卡巴斯基實驗室:2018 Q2 IT威脅演變的統(tǒng)計分析 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2018-08-22 瀏覽次數(shù): | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
信息來源:FreeBuf
第二季度相關(guān)數(shù)字
|
樣本 | %* | |
---|---|---|
1 | DangerousObject.Multi.Generic | 70.04 |
2 | Trojan.AndroidOS.Boogr.gsh | 12.17 |
3 | Trojan-Dropper.AndroidOS.Lezok.p | 4.41 |
4 | Trojan.AndroidOS.Agent.rx | 4.11 |
5 | Trojan.AndroidOS.Piom.toe | 3.44 |
6 | Trojan.AndroidOS.Triada.dl | 3.15 |
7 | Trojan.AndroidOS.Piom.tmi | 2.71 |
8 | Trojan.AndroidOS.Piom.sme | 2.69 |
9 | Trojan-Dropper.AndroidOS.Hqwar.i | 2.54 |
10 | Trojan-Downloader.AndroidOS.Agent.ga | 2.42 |
11 | Trojan-Dropper.AndroidOS.Agent.ii | 2.25 |
12 | Trojan-Dropper.AndroidOS.Hqwar.ba | 1.80 |
13 | Trojan.AndroidOS.Agent.pac | 1.73 |
14 | Trojan.AndroidOS.Dvmap.a | 1.64 |
15 | Trojan-Dropper.AndroidOS.Lezok.b | 1.55 |
16 | Trojan-Dropper.AndroidOS.Tiny.d | 1.37 |
17 | Trojan.AndroidOS.Agent.rt | 1.29 |
18 | Trojan.AndroidOS.Hiddapp.bn | 1.26 |
19 | Trojan.AndroidOS.Piom.rfw | 1.20 |
20 | Trojan-Dropper.AndroidOS.Lezok.t | 1.19 |
*遭相關(guān)惡意軟件攻擊的唯一用戶占所有被攻擊的卡巴斯基實驗室移動防病毒軟件的用戶的百分比。
和以前一樣,我們的TOP20中的第一名是DangerousObject.Multi.Generic( 70.04%),它是我們通過云技術(shù)檢測到的惡意軟件。排在第二位的是Trojan.AndroidOS.Boogr.gsh(12.17%),它是我們通過機器學習識別為惡意軟件的文件。第三名是Dropper.AndroidOS.Lezok.p(4.41%),然后是只相差0.3個百分點的Trojan.AndroidOS.Agent.rx(4.11%),它是第一季度的第三名。
移動威脅的地理分布
移動惡意軟件感染的地理分布,2018年第二季度
遭移動惡意軟件攻擊的用戶所占比例排名前10位的國家/地區(qū):
國家* | **% | |
---|---|---|
1 | 孟加拉國 | 31.17 |
2 | 中國 | 31.07 |
3 | 伊朗 | 30.87 |
4 | 尼泊爾 | 30.74 |
5 | 尼日利亞 | 25.66 |
6 | 印度 | 25.04 |
7 | 印度尼西亞 | 24.05 |
8 | 科特迪瓦共和國 | 23.67 |
9 | 巴基斯坦 | 23.49 |
10 | 坦桑尼亞 | 22.38 |
*評級中排除了卡巴斯基實驗室移動防病毒軟件用戶數(shù)量相對較少的國家(10,000以下)。
**該國家遭到攻擊的唯一用戶占該國家卡巴斯基實驗室移動防病毒軟件的所有用戶的比例。
在2018年第二季度,孟加拉國(31.17%)名列榜首。中國(31.07%)以微弱優(yōu)勢排名第二。伊朗(30.87%)和尼泊爾(30.74%)分別獲得第三和第四名。
本季度俄羅斯(8.34%)排名下降到了第38位,落后于中國臺灣(8.48%)和新加坡(8.46%)。
移動銀行木馬
在報告期間內(nèi),我們檢測到61,045個移動銀行木馬的安裝包,是2018年第一季度的 3.2倍。最大的貢獻來自于Trojan-Banker.AndroidOS.Hqwar.jck – 這個木馬幾乎占了檢測到的新銀行木馬的一半。其次是Trojan-Banker.AndroidOS.Agent.dq ,約占5000個安裝包。
卡巴斯基實驗室檢測到的移動銀行木馬安裝包數(shù)量,2017年第二季度 – 2018年第二季度
十大移動銀行木馬
樣本 | %* | |
---|---|---|
1 | Trojan-Banker.AndroidOS.Agent.dq | 17.74 |
2 | Trojan-Banker.AndroidOS.Svpeng.aj | 13.22 |
