卡巴斯基实验室:2019Q1 IT威胁发展趋势统计报告
一、季度数据
根据卡巴斯基安全网络的统计结果,我们在2019Q1内,共阻止了全球203个国家中在线发生的843096461次攻击。
Web反病毒组件将113640221个唯一URL识别为恶意URL。
通过在线访问窃取银行账户资金的恶意软件尝试在243604个用户的计算机上发起攻击。
在284489个独立用户的计算机上,成功防御勒索软件攻击。
文件反病毒产品检测到247907593个独特的恶意对象和可能不需要的对象。
用于移动设备的卡巴斯基实验室产品共检测到905174个恶意安装包、29481个移动银行特洛伊木马安装包和27928个移动勒索木马的安装包。
二、移动端威胁
2.1 季度重点
在2019年第一季度,需要我们重点关注的,主要是针对移动金融领域的威胁。中国菜刀
首先,以俄罗斯为目标的Asacub木马的恶意运营者进行了几次大规模的分发尝试,每天最多可影响13000个独立用户。在这些攻击中,攻击者使用自动化工具向已经感染的智能手机中的联系人发送恶意链接。邮件通常包括以下消息:
{受害者姓名}, you received a new mms: ____________________________ from {受害者通讯录中的姓名}
{受害者姓名}, the mms: smsfn.pro/3ftjR was received from {受害者通讯录中的姓名}
{受害者姓名}, photo: smslv.pro/c0Oj0 received from {受害者通讯录中的姓名}
{受害者姓名}, you have an mms notification ____________________________ from {受害者通讯录中的姓名}
其次,在今年年初,Google Play商店中的恶意应用软件数量有所增加,其中部分恶意软件的目的是窃取巴西网上银行应用程序用户的凭据。
虽然此类恶意软件被发布在最受欢迎的应用程序平台上,但其下载的次数极低。我们认为,网络犯罪分子可能在将受害者引诱到包含恶意应用程序的网页时,遇到了一些问题。
2.2 移动威胁统计
在2019年第一季度,卡巴斯基实验室检测到905174个恶意安装包,比上一季度减少了95845个。
2018年第二季度到2019年第一季度之间,检测到的恶意安装包数量对比:
2018年第一季度和2019年第一季度分发新检测到的移动应用程序的类型分布:
在2019年第一季度发现的所有威胁中,占比最高的一部分用于潜在未经请求的RiskTool应用程序,其下载率为29.80%,与上一季度相比下降19个百分点。最为常见的对象来自RiskTool.AndroidOS.Dnotua(占所有检测到的此类威胁的28%)、RiskTool.AndroidOS.Agent(27%)和RiskTool.AndroidOS.SMSreg家族(16%)。
排在第二位的是Trojan-Dropper类型(24.93%)的威胁,其占比与上一季度相比增加了13个百分点。其中,检测到的绝大多数文件都属于Trojan-Dropper.AndroidOS.Wapnor家族(占所有检测到的此类威胁的93%)。除此之外,还包含Trojan-Dropper.AndroidOS.Agent(3%)和Trojan-Dropper.AndroidOS.Hqwar家族(2%),以及一小部分其他类型的木马。
与2018年第四季度相比,广告应用程序(Adware)的占比增长了一倍。AdWare.AndroidOS.Agent(占此类威胁的44.44%)、AdWare.AndroidOS.Ewind(35.93%)以及AdWare.AndroidOS.Dnotua家族(4.73%)占据了这一类别的主要份额。
统计数据显示,2019年第一季度的移动金融威胁数量呈现明显增加趋势。在2018年第四季度,移动银行特洛伊木马的占比仅为1.85%,而这一数值在2019年第一季度,就已经上升至占所有检测到的威胁的3.24%。
攻击者最常使用的木马是Trojan-Banker.AndroidOS.Svpeng(占所有检测到的移动银行木马的20%)、Trojan-Banker.AndroidOS.Asacub(18%)和Trojan-Banker.AndroidOS.Agent家族(15%)。
2.3 移动恶意程序TOP 20
需要注意的是,该恶意软件排名中不包含RiskTool和Adware等潜在危险或无实际需要的应用程序。天空彩
1.DangerousObject.Multi.Generic(54.26%)
2.Trojan.AndroidOS.Boogr.gsh(12.72%)
3.Trojan-Banker.AndroidOS.Asacub.snt(4.98%)
4.DangerousObject.AndroidOS.GenericML(4.35%)
5.Trojan-Banker.AndroidOS.Asacub.a(3.49%)
6.Trojan-Dropper.AndroidOS.Hqwar.bb(3.36%)
7.Trojan-Dropper.AndroidOS.Lezok.p(2.60%)
8.Trojan-Banker.AndroidOS.Agent.ep(2.53%)
9.Trojan.AndroidOS.Dvmap.a(1.84%)
