卡巴斯基2017年第2季度IT网络安全演变及威胁专题报告
综述
依据卡巴斯基实验室解决方案颁布的数据,他们曾经在第二个季度为世界各地191个国度的用户检测并阻拦了342,566,661次歹意入侵攻击。
今朝,曾经有33, 006, 783个独一URL被网络防病毒组件标示为歹意软件。而测验考试经由进程在线拜访银行账户来盗取资金的歹意软件曾经沾染了224,675个用户的盘算机装备;246,675台用户盘算机上的加密打单软件入侵攻击被阻拦;卡巴斯基实验室的文件杀毒软件检测到合计185,801,835个自力的歹意和潜伏歹意工具。
卡巴斯基实验室挪动网安解决方案的检测统计以下:
1, 319, 148个歹意装置包;
28, 976个手机银行家木马(装置包);
200, 054个挪动打单软件木马(装置包);
申报重要从挪动威逼、在线威逼和本地威逼三个方面论述了2017年第二季度网络威逼的情势及蜕变进程。详细申报以下:
挪动威逼
第二季度严重变乱
SMS渣滓邮件
正如咱们在2017年第一季度申报中提到的,诈骗者曾经开端踊跃利用“Trojan-Banker.AndroidOS.Asacub”手机银行实行入侵攻击。Asacub重要经由进程渣滓邮件停止流传。点击歹意链接后,用户被领导到一个页面,提醒他们检查暗藏木马的信息,当用户检查时,Asacub就会下载到装备。
在第二季度末,咱们发明该银行木马正在停止更大规模的流传运动:6月份,该银行木马入侵攻击的用户数目是4月份的3倍,而在7月份的第一周,这类增长趋向仍在继承。
【2017年第二季度Trojan-Banker.AndroidOS.Asacub入侵攻击的独一用户数目】
ZTorg的变种
咱们在2017年第一季度的申报中评论辩论的另外一个风趣的主题在第二季度中仍有表现:入侵攻击者继承利用歹意的Ztorg模块上传到Google Play新的利用法式中。风趣的是,在第二季度中,咱们不只发明了第一季度的变种ZTorg,咱们还发明了其余两种新型的歹意软件变种:一种可以或许在Google Play上装置乃至购置利用的木马;另外一种是可以或许发送付费短信的Trojan-SMS.AndroidOS.Ztorg.a。
值得注意的是,在第一季度发明的ZTorg变种会在装置后反省它能否是在虚构机上运转。假如反省顺遂经由进程,则入侵攻击模块就会经由进程长途办事器加载。经由进程利用体系中的破绽漏洞bug,该木马测验考试得到超等用户权限。
而与该变种分歧的是,第二季度呈现的两个歹意软件样本都不会测验考试利用体系破绽漏洞bug得到root权限。
新型木马——Dvmap
2017年4月,咱们发明了一个新的体系级歹意软件——Dvmap。Dvmap木马软件经由进程Google Play利用市肆宣布,并利用了一些异常风险的技巧,包含改动体系库等操纵。它不只能将分歧功效的歹意软件模块装置到体系中,还将歹意代码注入到体系运转时库中。它的重要目标是进入Android体系,下载一些二进制法式,并以root权限来履行这些二进制法式。
WAP计费定阅
在2017年第二季度中,咱们发明利用WAP计费定阅机制盗取用户资金的木马运动正在增长。
简略的说,WAP也便是无线利用协定,WAP计费本身为用户供给一种机制,从网上得到内容的计费直接在话费中发生,而不必要供给付出卡信息,这类方法和SMS办事相似。在得到办事前,客户被重定向到蜂窝办事供给商的网站中确认其操纵。其余,供给商也能够或许利用短信来确认付款信息。
不外如今,木马曾经学会绕过这些限定:咱们发明,这些歹意法式样本会禁用沾染装备的WiFi,并启用挪动数据衔接,因为运营商必要辨认用户停止在线付出,以是WAP计费只在手机挪动数据网络下能力停止。其余,木马还采纳JS代码停止自动化操纵,如开启web页面,点击WAP计费相干按钮,如许就不必要用户交互了。歹意法式还会删除用户收到的SMS新闻,防止用户起疑;部门样本还利用装备管理员权限令其移除更有难度。
