Elastic Security Labs 连续第四年发布《2025 年全球威胁报告》,对真实世界的用户遥测数据进行提炼,为不断变化的威胁形势提供重要见解。今年的报告深入探讨了人工智能如何重新定义威胁,强调了对手正在加强努力的领域,并为企业主动应对这些新兴风险提供了可行的战略。
主要亮点
-
Windows 系统上敌人的优先级正在发生变化。现在,"执行 "这一战术类别所占的份额几乎是之前的两倍,超过了 "防御规避",成为最重要的战术。
-
云攻击面高度集中。超过60% 的所有云安全事件都可归结为三个攻击目标:初始访问、持久性和凭证访问。
-
敌人正在利用人工智能降低网络犯罪的准入门槛。我们发现通用威胁有所增加,这一趋势可能是受对手使用大型语言模型(LLM)快速生成简单但有效的恶意加载程序和工具的影响。
-
浏览器凭据被盗已经产业化。我们对 15 万多个恶意软件样本的分析表明,八分之一以上的恶意软件旨在窃取浏览器数据。这并不是孤立的使用;这些凭证是助长访问中介经济的原材料,为其他攻击者入侵企业云账户提供了源源不断的密钥。
我们从报告中学到了什么
安全领域正在经历一场快速变革。通过简化信息合成和自动化工作流程,敌人以人工智能为驱动的威胁创新正在加速发展。这导致对手的能力更加多样化,并出现了新的间接获取途径。随着这些技术的普及,人工智能在网络战中的作用预计将发生重大转变。
本报告揭示了真实世界中的威胁活动,揭示了当今对手取得成功的方式发生了根本性转变。它还包括一个新的部分,描述了我们从非遥测来源获得的可见性,强调了从外部看到的恶意软件系列和威胁行为。
访问中介越来越多地使用信息窃取器来保持与集体防御工作的距离,从而大大增加了通过云存储和其他服务暴露凭证的风险。在观察到的所有恶意软件样本中,木马软件约占 61% ,是主要的传播者;ClickFix 方法是传播木马和信息窃取程序最常用的技术之一。超过 24% 的 Windows 恶意软件样本代表了命名的信息窃取代码系列。
多年来,防御回避技术一直稳居榜首。这要归功于检测和响应能力的提高,而检测和响应能力的提高促使对手转向具有强大漏洞开发能力的边缘设备。执行的技术超过 32% ,其次是防御规避,为 23% ,初始访问约为 19% 。这些较大的模式共同揭示了攻击者正在投资于以最小的曝光率获得廉价的立足点,并迅速运行其他恶意代码。脚本和基于浏览器的技术以及 SaaS 入侵尝试向我们展示了这些威胁趋势的另一方面,并突出了许多企业可以改进防御的领域。
BANSHEE、EDDIESTEALER 和 ARECHCLIENT2 的威胁简介展示了 Elastic Security Labs 团队如何利用信息窃取程序发现一些最受欢迎的新病毒。REF7707是一个涉及FINALDRAFT、PATHLOADER和GUIDLOADER恶意软件家族的威胁活动,它提供了有关间谍动机威胁如何利用微软的GraphAPI进行C2逃避防御的详细信息。如果没有我们客户共享的可见性,这些威胁在暴露之前可能会造成更大的影响。
借助 Elastic 浏览人工智能时代的威胁环境
Elastic Security Labs致力于为情报界提供重要、及时的安全研究。这份报告揭示了威胁格局的变化--人工智能正不断成为敌我双方的工具。有了 Elastic 作为您的合作伙伴,这份《2025 年 Elastic 全球威胁报告》将使您能够就如何以最佳方式应对这些不断变化的威胁做出明智的决策。
本博文所描述的任何特性或功能的发布及上市时间均由 Elastic 自行决定。当前尚未发布的任何特性或功能可能无法按时提供或根本无法提供。
在这篇博文中,我们可能使用或提及了第三方生成式 AI 工具,这些工具由其各自的所有者拥有和运营。 Elastic 对第三方工具没有任何控制权,我们对其内容、操作或使用不承担任何责任,也不对您使用此类工具可能产生的任何损失或损害承担任何责任。 在将人工智能工具用于个人、敏感或机密信息时请务必谨慎。 您提交的任何数据都可能用于人工智能训练或其他目的。 无法保证您提供的信息一定会安全或保密。 在使用任何生成式 AI 工具之前,您应该熟悉其隐私惯例和使用条款。
Elastic、Elasticsearch 及相关标志是 Elasticsearch N.V. 在美国和其他国家/地区的商标、徽标或注册商标。所有其他公司和产品名称均为其相应所有者的商标、徽标或注册商标。