[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告

目录

0x01 第一季度的数据

0x02 重大安全事件概述

Ⅰ有目标性的攻击

①BlackEnergy2/3

②Poseidon

③Hacking Team

④Operation BLOCKBASTER 

⑤针对医院的攻击

Ⅱ网络犯罪活动

①Adwind(RAT)

②Banking threats银行威胁

③FakeCERT

④Bangladesh      

0x03 勒索木马

Ⅰ勒索木马的统计数据

①新型勒索木马的数量

②勒索木马攻击的用户数量

③勒索木马攻击最多的国家Top10

④传播最广泛的勒索木马Top10

0x04 统计数据         

Ⅰ移动威胁

①新移动威胁的数量

②移动威胁的类型分布情况

③移动威胁Top20

④移动威胁的地理分布情况

⑤移动端银行木马

⑥移动端的勒索木马

⑦易被网络犯罪分子攻击使用的应用程序

Ⅱ线上威胁(基于Web的攻击)

①银行业的在线威胁

②网络资源带有恶意软件的国家Top10

Ⅲ本地威胁

①用户面临感染威胁风险最高的国家


0x01 第一季度的数据


1.根据KSN的数据,卡巴斯基检测到并成功防御了228,420,754 次恶意攻击,这些攻击遍布世界上195个国家。
2.网页反病毒检测到了74,001,808个恶意URL。 
3.卡巴斯基网络反病毒检测到18,610,281个恶意程序,脚本,漏洞,可执行文件等。
4.有459,970个木马企图盗窃在线银行账户的资金。
5.阻止了加密勒索软件在372,602台计算机设备上的攻击。
6.卡巴斯基文件反病毒组件检测到了174,547,611恶意或者不需要的程序(PUA)。
7.卡巴斯基移动端安全软件检测到:
*2,045,323个木马安装包,
*4,146个银行木马,
*2,896个手机勒索软件。


0x02 重大安全事件概述


       2016年才刚刚开始,但是前三个月的安全事件的数量已经抵得上几年前一整年的。主要的趋势基本不变,传统的网络犯罪活动有了明显的增长,尤其是移动端的威胁和现在全球流行的勒索软件。
       勒索软件是本季度的主题,这种情况还会继续发展,成为本年度的问题。


有目标性的攻击


①BlackEnergy2/3


       BlackEnergy对乌克兰能源部门的攻击是最引人注目的事件。虽然这件事发生在去年年底,但全面了解它是在随后的分析中。此外,此组织还会试图在2016年发动新的攻击。  

       BlackEnergy最早可以追溯到2007年,俄罗斯专业黑客犯罪团伙使用BOTNET,主要用于建立僵尸网络,对目标发动DDoS攻击。比如2015年12月23号发生在乌克兰Horodenka,Nadvirna等地区持续三个小时的停电事故的罪魁祸首就是它。
       这次攻击不同意其他一般的攻击,因为黑客们成功禁用了乌克兰西部的配电系统,清除了目标计算机上的Wiper程序。对受影响公司的技术支持服务进行了电话攻击,导致其占线无法使用。
       关于这次攻击有很多的报道,卡巴斯基也透露了此次攻击的一些细节。卡巴斯基的安全专家也发布了关于他们用于穿透系统的一个恶意DOC文档的分析文章。
       如果你想更多的了解此次攻击,我们建议阅读美国SANS和ICS-CERT的研究报告


②Poseidon


       今年二月,卡巴斯基的安全专家透露了Poseidon的一些细节,第一个使用葡萄牙语并建立了一个“量身定做”恶意软件的组织。
       虽然报告是2016年发表的,但实际上这个集团已经运作很久了。早在2005年,就检测到了极可能由Poseidon支持的攻击,第一个Poseidon制作的样本可以追溯到2001年。Poseidon制作的东西主要针对Windows家族,从Windows 95,这是早期的攻击对象,到Windows 8.1和Windows Server 2012,被最新的恶意软件样本攻击。


       对受害者的攻击方案是精心策划的。尽管感染初期的行为是一样的,但接下来的行为是高度自定义化的,取决于购买者要对受害者做什么,所以这也就是为何Global Research & Analysis Team (GReAT) 把Peseidon叫做''量身定做恶意软件的组织''。
       获得对公司网络的访问权限后,犯罪分子尽可能多的收集数据,提升权限,创建局域网计算机分布图,找出他们需要攻击的计算机。袭击的主要目标通常是本地的Windows域控制器。一旦他们有了对它的控制,攻击者可以窃取技术资料,数据,商业秘密和其他有价值的信息。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第1张图片
      Poseiden为购买攻击服务的人收集的数据,经常被用来敲诈受害者的公司,让他们选择Poseidon Group作为安保公司,不过是否签了合同,Poseidon都会存在于公司网络中。