其余,咱们还检测到第二季度Top 20最罕见的木马中就有2个歹意法式正在利用这类WAP计费机制,它们分别是:Trojan-Clicker.AndroidOS.Autosus.a和Trojan-Dropper.AndroidOS.Agent.hb。大部门被沾染地区在俄罗斯和印度,咱们觉得这可以或许与本地电信市场的近况无关。
今朝,咱们发明很多网络犯法结构都开端利用如许的歹意法式,某些是2016岁终或许2017岁首?年月开辟的,本年夏日开端极速增长。
挪动威逼统计
2017年第二季度,卡巴斯基实验室检测到1,319,148个歹意装置软件,险些与前两个季度持平。
【检测到的歹意装置包数目(Q3 2016 – Q2 2017)】
分歧范例的挪动歹意软件的变更趋向
【2017年第一季度和第二季度分歧歹意软件的变更趋向】
在2017年第二季度中,歹意告白软件(13.31%)的增长幅度最大,增长了5.99%。在一切已发明的装置包中,绝大多数被检测为“AdWare.AndroidOS.Ewind.iz”和“AdWare.AndroidOS.Agent.n”。
Trojan-SMS歹意软件(6.83%)在增长幅度方面排名第二,增长了2.15%。大多数被检测到的装置包属于“Trojan-SMS.AndroidOS.Opfake.bo”和“Trojan-SMS.AndroidOS.FakeInst.a”家属,比上季度增长了3倍多。
在第二季度中,Trojan-Spy(3.88%)的降低幅度最大。而在第一季度中,Trojan-Spy(10.27%,增长1.83%)增长幅度仅次于Trojan-Ransom,排名第二。其时是因为属于“Trojan-Spy.AndroidOS.SmForw”和“Trojan-Spy.AndroidOS.SmsThief”家属的歹意法式数目增长而至。
其余,在第一季度中增长幅度排名第一的Trojan-Ransom(16.42%),在第二季度中呈现了降低趋向,仅占15.09%,较上季度降低2.55%。
请注意,这类歹意法式评级不包含潜伏的风险或无害法式,比方RiskTool或告白软件。
排名第一的是DangerousObject.Multi.Generic(62.27%),该软件是利用基于云技巧的歹意法式检测平台检测的。当防病毒数据库既不包含署名也不包含启发式检测歹意法式时,云技巧就能够或许施展作用了,然则防病毒公司的云中同样平常曾经有包含无关工具的信息了。这根本上便是若何检测最新歹意软件的进程。
排名第二的是Trojan.AndroidOS.Boogr.gsh(15.46%)。该木马是基于机械进修的体系来检测进去的。该木马所占比例较第一季度(4.51%)增长了近3倍,使其名次从第一季度的第三名上升至本季度的第二名。
排名第三的是Trojan.AndroidOS.Hiddad.an(4.20%)。这类歹意软件会伪装成各类分歧的风行游戏或利用法式。风趣的是,一旦运转,它会下载并装置它所伪装的利用法式。在这类情况下,木马会哀求管理员权限来防止被删除。 Trojan.AndroidOS.Hiddad.an的重要目标是频仍展现告白,其重要的受害者在俄罗斯。在2017年第一季度中,该木马排名第二(9.35%)。
排名第四的是Trojan-Dropper.AndroidOS.Hqwar.i(3.59%),这类经由进程 “混淆器/封隔器”来暗藏其歹意软件现实起源的木马,从第一季度的第8名上升至本季度的第4名。在大多数情况下,该木马暗藏的是与FakeToken和Svpeng木马家属相干的称号。
