本帖最后由 adminlily 于 2018-8-25 16:52 编辑
免责声明
本报告综合瑞星“云安全”系统、瑞星客户服务中心、瑞星反病毒实验室、瑞星互联网攻防实验室、瑞星威胁情报平台等部门的统计、研究数据和分析资料,仅针对中国2016年1至12月的网络安全现状与趋势进行统计、研究和分析。
本报告提供给媒体、公众和相关政府及行业机构作为互联网信息安全状况的介绍和研究资料,请相关单位酌情使用。
如若本报告阐述之状况、数据与其他机构研究结果有差异,请使用方自行辨别,瑞星公司不承担与此相关的一切法律责任。
报告摘要
· 2016年瑞星“云安全”系统共截获病毒样本总量4,327万个,病毒总体数量比2015年同期上涨16.47%。报告期内,病毒感染次数5.6亿次,感染机器总量1,356万台,平均每台电脑感染40.96次病毒。
· 2016年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量1.38亿个,其中挂马网站8,804万个,诈骗网站4,977万万个。美国恶意URL总量为7,001万个,位列全球第一,其次是中国695万个,德国526万个,分别为二、三位。
· 2016年瑞星“云安全”系统共截获手机病毒样本502万个,隐私窃取类病毒占比32%,位列第一位,资费消耗类病毒占比16%,位列第二位,流氓行为类与恶意扣费类并列第三,占比15%。
· 2016年移动安全事件:病毒伪装“交行安全控件”盗取用户敏感信息;Android木马冒充“公安”电信诈骗;“一条短信偷光银行卡”骗子实施补卡截码诈骗;数百万台安卓智能手机 于DRAMMER Android攻击之下。
· 2016年移动安全趋势分析:手机web浏览器攻击将倍增;Android系统将受到远程设备劫持、监听;物联网危机将不断加深;
· 2016年企业面临的安全问题逐渐凸显,特别是自斯诺登事件后互联网出现了大规模信息泄露事件,其中雅虎为信息泄露最大的受害者,影响个人信息超过10亿。同时,企业还面临着勒索软件的攻击以及APT攻击等,这将使企业成为网络威胁中的最大受害者。
· 趋势展望:敲诈软件依然会是低成本高收益网络犯罪的主流;IoT(物联网)安全隐患正在凸显;全新的网络攻击模式——网络流量监控;
· 专题1:勒索软件年度分析报告。2016年是勒索软件繁荣发展的一年,在这一年里除了针对Windows系统勒索软件,针对Linux、Mac OX等勒索软件都已出现。同时移动平台Android和 IOS 系统也未能幸免。
勒索软件为了躲避查杀不断发展,用上了各种手段。脚本JS 开发、python开发、Autoit开发的勒索软件都在今年出现。2017年注定还是勒索软件猖獗的一年。
· 专题2:SEO诈骗分析报告。瑞星安全专家针对诈骗网址进行了深入分析,分析过程中发现该网址不仅具有欺诈性质,而且还利用黑帽手段进行关键词排名推广。
当用户利用搜索引擎搜索到黑客设置的关键词时,就会弹出黑客预先修改过的“正规网站”,让受害者误以为是官方网站,从而导致用户上当受骗。
· 专题3:不法分子如何利用伪基站盈利。瑞星安全专家通过对伪基站深入的分析发现,诈骗者通过雇佣其他人员携带伪基站在街道和小区周边进行大范围发送诈骗短信、 、诈骗网址,木马APK程序等,一旦用户点击诈骗链接,用户的银行卡、支付账户等个人信息将有可能泄露。
诈骗者通过购买大量黑卡进行洗钱,将可用账户中的金额进行消费变现,然后转账到黑卡账户中。
· 专题4:2016路由安全分析。路由安全一直是网络安全里的热门事件,几乎所有路由品牌都曝出过漏洞,黑客正是利用这些漏洞对用户的路由进行入侵和劫持,将用户访问的网站定向到诈骗网站,然后盗取用户个人隐私,如果是企业级路由被黑客攻击,将会造成更大的影响。
一、病毒与恶意网址(一)病毒和木马
1. 2016年病毒概述
(1)病毒疫情总体概述
2016年瑞星“云安全”系统共截获病毒样本总量4,327万个,病毒总体数量比2015年同期上涨16.47%。报告期内,病毒感染次数5.6亿次,感染机器总量1,356万台,平均每台电脑感染40.96次病毒。
在报告期内,新增木马病毒占总体数量的48.6%,依然是第一大种类病毒。灰色软件病毒(垃圾软件、 软件、黑客工具、恶意壳软件)为第二大种类病毒,占总体数量的17.54%,第三大种类病毒为后门病毒,占总体数量的12.77%。
(2)病毒感染地域分析
