全球威胁情报报告

内部威胁是BlackBerry 在自己的客户群中识别和防范的威胁。外部威胁（将在下一节介绍）是指第三方报告的威胁，如行业新闻出版物、安全供应商或政府机构报告的威胁。

类型偷窃者

目标：电信、医疗保健

地区拉丁美洲（LATAM）、北美

Vidar 是一种信息窃取程序，自 2018 年以来一直存在。Vidar 可能是曾经声名狼藉的信息窃取程序 Arkei 的分支，它一直非常活跃，经常通过恶意软件即服务（MaaS）在地下论坛上出售。该恶意软件非常灵活，可以通过多种方式投放到受害者的设备上，例如通过网络钓鱼文件、恶意广告（传播恶意软件的广告）以及通过其他恶意软件进行二次传播。2024 年早些时候，我们发现Vidar 还被用于攻击关键基础设施。在本报告所述期间，我们观察到 Vidar 主要攻击电信和医疗保健行业，尤其是在拉丁美洲和加勒比海国家，同时也观察到它以北美的医疗保健为目标。

类型下载器

目标：食品和农业、医疗保健

地区 拉美、北美

SmokeLoader 自 2011 年开始运行，是二级恶意有效载荷（包括各种木马、信息窃取程序甚至勒索软件）的主要交付机制。作为 MaaS 出售的 SmokeLoader 还可以获取用户凭据。由于它能够部署额外的恶意软件，因此受到一些知名威胁组织的青睐。2024 年 5 月，欧洲刑警组织协调开展了针对恶意下载者的 "终局行动"。执法部门摧毁或中断了 100 多个恶意软件服务器，查封了 2000 多个域名。尽管这些行动严重削弱了 SmokeLoader 背后的威胁组织的行动，但本季度在北美的医疗保健行业和拉美及加勒比海地区的食品和农业行业仍发现了与该恶意软件相关的二进制文件。

类型偷窃者

目标：电信、食品和农业、医疗保健

地区拉美、北美

RisePro是一种多功能信息窃取器，通常在地下论坛上作为 MaaS 出售。最初发现 RisePro 是在 2022 年末。随后，在 2023 年底和 2024 年初，BlackBerry 发现RisePro 的活动急剧增加。

RisePro 信息窃取程序可以通过多种方式投放到受害者的设备上，通常是通过恶意链接或电子邮件附件。它还通过 PrivateLoader（一种按安装付费的恶意软件，通常被用作恶意软件分发服务）进行部署。

一旦进入受害者的设备，RisePro 就会与其命令与控制 (C2) 服务器通信，在那里接收指令以窃取数据、投放额外的恶意软件并从设备中流出信息。本季度，RisePro 被观察到以拉丁美洲和加勒比海国家的食品、农业和电信公司以及北美的医疗保健服务为目标。

类型下载器

目标：教育、交通、医疗保健、食品和农业

地区： 亚太地区、北美

GuLoader（又称 CloudEyE）是一款著名的下载程序，可传播其他恶意软件。自 2020 年以来，GuLoader 背后的威胁组织增加了反分析技术，使安全服务部门更难识别其攻击或制定应对措施。GuLoader 通常与其他恶意软件协同工作，即FormBook、Agent Tesla和Remcos 等信息窃取程序。

在本报告周期内，GuLoader 似乎主要针对北美的运输、食品和农业以及教育机构。不过，亚太地区国家的运输公司也发现了 GuLoader 二进制程序。

类型偷窃者

目标：粮食和农业、能源、金融

地区 亚太地区、拉丁美洲和加勒比海地区、北美

Lumma Stealer（又名 LummaC2）是一种基于 C 语言的信息窃取程序，它已连续两个报告期以拉丁美洲和加勒比海地区的食品和农业公司以及亚太地区的能源行业为目标。Lumma Stealer 是一种 MaaS，专门外泄登录凭证和银行详细信息等敏感数据，以实施银行欺诈。此外，Lumma Stealer 还以北美和亚太地区的金融服务公司为目标。

内部威胁是BlackBerry 在自己的客户群中识别和防范的威胁。外部威胁（将在下一节介绍）是指第三方报告的威胁，如行业新闻出版物、安全供应商或政府机构报告的威胁。

类型机器人/偷窃者

目标：制造业、商业服务、资本货物

地区：欧洲、中东和非洲 (EMEA)、亚太地区、拉丁美洲和加勒比海 (LATAM)