③Hacking Team

      Hacking Team,又称HTS.r.l.,是为数不多的几家向全世界执法机构出售监控工具的公司之一。


      一个提供网络监控工具的公司,是意大利的Hacking Team。但它在去年也被网络攻击侵袭了,公司成员员工的email和项目源代码泄露。Hacking Team被黑客攻击,大型数据泄漏的恶劣影响还在持续。
      这次事件说明公司工作中问题很多,很多人认为这会阻碍Hacking Team发展。但在2016年初,HackingTeam植入OSX的监控程序被发现了。这表明团队并未停止工作,还在多系统监控的技术。这意味着,普通用户将可能会成为购买HackingTeam服务的人监控的对象。
      关于HackingTeam另一件事是Microsoft Silverlight的一个零日漏洞。在这个意大利公司的文档中发现了有关于存在这个漏洞的详细信息。

      Microsoft Silverlight远程代码执行漏洞(CVE-2016-0034),是在Ars Technica(美国知名科技博客媒体)报道了出售漏洞利用与监视工具的Hacking Team和Vitaliy Toropov(一名独立的漏洞开发者)之间的可疑联系后被发现的。有资料表明,Toropov曾试图将微软Silverlight的零日漏洞出售给Hacking Team。



④Operation BLOCKBASTER 


      卡巴斯基实验室是operation Blockbaster的参与者,主要是几个IT界知名安全公司进行的联合调查。调查主题是Lazarus Group,一个黑客犯罪组织,被认为是是2014年攻击Sony Pictures的幕后组织。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第2张图片
      Lazarus Group自从2009年就存在了,但他们开始广泛活动时是在2011年。该组织对Troy, Dark Seoul (Wiper), WildPositron等具有影响力的攻击负责。在调查中,他们这几年里研发出来的40多种不同的恶意程序被检测到了。最需要人注意的是,他们用这些恶意程序攻击商业公司,金融机构,广播电视台,我们也发现了他们使用过零日漏洞来攻击。

 

针对医院的攻击


       关于Sergei Lozhkin(卡巴斯基实验室的研究员)的研究应该放在这一节。黑客入侵医院的内部网络,使用公开发布的黑客工具取得了对病人数据的完全访问权限。
       不幸的是,医疗机构遭受到此类威胁越来越多。2016年第一季度,有几个医院被木马入侵,其内部文件被勒索软件加密,并被要求支付赎金来解密。
       最新的攻击是对MedStar Network的攻击,影响了10家医院。根据官方报道,被加密的数据没有经过支付赎金就还原了,但是加利福尼亚州的一家医院就不得不支付17,000美元来解锁文件。



网络犯罪活动


[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第3张图片
 

①Adwind(RAT)


       SAS2016大会上,我们的安全专家公布了对Adwind RAT(一种远程控制木马)的调查结果。通过研究这种木马的活动情况,得出结论,这种木马不是一般的RAT。
       这种木马在几年里不断地发展,第一个样本出现的时间是2012年。在不同的时间里,它有不同的名字。在2012年,它被称作Frutas,在2013年被称作Adwind,在2014年被称为Unrecom和AlienSpy,2015年叫做JSocket。
       安全专家认为,Adwind以及它的各种变种主要是一个努力的黑客在发展,他已经连续四年不断地添加新功能和攻击模块。
       最初Adwind平台只支持西班牙语,但随后提供了英语,让世界各地的黑客可以了解和评估。该特洛伊木马程序的主要用户是那些进行网络欺诈的人,不择手段的竞争对手,以及受雇于某组织或个人的网络专业间谍。任何人想要窥探他们的朋友也可以使用Adwind。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第4张图片
       在这四年里,受害者比例最大的地区也在改变。在2013年,攻击主要集中在讲西班牙语和阿拉伯语的国家。接下来的一年,网络犯罪分子盯上了土耳其和印度,以及阿联酋,美国,越南。在2015年,俄罗斯受到的攻击最多,阿联酋,土耳其,美国和德国紧跟其后。
       好在我们的调查并不是在做无用功,几天后JSocket网站无法正常访问了,Adwind作者好像停止了一切活动,从那时起,这种木马的新版本没有再出现。也许它会回来,但我们希望这种木马的活动就此为止。


②Banking threats银行威胁


       在SAS2016大会上,卡巴斯基实验室宣布发现了两个使用APT手段攻击盗取银行资金的团伙––––Metel和GCMAN。我们也发现了臭名昭著的Carbanak组织有了新的攻击目标。这些攻击组织使用隐蔽的APT侦察手段和定制的恶意软件以及合法软件进行攻击,并利用最新手段窃取资金。                     
       [转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第5张图片
       在2015年,卡巴斯基实验室紧急响应并调查了在俄罗斯被这三个团伙入侵的组织。
       在俄罗斯,目前也有其他攻击银行的犯罪团伙,但这三个团伙是最猖狂的,盗取银行客户账户或是直接攻击银行。
       Carbanak 2.0对攻击很多对象感兴趣,在2015年12月,卡巴斯基实验室确认了Carbanak依然持续活动,我们在一家通信公司和金融机构里发现了它的踪迹。Carbanak的攻击对象类型各不相同,发展到现在,他们不只攻击银行,还包括一些财务核算部门,用攻击银行金融机构相同的手段。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第6张图片
       在Carbanak 2.0入侵到一家金融机构后,会修改了一家大型公司的所有权凭证。