在报告期内,广东省病毒感染6,051万人次,依然位列全国第一,其次为北京市3,657万人次及河南省2,477万人次。与2015年同期相比,北京排进前三,江苏则由第二名降到第五。
图2:2016年病毒感染地域TOP10
2. 2016年病毒TOP10
根据病毒感染人数、变种数量和代表性进行综合评估,瑞星评选出了2016年病毒TOP10:
图3:2016年病毒TOP10
3. 2016年中国勒索软件感染现状
在报告期内,瑞星“云安全”系统共截获勒索软件样本26.5万个,感染共计1,311万次,其中北京市感染143万次,位列全国第一,其次为广东省100万次、浙江省73万次及安徽省68万次。
图4:2016勒索软件感染地域分布TOP10
图5:2016年热门勒索软件
4. 2016年CVE漏洞TOP10
图6:2016年CVE漏洞TOP10
(二)恶意网址
1. 2016年全球恶意网址总体概述
2016年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量1.38亿个,其中挂马网站8,804万个,诈骗网站4,977万个。 美国恶意URL总量为7,001万个,位列全球第一,其次是中国695万个,德国526万个,分别为二、三位。
图7:2016年全球恶意URL地域分布TOP10
2. 2016年中国恶意网址总体概述
在报告期内,香港恶意网址(URL)总量为117万个,位列中国第一,其次是浙江省104万个,以及北京市95万个,分别为二、三位。 注:上述恶意URL地址为恶意URL服务器的物理地址。
图8:2016年中国恶意URL地域分布TOP10
3. 2016年中国诈骗网站概述
2016年瑞星“云安全”系统共拦截诈骗网站攻击4,399万余次,攻击机器总量327万台,平均每台机器被攻击13.43次。 在报告期内,广东省受诈骗网站攻击733万次,位列第一位,其次是北京市受诈骗网站攻击608万次,第三名是浙江省受诈骗网站攻击340万次。
4. 2016年中国主要省市访问诈骗网站类型
在报告期内,浙江省、上海市等访问的诈骗网站类型主要以网络赌博为主,而湖北省、天津市则以色情IT运维管理社区为主。
图11:2016年中国主要省市访问诈骗网站类型
5. 诈骗网站趋势分析
2016年赌博和情色类诈骗网站占比较多,这类网站会诱使用户下载恶意APP程序,窃取用户隐私信息。有些甚至通过木马病毒盗取用户银行卡信息,进行恶意盗刷、勒索等行为。诈骗攻击主要通过以下手段进行攻击:
利用QQ、微信、微博等聊天工具传播诈骗网址。
利用垃圾短信“伪基站”推送诈骗网址给用户进行诈骗。
通过访问恶意网站推送安装恶意APP程序窃取用户隐私信息。
通过第三方下载网站对软件进行捆绑木马病毒诱使用户下载。
6. 2016中国挂马网站概述
2016年瑞星“云安全”系统共拦截挂马网站攻击2,749万余次,攻击机器总量181万台,平均每台机器被攻击15.16次。 在报告期内,北京市受挂马攻击588万次,位列第一位,其次是上海市受挂马攻击551万次,第三名是辽宁省受挂马攻击528万次。
图12:2016年挂马攻击地域分布TOP10
7. 挂马网站趋势分析
2016年挂马攻击相对减少,攻击者所使用的工具倾向于使用2015年下半年由hacking team泄露的网络工具包。攻击者一般是自建一些导航类或色情类的网站,吸引用户主动访问。
也有一些攻击者会先购买大型网站上的 位,然后在用户浏览 的时候悄悄触发。如果不小心进入挂马网站,则会感染木马病毒,导致丢失大量的宝贵文件资料和账号密码,其危害极大。挂马防护手段主要为:
拒绝接受陌生人发来的链接地址。
禁止浏览不安全的网站。
禁止在非正规网站下载软件程序。
安装杀毒防护软件。
二、移动互联网安全
(一)手机安全
1.手机病毒概述
2016年瑞星“云安全”系统共截获手机病毒样本502万个,隐私窃取类病毒占比32%,位列第一位,资费消耗类病毒占比16%,位列第二位,流氓行为类与恶意扣费类并列第三,占比15%。
图13:2016年手机病毒类型比例
图14:2016年手机病毒TOP5
2. 2016年Android手机漏洞TOP5
图15:2016年Android手机漏洞TOP5
3.手机垃圾短信概述
2016年瑞星“云安全”系统共截获手机垃圾短信328亿条, 类垃圾短信占比82.37%,居首位。危险程度极高的诈骗短信占比10.74%,其他类垃圾短信占比6.89%。