3 | Trojan-Banker.AndroidOS.Svpeng.q | 8.56 |
4 | Trojan-Banker.AndroidOS.Asacub.e | 5.70 |
5 | Trojan-Banker.AndroidOS.Agent.di | 5.06 |
6 | Trojan-Banker.AndroidOS.Asacub.bo | 4.65 |
7 | Trojan-Banker.AndroidOS.Faketoken.z | 3.66 |
8 | Trojan-Banker.AndroidOS.Asacub.bj | 3.03 |
9 | Trojan-Banker.AndroidOS.Hqwar.t | 2.83 |
10 | Trojan-Banker.AndroidOS.Asacub.ar | 2.77 |
*遭相關(guān)惡意軟件攻擊的唯一用戶占所有遭銀行木馬攻擊的卡巴斯基實驗室移動防病毒軟件用戶的百分比
第二季度最流行的移動銀行木馬是Trojan-Banker.AndroidOS.Agent.dq(17.74%),緊隨其后的是Trojan-Banker.AndroidOS.Svpeng.aj(13.22%)。這兩個木馬使用網(wǎng)絡(luò)釣魚窗口來竊取用戶的銀行卡和網(wǎng)上銀行憑據(jù)信息。此外,它們還通過濫用短信服務(包括手機銀行)來竊取資金。流行的銀行惡意軟件 Trojan-Banker.AndroidOS.Svpeng.q(8.56%)在評級中排名第三,從第二季度的第二名下降一位。
移動銀行威脅的地理分布,2018年第二季度
遭移動銀行木馬攻擊的用戶比例排名前10的國家
國家* | **% | |
---|---|---|
1 | 美國 | 0.79 |
2 | 俄國 | 0.70 |
3 | 波蘭 | 0.28 |
4 | 中國 | 0.28 |
5 | 塔吉克斯坦 | 0.27 |
6 | 烏茲別克斯坦 | 0.23 |
7 | 烏克蘭 | 0.18 |
8 | 新加坡 | 0.16 |
9 | 摩爾多瓦 | 0.14 |
10 | 哈薩克斯坦 | 0.13 |
*評級中排除了卡巴斯基實驗室移動防病毒軟件用戶數(shù)量相對較少的國家(10,000以下)。
**該國家遭移動銀行木馬攻擊的唯一用戶占該國家卡巴斯基實驗室移動防病毒軟件所有用戶的百分比。
總體而言,評級與第一季度相比沒有太大變化:俄羅斯(0.70%)和美國(0.79%)交換了位置,但均保持在前三。
由于兩個木馬的活躍傳播,波蘭(0.28%)從第九位上升到第三位,這兩個木馬是Trojan-Banker.AndroidOS.Agent.cw和Trojan-Banker.AndroidOS.Marcher.w。后者于2017年11月首次被發(fā)現(xiàn),它通過典型的銀行惡意軟件工具集:SMS攔截、網(wǎng)絡(luò)釣魚窗口和設(shè)備管理員權(quán)限來確保其在系統(tǒng)中的持久性。
移動勒索軟件木馬
在2018年第二季度,我們檢測到14,119個移動勒索軟件木馬的安裝包,比第一季度增加了一半。
卡巴斯基實驗室檢測到的移動勒索軟件木馬的安裝包數(shù)量,2017年第二季度- 2018年第二季度
樣本 | %* | |
---|---|---|
1 | Trojan-Ransom.AndroidOS.Zebt.a | 26.71 |
2 | Trojan-Ransom.AndroidOS.Svpeng.ag | 19.15 |
3 | Trojan-Ransom.AndroidOS.Fusob.h | 15.48 |
4 | Trojan-Ransom.AndroidOS.Svpeng.ae | 5.99 |
5 | Trojan-Ransom.AndroidOS.Egat.d | 4.83 |
6 | Trojan-Ransom.AndroidOS.Svpeng.snt | 4.73 |
7 | Trojan-Ransom.AndroidOS.Svpeng.ab | 4.29 |
8 | Trojan-Ransom.AndroidOS.Small.cm | 3.32 |
9 | Trojan-Ransom.AndroidOS.Small.as | 2.61 |
10 | Trojan-Ransom.AndroidOS.Small.cj | 1.80 |
*遭到相關(guān)惡意軟件攻擊的唯一用戶占所有遭到勒索軟件木馬攻擊的卡巴斯基實驗室移動防病毒軟件用戶的百分比
第二季度最流行的移動勒索軟件是Trojan-Ransom.AndroidOS.Zebt.a(26.71%),超過四分之一的用戶遭到該惡意軟件的攻擊。其次是Trojan-Ransom.AndroidOS.Svpeng.ag(19.15%),領(lǐng)先于曾經(jīng)最流行的 Trojan-Ransom.AndroidOS.Fusob.h(15.48%)。
移動勒索軟件木馬的地理分布,2018年第二季度
受移動勒索軟件木馬攻擊的用戶所占比例排名前10位的國家
國家* | **% | |
---|---|---|
1 | 美國 | 0.49 |
