- 邁克菲實(shí)驗(yàn)室觀測(cè)到亞洲地區(qū)的移動(dòng)惡意軟件增長(zhǎng)了一倍���,全球移動(dòng)惡意軟件感染率上升了 57%
- 過(guò)去四個(gè)季度的移動(dòng)惡意軟件總數(shù)增長(zhǎng)了 79%����,樣本總數(shù)達(dá)到 1670 萬(wàn)
- 廣告軟件的大量充斥導(dǎo)致今年一季度針對(duì) Mac 操作系統(tǒng)的惡意軟件樣本總數(shù)增長(zhǎng)了 53%
- 新的勒索軟件在一季度有所反彈���,主要?dú)w因于針對(duì)安卓系統(tǒng)的 Congur 系列攻擊
- 過(guò)去四個(gè)季度的勒索軟件總數(shù)增長(zhǎng)了 59%��, 樣本總數(shù)達(dá)到 960 萬(wàn)
- 今年一季度公開(kāi)披露的安全事件達(dá)到 301 起���,比去年四季度增長(zhǎng)了 53%
- 醫(yī)療系統(tǒng)�����、公共部門(mén)和教育行業(yè)發(fā)生的安全事件數(shù)占所有安全事件的 50% 多
北京2017年6月28日電 /美通社/ -- 邁克菲公司今日發(fā)布《邁克菲實(shí)驗(yàn)室威脅報(bào)告:2017年6月刊》���,探討了Fareit密碼竊取軟件的起源和內(nèi)部工作機(jī)制,回顧了過(guò)去 30 年惡意軟件逃逸技術(shù)的演化��,闡述了逃逸技術(shù)采用的隱寫(xiě)術(shù)特性����,評(píng)述了各個(gè)行業(yè)公開(kāi)披露的威脅攻擊事件,并總結(jié)了在 2017 年一季度惡意軟件�����、勒索軟件�����、移動(dòng)惡意軟件和其它威脅的增長(zhǎng)趨勢(shì)�����。
“現(xiàn)在市場(chǎng)上的反安全、反沙箱和反分析的逃逸技術(shù)即便沒(méi)有上千項(xiàng)也有數(shù)百項(xiàng)�,而且許多都可以在暗網(wǎng)市場(chǎng)上直接購(gòu)買(mǎi)到?���!边~克菲實(shí)驗(yàn)室副總裁 Vincent Weafer 說(shuō)道,“這期發(fā)布的報(bào)告提醒我們�����,欺騙已經(jīng)從針對(duì)某幾個(gè)系統(tǒng)的單個(gè)威脅���,逐漸演變到針對(duì)多個(gè)系統(tǒng)的復(fù)雜威脅,以及到針對(duì)整個(gè)新安全模式�����,如機(jī)器學(xué)習(xí)��?��!?/span>
30 年惡意軟件逃逸技術(shù)回顧
在 20 世紀(jì) 80 年代���,惡意軟件開(kāi)發(fā)者開(kāi)始嘗試一些方法來(lái)逃避安全產(chǎn)品的檢測(cè)��,當(dāng)時(shí)����,有一個(gè)惡意軟件通過(guò)加密自己的部分代碼使安全分析員無(wú)法閱讀內(nèi)容�����,而成功繞過(guò)了防御體系��?���!疤右菁夹g(shù)”指的是惡意軟件所能用到的所有能規(guī)避檢測(cè)、分析和檢查的方法����。邁克菲實(shí)驗(yàn)室將逃逸技術(shù)分為以下三大類:
- 反安全技術(shù):用于規(guī)避來(lái)自防惡意軟件引擎、防火墻��、應(yīng)用程序遏制和/或其它防護(hù)手段的檢測(cè)����。
- 反沙箱技術(shù):用于檢測(cè)自動(dòng)分析并規(guī)避能夠報(bào)告惡意軟件行為的引擎。通過(guò)檢測(cè)注冊(cè)表項(xiàng)����、文件或與虛擬環(huán)境相關(guān)的進(jìn)程����,惡意軟件能夠知曉是否在沙箱內(nèi)運(yùn)行����。
- 反分析技術(shù):用于檢測(cè)和欺騙惡意軟件分析人員,比如�����,通過(guò)找到類似 Process Explorer 或 Wireshark 的監(jiān)控工具��,以及采用某些進(jìn)程監(jiān)控伎倆�����、打包程序或偽裝工具來(lái)規(guī)避反向工程���。
