2018年瑞星“云安全”系统共截获病毒样本总量7,786万个,病毒感染次数11.25亿次,病毒总体数量比2017年同期上涨55.63%。由于利益的驱使,更多领域的犯罪分子投入到了挖矿病毒与勒索病毒领域,同时,病毒与杀毒软件的对抗越来越激烈,攻击者持续更新迭代病毒,导致病毒有了极大的增长。
报告期内,CVE-2018-0802漏洞利用占比29.95%,位列第一位。该漏洞是office公式编辑器EQNEDT32.EXE的一个漏洞,由于公式编辑器对字体名称的长度没有进行校验,导致攻击者可以通过构造恶意的字体名,执行任意代码。
报告期内,北京市病毒感染2.26亿人次,位列全国第一,其次为广东省0.92亿人次及山东省0.65亿人次。
根据病毒感染人数、变种数量和代表性进行综合评估,瑞星评选出了2018年1至12月病毒Top10:
报告期内,瑞星“云安全”系统共截获勒索软件感染次数687万次,其中广东省感染179万次,位列全国第一,其次为上海市77万次,北京市52万次及江苏省33万次。
通过对瑞星捕获的勒索样本按家族分析发现,GandCrab家族占比36%,位列第一,其次为WannaCrypt占比31%,以及Lyposit占比17%。
2018年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量1.06亿个,其中挂马网站6,622万个,诈骗网站3,949万个。美国恶意URL总量为2,785万个,位列全球第一,其次是中国399万个,德国188万个,分别为二、三位。
报告期内,香港恶意网址(URL)总量为78万个,位列全国第一,其次是甘肃省72万个,以及浙江省66万个,分别为二、三位。
注:上述恶意URL地址为恶意URL服务器的物理地址。
2018年瑞星“云安全”系统共拦截诈骗网站攻击323万余次,广东受诈骗网站攻击66万次,位列第一位,其次是北京市受诈骗网站攻击44万次,第三名是上海市受诈骗网站攻击20万次。
报告期内,赌博类诈骗网站占46%,位列第一位,其次是情色类诈骗网站占37%,恶意软件类诈骗网站占11%,分别为二、三位。
报告期内,广东、上海、江苏等地区访问的诈骗网站类型以赌博为主,北京、辽宁、浙江等地区则以情色网站为主,其余地区访问恶意推广诈骗网站居多。
2018年情色、赌博类诈骗网站占比较大,这些恶意网站大多通过非法手段进行传播,有些赌博类诈骗网站采用新型的“夺宝”形式,利用低价格高回报方式吸引用户,以零钱试玩的方式让用户参与其中,前期平台方会进行后台操作让用户少输多赢,当用户产生一定的兴趣后,再进行后台操作赢取用户钱财。诈骗网站的传播途径:
2018年瑞星“云安全”系统共拦截挂马网站攻击65万余次,浙江省受挂马攻击25万次,位列第一位,其次是北京市受挂马攻击19万次。
2018年挂马攻击相对增多,攻击者一般自建一些导航类或色情类网站,吸引用户主动访问。有些网站会锁定用户浏览器主页,当用户访问会自动跳转到指定的恶意网站,大部分恶意网站会挂载木马程序诱导用户下载,进而窃取用户的账户信息,非法分子利用窃取的信息进行诈骗或资金盗刷。挂马防护手段主要为:
2018年瑞星“云安全”系统共截获手机病毒样本640万个,病毒总体数量比2017年同期上涨26.73%。新增病毒类型以信息窃取、资费消耗、流氓行为、恶意扣费四类为主,其中信息窃取类病毒占比26%,位居第一。其次是资费消耗类病毒占比25%,第三名是流氓行为类病毒占比18%。