2 | 意大利 | 0.28 |
3 | 哈薩克斯坦 | 0.26 |
4 | 比利時 | 0.22 |
5 | 波蘭 | 0.20 |
6 | 羅馬尼亞 | 0.18 |
7 | 中國 | 0.17 |
8 | 愛爾蘭 | 0.15 |
9 | 墨西哥 | 0.11 |
10 | 奧地利 | 0.09 |
*評級排除了卡巴斯基實驗室的移動防病毒軟件的用戶數(shù)量相對較少的國家/地區(qū)(少于10,000)
**該國家受到移動勒索軟件木馬攻擊的唯一用戶占該國家所有卡巴斯基實驗室移動防病毒軟件用戶的百分比
前十名中的第一名是美國(0.49%);該國家最活躍的移動勒索軟件家族是Trojan-Ransom.AndroidOS.Svpeng :
樣本 | %* | |
---|---|---|
1 | Trojan-Ransom.AndroidOS.Svpeng.ag | 53.53% |
2 | Trojan-Ransom.AndroidOS.Svpeng.ae | 16.37% |
3 | Trojan-Ransom.AndroidOS.Svpeng.snt | 11.49% |
4 | Trojan-Ransom.AndroidOS.Svpeng.ab | 10.84% |
5 | Trojan-Ransom.AndroidOS.Fusob.h | 5.62% |
6 | Trojan-Ransom.AndroidOS.Svpeng.z | 4.57% |
7 | Trojan-Ransom.AndroidOS.Svpeng.san | 4.29% |
8 | Trojan-Ransom.AndroidOS.Svpeng.ac | 2.45% |
9 | Trojan-Ransom.AndroidOS.Svpeng.h | 0.43% |
10 | Trojan-Ransom.AndroidOS.Zebt.a | 0.37% |
*美國受相關(guān)惡意軟件攻擊的唯一用戶占該國所有受勒索軟件木馬攻擊的卡巴斯基實驗室移動防病毒軟件用戶的百分比
意大利(0.28%)在受移動勒索軟件攻擊的用戶比例的國家排名中位列第二。在這個國家大多數(shù)攻擊都是Trojan-Ransom.AndroidOS.Zebt.a 導致的。哈薩克斯坦位于第三名(0.26%),Trojan-Ransom.AndroidOS.Small.cm是那里最流行的移動勒索軟件。
針對物聯(lián)網(wǎng)設(shè)備的攻擊
從我們的蜜罐數(shù)據(jù)來看,暴力破解Telnet密碼是最常見的物聯(lián)網(wǎng)惡意軟件自我傳播方法。但是,最近針對其他服務(例如控制端口)的攻擊數(shù)量有所增加。這些端口被分配了用于通過路由器進行遠程控制的服務 – 這一功能是ISP等所需要的。我們已經(jīng)觀察到通過端口8291和端口7547(TR-069協(xié)議)發(fā)起的針對IoT設(shè)備的攻擊嘗試。端口8291是MikrotikRouterOS的控制服務使用的端口。端口7547用于管理德國電信網(wǎng)絡(luò)中的設(shè)備。
在這兩個案例中,攻擊的性質(zhì)都比普通的暴力攻擊要復雜得多;確切地說,它們涉及到漏洞利用。我們傾向于認為,在以下兩個因素的支持下,此類攻擊的數(shù)量將在未來繼續(xù)增長:
· 暴力破解Telnet密碼是一種低效率的策略,因為攻擊者之間存在激烈的競爭。每隔幾秒鐘就會有暴力攻擊的嘗試;一旦成功,攻擊者就會阻止所有其他攻擊者通過Telnet訪問。
· 每次重啟設(shè)備后,攻擊者都必須重新感染它,從而導致部分僵尸網(wǎng)絡(luò)丟失以及必須在一個充滿競爭的環(huán)境中再次獲得它。
從另一方面來講,利用一個漏洞的首個攻擊者可以在最短的時間內(nèi)獲得大量設(shè)備的訪問權(quán)限。
遭到攻擊的服務的受歡迎程度(按受攻擊的唯一設(shè)備的數(shù)量),2018年第二季度
Telnet攻擊
攻擊模式如下:攻擊者發(fā)現(xiàn)目標設(shè)備,檢查Telnet端口是否打開,并啟動密碼暴力破解程序。由于許多物聯(lián)網(wǎng)設(shè)備制造商忽視了安全性(例如,他們在設(shè)備上保留服務密碼并且不允許用戶定期更改它們),這種攻擊變得十分成功并且可能影響整個設(shè)備產(chǎn)線。受感染的設(shè)備開始掃描新的網(wǎng)絡(luò)段并感染其中的新的類似設(shè)備或工作站。
通過Telnet攻擊感染的物聯(lián)網(wǎng)設(shè)備的地理分布,2018年第二季度
通過Telnet攻擊感染的物聯(lián)網(wǎng)設(shè)備所占比例排名前10位的國家/地區(qū)
國家 | %* | |
---|---|---|
1 | 巴西 | 23.38 |
2 | 中國 | 17.22 |
3 | 日本 | 8.64 |
4 | 俄羅斯 | 7.22 |
5 | 美國 | 4.55 |
6 | 墨西哥 | 3.78 |
7 | 希臘 | 3.51 |
8 | 韓國 | 3.32 |
9 | 土耳其 | 2.61 |