10.Trojan-Banker.AndroidOS.Svpeng.q(1.83%)
11.Trojan-Banker.AndroidOS.Asacub.cp(1.78%)
12.Trojan.AndroidOS.Agent.eb(1.74%)
13.Trojan.AndroidOS.Agent.rt(1.72%)
14.Trojan-Banker.AndroidOS.Asacub.ce(1.70%)
15.Trojan-SMS.AndroidOS.Prizmes.a(1.66%)
16.Exploit.AndroidOS.Lotoor.be(1.59%)
17.Trojan-Dropper.AndroidOS.Hqwar.gen(1.57%)
18.Trojan-Dropper.AndroidOS.Tiny.d(1.51%)
19.Trojan-Banker.AndroidOS.Svpeng.ak(1.49%)
20.Trojan.AndroidOS.Triada.dl(1.47%)
其中,我们统计了卡巴斯基实验室移动安全解决方案在本季度中受到攻击的全部用户,并计算出受到某类型特定攻击的用户占全部被恶意软件攻击用户的百分比。
按照惯例,在2019年第一季度,排名前20位中的第一名是DangerousObject.Multi.Generic(54.26%),这是我们使用云技术检测到的恶意软件。当反病毒数据库缺少用于检测恶意软件的数据时,我们会部署云技术,但该公司的云已经包含有关该对象的信息。由此,我们得以检测到最新的恶意程序。二四六
排在第二位的是Trojan.AndroidOS.Boogr.gsh(12.72%),我们通过机器学习系统识别出此恶意文件。
第三名是Trojan-Banker.AndroidOS.Asacub.snt银行木马(4.98%)。在第一季度,这一家族在我们TOP 20排行中占据了其中的4位,分别是第3名、第5名、第11名和第14名。
DangerousObject.AndroidOS.GenericML(4.35%)在第一季度排名第四,但这一恶意软件可能是最值得关注的,该恶意软件被机器学习系统检测到。但不同于Trojan.AndroidOS.Boogr.gsh,该恶意软件是由卡巴斯基实验室基础设施处理和检测到的,DangerousObject.AndroidOS.GenericML在此之前作为用户提交的文件被提供给安全解决方案处理,目前可以通过这种方式检测到最新的威胁模式。
Hqwar Dropper家族成员Trojan-Dropper.AndroidOS.Hqwar.bb(3.36%)和Trojan-Dropper.AndroidOS.Hqwar.gen(1.57%)分别获得第六名和第十七名。这些Dropper中通常包含银行特洛伊木马,包括Asacub。
第七名是Trojan-Dropper.AndroidOS.Lezok.p(2.60%)。Lezok家族以其具有各种分发方案而著称,其中包括供应链攻击,会在将恶意软件上传至应用商店前,被嵌入到移动设备的固件之中。这种分发方式是非常危险的,其原因有两个:
1. 普通用户很难确定他们的设备是否已经被感染;
2. 要清除这种恶意软件是非常复杂的。
Lezok特洛伊木马系列主要用于展示持久性的广告、为用户订阅付费短信服务,以及为各种平台上的应用程序增加下载量。
在TOP 20移动威胁中,值得重点说明的最后一个特洛伊木马是Trojan-Banker.AndroidOS.Agent.ep。该木马可以以独立形式存在,也可以在Hqwar Dropper内部出现。该恶意软件具有广泛的反动态分析功能,可以检测是否处于Android模拟器或Genymotion环境中。该恶意软件可以打开任意网页进行网络钓鱼,从而获取登录凭据。它使用辅助功能服务来获取各种权限,并与其他应用程序进行交互。
2.4 移动威胁的地理分布
移动恶意软件感染地理分布图(2019年第一季度):
受移动恶意软件攻击的用户所占比例排名前10的国家是:
1.巴基斯坦 37.54%
2.伊朗 31.55%
3.孟加拉国 28.38%
4.阿尔及利亚 24.03%
5.尼日利亚 22.59%
6.印度 21.53%
7.坦桑尼亚 20.71%
8.印度尼西亚 17.16%
9.肯尼亚 16.27%
10.墨西哥 12.01%
上述排名不包含卡巴斯基实验室移动杀毒软件用户数量较少(低于10000)的国家。
其中,我们统计了安装卡巴斯基实验室移动反病毒软件的用户中,在本季度中受到攻击的全部用户,并计算出特定国家用户占全部被攻击用户的百分比。
根据统计结果,巴基斯坦(37.54%)排名第一,该国用户被感染数量最多的是AdWare.AndroidOS.Agent.f、AdWare.AndroidOS.Ewind.h和AdWare.AndroidOS.HiddenAd.et广告恶意软件。
第二名是伊朗(31.55%),该国在每个季度都位列前10名之中。最常见的恶意软件是Trojan.AndroidOS.Hiddapp.bn,以及无实际需要的应用程序RiskTool.AndroidOS.Dnotua.yfe和RiskTool.AndroidOS.FakGram.a。在这三个恶意软件中,最后一个是最值得关注的,因为该应用程序的主要目的是拦截********的信息。需要提及的是,********应用程序在伊朗被禁止,因此该恶意软件实际上符合该国政府的目标。
