综述
根据卡巴斯基实验室解决方案公布的数据,他们已经在第二个季度为世界各地191个国家的用户检测并阻止了342,566,661次恶意攻击。
目前,已经有33, 006, 783个唯一URL被网络防病毒组件标示为恶意软件。而尝试通过在线访问银行账户来窃取资金的恶意软件已经感染了224,675个用户的计算机设备;246,675台用户计算机上的加密勒索软件攻击被阻止;卡巴斯基实验室的文件杀毒软件检测到共计185,801,835个独立的恶意和潜在恶意对象。
卡巴斯基实验室移动安全解决方案的检测统计如下:
1, 319, 148个恶意安装包;
28, 976个手机银行家木马(安装包);
200, 054个移动勒索软件木马(安装包);
报告主要从移动威胁、在线威胁以及本地威胁三个方面阐述了2017年第二季度网络威胁的形势及演变过程。具体报告如下:
移动威胁
第二季度重大事件
SMS垃圾邮件
正如我们在2017年第一季度报告中提到的,诈骗者已经开始积极使用“Trojan-Banker.AndroidOS.Asacub”手机银行实施攻击。Asacub主要通过垃圾邮件进行传播。点击恶意链接后,用户被引导到一个页面,提示他们查看隐藏木马的信息,当用户查看时,Asacub就会下载到设备。
在第二季度末,我们发现该银行木马正在进行更大范围的传播活动:6月份,该银行木马攻击的用户数量是4月份的3倍,而在7月份的第一周,这种增长趋势仍在继续。
1.jpg
【2017年第二季度Trojan-Banker.AndroidOS.Asacub攻击的唯一用户数量】
ZTorg的变种
我们在2017年第一季度的报告中讨论的另一个有趣的主题在第二季度中仍有体现:攻击者继续使用恶意的Ztorg模块上传到Google Play新的应用程序中。有趣的是,在第二季度中,我们不仅发现了第一季度的变种ZTorg,我们还发现了另外两种新型的恶意软件变种:一种可以在Google Play上安装甚至购买应用的木马;另一种是可以发送付费短信的Trojan-SMS.AndroidOS.Ztorg.a。
值得注意的是,在第一季度发现的ZTorg变种会在安装后检查它是否是在虚拟机上运行。如果检查顺利通过,则攻击模块就会通过远程服务器加载。通过利用系统中的漏洞,该木马尝试获得超级用户权限。
而与该变种不同的是,第二季度出现的两个恶意软件样本都不会尝试利用系统漏洞获取root权限。
新型木马——Dvmap
2017年4月,我们发现了一个新的系统级恶意软件——Dvmap。Dvmap木马软件通过Google Play应用商店发布,并使用了一些非常危险的技术,包括修改系统库等操作。它不仅能将不同功能的恶意软件模块安装到系统中,还将恶意代码注入到系统运行时库中。它的主要目的是进入Android系统,下载一些二进制程序,并以root权限来执行这些二进制程序。
WAP计费订阅
在2017年第二季度中,我们发现利用WAP计费订阅机制窃取用户资金的木马活动正在增加。
简单的说,WAP也就是无线应用协议,WAP计费本身为用户提供一种机制,从网上获取内容的计费直接在话费中产生,而不需要提供支付卡信息,这种方式和SMS服务类似。在获取服务前,客户被重定向到蜂窝服务提供商的网站中确认其操作。此外,提供商也可以使用短信来确认付款信息。
不过现在,木马已经学会绕过这些限制:我们发现,这些恶意程序样本会禁用感染设备的WiFi,并启用移动数据连接,由于运营商需要识别用户进行在线支付,所以WAP计费只在手机移动数据网络下才能进行。此外,木马还采用JS代码进行自动化操作,如开启web页面,点击WAP计费相关按钮,这样就不需要用户交互了。恶意程序还会删除用户收到的SMS消息,避免用户起疑;部分样本还利用设备管理员权限令其移除更有难度。
