一、概述
在2016年,网络攻击给世界带来了重大影响,甚至成为美国大选中的一个关键因素。在这方面,2016年你可以看到每一个人、甚至是从来没有登录过网站的人都受到了网络攻击和黑客行为的影响。
二、报告研究基础
我们的报告以下面的数据为基础:
- 几乎十亿恶意软件的检测/发生。
- 2016年6月到11月期间的数据。
- 近1亿个Windows和Android设备。
- 超过200个国家。
- 来源于企业和消费者环境。
- 我们的报告关注六类威胁:勒索软件、广告欺诈恶意软件、Android恶意软件、僵尸网络、银行木马和恶意广告软件。
此外,我们使用的数据不仅包括感染数据,还包含来自我们自己内部蜜罐的数据和收集的数据,这些都有利于识别恶意软件的传播。
三个关键点:
- 勒索软件占据了新闻头条,并且成为了攻击商业活动最受欢迎的攻击方法。
- 有时候检测到的以Kovter为首的广告欺诈恶意软件比勒索软件还要多,对消费者和企业构成巨大威胁。
- 僵尸网络感染并招募了物联网设备,发动了大规模DDoS攻击。
三、勒索软件上升到威胁首位,重点针对商业活动
在2016年,勒索软件抢占了新闻头条,并有很好的理由。尽管传统恶意软件,如银行木马、间谍软件、和键盘记录的网络犯罪,在将受害者的钱接收到银行帐户之前,需要监控多个步骤,而勒索软件使这个步骤简化了很多,可以看作是自动化处理。脚本小子甚至可以购买勒索软件工具包,被称为“勒索软件即服务(RaaS)”,它可以将所有复杂的障碍从数字盗窃中去除。仅在2016年第四季度,我们就编目了近400个勒索软件的变种,大部分是一些新犯罪团体为了获得利润而创建的。
勒索软件的趋势不是新的,然而,正如我们已经看到的,它的传播在过去两年有很大增长,并观察到特定的恶意软件家族上升到了网络犯罪交易的首位。
勒索软件的传播从2016年1月到2016年11月增长了267%。这个威胁景观占据了前所未有的统治地位,这是以前从来没有见到过的。
1. 受勒索软件影响最多的前十个国家
上图是受勒索软件最多的前十个国家,美国是检测到勒索软件最多的国家,这一点不必惊讶。来自世界各地和东欧的许多团体都以美国为目标,这不仅是因为美国民众对技术有广泛的可及性,还因为他们支付赎金的方式,以及他们的意识形态观点。有一个国家似乎从这个名单上消失了,这就是俄罗斯,因为俄罗斯公民牢牢掌握了计算机的安全,而且,有一个现象就是俄罗斯勒索软件开发者可能很少攻击他们自己人。
2. 勒索软件在各大洲的分布
3. 2016年最流行的勒索软件家族
2016年,在勒索软件游戏中有三个主要玩家。其中的一个已经退出了比赛,其它两个还在继续争夺统治地位。它们是:TeslaCrypt、Locky、Cerber。
在下表中,你能看到2016年其它一些突出的勒索软件家族。
在2016年初,TeslaCrypt曾大规模传播,但是在5月份TeslaCrypt被关闭了,并为所有受害者释放出了解密密钥。
当TeslaCrypt被关闭后,它创造的真空期很快被其它两个家族占据了,它们是Locky和Cerber。它们几乎占满了整个2016年第三季度和第四季度,不过在3月和5月时,它们的传播水平已经几乎和TeslaCrypt一样了。
检测到勒索软件的不同、即使是在高发区
- 在企业环境中检测到的勒索软件有81%发生在北美洲。
- 在家庭/消费者环境检测到的勒索软件有51%发生在欧洲。
勒索软件网络犯罪份子将他们的努力集中在了商业活动中,特别是北美企业,毫无疑问,他们可能意识到这些公司可以损失的东西很多、并且有很多支付资源。在全球范围内,在12.3%的企业交易活动中探测到了勒索软件,但是在消费者端,只有1.8%。
四、广告欺诈恶意软件严重攻击着美国人
尽管在2016年勒索软件占据着统治地位,但是广告欺诈恶意软件的表现也很突出。实际上,探测到的广告欺诈恶意软件,尤其是Kovter恶意软件,在夏天的几个月里能媲美勒索软件。
1. 发现广告欺诈的前10个国家
2. 近看Kovter广告欺诈恶意软件