《邁克菲實(shí)驗(yàn)室威脅報(bào)告:2017 年 6 月刊》探討了一些較強(qiáng)大的逃逸技術(shù),以及可提供現(xiàn)成逃逸工具的暗網(wǎng)市場(chǎng)���,舉例說(shuō)明了幾個(gè)惡意軟件系列是如何利用逃逸技術(shù)來(lái)規(guī)避檢測(cè)��,以及對(duì)未來(lái)的預(yù)期�,包括機(jī)器學(xué)習(xí)規(guī)避技術(shù)和基于硬件的規(guī)避技術(shù)。
在眾目睽睽下隱藏:隱寫(xiě)術(shù)的隱藏威脅
隱寫(xiě)術(shù)是一項(xiàng)隱藏秘密信息的科學(xué)藝術(shù)����,在數(shù)字世界中,它用來(lái)將信息隱藏在圖像����、音頻、視頻或文本文件中����。數(shù)字隱寫(xiě)術(shù)通常被惡意軟件作者用來(lái)逃避來(lái)自安全系統(tǒng)的檢測(cè)。我們所知的首例將隱寫(xiě)術(shù)應(yīng)用于網(wǎng)絡(luò)攻擊中的惡意軟件是 2011 年的 Duqu 惡意軟件����。將隱寫(xiě)術(shù)應(yīng)用于數(shù)字圖像時(shí),通過(guò)嵌入算法插入秘密信息�����,將圖像傳輸?shù)侥繕?biāo)系統(tǒng)�,并提取秘密信息以供惡意軟件使用。修改后的圖像通常很難被人眼或安全技術(shù)檢測(cè)到�����。
邁克菲實(shí)驗(yàn)室將網(wǎng)絡(luò)隱寫(xiě)術(shù)視為該學(xué)科的最新形式,因?yàn)樗鼘?/span> TCP/IP 協(xié)議頭中的未使用字段用于隱藏?cái)?shù)據(jù)��。由于攻擊者可以使用這種技術(shù)通過(guò)網(wǎng)絡(luò)發(fā)送無(wú)限量的信息���,這種方法正在被越來(lái)越多的攻擊者使用��。
Fareit:最臭名卓著的密碼竊取工具
Fareit 首次出現(xiàn)于 2011 年�����,并以多種方式演變�,包括新攻擊向量����、增強(qiáng)的架構(gòu)和內(nèi)部工作機(jī)制,以及規(guī)避檢測(cè)的新方法�。Fareit 是最臭名卓著的密碼竊取惡意軟件,這已經(jīng)得到越來(lái)越多人們的共識(shí)�����,而且種種跡象表明��,它可能被用于 2016 年美國(guó)總統(tǒng)大選之前的那起著名的針對(duì)民主黨全國(guó)委員會(huì) (DNC) 的數(shù)據(jù)泄漏事件中�。
Fareit 可通過(guò)網(wǎng)絡(luò)釣魚(yú)郵件、DNS 投毒和漏洞利用工具包進(jìn)行傳播����。受害者可能會(huì)收到一封帶有附件的惡意釣魚(yú)電子郵件,該附件可能是 Word 文檔�����、JavaScript 或存檔文件��。一旦用戶打開(kāi)附件���,Fareit 就能夠感染系統(tǒng)���,將盜取的用戶憑據(jù)發(fā)送給它的控制服務(wù)器,然后下載此次攻擊活動(dòng)中附帶的其它惡意軟件����。
2016 年的美國(guó)民主黨全國(guó)委員會(huì)數(shù)據(jù)泄漏事件的罪魁禍?zhǔn)资敲麨?/span> Grizzly Steppe 的惡意軟件攻擊活動(dòng)。邁克菲實(shí)驗(yàn)室在美國(guó)政府公布的 Grizzly Steppe 報(bào)告中的攻陷指標(biāo) (IoC) 列表中發(fā)現(xiàn)了 Fareit 哈希��。普遍認(rèn)為這一類別的 Fareit 專門(mén)應(yīng)用于針對(duì) DNC 的攻擊中,通過(guò)網(wǎng)絡(luò)釣魚(yú)郵件附帶的惡意 Word 文檔附件進(jìn)行傳播���。
該惡意軟件引用了一些已發(fā)現(xiàn)的 Fareit 樣本中多個(gè)不常見(jiàn)的控制服務(wù)器地址�����。在 DNC 攻擊事件中��,它可能聯(lián)合其它技術(shù)來(lái)竊取電子郵件�、FTP和其它重要的憑據(jù)�。邁克菲實(shí)驗(yàn)室懷疑,Fareit 還將其它諸如 Onion Duke 和 Vawtrak 的高級(jí)威脅下載到受害者的系統(tǒng)中���,以發(fā)動(dòng)進(jìn)一步的攻擊���。
