国土安全部官员上表示:由于缺乏私人企业的参与,美国政府不能全面衡量最近爆发的两起全球性网络安全事件 WannaCry 和NotPetya的影响程度。
国家保护和计划局代理副部长Christopher Krebs上周三在接受采访时称:这两起事件的最大问题是缺乏来自受到影响的企业的报告。虽然专家们说WannaCry和NotPetya对一些美国企业造成了业务中断,但现在还不清楚受损企业的范围,以及受损的程度。
政府希望从受影响的公司收集更多的信息,以便更好地评估最初的感染媒介,追踪病毒的传播,并制定方法阻止将来可能发生的类似的攻击。
美国一位高级官员匿名的发表自己的看法,称:在 WannaCry 和NotPetya事件中,收集受害者的组织的相关数据是非常重要的,因为这些信息可以被用来提醒安全策略决策者有关袭击的肇事者和潜在的反应行为。
一些领先的网络安全公司,包括FireEye和ESET,将NotPetya爆发归因于俄罗斯的黑客集团,而WannaCry则被认为是朝鲜网络间谍的杰作。关于这两起事件的攻击动机,专家说,NotPetya可能是想通过制造大范围的损害和破坏性的勒索借以损害乌克兰经济的发展,而WannaCry的目的尚不明确。
这名官员说"我仍然相信WannaCry的传播是一个意外,看来似乎超出了他们预定的范围,而且在计划之前就跑了出来。"WannaCry可能起初是有经济目的的,但最终由于代码缺陷的原因使得攻击者未能收到预想中的赎金。
一名美国高级官员称只有五六家美国的公司和政府部门表示他们的系统受到NotPetya的影响。该官员还说,许多像赛门铁克这样的安全公司也参与了对这一问题的调查,但他们给出的结果显示受影响的数量高得多,"后边加几个零"。
在美国只有少数的几个已知的受NotPetya破坏了的例子被公布,如航运物流公司Maersk 和DLA Piper(欧华律师事务所 ),这两家公司在美国都有很高的知名度。
思科的Talos 团队曾发现,NotPetya之所以蔓延到乌克兰之外,可能是由于该病毒能够穿透乌克兰公司和国际性公司之间的虚拟专用网(VPN)连接,其中一些国际性的公司是在美国的。
实际上美国政府的其他官员,包括前联邦调查局局长詹姆斯・科米,都认为私营企业在遭遇勒索时,很大程度上倾向于通过承包商私下进行秘密处理,而不是依赖联邦政府。
黑客技术官网地址:http://www.hackdig.com/
综述
根据卡巴斯基实验室解决方案公布的数据,他们已经在第二个季度为世界各地191个国家的用户检测并阻止了342,566,661次恶意攻击。
目前,已经有33, 006, 783个唯一URL被网络防病毒组件标示为恶意软件。而尝试通过在线访问银行账户来窃取资金的恶意软件已经感染了224,675个用户的计算机设备;246,675台用户计算机上的加密勒索软件攻击被阻止;卡巴斯基实验室的文件杀毒软件检测到共计185,801,835个独立的恶意和潜在恶意对象。
卡巴斯基实验室移动安全解决方案的检测统计如下:
1, 319, 148个恶意安装包;
28, 976个手机银行家木马(安装包);
200, 054个移动勒索软件木马(安装包);
报告主要从移动威胁、在线威胁以及本地威胁三个方面阐述了2017年第二季度网络威胁的形势及演变过程。具体报告如下:
移动威胁
第二季度重大事件
SMS垃圾邮件
正如我们在2017年第一季度报告中提到的,诈骗者已经开始积极使用"Trojan-Banker.AndroidOS.Asacub"手机银行实施攻击。Asacub主要通过垃圾邮件进行传播。点击恶意链接后,用户被引导到一个页面,提示他们查看隐藏木马的信息,当用户查看时,Asacub就会下载到设备。
在第二季度末,我们发现该银行木马正在进行更大范围的传播活动:6月份,该银行木马攻击的用户数量是4月份的3倍,而在7月份的第一周,这种增长趋势仍在继续。
【2017年第二季度Trojan-Banker.AndroidOS.Asacub攻击的唯一用户数量】
ZTorg的变种
我们在2017年第一季度的报告中讨论的另一个有趣的主题在第二季度中仍有体现:攻击者继续使用恶意的Ztorg模块上传到Google Play新的应用程序中。有趣的是,在第二季度中,我们不仅发现了第一季度的变种ZTorg,我们还发现了另外两种新型的恶意软件变种:一种可以在Google Play上安装甚至购买应用的木马;另一种是可以发送付费短信的Trojan-SMS.AndroidOS.Ztorg.a。