排在第三位的是孟加拉国(28.38%),在第一季度中,该国与巴基斯坦感染了同样的广告应用程序,并且该恶意程序已经被武器化。
2.5 手机银行特洛伊木马
在本报告的期间内,我们共监测到29481个移动银行特洛伊木马安装包,比2018年第四季度增加了近11000个。其中,最主要的是Trojan-Banker.AndroidOS.Svpeng(占所有检测到的银行特洛伊木马的20%),第二名是Trojan-Banker.AndroidOS.Asacub(18%),第三名是Trojan-Banker.AndroidOS.Agent(15%)。
移动银行特洛伊木马的安装包数量(2018年第二季度至2019年第一季度):
1.Trojan-Banker.AndroidOS.Asacub.snt 23.32%
2.Trojan-Banker.AndroidOS.Asacub.a 16.35%
3.Trojan-Banker.AndroidOS.Agent.ep 11.82%
4.Trojan-Banker.AndroidOS.Svpeng.q 8.57%
5.Trojan-Banker.AndroidOS.Asacub.cp 8.33%
6.Trojan-Banker.AndroidOS.Asacub.ce 7.96%
7.Trojan-Banker.AndroidOS.Svpeng.ak 7.00%
8.Trojan-Banker.AndroidOS.Agent.eq 4.96%
9.Trojan-Banker.AndroidOS.Asacub.ar 2.47%
10.Trojan-Banker.AndroidOS.Hqwar.t 2.10%
在十大银行威胁中,有一半是Trojan-Banker.AndroidOS.Asacub家族的成员。该木马的创建者在第一季度积极分发样本。其中,特别是Asacub.cp特洛伊木马,攻击的用户数量达到每天8200。但即使是有如此高的结果,也依然被Asacub.snt超越,后者在恶意活动的高峰期间,每天影响13000名用户。
与Trojan-Banker.AndroidOS.Agent.ep类似,我们在峰值时期记录了大约3000名受到攻击的用户。但是,在本季度末,平均每天受到攻击的独特用户数量已经降低到1000以下。最有可能的原因并非对特洛伊木马的需求减少,而是网络犯罪分子很可能已经开始使用Hqwar Dropper的两阶段感染方式。
手机银行威胁地理分布(2019年第一季度):
受移动银行特洛伊木马攻击数量占据TOP 10的国家:
1.澳大利亚 0.81%
2.土耳其 0.73%
3.俄罗斯 0.64%
4.南非 0.35%
5.乌克兰 0.31%
6.塔吉克斯坦 0.25%
7.亚美尼亚 0.23%
8.吉尔吉斯斯坦 0.17%
9.美国 0.16%
10.摩尔多瓦 0.16%
上述排名不包含卡巴斯基实验室移动杀毒软件用户数量较少(低于10000)的国家。
其中,我们统计了安装卡巴斯基实验室移动反病毒软件的用户中,在本季度中受到攻击的全部用户,并计算出特定国家用户占全部被攻击用户的百分比。
在2019年第一季度,澳大利亚(0.81%)的感染数量位列第一。在该国家中,最常见的感染是Trojan-Banker.AndroidOS.Agent.eq和Trojan-Banker.AndroidOS.Agent.ep。这两种类型的恶意软件并非澳大利亚独有,而是针对全球范围内发动攻击。
第二名是土耳其(0.73%),在土耳其,最为常见的恶意软件是Trojan-Banker.AndroidOS.Agent.ep。
俄罗斯(0.64%)位居第三,最为常见的恶意软件是Asacub和Svpeng家族系列。
2.6 移动勒索软件
在2019年第一季度,我们共检测到27928个移动勒索软件安装包,比上一季度增加了3900个。
卡巴斯基实验室检测到的移动勒索软件安装包数量(2018年第二季度到2019年第一季度):
1.Trojan-Ransom.AndroidOS.Svpeng.ah 28.91%
2.Trojan-Ransom.AndroidOS.Rkor.h 19.42%
3.Trojan-Ransom.AndroidOS.Svpeng.aj 9.46%
4.Trojan-Ransom.AndroidOS.Small.as 8.81%
5.Trojan-Ransom.AndroidOS.Rkor.snt 5.36%
6.Trojan-Ransom.AndroidOS.Svpeng.ai 5.21%
7.Trojan-Ransom.AndroidOS.Small.o 3.24%
8.Trojan-Ransom.AndroidOS.Fusob.h 2.74%
9.Trojan-Ransom.AndroidOS.Small.ce 2.49%
10.Trojan-Ransom.AndroidOS.Svpeng.snt 2.33%
其中是遭受相关恶意软件攻击的独特用户,占卡巴斯基实验室监测到遭受勒索软件攻击的所有移动安全解决方案的百分比。
在2019年第一季度,最常见的移动勒索软件系列是Svpeng,在TOP 10之中占据4项。
移动勒索软件地理分布(2019年第一季度):
遭受移动勒索软件攻击的用户所占比例排名前10名的国家:
1.美国 1.54%
2.哈萨克斯坦 0.36%
3.伊朗 0.28%
4.巴基斯坦 0.14%
5.墨西哥 0.10%