10 | 印度 | 1.71 |
*每個特定國家/地區(qū)的受感染設(shè)備占所有遭到Telnet攻擊的物聯(lián)網(wǎng)設(shè)備的百分比
在第二季度,巴西(23.38%)在受感染設(shè)備的數(shù)量方面處于領(lǐng)先地位,同樣地,其在Telnet攻擊數(shù)量方面也處于領(lǐng)先地位。其次是小幅上漲的中國(17.22%),第三名則是日本(8.64%)。
在這些攻擊中,攻擊者最常將Backdoor.Linux.Mirai.c(15.97%)下載到受感染的設(shè)備。
在成功的Telnet攻擊中下載到受感染的IoT設(shè)備的十大惡意軟件
樣本 | %* | |
---|---|---|
1 | Backdoor.Linux.Mirai.c | 15.97 |
2 | Trojan-Downloader.Linux.Hajime.a | 5.89 |
3 | Trojan-Downloader.Linux.NyaDrop.b | 3.34 |
4 | Backdoor.Linux.Mirai.b | 2.72 |
5 | Backdoor.Linux.Mirai.ba | 1.94 |
6 | Trojan-Downloader.Shell.Agent.p | 0.38 |
7 | Trojan-Downloader.Shell.Agent.as | 0.27 |
8 | Backdoor.Linux.Mirai.n | 0.27 |
9 | Backdoor.Linux.Gafgyt.ba | 0.24 |
10 | Backdoor.Linux.Gafgyt.af | 0.20 |
*在成功的Telnet攻擊中每個特定惡意軟件程序下載到IoT設(shè)備的比例占此類攻擊中所有惡意軟件下載量的百分比
SSH攻擊
此類攻擊的發(fā)起類似于Telnet攻擊,唯一的區(qū)別是它們需要僵尸機器在其上安裝SSH客戶端以暴力破解登錄憑據(jù)。SSH協(xié)議是加密保護的,因此暴力破解密碼需要大量的計算資源。因此,來自物聯(lián)網(wǎng)設(shè)備的自我傳播效率低下,攻擊者往往是使用成熟的服務器來發(fā)起攻擊。SSH攻擊的成功取決于設(shè)備所有者或制造商的失誤;換句話說,這又是制造商分配給整個設(shè)備產(chǎn)線的弱密碼或預設(shè)密碼導致的。
中國在物聯(lián)網(wǎng)設(shè)備受SSH攻擊方面處于領(lǐng)先地位。此外,中國在受Telnet攻擊方面排名第二。
通過SSH攻擊感染的物聯(lián)網(wǎng)設(shè)備的地理分布,2018年第二季度
通過SSH攻擊感染的物聯(lián)網(wǎng)設(shè)備所占比例排名前10位的國家
國家 | %* | |
---|---|---|
1 | 中國 | 15.77% |
2 | 越南 | 11.38% |
3 | 美國 | 9.78% |
4 | 法國 | 5.45% |
5 | 俄羅斯 | 4.53% |
6 | 巴西 | 4.22% |
7 | 德國 | 4.01% |
8 | 韓國 | 3.39% |
9 | 印度 | 2.86% |
10 | 羅馬尼亞 | 2.23% |
*每個國家/地區(qū)受感染設(shè)備的比例占所有遭到SSH攻擊的受感染IoT設(shè)備的百分比
金融行業(yè)面臨的在線威脅
第二季度相關(guān)事件
新銀行木馬DanaBot
DanaBot木馬于5月被發(fā)現(xiàn)。它具有模塊化結(jié)構(gòu),能夠加載額外的模塊以攔截流量、竊取密碼和加密貨幣錢包等 – 通常是此類威脅的標準功能集。該木馬通過包含惡意office文檔的垃圾郵件傳播,此文檔隨后用于加載木馬的主體。DanaBot 最初主要針對澳大利亞的用戶和金融機構(gòu),但是在4月初,我們注意到它已經(jīng)變得積極針對波蘭的金融機構(gòu)。
獨特的BackSwap技術(shù)
銀行木馬BackSwap變得更加有趣。大多數(shù)類似的威脅,包括Zeus、Cridex 和Dyreza在內(nèi),都是通過攔截用戶的流量,將惡意腳本注入受害者訪問的銀行頁面或?qū)⑵渲囟ㄏ虻结烎~網(wǎng)站。相比之下,BackSwap使用了一種創(chuàng)新的技術(shù)來注入惡意腳本:利用WinAPI。它通過模擬敲擊鍵盤以在瀏覽器中打開開發(fā)者控制臺,然后使用此控制臺將惡意腳本注入網(wǎng)頁。在BackSwap的后續(xù)版本中,它使用JavaScript 代碼通過地址欄注入惡意腳本。
Carbanak團伙頭目被逮捕
3月26日,歐洲刑警組織宣布逮捕Carbanak 和CobaltGoblin背后的網(wǎng)絡(luò)犯罪團伙的頭目。這是由西班牙皇家警察、歐洲刑警組織、聯(lián)邦調(diào)查局以及羅馬尼亞、摩爾多瓦、白俄羅斯和中國臺灣當局以及私人信息安全公司之間的聯(lián)合行動。預計該頭目的被捕將減少該組織的活動,但最近的數(shù)據(jù)顯示,該組織的活動沒有發(fā)生明顯的下降。在 5月和6月,我們發(fā)現(xiàn)了針對東歐銀行和加工公司的多起針對性網(wǎng)絡(luò)釣魚攻擊浪潮。Carbanak 發(fā)出的釣魚郵件偽裝成信譽良好的反惡意軟件供應商、歐洲中央銀行和其他組織的支持熱線。這些電子郵件包含利用CVE-2017-11882和CVE-2017-8570 漏洞的文件附件。