③FakeCERT


       一个叫做Buhtrap的犯罪团伙在2016年第一季度也开始活动。它不仅从俄罗斯银行里盗取成千上万的卢布,还冒充FinCERT,FinCERT是一个俄罗斯中央银行的特别部门,能够监测网络攻击并通知成员银行。
       这是第一次有攻击者盗用FinCERT的“品牌”,这些攻击时提前准备好的。团伙的的域名创建后,使用和FinCERT相似的图标难以分辨。
       恶意群发邮件影响了俄罗斯数百家银行。犯罪分子有了银行部门员工的email地址,包括名字和姓氏。一个合法的远控管理工具被安装到系统里以便犯罪分子远程访问该系统。



④Bangladesh
      

2016年2月,孟加拉国中央银行遭黑客袭击,失窃金额达8100万美元。


[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第7张图片
      针对该事件的调查还在继续,但我们可以从公开的信息中得到一些启示。早在2月份,黑客获得了国家银行一些员工的凭证。使用这些凭证后,黑客们取得了对银行系统的访问权限。黑客以电子转账方式,企图将10亿美元转移到在菲律宾和斯里兰卡的几个银行账户。但是黑客自身的操作有小毛病,这引起了有关部门的警惕,交易第五笔时终止了,前四笔交易款项为8100万美元。这些资金通过非法渠道转移到菲律宾,并出售给黑市外汇经纪人,转移到至少三个地方的洗钱场所,随后部分资金提交给经纪人流向了其他国家。
       
令人注意的是,孟加拉国的财政部长穆希特一个月后才知道这件事情。中央银行的负责人拉赫曼迫于压力不得不辞职。调查人员正在全力追缉黑客,他们也在采取一些措施,至少挽回点损失。但是追回这些损失无疑希望渺茫,至于抓捕黑客就几乎不可能了。


0x03 勒索木马


       正如上文提到的,勒索木马是本季度的主题,也将是今年的大问题。让这个情况变得更糟的是有一点点网络知识的人都可以利用了勒索木马赚钱,甚至脚本小子(指一些技艺不高的初学者)也能部署勒索软件,要求被勒索的人付比特币,这样交易比较安全。
       现在,勒索软件已经成为一种产业链。攻击者会向提供攻击帮助的人付钱(从所得到的赎金里扣去),提供木马散布服务的人通常是色情网站的站长。给攻击者提供配套工具的人通常会得到10%的赎金作为报酬。

       有些匿名网站上开放了勒索软件服务给初级攻击者,只用简单的几步就可以生成一个全新的勒索软件,只需要把你所得的赎金的5-20%给他们作为报酬即可。


       根据几家安全公司的报告,2016第一季度,有很多APT团伙(以高级持续性威胁为攻击手段),尤其是来自中国的,也用了勒索软件。我们也发现了相关情况,但这些团伙不只是中国区的。如果这演化为一种趋势,勒索威胁将会提高一个危害水平。但无论怎样,只要文件被加密,内容几乎是无法挽回的。
       勒索软件在扩大他们的活动范围,在2016年第一季度,CTB-Locker直接攻击了Web服务器。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第8张图片
       CTB-Locker的早期版本被称作crypto-ransomware Onion,它和其他普通勒索软件不一样,其服务器使用动态匿名网络协议保证命令服务器不被干扰和禁用,因为现在的技术只可能禁用静态的服务器,对于CTB-Locker的命令服务器没有办法。Tor(匿名网络)的使用使其避免被检测和封锁。CTB-Locker保护自身还有办法:只接受比特币支付,具有高匿名性和不可追踪性。
       该恶意程序的新版本加密Web服务器,赎金少于半比特币(大约150美元),如果受害者没有及时的支付赎金,就必须付加倍的钱才能解锁文件。一旦支付了赎金,将会生成一个解密密钥。
       不过,2016年第一季度最猖狂的勒索是Locky,卡巴斯基称作Trojan-Ransom.Win32.Locky。
       这种木马没有停止蔓延,有114个国家的用户被试图感染。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第9张图片
       为了快速传播这种木马,犯罪分子大量发送带有木马的电子邮件,最初,电子邮件里带有一个DOC文档,一旦打开,就会从远程服务器下载Locky木马并执行。
       在撰写本报告的时候,带毒邮件的发送还未停止。但是DOC文档被替换成了ZIP压缩档,包含几个vbs脚本(含有混淆代码)。邮件的语言主要是英语,不过逐渐也出线了其他语种。
       不过目前最先进的勒索技术,是攻击底层的磁盘架构无法访问整个系统。近期流行的Petya,此木马的特点是先修改系统MBR引导扇区,强制重启后执行引导扇区中的恶意代码,加密硬盘数据后显示勒索支付信息,通过Tor匿名网络勒索比特币。这是第一个将敲诈和修改MBR合二为一的恶意木马。虽然Petya是一个俄罗斯的名字,但并不意味着编写者来自俄罗斯。