图16:2016年手机垃圾短信类型比例
(二)2016年移动安全事件
1.病毒伪装“交行安全控件”盗取用户敏感信息
2016年6月,一个伪装成“交行安全控件”的病毒潜伏在各大安卓电子市场中,诱导用户下载安装。
该病毒运行后,会诱导用户激活系统设备管理器、隐藏自身启动图标、拦截用户短信并将短信内容发送到指定号码、还涉及登陆、支付等相关功能,给用户造成严重的隐私泄露等安全问题。
图17:病毒伪装“交行安全控件”
2.Android木马冒充“公安”电信诈骗
2016年5月,全球首款专用于网络电信诈骗的Android木马被发现,该木马伪装成“公安部案件查询系统”,可实现窃取隐私、网络诈骗和远程控制等多种恶意行为,在受害人不知情的情况下转走其银行账户中的资金,对手机用户造成极大威胁。
Android木马加速实现了电信诈骗手段的3.0进化,一般的网络电信诈骗中,诈骗者必须诱导受害人完成转账。而引入了移动场景的3.0级别,即使受害人没有自主完成转账,诈骗者也可以依靠植入受害人手机的木马,在其不知情的情况下完成远程转账。
图18:Android木马冒充“公安”电信诈骗
3.“一条短信偷光银行卡”骗子实施补卡截码诈骗
2016年4月,一网友爆料,莫名其妙地收到了一条“订阅增值业务”的短信,根据提示回复了“取消+验证码”之后,噩梦就此开启:手机号码失效,半天之内支付宝、银行卡上的资金被席卷一空。
这起案件的关键点在于不法分子利用 “USIM卡验证码”,完成了对受害者手机卡的复制,不法分子复制了网友手机卡,摇身变成网友,然后随意操作资金流向。
图19:“订阅增值业务”短信
4.数百万台安卓智能手机 于DRAMMER Android攻击之下
2016年10月,来自谷歌公司Zero项目组的安全研究人员们发现了一种名为DRAMMER的全新攻击方式,该攻击可劫持运行有Linux系统之计算机设备,利用其内存机制中的一项设计漏洞获取Linux系统的更高内核权限,可被用于在数百万台Android智能手机之上获取“root”访问权限,从而允许攻击者对受感染设备加以控制。
图20:DRAMMER Attack
(三)移动安全趋势分析
1.手机web浏览器攻击将倍增
Android和iPhone平台上的web浏览器,包括Chrome、Firefox、Safari以及采用类似内核的浏览器都有可能受到黑客攻击。因为移动浏览器是黑客入侵最有效的渠道,通过利用浏览器漏洞,黑客可以绕过很多系统的安全措施。
2.Android系统将受到远程设备劫持、监听
随着Android设备大卖,全球数以亿计的人在使用智能手机,远程设备劫持将有可能引发下一轮的安全问题,因为很多智能手机里存在着大量能够躲过谷歌安全团队审查和认证的应用软件。
与此同时,中间人攻击(MitM)的数量将大增,这是因为很多新的智能手机用户往往缺乏必要的安全意识,例如他们会让自己的设备自动访问不安全的公共WiFi热点,从而成为黑客中间人攻击的猎物和牺牲品。
3.物联网危机将不断加深
如今,关于“物联网开启了我们智慧生活”的 标语不绝于耳,但支持物联网系统的底层数据架构是否真的安全、是否已经完善,却很少被人提及,智能家居系统、智能汽车系统里藏有我们太多的个人信息。
严格来讲,所有通过蓝牙和WiFi连入互联网的物联网设备和APP都是不安全的,而这其中最人命关天的莫过于可远程访问的医疗设备,例如大量的超声波扫描仪等医疗设备都使用的是默认的访问账号和密码,这些设备很容易被不法分子进行利用。
三、企业信息安全
(一)2016年企业安全总体概述
2016年企业面临的安全问题逐渐凸显,特别是自斯诺登事件后互联网出现了大规模信息泄露事件,其中雅虎为信息泄露最大的受害者,影响个人信息超过10亿。同时,企业还面临着勒索软件的攻击以及APT攻击等,这将使企业成为网络威胁中的最大受害者。
(二)2016年企业安全相关数据
报告期内,通过对国内企业网络安全产品部署情况进行分析,发现企业部署终端安全防护产品占比81.79%,位列第一位,其次网关安全硬件占比12.25%,第三名是虚拟化安全占5.75%,这说明企业对于终端安全更加重视。
在调查的企业中,政府、军队、军工、能源等行业安全产品部署相对完善,而中小企业则投入较少,安全意识不足。
图21:企业部署安全产品类型分布
(三)企业APT攻击中,CVE漏洞攻击占比最多