值得注意的是,在第一季度发现的ZTorg变种会在安装后检查它是否是在虚拟机上运行。如果检查顺利通过,则攻击模块就会通过远程服务器加载。通过利用系统中的漏洞,该木马尝试获得超级用户权限。
而与该变种不同的是,第二季度出现的两个恶意软件样本都不会尝试利用系统漏洞获取root权限。
新型木马――Dvmap
2017年4月,我们发现了一个新的系统级恶意软件――Dvmap。Dvmap木马软件通过Google Play应用商店发布,并使用了一些非常危险的技术,包括修改系统库等操作。它不仅能将不同功能的恶意软件模块安装到系统中,还将恶意代码注入到系统运行时库中。它的主要目的是进入Android系统,下载一些二进制程序,并以root权限来执行这些二进制程序。
WAP计费订阅
在2017年第二季度中,我们发现利用WAP计费订阅机制窃取用户资金的木马活动正在增加。
简单的说,WAP也就是无线应用协议,WAP计费本身为用户提供一种机制,从网上获取内容的计费直接在话费中产生,而不需要提供支付卡信息,这种方式和SMS服务类似。在获取服务前,客户被重定向到蜂窝服务提供商的网站中确认其操作。此外,提供商也可以使用短信来确认付款信息。
不过现在,木马已经学会绕过这些限制:我们发现,这些恶意程序样本会禁用感染设备的WiFi,并启用移动数据连接,由于运营商需要识别用户进行在线支付,所以WAP计费只在手机移动数据网络下才能进行。此外,木马还采用JS代码进行自动化操作,如开启web页面,点击WAP计费相关按钮,这样就不需要用户交互了。恶意程序还会删除用户收到的SMS消息,避免用户起疑;部分样本还利用设备管理员权限令其移除更有难度。
此外,我们还检测到第二季度Top 20最常见的木马中就有2个恶意程序正在利用这种WAP计费机制,它们分别是:Trojan-Clicker.AndroidOS.Autosus.a和Trojan-Dropper.AndroidOS.Agent.hb。大部分被感染地区在俄罗斯和印度,我们认为这可能与当地电信市场的现状有关。
目前,我们发现不少网络犯罪组织都开始利用这样的恶意程序,某些是2016年末或者2017年初开发的,今年夏季开始极速增长。
移动威胁统计
2017年第二季度,卡巴斯基实验室检测到1,319,148个恶意安装软件,几乎与前两个季度持平。
【检测到的恶意安装包数量(Q3 2016 �C Q2 2017)】
不同类型的移动恶意软件的变化趋势
【2017年第一季度和第二季度不同恶意软件的变化趋势】
在2017年第二季度中,恶意广告软件(13.31%)的增长幅度最大,增长了5.99%。在所有已发现的安装包中,绝大多数被检测为"AdWare.AndroidOS.Ewind.iz"和"AdWare.AndroidOS.Agent.n"。
Trojan-SMS恶意软件(6.83%)在增长幅度方面排名第二,增长了2.15%。大多数被检测到的安装包属于"Trojan-SMS.AndroidOS.Opfake.bo"和"Trojan-SMS.AndroidOS.FakeInst.a"家族,比上季度增长了3倍多。
在第二季度中,Trojan-Spy(3.88%)的下降幅度最大。而在第一季度中,Trojan-Spy(10.27%,增长1.83%)增长幅度仅次于Trojan-Ransom,排名第二。当时是由于属于"Trojan-Spy.AndroidOS.SmForw"和"Trojan-Spy.AndroidOS.SmsThief"家族的恶意程序数量增加所致。
此外,在第一季度中增长幅度排名第一的Trojan-Ransom(16.42%),在第二季度中出现了下降趋势,仅占15.09%,较上季度下降2.55%。
TOP 20移动恶意软件程序
请注意,这种恶意程序评级不包括潜在的危险或有害程序,例如RiskTool或广告软件。
排名第一的是DangerousObject.Multi.Generic(62.27%),该软件是使用基于云技术的恶意程序检测平台检测的。当防病毒数据库既不包含签名也不包含启发式检测恶意程序时,云技术就可以发挥作用了,但是防病毒公司的云中一般已经有包含有关对象的信息了。这基本上就是如何检测最新恶意软件的过程。