       加密主文件分配表后,木马露出了它的狰狞面目。用ASCII字符拼成的骷髅头,然后就和其他勒索软件一样,迫使受害者支付0.9比特币(380美元左右)来解锁设备。


       在勒索这个阶段,Petya唯一有别于其他勒索软件的是,它的运作没有互联网的支持。因为其行为毁掉了系统,当然无法正常联网,如果受害者要支付赎金,不得不去另一台完好的计算机支付比特币。
       在2016年3月,针对Mac OS X的勒索软件被发现了–––––Trojan-Ransom.OSX.KeRanger。攻击者用它感染了两个BitTorrent的客户端安装程序,能够在官网上下载到。最可能的是,该网站被黑了,提供下载的文件被替换成了带有恶意代码的文件,KeRanger加密木马带有有效的Apple签名,因此可以绕过安全验证功能。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第10张图片



勒索木马的统计数据


       Trojan encryptors(木马加密者)是Trojan-Ransom,即Ransomware(勒索软件),如今除了上文所述的那些勒索软件,还有一些被称作是“浏览器勒索”的木马。浏览器勒索的份额占总勒索软件25%,主要在俄罗斯和独联体国家。在本节中,我们不会详细探讨浏览器勒索,我们会看看其他木马加密器的细节。


新型勒索木马的数量


       
       下面这张图表明了新的勒索软件的数量的大增长。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第11张图片
*基于卡巴斯基的数据,勒索软件变种的数量(2015第四季度和2016第一季度的对比)
       根据我们掌握的数据,目前勒索软件变种的数量至少是15,000,在2016年第一季度,有9个新的勒索木马家族和2900个新变种被检测到了。


勒索木马攻击的用户数量


[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第12张图片       
*2016年第一季度被勒索木马攻击的用户数量       
        在2016年第一季度,有372,602用户被勒索木马攻击,比上一季度多30%。大约有17%的攻击是针对企业用户的。
        最重要的是勒索木马攻击的事件数量成倍增长。但这些统计结果只是基于病毒库检测和启发检测到的勒索木马,而在大多数情况下,卡巴斯基通过主动防御技术(根据软件行为)判断威胁,并未将勒索软件分类。
        


勒索木马攻击最多的国家Top10


        [转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第13张图片
*我们排除了那些卡巴斯基用户数量相对比较少(少于10,000)的国家。
**百分比=本国被勒索软件攻击的用户数/本国所有卡巴斯基产品用户数x100%。


        在2016年第一季度,勒索木马攻击最多的国家Top10的前六位被欧洲国家占据。意大利(3.06%)是最高的。在这个国家传播最广的勒索软件家族是Teslacrypt,即Trojan-Ransom.Win32.Bitman。紧随意大利后的是荷兰(1.81%)和比利时(1.58%)。

 

传播最广泛的勒索木马Top10


[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第14张图片
*数据基于愿意向卡巴斯基实验室提供监测统计数据的用户(绝大部分用户)
**百分比=被某种勒索木马家族攻击的用户数/所有被勒索软件家族攻击的用户数x100%
         在2016年第一季度,排行榜上的第一名是Teslacrypt家族,被检测为Trojan-Ransom.Win32.Bitman/Trojan-Ransom.JS.Cryptoload。当木马是在邮件附件里用zip打包的脚本时,通常病毒检测名是Trojan-Ransom.JS.Cryptoload。


*利用电子邮件传播的勒索木马示例
在过去,这些脚本下载Fareit,Cryptowall等木马程序,但最近攻击者已经切换到了Teslacrypt。很明显的是,2016年第一季度使用更好的加密算法(RSA-4096代替AES)的勒索木马这样传播。         
         排行榜第二位是CTB-Locker(Trojan-Ransom.Win32 / NSIS.Onion)家族,这个家族木马的传播是有计划的,带有很多种语言。正如上文所提到的,在2016年第一季度,只攻击Web服务器的CTB-Locker被发现了。这种变种已经成功加密了来自10个国家70多个服务器中的根目录文件。
         Trojan-Ransom.Win32.Cryptodef家族(Cryptowall)排在第三位。像Teslacrypt一样,主要通过电子邮件传播。
         排名第五的是Scatter家族,这种木马的新一波扩散通过垃圾邮件传播。电子邮件包含一个链接,指向一个脚本文件,有趣的是当脚本执行后,不只是Scatter木马,两个其附带的恶意程序也开始工作,Nitol(DDoS僵尸),Pony(一种信息偷窃者,尤其偷窃用户的密码)。
         Locky家族,在第一季度排行在第七,传播很广泛,尤其是欧洲。基于Tor匿名网络,包含犯罪分子支付要求的网站不仅仅一种语言(不包括俄语和其他独联体国家的语言),再加上KSN的统计数据,可以说明犯罪分子并不感兴趣攻击这些国家的用户。