在针对企业的APT攻击中,利用CVE漏洞往往是攻击过程中最重要的手段。攻击者利用Office,Adobe漏洞对企业发起攻击。而企业对于第三方软件漏洞修复往往没有做到及时响应,导致企业存在安全漏洞。
根据瑞星“云安全”统计“CVE-2010-0188” Adobe Reader样本超过4万个。
图22:第三方软件CVE漏洞分布
由于企业软件开发大量采用Java编程,而Oracle官方已经停止对Java 1.7的维护,导致很多企业没有及时升级,存在着大量老式CVE漏洞。
在2016年中利用2015年CVE漏洞最多的是对Office的攻击,主要为CVE-2015-1641,CVE-2015-2545。
(四)2016年全球网络安全事件TOP10
图23:2016年全球网络安全事件TOP10
(五)2016年全球数据泄露事件TOP10
图24:2016年全球十大数据泄露事件TOP10
(六)2016年全球网络安全事件解读
1.黑客攻击美国大选
在2016年中,黑客对美国大选进行了攻击干扰,通过攻击邮箱、投票机等设备,导致美国“邮件门”事件爆发,在2016年6月,维基解密泄露出几千封美国民主党委员会(DNC)被盗邮件。
直至7月,维基解密共泄露20000多封被盗邮件和29段录音材料,间接性干扰了选民的决策。“邮件门”事件成为黑客攻击影响史上的里程碑。
2.NSA方程式组织内部工具泄露
在2016年中,NSA内部组织遭到网络攻击并泄露了大量的文件。在泄露的文件夹中NSA对全球进行网络攻击活动,其中包括了32个来自中国教育机构的域名,其他的主要为三大移动运营商以及部分电子科技企业和研究机构。
从泄露的文件可以看出,NSA对中国的科技和研究企业的网络安全攻击成为了企业的重灾区。
3.雅虎10亿数据泄露
雅虎作为一个全球知名搜索引擎,旗下的服务同样是多元化。雅虎邮箱作为老牌提供商,用户量过亿。在2016年中,雅虎内部遭到网络攻击导致超过10亿的数据泄露,不仅对用户造成了不可挽回的影响,同样对雅虎自身也造成了不可估量的经济损失。
(七)安全建议
1.实时关注漏洞公告,对漏洞的重要性及影响范围进行评估。
2.企业内部软件资产评估,对于老旧的软件进行及时升级。
3.建立合理的企业内部安全架构,定期进行安全评估。
4.企业内部人员安全意识培训,避免遭到APT攻击。
四、趋势展望(一)敲诈软件依然会是低成本高收益网络犯罪主流
敲诈软件在过去取得了巨大的“成功”,使得敲诈软件的种类、攻击范围、攻击目标越来越多,受害者数量也持续上升。同时,2016年出现的敲诈软件中,充斥着大量使用了对称加密算法的变种,被它们加密的文件实际上是可以还原的。
这类犯罪者,仅仅是想借Locky/CryptXXX等知名敲诈软件给人们带来 “文件无法解密还原”的主观判定,以更低的成本和技术难度,达到成功勒索的目的。
同时,敲诈软件似乎已经盯上了企业,同个人数据相比,企业数据显得更加重要,勒索成功率会大幅上升。为了遏制敲诈软件带来的危害,产品提供商、安全提供商、政府都在做出相应的努力。
例如:安卓系统将采用新的机制来遏制锁屏(Trojan.SLocker)类敲诈软件的攻击,政府和安全厂商有都在尝试追踪比特币交易来定位犯罪者。未来,敲诈软件也一定会因为法律的震慑作用而有所收敛。
(二)IoT(物联网)安全隐患正在凸显
2016年是IoT(物联网)安全开始正式走进我们视野的一年,随着物联网的日渐成熟,IoT的安全隐患正在凸显出来。
图25:IOT存在的安全隐患
诸如2016年的“物联网Mirai僵尸网络”、“乌克兰电网攻击事件”、“索尼摄像头后门事件”、“德国电信用户超90万台路由器遭黑客破坏”等多起安全事件,都说明了IoT安全的建设迫在眉睫,相对传统的传统的互联网安全,IoT安全涉及范围更广,破坏力更大。
(三)全新的网络攻击模式——网络流量监控
在NSA泄露的工具中,从安全从业者角度来看是一个全新的网络攻击模式,他脱离了传统企业内部安全攻击,而是对运营商网络设备的攻击。
在泄露的文件Firewall目录中涉及了思科,华为,Juniper等知名厂商的产品,在EXPLOITS文件夹中,攻击脚本涉及了思科,天融信,Fortigate等安全防火墙产品。NSA通过对设备的网络攻击,将数据流量进行收集。
对于这类利用安全产品自身的漏洞攻击手法,可以从海量数据中进行定向分析某一个企业网络活动,直接窥探企业内部安全。 专题1:勒索软件年度分析报告1.什么是勒索软件?