此外,我们还检测到第二季度Top 20最常见的木马中就有2个恶意程序正在利用这种WAP计费机制,它们分别是:Trojan-Clicker.AndroidOS.Autosus.a和Trojan-Dropper.AndroidOS.Agent.hb。大部分被感染地区在俄罗斯和印度,我们认为这可能与当地电信市场的现状有关。
目前,我们发现不少网络犯罪组织都开始利用这样的恶意程序,某些是2016年末或者2017年初开发的,今年夏季开始极速增长。
移动威胁统计
2017年第二季度,卡巴斯基实验室检测到1,319,148个恶意安装软件,几乎与前两个季度持平。
2.png
【检测到的恶意安装包数量(Q3 2016 – Q2 2017)】
不同类型的移动恶意软件的变化趋势
3.jpg
【2017年第一季度和第二季度不同恶意软件的变化趋势】
在2017年第二季度中,恶意广告软件(13.31%)的增长幅度最大,增长了5.99%。在所有已发现的安装包中,绝大多数被检测为“AdWare.AndroidOS.Ewind.iz”和“AdWare.AndroidOS.Agent.n”。
Trojan-SMS恶意软件(6.83%)在增长幅度方面排名第二,增长了2.15%。大多数被检测到的安装包属于“Trojan-SMS.AndroidOS.Opfake.bo”和“Trojan-SMS.AndroidOS.FakeInst.a”家族,比上季度增长了3倍多。
在第二季度中,Trojan-Spy(3.88%)的下降幅度最大。而在第一季度中,Trojan-Spy(10.27%,增长1.83%)增长幅度仅次于Trojan-Ransom,排名第二。当时是由于属于“Trojan-Spy.AndroidOS.SmForw”和“Trojan-Spy.AndroidOS.SmsThief”家族的恶意程序数量增加所致。
此外,在第一季度中增长幅度排名第一的Trojan-Ransom(16.42%),在第二季度中出现了下降趋势,仅占15.09%,较上季度下降2.55%。
TOP 20移动恶意软件程序
请注意,这种恶意程序评级不包括潜在的危险或有害程序,例如RiskTool或广告软件。
4 2017-09-12 上午11.15.00.png
排名第一的是DangerousObject.Multi.Generic(62.27%),该软件是使用基于云技术的恶意程序检测平台检测的。当防病毒数据库既不包含签名也不包含启发式检测恶意程序时,云技术就可以发挥作用了,但是防病毒公司的云中一般已经有包含有关对象的信息了。这基本上就是如何检测最新恶意软件的过程。
排名第二的是Trojan.AndroidOS.Boogr.gsh(15.46%)。该木马是基于机器学习的系统来检测出来的。该木马所占比例较第一季度(4.51%)增长了近3倍,使其名次从第一季度的第三名上升至本季度的第二名。
排名第三的是Trojan.AndroidOS.Hiddad.an(4.20%)。这种恶意软件会伪装成各种不同的流行游戏或应用程序。有趣的是,一旦运行,它会下载并安装它所伪装的应用程序。在这种情况下,木马会要求管理员权限来避免被删除。 Trojan.AndroidOS.Hiddad.an的主要目的是频繁展示广告,其主要的受害者在俄罗斯。在2017年第一季度中,该木马排名第二(9.35%)。
排名第四的是Trojan-Dropper.AndroidOS.Hqwar.i(3.59%),这种通过 “混淆器/封隔器”来隐藏其恶意软件实际来源的木马,从第一季度的第8名上升至本季度的第4名。在大多数情况下,该木马隐藏的是与FakeToken和Svpeng木马家族相关的名称。
排名第五的是Trojan Backdoor.AndroidOS.Ztorg.c(3.41%),它是使用超级用户权限的最活跃的广告木马之一。