0x04 统计数据
         

所有数据基于KSN,一个分布式反病毒网络,该网络与其他反病毒组件联动。数据收集自所有愿意提供提供相关数据的KSN用户(绝大部分用户)。来自213个国家地区大量的的卡巴斯基用户加入到这个威胁信息互动服务中。


移动威胁


          犯罪分子持续更新技术来欺骗用户。在本季度,我们确定发现两种新的的木马,它们能够突破系统现有的安全机制。Trojan-Banker.AndroidOS.Asacub的一个版本覆盖系统的窗口,并向系统请求最高权限,木马不让用户知道它在试图获取最高权限,它诱导用户来批准它的特权。用类似方法的木马还有Trojan-SMS.AndroidOS.Tiny.aw。在较新的安卓系统版本,当程序发送付费短信时,总是请求用户许可,而一些SMS木篡改系统提示窗口里的信息,让用户不知道这是在付费而点击允许。

[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第15张图片
*Trojan-SMS.AndroidOS.Tiny.aw篡改了系统提示有程序请求发送付费短信的窗口(图片文字的意思是“你愿意接受游戏数据库吗”,一旦点击允许,那么就已经付了费,而窗口本来应该显示的信息是“有程序在发送付费短信,是否允许?)

       木马程序将提示窗口的信息改的很容易让用户允许,付费一些订阅。很多情况下用户根本不知道他们被欺骗了。
       在2015年第三季度,我们提到了银行木马–––––Trojan-Banker.AndroidOS.Marcher,在本季度,我们检测到了这种木马的新版本攻击了将近四十家银行的app客户端,大多数是欧洲银行的。这种木马打开钓鱼窗口,但它不会使用自己的窗口覆盖银行客户端程序的窗口。
       在2016年第一季度,我们注意到了勒索软件Trojan-Ransom.AndroidOS.Fusob.pac活动更加频繁,它锁住用户的设备,要求付费解密。在2016年前三个月,Fusob成了勒索木马最普遍的类型。它占攻击用户勒索软件的64%。这一季度被勒索木马攻击的用户数量比上一季的1.8倍还多。
       


新移动威胁的数量


       在2016年第一季度,卡巴斯基检测到了2,045,323个恶意程序安装包,这是2015年第四季度11倍,是2015年第三季度1.2的倍。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第16张图片
*检测到的恶意安装包的数量(2015年第二季度到2016年第三季度)


移动威胁的类型分布情况


[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第17张图片
*新的恶意软件的类型分布(2016年第一季度和2015年第四季度对比)
        在2016年第一季度,广告软件依然是在移动设备上检测最多的恶意程序。相比于2015年第四季度,广告软件的份额上升了13%,达到了42.7%。值得注意的是,这比2015年第三季度少(52.5%)。
        排名第二的是SMS木马,它的份额也在增加。在2015年第四季度,这种木马的份额从6.2%急剧上升到了19.8%,在2016年第一季度上升了0.7%,达到了20.5%。
        间谍软件占10%的份额,在SMS木马之后。这种恶意程序窃取用户的数据,包括来自银行的验证短信息信息。
        风险工具(RiskTool)和一些合法的程序,也可能对用户有危险,这两年里,份额都占第一或第二的位置。但是,2015年第四季度它降到了第五。在2014年第四季度,它们的份额是5.6%,在2016年第四季度是7.4%。
        银行木马的份额持续地增长,2016年占1.2%。


移动威胁Top20


        请注意本排名并不包括潜在有风险的程序和可能不需要的程序,比如RiskTool和广告软件。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第18张图片
*百分比=被某种恶意软件攻击的用户数/所有被恶意软件攻击的用户数x100%
        排行榜的第一名是DangerousObject.Multi.Generic,被云技术检测到的威胁。当病毒数据库没有相关恶意文件的信息和启发技术也没有检测到时,一般云已经收集到了该恶意文件的信息。这是基本上检测大部分新威胁,该技术可以快速响应全球威胁。
        Top20中越来越多的恶意程序用广告作为其盈利手段。它们的目标就是用尽各种方法给用户推送尽可能多的广告,有时候甚至会直接安装新的广告软件。这些木马可以通过root权限隐藏自己并加载到系统应用程序安装文件夹里,很难删除掉。在2016年第一季度,16个此类程序进入了Top20。三个程序来自Backdoor.AndroidOS.Ztorg家族,两个来自Trojan.AndroidOS.Iop家族,两个来自Trojan.AndroidOS.Ztorg家族,其他的还有Trojan-Dropper.AndroidOS.Agent.ar, Trojan-Clicker.AndroidOS.Gopl.a, Trojan.AndroidOS.Agent.ej, Trojan.AndroidOS.Muetan.b, Trojan.AndroidOS.Agent.gm, Trojan-Downloader.AndroidOS.Leech.a, Trojan-Dropper.AndroidOS.Guerrilla.b, 和 Backdoor.AndroidOS.Triada.d。 
        Backdoor.AndroidOS.Triada是新入Top20的,当用户在手机银行客户端网上支付时,该木马重定向银行发给用户的验证短信息。这些钱去了攻击者的钱包里,不是达到了用户的目的。Triada是我们知道的最复杂的手机恶意软件。它的最大特色是将其自身的恶意代码注入到Zygote进程里(注:这可理解为所有安卓程序的“父进程”,只要运行程序Zygote必须加载,一旦一个程序感染Triada,由于Zygote其他程序也要调用,所以会导致整体性的感染)。Triada只存在于内存里。此外,该木马的所有进程都隐藏了起来。
        勒索木马Trojan-Ransom.AndroidOS.Fusob.pac排在第五。这种勒索木马要求受害者支付200美元来解锁文件。大量的受害者来自北美(美国和加拿大),欧洲(主要在德国,意大利,英国,西班牙和瑞士)。
        Trojan-SMS.AndroidOS.Podec.a在Top20已经有大约一年了,虽然排名在逐渐下滑。早些时候它总是排在前五的。但在2016年第一季度它只排名在中间。相比2015年第四季度,这种木马下降了一半多。它的功能一直都不变,它的盈利方式是让用户付费订阅。
        进入排行榜的Exploit.AndroidOS.Lotoor.be,通过系统漏洞获取超级权限。


