勒索病毒SWIFT，并对这款新型的勒索病毒进行了详细分析。

从去年年底开始，全球范围内越来越多的攻击者开始使用MSIX类型的安装包传播各种恶意软件，这些MSIX安装包样本大多数包含正常的数字签名，下面针对一些MSIX安装包样本进行详细分析。

在逛某论坛的时候发现一例Python Stealer窃木马，下载回来研究之后发现有点意思，分享出来供大家参考学习，切记不管是使用什么程序或工具，一定要从官方下载，千万不要随意打开和使用非官方的程序或工具。

DarkGate恶意软件于2018年首次被曝光，它是一款商业加载器，其功能包括下载文件并执行到内存、隐藏虚拟网络、键盘记录、信息窃取和权限升级等，一般使用合法的AutoIt程序加载运行AutoIt加密脚本，针对DarkGate最新的一批攻击样本整个攻击链进行了详细分析。

WikiLoader是一款新型恶意软件，它于2022年12月首次被曝光，由TA544黑客组织进行传播，攻击者利用WikiLoader加载Ursnif恶意软件，攻击意大利组织，该恶意软件一个非常复杂的下载器，包含多层ShellCode代码，同时通过加载和修改注入系统DLL模块来执行恶意ShellCode代码，笔者针对最新的版本样本进行详细分析。

逛malware-traffic-analysis网站，发现有一个新的Loader比较有意思，利用WORD中包含的恶意宏代码加载SSLOAD恶意软件，然后下载安装CS木马。

KoiStealer是一种新型的窃密类木马，攻击者主要通过钓鱼邮件进行传播，该窃密木马能获取受害者屏幕截图、浏览器中存储的受害者的相关密码、Cookie等数据，然后利用盗取的这些数据，对受害者进行更进一步的诈骗攻击活动，笔者捕获到该木马最新的攻击活动，对该攻击活动攻击链样本进行了详细分析。

Linux UEFI BootKit样本分析，可以学习针对Linux BootKit样本的分析思路与技巧，有兴趣的可以看看。

针对一些红队样本的技术分析

对一款对抗型攻击样本的详细分析，免杀方面做的还可以，应该是某红队的样本。

群里有朋友私信我，说面试的时候需要分析一个样本，最后没有过，说只分析停留在外壳代码，没有深入进去，让我有空帮忙看看，简单看了一下这个样本，发现有点意思，给想从事恶意软件分析的朋友一些参考。

使用Python打包的样本，可以学习如何分析PYC字节码代码。

针对一个红队的强对抗型样本进行了详细分析，里面包含很多免杀对抗技术。

详细分析了某个红队的攻击样本，样本中使用了大量混淆代码，防止分析人员对样本进行详细分析，同时样本通信采用了DNS隧道通信技术。

详细分析了一个钓鱼免杀样本，可惜服务器被关闭，拿不到后面的PayLoad了。

针对一个红队样本的详细分析，里面包含一些高级技巧，使用了一些有趣的手法，同时最后使用了一个开源的C2工具，值得学习。

针对一个VT上免杀样本的详细分析。

样本通过JVM技术加载ShellCode在内存中执行，然后ShellCode在内存中解密出一个CS木马。

在威胁情报平台上发现一例有趣的CS钓鱼样本，伪装成京东金融候选人登记表信息，自动化沙箱没有跑出该CS样本的C2配置信息，对该样本进行了详细分析。

微信朋友发给笔者一个样本，说沙箱跑不出来，让笔者帮忙看看，分析完之后，发现有点意思，分享出来供大家参考学习。

针对一些黑产组织攻击样本的技术分析

详细分析了银狐黑产组织的攻击样本，这批样本使用了多个不同的对抗手法，包含代码混淆、加壳、反虚拟机、反调试等技术。

针对银狐黑产组织一个全平台免杀的钓鱼样本的详细分析。

针对金眼狗最新攻击样本的详细分析，同时通过威胁情报关联到更多的攻击样本，对比样本进行了关联分析。

针对SugarGh0st黑客组织的攻击样本进行了详细分析，对比之前的样本，主要在免杀方面进行了更新，加载脚本变成了VBS脚本，利用Windows登录自启动来自动加载执行DLL恶意模块，同时增加了相应的免杀技术，对DLL文件进行增肥免杀，加壳等技术手段以逃避安全软件的检测。