6.沙特阿拉伯 0.10%
7.加拿大 0.07%
8.意大利 0.07%
9.印度尼西亚 0.05%
10.比利时 0.05%
上述排名不包含卡巴斯基实验室移动杀毒软件用户数量较少(低于10000)的国家。
其中,我们统计了安装卡巴斯基实验室移动安全解决方案的用户中,遭受移动勒索软件攻击的百分比。
在上一季度,移动勒索软件攻击用户数量排名前三的国家是:美国(1.54%)、哈萨克斯坦(0.36%)和伊朗(0.28%)。
三、针对Apple macOS的攻击
随着攻击者不断提升其威胁能力,他们逐步开发出针对不同平台的恶意软件,因此,像macOS这样的流行系统,也同样不容忽视。尽管该平台的新型恶意软件系列相对较少,但确实存在一些威胁,主要是广告软件。
这类应用程序的运作方式众所周知:感染受害者、在系统中持续存在、展示广告横幅。实际上,针对恶意软件每次所展示的广告,以及用户每次点击,攻击者都会收到相应的费用。因此,这类攻击者需要以下内容:
1. 显示广告横幅的代码,以便在受感染的计算机上尽可能频繁地运行;
2. 使受害者尽可能经常点击横幅;
3. 拥有尽可能多的受害者。
应该注意的是,受感染主机上的广告软件感染技术和广告软件自身的行为,有时与恶意软件差别不大。同时,横幅本身可以随时显示在屏幕上的任何位置,无论是在打开的浏览器窗口中,还是在屏幕中心的单独窗口中。
3.1 macOS威胁TOP 20
1.Trojan-Downloader.OSX.Shlayer.a 24.62%
2.AdWare.OSX.Spc.a 20.07%
3.AdWare.OSX.Pirrit.j 10.31%
4.AdWare.OSX.Pirrit.p 8.44%
5.AdWare.OSX.Agent.b 8.03%
6.AdWare.OSX.Pirrit.o 7.45%
7.AdWare.OSX.Pirrit.s 6.88%
8.AdWare.OSX.Agent.c 6.03%
9.AdWare.OSX.MacSearch.a 5.95%
10.AdWare.OSX.Cimpli.d 5.72%
11.AdWare.OSX.Mcp.a 5.71%
12.AdWare.OSX.Pirrit.q 5.55%
13.AdWare.OSX.MacSearch.d 4.48%
14.AdWare.OSX.Agent.a 4.39%
15.Downloader.OSX.InstallCore.ab 3.88%
16.AdWare.OSX.Geonei.ap 3.75%
17.AdWare.OSX.MacSearch.b 3.48%
18.AdWare.OSX.Geonei.l 3.42%
19.AdWare.OSX.Bnodlero.q 3.33%
20.RiskTool.OSX.Spigot.a 3.12%
其中,我们统计了安装卡巴斯基实验室macOS安全解决方案的用户中,遭受恶意软件攻击的百分比。
Trojan-Downloader.OSX.Shlayer.a(24.62%)在macOS威胁的排名中位列第一。来自Shlayer系列的恶意软件通常以Flash Player或其更新的形式发布。这类恶意软件的主要任务是下载和安装各种广告应用程序,包括Bnodlero。
AdWare.OSX.Spc.a(20.07%)和AdWare.OSX.Mcp.a(5.71%)是典型的广告软件应用程序,会与各种合法的macOS应用程序一起分发。在安装后,它们会将自身写入自动加载器(Autuloader)中,并保持在后台运行。
AdWare.OSX.Pirrit家族的成员会向受害者的浏览器中添加扩展,其中某些版本还会在受害者的计算机上安装代理服务器,以拦截来自浏览器的流量。所有这些操作都只有一个目的,将广告注入用户查看的网页中。
由AdWare.OSX.Agent.a、AdWare.OSX.Agent.b和AdWare.OSX.Agent.c组成的恶意软件家族,与Pirrit家族密切相关,因为它经常会下载后者的成员。该系列恶意软件可以下载、解压缩和启动不同文件,并能够将带有广告的JS代码嵌入到受害者浏览的网页之中。
AdWare.OSX.MacSearch是另一个系列的广告应用程序,具有与受害者浏览器交互的大量工具。该恶意软件可以操纵浏览器历史记录(读/写)、将浏览器搜索系统改为其自定义的、添加扩展程序、在用户查看的页面上嵌入广告横幅。此外,该恶意软件还可以在用户不知情的情况下下载和安装其他应用程序。
AdWare.OSX.Cimpli.d(5.72%)可以下载和安装其他广告应用程序,但其主要目的是更改浏览器主页,并安装广告扩展。与其他广告软件应用程序一样,所有这些操作都指在受害者的浏览器中显示广告。
Downloader.OSX.InstallCore家族并非病毒,这一系列恶意软件在其长期的发展中完善了Windows环境中使用的技巧,并且将相同的技术转移到了macOS上。典型的InstallCore成员实际上是一个安装程序,更确切地说,是一个用于创建具有广泛功能的安装程序的框架,它并不是主要InstallCore程序包的一部分,而是单独下载的。除了合法软件之外,它还可以分发一些有趣的应用程序,包括哪些包含广告的应用程序。此外,InstallCore还用于分发DivX Player。