在2017年第二季度的“Top 20移动恶意软件程序”中包含11款试图获取或使用root权限,并利用广告作为主要敛财手段的木马。它们的目标是通过隐藏安装新的广告软件,更积极地向用户投放广告。同时,超级用户权限可以帮助它们将自身“隐藏”在系统文件夹中,避免被删除。值得注意的是,在Top 20榜单中,这种类型的恶意软件数量最近一直在减少(在2017年第一季度中,有14款这种类型的木马。)
排名第六的是Trojan-Dropper.AndroidOS.Agent.hb (3.16%),它是一个复杂的模块化木马程序,主要的恶意部分需要从网络犯罪分子的服务器中下载。我们可以假设这个木马是为了通过付费订阅机制窃取钱财。
此外,Trojan-Clicker.AndroidOS.Autosus.a (2.08%)排在第11名,其主要任务就是激活付费订阅。要做到这一点,它需要“点击”网络目录中订阅相关的按钮,以及隐藏传入包含与它们有关的信息的短信。
Trojan.AndroidOS.Agent.bw(1.67%)排在第14位。该木马主要针对印度的用户(超过92%的受灾群体),就像Trojan.AndroidOS.Hiddad.an一样,该木马程序也是通过伪造流行的游戏和程序,一旦运行,就会从欺诈者的服务器上下载并安装各种恶意应用程序。
排名第15的是Trojan.AndroidOS.Agent.gp (1.54%),该木马程序主要用于窃取用户资金,由于其使用管理员权限,所以可以避免任何将其从受感染设备中删除的尝试。
排在第17名的是Trojan-Banker.AndroidOS.Svpeng(1.49%),该木马家族已经保持连续3个季度的活跃,目前仍是2017年第二季度最受欢迎的银行木马。
移动威胁的地理分布
5.jpg
【2017年第二季度移动恶意软件感染的地理位置分布】
受到移动恶意软件攻击的十大国家(受攻击用户的百分比排名):
6.png
与第一季度一样,在第二季度中,伊朗仍然是受到移动恶意软件攻击的用户百分比最高的国家,占据44.78%;排名第2的是中国:有31.49%的用户至少遭遇了一次移动威胁攻击;其次是孟加拉国(27.10%)。
俄罗斯(12.10%)在本季度中排在第26位(上一季度排在第40位);法国(6.04%)第58名;美国(4.5%)第71名;意大利(5.7%)第62名;德国(4.8%)第67名;英国(4.3%)第73名。
此外,全球最安全的国家分别为,丹麦(2.7%)、芬兰(2.6%)以及日本(1.3%)。
手机银行木马
在2017年第二季度中,我们检测到了28,976个手机银行木马安装包,比第一季度下降了1.1倍。
7.png
【卡巴斯基实验室解决方案检测到的手机银行木马程序数量(2016年Q3 –2017年Q2)】
Trojan-Banker.AndroidOS.Svpeng.q已经连续多个季度占据最流行的手机银行木马之列。这个手机银行木马家族使用网络钓鱼窗口从网上银行帐户窃取信用卡数据和登录密码。此外,攻击者还可以通过短信服务窃取包括手机银行里的资金。
与之类似的木马还有“Trojan-Banker.AndroidOS.Hqwar.jck”以及“Trojan-Banker.AndroidOS.Asacub.af”。值得注意的是,这3个银行木马攻击的目标用户大多数位于俄罗斯。
8.jpg
【2017年第二季度移动银行威胁地理分布】
受到手机银行木马家族攻击的十大国家(受攻击用户百分比排名):
屏幕快照 2017-09-12 下午12.16.24.png
与上季度相比,在2017年第二季度中,手机银行木马家族攻击的十大国家排名几乎保持不变:俄罗斯(1.63%)仍然稳居第一;澳大利亚(0.81%)紧随其后,在针对澳大利亚用户的攻击中,最流行的手机银行木马是“Trojan-Banker.AndroidOS.Acecard”以及“Trojan-Banker.AndroidOS.Marcher”;排名第三的国家是土耳其(0.81%)。