排名第五的是Trojan Backdoor.AndroidOS.Ztorg.c(3.41%),它是利用超等用户权限的最活泼的告白木马之一。
在2017年第二季度的“Top 20挪动歹意软件法式”中包含11款试图得到或利用root权限,并利用告白作为重要敛财手腕的木马。它们的目标是经由进程暗藏装置新的告白软件,更踊跃地向用户投放告白。同时,超等用户权限可以或许赞助它们将本身“暗藏”在体系文件夹中,防止被删除。值得注意的是,在Top 20榜单中,这类范例的歹意软件数目近来不停在削减(在2017年第一季度中,有14款这类范例的木马。)
排名第六的是Trojan-Dropper.AndroidOS.Agent.hb (3.16%),它是一个繁杂的模块化木马法式,重要的歹意部门必要从网络犯法分子的办事器中下载。咱们可以或许假定这个木马是为了经由进程付费定阅机制盗取财帛。
其余,Trojan-Clicker.AndroidOS.Autosus.a (2.08%)排在第11名,其重要义务便是激活付费定阅。要做到这一点,它必要“点击”网络目次中定阅相干的按钮,和暗藏传入包含与它们无关的信息的短信。
Trojan.AndroidOS.Agent.bw(1.67%)排在第14位。该木马重要针对印度的用户(跨越92%的受灾群体),就像Trojan.AndroidOS.Hiddad.an同样,该木马法式也是经由进程捏造风行的游戏和法式,一旦运转,就会从讹诈者的办事器上下载并装置各类歹意利用法式。
排名第15的是Trojan.AndroidOS.Agent.gp (1.54%),该木马法式重要用于盗取用户资金,因为其利用管理员权限,以是可以或许防止任何将其从受沾染装备中删除的测验考试。
排在第17名的是Trojan-Banker.AndroidOS.Svpeng(1.49%),该木马家属曾经坚持持续3个季度的活泼,今朝还是2017年第二季度最受欢迎的银行木马。
挪动威逼的地舆散布
【2017年第二季度挪动歹意软件沾染的地舆地位散布】
受到挪动歹意软件入侵攻击的十大国度(受入侵攻击用户的百分比排名):
与第一季度同样,在第二季度中,伊朗仍旧是受到挪动歹意软件入侵攻击的用户百分比最高的国度,盘踞44.78%;排名第2的是中国:有31.49%的用户至多蒙受了一次挪动威逼入侵攻击;其次是孟加拉国(27.10%)。
俄罗斯(12.10%)在本季度中排在第26位(上一季度排在第40位);法国(6.04%)第58名;美国(4.5%)第71名;意大利(5.7%)第62名;德国(4.8%)第67名;英国(4.3%)第73名。
其余,环球最网安的国度分别为,丹麦(2.7%)、芬兰(2.6%)和日本(1.3%)。
手机银行木马
在2017年第二季度中,咱们检测到了28,976个手机银行木马装置包,比第一季度降低了1.1倍。
【卡巴斯基实验室解决方案检测到的手机银行木马法式数目(2016年Q3 – 2017年Q2)】
Trojan-Banker.AndroidOS.Svpeng.q曾经持续多个季度盘踞最风行的手机银行木马之列。这个手机银行木马家属利用网络垂纶窗口从网上银行帐户盗取信用卡数据和登录暗码。其余,入侵攻击者还可以或许经由进程短信办事盗取包含手机银行里的资金。
与之相似的木马另有“Trojan-Banker.AndroidOS.Hqwar.jck”和“Trojan-Banker.AndroidOS.Asacub.af”。值得注意的是,这3个银行木马入侵攻击的目标用户大多数位于俄罗斯。
【2017年第二季度挪动银行威逼地舆散布】
受到手机银行木马家属入侵攻击的十大国度(受入侵攻击用户百分比排名):