移动威胁的地理分布情况


[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第19张图片
*2016年第一季度移动威胁感染用户百分比
        2016年第一季度,移动威胁攻击用户人数比最多的国家Top10
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第20张图片
*在这个排名中我们忽略了卡巴斯基用户相对较少的国家(少于10,000)。
**百分比=这个国家受移动威胁攻击用户数量/这个国家所有使用卡巴斯基移动安全软件的用户数量x100%
        中国位居榜首,40%的用户至少在一年里有一次被攻击。在2015年,中国依然是位居榜首。
       在Top10除中国之外的国家,最普遍的威胁都是出现在移动威胁Top20里的推广式木马,以及广告软件。在中国,虽然大部分的攻击都涉及到广告木马,但大部分的用户遇到的是Backdoor.AndroidOS.GinMaster和Backdoor.AndroidOS.Fakengry家族。RiskTool.AndroidOS.SMSreg家族也很普遍,如果你不小心,这种威胁可能骗走你资金账户里的钱。

       最安全的地区是中国台湾(2.9%),澳大利亚(2.7%),日本(0.9%)。         


移动端银行木马


        在报道期间,我们检测到了4,146个银行木马,相比上一季度,多了0.7倍。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第21张图片
*2015年第二季度到2016年第一季度卡巴斯基检测到的银行木马
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第22张图片
*2016年第一季度被银行木马攻击的用户地理分布
       被攻击的用户数取决于国家用户的总数。为了评估银行木马给每一个国家的感染风险和别国比较,我们有一个排名,关于被银行木马攻击的用户比(该国被银行木马攻击用户数/该国被移动威胁攻击的用户数)。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第23张图片         
*在这个排名中我们忽略了卡巴斯基用户相对较少的国家(少于10,000)。
**百分比=这个国家受移银行木马攻击用户数量/这个国家被移动威胁攻击的用户数量x100%
       总的来说,澳大利亚是最少的三个国家之一,然而,澳大利亚13%的被移动威胁攻击的用户都被银行木马攻击过。在中国,虽然被攻击的用户比率最高,但是被银行木马攻击的用户数占移动威胁攻击的用户数比率却在第10位,也就是说在中国,银行木马不及其他威胁那么普遍流行,至少目前是这样。


移动端的勒索木马


       在2016年第一季度我们检测到了2,896个移动勒索木马样本,比上一季度多0.4倍。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第24张图片
*卡巴斯基实验室检测到的移动勒索软件(2015年第二季度到2016年第一季度)
       被移动端勒索软件攻击的国家Top10(根据每个国家被勒索木马攻击用户占所有收到移动威胁攻击的用户的比重
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第25张图片
*在这个排名中我们忽略了卡巴斯基用户相对较少的国家(少于10,000)。
**百分比=这个国家受移勒索木马攻击用户数量/这个国家被移动威胁攻击的用户数量x100%

       在Top10除了哈萨克斯坦和乌兹别克斯坦外,所有国家最普遍的勒索木马家族是Fusob,尤其是它的一个变种Trojan-Ransom.AndroidOS.Fusob.pac。(该威胁是移动威胁排名的前五)
       哈萨克斯坦和乌兹别克斯坦,分别取得了第一和第三。主要的勒索威胁是一些小型勒索软件家族,那些是很简单的勒索程序,覆盖掉设备上所有的窗口,显示自己要求支付赎金的窗口,只有支付10美元才能解锁设备。 


易被网络犯罪分子攻击使用的应用程序


       在2016年第一季度,Adobe Flash Player的漏洞依然很流行。在报告期间,它的两个新漏洞被检测到了:CVE-2015-8651和CVE-2016-1001
       第一个将这些漏洞加入漏洞攻击包的组织是Angler。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第26张图片 
       在第一季度一个引人注意的事件是Silverlight – CVE-2016-0034漏洞的利用,目前Angler和RIG已经利用了它。
       和以前一样,一些流行的漏洞利用工具包也包含利用IE漏洞CVE-2015-2419的模块。