排名第二的是Trojan.AndroidOS.Boogr.gsh(15.46%)。该木马是基于机器学习的系统来检测出来的。该木马所占比例较第一季度(4.51%)增长了近3倍,使其名次从第一季度的第三名上升至本季度的第二名。
排名第三的是Trojan.AndroidOS.Hiddad.an(4.20%)。这种恶意软件会伪装成各种不同的流行游戏或应用程序。有趣的是,一旦运行,它会下载并安装它所伪装的应用程序。在这种情况下,木马会要求管理员权限来避免被删除。 Trojan.AndroidOS.Hiddad.an的主要目的是频繁展示广告,其主要的受害者在俄罗斯。在2017年第一季度中,该木马排名第二(9.35%)。
排名第四的是Trojan-Dropper.AndroidOS.Hqwar.i(3.59%),这种通过 "混淆器/封隔器"来隐藏其恶意软件实际来源的木马,从第一季度的第8名上升至本季度的第4名。在大多数情况下,该木马隐藏的是与FakeToken和Svpeng木马家族相关的名称。
排名第五的是Trojan Backdoor.AndroidOS.Ztorg.c(3.41%),它是使用超级用户权限的最活跃的广告木马之一。
在2017年第二季度的"Top 20移动恶意软件程序"中包含11款试图获取或使用root权限,并利用广告作为主要敛财手段的木马。它们的目标是通过隐藏安装新的广告软件,更积极地向用户投放广告。同时,超级用户权限可以帮助它们将自身"隐藏"在系统文件夹中,避免被删除。值得注意的是,在Top 20榜单中,这种类型的恶意软件数量最近一直在减少(在2017年第一季度中,有14款这种类型的木马。)
排名第六的是Trojan-Dropper.AndroidOS.Agent.hb (3.16%),它是一个复杂的模块化木马程序,主要的恶意部分需要从网络犯罪分子的服务器中下载。我们可以假设这个木马是为了通过付费订阅机制窃取钱财。
此外,Trojan-Clicker.AndroidOS.Autosus.a (2.08%)排在第11名,其主要任务就是激活付费订阅。要做到这一点,它需要"点击"网络目录中订阅相关的按钮,以及隐藏传入包含与它们有关的信息的短信。
Trojan.AndroidOS.Agent.bw(1.67%)排在第14位。该木马主要针对印度的用户(超过92%的受灾群体),就像Trojan.AndroidOS.Hiddad.an一样,该木马程序也是通过伪造流行的游戏和程序,一旦运行,就会从欺诈者的服务器上下载并安装各种恶意应用程序。
排名第15的是Trojan.AndroidOS.Agent.gp (1.54%),该木马程序主要用于窃取用户资金,由于其使用管理员权限,所以可以避免任何将其从受感染设备中删除的尝试。
排在第17名的是Trojan-Banker.AndroidOS.Svpeng(1.49%),该木马家族已经保持连续3个季度的活跃,目前仍是2017年第二季度最受欢迎的银行木马。
移动威胁的地理分布
【2017年第二季度移动恶意软件感染的地理位置分布】
受到移动恶意软件攻击的十大国家(受攻击用户的百分比排名):
与第一季度一样,在第二季度中,伊朗仍然是受到移动恶意软件攻击的用户百分比最高的国家,占据44.78%;排名第2的是中国:有31.49%的用户至少遭遇了一次移动威胁攻击;其次是孟加拉国(27.10%)。
俄罗斯(12.10%)在本季度中排在第26位(上一季度排在第40位);法国(6.04%)第58名;美国(4.5%)第71名;意大利(5.7%)第62名;德国(4.8%)第67名;英国(4.3%)第73名。
此外,全球最安全的国家分别为,丹麦(2.7%)、芬兰(2.6%)以及日本(1.3%)。
手机银行木马
在2017年第二季度中,我们检测到了28,976个手机银行木马安装包,比第一季度下降了1.1倍。
【卡巴斯基实验室解决方案检测到的手机银行木马程序数量(2016年Q3 – 2017年Q2)】
Trojan-Banker.AndroidOS.Svpeng.q已经连续多个季度占据最流行的手机银行木马之列。这个手
没有评论:
发表评论