Kovter是目前发现的最先进的恶意软件家族。它包含了复杂的功能,如文件不用落盘,拥有只创建一个注册表键值就可以感染系统的能力,这让很多反病毒产品很难探测到它。另外,Kovter采用rootkit功能来进一步隐藏自身的存在,并会积极的识别和关闭安全解决方案。
尽管Kovter不是新的,它第一次出现是在2015年,一直被用作其他恶意软件家族的下载者,一个负责偷取个人信息的工具,一个用于获得系统访问权的后门。
然而在2016年,我们观察到它开始被用作广告欺诈恶意软件,这种恶意软件可以被用于劫持系统,并使用它去访问网站、点击广告,这是为了在广告竞价活动(被称为点击劫持)中创造更多的点击量。除了以这样的方式运用这种恶意软件外,在2016年Kovter的传播也发生了变化,Kovter以前主要是通过驱动器漏洞和利用工具包来传播,现在也看到了它使用大量的恶意钓鱼邮件。
这种传播方法的变化,结合Kovter的传播者更喜欢将美国人作为目标这个事实,使Kovter在2016年成为了美国人面对的最大威胁之一,同时Kovter攻击美国人比其它任何人都多,占到了68.64%。
3. 各国检测到的Kovter分布
Kovter在方法和传播上的改变是有意义的,因为它反应了勒索软件的增长趋势:Kovter和勒索软件两者都为攻击者提供了直接的利润来源,从而不用靠给其它罪犯出售密码库、信用卡信息、及社交媒体帐户来获得利润。这种攻击可以向受害人要求报酬,用于恢复他们的重要文件。或利用受害人去欺诈广告业,从而可以在较少的努力下得到更多的利润。
五、僵尸网络利用物联网设备制造大破坏
僵尸网络在过去10年里是部署恶意软件最常用的机制之一。这些年我们看到僵尸网络采用了一个新的战术:攻击、感染和雇佣物联网络设备成为僵尸网络的一部分,如联接到互联网的恒温调节器、或家用安全摄像机。2016年最受关注的僵尸网络被称为Mirai,一个开源的恶意软件,它能感染设备,并从一个命令和控制服务器上获取命令。在9月下旬,使用Mirai僵尸网络的大规模攻击行动入侵了很多物联网设备和家用路由器,所有受感染的设备都从一个单一的源接收命令,当僵尸网络军队集结完毕后,攻击者使用分布式拒绝服务攻击打倒了几个著名的网站。
一个月后,Mirai攻击了互联网的一个骨干区域,Dyn,并且这种做法阻止了数以百万计的用户访问热门网站,如Twitter、Reddit、和Netflix。Mirai在功能上不仅能扫描连接到互联网的设备,还能使用一个内部的用户名和密码数据库,去获得设备的访问权,这是Mirai的一个重要功能。在Mirai进入设备并感染它后,Mirai根据操作者的命令,可以向任何目标发动DDoS攻击。
我们看到起源于流行僵尸网络家族的变种在亚洲和欧洲在增加。例如,Kelihos僵尸网络在七月份增加了785%,到了十月份增加到960%。IRCBot僵尸网络在八月份增加了667%。Qbog僵尸网络在十一月份增加了261%。
1. 分布在各大洲的僵尸网络
上图为僵尸网络在各大洲的分布状况,亚洲的僵尸网络占到了61.15%,其次是欧洲,占到14.97%。
德国处理了大量的僵尸网络问题,从2015年到2016年,在该国检测到的僵尸网络数量增加了550%。
2. 网络罪犯改变了恶意软件传播策略
2016年,在钓鱼邮件中使用脚本附件是恶意软件传播方法的最大改变之一。这些脚本通常驻留在压缩文件中,一旦打开并触发了它们,它们会访问远程服务器,并在系统中下载和安装恶意软件。
另一个在2016年又流行的方式是使用包含宏脚本的Office文档(.docx,.xlsx,等等),一旦用户打开文件并启用宏后,恶意软件就会被执行。通常会使用社会工程学策略,攻击者会哄骗用户启用宏功能,恶意宏在系统中会下载并运行恶意软件。建立在原有感染方法之上,攻击者通过发送受保护的ZIP文件和Office文件来增加复杂性,并在钓鱼邮件中包含解压密码。这增加了攻击的合理性,同时,这也是一种有效的对抗电子邮件自动分析的方法,包括蜜罐和沙箱。