移动勒索软件
在2017年第二季度中,我们检测到了200, 054个移动勒索软件木马安装包,远远超过了2016年第四季度。
Number_of_detected_mob_ransomware_.png
【卡巴斯基实验室检测到的移动勒索软件木马安装包数量(Q3 2016 –Q2 2017)】
2017年上半年,我们发现了比以往任何时期都要多的移动勒索软件安装包,原因是Trojan-Ransom.AndroidOS.Congur家族的出现、泛滥。通常,Congur家族的木马具有非常简单的功能,它们能更改系统密码(PIN),或者如果先前没有安装密码,则安装它致使设备无法正常运行,然后要求用户支付赎金。值得注意的是,该木马的修改可以利用现有的超级用户权限将其模块安装到系统文件夹中。
Trojan-Ransom.AndroidOS.Fusob.h仍然是第二季度最受欢迎的移动勒索软件木马,约占20%的攻击比例,该比例只是上一季度(45%)的一半。一旦运行,木马会请求管理员权限,收集有关设备的信息,包括GPS坐标和通话记录,并将数据下载到恶意服务器中。之后,它就可能会收到阻止设备的命令。
Map_Mobile_Trojans_.jpg
【2017年第二季度移动勒索软件地理分布】
受到移动勒索软件攻击的十大国家(按用户百分比排名):
屏幕快照 2017-09-12 下午12.17.09.png
在“受到移动勒索软件攻击的十大国家”中,美国以1.24的比例占据第一;最流行的木马家庭为Trojan-Ransom.AndroidOS.Svpeng。这些木马出现在2014年,是Trojan-Banker.AndroidOS.Svpeng手机银行木马家族的变种版本。它们一般会要求受害者支付100-500美元的赎金来解锁设备。
中国(0.65%)在本季度中排名第二,大部分移动勒索软件攻击为Trojan-Ransom.AndroidOS.Congur家族。
意大利(0.57%)排名第三,用户的主要威胁来自Trojan-Ransom.AndroidOS.Egat.d木马。该木马主要传播范围在欧洲,通常要求受害者支付100-200美元来解锁设备。
网络犯罪分子所利用的易受攻击的应用程序
在2017年第二季度,由于Microsoft Office几个零日漏洞的出现,致使漏洞利用模式发生了重大的变化。
今年4月初,安全研究人员发现了Microsoft Office的OLE处理机制的实现上存在一个逻辑漏洞(CVE-2017-0199),攻击者可能利用此漏洞通过诱使用户打开处理特殊构造的Office文件在用户系统上执行任意命令,从而控制用户系统。尽管,微软在4月份的例行补丁(4月12日)中对此漏洞进行了修补,但是受到攻击的Microsoft Office用户数几乎翻了三倍,达到了150万。此外,利用该漏洞针对Microsoft Office用户实施攻击活动的数量占据所有攻击的71%。
Platforms_exploits_.jpg
【2017年第二季度易受攻击的应用程序分布】
其实,第二季度中很多攻击事件都是由于Shadow Brokers黑客小组泄漏大量NSA文件造成的。泄漏的文档中包含大量可用于Windows各版本的网络漏洞。尽管这些漏洞中大多数并非零日漏洞,且在泄漏之前一个月,就发布了MS17-010更新程序进行修补,但是结果还是造成了可怕的影响。在EternalBlue和EternalRomance等黑客工具的帮助下,通过网络分发的蠕虫、木马以及勒索软件带来的伤害以及感染的数量都是无法估量的。
