2018年Q2季度互聯網安全報告
來自專欄騰訊安全聯合實驗室
5 人贊了文章
近日,騰訊安全反病毒實驗室發布了《2018年Q2季度互聯網安全報告》(以下簡稱報告)。《報告》顯示:與第一季度相比,攔截病毒數整體呈下降趨勢,但病毒木馬借熱點傳播事件頻發。同時該報告結合2018年第二季度木馬病毒、安全漏洞、APT攻擊、挖礦木馬等多方面的監測數據,全面剖析2018年第二季度中國互聯網安全形勢和環境,並針對網路安全重點事件、木馬病毒、中毒用戶地域分布、安全人才等進行了系統的專業分析,並提出建議和解決應對辦法。
目錄
報告摘要
目錄
前言
一、 加速推動信息領域核心技術突破,向著網路強國闊步前行
二、 培養網路安全人才,騰訊安全學院正式成立
三、 挖礦木馬病毒持續增長,騰訊電腦管家協助警方破案
四、 木馬病毒借熱點傳播,用戶需要小心防範
五、 關於騰訊反病毒實驗室
第一章 PC端惡意程序
一、 惡意程序攔截量與中毒機器量
(一)惡意程序攔截量
(二)中毒機器量
二、 惡意程序詳細分類
(一)惡意程序種類及量級上的分類
(二)木馬類的詳細分類
(三)PE感染型病毒分類
(四)非PE病毒分類
三、 中毒用戶地域分布
四、 PC端敲詐勒索病毒詳情
(一)敲詐勒索病毒攔截量
五、 漏洞相關病毒詳情
(一)漏洞病毒分類詳情
(二)Linux平台漏洞病毒詳情
(三)Android平台漏洞病毒詳情
(四)Windows平台漏洞病毒詳情
六、 挖礦木馬病毒詳情
(一)挖礦木馬病毒分類
第二章 Android端惡意程序
一、惡意程序檢測量
二、惡意程序詳細分類
(一)惡意程序種類及量級上的分類
第三章 安全輿情信息
一、本季度安全輿情量情況
附錄1
2018年Q2季度網路安全事件盤點
一、 漏洞安全事件
二、 流行木馬
三、 攻擊事件
四、 垃圾郵件
五、 數據泄露事件
六、 挖礦木馬病毒
前言
一、加速推動信息領域核心技術突破,向著網路強國闊步前行
2018年4月21,全國網路安全和信息化工作會議在北京召開,國家主席、中央網路安全和信息化委員會主任習近平出席會議並發表重要講話。他強調,加強網上正面宣傳,維護網路安全,推動信息領域核心技術突破,加強網信領域軍民融合,自主創新推進網路強國建設,為實現中華民族偉大復興的中國夢作出新的貢獻。
當前,我國是網路大國卻不是網路強國,而我國又在核心技術上受制於人,所以我國網路安全形勢異常嚴峻。習近平強調,沒有網路安全就沒有國家安全,要樹立正確的網路安全觀,加強信息基礎設施網路安全防護,加強網路安全信息統籌機制,加強網路安全事件應急指揮能力建設,積極發展網路安全產業。嚴厲打擊網路黑客、電信網路詐騙、侵犯公民個人隱私等違法犯罪行為,深入開展網路安全知識技能宣傳普及,提高廣大人民群眾網路安全意識和防護技能。
二、培養網路安全人才,騰訊安全學院正式成立
「網路空間的競爭,歸根結底是人才競爭,建設網路強國,需要優秀的人才隊伍。」
隨著信息化發展的推進,國家、社會、企業對於網路安全人才的需求也不斷攀升,但目前國內網路安全人才基礎薄弱,如何培養、挖掘網路安全人才是國家與企業等各界需要共同思考和解決的問題。
在培養人才方面,多年來,國家不斷增設網路安全相關專業,推進高等教育網路信息安全人才培養體系,大力支持信息安全學科師資隊伍、專業院系、學科體系、重點實驗室建設。作為安全企業,我們也必須積极參与到人才培養進程中來。
5月27日,騰訊安全學院正式揭牌成立。騰訊安全學院將通過搭建內部人才培養體系、校企合作體系及生態賦能合作體系,建設安全人才發展與交流平台。騰訊高級副總裁、騰訊安全學院院長丁珂稱,希望藉助國家對網路安全人才的重視及騰訊的積累,能夠打通內外部的力量一起把優秀的人才發掘出來。
我們希望通過騰訊安全學院,能夠為行業、國家培養、挖掘出更多的網路安全人才。
三、挖礦木馬病毒持續增長,騰訊電腦管家協助警方破案
在2017年Q4季度,騰訊反病毒實驗室經過對木馬病毒數據的分析就已經預測挖礦木馬病毒將會成為2018年新的趨勢,而如今,預測變成現實。隨著網路數字貨幣的價格上漲,越來越多的黑客將目光投向可以快速變現的網路挖礦,黑客將挖礦功能植入到遊戲外掛、盜版軟體等程序中,通過論壇、下載站等渠道進行傳播。
根據收集到的數據顯示,僅2018年Q2季度各式各樣的挖礦類木馬病毒多達數千個變種,而挖取的不同數字貨幣多達數十種。
2018年4月11日騰訊電腦管家協助警方成功破獲389萬台肉雞電腦挖礦大案,涉案案值高達1500餘萬元。實際在2017年底時,騰訊電腦管家就已發現名為「tlMiner」的挖礦木馬,此挖礦木馬瞄準「吃雞」玩家及網吧高配電腦,搭建挖礦集群。
該挖礦木馬是由公司運營,而該公司為大連當地高新技術企業,這說明,當前的網路黑客早已不是單打獨鬥的個體,規模化、公司化、甚至披上合法公司的外衣進行非法的網路黑客行為是當前網路黑客的一種新形態。
該案為國內首例利用挖礦木馬組建殭屍網路,非法控制計算機挖礦的案件,但相信這只是冰山一角,在利益的驅使下,黑客不會輕易放棄,此案也絕不會成為最後一案,騰訊電腦管家會持續挖掘更多深層的木馬病毒,保護用戶的網路安全。
四、木馬病毒借熱點傳播,用戶需要小心防範
在整個Q2季度中,我們通過對木馬病毒數據的分析發現,每當熱點事件出現,便是某些木馬病毒集中爆發期,而藉助熱點事件傳播的木馬病毒多為廣告、詐騙、盜取用戶信息類病毒。