       下面的图片是第一季度漏洞利用的全局情况:
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第27张图片
*针对的不同种类应用程序的漏洞攻击分布(2016年第一季度)
       不出所料,我们看到了java的漏洞利用降低3%,Flash漏洞利用增加了1%,而针对Microsoft Office的漏洞利用增加了10%,主要是Microsoft Word的漏洞利用。这些增长是由于携带有包含漏洞的文档的垃圾邮件迅速传播。总体来说,2016年第一季度保持了以前的趋势,网络犯罪分子的注意力主要集中在IE和Adobe Flash Reader上。利用IE我们归类为“浏览器”,一些登录页面能够利用这些漏洞。


线上威胁(基于Web的攻击)

 

本节中的数据来自网络反病毒模块(阻止用户访问风险网站及网站上受感染的/恶意的文件),恶意网站是由别有用心的人创建的,受感染的站点也包括有用户之间传播的风险内容(比如论坛件)的站点,以及带有被篡改的合法文件的站点。


     在2016年第一季度,卡巴斯基的网络反病毒模块检测到了18,610,281个恶意的文件,包括脚本,漏洞利用程序,可执行文件等。74,001,808个站点被判定为危险。


银行业的在线威胁


       在2016年前三个月,卡巴斯基在459,907台计算机上阻止了银行木马企图从在线银行账户窃取资金的行为。我们看的出银行金融业的木马呈下降态势,比上一季度(597,415)下降23.3%。一年前,在2015年第一季度,这个数据是699,652。也就是说,在过去一年里,受害者总数下降了34.26%。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第28张图片
*2016年第一季度被针对银行金融业的木马攻击的用户
--攻击的地理位置
       为了比较评估全世界各地被银行木马攻击的风险程度,我们计算各国卡巴斯基用户中遇到这种威胁用户占该国所有卡巴斯基用户的多少。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第29张图片
*被银行木马攻击的用户占总用户(该国)多少的全局统计情况
       被银行木马攻击用户百分比最高的国家Top10
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第30张图片
*这些统计数据基于文件反病毒组件,信息收集自同意分享统计数据的用户(绝大多数)
**我们忽略了卡巴斯基用户较少的国家(少于10,000)
***百分比=该国被银行木马攻击的用户数/该国所有用户数x100%

       在2016年第一季度,巴西被银行木马攻击的人数比最高。在巴西针对银行金融业的威胁持续增长的一个原因是出现了跨平台的银行木马。明显的是,在Top10的国家都有完善的银行金融体系,银行也很发达所以招来了犯罪分子。在俄罗斯,第一季度此项数据是1.58%,而上一季度是0.58%。在美国,数据是0.26%,西班牙0.84%,意大利0.79%,德国0.52%,英国0.48%,法国0.36%。

--银行木马家族Top10
       下面的表格中展示了2016年第一季度用于攻击用户在线银行账户最多的木马Top10。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第31张图片
       Trojan-Spy.Win32.Zbot是Top10的第一位,它几乎每次都在排行榜上有一席之地,它占有靠前的位置绝非巧合。第一个使用Web注入修改网上银行的信息和篡改在线交易网页的木马家族是Zbot家族。它们加密了自身的配置文件,已经被读取的配置不会在内存中完全加载,只是分块读取。
       Trojan-Downloader.Win32.Upatre家族在本季度是第二位,这种木马的大小不会超过3.5KB,它主要下载木马到用户电脑里,大部分是Dyre/Dyzap/Dyreza家族的木马,这种木马的主要目的是窃取用户的支付详细信息,Dyre就是通过监听用户与银行之间在浏览器的会话窗口,或者是银行app来达到这个目的,也就是说它利用了MITB技术。
*MITB(Man-in-the-Browser)浏览器中间人攻击
       值得注意的是Top10中绝大多数木马能将任意代码植入浏览器打开的网页中,取到用户输入到窗口的支付数据。
       排行榜前三位的木马包括有用java编写的跨平台的种类。巴西的网络犯罪分子已经开始使用跨平台的Java木马。此外,卡巴斯基也检测到了新的用Java编写的木马,它能够窃取用户的资金信息–––––Adwind RAT。Adwind RAT完全用Java编写,这也是为什么它能够供给所有的流行平台:Windows,Mac OS,linux和安卓系统。这种RAT允许攻击者从系统中收集提取数据,甚至远程控制受感染的设备,现在它能截屏,记录键盘输入,从浏览器以及网页对话窗口中窃取密码,利用网络摄像头拍照和录像,用设备的麦克风录音,手机用户和系统的信息,窃取VPN证书和网络钱包的密钥,最后,它还能掌管用户的SMS短息。     
        Top10的第四位是Trojan-Banker.Win32.Gozi,穿透浏览器的安全措施窃取支付信息,甚至这种木马的一些变种能够感染MBR,保证自己能够在操作系统中能够一直运行,即使用一般方法重装系统。
        另一种银行木马值得一提但是不在Top10中,它是Gookit,它基于NodeJS环境,并有模块化的体系。代码解析器被它包含在自身里,所以文件很大,差不多5MB。为了窃取支付信息,它拦截http通信,把自己注入到浏览器中,它还可以执行任意命令,自动截屏和更新自身程序,