AdWare.OSX.Geonei家族是最古老的macOS广告软件系列之一。它采用恶意软件作者自创的混淆技术来逃避安全解决方案。与广告软件程序一样,其主要任务是通过将广告嵌入网页的HTML代码中,从而在浏览器中显示广告。
与其他类似的应用程序一样,AdWare.OSX.Bnodlero.q(3.33%)会在用户的浏览器中安装广告扩展,并更改默认搜索引擎和主页。更重要的是,它可以下载和安装其他广告应用程序。
3.2 威胁地理分布
1.法国 11.54%
2.西班牙 9.75%
3.印度 8.83%
4.意大利 8.20%
5.美国 8.03%
6.加拿大 7.94%
7.英国 7.52%
8.俄罗斯 7.51%
9.巴西 7.45%
10.墨西哥 6.99%
上述排名不包含卡巴斯基实验室macOS安全解决方案用户数量较少(低于10000)的国家。
其中,我们统计了安装卡巴斯基实验室macOS安全解决方案的用户中,独特受攻击用户所占的百分比。
在2019年第一季度,法国(11.54%)在威胁地理分布的前十名中位列第一。在该国,我们发现的最常见感染是Trojan-Downloader.OSX.Shlayer.a、AdWare.OSX.Spc.a和AdWare.OSX.Bnodlero.q。
西班牙(9.75%)、印度(8.83%)和意大利(8.20%)分别位于第二、第三和第四。我们最常遇到的就是Trojan-Downloader.OSX.Shlayer.a、AdWare.OSX.Spc.a、AdWare.OSX.Bnodlero.q、AdWare.OSX.Pirrit.j和AdWare.OSX.Agent.b。
排名第五位的是美国(8.03%),与欧洲的macOS威胁相同。需要注意的是,美国的用户必须处理来自Climpi家族的广告应用程序。
四、IoT攻击
4.1 值得关注的事件
在2019年第一季度,我们注意到了物联网恶意软件行为具有一些值得关注的特征。首先,一些Mirai样本中配备了用于进行人工环境检测的工具,一旦检测到恶意软件在沙箱中运行,就会停止工作。其实现原理非常原始,就是扫描procfs是否存在。
但我们预计,它会在不久的将来变得更加复杂。
其次,其中一个版本的Mirai被发现包含清除其他僵尸环境的机制。它使用模板工作,如果其名称与模板的名称匹配,则会终止进程。有趣的是,Mirai自身就出现在了这些名称的列表中(恶意软件本身的进程名称中不包含“Mirai“):
· dvrhelper
· dvrsupport
· mirai
· blade
· demon
· hoho
· hakai
· satori
· messiah
· mips
最后,我们要提一下利用Oracle Weblogic Server旧漏洞的挖矿木马,尽管它实际上并非IoT恶意软件,而是Linux环境下的木马。
利用Weblogic Server的跨平台优势,网络犯罪分子可以让威胁同时影响Windows主机和Linux主机,并利用嵌入式的威胁实现攻击。
对Windows和Linux主机发起攻击的代码段:
4.2 物联网威胁统计
在2019Q1,我们发现世界上仍然存在许多设备在通过Telnet相互攻击。但需要注意的是,这一趋势与协议本身的安全性没有关联。管理员和托管企业往往会密切监视通过SSH管理的设备或服务器,并终止任何恶意活动。这也就是为什么通过SSH攻击的唯一地址明显少于Telnet攻击的IP地址。
2019年第一季度中受攻击服务的流行程度统计,SSH占17%,Telnet占83%。
然而,网络犯罪分析正在积极使用功能强大的服务器,来管理他们庞大的僵尸网络。这可以从网络犯罪服务器与卡巴斯基实验室的陷阱主机交互的会话数量中看出。
2019年第一季度,卡巴斯基实验室陷阱主机捕获的网络犯罪交互会话分布显示,SSH占64%,Telnet占36%。
一旦攻击者获得对受感染设备的SSH访问权限,那么他们就会有更大的空间来通过感染用户获得收入。在绝大多数涉及截获会话的案例中,我们注册了垃圾邮件,并尝试将陷阱主机作为代理服务器,以及(最不常见的)加密货币挖掘。
4.3 基于Telnet的攻击
试图攻击卡巴斯基实验室Telnet陷阱主机的设备IP地理位置分布(2019年第一季度):
试图攻击卡巴斯基实验室Telnet陷阱主机的设备地理位置TOP 10:
1.埃及 13.46%
2.中国 13.19%
3.巴西 11.09%
4.俄罗斯 7.17%
5.希腊 4.45%
6.约旦 4.14%
7.美国 4.12%
8.伊朗 3.24%
9.印度 3.14%
10.土耳其 2.49%
其中,统计该国家受感染的设备占所有通过Telnet攻击的受感染IoT设备总数的百分比。
在2019年第一季度,埃及(13.46%)位居榜首,排名第二的是中国(13.19%),巴西(11.09%)排名第三。
网络犯罪分子最常利用Telnet攻击,使用Mirai家族成员感染设备。
在成功进行Telnet攻击后,最常下载到受感染IoT设备的十大恶意软件如下:
1.Backdoor.Linux.Mirai.b 71.39%
2.Backdoor.Linux.Mirai.ba 20.15%
3.Backdoor.Linux.Mirai.au 4.85%
4.Backdoor.Linux.Mirai.c 1.35%
5.Backdoor.Linux.Mirai.h 1.23%
6.Backdoor.Linux.Mirai.bj 0.72%
7.Trojan-Downloader.Shell.Agent.p 0.06%