针对银狐黑产组织的最新攻击样本进行了详细分析。

针对银狐的最新攻击样本使用BYOVD技术进行了详细分析。

针对银狐最新的母体攻击样本进行了详细分析。

笔者在某社交论坛上发现一例黑产组织捆绑LetsVPN、TG等安装程序进行攻击活动的最新攻击样本，该样本里面中使用了一些比较有趣的对抗技巧，笔者对该攻击样本进行了详细分析，分享出来供大家参考学习。

针对银狐的最新免杀攻击样本的详细分析，里面包含很多免杀技术。

针对银狐黑产组织最新的远控服务器加载器的详细分析。

笔者跟踪到“银狐”黑产组织的最新的攻击样本，使用了MSC文件进行传播，对该最新的攻击样本加载母体进行了详细分析。

银狐黑产组织使用虚拟Telegram进行钓鱼攻击活动，对该攻击样本进行了详细分析。

跟踪到一例谷堕大盗黑产组织最新的攻击样本，该攻击样本中使用了多种对抗技术，对该样本进行详细分析。

发现一批新的钓鱼攻击活动，黑产团伙直接使用AsyncRAT和XWorm等远控黑客工具，对受害者进行远程控制，然后进行网络诈骗等攻击活动，笔者对这批样本进行详细跟踪分析。

银狐黑产组织一直在更新自己的攻击样本，基本上每隔一段时间就会出现一些新的攻击样本，笔者近日在沙箱平台上发现一例最新的银狐黑产组织加载器攻击样本，对该加载器样本进行了详细分析。

去年使用“银狐”黑客工具的黑产团伙非常活跃，今年这些黑产团伙仍然非常活跃，而且仍然在不断的更新自己的攻击样本，采用各种免杀方式，逃避安全厂商的检测，免杀对抗手法一直在升级，近期一些朋友通过微信发给笔者几个使用“银狐”黑客工具的黑产团伙的最攻击样本让笔者看看，笔者针对这些攻击样本的前期加载过程进行了详细分析。

笔者捕获到一例银狐黑产组织使用VPN破解版安装程序作为诱饵传播最新的加载器后门，加载银狐黑产工具，对该攻击样本进行了详细分析。

笔者跟踪捕获到一例使用有效数字签名证书的银狐最新样本，对该样本母体加载器进行了详细分析，调用函数都被隐藏执行的时候动态获取函数地址，使用了一些加密手法隐藏木马信息，同时里面一些反沙箱的操作有点意思，可以看出这个新样本黑产组织又花了一点心思。

针对虚拟货币的窃密攻击活动分析

从某钓鱼网站下载了相关的攻击样本，对该攻击样本进行了详细分析。

TG群、暗网是黑灰产的聚集地，也是钓鱼攻击的重灾区，搞钱也是大多数黑产组织最直接的攻击目的，有利益的地方就有黑灰产，最近一些年随着WEB3技术以及数字货币的流行与发展，产生了很多新型的产业链，同时也催生出了很多新型的黑客攻击活动，例如挖矿、勒索、盗币等，银狐黑产组织针对OKX数字货币交流群进行钓鱼攻击，对该攻击样本进行了详细分析。

通过捆绑ToDesk安装程序加载远控后门盗取数字货币等信息，样本具有一定的分析对抗，值得学习。

APT相关的技术分析文章

国外安全研究人员曝光了一例朝鲜Lazarus APT组织通过供应链攻击其他国家国防部门潜艇开发计划的研究材料，笔者跟踪分析了攻击活动，并详细分析了此次攻击活动中下载使用的攻击武器NukeSped恶意软件。

国外安全研究人员曝光了一个Patchwork APT组织攻击样本，该样本进行了详细分析。

该组织使用了多种攻击手法，包括但不限于邮件结合钓鱼网站、邮件结合木马附件、单一投放木马等，其除了使用自身的特种木马外，疑似还使用了一些商业、开源木马，其投递样本基本都使用rar或者zip进行压缩，笔者最近跟踪到该组织最新的攻击样本，对该批样本进行了详细分析。