2018年4月,一种新型门罗币挖矿恶意软件HiddenMiner伪装成GooglePlay更新软件,针对安卓手机用户发起了攻击,该恶意软件封装后没有调试器、控制器、切换功能,用户手机一旦感染,将无法人工停止运行,手机后台会一直开启,直到手机电池耗尽。恶意软件HiddenMiner的自我保护和恢复机制非常强大,它会利用安卓设备管理员的权限使它具有和SLockerAndroid恶意软件一样的安卓系统管理员权限。手机一旦被安装后,会不断弹出权限请求窗口,直到用户选择允许才会消失。
2018年11月,中消协通报100款APP个人信息收集与隐私政策测评情况。被测评的10类100款APP分别从APPStore和安卓市场进行下载,根据测评结果,新闻阅读、网上购物和交易支付等类型APP为总平均分相对较高的APP类别,而金融理财类APP得分相对较低,仅为28.91分。《测评报告》显示,10类APP普遍存在涉嫌过度收集个人信息的情况,59款APP涉嫌过度收集“位置信息”,28款APP涉嫌过度收集“通讯录信息”,23款APP涉嫌过度收集“身份信息”,22款APP涉嫌过度收集“手机号码”等。在隐私政策方面:47款APP隐私条款内容不达标,其中34款APP没有隐私条款。
2018年12月,据新民晚报报道,上海警方成功捣毁一个利用网上银行漏洞非法获利的犯罪团伙,马某等6名犯罪嫌疑人被依法刑事拘留。这个团伙发现某银行APP软件中的质押贷款业务存在安全漏洞,遂使用非法手段获取了5套该行的储户账户信息,在账户中存入少量金额后办理定期存款,后通过技术软件成倍放大存款金额,借此获得质押贷款,累计非法获利2800余万元。
2018年12月,国家网信办会同有关部门针对网民反映强烈的违法违规、低俗不良移动应用程序(APP)乱象,集中开展清理整治专项行动,依法关停下架“成人约聊”“两性私密圈”“澳门金沙”“夜色的寂寞”“全民射水果”等3469款涉黄涉赌、恶意扣费、窃取隐私、诱骗诈骗、违规游戏、不良学习类APP。有关负责人称,这些违法违规APP传播隐蔽、性质恶劣、社会危害大,必须重拳出击,全环节治理,让网络空间更加清朗,坚决维护广大网民的根本利益。
2018年1月,英特尔处理器曝出“Meltdown”(熔断)和“Spectre”(幽灵)两大新型漏洞,影响Intel、AMD以及ARM等多个厂商的产品,受影响的操作系统平台有Windows、Linux、Android、IOS以及MacOS等。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。
2018年3月,知名代码托管网站GitHub遭遇了有史以来最严重的DDoS网络攻击,峰值流量达到了1.35Tbps。尽管此类攻击的特点就是利用如潮水般的流量同时涌入网站,不过本次攻击不同之处在于采用了更先进的放大技术,目的是针对主机服务器产生更严重的影响。这项新技术并非依赖于传统的僵尸网络,而是使用了memcached服务器。该服务器的设计初衷是提升内部网络的访问速度,而且应该是不暴露在互联网中的。不过根据DDoS防御服务提供商Akamai的调查,至少有超过5万台此类服务器连接到互联网上,因此非常容易受到攻击。
2018年6月,弹幕视频网AcFun公告称,因网站受黑客攻击,已有近千万条用户数据外泄,目前已报警处理,希望用户及时修改密码。公告称,用户数据泄露的数量达近千万条,原因是遭到黑客攻击。泄露的数据主要包括用户ID、昵称、加密储存的密码等。A站表示,本次事件的根本原因在于公司没有把AcFun做得足够安全,为此,官方向用户道歉,并将马上提升用户数据安全保障能力。目前,A站已联合内部和外部的技术专家成立了安全专项组,排查问题并升级了系统安全等级。此后,公司将对AcFun服务做全面系统加固,实现技术架构和安全体系的升级。