8.Backdoor.Linux.Hajime.b 0.06%
9.Backdoor.Linux.Mirai.s 0.06%
10.Backdoor.Linux.Gafgyt.bj 0.04%
其中,统计在成功进行Telnet攻击后,下载到IoT设备的恶意软件总数中,各恶意软件占比。
值得注意的是,基于Mirai代码的僵尸程序占据了前十名的大部分。这一点并不令人惊讶,并且由于Mirai的普遍性,这一情况可能会持续较长时间。
4.4 基于SSH的攻击
试图攻击卡巴斯基实验室SSH陷阱主机的设备IP地址地理分布(2019年第一季度):
对卡巴斯基实验室陷阱主机发起SSH攻击的设备所在国家TOP 10:
1.中国 23.24%
2.美国 9.60%
3.俄罗斯 6.07%
4.巴西 5.31%
5.德国 4.20%
6.越南 4.11%
7.法国 3.88%
8.印度 3.55%
9.埃及 2.53%
10.韩国 2.10%
其中,统计各国受感染的设备占通过SSH攻击的受感染IoT设备总数的百分比。
大多数情况下,在攻击者成功进行基于SSH的攻击后,会将恶意软件Backdoor.Perl.Shellbot.cd、Backdoor.Perl.Tsunami.gen和Trojan-Downloader.Shell.Agent.p下载到受害者主机上。
五、与金融相关的威胁
5.1 季度重点
在第二季度中,银行恶意软件Trojan DanaBot的感染数量持续增长。该恶意软件的新修改版本,不仅修改了与C&C中心的通信协议,还扩展了恶意软件所针对的组织列表。在上一季度,该恶意软件主要针对澳大利亚和波兰的目标,而第三季度中则增加了奥地利、德国和意大利的组织。
回顾此前的分析结果,我们知道DanaBot具有模块化的结构,可以加载额外的插件来拦截流量、窃取密码和劫持加密货币钱包。恶意软件通过垃圾邮件分发,其中包含恶意Office文档,这是用于下载木马的主体。
5.2 金融威胁统计
在Q1,卡巴斯基实验室的解决方案在243604个用户的计算机上阻止了一种或多种恶意软件,这些恶意软件以从用户的银行账户窃取资金为目的。
遭受金融恶意软件攻击的用户数量(2019年第一季度):
5.3 攻击地理位置分布
为了评估和比较全球范围内银行木马和ATM/POS恶意软件感染的风险,我们计算了在所有国家的全部用户中,在报告周期内面临此威胁的卡巴斯基实验室产品用户所占比例。
受攻击用户数量排名TOP 10的国家:
韩国 2.2%
中国 2.1%
白俄罗斯 1.6%
委内瑞拉 1.6%
塞尔维亚 1.6%
希腊 1.5%
埃及 1.4%
巴基斯坦 1.3%
喀麦隆 1.3%
津巴布韦 1.3%
上述排名不包含卡巴斯基实验室产品用户数量较少(低于10000)的国家。
其中,我们统计了安装卡巴斯基实验室产品的用户中,在本季度中受到银行特洛伊木马攻击的全部用户,并计算出特定国家用户占全部被攻击用户的百分比。
银行恶意软件TOP 10:
1.RTM Trojan-Banker.Win32.RTM 27.42%
2.Zbot Trojan.Win32.Zbot 22.86%
3.Emotet Backdoor.Win32.Emotet 9.36%
4.Trickster Trojan.Win32.Trickster 6.57%
5.Nymaim Trojan.Win32.Nymaim 5.85%
6.Nimnul Virus.Win32.Nimnul 4.59%
7.SpyEye Backdoor.Win32.SpyEye 4.29%
8.Neurevt Trojan.Win32.Neurevt 3.56%
9.NeutrinoPOS Trojan-Banker.Win32.NeutrinoPOS 2.64%
10.Tinba Trojan-Banker.Win32.Tinba 1.39%
其中,我们统计了受该恶意软件攻击的用户占所有受金融恶意软件攻击的用户的百分比。
在2019年第一季度,熟悉的Trojan-Banker.Win32.RTM(27.4%)、Trojan.Win32.Zbot(22.9%)和Backdoor.Win32.Emotet(9.4%)排名前三,排在第四位的是Trojan.Win32.Trickster(6.6%),第五名则是Trojan.Win32.Nymaim(5.9%)。
六、勒索软件程序
6.1 季度重点
本季度,最引人注目的时间可能是针对几家大公司的LockerGoga勒索软件攻击。勒索软件本身可能并不是什么新鲜事,但此次事件中的大规模感染引起了媒体和公众的注意。此类事件再次突出了企业和企业网络安全的问题,因为一旦攻击者渗透,网络犯罪分子可以安装间谍软件并窃取机密数据,而不会被注意到,此时攻击者不会再使用勒索软件。
本季度,在流行的WinRAR压缩程序中发现了一个漏洞,将允许在解压缩ACE类型的压缩文件时,将任意文件放置在任意目录中。网络犯罪分子并没有错过解压缩ACE类型压缩包的机会,利用该压缩包将JNEC勒索软件的可执行文件解压缩到系统自动运行的目录中。
2月,网络连接存储(NAS)接连遭受攻击,其中Trojan-Ransom.Linux.Cryptor恶意软件被安装在受害的设备上,使用椭圆曲线加密算法来加密所有连接驱动器上的数据。此类攻击非常危险,因为NAS设备通常用于存储数据的备份副本。更重要的是,受害者往往不知道运行Linux的单独设备可能是入侵者的目标。