勒索軟件木馬使用Doppelg?nging技術(shù)
卡巴斯基實驗室的專家檢測到了勒索軟件 TrojanSynAck使用ProcessDoppelg?nging技術(shù)的案例。該惡意軟件的作者使用這種復雜的技術(shù)使其更加隱蔽,并使安全解決方案的檢測變得更加困難。這是第一個將該技術(shù)用于勒索軟件木馬的案例。
另一個引人注目的事件是加密類惡意軟件Purga(又名Globe)的傳播活動,在此期間,這個惡意軟件與包括一個銀行木馬在內(nèi)的其他惡意軟件一起被加載到感染了木馬Dimnie的計算機上。
關(guān)于金融威脅的綜合統(tǒng)計
這些統(tǒng)計數(shù)據(jù)是基于從同意提供統(tǒng)計數(shù)據(jù)的用戶那里收到的卡巴斯基實驗室產(chǎn)品檢測到的樣本數(shù)據(jù)。
在2018年第二季度,卡巴斯基實驗室解決方案幫助215,762個用戶阻止了一個或多個試圖從銀行賬戶竊取資金的惡意軟件的企圖。
遭金融惡意軟件攻擊的唯一用戶的數(shù)量,2018年第二季度
攻擊的地理分布
銀行惡意軟件攻擊的地理分布,2018年第二季度
按遭到攻擊的用戶比例排名前10位的國家/地區(qū)
國家* | 遭到攻擊的用戶比例%** | |
---|---|---|
1 | 德國 | 2.7% |
2 | 喀麥隆 | 1.8% |
3 | 保加利亞 | 1.7% |
4 | 希臘 | 1.6% |
5 | 阿拉伯聯(lián)合酋長國 | 1.4% |
6 | 中國 | 1.3% |
7 | 印度尼西亞 | 1.3% |
8 | 利比亞 | 1.3% |
9 | 多哥 | 1.3% |
10 | 黎巴嫩 | 1.2% |
這些統(tǒng)計數(shù)據(jù)是基于從同意提供統(tǒng)計數(shù)據(jù)的卡巴斯基實驗室產(chǎn)品用戶收到的防病毒產(chǎn)品的檢測數(shù)據(jù)。
*不包括卡巴斯基實驗室產(chǎn)品的用戶相對較少的國家(10,000以下)。
**其計算機遭到銀行木馬或ATM/ PoS惡意軟件攻擊的卡巴斯基實驗室唯一用戶占該國家卡巴斯基實驗室產(chǎn)品所有唯一用戶的百分比。
十大銀行惡意軟件家族
名稱 | 樣本* | 遭到攻擊的用戶比例%** | |
---|---|---|---|
1 | Nymaim | Trojan.Win32. Nymaim | 27.0% |
2 | Zbot | Trojan.Win32. Zbot | 26.1% |
3 | SpyEye | Backdoor.Win32. SpyEye | 15.5% |
4 | Emotet | Backdoor.Win32. Emotet | 5.3% |
5 | Caphaw | Backdoor.Win32. Caphaw | 4.7% |
6 | Neurevt | Trojan.Win32. Neurevt | 4.7% |
7 | NeutrinoPOS | Trojan-Banker.Win32.NeutrinoPOS | 3.3% |
8 | Gozi | Trojan.Win32. Gozi | 2.0% |
9 | Shiz | Backdoor.Win32. Shiz | 1.5% |
10 | ZAccess | Backdoor.Win32. ZAccess | 1.3% |
*這些統(tǒng)計數(shù)據(jù)是基于從同意提供統(tǒng)計數(shù)據(jù)的卡巴斯基實驗室產(chǎn)品用戶收到的卡巴斯基產(chǎn)品的檢測樣本。
**受此惡意軟件攻擊的唯一用戶占所有受金融惡意軟件攻擊的用戶的百分比。
在2018年第二季度,TOP10的整體構(gòu)成保持不變,但排名發(fā)生了一些變化。在交換位置后, Trojan.Win32.Zbot(26.1%)和Trojan.Win32.Nymaim(27%)依舊保持領(lǐng)先。銀行木馬Emotet的攻擊活動增加,因此受攻擊用戶的比例從2.4%增加到5.3%。反之,Caphaw的攻擊活動從第一季度的15.2%大幅縮減至4.7%,在評級中排名第五。
加密類惡意軟件
新變體的數(shù)量
在第二季度,我們檢測到7,620個新的加密類惡意軟件變體。這比第一季度要高,但仍遠低于去年的數(shù)字。
加密類惡意軟件新變體的數(shù)量,2017年第二季度- 2018年第二季度
遭到加密木馬攻擊的用戶數(shù)量
在2018年第二季度,卡巴斯基實驗室的產(chǎn)品幫助158,921個唯一用戶阻止了其計算機上的加密類惡意軟件攻擊。我們的統(tǒng)計數(shù)據(jù)顯示,第二季度網(wǎng)絡(luò)犯罪分子的活動與第一季度相比和環(huán)比均有所下降。
遭到加密木馬攻擊的唯一用戶數(shù),2018年第二季度
攻擊的地理分布