僅2018年高考前後就出現多種藉助高考熱點進行傳播的木馬病毒,高考前夕,木馬病毒以「高考複習大全」、「高考數學一點通」等名稱偽裝成正常APP進行傳播,而高考之後,木馬病毒又偽裝成「高考成績查詢」、「高考志願填報」等APP進行傳播。由於下載此類木馬病毒的用戶多為家長或學生,黑客可以精準的獲取到參加高考的用戶信息,而這些信息將會被轉賣給詐騙團伙,詐騙團伙會以「高考補助金」、「有內部關係可幫忙升學」等理由進行詐騙。
不僅高考熱點被木馬病毒搭上順風車,四年一度的足球盛事世界盃同樣被木馬病毒盯上,不法份子以「世界盃直播」等名義傳播和誘導用戶安裝被植入木馬病毒的APP,而安裝後會被推送廣告、甚至惡意扣費。
無論木馬病毒藉助哪類熱點進行傳播,用戶只要在正規渠道安裝應用,安裝殺毒軟體,對陌生信息保持警惕,保持良好的上網習慣即可阻擋大部分的木馬病毒。
五、關於騰訊反病毒實驗室
騰訊反病毒實驗室作為耕耘在網路安全反病毒第一戰線上的一員,有責任主動擔負保障國家、民眾互聯網安全的社會責任。
騰訊反病毒實驗室成立於2010年,始終致力於互聯網安全防護、計算機與移動端惡意軟體檢測查殺、網路威脅情報預警等工作。通過「自研引擎能力、安全事件運營、哈勃分析平台」的「三劍合璧」,對」安全查殺能力、漏洞監測能力及病毒樣本分析「提供了全面、系統、一體化的產品運營式的標準化防護,為騰訊安全實力進一步提供了強大技術支撐,也為網民構建了安全的上網環境。
實驗室擁有專業的反病毒團隊,在自主反病毒引擎TAV研發上深耕多年,擁有多項自主知識產權病毒檢測專利。在AV-C、AV-TEST等國際安全評測中反超國際老牌殺毒軟體,多次取得大滿貫的成績,這也表明中國自主研發的殺毒引擎已經達到了世界先進水平。
一、PC安全方面
騰訊電腦管家英文版連續通過VB100, ICSA等認證測試,不僅2017年以來在賽可達測試連續獲得第一的成績,更是在AV-C 2017年國際評測中作為國內唯一參測產品,5項測試A+評級,比肩卡巴斯基,比特梵德,小紅傘國際知名廠商。
二、移動安全方面
在移動威脅檢測能力方面,騰訊手機管家則在2016年以來AV-Test國際評測中,連續14次滿分13分通過,國內獨樹一幟。
三、動態檢測方面
反病毒實驗室哈勃動態分析系統為網民提供了未知文件動態檢測能力,實時幫助網民檢測、分析可疑文件。
四、威脅情報方面
反病毒實驗建立了威脅情報監控平台,可實時監控、探測、挖掘互聯網安全威脅情報,及時向社會公眾報告網路安全風險,可在騰訊電腦管家官方網站「安全輿情」中獲取最新信息,也可以關注騰訊反病毒實驗室公眾號獲取最新信息資訊。
http://weixin.qq.com/r/ADpfR_bEg7v8raIk928S (二維碼自動識別)
第一章 PC端惡意程序
一、惡意程序攔截量與中毒機器量
(一)惡意程序攔截量
根據騰訊反病毒實驗室統計數據顯示,截止到2018年6月底,PC端總計已攔截病毒8.6億次,平均每月攔截木馬病毒近1.43億次。
Q2季度總計攔截病毒4.1億次,平均每月攔截木馬病毒近1.36億次。相比Q1季度整體病毒攔截量略有下降,說明用戶前端病毒活躍量呈現下降趨勢,而Q2季度整體每月攔截量相對比較平穩,僅在5月份出現小幅下降。具體數值如:圖 1。
本季度病毒攔截量相比Q1季度病毒攔截量環比下降8.8%,根據最近4個季度數據波動情況分析,可以看出前端用戶病毒數量呈現波浪式下降。具體數值如:圖 2。
2018年Q2季度相較於2017年Q2季度病毒攔截量同比下降了22%,同比惡意程序數量大幅下降。具體數值如:圖 3。
(二)中毒機器量
截止到2018年6月底,PC端Q2季度總計發現9,164萬次用戶機器中木馬病毒,平均每月為3,054萬中毒機器進行病毒查殺,本季度5月份中毒機器次數最低,約為2,909萬次,隨後6月緩慢回升,但仍未超過1月的峰值。具體數值如圖 4。
2018年Q2季度中毒機器次數相比Q1季度中毒機器次數繼續下降,降幅達到1.8%。這已是從2017年Q3季度以來連續3個季度中毒機器次數下降。具體數值如圖 5。
2018年Q2季度相較於2017年Q2季度中毒機器數量同比下降24.62%。從2015至2018年Q2數據來看,2017年Q2季度為近幾年中毒機器次數的峰值,拉高了近幾年中毒機器次數的平均水平,而2018年Q2季度首次呈現下降趨勢,降至平均線水平以下。具體數值如:圖 6。
二、惡意程序詳細分類
(一)惡意程序種類及量級上的分類
2018年Q2季度根據獲取到的病毒樣本分析,從病毒種類上,木馬類佔總體數量的58.85%,始終是第一大種類病毒,相較Q1季度的52.10%環比上漲了6.75%。Adware類(廣告軟體、強制安裝、收集用戶隱私、彈垃圾信息等)為第二大病毒類,佔總體數量的31.10%,相比Q1季度的39.76%,Adware類病毒種類上出現下降,降幅達到8.66%。後門類為第三大病毒類,佔總體數量的7.36%,相比Q1季度的6.40%下降了0.96%,降幅並不明顯。
通過以上數據可以看出,相比Q1季度,病毒種類及排名均無變化,僅在數量佔比上有所差別,屬正常波動範圍。具體數值如圖 7。
從病毒樣本的數量上來劃分,可以看到圖 8中排在第一位仍然是木馬類,佔了惡意程序總量的37.32%,但相比Q1季度的56.87%下降了19.55%,首次出現大幅度下降,降幅為近幾個季度的峰值。而排在第二位的是Adware病毒,佔總體數量的34.79%,相比Q1季度的18.64%,Adware病毒攔截量明顯上升,漲幅達16.15%,此類病毒已持續上漲2個季度,增長趨勢明顯。PE感染型病毒類也出現小幅上漲,佔比從Q1季度的14.15%增長至17.69%,漲幅為3.54%。具體數值如圖 8。