在6月份,通过利用工具包,使用宏脚本的数量增加很多。这是因为Angler利用工具包,一个2015年到2016年初的主要的利用工具包,后来它的服务被关闭了。然而,RIG利用工具包迅速代替了Angler的位置,并且在2017年我们可能会看到更多。
六、Android恶意软件变得更聪明
在过去几年里,手机威胁景观并没有改变很多。Android恶意软件创造者主要是在追赶现代Windows桌面恶意软件的功能,当这些功能涉及到Android操作系统时,可能比较困难。
然而在2016年,一个值得注意的趋势是使用随机化的恶意软件作者增加了,这可以被用于逃避手机安全引擎的探测。这导致了被检测到的Android恶意软件增加了很多。
分布在各国的Android恶意软件
有趣的是,巴西,印度尼西亚,菲律宾和墨西哥是检测到Android恶意软件前10位的国家。在发展中国家检测到很多流行的Android恶意软件,主要是因为在这些国家广泛使用了不安全的第三方应用商店。
七、恶意软件攻击在国家和地理上的差异
我们的数据显示,在不同区域使用的攻击方法和恶意软件有所不同。针对美国和欧洲的攻击是高度分化的。在美国探测到了大多数类型的恶意软件,并且探测到的每一个类威胁总量都要领先于其它所有国家,除了银行木马类型,这一类型的攻击在土耳其是最多的。
在本报告关注的恶意软件类型中,欧洲是恶意软件缠身最深的大陆,欧洲的感染量比北美洲多了20%,比大洋洲更是高了17倍。
1.在勒索软件方面,欧洲领先于所有其它大陆:有49%的勒索软件是在基于欧洲的设备中探测到的。
2.在Android恶意软件方面,有31%的Android恶意软件是在基于欧洲的设备中探测到的。
3.在恶意广告软件方面:有37%的恶意广告软件是在基于欧洲的设备中探测到的。
欧洲的恶意软件将目光投向法国、英国、和西班牙
在欧洲被恶意软件攻击最多的国家是法国、英国、和西班牙。
针对英国的恶意软件总量仅次于法国。在我们6个月的研究期内,我们看到英国的事件几乎是俄罗斯的两倍。德国受勒索软件的影响排在第二位,排在美国后面。一个接受的理论是:恶意软件作者在广泛传播他们的成品前,会先将德国作为了一个试验场。同时,俄罗斯受勒索软件的影响是不均衡的(和其它国家相比,勒索软件对俄罗斯的影响较小),但俄罗斯却是银行木马的热门目标。
八、2017预测
1. 勒索软件
在2016年年末,主要的勒索软件占据了重要的舞台,我们不太可能看到很多新的先进的勒索软件家族在Cerber和Locky的成熟和大规模渗透下进入市场。其中的许多将利用勒索软件的流行在网络犯罪中迅速发展。
这种趋势从2016年开始还将断续延续。在2016年后六个月里探测到的勒索软件变种中,有60%从出现到现在还不到一年,这进一步说明了一个事实:今天存在的大多数勒索软件是由新手开发的,并带到了勒索软件行业中。
我们可能会看到更多的变种,它们会修改受害计算机的主引导记录(MBR)。MBR是系统能将自己引导到操作系统状态的关键组件,一旦被修改,系统将会被引导到恶意软件设置的一个锁屏状态,并要求赎金用于解密文件,及恢复主操作系统的访问权。此功能的添加将受害者的选项减少到只有两个:要么支付赎金,要么把系统彻底擦干净。
2. 恶意软件传播
多年来,我们观察到在恶意软件的传播方式中最稳定的只有一个:通过电子邮件传播。网络钓鱼攻击,包含恶意附件,这种方法在2016年下半年有一个很大的反弹。然而,我们预测在不久的将来,利用工具包(特别是RIG)有可能会再一次成为标准的恶意软件传播方式。
由于源于钓鱼邮件的下载者和安装恶意软件会有新的发展,以及使用包含宏脚本的Office文档,在未来我们不会看到钓鱼攻击方法会消失,这种攻击方法在今年剩下的时间里,将继续维持在稳定的水平,并可能会变得复杂。
3. 物联网
利用物联网设备的新网络攻击在激增,加上对物联网产业安全的关注不足,导致像Mirai的僵尸网络有能力攻击互联网的骨干区域。不论物联网产业决定做什么---未雨绸缪或完全忽视安全---2017年新的物联网攻击策略大门已经被类似于Mirai的恶意软件打开。