- 邁克菲實驗室觀測到亞洲地區(qū)的移動惡意軟件增長了一倍����,全球移動惡意軟件感染率上升了 57%
- 過去四個季度的移動惡意軟件總數(shù)增長了 79%��,樣本總數(shù)達到 1670 萬
- 廣告軟件的大量充斥導(dǎo)致今年一季度針對 Mac 操作系統(tǒng)的惡意軟件樣本總數(shù)增長了 53%
- 新的勒索軟件在一季度有所反彈��,主要歸因于針對安卓系統(tǒng)的 Congur 系列攻擊
- 過去四個季度的勒索軟件總數(shù)增長了 59%���, 樣本總數(shù)達到 960 萬
- 今年一季度公開披露的安全事件達到 301 起��,比去年四季度增長了 53%
- 醫(yī)療系統(tǒng)��、公共部門和教育行業(yè)發(fā)生的安全事件數(shù)占所有安全事件的 50% 多
北京2017年6月28日電 /美通社/ -- 邁克菲公司今日發(fā)布《邁克菲實驗室威脅報告:2017年6月刊》��,探討了Fareit密碼竊取軟件的起源和內(nèi)部工作機制�,回顧了過去 30 年惡意軟件逃逸技術(shù)的演化�,闡述了逃逸技術(shù)采用的隱寫術(shù)特性,評述了各個行業(yè)公開披露的威脅攻擊事件��,并總結(jié)了在 2017 年一季度惡意軟件����、勒索軟件���、移動惡意軟件和其它威脅的增長趨勢��。
“現(xiàn)在市場上的反安全��、反沙箱和反分析的逃逸技術(shù)即便沒有上千項也有數(shù)百項,而且許多都可以在暗網(wǎng)市場上直接購買到�����。”邁克菲實驗室副總裁 Vincent Weafer 說道��,“這期發(fā)布的報告提醒我們�,欺騙已經(jīng)從針對某幾個系統(tǒng)的單個威脅�,逐漸演變到針對多個系統(tǒng)的復(fù)雜威脅����,以及到針對整個新安全模式,如機器學(xué)習(xí)����。”
30 年惡意軟件逃逸技術(shù)回顧
在 20 世紀 80 年代�����,惡意軟件開發(fā)者開始嘗試一些方法來逃避安全產(chǎn)品的檢測�����,當時��,有一個惡意軟件通過加密自己的部分代碼使安全分析員無法閱讀內(nèi)容�����,而成功繞過了防御體系�����?����!疤右菁夹g(shù)”指的是惡意軟件所能用到的所有能規(guī)避檢測���、分析和檢查的方法。邁克菲實驗室將逃逸技術(shù)分為以下三大類:
- 反安全技術(shù):用于規(guī)避來自防惡意軟件引擎�����、防火墻�、應(yīng)用程序遏制和/或其它防護手段的檢測�。
- 反沙箱技術(shù):用于檢測自動分析并規(guī)避能夠報告惡意軟件行為的引擎。通過檢測注冊表項����、文件或與虛擬環(huán)境相關(guān)的進程���,惡意軟件能夠知曉是否在沙箱內(nèi)運行���。
- 反分析技術(shù):用于檢測和欺騙惡意軟件分析人員�,比如����,通過找到類似 Process Explorer 或 Wireshark 的監(jiān)控工具�,以及采用某些進程監(jiān)控伎倆、打包程序或偽裝工具來規(guī)避反向工程�。
《邁克菲實驗室威脅報告:2017 年 6 月刊》探討了一些較強大的逃逸技術(shù)�,以及可提供現(xiàn)成逃逸工具的暗網(wǎng)市場,舉例說明了幾個惡意軟件系列是如何利用逃逸技術(shù)來規(guī)避檢測��,以及對未來的預(yù)期���,包括機器學(xué)習(xí)規(guī)避技術(shù)和基于硬件的規(guī)避技術(shù)。
在眾目睽睽下隱藏:隱寫術(shù)的隱藏威脅
隱寫術(shù)是一項隱藏秘密信息的科學(xué)藝術(shù)��,在數(shù)字世界中��,它用來將信息隱藏在圖像、音頻�����、視頻或文本文件中�����。數(shù)字隱寫術(shù)通常被惡意軟件作者用來逃避來自安全系統(tǒng)的檢測�����。我們所知的首例將隱寫術(shù)應(yīng)用于網(wǎng)絡(luò)攻擊中的惡意軟件是 2011 年的 Duqu 惡意軟件��。將隱寫術(shù)應(yīng)用于數(shù)字圖像時��,通過嵌入算法插入秘密信息�����,將圖像傳輸?shù)侥繕讼到y(tǒng)��,并提取秘密信息以供惡意軟件使用�����。修改后的圖像通常很難被人眼或安全技術(shù)檢測到��。
邁克菲實驗室將網(wǎng)絡(luò)隱寫術(shù)視為該學(xué)科的最新形式�����,因為它將 TCP/IP 協(xié)議頭中的未使用字段用于隱藏數(shù)據(jù)�。由于攻擊者可以使用這種技術(shù)通過網(wǎng)絡(luò)發(fā)送無限量的信息��,這種方法正在被越來越多的攻擊者使用��。
Fareit:最臭名卓著的密碼竊取工具
Fareit 首次出現(xiàn)于 2011 年,并以多種方式演變����,包括新攻擊向量、增強的架構(gòu)和內(nèi)部工作機制�����,以及規(guī)避檢測的新方法�。Fareit 是最臭名卓著的密碼竊取惡意軟件,這已經(jīng)得到越來越多人們的共識����,而且種種跡象表明,它可能被用于 2016 年美國總統(tǒng)大選之前的那起著名的針對民主黨全國委員會 (DNC) 的數(shù)據(jù)泄漏事件中�。
