2017下半年頂級惡意軟體家族大起底

2017年下半年可謂數字安全事件頻發。9月，消費報告機構Equifax公布遭遇數據泄露，1.43億美國消費者個人信息被泄。

之後不到2個月，俄羅斯和烏克蘭公司企業遭BadRabbit惡意軟體感染——2017年發生的第3次國際性勒索軟體大爆發。年底，Check Point 的月度《全球威脅索引》中首次將一款加密貨幣挖礦機列在了首位。

2017年下半年的安全形勢是由數起安全事件撐起的。Check Point 從其ThreatCloud協作情報網路抓取數據，撰寫了《2017下半年全球威脅情報趨勢報告》。該報告綜合了來自2.5億地址的信息用以發現殭屍網路，分析了1100萬惡意軟體特徵碼和550萬被感染網站，以揭示下半年傳播最廣的惡意軟體和其他數字威脅。

報告主要發現如下：

一、全球趨勢

最主要的威脅態勢之一，就是加密貨幣挖礦機的興起。Check Point 威脅情報組經理瑪雅·霍洛維茨對此評論道：

2017年下半年見證了加密貨幣挖礦機席捲全球，成為廣受歡迎的賺錢攻擊方法。雖然挖礦機並非全新惡意軟體類型，但加密貨幣的流行和價值飆升還是大幅推動了加密貨幣挖礦惡意軟體的擴散。

事實上，2017年下半年加密貨幣挖礦機問題凸顯的最主要原因，是這些工具不通知用戶就注入到了網站中。廣告過濾時代，某些企業可能還挺歡迎這種網頁廣告的替代方式。注入挖礦代碼後，網站訪問者的主機CPU使用率往往會被消耗掉一大半。Check Point 估算，2017年12月，每5家企業中就有1家淪為了加密貨幣挖礦代碼注入的受害者。

加密貨幣挖礦機飆升的同時，漏洞利用工具包的使用有所降低。其中原因很多，包括Web瀏覽器中引入了新的安全機制，還有零日漏洞的發現也越來越難了。很多漏洞利用工具包因而轉向了利用已經打上補丁的舊有安全漏洞，造成偷渡式攻擊和新漏洞利用工具開發在數量上有所減少。

但日子過得比漏洞利用工具包舒服的數字威脅不僅僅有加密貨幣挖礦機一種。垃圾郵件和惡意郵件在2017年下半年也比較滋潤。實際上，62%的感染都利用了簡單郵件傳輸協議(SMTP)，為高級黑客採用新漏洞和.xlam及.xlb等文件類型實施高級攻擊鋪平了道路。

二、2017年下半年惡意文件類型細分

最後，2017年下半年有多個惡意軟體家族是重用原有成功數字威脅代碼的改良版。比如說，名為IoTroop和Satori的兩個物聯網殭屍網路就是源自Mirai。尤其是IoTroop，用漏洞掃描替換了Mirai的暴力口令破解器。

最流行的惡意軟體家族

Check Point 的報告還分類揭示了最流行的惡意軟體家族，詳情如下：

1. 頂級惡意軟體家族

Roughted (15.3%)

5月爆發，6月達到頂峰的大規模惡意廣告活動，影響150多個國家的公司企業。1個月之後，該威脅在企業網路的感染率從28%降到了18%，下降了1/3。

CoinHive (8.3%)

門羅幣挖礦機。2017年9月首發，但迅速流傳開來，成為 Check Point 《2017年12月全球威脅索引》中列出的「頭號」惡意軟體。

Locky (7.9%)

2016年2月首次出現的加密型勒索軟體。2017年上半年短暫掉出榜單後於下半年重回頂級惡意軟體行列。

2. 頂級勒索軟體家族

Locky (30%)

主要通過帶惡意附件的垃圾郵件傳播，所帶惡意附件是偽裝成Word或Zip文件的下載器。該下載器會釋放Locky加密軟體，將用戶文件統統加密鎖定。

Globeimposter (26%)

2017年5月首度出現的勒索軟體家族。依靠垃圾郵件、惡意廣告和漏洞利用工具包傳播。該威脅會將中招用戶的文件加密成帶.crypt後綴的加密文件。

WannaCry (15%)

2017年5月全球爆發的勒索軟體。利用 Windows SMB 漏洞在企業網路間橫向移動。

3. 頂級銀行惡意軟體家族

Ramnit (34%)

盜取銀行憑證、FTP口令、會話cookie和個人數據的木馬。

Zeus (22%)

通過瀏覽器中間人鍵盤記錄和表單抓取對Windows平台實施銀行信息盜取的惡意軟體。

Tinba (16%)

在用戶嘗試登錄網銀賬戶時利用網頁注入盜取受害者憑證的一種威脅。

4. 頂級手機惡意軟體家族

Hidad (55%)

重打包合法App以展示廣告並將之混入第三方應用商店的安卓惡意軟體。該惡意軟體會獲取操作系統中內含的關鍵安全信息，盜取用戶的敏感數據。

Triada (8%)

模塊化安卓後門，能以超級用戶許可權下載惡意軟體並將之嵌入系統進程。該威脅還會進行瀏覽器URL欺騙。

Lotoor (8%)

利用安卓系統漏洞以獲取root許可權的黑客工具。

5. 頂級加密貨幣挖礦惡意軟體

CoinHive (52%)

JavaScript加密貨幣挖礦機。網站擁有者可將之嵌入自己的網站，偷偷利用網站訪問者的CPU計算能力挖掘加密貨幣。

Cryptoloot (13%)

與CoinHive類似的JavaScript挖礦機。事實上，網路罪犯通常將Cryptoloot作為CoinHive的替代品推廣。

Coinnebula (8%)

2017年10月，微軟在多個視頻流網站觀測到該瀏覽器挖礦機。

三、2018預測

Check Point 對2018網路安全形勢做了前瞻。首先，區塊鏈攻擊可能更加進化。安全行業將看到虛擬錢包及憑證盜竊，還有加密貨幣盜竊的新方法。能夠收集虛擬錢包憑證的銀行木馬也會更為常見。數字攻擊者將會使用移動殭屍網路來非法挖掘加密貨幣。

其次，2018年將出現更複雜高端的IoT攻擊類型。更多產的IoT零日漏洞研究將推動網路黑市發展，催生出新的攻擊類型和方法來利用受感染設備並收集數據。比如說，攻擊者會設計出針對特定設備的方法，引發更多數據泄露和數據篡改。

最後，安全行業將見證更多的跨平台惡意軟體攻擊，比如能加密醫院網路、僱員手機和所有聯網醫療設備的勒索軟體。

聯手對抗未來威脅

Check Point 的《2017下半年全球威脅情報趨勢報告》清楚呈現出威脅情報的重要性。公司企業可用此信息進行用戶教育，更好地防禦數字威脅。Check Point 和Tripwire結成合作夥伴關係以更好地防護雙方客戶就是該威脅趨勢運用的一大案例。

Check Point 完整報告鏈接地址：

https://research.checkpoint.com/h2-2017-global-threat-intelligence-trends-report

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！