勒索软件(也称密锁病毒)是一类以加密电脑和移动设备中用户文件为目的的恶意软件。用户一旦感染,用户设备中的各类文件将会被加密无法使用,用户必须按照恶意软的指示缴纳赎金才有可能解密文件。
2.勒索软件历史
最早的一批勒索软件病毒大概出现在8、9年前,那时候的勒索软件作者还没有现在那么恶毒大胆,敲诈的形式还比较温和,主要通过一些虚假的电脑检测软件,提示用户电脑出现了故障或被病毒感染,需要提供赎金才能帮助用户解决问题和清除病毒,期间以FakeAV为主。
图26:FakeAV勒索截图
随着人们安全意识的提高,这类以欺骗为主的勒索软件逐渐的失去了它的地位,慢慢消失了。伴随而来的是一类locker类型的勒索软件。此类病毒不加密用户的数据,只是锁住用户的设备,阻止对设备的访问,需提供赎金才能帮用户进行解锁。期间以LockScreen 家族占主导地位。
由于它不加密用户数据,所以只要清除了病毒就不会给用户造成任何损失。由于这种病毒带来危害都能够很好的被解决,所以该类型的敲诈软件也只是昙花一现,很快也消失了。
图27:LockScreen 勒索截图
FakeAV和LockScreen 都因自身不足逐渐消失了,随之而来的是一种更恶毒的以加密用户数据为手段勒索赎金的敲诈软件。 由于这类敲诈软件采用了一些高强度的对称和非对称的加密算法对用户文件进行加密,在无法获取私钥的情况下要对文件进行解密,以目前的计算水平几乎是不可能完成的事情。
正是因为有这一点,该类型的勒索软件能够带来很大利润,各种家族如雨后春笋般出现了,比较著名的有CTB-Locker、TeslaCrypt、CryptoWall、Cerber 等等。
图28:Tesla 勒索截图
3.勒索软件的传播途径
1) 垃圾邮件 勒索软件的传播途径和其他恶意软件的传播类似,垃圾邮件是最主要的传播方式。攻击者通常会用搜索引擎和爬虫在网上搜集邮箱地址,然后利用已经控制的僵尸网络向这些邮箱发有带有病毒附件的邮件。垃圾邮件投毒的方式有以下几种:
a.附件中包含压缩包,压缩包中包含病毒的可执行程序和下载器。
b.附件中包含压缩包,压缩包中包含有js脚本和wsf脚本等,运行脚本会从网上下载勒索软件的可执行程序或下载器执行。
c.附件中包含压缩包,压缩包中包含doc文档,执行文档后会加载doc中的宏并运行,释放出脚本并执行,接着会下载勒索软件或下载器执行。
图29:垃圾邮件传播
2)Exploit Kit
Exploit Kit 是一种漏洞利用工具包,里面集成了各种浏览器、Flash和PDF等软件漏洞代码。攻击流程通常是:在正常网页中插入跳转语句或者使用诈骗页面和恶意 等劫持用户页面,触发漏洞后执行shellcode并下载恶意病毒执行。
常见比较著名的EK有Angler、Nuclear、Neutrino和RIG等。勒索软件也会利用EK去投毒,当用户机器没有及时打补丁的情况下被劫持到攻击页面的话,中毒的概率是比较高的。
3)定向攻击
定向攻击在勒索软件传播的过程中使用的也越来越多。攻击者有针对性的对某些互联网上的服务器进行攻击,通过弱口令或者一些未及时打补丁的漏洞对服务器进行渗透,获得相应的权限后在系统执行勒索病毒,破坏用户数据,进而勒取赎金。
4.勒索软件家族种类
2016年是勒索软件繁荣昌盛的一年,这一年出现了许多新的家族,也有很多老的家族从人们的视线中消失。整年中瑞星“云安全”系统截获的勒索家族有七十多种。其中以下几种在今年影响比较大。
1)Cerber
Cerber 家族是年初出现的一款新型勒索软件。从年初的1.0版本一直更新到现在的4.0版,是今年最活跃的勒索软件之一。传播方式主要是垃圾邮件和EK挂马。索要赎金为1-2个比特币。到目前为止加密过后的文件没有公开办法进行解密。
图30:Cerber勒索信息
2)Locky
Locky家族也是2016年流行的勒索软件之一,和Cerber 的传播方式类似,主要采用垃圾邮件和EK。勒索赎金0.5-1个比特币。
图31:Locky勒索信息图
3)CryptoWall