遭到加密木馬攻擊的前十大國家
國家* | 遭到加密木馬攻擊的用戶比例%** | |
---|---|---|
1 | 埃塞俄比亞 | 2.49 |
2 | 烏茲別克斯坦 | 1.24 |
3 | 越南 | 1.21 |
4 | 巴基斯坦 | 1.14 |
5 | 印度尼西亞 | 1.09 |
6 | 中國 | 1.04 |
7 | 委內(nèi)瑞拉 | 0.72 |
8 | 阿塞拜疆 | 0.71 |
9 | 孟加拉國 | 0.70 |
10 | 蒙古 | 0.64 |
*不包括卡巴斯基實驗室用戶相對較少的國家/地區(qū)(50,000以下)。
**其計算機遭到加密木馬攻擊的唯一用戶占該國家卡巴斯基實驗室產(chǎn)品所有唯一用戶的百分比。
第二季度的TOP10國家列表幾乎與第一季度相同。然而,還是有一些排名變化:埃塞俄比亞(2.49%)使得烏茲別克斯坦(1.24%)從第一位下降到第二位,而巴基斯坦(1.14%)上升到第四位。越南(1.21%)保持第三位,印度尼西亞(1.09%)繼續(xù)排名第五。
十大最廣泛傳播的加密木馬家族
名稱* | 樣本 | 遭到攻擊的用戶比例%** | |
---|---|---|---|
1 | WannaCry | Trojan-Ransom.Win32.Wanna | 53.92 |
2 | GandCrab | Trojan-Ransom.Win32.GandCrypt | 4.92 |
3 | PolyRansom/VirLock | Virus.Win32.PolyRansom | 3.81 |
4 | Shade | Trojan-Ransom.Win32.Shade | 2.40 |
5 | Crysis | Trojan-Ransom.Win32.Crusis | 2.13 |
6 | Cerber | Trojan-Ransom.Win32.Zerber | 2.09 |
7 | (generic verdict) | Trojan-Ransom.Win32.Gen | 2.02 |
8 | Locky | Trojan-Ransom.Win32.Locky | 1.49 |
9 | Purgen/GlobeImposter | Trojan-Ransom.Win32.Purgen | 1.36 |
10 | Cryakl | Trojan-Ransom.Win32.Cryakl | 1.04 |
*統(tǒng)計數(shù)據(jù)是基于卡巴斯基實驗室產(chǎn)品的檢測樣本。這些信息由同意提供統(tǒng)計數(shù)據(jù)的卡巴斯基實驗室產(chǎn)品的用戶提供。
**遭特定加密木馬家族攻擊的卡巴斯基實驗室唯一用戶占所有遭加密木馬攻擊的用戶的百分比。
WannaCry進一步擴大了其家族的領(lǐng)先優(yōu)勢,其份額從第一季度的38.33%上升至53.92 %。與此同時,GandCrab(4.92%,在2018 年第一季度剛剛出現(xiàn))背后的網(wǎng)絡(luò)犯罪分子在傳播方面投入了大量精力,一路上升到第二位,取代了多態(tài)蠕蟲PolyRansom(3.81%)。榜單中的其余位置,就像在Q1中一樣,被熟悉的加密木馬Shade、Crysis、Purgen、Cryakl等所占據(jù)。
惡意挖礦軟件
正如我們在《2016 – 2018年勒索軟件和惡意挖礦軟件趨勢報告》中報告的,勒索軟件正在逐漸下降,而加密貨幣礦工正在開始取而代之。因此,今年我們開始決定發(fā)布有關(guān)威脅類型狀況的季度報告。同時,我們開始使用更廣泛的樣本作為收集礦工統(tǒng)計數(shù)據(jù)的基礎(chǔ),因此第二季度的統(tǒng)計數(shù)據(jù)可能與我們早期出版物的數(shù)據(jù)并不一致。它包括了我們檢測為木馬的隱匿礦工以及發(fā)布在 “非病毒的灰色軟件”中的礦工。
新變體的數(shù)量
在2018年第二季度,卡巴斯基實驗室解決方案檢測到了13,948個新的礦工變體。
新礦工變體的數(shù)量,2018年第二季度
遭到惡意挖礦軟件攻擊的用戶數(shù)量
在第二季度,我們在全球2,244,581名卡巴斯基實驗室用戶的計算機上檢測到涉及挖礦程序的攻擊。
遭惡意挖礦軟件攻擊的唯一用戶數(shù)量,2018年第二季度
在4月和5月,遭到攻擊的用戶數(shù)量大致相等,而在6月份,加密礦工的攻擊活動略有減少。
攻擊的地理分布
惡意挖礦攻擊的地理分布,2018年第二季度
按遭到攻擊的用戶比例排名前10位的國家/地區(qū)
國家* | 遭到攻擊的用戶比例%** | |
---|---|---|
1 | 埃塞俄比亞 | 17.84 |
2 | 阿富汗 | 16.21 |
3 | 烏茲別克斯坦 | 14.18 |
4 | 哈薩克斯坦 | 11.40 |
5 | 白俄羅斯 | 10.47 |
6 | 印度尼西亞 | 10.33 |
7 | 莫桑比克 | 9.92 |
8 | 越南 | 9.13 |
9 | 蒙古 | 9.01 |
10 | 烏克蘭 | 8.58 |
*不包括卡巴斯基實驗室產(chǎn)品用戶相對較少的國家(50,000以下)。