Amadey 首次出现于 2018 年，是一种模块化恶意软件，目前仍活跃在威胁领域。通过迭代变化，它在通信方面的最新进展使其保持了相关性。Amadey 可以收集情报并对受害者机器进行轮询，然后将数据外流到其 C2。它经常被用作僵尸网络来大规模传播其他恶意软件，并经常协助部署信息窃取程序和恶意加密程序。

在本报告所述期间，阿玛迪斯的目标市场是欧洲、中东和非洲地区、亚太地区以及拉丁美洲和加勒比地区的制造业和商业服务业，特别是拉丁美洲和加勒比地区的资本货物服务业。

类型下载器

目标：制造业、商业服务业

地区亚太地区、拉丁美洲和加勒比海地区、北美

PrivateLoader 是一种广泛存在的恶意软件传播者，它提供按安装付费的恶意软件传播服务。PrivateLoader 通常通过托管 "破解 "软件的虚假网站传播，可以下载各种恶意有效载荷，包括 RisePro 等各种信息窃取程序。PrivateLoader 使用一种被称为 SEO 中毒的技术来提高其虚假网站的知名度。这种技术欺骗用户，让他们认为搜索结果的前几位是最可信的，当人们没有仔细查看搜索结果时，这种技术就会非常有效。在本报告所述期间，PrivateLoader 将目标锁定为北美的制造业以及拉丁美洲和加勒比以及亚太地区的商业服务业。

类型远程访问木马

目标：制造业、食品零售业、商业服务业

地区亚太地区、拉丁美洲和加勒比海地区、北美

Agent Tesla 是一个著名的远程访问木马（RAT），专门从事信息窃取，自 2014 年以来一直以使用基于 Microsoft Windows 操作系统的用户为攻击目标。这种商业恶意软件通过地下论坛销售，并作为 MaaS 产品进行推广，以窃取敏感数据和凭证、记录键盘输入和捕获受害者屏幕截图而著称。它经常被用于网络钓鱼活动，并作为木马破解软件托管/分发。

本轮特斯拉特工的目标行业包括亚太地区、拉丁美洲和加勒比以及北美国家的制造业、食品零售业和商业服务业。

类型偷窃者

目标：食品零售业

地区：亚太地区

FormBook 及其进化版 XLoader 是复杂的恶意软件家族，既是复杂的信息窃取程序，也是其他恶意软件的多功能下载程序。自诞生以来，这些恶意软件家族一直保持着顽强的生命力，并不断发展，通过反虚拟机技术、进程注入和自定义加密例程来逃避和规避网络防御。

XLoader 通常作为 MaaS 出售，可以从浏览器、电子邮件客户端和一系列其他应用程序中窃取数据。本季度发生了多起与 XLoader 有关的网络事件，目标都是亚太地区国家的食品零售商。

类型下载器

目标：商业服务、食品零售、制造业

地区：亚太地区、欧洲、中东和非洲地区、北美洲

GuLoader 又称 CloudEyE，是一种著名的下载器，在许多攻击中被用作其他恶意软件的传输机制。自 2020 年以来，，它经历了反复的变化，变得更加复杂，并集成了更多的反分析技术。GuLoader 通常与其他恶意软件协同工作，即 FormBook、Agent Tesla 和 Remcos 等信息窃取程序。

本季度，GuLoader 的目标客户包括北美的制造业、亚太地区的食品零售商以及欧洲、中东和非洲以及亚太地区的商业服务业。

类型偷窃者

目标：商业服务、资本货物

地区：亚太地区

RisePro是一种多功能信息窃取器，通常在地下论坛上作为 MaaS 出售。最初发现 RisePro 是在 2022 年末。随后，在 2023 年底和 2024 年初，BlackBerry 发现RisePro 的活动急剧增加。RisePro 可以通过多种方式投放到受害者的设备上，通常是通过恶意链接或电子邮件附件。它还通过 PrivateLoader 进行部署，这是一种 PPI 恶意软件，经常被用作恶意软件分发服务。一旦进入设备，RisePro 就会与其 C2 服务器通信，并在那里接收指令以窃取数据、投放其他恶意软件或从受害者设备中窃取信息。