这种威胁最严重的国家是法国和意大利,其中包括兴业,BANQUE人民银行,乐里昂信贷银行,法国巴黎银行等等。


关于Gookit详细分析
*Node.js是一个基于Chrome JavaScript运行时建立的平台, 用于方便地搭建响应速度快、易于扩展的网络应用。Node.js 使用事件驱动, 非阻塞I/O 模型而得以轻量和高效,非常适合在分布式设备上运行的数据密集型的实时应用。
 


网络资源带有恶意软件的国家Top10


         下面这些统计数据是反病毒组件拦截的网络攻击的地址信息(恶意重定向,包含漏洞的页面,恶意软件,僵尸网络中心等),任何的主机有可能成为一次或者更多次网络攻击的源头。
         为了确定网络攻击的地址信息,我们将主机名和它们的IP地址配对,而且建立了特殊IP地址的地理分布。
         在2016年第一季度,卡巴斯基检测到并成功防御了228,420,754 次恶意攻击,这些攻击遍布世界上195个国家。76%被检测到的攻击来自10个国家。
         [转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第32张图片
*网络攻击源的分布情况(2016年第一季度)
         本季度荷兰占据了第一(24.6%),高于美国(21.44%),而俄罗斯和德国分别是7.45%和6%。越南降到了第十位,保加利亚排在第十,1.75%。
         为了评估不同国家的用户所面临的在线感染的风险,我们计算了各个国家在本季度遇到风险监测提示的用户与该国总用户之比。下面的内容表明了一个各个国家的设备工作安全程度。

*这些统计数据基于网络防护组件,数据收集自同意分享数据的用户(绝大多数)
**我们忽略了用户数量较少的国家(少于10,000)
***百分比=该国受到网络攻击的用户数/该国所有卡巴斯基用户数x100%
         排行榜的第一名依然不变,是俄罗斯,该国36.3%的用户收到了网络攻击。自从上个季度开始,智利,蒙古,保加利亚,尼泊尔离开了Top20。新进入Top20的是斯洛文尼亚(26.9%),印度(24%),意大利(23%)。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第33张图片
         上网环境相对最安全的国家是德国(17.7%),加拿大(16.2%),比利时(14.5%),瑞士(14%),美国(12.8%),英国(12.7%),新加坡(11.9%),挪威(11.3%),洪都拉斯(10.7%),荷兰(9.6%)和古巴(4.5%)。
         平均来说,在本季度21.42%接入到互联网的计算机至少收到过一次网络攻击。相比于2015年第四季度,下降了1.5%。


本地威胁


         本地威胁感染是统计的一项重要指标,它们反映了已经通过使用其他手段入侵成功了电脑系统的威胁情况,而非使用互联网、电子邮箱,或者网络端口等手段攻击。
         这一部分的数据基于反病毒模块分析设备上的创建的文和访问的文件给出的信息,也包含对可移动媒体的扫描结果。
         在本季度,卡巴斯基文件反病毒组件检测到了174,547,611恶意或者不需要的程序(PUA)。

         下面是感染本地威胁风险最高的国家信息,
         我们计算了每个国家反病毒组件检测本地威胁的数据。这反映了每个国家用户受感染的情况。

用户面临感染威胁风险最高的国家


         感染风险最高的国家Top20
         [转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第34张图片
*这些数据源自文件反病毒模块,是愿意分享统计数据的用户提供的,这些数据包含计算机本地的威胁和可移动设备上的威胁,比如闪存驱动器,照相机手机内存卡以及外部硬盘。
**我们忽略了卡巴斯基用户数较少的国家(少于10,000)。
***百分比=该国计算机上检测出本地威胁的用户的数量/该国所有卡巴斯基用户数x100%

         第一季度排行榜第一的是索马里(66.9%)前几个季度的前排国家孟加拉降到了第七(63.6%),新进入排行榜的国家是乌兹别克斯坦(第十二名,59.4%),乌克兰在第十四(58.9%),白俄罗斯第十五(58.9%),伊拉克第十八位(57.2%),摩尔多瓦第二十(57%)。
[转] 【卡饭首发】卡巴斯基2016年Q1威胁演化报告_第35张图片
*感染风险最小的国家捷克(27.2%),丹麦(23.2%),日本(21.0%)
         从全局来看,平均2016年第一季度有44.5%的计算机至少遇到了一次本地威胁。相比2015年第四季度下降了0.8%。
 
 

你可能感兴趣的:(malware,APT,勒索病毒)