Nomoreransom.org与网络警察合作,编写了一个实用程序,用于解密受到GandCrab(Trojan-Ransom.Win32.GandCrypt)5.1及以前版本影响的文件。该工具可以帮助勒索软件的受害者恢复对其数据的访问,而无需支付赎金。但遗憾的是,在该工具发布之后不久,网络犯罪分子就将恶意软件更新到5.2版本,该工具无法对其进行解密。
6.2 统计
勒索软件新修改的数量(2018年第一季度至2019年第一季度):
与2018年第四季度相比,本季度勒索软件新修改的数量呈现明显下降,已经下降至第三季度。在该系列恶意软件中,已经确定了7个新的家族。
2019年第一季度被勒索软件木马攻击的唯一用户数量:
在2019年第一季度,卡巴斯基实验室产品成功帮助284489名独特的用户防御了勒索软件的攻击。
2月份,受攻击的用户数量与1月相比有所下降,然而到了3月份,我们发现了网络犯罪活动的增加。
6.3 攻击地理分布
2019年第一季度移动勒索软件木马地理位置分布:
被勒索软件木马攻击的TOP 10国家:
1.孟加拉国 8.11%
2.乌兹别克斯坦 6.36%
3.埃塞俄比亚 2.61%
4.莫桑比克 2.28%
5.尼泊尔 2.09%
6.越南 1.37%
7.巴基斯坦 1.14%
8.阿富汗 1.13%
9.印度 1.11%
10.印度尼西亚 1.07%
上述排名不包含卡巴斯基实验室产品用户数量较少(低于10000)的国家。
其中,我们统计了安装卡巴斯基实验室产品的用户中,在本季度中受到勒索木马攻击的用户的百分比。
最常见的勒索软件木马家族TOP 10:
1.WannaCry Trojan-Ransom.Win32.Wanna 26.25%
2.(无通用名称) Trojan-Ransom.Win32.Phny 18.98%
3.GandCrab Trojan-Ransom.Win32.GandCrypt 12.33%
4.(无通用名称) Trojan-Ransom.Win32.Crypmod 5.76%
5.Shade Trojan-Ransom.Win32.Shade 3.54%
6.(无通用名称) Trojan-Ransom.Win32.Encoder 3.50%
7.PolyRansom/VirLock Virus.Win32.PolyRansom 2.82%
8.(无通用名称) Trojan-Ransom.Win32.Gen 2.02%
9.Crysis/Dharma Trojan-Ransom.Win32.Crusis 1.51%
10.(无通用名称) Trojan-Ransom.Win32.Cryptor 1.20%
该统计数据基于卡巴斯基实验室产品的检测判断,该信息由卡巴斯基实验室产品用户提供,这些用户已经授权提供统计数据。
其中,统计了卡巴斯基实验室用户遭受特定系列勒索木马的攻击数,占所有勒索木马攻击用户数的百分比。
七、挖矿活动
7.1 统计数据
在2019年第一季度,卡巴斯基实验室解决方案共检测到11971个新的挖矿软件修改版本。
2019年第一季度新修改挖矿软件数量:
在2019年第一季度,我们在全球使用卡巴斯基实验室产品的1197066名独立用户的计算机上检测到挖矿软件的攻击。
2019年第一季度挖矿软件攻击的用户数量:
7.2 攻击地理分布
2019年第一季度挖矿恶意软件的地理分布:
受挖矿恶意软件袭击的用户份额排名TOP 10:
1.阿富汗 12.18%
2.埃塞俄比亚 10.02%
3.乌兹别克斯坦 7.97%
4.哈萨克斯坦 5.84%
5.坦桑尼亚 4.73%
6.乌克兰 4.28%
7.莫桑比克 4.17%
8.白俄罗斯 3.84%
9.玻利维亚 3.35%
10.巴基斯坦 3.33%的国家:
不包括卡巴斯基实验室用户相对较少(50000以下)的国家。
其中,统计特定国家中计算机遭到挖矿恶意软件攻击的独特用户数量占卡巴斯基实验室产品全部用户数量的百分比。
八、攻击者所利用的易受攻击应用程序
2019年第一季度的统计数据表明,Microsoft Office中的漏洞仍然比其他应用程序中的漏洞利用频率更高,因为这些漏洞易于利用,并且运行稳定。与上一季度相比,Microsoft Office的漏洞利用率没有太大变化,达到69%。
2019年第一季度网络犯罪分子所利用的存在漏洞的应用程序类型:
本季度,在Microsoft Office产品中最受欢迎的漏洞是CVE-2017-11882和CVE-2018-0802,这两个漏洞都与公式编辑器相关,会导致缓冲区溢出,以及后续的远程代码执行。紧随其后的一个漏洞是CVE-2017-8570,这是一个逻辑漏洞,毫不逊色于CVE-2017-0199。接下来的一个漏洞是CVE-2017-8759,其中SOAP WSDL解析器中存在错误,将导致恶意代码的注入,从而感染计算机。我们发现,Microsoft Office漏洞之所以在统计数据中的占比过高,有一部分原因是因为这些漏洞的恶意文档生成器被公开发布。
在第一季度,浏览器中检测到的漏洞比例达到14%,几乎是Microsoft Office的五倍。利用浏览器漏洞对于攻击者来说通常是一个问题,因为浏览器开发人员会不断提出新的方案来防范某些类型的漏洞,而绕过这些防护方案的技术,通常需要整个利用链来实现目标,这将会显著增加此类攻击的成本。