CryptoWall家族也是2016年较流行的一款勒索软件,勒索赎金1.5个比特币。最主要的传播方式是垃圾邮件和EK传播。垃圾邮件附件中通常包含一个doc文档,文档打开后会加载宏释放wsf文件并执行,从网上下载勒索病毒运行。
图32:CryptoWall勒索信息
4) TeslaCrypt
TeslaCrypt是今年消失的一款勒索软件。其家族在2015年底到2016年初仍然大规模的传播。但是在2016年5月份,该家族幕后组织突然发布道歉声明宣布停止传播,并公布出一个主解密密钥。随即TeslaCrypt就慢慢淡出人们的视野了。
图33:TeslaCrypt 关闭信息
5.勒索软件受害人群
为了能够获取最大的利润,攻击者通常是不区分受害者对象的。就目前勒索软件最主要的传播途径来看,个人用户比企事业组织受害比例要高。随着各人市场攻击的饱和,必然会使攻击者转向企事业单位和政府组织,企事业面临的风险也会越来越大。
6.勒索软件爆发原因
1)加密手段有效,解密成本高
勒索软件都采用成熟的密码学算法,使用高强度的对称和非对称加密算法对文件进行加密。除非在实现上有漏洞或密钥泄密,不然在没有私钥的情况下是几乎没有可能解密。
当受害者数据非常重要又没有备份的情况下,除了支付赎金没有什么别的方法去恢复数据,正是因为这点勒索者能源源不断的获取高额收益,推动了勒索软件的爆发增长。
互联网上也流传有一些被勒索软件加密后的修复软件,但这些都是利用了勒索软件实现上的漏洞或私钥泄露才能够完成的。
如Petya和Cryptxxx家族恢复工具利用了开发者软件实现上的漏洞,TeslaCrypt和CoinVault家族数据恢复工具利用了key的泄露来实现的。
2)使用电子货币支付赎金,变现快追踪困难
几乎所有勒索软件支付赎金的手段都是采用比特币来进行的。比特币因为他的一些特点:匿名、变现快、追踪困难,在加上比特币名气大,大众比较熟知,支付起来困难不是很大而被攻击者大量使用。
可以说比特币很好的帮助了勒索软件解决赎金的问题,进一步推动了勒索软件的繁荣发展。
3)Ransomware-as-a-server的出现
勒索软件服务化,开发者提供整套勒索软件的解决方案,从勒索软件的开发、传播到赎金的收取都提供完整的服务。
攻击者不需要任何知识,只要支付少量的租金及可租赁他们的服务就可以开展勒索软件的非法勾当。这大大降低了勒索软件的门槛,推动了勒索软件大规模爆发。
7.勒索软件幕后黑手
勒索软件的幕后黑手都有哪些呢。瑞星抽样分析了下2016年比较著名的勒索软件家族,统计了下他们的控制服务器(C&C)的地址和传毒地址。从统计结果中不难看出美国和俄罗斯不管是在控制服务器和传毒端都占有很大比例。
图34:控制服务器所在国分布比例
图35:传毒服务器所在国分布比例
8.勒索软件发展的新形势
2016年是勒索软件繁荣发展的一年,在这一年里除了针对Windows系统勒索软件,针对Linux、Mac OX等勒索软件都已出现。
同时移动平台Android和 IOS 系统也未能幸免。勒索软件为了躲避查杀不断发展,用上了各种手段。脚本JS 开发、python开发、Autoit开发的勒索软件都在今年出现。2017年注定还是勒索软件猖獗的一年。
1)现有各种平台仍将持续发展
由于勒索软件能够给攻击者带来巨额的利润,这种攻击手段在短时间内是不会消失的。各平台、各样式的勒索软件仍会繁荣发展。
2)针对企业等组织的攻击将越来越多
随着勒索软件在个人市场的竞争越来越激烈,必然会使越来越多的攻击转向针对企业。虽然针对企业的攻击要更高的技术水平和更长的时间,但是带来的回报也会更多。往往企业中的数据要比个人的数据更有价值。企业面对勒索软件的风险在未来也会越来越大。
3)物联网新兴设备受到的威胁增加
物联网在当下已经越来越普及,这部分设备受到攻击的风险也会越来越大。试想下当你下班回家打开智能电视,看到的不是精彩节目而是某某勒索软件的信息,当你准备发动汽车电子显示屏上显示的是交付赎金的勒索信息你该怎么办? 这不是异想天开,这都是可能会发生的事情。