從種類上感染型病毒的種類並不多,只佔了惡意程序種類中的0.48%,排在最後一位,但在病毒攔截量上感染型病毒排在第三位,這與感染型病毒傳播特點有關,也說明感染型病毒依舊十分活躍。在下面的第三節中,可以看感染型病毒的詳細分類。
(二)木馬類的詳細分類
在第一大病毒類木馬類中,可以詳細劃分為多種類型的木馬病毒。有下載其他有害軟體的程序,勒索軟體,釋放有害軟體的程序,盜取個人信息,銀行盜號詐騙,社交軟體工具盜號,虛假反病毒軟體,DDoS攻擊軟體,遊戲盜號軟體,以及流量點擊等有害程序。
其中排名第一位的是下載類木馬,佔全部種類的34.23%,相比Q1季度有所上漲,上漲幅度為0.41%,至Q1季度此類已連續3個季度持續下降,而本季度出現較小幅度回升,此類病毒呈回升趨勢。
排在第二位的是盜號類病毒,佔全部種類的12.84%,相比Q1季度有的10.31%,上漲了3.49%,這表明Q2季度盜號類木馬病毒新增類別增長迅速,攻擊者正在開發新的病毒變種攻擊用戶網路銀行相關信息。而在Q1季度快速增長的銀行盜號類病毒得到有效控制,排名從第二位下降至第六,降回至2017年的平均水平。
勒索類病毒種類在2017年Q4季度至2018年Q1季度下降了6.80%,呈現了下降趨勢,而本季度數據顯示,勒索類病毒種類趨於平穩,相較於Q1季度沒有出現較大幅度的變化,具體數值如圖 9。
木馬病毒種類多說明病毒可能來自很多個不同的作惡團伙,但從木馬攔截量上可以看出哪一些木馬病毒最為活躍。從木馬病毒樣本的數量上來劃分,可以看到圖 10中排在第一位是Dropper類木馬病毒(釋放有害文件木馬),佔全部攔截量的46.10%,相比Q1季度的23.17%,上漲了22.93%,重新回升至平均水平。
排在第二位的是勒索類病毒,佔全部攔截量的29.19%。勒索類病毒攔截量相比Q1季度的34.85%下降了5.66%,從2017年Q2季度出現全球性勒索病毒事情後,勒索病毒從2017年Q4至2018年Q1季度出現了大幅度增長,而本季度相比Q1季度開始呈現下降趨勢,勒索病毒熱度逐漸開始收斂。從木馬種類分布與木馬攔截量分布兩張數據圖的對比可以看到,Dropper類雖然在病毒種類上沒有下載類種類多,但在數量級上遠遠超過了下載類,這說明此類木馬傳播的最廣泛,數量最多,受害的用戶也最多。具體數值如圖 10。
(三)PE感染型病毒分類
從監測到的數據上來看,感染型病毒類別變化不大。感染型病毒種類上並不太多,但在用戶側仍然十分活躍,對比2018年Q1季度與Q2季度數據,排名前幾位的感染型病毒無論佔比還是排名均發生了變化。
在感染型病毒中,本季度排在第一位的是Lamer病毒,佔全部感染型病毒的26.26%,相比Q1季度上漲了22.29%,從Q1季度的第七位變為第一位,這麼大幅度的增長還屬首次,這說明Lamer類病毒在用戶前端變得十分活躍。排在第二位的是Virut病毒,佔全部感染型病毒的24.66%,受Lamer病毒數據變化影響,Virut相比Q1季度下降了14.25%。排名第三位的是Nimnul,佔全部感染型病毒的13.67%,相比Q1季度下降了1.4%,勒索類型的感染型病毒PolyRansom並沒有發生較大變化。具體數據如圖 11。
由於感染型病毒不同於普通的木馬病毒,感染型病毒會通過修改宿主程序代碼的方式將惡意代碼寄生在宿主進程中運行,而每個文件被感染後的哈希(Hash,文件內數據的」信息摘要「)值都會變化,因此,被感染型病毒感染後的文件是無法進行」雲查殺「的。
因此,殺毒引擎能否修復被感染的文件,體現了反病毒引擎對感染型病毒修復的能力。目前騰訊反病毒實驗室的自研TAV反病毒引擎可以查殺並修復國際、國內流行的各類感染型病毒。
(四)非PE病毒分類
根據收集的非PE病毒樣本統計,從非PE病毒文件類型上來看,本季度排在第一位的是JS類病毒,佔全部病毒的50.51%,說明此文件類型的病毒種類較多。排在第二位的是OLE類病毒,佔全部病毒的26.46%,此文件類型為複合型文件,多為office宏、RTF等文件。排在第三位的是VBS類病毒,佔全部病毒的16.45%,具體數據如圖 12。
從非PE病毒攔截量上來分析,本季度中VBS類型病毒攔截量排名依舊第一位,佔全部非PE病毒樣本的55.26%,VBS類病毒從類型上並非排在第一位,但在攔截量級上排上了第一位,這是因為此類VBS病毒中有種會感染HTML網頁並插入VBS腳本代碼的子類病毒,而VBS代碼中包含了一個完成的可執行文件病毒,一旦HTML網頁被執行後,便會執行這段惡意的VBS代碼,釋放出一個惡意的可執行文件並載入運行,由於其感染的特性,導致此類病毒在攔截量上排名第一。
排名在第二位的是JS腳本類病毒,佔全部非PE病毒樣本的21.21%。排名在第三位的是HTML類病毒,佔全部非PE病毒樣本的14.94%,具體數據如圖 13。
三、中毒用戶地域分布
根據中毒PC數量統計,從城市分布來看城市排名變化不是特別大,依舊是互聯網較為發達的城市用戶中毒情況較多,排名TOP10的城市有些許變化,依次是:深圳市、廣州市、武漢市、重慶市、北京市、成都市、上海市、濟南市、東莞市、杭州市,其中,東莞市取代長沙市上榜TOP10。