但是,这并不意味着不存在对浏览器的复杂攻击。一个主要的例子是Google Chrome的CVE-2019-5786 0-Day漏洞,该漏洞被攻击者积极利用。为了绕过沙箱,攻击者将其与win32k.sys驱动程序(CVE-2019-0808)中的漏洞一起利用,目标针对32位版本的Windows 7用户。
可以公平地说,2019年第一季度与之前一样,存在大量0-Day的攻击目标。卡巴斯基实验室的研究人员在Windows内核中发现了一个被积极利用的0-Day漏洞,该漏洞被分配编号CVE-2019-0797。漏洞利用了在未记录的系统调用期间,由于缺少线程同步而导致的竞态条件,从而导致Use-After-Free。值得注意的是,CVE-2019-0797是卡巴斯基实验室近几个月来发现的第四个0-Day漏洞。
今年年初,一个值得注意的事件是,研究人员发现了CVE-2018-20250漏洞,该漏洞已经在WinRAR实用程序的解压缩ACE压缩包的模块中存在了19年。该组件缺乏对文件路径的重恩检查,允许攻击者将可执行文件解压到系统自动运行的目录之中。该漏洞自爆出后,就立即被用于分发恶意压缩包。
尽管FuzzBunch漏洞利用工具包(EternalBlue、EternalRomance等)中涉及的漏洞已经是修复后的两年之久,但这些攻击仍然占据我们统计数据的TOP 10位置。恶意软件数量的持续增长也促进了漏洞利用数量的提升,攻击者使用此类漏洞针对企业网络内部发动攻击。
九、通过网络资源进行攻击
本节中的统计信息基于Web反病毒,可在用户从恶意/受感染网页下载恶意对象时保护用户。恶意网站是网络犯罪分子专门创建的站点,具有用户可以创建内容的Web资源(例如:论坛)以及被攻击者入侵的合法资源可能会被感染。
9.1 网络攻击来源国家
下面的统计数据展示了卡巴斯基实验室产品在用户计算机上阻止的互联网攻击来源的国家分布情况。任何独特的主机都可能是一个或多个基于Web的攻击的来源。
为了确定基于Web的攻击的地理来源,我们将域名与实际IP地址进行匹配,然后确定特定IP地址的地理位置。
在2019年第一季度,卡巴斯基实验室解决方案阻止了全球203个国家的在线资源发起的843096461次攻击。Web反病毒组件将113640221个唯一URL识别为恶意URL。
2019年第一季度网络攻击来源国家分布:
本季度,美国在攻击来源方面最为活跃。
9.2 用户面临风险最大的国家
为了评估不同国家的用户所面临的在线感染风险,我们计算了每个国家的卡巴斯基实验室用户在本季度触发Web反病毒机制的百分比。由此产生的数据可以表明不同国家的风险程度。
该评级仅包括恶意软件类的攻击,不包括Web反病毒触发器响应潜在危险或无实际需要的程序的统计数据,例如RiskTool或广告软件。
1.委内瑞拉 29.76%
2.阿尔及利亚 25.10%
3.希腊 24.16%
4.阿尔巴尼亚 23.57%
5.爱沙尼亚 20.27%
6.摩尔多瓦 20.09%
7.乌克兰 19.97%
8.塞尔维亚 19.61%
9.波兰 18.89%
10.吉尔吉斯斯坦 18.36%
11.阿塞拜疆 18.28%
12.白俄罗斯 18.22%
13.突尼斯 18.09%
14.拉脱维亚 17.62%
15.匈牙利 17.61%
16.孟加拉国 17.17%
17.立陶宛 16.71%
18.吉布提 16.66%
19.留尼旺 16.65%
20.塔吉克斯坦 16.61%
上述统计数据不包括卡巴斯基实验室用户相对较少(10000以下)的国家。
其中,统计针对特定国家用户的恶意软件攻击数量占全部用户的百分比。
这些统计数据是基于Web反病毒模块的检测结果,经用户授权后收集到的。
平均而言,全球有13.18%的互联网用户至少受到过一次恶意软件攻击。
2019年第一季度恶意网络攻击的地理位置分布:
十、本地威胁
用户本地计算机感染统计是一个重要的指标。本地威胁是指通过感染文件或可移动介质渗透到目标计算机的对象,或者以非开放形式(例如:复杂安装程序中的恶意程序、加密后的文件等)进入计算机的对象。
本节中的数据,基于分析在创建或访问硬盘驱动器时文件反病毒扫描所产生的统计信息,以及扫描可移动存储介质的结果。该数据包括检测位于用户计算机上的恶意程序或连接到计算机的可移动介质,包括U盘、相机或手机存储卡和外部硬盘驱动器。
在2019年第一季度,我们的文件反病毒检测到了247907593个恶意对象或无实际需要的对象。
针对每个国家,我们计算了在报告期间触发计算机文件反病毒的卡巴斯基实验室产品用户所占的百分比。这些统计数据反映了不同国家的个人计算机的感染程度。
1.乌兹别克斯坦 57.73%
2.也门 57.66%
3.塔吉克斯坦 56.35%
4.阿富汗 56.13%
5.土库曼斯坦 55.42%
6.吉尔吉斯斯坦 51.52%
7.埃塞俄比亚 49.21%
8.叙利亚 47.64%
9.伊拉克 46.16%
10.孟加拉国 45.86%
11.苏丹 45.72%
12.阿尔及利亚 45.35%
13.老挝 44.99%
14.委内瑞拉 44.14%
15.蒙古 43.90%
16.缅甸 43.72%
17.利比亚 43.30%
18.玻利维亚 43.17%
19.白俄罗斯 43.04%
20.阿塞拜疆 42.93%
上述统计数据不包括卡巴斯基实验室用户相对较少(10000以下)的国家。
其中,统计阻止特定国家本地恶意软件威胁数量占卡巴斯基实验室产品用户总数的百分比。