4)工控系统可能成为攻击对象
工控系统受到攻击的最著名的案例当属”震网“了,Stuxnet蠕虫攻击伊朗核设施。当今的工业社会工控系统是如此普遍,如果他们受到勒索软件的攻击,带来的结果将是难以预料的。
9.瑞星给用户的建议
1)、定期备份系统与重要文件,并离线存储独立设备。
2)、使用专业的电子邮件与网络安全工具,可分析邮件附件、网页、文件是否包括恶意软件,带有沙箱功能。
3)、经常给操作系统、设备及第三方软件更新补丁。
4)、使用专业的反病毒软件、防护系统,并及时更新。
5)、设置网络安全隔离区,确保既是感染也不会轻易扩散 。 6)、针对BYOD设置同样或更高级别的安全策略。
7)、加强员工(用户)安全意识培训,不要轻易下载文件、邮件附件或邮件中的不明链接。
8)、受感染后尽量不要给勒索者付赎金,不要去纵容勒索者,增加他们的收入去继续破坏更多的人。
专题2:SEO诈骗分析报告
1.概述
报告期内,瑞星安全专家在诈骗拦截的网址中发现一个极为可疑的URL,随后对其进行了深入分析,分析过程中发现该网址不仅具有欺诈性质,而且还利用黑帽手段进行关键词排名推广。
黑客首先利用非法手段入侵正规政府或学校网站,在网站的其他目录下上传恶意文件,当受害者利用搜索引擎搜索到黑客设置的关键词时,就会弹出黑客预先修改过的“正规网站”,让受害者误以为是官方网站,从而导致用户上当受骗。
2.代码分析
通过拦截的诈骗网址进行代码分析,代码如下图:
图36:诈骗网址部分代码
其中,我们抽取其中一段代码,可以看出,黑客隐藏了一段域名
body=GetHtml(“h”&”tt”&”p:”&”/”&”/2″&”2″&”2.”&”18″&”6″&”.”&”43.1″&”0″&”9″),我们将其中的域名进行拼接,就可以看出该域名为:[ /study_linkkiller-link.html? ttp%3A%2F%2F222.186.43.109]http://222.186.43.109[/url]。然后我们访问该域名,网站显示为客服服务中心,如下图:
图37:诈骗网址页面
查看最开始诈骗网址[ /study_linkkiller-link.html? ttp%3A%2F%2Fwww.vdsjg.top]http://www.vdsjg.top[/url]的源文件时发现,黑客在META中设置了标题为“〖余额宝转账到银行卡号上迟迟未到账怎么办〗__百度–知道”的关键字,以此来骗取搜索引擎收录与用户点击,如下图:
图38:黑客在代码中设置关键字
代码中加载了uaredirect.js文件,访问JS文件经过加密处理,解密后发现加载了一个URL链接框架,其中IP与上面拼接的链接中IP地址相同,访问该IP连接与上面域名显示的页面一致,如下图:
图39:加载的URL链接页面
加密代码中同时还存在一个流量统计的页面[ /study_linkkiller-link.html? ttp%3A%2F%2Fjs.users.51.la%2F17459262.js]http://js.users.51.la/17459262.js[/url],该流量统计是用来统计页面的访问次数和访客的地区分布等信息。
通过技术分析得到了诈骗网站站长的账户名为lllppp,网站的名称为“飞升云端”,统计ID为“17459262”。
图40:站长信息
查询IP:222.186.43.109的归属地为江苏镇江。
图41:IP信息
对诈骗网站的域名进行分析,查询到域名联系人,联系方式,注册时间和过期时间等信息。
图42:诈骗网站域名分析
继续深入查询,可以了解到注册人注册时所使用的姓名和联系方式,查询手机号码归属地为安徽,这里不排除注册者使用虚假的信息。
图43:注册人电话信息
诈骗网站域名归属地为香港地区,一般非正规网站所使用服务器多数分布在海外地区。
图44:IP地址的地理位置
通过注册人邮箱查询出该注册人名下的其他域名,根据域名信息判断是同一时间注册的多个域名。