与上季度比拟,在2017年第二季度中,手机银行木马家属入侵攻击的十大国度排名险些坚持稳定:俄罗斯(1.63%)仍旧稳居第一;澳大利亚(0.81%)紧随厥后,在针对澳大利亚用户的入侵攻击中,最风行的手机银行木马是“Trojan-Banker.AndroidOS.Acecard”和“Trojan-Banker.AndroidOS.Marcher”;排名第三的国度是土耳其(0.81%)。
挪动打单软件
在2017年第二季度中,咱们检测到了200, 054个挪动打单软件木马装置包,远远跨越了2016年第四季度。
【卡巴斯基实验室检测到的挪动打单软件木马装置包数目(Q3 2016 – Q2 2017)】
2017年上半年,咱们发明了比以往任何时代都要多的挪动打单软件装置包,缘故原由是Trojan-Ransom.AndroidOS.Congur家属的呈现、众多。平日,Congur家属的木马具备异常简略的功效,它们能变动体系暗码(PIN),或许假如先前没有装置暗码,则装置它以致装备无奈失常运转,而后哀求用户付出赎金。值得注意的是,该木马的改动可以或许利用现有的超等用户权限将其模块装置到体系文件夹中。
Trojan-Ransom.AndroidOS.Fusob.h仍旧是第二季度最受欢迎的挪动打单软件木马,约占20%的入侵攻击比例,该比例只是上一季度(45%)的一半。一旦运转,木马会哀求管理员权限,网络无关装备的信息,包含GPS坐标和通话记载,并将数据下载到歹意办事器中。以后,它就能够或许会收到阻拦装备的敕令。
【2017年第二季度挪动打单软件地舆散布】
受到挪动打单软件入侵攻击的十大国度(按用户百分比排名):
在“受到挪动打单软件入侵攻击的十大国度”中,美国以1.24的比例盘踞第一;最风行的木马家庭为Trojan-Ransom.AndroidOS.Svpeng。这些木马呈如今2014年,是Trojan-Banker.AndroidOS.Svpeng手机银行木马家属的变种版本。它们同样平常会哀求受害者付出100-500美元的赎金来解锁装备。
中国(0.65%)在本季度中排名第二,大部门挪动打单软件入侵攻击为Trojan-Ransom.AndroidOS.Congur家属。
意大利(0.57%)排名第三,用户的重要威逼来自Trojan-Ransom.AndroidOS.Egat.d木马。该木马重要流传规模在欧洲,平日哀求受害者付出100-200美元来解锁装备。
网络犯法分子所利用的易受入侵攻击的利用法式
在2017年第二季度,因为Microsoft Office几个零日破绽漏洞bug的呈现,以致破绽漏洞bug利用形式发生了严重的变更。
本年4月初,网安研究人员发明了Microsoft Office的OLE处置机制的完成上存在一个逻辑破绽漏洞bug(CVE-2017-0199),入侵攻击者可以或许利用此破绽漏洞bug经由进程诱利用户关上处置特别结构的Office文件在用户体系上履行随意率性敕令,从而节制用户体系。只管,微软在4月份的例行补钉(4月12日)中对此破绽漏洞bug停止了修补,然则受到入侵攻击的Microsoft Office用户数险些翻了三倍,达到了150万。其余,利用该破绽漏洞bug针对Microsoft Office用户实行入侵攻击运动的数目盘踞一切入侵攻击的71%。
【2017年第二季度易受入侵攻击的利用法式散布】
实在,第二季度中许多入侵攻击变乱都是因为Shadow Brokers黑客小组透露大批NSA文件形成的。透露的文档中包含大批可用于Windows各版本的网络破绽漏洞bug。只管这些破绽漏洞bug中大多数并非零日破绽漏洞bug,且在透露之前一个月,就宣布了MS17-010更新法式停止修补,然则成果照样形成了可骇的影响。在EternalBlue和EternalRomance等黑客工具的赞助下,经由进程网络散发的蠕虫、木马和打单软件带来的损害和沾染的数目都是无奈估计的。