**其計算機遭到惡意挖礦軟件攻擊的卡巴斯基實驗室唯一用戶占該國家所有卡巴斯基實驗室產(chǎn)品唯一用戶的百分比。
易被網(wǎng)絡(luò)犯罪分子利用的脆弱應用程序
在2018年第二季度,我們再次觀察到最常遭到攻擊的平臺分布上的一些重大變化。Microsoft Office 漏洞利用的比例(67%)相比第一季度增加了一倍,如果與2017年的平均值相比,則是四倍。這種急劇增長主要是由于包含漏洞利用(CVE-2017-11882)的垃圾郵件的大規(guī)模傳播導致的。存在于舊版本的公式編輯器組件中的該棧溢出漏洞影響了過去18年來發(fā)布的每一個Office 版本。該漏洞利用可在Office軟件包和Windows的所有可能組合中穩(wěn)定生效。另一方面,它還允許攻擊者使用各種混淆技術(shù)來繞過保護措施。這兩個因素使得該漏洞利用成為第二季度網(wǎng)絡(luò)犯罪分子手中最受歡迎的工具。其他 Office漏洞利用的比例與第一季度相比則沒有發(fā)生大的變化。
第二季度KSN的統(tǒng)計數(shù)據(jù)還顯示,越來越多的AdobeFlash漏洞通過MicrosoftOffice被利用。盡管Adobe和微軟努力阻止對FlashPlayer 的漏洞利用,但新的零日漏洞CVE-2018-5002在第二季度被發(fā)現(xiàn)。該漏洞利用通過XLSX文件傳播,并使用了一個鮮為人知的技術(shù)來遠程下載漏洞利用而不是直接在文件中包含該漏洞利用。與其他多種文件格式一樣,SWF文件以O(shè)LE對象的格式在Office文檔中呈現(xiàn)。該OLE對象包含實際的文件和屬性列表,其中一個屬性指向SWF文件的路徑。漏洞利用中的OLE對象并沒有包含SWF文件,但只包含了一個屬性的列表,包括指向SWF文件的web鏈接,這會強制Office 從該遠程鏈接中下載缺失的文件。
網(wǎng)絡(luò)犯罪分子使用的漏洞利用針對的應用程序的類型分布,2018年第二季度
在2018年3月下旬,在 VirusTotal上檢測到一個包含兩個零日漏洞的PDF文檔: CVE-2018-4990和CVE-2018-8120 。前者允許通過利用AcrobatReader中的JPEG2000格式圖像處理器中的軟件錯誤從 JavaScript執(zhí)行shellcode。后者存在于win32k 函數(shù)SetImeInfoEx中 ,用于進一步提權(quán)到SYSTEM級別,并使該PDF閱讀器能夠逃離沙箱。對該文檔的分析和我們的統(tǒng)計數(shù)據(jù)顯示,在上傳到 VirusTotal時,此漏洞利用尚處于開發(fā)階段,并未用于野外攻擊。
4月下旬,卡巴斯基實驗室專家利用沙箱在InternetExplorer中發(fā)現(xiàn)了零日漏洞 CVE-2018-8174,并向微軟報告。對此漏洞的利用使用了與CVE-2017-0199 相關(guān)聯(lián)的技術(shù)(通過特制的OLE對象從遠程源啟動HTA腳本),以便在MicrosoftOffice 的幫助下利用易受攻擊的InternetExplorer組件。我們觀察到漏洞利用程序包的創(chuàng)建者已經(jīng)集成了這個漏洞并通過網(wǎng)站和包含惡意文檔的電子郵件主動分發(fā)該漏洞利用。
還是在第二季度,我們觀察到網(wǎng)絡(luò)攻擊的數(shù)量不斷增長。利用MS17-010漏洞利用的攻擊嘗試越來越多;它構(gòu)成了我們檢測到的網(wǎng)絡(luò)攻擊的大多數(shù)。
通過網(wǎng)絡(luò)資源發(fā)起的攻擊
本章中的統(tǒng)計信息是基于Web反病毒產(chǎn)品,它可以在惡意對象從惡意/受感染的網(wǎng)頁下載時保護用戶。惡意網(wǎng)站是由網(wǎng)絡(luò)犯罪分子專門創(chuàng)建的;包含用戶創(chuàng)建內(nèi)容的Web資源(例如論壇)以及被黑客入侵的合法資源可能會被感染。
在線資源被植入惡意軟件的排名前十大的國家/地區(qū)
以下統(tǒng)計信息是基于攻擊中使用的在線資源(包含惡意重定向的網(wǎng)頁、包含漏洞利用以及惡意軟件的網(wǎng)站、僵尸網(wǎng)絡(luò)C&C服務器,等等)的物理位置,這些攻擊被我們的防病毒組件所阻止。任何唯一的主機都可能是一個或多個網(wǎng)絡(luò)攻擊的來源。為了確定網(wǎng)絡(luò)攻擊來源的地理分布,我們將其域名與其實際域IP地址進行匹配,然后建立一個特定IP的地理位置庫(GEOIP)。
在2018年第二季度,卡巴斯基實驗室解決方案阻止了來自全球187個國家的網(wǎng)絡(luò)資源發(fā)起的962,947,023次攻擊。網(wǎng)絡(luò)防病毒組件將351,913,075個唯一URL識別為惡意URL。
網(wǎng)絡(luò)攻擊來源的國家分布,2018年第二季度
在第二季度,網(wǎng)絡(luò)攻擊來源國家排名的前四名保持不變。美國(45.87%)是大多數(shù)網(wǎng)絡(luò)攻擊來源的所在地。荷蘭(25.74 %)排名第二,德國(5.33%)排名第三。第五名發(fā)生了變化:俄羅斯(1.98%)取代了英國,盡管其份額下降了 0.55個百分點