2018年8月,知名芯片代工厂台积电遭遇WannaCry病毒入侵,导致三大工厂生产线停摆,预估损失高达约17亿人民币。在这起事件中,最突出的问题便是台积电内网设备没有及时更新安全补丁,早在2017年3月,微软就已经发布安全补丁,但考虑到升级系统带来的兼容性等影响,许多企业,包括工控系统,仍然使用存在漏洞的主机以及系统进行工作,带来非常大的安全隐患。
2018年12月,驱动人生升级程序开始下发木马病毒,短期内感染数万台计算机。木马母体运行后创建服务,命名为Ddriver,执行恶意功能,从资源中释放挖矿模块svhhost.exe,挖掘虚拟货币消耗计算机资源。联网下载永恒之蓝攻击svvhost.exe模块,攻击网络中的其它机器。驱动人生官方排查后,发现驱动人生升级服务器被入侵,部分老版本升级组件存在漏洞,被攻击者恶意利用后发起的攻击。驱动人生官方进行了紧急升级,由于使用驱动人生旧版本的用户较多,因此造成的影响较大。
GandCrab勒索病毒从2018年年初一直活跃到年末,此病毒自出现以来持续更新对抗查杀。GandCrab随着版本的不断更新传播方式也不断变化,包括网站挂马、伪装字体更新程序、邮件、漏洞、木马程序等。该家族普遍采用较为复杂的RSA+AES混合加密算法,文件加密后几乎无法解密,最近的几个版本为了提高加密速度,对文件加密的算法开始使用Salsa20算法,秘钥被非对称加密算法加密,若没有病毒作者的私钥,正常方式通常无法解密,给受害者造成了极大的损失。
除了病毒作者之外,还有不少攻击者利用此病毒进行攻击,其中一个新的病毒变种,开始具备了蠕虫、挖矿、勒索、窃密等多种特性,攻击者通过钓鱼邮件传播此勒索病毒母体,病毒母体运行后不仅下载释放GandCrab5.0.4加密计算机中的文件,还会释放挖矿模块消耗计算机资源,导致CPU占用率较高,释放窃取模块,窃取账号密码,替换虚拟货币钱包软件的剪切板,导致转账到攻击者钱包同时病毒具备的蠕虫特性会感染可移动磁盘、web目录、使用受害者机器发送带毒垃圾邮件,进一步感染其它计算机。
因此对抗此病毒,不仅仅是对抗病毒本身和病毒作者,而是要和成百上千隐藏在各处的攻击者进行对抗,随着攻防阶段的发展,攻击者会想尽各种办法传播该勒索病毒。
撒旦Satan勒索病毒,运行之后加密受害者计算机文件,勒索赎金,被加密文件后缀为.satan。自诞生以来持续对抗查杀,新版本除了使用MS17-010永恒之蓝漏洞攻击之外,还增加了tomcat弱口令、WebLogicWLS组件漏洞(CVE-2017-10271)、JBOOS反序列化漏洞(CVE-2017-12149)等多种web漏洞和弱口令攻击。病毒内置了大量的IP列表,中毒后会继续攻击他人。此病毒危害巨大,给不打补丁的用户造成极大的危害。幸运的是此病毒使用对称加密算法加密,密钥硬编码在病毒程序和被加密文件中,因此可以解密。瑞星最早开发出了针对此病毒的解密工具。
Xbash病毒集勒索、挖矿、蠕虫于一身,使用多种漏洞和弱口令进行传播,并且可以感染Linux和Windows。该病毒使用漏洞和弱口令入侵计算机,然后植入挖矿病毒,并且会删除数据库,在数据库中留下勒索信息,警告受害者想要恢复数据需要支付赎金,但是由于数据库被清空,病毒作者也无法恢复被删除的数据,因此危害较大。病毒内置的弱口令帐号密码,针对ftp、mysql、telnet、postgresql、mongodb、redis、memcached等web服务和数据库进行攻击,并且会利用activeMQ漏洞、hadoop漏洞、Redis漏洞等数据库软件漏洞进行攻击。
