恶意软件年度报告:透视十亿样本
作者:星期日, 二月 5, 20170

对信息安全领域来讲,2016年不是个好年头。勒索软件势如破竹的崛起,接连不断大规模泄漏报告,基于物联网的大规模DDoS攻击的出现,Kovter恶意软件家族的泛滥,以及所谓的国际政治干预的到来,这一切都让2016成为了一个非比寻常的时间点。最近发布的一项恶意软件分析报告罗列了2016各种恶意威胁的相关数字。

杀毒软件公司Malwarebytes调查了从2016年6月到11月的近10亿恶意软件案例。数据来自全球200多个国家的近1亿台Windows和Android设备,以及公司设立的“蜜罐””。最终报告罗列了六个威胁类别:勒索软件、广告欺诈软件、Android恶意软件、僵尸网络、银行木马和广告软件。

exploitspan-payload-summary-800

2016年1月与2016年11月漏洞利用/恶意软件总量对比

这六类恶意软件中,勒索软件和广告欺诈软件格外抢眼。Malwarebytes称这预示了网络犯罪中一个越来越明显的趋势——渴望获得尽可能快捷的收益。“Kovter(最普遍的广告欺诈恶意软件)和各种勒索软件都为攻击者提供了直接的利润来源,而非把密码、信用卡信息和社交媒体账户转卖给其他罪犯,攻击者利用受害者的重要文件索取“赎金”,或利用受害者骗取广告行业的广告费,这些攻击方式意味着以更少的精力获取更丰厚的利润。”

亚当·库贾瓦解释说:“勒索软件和以Kovter为代表的广告欺诈出现了井喷式增长,因为这两类共计可以为攻击者提供直接的利润来源。这将是网络犯罪的未来趋势,我们必须继续研究这些手法的后续变化。”

美国是遭受勒索软件和广告欺诈最多的的国家。勒索攻击者认同这一看法:“之所以选美国人作为目标,不仅仅因为美国人对网络的热衷,也因为根据美国人倾向于支付赎金,也可能有部分意识形态因素”。

相比之下,俄罗斯遭受的类似攻击要少一些。这一点就广告欺诈来讲并不奇怪,不过,Malwarebytes坚持更少的勒索事件可能是一个证据,因为俄罗斯的勒索攻击者可能会回避自己目标。

值得注意的是,在被检测到的勒索攻击中,虽然针对企业的攻击的81%发生在北美,针对家庭/消费者的攻击有51%发生在欧洲。

2016年里三种最普遍的针对家庭的勒索软件是TeslaCrypt、Locky和Cerber。TeslaCrypt的发布者在5月停止了攻击,并公开了他们的密钥。TeslaCrypt消失了,但是它留下的空白迅速由Cerber和Locky占据,前者在对家庭勒索攻击中占主导地位直到年底。

Kovter则在广告欺诈领域中独占鳌头。虽然恶意软件于2015年才首次出现,在2016年广告欺诈行为就成了恶意软件的主攻领域。现在流行的Kovter可以劫持受害者的电脑,通过该电脑为攻击者承接的广告增加虚假的点击量。这种攻击有很大的发展潜力。2016年1月,据美国国家广告协会估计,全球有72亿美元广告费将花费在虚假的通信上。

Kovter结构复杂并且仍在不断发展。它可以“在感染系统时不删除任一个文件,而是创建一个特殊注册表密钥,从而躲过很多反病毒产品的检查。此外,Kovter借用rootkit的功能来进一步隐藏它的存在,还会积极识别并禁用安全措施。“Malwarebytes也注意到2016年“汹涌而来的钓鱼电子邮件”推动了隐蔽强迫下载的泛滥。

Malwarebytes报告指出,2016年恶意攻击在文件分布方式上最大的变化之一,就是使用了附加脚本的钓鱼邮件。随着包含恶意软件的邮件的泛滥,在办公文件中嵌入恶意宏的手法也回归了。这些文件通常包含在Zip文件中,以绕过反恶意软件保护防御。由社交工程生产的邮件正文试图说服目标打开附件并允许运行宏。附件的密码则包含在电子邮件中。而这让攻击更有迷惑性,并有效地避免了自动反恶意软件(比如蜜罐和沙箱)对电子邮件的审查。

随着寄生在邮件里的恶意软件的崛起,Angler钓鱼工具包逐渐走下舞台。与上文提到的TeslaCrypt类似,Angler在2016年初就被迫停用。然而,从那时起RIG EK迎来了增长并很可能在2017继续作威作福。但是它可能当不了龙头老大,拒绝服务攻击凭借其规模和破坏性成为了头号威胁的有力竞争者。

随着Mirai僵尸网络的出现,基于物联网的DOS攻击出了把风头。2016年9月。它被用来让Krebs On Security等网站瘫痪。一个月后它被用来对付DNS服务提供者Dyn。Mirai感染对象是缺乏反抗能力的物联网设备。它首先扫描互联网来寻找此类设备,然后使用内部数据库的默认用户名和密码进入。因为很多用户永远不会改变这些默认值,这种手段极其有效。僵尸主控机就能够直接操纵整个僵尸网络来攻击任何选定的目标。

这一手法已经被其他僵尸网络所吸纳。举例而言,Kelihos僵尸网络的规模在7月和10月分别增长了785%和960%,而IRC网络在8月增长了667%,Qbot网络在11月增长了261%。

Malwarebytes的首席执行官克莱琴斯基说:“我们的发现证实了一件事,人们正遭受频率和种类惊人的网络攻击。在过去的一年里出现了勒索软件的冲击、数量惊人的广告欺诈和僵尸网络危险的新用法。这些威胁很可能侵蚀网络为世界带来的各种益处。消费者和企业都需要更好地了解这些新的攻击方法的作用方式。”

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章