全國攔截病毒排名第一的城市依然為深圳市,佔全部攔截量的4.59%,相比Q1季度上漲了1.09%。第二名為廣州市,排名相比Q1季度上升一位,攔截量佔全部攔截量的4.01%,相比Q1季度上漲了0.82%。第三名為武漢市,排名相比Q1季度下降一位,攔截量佔全部攔截量的3.65%,相比Q1季度上漲了0.49%。具體數據如圖 14。
從省級地域分布數據來看,相比Q1季度在排名上有些許變化,前五名省份排名都沒有變化,而第六名的四川省與第七名湖北省相對於Q1季度調換了排名。中毒PC數量最多的還是廣東省,排在全國第一省,佔全部攔截量的13.86%,與Q1季度相比上升0.64%。河南省、山東省、江蘇省病毒攔截量小幅度下降,浙江省小幅上漲。具體數據如圖 15。
四、PC端敲詐勒索病毒詳情
敲詐勒索病毒是以敲詐勒索錢財為目的,使得感染該木馬的計算機用戶系統中的指定數據文件被惡意加密,造成用戶數據丟失。目前,由國外傳進國內的敲詐勒索病毒大多需要支付比特幣贖金才能進行解密,由於比特幣完全匿名流通,目前技術手段無法追蹤敲詐勒索病毒背後的幕後操縱者,這也使得敲詐勒索病毒從2013年後呈現爆髮式增長。
(一)敲詐勒索病毒攔截量
根據相關數據分析顯示,通過圖 16可以看到,本季度敲詐類病毒攔截量最大的依然是Blocker,此類敲詐病毒佔了所有敲詐類病毒的78.62%,相比Q1季度上漲了5.77%,依然在小幅度持續上漲。而利用感染傳播方式的PolyRansom敲詐勒索病毒呈現下降趨勢,相比Q1季度的15.19%,本季度下降至1.12%,下降幅度達到14.07%。具體數據如圖 16。
五、漏洞相關病毒詳情
(一)漏洞病毒分類詳情
漏洞病毒樣本主要分布在Windows、Linux、Android平台上,這3種平台上的漏洞病毒樣本佔了全部漏洞病毒樣本的98.86%。通過對獲取到的漏洞類型樣本統計,可以看到Windows平台佔比最多,其中非PE類型的漏洞樣本達到76.93%,相比Q1季度上漲5.50%。PE類型漏洞樣本達到18.40%,相比Q1季度下降6.30%。Windows平台漏洞樣本總量可達到所有平台全部漏洞樣本總量的95.33%,相比Q1季度小幅下降0.80%。Linux平台漏洞佔比為2.41%,Android平台漏洞佔比為2.12%。具體數值如圖 17。
(二)Linux平台漏洞病毒詳情
在Linux平台上,排名第一的漏洞攻擊樣本名為Exploit.Linux.Lotoor,佔全部樣本中的72.18%,相比Q1季度上漲21.52%,這類樣本實際上是利用Linux漏洞進行許可權提升,以便黑客得到更高的系統許可權,執行其他惡意操作。具體數值如圖 18。
(三)Android平台漏洞病毒詳情
在Android平台上,排名第一的漏洞攻擊樣本名為Exploit.AndroidOS.Lotoor,佔全部樣本中的86.70%,相比Q1季度上漲3.71%,此類名字與Linux平台上的名字相同,功能同樣也是為了提升病毒的系統許可權。由於Android是基於Linux內核開發並完善的,因此在內核層面他們是共通的。具體數值如圖 19。
(四)Windows平台漏洞病毒詳情
在收集到的Windows平台漏洞樣本中,非PE類型漏洞病毒量級最大,佔到了所有漏洞樣本的76.93%。而在非PE類型漏洞病毒樣本中,可以分為多種類型的文件,其中,排名第一位的是OLE類,此類通常為複合文檔,以office文檔居多,佔全部非PE漏洞病毒的61.34%,相比Q1季度上漲11.15%。排名第二位的是JS類,佔全部非PE漏洞病毒的28.64%,相比Q1季度下降9.21%。排名第三位的是SWF類,通常是指Adobe的Flash漏洞,佔全部非PE漏洞病毒的5.41%,相比Q1季度幾乎沒有太大變化。具體數值如圖 20。
Windows平台上的PE類型漏洞樣本達到18.40%,在這部分漏洞樣本中以排名第一位的名為MS04-028,佔全部漏洞樣本的17.30%,相比Q1季度上漲9.14%,此漏洞是較老的漏洞,但根據收集到的樣本分析,依舊十分活躍。具體數值如圖 21。
六、挖礦木馬病毒詳情
早在2017年Q4季度安全報告前言中騰訊反病毒實驗室就已經基於數據預測在2018年時,挖礦類木馬病毒很有可能成為新的趨勢,隨著網路數字貨幣的價格上漲,越來越多的黑客更願意選擇以挖礦的方式進行獲利。基於騰訊反病毒實驗室的安全大數據,我們對挖礦木馬病毒進行了詳細分析與整理。
(一)挖礦木馬病毒分類
對收集到挖礦木馬病毒進行分析發現,挖礦木馬病毒會以多種文件格式進行傳播,其中排名第一位的是Win32類型挖礦病毒,佔全部類型的82.24%。排在第二位與第三位的均是以網頁程序進行挖礦的腳本類病毒,分別為JS類,佔全部類型的7.53%,HTML類,佔全部類型的7.00%,此類病毒多發於色情、賭博等網站。具體數值如圖 22。
當前網路上有非常多不同種類的加密數據貨幣,如:比特幣、以太幣、門羅幣等。從挖礦木馬病毒的量級上統計分析,78.08%的挖礦木馬病毒樣本是用於挖取比特幣,而其挖取他類型加密數據貨幣的病毒樣本佔21.92%。具體數值如圖 23。
對挖礦過程中使用的進程名稱進行了統計。在統計出的進程名中,有些進程其實對應著系統文件,這是由於挖礦木馬以進程注入的方式使用系統文件做為進程傀儡進行挖礦,如下面排名第一位的進程名conhost在很多情況下對應著系統的記事本程序(notepad.exe)。對於其他的諸如EthDcrMiner64、minerd 、xig、ETHSC、xmrig等的進程名都為標準的挖礦木馬。挖礦木馬對應的進程名排名如圖 24:
騰訊反病毒實驗室使用哈勃分析系統對這些木馬的工作進程進行了分析,對挖礦木馬所連接的礦池地址進行了統計,其中http://pool.minexmr.com成為國內挖礦用戶最喜愛使用的礦池地址。其中部分在國內流行的挖礦木馬使用了自建礦池的方式進行挖礦,這主要是出於使用第三方礦池,第三方礦池會收取一定的手續費,而使用自建礦池的方式可以減少這些不必要的費用支出。其他的較活躍的礦池地址如圖 25:
對挖礦木馬病毒的礦池地址對應的埠號進行了統計分析,個人用戶、企業等可以通過這些埠輔助判斷是否有挖礦行為。根據統計,3333埠為挖礦木馬最愛使用的埠,約佔所有挖礦礦池連接埠的12%,此外,7777埠與5555埠分別為第二名和第三名,分別佔6%和5%。此外,從埠區間上看,3000-3999之間的埠是挖礦木馬最愛使用的埠範圍,該區間的埠占挖礦埠的38.7%(註:這裡的38.7%包括3333埠所佔的12%)。具體的埠排名分布圖如圖 26:
第二章 Android端惡意程序
一、惡意程序檢測量
2018年Q2統計Android樣本數據顯示,總計已檢測Android病毒樣本量375萬多個,平均每月檢測Android病毒樣本62萬多個。通過數據可以看到Android病毒樣本Q2季度相比Q1季度有所下降,下降幅度達21%,具體數值如:圖 27。
二、惡意程序詳細分類
(一)惡意程序種類及量級上的分類
根據2018年Q2季度獲取到的Android病毒樣本分析,從病毒種類上來看整體排名並沒有變化,排名第一位的仍然是PUA類(灰色軟體),佔總體病毒量的54.72%,相比Q1季度上漲了4.86%,此類病毒量已經連續多季度上漲。SMS類為第二大病毒種類,佔總體數量的18.61%,相比Q1度上漲了1.35%,已連續2季度上漲。Spy類為第三大病毒種類,佔總體數量的5.01%,相比Q1季度下降了5.12%。具體數值如圖 28。
從Android病毒樣本的數量級上來劃分,可以看到排在第一位的仍然是PUA,佔全部Android病毒數量的58.61%,相比Q1季度上漲了5.63%,Android端流氓PUA病毒已持續季度上漲。排在第二位的Dropper佔全部Android病毒數量的20.28%,相比Q1季度下降了6.54%,此Dropper類病毒主要行為是偽裝成其他正常軟體,釋放出其他流氓軟體在後台靜默安裝,會導致用戶Android機上被安裝多種推廣軟體。排在第三位的是SMS類病毒,佔全部Android病毒數量的6.17%,相比Q1季度上漲1.27%。具體數據如圖 29。
第三章 安全輿情信息
一、本季度安全輿情量情況
2018年Q2季度網路熱議話題分別是漏洞、流行有害樣本、攻擊事件、勒索敲詐、釣魚事件以及IoT安全。其中漏洞類安全事件佔比最多高達26.33%,占幅超1/4,其次是流行的有害軟體事件,佔比有23.15%。其他具體典型類型中,敲詐勒索、釣魚事件、IoT安全最為突出,佔比分別是13.16%,8.88%和3.89%。
相較於2018年Q1季度,佔比最大的漏洞安全、流行有害軟體、敲詐勒索、攻擊類事件熱度有不同幅度上升,分別上升了1.85%,1.73%,0.2%,0.81%。
附錄1 2018年Q2季度網路安全事件盤點
一、漏洞安全事件
(一)ZenMate VPN 瀏覽器插件存在漏洞導致用戶真實地址泄漏,影響 350 萬用戶
ZenMate是一家擁有超過4300萬用戶的VPN提供商,它提供多種瀏覽器擴展來使用他們的VPN。截止5月份,瀏覽器擴展總共有大約350萬用戶。用於Chrome和Firefox的ZenMate
VPN客戶端信任過過期的域名http://zenmate.li,所以它可以通過消息傳遞對瀏覽器擴展進行特權API調用。在沒有任何用戶交互的情況下,利用這個漏洞可以獲取用戶的所有賬戶信息,如賬戶ID,電子郵件地址,身份驗證UUID和可用於登錄受害者賬戶的令牌,電子郵件列表,賬戶類型,訂閱信息,用戶所在國家,平台登錄時間,以及是否鏈接VPN等信息。(二)研究者又發現8個CPU新漏洞 英特爾、ARM等晶元受影響
今年五月,德國計算機雜誌《ct》報道稱,研究人員在計算機CPU內找到8個新漏洞,這些漏洞與Metldown、Spectre有點相似。雜誌還說,英特爾準備發布補丁,修復漏洞,ARM的一些晶元也受到影響,至於AMD晶元是否也存在同樣的問題,研究人員正在調查。《ct》沒有披露信息的來源,因為研究人員會優先通知相應公司,在公司找到修復補丁之後再公開自己的發現。
二、流行木馬
(一)發現超過 2000 萬用戶從 Chrome 商店安裝了惡意擴展
今年四月,發現谷歌Chrome商店中已有至少2000萬用戶安裝了五款惡意廣告攔截器AdRemover、uBlock Plus、Adblock Pro、HD for YouTube和Webutation。這些惡意瀏覽器擴展經常可以訪問用戶在網上的所有行為,甚至會竊取用戶訪問網站的信息,包括密碼、網頁瀏覽記錄和信用卡信息。舉例AdRemover擴展,它修改了JavaScript的jQuery庫,將用戶訪問網站的信息發送回遠程伺服器,並且為了避免檢測,遠程伺服器發送的這些命令隱藏在一個無害的圖像中。建議廣大用戶安裝擴展程序要謹慎,注意擴展程序的出廠商。
(二)Mirai 變種將目標鎖定金融部門