类型偷窃者

目标：制造业、食品零售业、商业服务、资本货物

地区：亚太、中东、拉美

Vidar是一个从 2018 年开始出现的信息窃取者，可能是名为Arkei 的信息窃取者的分支。Vidar 一直非常活跃，经常通过地下论坛作为 MaaS 出售。该恶意软件非常灵活，可以通过多种方式投放到受害者设备上，例如通过钓鱼文件、恶意广告（传播恶意软件的广告）以及通过其他恶意软件进行二次传播。在本报告所述期间，Vidar 瞄准了许多商业企业行业，包括欧洲、中东和非洲地区的制造业、亚太地区的食品零售业、拉丁美洲和加勒比海地区的资本货物以及拉丁美洲和加勒比海地区及亚太地区的商业服务业。

除了我们在内部调查和发现中提到的威胁行为者之外，本季度还有其他几个团体发起了各种网络攻击。这些组织通常使用一系列工具和恶意软件来实施非法活动。在此，我们重点介绍我们的威胁研究和情报团队在本季度发现的一些最具影响力的攻击者和著名工具。

BlackSuit 是 2023 年 4 月出现的一个私人勒索软件行动。该组织采用多方面的勒索策略，既涉及受害者数据的外流，也涉及数据的加密。他们还维护暗网数据泄露网站，公开发布从违规受害者处窃取的机密数据。BlackSuit 以各行各业各种规模的组织为目标，包括医疗保健、教育、信息技术 (IT)、政府、零售和制造业。

BlackSuit 的攻击方法包括钓鱼电子邮件、恶意 torrent 文件以及利用 VPN 和防火墙的漏洞。该组织混合使用 Cobalt Strike、WinRAR、PuTTY、Rclone、Advanced IP Scanner、Mimikatz、PsExec、Rubeus 和 GMER 等合法和恶意工具进行横向移动和凭证转储。它们的勒索软件有效载荷设计用于针对 Windows® 和 Linux® 操作系统，在某些情况下还针对 VMware ESXi 服务器。

美国卫生与公众服务部强调了 BlackSuit 与 Royal 勒索软件之间的相似性，暗示BlackSuit 可能源自 Royal 的创建者、臭名昭著的 Conti 集团。BlackSuit使用的加密机制和命令行参数与Royal中的惊人相似，表明它们共享一个代码库。

这一时期的目标包括

• 在日本媒体集团角川公司，该组织伪装成奇虎 360 杀毒软件的合法组件。
• 其他著名目标包括爱荷华州锡达福尔斯镇、一家美国跨国软件公司、堪萨斯城堪萨斯州警察局以及全球制药公司 Octapharma Plasma, Inc.

BlackBasta（又名 Black Basta）是一个勒索软件运营商和勒索软件即服务（RaaS）犯罪企业，于 2022 年初浮出水面。根据CISA 和 FBI 的一份联合报告，BlackBasta 关联公司已将目标锁定为北美、欧洲和澳大利亚的 500 多家私营企业和关键基础设施实体，其中包括医疗保健组织。

BlackBasta 采用典型的初始访问方法，包括网络钓鱼和利用已知漏洞。获得访问权限后，对手会进行侦查以绘制目标网络地图，并使用 Mimikatz 转储凭证。勒索软件操作员使用获取的凭据提升权限并横向移动以入侵网络。在加密之前，BlackBasta 威胁行为者会禁用防御系统、外泄敏感信息并删除阴影卷副本，以便在最后一击之前保持隐蔽。据了解，该组织采用双重勒索策略，对关键数据和重要服务器进行加密，并威胁要在其公共泄密网站上发布敏感信息。

本报告所述期间的目标包括

• 一家著名的美国医疗保健提供商。BlackBasta 对该医疗机构的患者数据及其操作系统进行了加密，从而危及了患者护理和数据隐私。
• Keytronic 是一家美国制造商。BlackBasta 发起的网络攻击破坏了该公司的运营，并限制了对基本业务应用程序的访问。此外，由于勒索软件团伙泄露了被盗数据，该公司还遭受了数据泄露。

这些攻击突出表明，BlackBasta 持续关注各行各业的高价值目标，采用复杂的勒索软件策略最大限度地发挥其破坏和勒索潜力。

LockBit 是一个据称与俄罗斯有关联的网络犯罪集团，通过其同名恶意软件专门提供 RaaS 服务。该组织的操作人员兢兢业业地维护和改进勒索软件，监督谈判，并在成功入侵后精心策划其部署。LockBit 采用双重勒索策略，不仅加密本地数据以限制受害者的访问，还外泄敏感信息，威胁公开数据，除非支付赎金。