随着全球网络安全战的爆发，各种Wiper类型的恶意软件被大量应用到了国与国之间的网络战，成为网络战的重要攻击武器，专门针对敌对国的基础设施进行网络攻击行动，破坏敌国的各种关键基础设施，此前俄乌网络战的期间就使用了大量的Wiper攻击武器，笔者针对以哈网络战中使用的几种Wiper攻击武器进行了详细分析。

Water Hydra APT组织于2021年首次被公开曝光，它主要针对金融行业进行攻击活动，对全球的银行、加密货币平台、外汇和股票交易平台、赌博网站和赌场发起攻击，笔者针对该APT组织的最新的攻击链样本进行了详细分析。

笔者在威胁情报平台上跟踪到海莲花APT组织最新的一批攻击样本，对该批攻击样本进行了详细分析，并提取了相关的威胁情报信息，分享出来供大家参考学习。

笔者通过分析和研究了差不多一百多个相关的样本，包含不同平台，针对3CX双供应链攻击事件进行深度的分析和溯源，详细介绍了该APT攻击事件分析溯源的完整细节，是不可多得的完整的APT分析溯源参考材料，有兴趣的可以参考学习一下。

总结结尾

2024年虽然已经结束，然而安全的路还很长，各种恶意软件、黑灰产、APT攻击明年仍然是全球企业面临的最大的安全威胁，同时也是全球网络犯罪的最主要经济来源，是安全厂商最需要密切关注和研究的方向，未来攻击者仍然会不断的开发新的恶意软件，研究各种新的攻击技术，使用新的攻击手法，进行更复杂的攻击活动，将会不断增加安全威胁分析和情报人员分析溯源，应急响应的难度，安全研究人员需要不断提升自己的安全能力，更好的应对未来各种威胁挑战，安全对抗会持续升级，这是一个长期的过程，也正如笔者一直说的，做安全没有终点，做安全是一个过程，因为永远没有结果，各种网络安全威胁会不断变化和升级，我们需要快速应对这些威胁。

做安全有时候确实很累，很辛苦，但既然选择了这条道，唯有坚持走下去了，俗话说的好，自己选的路，跪着也要走完，不管别人有没有放弃，自己不放弃自己的选择就行了，很多时候，不管遇到什么困难，我们只能坚强的去抗过一切，雨过天晴，只要我们坚持努力，相信未来会越来越好的，自己的路，得自己走，自己的梦，得自己追，自己的幸福生活，得靠自己努力奋斗得来，人最大的靠山就是自己，人生的底牌永远也是自己。

笔者也快到不惑之年，早已明白很多东西不是我们能左右的，每个人的出身不同，背景不同，选择也会不同，但都有自己的路要走，很多时候，做自己该做的事，走自己该走的路。

2023年很艰难，2024年也很艰难，2025年也不一定会好，不管未来怎样变化，我们别无选择，唯有沉住气，坚持做好安全，苦干实干，不管是安全厂商，还是安全从业者，都应该沉下心来，去好好打磨自己的核心竞争力，专注专业，默默努力去做好该做的事，然后耐心等待即可，正所谓尽人事，听天命。

安全行业需要做的事，真的太多了，根本没有时间去扯蛋，抓住核心，不断打磨，多多实干，最后才能真正做好安全。

2024年已过，有一些收获也有很多遗憾，但是人生不就是这样吗？从来就没有完美的人生，更没有一帆风顺的人生，只有不断努力前行，积极向上的人生，人生总是充满困难与挑战，这就是人生常态，2025年，不管遇到什么困难，希望大家继续保持积极乐观的心态，努力奋斗，专注做好自己该做的事，就一定会收获满满。

最后祝大家2025年，身体健康，有所收获！

笔者一直从事与恶意软件威胁情报相关的安全分析与研究工作，包含各种各样的不同类型的恶意软件，通过深度分析和研究这些恶意软件，了解全球黑客组织最新的攻击技术以及攻击趋势。

做安全，不忘初心，与时俱进，方得始终！

安全分析与研究，专注于全球恶意软件的分析与研究，追踪全球黑客组织攻击活动，欢迎大家关注。

王正

笔名：熊猫正正

恶意软件研究员

长期专注于全球恶意软件的分析与研究，深度追踪全球黑客组织的攻击活动，擅长各种恶意软件逆向分析技术，具有丰富的样本分析实战经验，对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究