今年四月發現,Mirai殭屍網路的一個變種被用來發起一系列針對金融部門企業的分散式拒絕服務活動。這些攻擊利用了至少13000件被劫持的物聯網設備,產生的流量高達30Gbps,並且該殭屍網路和惡意軟體的變體還增加了可鏈接到IoTroop殭屍網路的特徵。近期的攻擊,採用了DNS放大技術,流量峰值達到30Gbps。安全專家表示自2017年10月以來已經發展到利用其它物聯網設備中的漏洞,並且可能會持續這樣做,以傳播殭屍網路並促成更大的DDoS攻擊。
(三)Vega Stealer 惡意軟體瞄準 Chrome,Firefox 瀏覽器,竊取瀏覽器保存的用戶憑證以及信用卡信息
今年五月發現,一個名為Vega Stealer的惡意軟體,通過Chrome和Firefox瀏覽器保存憑證和信用卡信息,是August
Stealer的變種。它具有父惡意軟體功能的子集以及其他功能。除了竊取瀏覽器數據之外,Vega也可以從受感染的機器中泄漏Word,Excel,PDF和文本文件。此外,Vega中的Chrome瀏覽器竊取功能是AugustStealer代碼的一部分; August也從其他瀏覽器和應用程序中竊取信息,如Skype和Opera。Vega的新功能包括新的網路通信協議和Firefox瀏覽器竊取功能。(四)Netflix 新型釣魚開始使用具有有效
TLS 證書的站點新的Netflix網路釣魚詐騙將受害者帶到具有有效傳輸層安全性(TLS)證書的站點,近期使用TLS認證網站的Netflix網路釣魚郵件有所增加 。攻擊者利用未修補的安裝或插件或弱密碼來破壞常見的可疑CMS軟體,如WordPress或Drupal。從那裡,他們可以創建可能被誤認為真正的Netflix域的網路釣魚站點。在某些情況下,他們使用通配符DNS記錄。近年來,使用TLS進行網路釣魚攻擊的方法急劇增加; 2017年與2016年相比,SSL / TLS提供的網路釣魚嘗試增加了400%。
三、攻擊事件
(一)美國零售業遭最慘黑客攻擊500萬張銀行卡信息被竊
四月一波黑客竊取了500萬張美國商店顧客的信用卡和借記卡信息,並將12.5萬條信息掛出售賣。影響到包括美國生鮮超市Whole Foods、快餐連鎖店Chipotle、度假村Omni Hotels & Resorts,以及特朗普創辦的連鎖酒店在內的公司。
(二)Vigilante黑客利用Cisco CVE-2018-0171漏洞攻擊俄羅斯和伊朗網路
四月黑客團隊「JHT」發起了一項針對俄羅斯和伊朗的網路基礎設施的黑客攻擊活動,黑客利用思科CVE-2018-0170智能安裝(Smart Install,SMI),將路由器重置為啟動配置並重新啟動設備,然後他們向受害者發出警告信息,並導致大規模網路中斷。智能安裝(Smart Install,SMI)協議消息被用於只能安裝客戶端(也稱為集成分支客戶端IBC),允許未經身份驗證的遠程攻擊者更改啟動配置文件並強制重新載入設備,在設備上載入新的IOS映像,並在運行Cisco IOS和IOS XE軟體的交換機上執行高許可權CLI命令。此次攻擊襲擊了伊朗的數千台設備,伊朗通信和信息技術部表示,全球超過20萬台路由器受到影響,其中3500台位於伊朗。
(三)包含惡意代碼的minecrafe皮膚已經感染了5w多的用戶
「Minecraft 」是一款非常受歡迎的擁有超過7400萬玩家的世界建築遊戲,今年四月發生從官方的 Minecraft網站下載他們頭像皮膚的用戶無意中中毒。已知有近50,000個Minecraft帳戶感染了惡意軟體,該惡意軟體會重新格式化個人硬碟並刪除備份數據和系統程序。
(四)412掛馬風暴
4月12日騰訊御見威脅情報中心監控到大量客戶端的內嵌新聞頁中被嵌入惡意代碼。用戶會在毫無知情的情況,被植入挖礦木馬、銀行木馬、以及遠控木馬等。本波掛馬,波及到的客戶端多達50多個,影響範圍非常之廣。該波掛馬已經波及20w+用戶。建議廣大用戶升級瀏覽器到IE11,然後安裝IE補丁:KB3154070;若為網路管理員,請把下列ip加入防火牆攔截列表:139.224.225.117,107.150.50.34,222.186.3.73。
(五)APT組織「寄生獸」再出沒
四月騰訊御見威脅情報中心再次發現「寄生獸」最新危險行動,此次「寄生獸」組織開發的木馬針對目標計算機移動存儲介質(U盤、移動硬碟等)設計了特別的入侵方案:木馬發現目標U盤存在Office文檔時,會首先將這些文檔轉換為RTF格式,再捆綁利用高危漏洞觸發的攻擊木馬。這種作法是「寄生獸」APT組織的首創,是針對內外網分離的隔離網路特別開發的攻擊方式——當用戶使用U盤等移動存儲設備在內外網中交換數據時,文檔將被植入木馬,當內網其他用戶打開被感染木馬的Office文件,木馬就會悄無聲息地潛入內網中。針對此類攻擊行為,企業用戶可使用騰訊御界高級威脅檢測系統(http://t.cn/RnvtLDV?u=6405524958&m=4229481289573968&cu=1736794023)進行全面防禦。
(六)VPNFilter殭屍網路以網路設備為目標,已感染了54個國家約 50 萬台網路設備
截止今年五月,至少54個國家/地區受感染設備的數量不下500,000。受VPNFilter影響的已知設備有小型和家庭辦公室(SOHO)空間中的Linksys,MikroTik,NETGEAR和TP-Link網路設備以及QNAP網路附加存儲(NAS)設備。VPNFilter惡意軟體的組件可以竊取網站證書並監控Modbus SCADA協議。最後,惡意軟體具有破壞性的能力,可以使受感染的設備不可用,這可以在個別受害者機器上觸發或集體觸發。