国际网络犯罪工作组 Cronos 行动在 2 月份严重破坏了 LockBit。不过，该组织仍然非常活跃，本季度在针对欧洲、中东和非洲地区组织的攻击中最为积极。目标包括

• 本地化的关键基础设施。在欧洲、中东和非洲地区，LockBit 主要针对大规模中小企业，其中大部分在英国、德国和法国。该集团主要关注与教育、医疗保健和公共部门相关的小型关键基础设施目标。
• 法国戛纳西蒙娜维埃医院。LockBit 攻击导致了严重的运行中断，迫使医院将所有计算机下线，并重新安排了非紧急程序和预约。
• 威奇托是堪萨斯州最大的城市，拥有 40 万人口。这次重大的勒索软件攻击迫使该市的计算机系统下线，造成了广泛的破坏。LockBit 在其网站上公开发布了赎金截止日期，加大了该市行政部门满足其要求的压力。

ShinyHunters是一个于 2020 年首次出现的威胁组织，以多次跨行业的数据泄露事件而闻名。据报道，他们的攻击包括针对印尼电子商务公司 Tokopedia 以及 GitHub 和澳大利亚必胜客的攻击。ShinyHunters 在论坛上出售窃取的数据，偶尔也会免费泄露一些外泄数据。具有讽刺意味的是，该组织经常通过 GitHub 代码库中的代码发现漏洞。它搜索不安全的云桶，滥用窃取的凭据，并利用网络钓鱼攻击为其入侵提供便利。

本报告所述期间的其他指称目标包括

• Banco Santander S.A.是一家西班牙银行，为拉丁美洲、美国、英国和西班牙的客户提供服务。ShinyHunters 以约 200 万美元的价格出售了此次漏洞中的数据，影响了 3000 万客户和员工。
• 一家跨国娱乐票务销售和分销公司。他们的客户通过公司使用的人工智能数据云Snowflake 上的一个账户被窃取了数据。该账户缺乏多因素身份验证，因此威胁组织得以进入。ShinyHunters 提出以 50 万美元的价格出售这些数据。

Akira 勒索软件于 2023 年 3 月首次被发现，并因其在各行各业的广泛攻击而迅速声名鹊起。该组织的行动特点是发动一系列引人注目的攻击，并在勒索软件领域持续存在。Akira 尤其以使用双重勒索策略而闻名，它不仅加密数据，还威胁说如果不支付赎金，就会泄露窃取的数据。事实证明，这种方法能有效迫使受害者满足其要求。

Akira 最初以 Windows 系统为重点，后来扩展到 Linux 变种。该组织采用常见的初始访问方法，包括网络钓鱼活动和利用已知漏洞。Akira 还利用 Mimikatz 和 LaZagne 等公开工具进行凭证访问，利用 PsExec 进行远程执行，利用 AnyDesk 或 Radmin 进行远程访问。

Akira 以 RaaS 的形式运行，最初用 C++ 开发，加密文件使用 .akira 扩展名。此外，还发现了一个基于 Rust 的变种，它使用 .powerranges 扩展名。Akira 最近的活动主要针对医疗保健、金融服务、制造和技术行业。这些攻击凸显了该组织的适应性和对各行各业的持续威胁。

Rclone、Rubeus、GMER、WinSCP 和 Cobalt Strike 等工具对数据管理、渗透测试和系统维护至关重要。它们的灵活性和可访问性也使其成为威胁行为者滥用的有用工具。

Cobalt Strike是一个复杂的对手模拟框架，经过精心设计，可以在网络环境中复制威胁角色的持续存在。Cobalt Strike由两个关键部分组成：一个代理（信标）和一个服务器（团队服务器）。Cobalt Strike团队服务器作为互联网上的长期C2服务器，与部署在受害者机器上的信标有效载荷保持持续通信。

虽然 Cobalt Strike 主要被渗透测试人员和红队人员用作评估网络安全状况的工具，但不幸的是，它也被恶意威胁行为者利用。尽管钴打击的目的是为了安全，但其代码在网上泄露的情况时有发生，导致各种对手迅速将其武器化。这种双重性质凸显了保持警惕和采取强有力的网络安全措施的重要性，以降低滥用的相关风险，保护网络免受潜在的利用。

BlackBerry 研究和情报小组分析了五项最值得观察的 MITRE 技术：

劫持执行流（T1574） 是一种复杂的技术，敌方利用它来拦截和操纵系统的正常执行流，从而执行恶意代码。这种方法在上一季度非常普遍，显示出其在实现持久性和执行未授权操作方面的有效性。

利用这种技术的方法有多种途径，包括劫持 DLL 搜索顺序、DLL 侧载和向合法进程注入恶意代码。通过劫持执行流，攻击者可以在不触发标准安全警报的情况下获得对系统的控制权。这使得安全工具在检测和防止威胁行为者的未来活动方面面临挑战。例如，通过将恶意 DLL 放在比合法 DLL 更早搜索到的位置，攻击者可以确保在合法应用程序加载 DLL 时执行其代码。

对于对手来说，这种技术的一个重要优势是能够绕过安全措施。由于恶意代码是在受信任进程的上下文中执行的，因此可以避开依赖进程行为分析的传统安全机制。这种能力使 "劫持执行流 "变得尤为危险，因为它可用于执行从权限升级到数据外泄等各种恶意活动。

为防御 T1574，企业应实施全面的安全措施，包括应用程序白名单、严格的补丁管理以及对系统和网络活动的持续监控。定期更新软件并确保只有经授权的应用程序才能运行，可大大降低执行流劫持的风险。

用户意识培训在帮助员工识别潜在的执行流劫持企图的迹象方面也发挥着重要作用，有助于建立健全的安全态势。最后，采用能够识别与该技术相关的异常行为模式的高级威胁检测解决方案对于及时检测和响应至关重要。使用 T1574 的一些示例包括

• DLL 搜索顺序劫持：一个常见的例子是利用 Windows 中的 DLL 搜索顺序。如果攻击者在应用程序的工作目录中放置恶意 msvcrt.dll，应用程序就会加载它，而不是从系统目录中加载合法版本。
• DLL 侧加载：2018 年，APT 组织OceanLotus利用 DLL 侧加载合法的 Microsoft Word 可执行文件来加载恶意 DLL，从而建立持久性并执行进一步的有效载荷。
• COM 劫持：攻击者在合法应用程序经常查询的特定注册表键值下注册恶意 COM 对象。当应用程序调用 COM 对象时，执行的是恶意代码而不是预定的 COM 对象。
• Windows AppInit_DLLs：通过修改 AppInit_DLLs 等注册表键值，攻击者可确保其恶意 DLL 载入所有适用进程，从而控制这些进程。
• 注入合法进程：这种技术的一个已知案例是 Cobalt Strike 工具使用反射式 DLL 注入，将有效载荷注入合法进程，以逃避安全软件的检测。

在启动或登录自动启动执行（T1547）技术中，攻击者首先要确保恶意软件在系统启动或用户登录时自动运行。然后，攻击者利用注册表键、启动文件夹、计划任务或服务注册等机制来保持持久性或获得被入侵系统的高级权限。这些机制旨在促进操作系统上的合法软件功能和系统管理任务。然而，对手可以滥用这些功能来嵌入恶意代码，从而帮助其混入正常的系统操作中。了解这些关键操作系统机制并确保其安全，对于防止未经授权的持续运行和权限升级至关重要。

下面是一个经常用于建立持久性的注册表键值位置示例：

HKLM\Software\Microsoft\Windows\CurrentVersion\Run' - 这是 Windows 注册表，用于配置程序在操作系统启动时自动运行。

用于建立持久性的启动文件夹示例如下：

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup" - 该路径指向启动文件夹，用户登录时应自动启动的程序的快捷方式都放在这里。

下面举例说明如何利用服务创建来实现持久性：

'sc create Updater binPath= "C:\Windows\malicious[.]exe" start= auto' - 该命令利用服务实用程序创建名为 "Updater "的服务，并配置为在系统启动时自动启动。

另一个建立持久性并获得提升权限的例子是通过 Windows 任务计划程序：

'schtasks /create /tn "Updater" /tr "C:\Windows\malicious[.]exe" /sc onlogon /ru SYSTEM' - 该命令会创建一个名为 "Updater "的计划任务，每次用户登录时都会在指定位置运行可执行恶意程序。

MITRE 的 "防御规避"（TA0005）战术下的 "损害防御"（T1562）技术被认为是本报告期内对手最常使用的五大技术之一。这种技术改变受害者的环境要素，以阻碍或禁用防御机制。对手不仅会破坏防火墙和防病毒 (AV) 软件等预防性防御措施，还会破坏防御者用于审计活动和识别恶意行为的检测能力。

当威胁行为者成功破坏了受害者的防御系统后，他们就可以在不被发现的情况下进行攻击。这使他们能够注入恶意二进制文件，从而利用 MITRE 的其他技术，如键盘记录程序、蠕虫、木马和恶意 Web 外壳。这些都会导致勒索软件在机器上被执行。

采取针对 MITRE 技术 T1562 的保护措施以保护系统免受此类攻击至关重要。这种技术通常在攻击开始时使用，因此必须尽早发现并加以应对。

下面列出了对监控有用的命令行：

• sc stop <ServiceName>
• sc config <ServiceName> start=disabled
• net stop <ServiceName>
• taskkill /IM <ToolName> /F
• netsh advfirewall set allprofiles state off
• bcdedit.exe /deletevalue {default} 安全启动
• bcdedit /set {default} recoveryenabled no

BlackBerry 专家认为，在本报告所述期间，发现策略（TA0007）下的应用程序窗口发现技术（T1010）是网络威胁行为者使用的最多的技术之一。该技术包括列出打开的 Windows 应用程序，为威胁行为者提供有关目标系统使用模式的有用信息。这些信息对于确定值得收集的特定数据以及攻击者为避免被发现而必须躲避的安全软件非常有价值。威胁行为者利用这种技术可以更好地了解环境，并计划攻击，尽可能在不被发现的情况下进行攻击。

要首先获取打开的 Windows 应用程序列表，攻击者通常会利用系统内置功能。例如，他们可能会利用命令和脚本解释器中的命令或本地 API 中的函数来收集必要的信息。之所以经常使用这些本地工具和函数，是因为它们不容易引起怀疑，而且可以提供有关系统的全面信息。

鉴于这些行为都很可疑，并能为敌方提供有关受害者系统的重要信息，因此，安全软件配置必须能够检测到敌方执行的这些命令或操作。

下面列出了可能有助于监控的命令行：

• gps | where {$_.mainwindowtitle}
• Get-Process | Where-Object MainWindowTitle
• "cscript.exe"、"rundll32.exe"、"explorer.exe"、"wscript.exe"、"PowerShell.exe"、"pwsh.dll"、"winlogon.exe"、"cmd.exe "是使用这些 API 的父进程："user32.dll！GetWindowTextA"、"user32.dll！GetForegroundWindow"、"user32.dll！GetActiveWindow"、"user32.dll！GetWindowTextW"
• 任务列表和任务列表 /v

MITRE ATT&CK 框架将软件发现 (T1518) 确定为发现战术 (TA0007) 下的一项关键技术。这种方法经常被对手用来深入了解目标系统的软件环境，因此成为许多网络攻击的关键步骤。软件发现可让攻击者通过确定系统上安装了哪些应用程序和版本来识别漏洞。这些信息可帮助攻击者利用过时或未打补丁的软件，计划如何禁用或规避安全措施，并定制攻击以取得最大效果。

发现软件的常用方法包括使用 Windows Management Instrumentation (WMI) 命令（如 wmic "product" get name, version, vendor）和 PowerShell 脚本（如 Get-ItemProperty 或 Get-WmiObject）。通过这些方法，攻击者可以检索详细的软件信息，查询 Windows 注册表，并识别运行中的进程和相关应用程序。成功发现软件会产生重大影响。攻击者可以利用识别出的软件漏洞提升权限或执行任意代码。他们还可以禁用或规避安全防御措施，增加不被发现的可能性。此外，通过了解软件环境，攻击者可以部署专门针对已发现应用程序的恶意软件，从而提高攻击的有效性和隐蔽性。

为防范这种技术，企业应实施强大的监控和警报机制。监控通常与软件发现相关的命令和脚本的使用至关重要。采用使用行为分析的高级威胁检测系统有助于检测异常活动。确保所有软件都是最新的并打有补丁，仅限授权人员使用管理工具，以及维护全面的命令执行日志也是至关重要的步骤。