“隨著人們、企業(yè)和政府部門(mén)越來(lái)越多地依賴僅有密碼保護(hù)的系統(tǒng)和設(shè)備���,他們的憑據(jù)安全性非常低��,很容易被竊取��,對(duì)網(wǎng)絡(luò)犯罪分子來(lái)講非常有吸引力���。”Weafer 指出�,“邁克菲實(shí)驗(yàn)室相信使用密碼竊取技術(shù)的攻擊很可能會(huì)有所增加,Grizzly Steppe 攻擊活動(dòng)中已可窺見(jiàn)一些新型未來(lái)技術(shù)��?����!?/span>
2017 年一季度威脅活動(dòng)
2017 年一季度�����,邁克菲全球威脅智能感知系統(tǒng) (GTI) 登記的針對(duì)各個(gè)行業(yè)的網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)攻擊事件呈現(xiàn)顯著的增長(zhǎng)趨勢(shì):
- 新威脅:2017 年一季度�,平均每秒鐘檢測(cè)到 244 個(gè)新威脅,約合每秒鐘 4 個(gè)�����。
- 安全事件:邁克菲統(tǒng)計(jì)到今年一季度公開(kāi)披露的安全事件達(dá)到 301 起���,比去年四季度增長(zhǎng)了 53%���。醫(yī)療系統(tǒng)、公共部門(mén)和教育行業(yè)發(fā)生的安全事件數(shù)占所有安全事件的 50% 多。
- 惡意軟件:一季度新惡意軟件樣本數(shù)有所反彈���,達(dá)到 3200 萬(wàn)個(gè)����。過(guò)去四個(gè)季度�,惡意軟件樣本總數(shù)增加了 22%,已知樣本數(shù)達(dá)到 6.7 億個(gè)�。新的惡意軟件數(shù)量反彈到過(guò)去四年的季度平均水平。
- 移動(dòng)惡意軟件:一季度亞洲地區(qū)報(bào)告的移動(dòng)惡意軟件數(shù)增長(zhǎng)了一倍��,全球移動(dòng)惡意軟件感染率增長(zhǎng)了 57%�����。過(guò)去四個(gè)季度���,移動(dòng)惡意軟件總數(shù)增長(zhǎng)了 79%��,樣本數(shù)達(dá)到 1670 萬(wàn)個(gè)�。導(dǎo)致這一結(jié)果的較大貢獻(xiàn)者是 Android/SMSreg 的增長(zhǎng)����,通過(guò)檢測(cè)���,它是一個(gè)來(lái)自印度的潛在有害程序。
- Mac 操作系統(tǒng)惡意軟件:過(guò)去三個(gè)季度�,針對(duì) Mac 操作系統(tǒng)的惡意軟件增長(zhǎng)迅猛,主要原因是大量充斥的廣告軟件�。盡管與針對(duì) Windows 的威脅相比��,Mac 的威脅數(shù)量仍然比較少��,但一季度針對(duì) Mac 操作系統(tǒng)的惡意軟件樣本總數(shù)增長(zhǎng)了 53%��。
- 勒索軟件:一季度新型勒索軟件樣本數(shù)有所反彈��,主要?dú)w因于針對(duì)安卓操作系統(tǒng)設(shè)備的 Congur 勒索軟件攻擊�。過(guò)去十二個(gè)月,勒索軟件樣本總數(shù)增長(zhǎng)了 59%��,已知樣本總數(shù)達(dá)到 960 萬(wàn)個(gè)���。
- 垃圾郵件僵尸網(wǎng)絡(luò):今年四月份����,Kelihos 僵尸網(wǎng)絡(luò)的幕后元兇在西班牙被捕�����。多年以來(lái),數(shù)以百萬(wàn)計(jì)攜帶金融詐騙惡意軟件和勒索軟件的垃圾郵件的背后都有 Kelilos�����。據(jù)美國(guó)司法部發(fā)布的信息�,在打擊 Kelilos 的行動(dòng)中,美國(guó)與影子服務(wù)器基金會(huì) (Shadow Server Foundation) 等外國(guó)機(jī)構(gòu)及行業(yè)廠商之間的合作貢獻(xiàn)頗多���。
若要了解有關(guān) 2017 年一季度威脅趨勢(shì)和威脅格局的更多信息����,請(qǐng)?jiān)L問(wèn) www.mcafee.com/cn 閱讀完整報(bào)告�����。
若要了解本報(bào)告中企業(yè)如何更好地保護(hù)自己遠(yuǎn)離威脅的詳細(xì)信息�,請(qǐng)?jiān)L問(wèn)我們的安全博客。