Lucky病毒使用多种漏洞和弱口令攻击Windows和Linux系统,然后植入勒索病毒和挖矿病毒。挖矿病毒运行后会导致中毒机器CPU占用率极高,勒索病毒运行后加密计算机中的文件,被加密文件后缀追加上.lucky。中毒机器会使用永恒之蓝漏洞和多种web漏洞攻击网络中的其它机器。此病毒使用了以下漏洞和弱口令进行攻击:
FilesLocker病毒使用C#编写,运行之后通过AES算法加密文件,并用RSA算法加密AES密钥,在没有病毒作者RSA私钥的情况无法解密文件。从技术方面来看,此病毒的技术较为成熟,和以往的勒索病毒相比,并没有太多过于独特的地方。
传统勒索软件大多是国外攻击者开发,当用户收到英文或俄文的钓鱼邮件时,会自动提高警惕。然而FilesLocker病毒是国内犯罪分子开发,在地下黑客论坛广泛招募合作伙伴,意图分发传播勒索病毒。
从攻击者的招募信息来看,主要招募拥有大量肉鸡的攻击者和拥有病毒传播技术的攻击者,一旦招募成功,将会有各种各样的犯罪分子,通过各种方法传播勒索病毒。未来可能会有很多精心编造的钓鱼邮件,各种吸引眼球的标题,诱导受害者下载运行勒索病毒,因此有很大的安全隐患。
病毒作者在地下黑客论坛发布的合作伙伴招募信息:
2018年大量病毒制造者将目标投向了挖矿领域,挖矿病毒层出不穷,其中影响最大的是一个构造精密被称为“MsraMiner”的挖矿僵尸网络。此病毒利用永恒之蓝漏洞攻击局域网中的机器,中毒机器会继续使用永恒之蓝漏洞攻击其它机器,并作为web服务器供其它机器下载,导致大量局域网主机被植入挖矿病毒,同时病毒持续升级对抗查杀。
此病毒在2018年3月、5月进行了更新。通过内网传播和外网下载,僵尸网络非常健壮,增加了查杀的难度。2018年11月份此病毒又更新了一个版本,服务名称变为snmpstorsrv,压缩包名称变为MarsTraceDiagnostics.xml,永恒之蓝攻击工具包释放的路径变为系统盘:\Windows\APPDiagnostics目录,主要为了对抗查杀。
导致此病毒爆发的主要原因是:
2018年CVE-2017-0144(永恒之蓝漏洞)依然是影响最严重的漏洞之一,很多企业互联网中仍然存在很多未打“永恒之蓝”漏洞补丁的机器,导致其危害至今仍在持续。CVE-2017-0144是MicrosoftWindowsSMB服务中存在远程代码执行漏洞,远程攻击者可通过发送特制的数据包触发漏洞,从而利用该漏洞执行代码。由于美国国家安全局NSA旗下的方程式组织,用来窃取情报的网络武器被泄露,导致很多攻击者不需要掌握漏洞利用的知识,直接使用NSA泄露的工具就能发起永恒之蓝漏洞攻击,因此极大的降低了攻击的门槛。此外MsraMiner挖矿病毒、Satan勒索病毒、Lucky勒索病毒也是利用永恒之蓝漏洞进行传播,影响范围十分广泛。
CVE-2018-0802漏洞是office公式编辑器EQNEDT32.EXE出现的又一个漏洞,微软2017年11月份修补了一个隐藏了17年的office漏洞,漏洞编号CVE-2017-11882,漏洞是由于office公式编辑器组件EQNEDT32.EXE,对输入字符串的长度没有进行比对,导致的内存破坏漏洞。如果攻击者精心构造恶意office文档,就会触发漏洞执行任意代码。
CVE-2018-0802属于CVE-2017-11882漏洞补丁的绕过漏洞,此漏洞成因是由于公式编辑器对字体名称的长度没有进行校验,导致攻击者可以通过构造恶意的字体名,执行任意代码。该漏洞几乎影响微软所支持的所有office版本,攻击者可以诱导用户打开包含恶意代码的MicrosoftOffice文档、网页、垃圾电子邮件等触发漏洞。因此很多攻击者都非常乐于使用此漏洞,导致此漏洞在2018年非常流行。