(七)一周內惡意 PHP 腳本感染了 2400 個網站
今年五月發現Brain Food的殭屍網路,通過在合法網站上託管的網頁推銷虛假減肥藥和智商增強葯。到目前為止,由於有效的超文本預處理器(PHP)腳本(也稱為Brain Food),垃圾郵件發送者已經取得了成功,該腳本已經巧妙地避開了網站檢測。在一周的時間內,有2400個網站被感染推銷可疑藥片 。Brain Food的代碼是多態的,並且使用多層base64編碼進行混淆。另外該殭屍網路有個特點,當一個網站被感染後,抓取PHP代碼時,腳本會重定向到正確的頁面。
(八)LuckyMouse 組織針對中亞國家數據中心發起持續性水坑攻擊
在2018年3月,發現了一項針對中亞國家數據中心的持續活動,該數據中心自2017年秋季以來一直活躍。目標的選擇很重要 - 這意味著攻擊者獲得了廣泛的政府資源,得知政府的一舉一動。這種訪問被濫用,例如,在該國的官方網站上插入惡意腳本以進行水坑攻擊。運營商使用HyperBro木馬作為他們的內存遠程管理工具(RAT)。反檢測和解壓縮器廣泛使用Metasploit的shikata_ga_nai編碼器以及使用LZNT1進行壓縮。
(九)InvisiMole多用途間諜軟體對俄羅斯及烏克蘭目標發起高針對性攻擊
六月發現InvisiMole多功能間諜軟體對俄羅斯和烏克蘭的Windows PC發起高度針對性的攻擊,惡意代碼採用32位和64位版本,具有模塊化架構,有兩個功能豐富的後門,且有重疊功能。他們共同承擔了近100項間諜活動。有些功能被研究員極度重視,例如,InvisiMole允許攻擊者訪問受感染的PC攝像機,這樣他們就可以看到和聽到受害者所在位置的情況。通過這種方式,攻擊者可以監視目標的活動並竊取信息。到目前為止,惡意軟體已在十幾台機器上出現過。
(十)中國進出口企業遭遇「商貿信」攻擊,企業機密被竊取
騰訊御見威脅情報中心監測六月份發現,近期針對中國進出口企業的網路攻擊再次出現。黑客攻擊的目標是中國電子科技、外貿、遠洋運輸企業,攻擊者發送精心準備的與企業業務相關的誘餌郵件,附件是利用Office漏洞(漏洞編號:CVE-2017-11882)特別定製的攻擊文檔,存在漏洞的電腦上打開附件會立刻中毒。漏洞觸發後利用bitsadmin下載Loki Bot木馬並執行,然後竊取受害人員各類賬號密碼等機密信息。
(十一)美國票務網站 Ticketfly 遭受黑客攻擊勒索
今年六月美國票務網站 Ticketfly 遭受黑客攻擊勒索,影響到幾個公開的銷售音樂會門票,估計有2600萬人受到了違規行為的影響,其中包括電子郵件地址以及姓名,實際地址和電話號碼。黑客告知Ticketfly是一個漏洞導致數據泄露,然後要求一個比特幣(約7,500美元)來換取信息。
四、垃圾郵件
(一)2018世界盃主題的垃圾郵件來襲
世界盃賽事門票發售時是黑客發送垃圾郵件的高發時期,一種方式為通知收件人在由官方合作夥伴和贊助商(Visa,可口可樂,微軟等)以及FIFA本身舉辦的彩票中獲得現金獎金,這些郵件通常包含附件,有的會要求收件人支付一部分郵費或銀行轉賬費用,主要目的是收集用戶數據(包括財務信息等)並提取小額匯款,附件則有可能是損害收件人利益的惡意軟體。
另一種為是為收件人提供參與門票、贈品或贏得比賽之旅。受害者需要在黑客所提供的假的頁面上註冊並提供電子郵件地址,向「組織者」發送其聯繫方式。這種方案的目的主要是更新電子郵件資料庫,以分發更多的垃圾郵件。
(二)聲稱WannaCry重新來襲的WannaSpam垃圾郵件
今年六月,一個自稱為「WannaCry-Hack-Team」的組織向用戶發送垃圾郵件,聲稱收件人的計算機已被WannaCry感染,並將他們的比特幣地址貼在郵件正文中,需要收件人在指定時間內發送比特幣給他們,否則其計算機上的文件將被全部刪除。這實際上只是一個垃圾郵件,收件人的計算機也未被WannaCry感染,只需將郵件刪除即可。
五、數據泄露事件
(一)加拿大兩家最大的銀行稱近9萬名客戶的數據遭泄漏
五月底,蒙特利爾銀行和加拿大帝國商業銀行近9萬名客戶的數據遭受網路犯罪分子竊取,兩家銀行都了解黑客竊取的數據,意味著他們的檢測和預防措施完全失效。黑客試圖勒索銀行,可能是因為被竊取的數據不如黑客所想的那麼有價值。目前尚未有消息說是否有客戶因為此次的信息泄露事件而遭受損失。
(二)開普敦一個在線交通平台中近百萬用戶個人信息發生泄露
今年五月,南非開普敦一個在線交通平台的個人資料庫發生泄露,所泄露的數據包含近百萬名用戶的姓名、身份證號、電子郵件地址,以及南非公民報告的明文形式存儲的密碼。造成數據泄露的主要原因可能是該在線平台對數據安全性的疏忽,其敏感數據的備份似乎保存在可公開訪問的目錄中。
(三)歐洲北美鐵路公司網站被入侵,大量用戶敏感信息遭泄露
今年五月歐洲北美鐵路公司(RENA)告知客戶他們已經發現證據表明黑客未經授權而訪問其用於預訂機票的電子商務網站,並可能竊取了大量敏感數據——客戶的姓名、性別、地址、電話號碼、電子郵件地址、信用卡/借記卡卡號、支付卡到期日期等,並且已經表明黑客侵入RENA系統已有近3個月的時間。這一事件可能是由於RENA內部員工密碼泄露導致黑客可進入系統,或者是其電子網站有未修復的漏洞導致黑客可遠程利用併入侵其網路。
(四)DNA測試服務MyHeritage公司9200餘萬用戶的用戶數據遭泄露