2017年第二季度,单是卡巴斯基实验室就曾经阻拦了跨越500万次利用这些网络破绽漏洞bug实行的入侵攻击运动,今朝,天天的均匀入侵攻击次数正在不断增长:曩昔30天内发明的入侵攻击数目就盘踞了全体入侵攻击的82%。
【2017年6月,IDS检测的利用ShadowBrokers破绽漏洞bug的统计数据】
上图中的峰值是因为ExPetr打单软件的呈现,网安专家指出该歹意软件可以或许经由进程多种道路渗入渗出网络。有时候,它利用歹意网站(经由进程沾染流传);用户会收到伪装成体系更新的歹意软件。有时候,沾染会经由进程第三方软件更新流传,比方经由进程乌克兰管帐软件M.E.Doc。换句话说,并无繁多的可猜测进口点能停止进攻。
在线威逼(基于Web的入侵攻击)
银行业在线威逼
这些统计数据是基于对卡巴斯基实验室产物的检测成果,卡巴斯基实验室产物的用户曾经批准供给统计数据。从2017年第一季度开端,卡巴斯基实验室就开端统计包含ATM和POS终端的歹意法式,但不包含挪动威逼。
2017年第二季度,卡巴斯基实验室解决方案阻拦了224,000台电脑上的一个或多个可以或许经由进程网上银行盗取资金的歹意法式。
【2017年4月-6月时代蒙受银行歹意软件入侵攻击的用户数目】
入侵攻击的地舆散布
为了评价和比拟环球银行木马和ATM和POS歹意软件沾染之间的干系,咱们对申报时代(4月-6月)环球一切装置卡巴斯基实验室产物的用户停止了查询拜访,得出了每一个国度蒙受入侵攻击用户的百分比数据。
【2017年第二季度银行歹意软件入侵攻击地舆散布(受入侵攻击用户百分比)】
受到入侵攻击排名前十的国度(按蒙受入侵攻击用户百分比排名):
2017年第二季度,德国(2.61%)蒙受银行木马打击的用户比例最高;其次是多哥(2.14%);利比亚(1.77%)排名第3。
Top10 银行歹意软件家属
下表表现了2017年第二季度利用率排名前十的歹意银行软件家庭(按受入侵攻击用户所占的百分比排名)
在2017年第二季度,Trojan-Spy.Win32.Zbot(32.58%)仍旧是最受欢迎的歹意软件家属。它的源代码自透露以来不停是地下的,以是网络犯法分子平日会依据源代码编写新的改动来进级该木马家庭。
其次是Trojan.Win32.Nymaim(26.02%),一开端,该木马家属的歹意软件只是在用户的装备下载法式,而后阻拦装备的失常运转。以后,发明了Trojan.Win32.Nymaim家属歹意软件的新变种,它们具备了Gozi银行木马的部门功效,用于盗取网络银行体系中的用户付出数据。在2017年第一季度,Gozi(2.66%)排名第七。
打单软件木马
2017年5月,名为“Wannacry”的蠕虫打单软件囊括环球,影响了环球近百个国度的上千家企业及大众结构。该软件是一种蠕虫变体,利用多个Windows版本中的破绽漏洞bug停止流传。
就在“Wannacry”渐渐削弱之际,另外一款打单软件木马ExPetr大规模来袭。假如说,Wannacry没有呈现出显著的地区偏好,“不分青红皂白”地囊括了环球一切国度,那末ExPetr则是目标明白地针对乌克兰地区实行入侵攻击。
除震动环球的大规模打单软件入侵攻击外,2017年第二季度还呈现了一个风趣的趋向:几个分歧打单软件加密运动背后的操纵者停止了他们的运动,而且颁布了用于解密受害者文件所需的密钥,以下是申报时代地下密钥的名单:
Crysis (Trojan-Ransom.Win32.Crusis);
AES-NI (Trojan-Ransom.Win32.AecHu);
xdata (Trojan-Ransom.Win32.AecHu);
Petya/Mischa/GoldenEye(Trojan-Ransom.Win32.Petr).