用戶面臨在線感染風險最大的國家/地區(qū)
為了評估不同國家/地區(qū)的用戶面臨的在線感染風險,我們計算了每個國家/地區(qū)的卡巴斯基實驗室用戶的計算機在本季度觸發(fā)Web防病毒組件的百分比。由此產(chǎn)生的數(shù)據(jù)代表了計算機在不同的國家運行所面臨的風險指標。
此評級僅涵蓋屬于惡意軟件類型的惡意程序的攻擊;不包括針對潛在的危險或有害程序(如灰色軟件或廣告軟件)的Web防病毒檢測數(shù)據(jù)。
國家* | 遭到攻擊的用戶比例** | |
---|---|---|
1 | 白俄羅斯 | 33.49 |
2 | 阿爾巴尼亞 | 30.27 |
3 | 阿爾及利亞 | 30.08 |
4 | 亞美尼亞 | 29.98 |
5 | 烏克蘭 | 29.68 |
6 | 摩爾多瓦 | 29.49 |
7 | 委內(nèi)瑞拉 | 29.12 |
8 | 希臘 | 29.11 |
9 | 吉爾吉斯斯坦 | 27.25 |
10 | 哈薩克斯坦 | 26.97 |
11 | 俄羅斯 | 26.93 |
12 | 烏茲別克斯坦 | 26.30 |
13 | 阿塞拜疆 | 26.12 |
14 | 塞爾維亞 | 25.23 |
15 | 卡塔爾 | 24.51 |
16 | 拉脫維亞 | 24.40 |
17 | 越南 | 24.03 |
18 | 格魯吉亞 | 23.87 |
19 | 菲律賓 | 23.85 |
20 | 羅馬尼亞 | 23.55 |
*這些統(tǒng)計數(shù)據(jù)是基于Web防病毒模塊返回的檢測結(jié)果,這些檢測結(jié)果是從同意提供統(tǒng)計數(shù)據(jù)的卡巴斯基實驗室產(chǎn)品用戶處收到的。
不包括卡巴斯基實驗室用戶相對較少的國家/地區(qū)(10,000以下)。
**惡意軟件類的攻擊所針對的唯一用戶占該國家卡巴斯基實驗室產(chǎn)品所有唯一用戶的百分比。
惡意網(wǎng)絡(luò)攻擊的地理分布(受攻擊用戶的百分比),2018年第二季度
平均而言,全球有19.59%的互聯(lián)網(wǎng)用戶的計算機至少經(jīng)歷過一次惡意軟件類的網(wǎng)絡(luò)攻擊。
本地威脅
用戶計算機的本地感染統(tǒng)計數(shù)據(jù)是一個非常重要的指標:它們反映了通過被感染文件、可移動媒介或最初以加密格式進入計算機的文件(例如集成在復雜安裝程序、加密文件等中的程序)侵入計算機系統(tǒng)的威脅。
本節(jié)中的數(shù)據(jù)是基于防病毒組件對硬盤驅(qū)動器上的文件的掃描結(jié)果,以及對可移動存儲介質(zhì)的掃描結(jié)果的分析統(tǒng)計。
在2018年第二季度,我們的文件防病毒組件檢測到192,053,604個惡意和潛在有害的對象。
用戶面臨本地感染風險最高的國家/地區(qū)
對于每個國家/地區(qū),我們計算了在報告期間觸發(fā)了計算機文件防病毒組件的卡巴斯基實驗室產(chǎn)品用戶的百分比。這些統(tǒng)計數(shù)據(jù)反映了不同國家的個人計算機感染程度。
此評級僅涵蓋屬于惡意軟件類型的攻擊。它不包括文件防病毒組件檢測到的潛在危險或有害程序,如灰色軟件或廣告軟件。
國家* | 遭到攻擊的用戶比例** | |
---|---|---|
1 | 烏茲別克斯坦 | 51.01 |
2 | 阿富汗 | 49.57 |
3 | 塔吉克斯坦 | 46.21 |
4 | 也門 | 45.52 |
5 | 埃塞俄比亞 | 43.64 |
6 | 土庫曼斯坦 | 43.52 |
7 | 越南 | 42.56 |
8 | 吉爾吉斯斯坦 | 41.34 |
9 | 盧旺達 | 40.88 |
10 | 蒙古 | 40.71 |
11 | 阿爾及利亞 | 40.25 |
12 | 老撾 | 40.18 |
13 | 敘利亞 | 39.82 |
14 | 喀麥隆 | 38.83 |
15 | 莫桑比克 | 38.24 |
16 | 孟加拉國 | 37.57 |
17 | 蘇丹 | 37.31 |
18 | 尼泊爾 | 37.02 |
19 | 贊比亞 | 36.60 |
20 | 吉布提 | 36.35 |
*這些統(tǒng)計數(shù)據(jù)是基于OAS和ODS防病毒模塊從同意提供統(tǒng)計數(shù)據(jù)的卡巴斯基實驗室產(chǎn)品用戶處收到的返回的檢測數(shù)據(jù)。這些數(shù)據(jù)包括對位于用戶計算機上或連接到計算機的可移動介質(zhì),例如閃存驅(qū)動器、相機和電話存儲卡或外部硬盤驅(qū)動器上的惡意程序的檢測結(jié)果。
不包括卡巴斯基實驗室用戶相對較少的國家/地區(qū)(10,000以下)。
**在其計算機上阻止了惡意軟件類本地威脅的唯一用戶占該國家卡巴斯基實驗室產(chǎn)品的所有唯一用戶的百分比。
惡意本地攻擊的地理分布(按受攻擊用戶的百分比進行歸類),2018年第二季度
平均而言,全球19.58%的計算機在第二季度經(jīng)歷過至少一個惡意軟件類的本地威脅。