2017年第二季度,单是卡巴斯基实验室就已经阻止了超过500万次利用这些网络漏洞实施的攻击活动,目前,每天的平均攻击次数正在不断增加:过去30天内发现的攻击数量就占据了整体攻击的82%。
IDS_stats_.jpg
【2017年6月,IDS检测的使用ShadowBrokers漏洞的统计数据】
上图中的峰值是由于ExPetr勒索软件的出现,安全专家指出该恶意软件可以通过多种途径渗透网络。有时候,它利用恶意网站(通过感染传播);用户会收到伪装成系统更新的恶意软件。有时候,感染会通过第三方软件更新传播,例如通过乌克兰会计软件M.E.Doc。换句话说,并没有单一的可预测入口点能进行防御。
在线威胁(基于Web的攻击)
银行业在线威胁
这些统计数据是基于对卡巴斯基实验室产品的检测结果,卡巴斯基实验室产品的用户已经同意提供统计数据。从2017年第一季度开始,卡巴斯基实验室就开始统计包括ATM和POS终端的恶意程序,但不包括移动威胁。
2017年第二季度,卡巴斯基实验室解决方案阻止了224,000台电脑上的一个或多个能够通过网上银行窃取资金的恶意程序。
Users_Attacked_by_Bank_Malware_EN.png
【2017年4月-6月期间遭受银行恶意软件攻击的用户数量】
攻击的地理分布
为了评估和比较全球银行木马和ATM以及POS恶意软件感染之间的关系,我们对报告期间(4月-6月)全球所有安装卡巴斯基实验室产品的用户进行了调查,得出了每个国家遭受攻击用户的百分比数据。
Map_bank_attacks_.jpg
【2017年第二季度银行恶意软件攻击地理分布(受攻击用户百分比)】
受到攻击排名前十的国家(按遭受攻击用户百分比排名):
屏幕快照 2017-09-12 下午1.27.16.png
2017年第二季度,德国(2.61%)遭受银行木马袭击的用户比例最高;其次是多哥(2.14%);利比亚(1.77%)排名第3。
Top10 银行恶意软件家族
下表显示了2017年第二季度使用率排名前十的恶意银行软件家庭(按受攻击用户所占的百分比排名)
屏幕快照 2017-09-12 下午1.27.33.png
在2017年第二季度,Trojan-Spy.Win32.Zbot(32.58%)仍然是最受欢迎的恶意软件家族。它的源代码自泄漏以来一直是公开的,所以网络犯罪分子通常会根据源代码编写新的修改来升级该木马家庭。
其次是Trojan.Win32.Nymaim(26.02%),一开始,该木马家族的恶意软件只是在用户的设备下载程序,然后阻止设备的正常运行。之后,发现了Trojan.Win32.Nymaim家族恶意软件的新变种,它们具有了Gozi银行木马的部分功能,用于窃取网络银行系统中的用户支付数据。在2017年第一季度,Gozi(2.66%)排名第七。
勒索软件木马
2017年5月,名为“Wannacry”的蠕虫勒索软件席卷全球,影响了全球近百个国家的上千家企业及公共组织。该软件是一种蠕虫变体,利用多个Windows版本中的漏洞进行传播。
就在“Wannacry”逐渐减弱之际,另一款勒索软件木马ExPetr大规模来袭。如果说,Wannacry没有呈现出明显的地域偏好,“不分青红皂白”地席卷了全球所有国家,那么ExPetr则是目标明确地针对乌克兰地区实施攻击。
除了震惊全球的大规模勒索软件攻击外,2017年第二季度还出现了一个有趣的趋势:几个不同勒索软件加密活动背后的操纵者结束了他们的活动,并且公布了用于解密受害者文件所需的密钥,以下是报告期间公开密钥的名单:
Crysis (Trojan-Ransom.Win32.Crusis);
AES-NI (Trojan-Ransom.Win32.AecHu);
xdata (Trojan-Ransom.Win32.AecHu);
Petya/Mischa/GoldenEye(Trojan-Ransom.Win32.Petr).
勒索软件的数量变化
2017年第二季度,我们发现了15个新出现的勒索软件家族,以及15,663个原有恶意程序的新变种,该数量远低于上季度的新变种数量。此外,第一季度中,大多数检测到的变种都属于Cerber家族,而在第二季度,该位置最终属于Wannacry所有。
New_Ransomware_Modifications_.png
【勒索软件新变体数量(Q2 2016 – Q2 2017)】
被勒索软件攻击的用户数
在2017年第二季度,总共有246, 675个卡巴斯基安全用户遭到隐私信息的攻击。尽管新变体的数量有所减少,但受保护的用户数量正在增加。
Users_Attacked_by_Ransomware_EN.png
【2017年第二季度,Trojan-Ransom cryptor恶意软件攻击的用户数】
攻击的地理分布
Map_Geography_Attacks_.jpg
Top10遭受勒索软件攻击的国家:
屏幕快照 2017-09-12 下午2.16.33.png
Top10传播最广的勒索软件家族
屏幕快照 2017-09-12 下午2.16.49.png
除了上述的Wannacry和ExPetr之外,十大最受欢迎的勒索软件家族还包括另外两个“新来者”:Jaff和Purgen。其中,Jaff排名第4,随后是Cryrar。其他的勒索软件还包括Cerber、Locky、Spora以及Shade。
Top10遭受网络资源攻击最严重的国家
以下统计数据基于攻击中使用的在线资源的物理位置,并由卡巴斯基实验室的防病毒组件(包含重定向到漏洞的网页,包含漏洞利用和其他恶意软件的站点,僵尸网络命令中心等)阻止。其中任何唯一的主机都可能有一个或多个Web攻击的来源。
为了确定基于Web攻击的地理来源,我们将域名与其实际域IP地址进行匹配,然后建立特定IP地址(GEOIP)的地理位置。
在2017年第二季度,卡巴斯基实验室解决方案阻止了来自全球191个国家的网络资源发起的342, 566, 061次攻击。其中,33, 006, 783个唯一的URL被Web防病毒组件识别为恶意。
Webattacks_countries_EN.jpg
【2017年第二季度受网络资源攻击的国家分布】
在2017年第二季度,美国(32.81%)占据了第一位,随后是新西兰(20.1%)、法国(11.06%)、芬兰(10.31%)、德国(8.45%)以及俄罗斯(3.48%)等。
用户面临网络感染风险最大的国家排名
为了评估不同国家用户面临的在线感染风险,我们计算了本季度卡巴斯基实验室产品用户在其设备上遭遇感染的百分比。得出的数据提供了计算机在不用国家/地区的工作环境中遭遇感染的几率。
此统计仅包括属于恶意软件类的恶意程序攻击,不包括网络防病毒模块所检测出的潜在危险或无用程序,如RiskTool或广告软件。
屏幕快照 2017-09-12 下午2.17.24.png
平均来说,本季度有17.26%的计算机至少受到过一个恶意软件家族的网络攻击。
Map_Infection_Internet_.jpg
【2017年第二季度恶意网路攻击地理分布】
最安全的在线网络环境是古巴(5%)、芬兰(11.32%)、新加坡(11.49%)、以色列(13.81%)以及日本(7.56%)。
本地威胁
用户计算机的本地威胁统计信息是非常重要的指标:它反映了通过感染文件或可移动媒体渗透到计算机系统的威胁,或者最初以加密格式上传到计算机上的威胁(例如集成在复杂安装程序中的程序,加密文件等)。
在2017年第一季度,卡巴斯基实验室的文件杀毒软件检测到185, 801, 835个恶意和潜在的不需要的程序对象。
用户面临本地威胁风险最高的国家
对于每个国家,我们计算了本季度中卡巴斯基实验室产品用户在其计算机上触发文件杀毒软件的百分比。这些统计数据反映了不同国家个人电脑感染的水平。
恶意程序的排名统计仅包括恶意软件级别的攻击,不包括网络防病毒模块检测的潜在的危险或不需要的程序,如RiskTool或广告软件。
用户面临本地感染风险最高的Top 20国家与上季度基本保持不变,只是本季度中莫桑比克和毛里塔尼亚取代了上季度的哈萨克斯坦和白俄罗斯:
屏幕快照 2017-09-12 下午2.53.08.png
2017年第二季度,全球计算机平均的本地威胁为20.97%。其中俄罗斯是25.82%。
Map_Infection_Local_.jpg
本地威胁风险最小的国家有:智利(15.06%)、拉脱维亚(14.03%)、葡萄牙(12.27%)、澳大利亚(9.46%)、英国(8.59%)、爱尔兰(6.30%)以及波多黎各(6.15%)。
本文转自d1net(转载)