CVE-2017-9791是Struts2showcase应用中存在远程代码执行漏洞,远程攻击者可通过使用恶意字段值,构造特定的输入,发送到ActionMessage类中,从而导致任意代码执行。ApacheStruts是一个免费的、开源的MVC框架,用于创建Javaweb网站程序,广泛用于各类网站中。
CVE-2017-9791漏洞出现后,一般大型互联网企业、政府、金融机构等网站都能及时修复漏洞。但是仍有很多中小企业,由于网站是第三方外包公司开发,导致漏洞出现后无法及时更新补丁,给攻击者留下可乘之机。
CVE-2017-10271是WebLogicXMLDecoder组件存在的反序列化漏洞,使用精心构造的XML将会导致远程代码执行,攻击者只需要发送特定的HTTP请求,就可以拿到目标服务器的权限。很多web网站没有及时修复此漏洞,导致被攻击者利用。此漏洞被Satan勒索病毒、Lucky勒索病毒在攻击中使用,不少攻击者也通过此漏洞将挖矿病毒植入受害者服务器。
CVE-2017-12149是JBOSSAPPlicationServer反序列化命令执行漏洞,JBOOS是一个基于J2EE的开放源代码的应用服务器,由于在JBoss的HttpInvoker组件ReadOnlyAccessFilter过滤器中的doFilter方法,在没有进行充分的安全检查和限制的情况下,直接将接收到的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。由于国内很多网站是第三方外包厂商开发,出现漏洞后无法及时修复,导致不少中小企业服务器中存在此漏洞。Satan勒索病毒就曾使用此漏洞进行攻击。
AdobeFlashPlayer28.0.0.137及更早版本中存在严重漏洞(CVE-2018-4878),可被攻击者利用控制受影响的系统。攻击者通过发送钓鱼邮件,诱导受害者打开内嵌恶意Flash内容的Office文档或点击钓鱼网址链接触发漏洞。
Adobe在2018年2月6日发布的版本28.0.0.161中修复了此漏洞,此漏洞最早被用于针对韩国的定向攻击中,当时还是未修复的0day漏洞。此后此漏洞被黑产团伙用于传播挖矿病毒,用户点击恶意链接后,就会访问带有漏洞的Flash文件,触发漏洞后自动下载运行挖矿木马。
以往勒索病毒和挖矿病毒有比较明显的界限,随着更多攻击者投入到这一领域,获取最大利益是他们的根本目的,因此勒索病毒和挖矿病毒的界限开始模糊,病毒运行后除了释放勒索模块加密受害者计算机中的文件之外,又开始释放挖矿模块挖掘虚拟货币,消耗受害者计算机资源。并且为了增加感染量,病毒呈现蠕虫化的趋势,病毒会通过弱口令和系统漏洞、多种web漏洞传播,攻击存在弱口令和漏洞的计算机。比如Satan勒索病毒、GandCrab勒索病毒,从2018年年初只负责勒索,逐步发展为通过漏洞和弱口令蠕虫化传播,并且开始挖矿。而Lucky和xbash病毒从一出现就攻击Windows和Linux双平台,通过漏洞和弱口令传播挖矿和勒索病毒。
攻击者入侵内网后,通过漏洞和弱口令在网络中自由的横向移动,手工投毒增多,在某次勒索事件中,瑞星捕获了攻击者遗留的各种密码获取工具、网络扫描工具、RDP远程桌面暴力破解工具。攻击者控制一台中毒机器后,抓取各类密码,然后再用这些密码尝试攻击局域网中的其他计算机。由于很多组织的多台计算机使用相同密码,因此受灾严重。此外,有不少网站是外包公司开发,网站管理员不能及时修复web漏洞和弱口令,导致攻击者可以轻易植入病毒,而管理员发现中毒后,即使能够删除病毒,但是无法找到中毒原因,导致反复中毒。