六月上旬,在第三方私人伺服器上發現了包含MyHeritage公司9200餘萬名用戶的電子郵件地址和散列密碼,但未包含用戶的其他數據,例如用戶的財務信息、DNA、家譜細節等信息。MyHeritage表示,每個用戶密碼的哈希密鑰都不相同,因此網路犯罪分子難以完全解碼9200餘萬個密碼。並表示將為用戶賬戶實施雙要素身份驗證功能,以提高用戶數據的安全性。
(五)Ticketmaster因聊天功能導致用戶信息泄露
今年六月,全球最大的票務網站Ticketmaster,因其使用的第三方聊天軟體——Inbenta所提供的小部件里被注入惡意代碼導致用戶數據泄露,包括用戶姓名、地址、電子郵件地址、電話號碼、付款詳細信息和Ticketmaster登錄詳細信息等數據。Ticketmaster稱並非所有網站訪問者都受到影響,只有在2017年9月至2018年6月23日期間購買或試圖購買票據的國際用戶受到影響,大約為其整個客戶的5%左右,並且已及時在其所有頁面上禁用了Inbenta小部件。
(六)彈幕網站AcFun被攻擊,泄露數千萬條用戶數據
六月中旬,彈幕網站AcFun發布公告稱網站遭遇黑客攻擊,近千萬條用戶數據外泄,包括用戶ID、昵稱以及加密存儲的密碼。攻擊者在GitHub發布了300條用戶信息及手機號,但不久之後已刪除。AcFun表示2017年7月7日之後登錄過AcFun的用戶密碼自動升級為更強的加密策略,密碼是安全的,並且提示在2017年7月7日之後從未登陸過的用戶以及密碼強度低的用戶及時更改密碼。
六、挖礦木馬病毒
(一)新型Monero挖礦木馬在Mac端興起
今天五月以來,大量Mac用戶感染了一種新型Monero挖礦木馬,一個名為「mshelper」的進程會消耗大量的CPU電力並耗盡他們的電池。該挖礦軟體由偽裝的Adobe Flash Player安裝程序安裝,通過用戶從非官方網站下載或特意誘騙受害者打開他們的誘餌文檔。該木馬在目標系統上開始執行時,就會啟動兩個svchost.exe進程,一個執行挖礦任務,另一個在後台運行,用於感知防病毒保護並避免檢測。
(二)在Ubuntu Snap
Store上找到包含Bytecoin加密貨幣礦工的惡意軟體包在官方Ubuntu Snap Store 上託管的Ubuntu Snap Package的源代碼中發現了一個惡意軟體,經分析表明它是一個加密貨幣挖礦木馬。挖掘Bytecoin(BCN)加密貨幣,惡意軟體中硬編碼的帳戶是「myfirstferrari@protonmail.com」。惡意應用程序是2048buntu,它是2024遊戲的合法版本,包含在Ubuntu Snap中,同一開發人員上傳的另一應用程序也包含該挖礦惡意代碼。由於Ubuntu Snap Store沒有提供安裝計數,因此無法確定受影響的用戶數量。
(三)近400個Drupal站點感染惡意軟體,秘密挖掘加密貨幣
5月上旬,近400個網站遭受了惡意攻擊,主要是美國的政府機構、教育機構及一些科技公司的網站。這些網站均是使用了舊版本的Drupal內容管理系統,被惡意軟體利用了其中的關鍵遠程代碼執行漏洞(CVE-2018-7600),植入了Coinhive挖礦服務。所有受感染的JavaScript代碼都指向相同的域名(vuuwd.com)和相同的Coinhive密鑰,並且該挖礦服務限制了對受害者CPU的佔有率,以減低被發現的可能性。
(四)電腦管家助力警方破獲電腦挖礦大案
2017年底時,騰訊電腦管家曾發現一款名為「tlMiner」的挖礦木馬的傳播量達到峰值,12月20日當天有近20萬台機器受到該挖礦木馬影響,並發現「tlMiner」挖礦木馬瞄準「吃雞」玩家及網吧高配電腦,搭建挖礦集群。騰訊電腦管家配合守護者計劃及時將該案線索提供給山東警方,協助警方於2018年4月11日成功破獲389萬台肉雞電腦挖礦大案,涉案案值高達1500餘萬元。
「tlMiner」木馬作者在「吃雞」遊戲外掛、海豚加速器(修改版)、高仿盜版視頻網站(http://dy600.com)、酷藝影視網吧VIP等程序中植入「tlMiner」挖礦木馬,通過網吧聯盟、論壇、下載站和雲盤等渠道傳播。木馬作者通過以上渠道植入木馬,非法控制網吧和個人計算機終端為其個人挖礦。騰訊電腦管家已全面攔截該木馬病毒。
(五)名為「吃雞」輔助軟體,實則挖礦病毒
六月,騰訊御見威脅情報中心監控到「xiaoba」勒索病毒的作者在網站xiaobaruanjian.xyz上提供《荒野行動》的遊戲輔助,同時將勒索病毒、挖礦木馬、篡改主頁木馬暗藏其中。用戶一旦下載運行該網站的所謂「吃雞」輔助軟體,會導致瀏覽器主頁被篡改、電腦CPU被大量佔用挖礦。偽裝成「吃雞」遊戲輔助工具的「荒野行動設備解封工具.cmd」,被打包為壓縮包文件「荒野行動設備解封工具.exe」,偽裝的正規軟體文件名極難被用戶發現。該壓縮包文件執行時會啟動惡意腳本cmd,修改文件創建時間,然後執行木馬文件。「xiaoba」病毒會篡改瀏覽器導航,已針對40餘款瀏覽器進行劫持,木馬運行後在桌面釋放大量推廣lnk,同時挖礦佔用大量CPU資源。當中毒電腦上發生比特幣、以太坊幣交易時,病毒會監視剪切板,在交易瞬間將收款人地址替換為自己的,從而實現虛擬幣交易搶劫。更惡劣的是,「xiaoba」病毒作者還增加了勒索病毒功能,讓電腦無法開機,要求受害人付款後才能解除病毒封鎖。目前,騰訊電腦管家已全面攔截並查殺該病毒。
推薦閱讀: