安全團隊依賴威脅報告來了解威脅狀況，並保障組織安全。但一份新報告顯示，這些報告可能只揭露了部分情況。隱藏的惡意軟體變種正在悄悄突破防禦，讓團隊產生虛假的安全感。

隱藏的惡意軟體變種

Stairwell 的《2025 年隱藏惡意軟體報告》分析了 2023 年 3 月至 2025 年 7 月期間發布的 769 份威脅報告。這些報告包含超過 10,000 個惡意軟體檔案識別碼。透過深入研究這些文件，研究人員發現了超過 16,000 個原始報告中未包含的其他惡意軟體變體。

什麼是惡意軟體變種以及它們為何重要

惡意軟體變種是對現有惡意軟體進行略微修改的版本。攻擊者很少從零開始建立新的惡意軟體。相反，他們會利用現有惡意軟體並進行細微的修改，例如重新打包檔案、調整程式碼或重新命名部分內容。這些修改足以產生完全不同的雜湊值，而大多數安全工具正是透過這種方式追蹤惡意軟體的。

問題在於，許多工具通常依賴精確匹配。如果檔案的雜湊值發生變化，它可能不再與已知簽章匹配，從而逃避偵測。這就是攻擊者無需製造全新威脅就能保持領先優勢的方法。

對於防禦者來說，這意味著捕獲一個惡意檔案只是個開始。如果無法發現相關的變體，安全團隊可能會錯失全局，從而給攻擊者留下可乘之機。

「如果你依賴靜態哈希，那麼你就是在對抗昨天的威脅，」Stairwell 首席技術長Mike Wiacek說。

報告發現了什麼

這項研究凸顯了此變種問題的普遍性。平均而言，每份威脅報告包含13個已知惡意軟體樣本的雜湊值。進一步分析這些文件後，平均又發現了21個相關的惡意軟體變種。

隨著時間的推移，報告中共享的哈希值數量也在增長。 2023 年，平均每份報告包含 11 個雜湊值。到 2025 年，這一數字已增至 18 個。這表明，雖然供應商共享的資訊越來越多，但未被發現的惡意軟體數量增長速度更快。

報告也指出，舊款惡意軟體家族往往擁有更多變種。成功的惡意軟體通常會被攻擊者複製並重複使用，並進行細微調整以規避偵測。這導致了一種惡性循環：即使是記錄詳盡的威脅也會不斷演變，最終逃脫防禦。

隱藏威脅的風險

如果惡意軟體變種未被偵測到，後果可能不堪設想。安全團隊可能認為威脅已被清除，但實際上，修改後的版本仍在環境中活躍。這會產生盲點，攻擊者可以長期利用這些盲點。

最大的危險在於錯誤的信心。誤以為防禦措施有效，但實際上並非如此，可能會導致反應時間延遲，並錯失在攻擊蔓延之前阻止攻擊的機會。

團隊如何應對

該報告強調了持續分析的必要性，而不是僅依賴特定時間點的掃描或靜態簽名。安全團隊可以採取以下措施來增強防禦能力：

使用各種偵測方法不斷搜尋威脅。

編寫和更新規則（例如 YARA 規則）以識別精確哈希之外的模式。

在日誌和系統中搜尋妥協的跡象，而不僅僅是已知的指標。

隨著新的威脅情報的出現，定期重新分析文件。