随着5G网络的普及,物联网设备的数量和种类也会逐渐增加,这些新的设备将会有更多的功能,更大的规模。攻击者除了使用物联网设备进行DDoS攻击之外,将会持续挖掘物联网设备的更多潜力,实现更多恶意功能。2018年遍布54个国家的超过500,000台路由器和NAS设备,感染了VPNFilter恶意软件。此病毒构造精密,被APT攻击组织用来窃取信息。未来如果这种攻击方式被网络犯罪团伙使用,将会带来更多破坏性的危害。
随着5G的发展,万物互联将成为趋势,物联网将是未来的重点发展方向,网络上会存在比以往更多的IoT设备,生活会变得更加智能。但是另一方面由于设备种类众多,IoT的安全问题也逐渐凸显,因此物联网将逐渐成为犯罪分子攻击的目标。瑞星对最近出现的几个趋势进行了分析。
物联网设备最早被黑客利用进行DDoS攻击活动,此类攻击技术较为成熟,随着物联网设备漏洞的不断出现,以及黑市上存在的DDoS攻击需求,促使这种攻击持续存在,并且威胁逐渐增大。由于物联网设备越来越多,一旦被攻击者控制,形成大规模的僵尸网络,批量访问某个网站,就会导致网站瘫痪,甚至可能导致某个区域断网,全世界大部分网站都无法抵御这种攻击。因此物联网设备在入网前要进行严格的测试,目前不少厂家已经从设计的角度避免了弱口令,但是由于软件漏洞无法完全避免,因此要做好漏洞的及时修补工作,才能避免被攻击者利用。
以往不法分子主要通过个人电脑和服务器进行挖矿,现阶段有不少攻击者另辟蹊径,投入到物联网设备的挖矿领域。由于挖矿十分消耗计算机资源,导致计算机卡顿或者网站无法访问,很容易被受害者发现。而对于物联网设备,很多时候受害者无法查看CPU内存占用情况,一般很难发现,即使挖矿导致设备死机,受害者也会认为是设备过热导致,只能通过重启来解决。
ADB.Miner是针对物联网设备进行挖矿的病毒之一,该病毒会扫描暴露在互联网上的安卓机顶盒、智能电视,然后通过ADB调试端口默认开放的漏洞植入挖矿病毒。此外还有攻击者通过MikroTik路由器漏洞,植入Coinhive挖矿脚本,当用户在浏览网页跳转到任何类型的错误页面时,会自动打开包含Coinhive挖矿脚本的页面进行挖矿。
VPNFilter恶意软件是一个多阶段,模块化的平台,具有多种功能,可支持情报收集和破坏性网络攻击操作。此病毒构造非常精密,兼容性非常强,能够感染Linksys,MikroTik,Netgear,TP-Link和QNAP、华硕,D-Link,华为,Ubiquiti,UPVEL和中兴制造的路由器。研究人员发现遍布54个国家超过50万台路由器和NAS等物联网设备,感染了VPNFilter恶意软件。
VPNFilter恶意软件由如下模块构成:
第1阶段模块,重新启动后会持续存在,这与大多数其它针对物联网设备的恶意软件不同,因为恶意软件通常无法在设备重新启动后存活。阶段1的主要目的是获得持久驻留,并能够部署阶段2恶意软件。
第2阶段的模块,重启后无法继续存在,需要使用阶段1来部署。它拥有一个智能收集数据的功能,比如文件收集、命令执行、数据过滤和设备管理。
第3阶段模块,作为第2阶段恶意软件的插件。这些插件为第2阶段提供了附加功能。
物联网设备中毒后较难发现,漏洞难以及时修补,甚至有的设备已经找不到生产厂商。这些感染物联网病毒的僵尸设备,会对全球网络安全造成很大的隐患。因此未来物联网设备,出厂前要进行足够的测试,尽最大可能提高防护能力。另一方面建立完善的升级补丁体系,发现漏洞后厂家能够及时通过安装补丁修复漏洞,而不是漏洞出现后长期无法修复,导致物联网设备被黑客攻击。