打单软件的数目变更
2017年第二季度,咱们发明了15个新呈现的打单软件家属,和15,663个原有歹意法式的新变种,该数目远低于上季度的新变种数目。其余,第一季度中,大多数检测到的变种都属于Cerber家属,而在第二季度,该地位终极属于Wannacry一切。
【打单软件新变体数目(Q2 2016 – Q2 2017)】
被打单软件入侵攻击的用户数
在2017年第二季度,总共有246, 675个卡巴斯基网安用户受到隐衷信息的入侵攻击。只管新变体的数目有所削减,但受掩护的用户数目正在增长。
【2017年第二季度,Trojan-Ransom cryptor歹意软件入侵攻击的用户数】
入侵攻击的地舆散布
Top10蒙受打单软件入侵攻击的国度:
Top10流传最广的打单软件家属
除上述的Wannacry和ExPetr以外,十大最受欢迎的打单软件家属还包含其余两个“新来者”:Jaff和Purgen。此中,Jaff排名第4,随后是Cryrar。其余的打单软件还包含Cerber、Locky、Spora和Shade。
Top10蒙受网络资本入侵攻击最严重的国度
以下统计数据基于入侵攻击中利用的在线资本的物理地位,并由卡巴斯基实验室的防病毒组件(包含重定向到破绽漏洞bug的网页,包含破绽漏洞bug利用和其余歹意软件的站点,僵尸网络敕令中间等)阻拦。此中任何独一的主机都可以或许有一个或多个Web入侵攻击的起源。
为了肯定基于Web入侵攻击的地舆起源,咱们将域名与其现实域IP地点停止婚配,而后树立特定IP地点(GEOIP)的地舆地位。
在2017年第二季度,卡巴斯基实验室解决方案阻拦了来自环球191个国度的网络资本提议的342, 566, 061次入侵攻击。此中,33, 006, 783个独一的URL被Web防病毒组件辨认为歹意。
【2017年第二季度受网络资本入侵攻击的国度散布】
在2017年第二季度,美国(32.81%)盘踞了第一位,随后是新西兰(20.1%)、法国(11.06%)、芬兰(10.31%)、德国(8.45%)和俄罗斯(3.48%)等。
用户面对网络沾染风险最大的国度排名
为了评价分歧国度用户面对的在线沾染风险,咱们盘算了本季度卡巴斯基实验室产物用户在其装备上蒙受沾染的百分比。得出的数据供给了盘算机在不消国度/地区的事情情况中蒙受沾染的概率。
此统计仅包含属于歹意软件类的歹意法式入侵攻击,不包含网络防病毒模块所检测出的潜伏风险或无用法式,如RiskTool或告白软件。
均匀来讲,本季度有17.26%的盘算机至多受到过一个歹意软件家属的网络入侵攻击。
【2017年第二季度歹意网路入侵攻击地舆散布】
最网安的在线网络情况是古巴(5%)、芬兰(11.32%)、新加坡(11.49%)、以色列(13.81%)和日本(7.56%)。
本地威逼
用户盘算机的本地威逼统计信息是异常重要的目标:它反应了经由进程沾染文件或可挪动媒体渗入渗出到盘算机体系的威逼,或许最后以加密格式上传到盘算机上的威逼(比方集成在繁杂装置法式中的法式,加密文件等)。
在2017年第一季度,卡巴斯基实验室的文件杀毒软件检测到185, 801, 835个歹意和潜伏的不必要的法式工具。
用户面对本地威逼风险最高的国度
对付每一个国度,咱们盘算了本季度中卡巴斯基实验室产物用户在其盘算机上触发文件杀毒软件的百分比。这些统计数据反应了分歧国度个人电脑沾染的程度。
歹意法式的排名统计仅包含歹意软件级其余入侵攻击,不包含网络防病毒模块检测的潜伏的风险或不必要的法式,如RiskTool或告白软件。
用户面对本地沾染风险最高的Top 20国度与上季度根本坚持稳定,只是本季度中莫桑比克和毛里塔尼亚代替了上季度的哈萨克斯坦和白俄罗斯:
2017年第二季度,环球盘算机均匀的本地威逼为20.97%。此中俄罗斯是25.82%。
本地威逼风险最小的国度有:智利(15.06%)、拉脱维亚(14.03%)、葡萄牙(12.27%)、澳大利亚(9.46%)、英国(8.59%)、爱尔兰(6.30%)和波多黎各(6.15%)。