Fareit 可通過網(wǎng)絡(luò)釣魚郵件、DNS 投毒和漏洞利用工具包進行傳播���。受害者可能會收到一封帶有附件的惡意釣魚電子郵件,該附件可能是 Word 文檔����、JavaScript 或存檔文件。一旦用戶打開附件��,Fareit 就能夠感染系統(tǒng)�,將盜取的用戶憑據(jù)發(fā)送給它的控制服務(wù)器���,然后下載此次攻擊活動中附帶的其它惡意軟件���。
2016 年的美國民主黨全國委員會數(shù)據(jù)泄漏事件的罪魁禍首是名為 Grizzly Steppe 的惡意軟件攻擊活動。邁克菲實驗室在美國政府公布的 Grizzly Steppe 報告中的攻陷指標 (IoC) 列表中發(fā)現(xiàn)了 Fareit 哈希�����。普遍認為這一類別的 Fareit 專門應(yīng)用于針對 DNC 的攻擊中�,通過網(wǎng)絡(luò)釣魚郵件附帶的惡意 Word 文檔附件進行傳播。
該惡意軟件引用了一些已發(fā)現(xiàn)的 Fareit 樣本中多個不常見的控制服務(wù)器地址����。在 DNC 攻擊事件中,它可能聯(lián)合其它技術(shù)來竊取電子郵件�����、FTP和其它重要的憑據(jù)����。邁克菲實驗室懷疑�,Fareit 還將其它諸如 Onion Duke 和 Vawtrak 的高級威脅下載到受害者的系統(tǒng)中,以發(fā)動進一步的攻擊��。
“隨著人們�����、企業(yè)和政府部門越來越多地依賴僅有密碼保護的系統(tǒng)和設(shè)備,他們的憑據(jù)安全性非常低,很容易被竊取����,對網(wǎng)絡(luò)犯罪分子來講非常有吸引力?�!?/span>Weafer 指出�����,“邁克菲實驗室相信使用密碼竊取技術(shù)的攻擊很可能會有所增加�,Grizzly Steppe 攻擊活動中已可窺見一些新型未來技術(shù)�����?��!?/span>
2017 年一季度威脅活動
2017 年一季度,邁克菲全球威脅智能感知系統(tǒng) (GTI) 登記的針對各個行業(yè)的網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)攻擊事件呈現(xiàn)顯著的增長趨勢:
- 新威脅:2017 年一季度����,平均每秒鐘檢測到 244 個新威脅,約合每秒鐘 4 個�����。
- 安全事件:邁克菲統(tǒng)計到今年一季度公開披露的安全事件達到 301 起,比去年四季度增長了 53%�����。醫(yī)療系統(tǒng)����、公共部門和教育行業(yè)發(fā)生的安全事件數(shù)占所有安全事件的 50% 多����。
- 惡意軟件:一季度新惡意軟件樣本數(shù)有所反彈,達到 3200 萬個�。過去四個季度��,惡意軟件樣本總數(shù)增加了 22%�����,已知樣本數(shù)達到 6.7 億個�����。新的惡意軟件數(shù)量反彈到過去四年的季度平均水平�����。
- 移動惡意軟件:一季度亞洲地區(qū)報告的移動惡意軟件數(shù)增長了一倍��,全球移動惡意軟件感染率增長了 57%���。過去四個季度,移動惡意軟件總數(shù)增長了 79%��,樣本數(shù)達到 1670 萬個���。導(dǎo)致這一結(jié)果的較大貢獻者是 Android/SMSreg 的增長,通過檢測�����,它是一個來自印度的潛在有害程序�����。
- Mac 操作系統(tǒng)惡意軟件:過去三個季度��,針對 Mac 操作系統(tǒng)的惡意軟件增長迅猛��,主要原因是大量充斥的廣告軟件����。盡管與針對 Windows 的威脅相比,Mac 的威脅數(shù)量仍然比較少����,但一季度針對 Mac 操作系統(tǒng)的惡意軟件樣本總數(shù)增長了 53%。
- 勒索軟件:一季度新型勒索軟件樣本數(shù)有所反彈�����,主要歸因于針對安卓操作系統(tǒng)設(shè)備的 Congur 勒索軟件攻擊�。過去十二個月,勒索軟件樣本總數(shù)增長了 59%�,已知樣本總數(shù)達到 960 萬個����。
- 垃圾郵件僵尸網(wǎng)絡(luò):今年四月份,Kelihos 僵尸網(wǎng)絡(luò)的幕后元兇在西班牙被捕��。多年以來����,數(shù)以百萬計攜帶金融詐騙惡意軟件和勒索軟件的垃圾郵件的背后都有 Kelilos����。據(jù)美國司法部發(fā)布的信息,在打擊 Kelilos 的行動中���,美國與影子服務(wù)器基金會 (Shadow Server Foundation) 等外國機構(gòu)及行業(yè)廠商之間的合作貢獻頗多���。
若要了解有關(guān) 2017 年一季度威脅趨勢和威脅格局的更多信息,請訪問 www.mcafee.com/cn 閱讀完整報告�����。
若要了解本報告中企業(yè)如何更好地保護自己遠離威脅的詳細信息�,請訪問我們的安全博客����。