图45:注册人名下其他域名
打开其中任意域名查看,发现同[ /study_linkkiller-link.html? ttp%3A%2F%2Fwww.vdsjg.top]http://www.vdsjg.top[/url]网站内容相同。
图46:其他域名页面
由此可以推断域名使用者利用关键词推广的形式进行支付宝诈骗,当网民在搜索引擎中输入支付宝客服,支付宝电话,支付宝 ,支付宝客服中心等关键词,就会出现诈骗者利用非法手段入侵入侵的网站所挂载的欺诈页面。
而不知真相的用户很难对其进行辨别,如果拨打其网站所提供的电话,就会陷入诈骗者所设的圈套,一步步引诱骗取用户钱财。
3.诈骗手段
整个诈骗过程人员划分可以分为受害者、非法攻击者、诈骗者。
首先,由非法攻击者对网站实施攻击,在获取网站的权限之后,将获取到的权限交给诈骗者,由诈骗者上传诈骗页面等待搜索引擎收录诈骗页面。
其次,受害者在某搜索引擎中搜索支付宝退款等相关关键词,搜索引擎会将诈骗网站提供给用户。
最后,受害者拨打诈骗网页中提供的客服联系方式,诈骗者利用各种手段骗取用户个人信息。
一般诈骗者会发给受害者一个可以退款的诈骗链接地址,要求受害者输入支付宝账号、银行卡等信息,并告诉受害者在一定的时间内就可以将钱退回到账户中。
受害者输入完个人信息,诈骗者便会利用这些信息登陆受害者的支付宝账户或银行账户进行转账操作。
4.防诈骗手段
1、认准官方网站,拨打官方所提供的 。
2、请勿相信索取手机验证码的陌生电话或短信。
3、不要点击以短信、微信等通信方式发来的退款、转账链接。
专题3:不法分子如何利用伪基站盈利
1.伪基站简介
“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备,能够搜取以其为中心、一定半径范围内的手机卡信息,利用移动通信的缺陷,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、 推销等信息。
2.伪基站组织结构
伪基站的组织结构包括木马程序开发者、伪基站短信发送者、垃圾邮件发送者、诈骗者、中介或下线组成。
图47:伪基站组织结构
3.伪基站运作流程
伪基站首先由诈骗者购买硬件设备进行伪基站部署,然后程序开发者开发伪基站需要的web框架平台或应用程序,然后通过域名运营商购买大量域名进行诈骗工作,这些域名周期都是非常短,一般周期为1-7天。
然后将诈骗程序搭建起来,一般常用的几套诈骗源码为建设银行诈骗、工商银行诈骗、QQ安全中心诈骗、中国移动诈骗、中国好声音中奖诈骗等。
诈骗者通过雇佣其他人员携带伪基站在街道和小区周边进行大范围发送诈骗短信、 、诈骗网址,木马APK程序等,同时也以邮箱的形式进行发送事先部署好的诈骗网址,通过诈骗网址来获取网民的个人信息、银行卡、支付账户等,诈骗者在收信平台对诈骗网址获取到的信息进行整理和验证。
诈骗者寻找合作方或中介,将整理出来的信息进行变现操作,通过购买大量黑卡进行洗钱,将可用账户中的金额进行消费变现,然后转账到黑卡账户中。
图48:伪基站运作流程
名词解释:
制作网站:有专人抢注类似于运营商,各大银行机构的域名进行出售或自己用,有专业的人员进行仿站模仿类似于运营商、各个银行的网站,然后购买美国或者香港免备案服务器进行搭建后制作过域名拦截程序。
木马制作:由程序开发人员进行开发后,以几千元不等的价格将源码卖给下级代理进行二次开发出售(根据各大杀毒库的更新情况制作“免杀”),以每周2000元进行出售。
伪基站发送诈骗短信:这个一般为线下交易,包吃包住包油钱以每小时500元左右为酬劳或以合作分成的方式,让有伪基站设备的人带着伪基站游走在繁华的街区进行大范围的撒网(发送诈骗网站)。
“出料”:将诈骗网站后台收到的数据进行筛选整理(利用各个银行的在线快捷支付功能情况查余额,看看是否可以直接消费进行转账或第三方支付进行消费),自己无法将余额消费的将会以余额的额度以不同的价格出售(大部分会打包起来以每条1元的价格进行多次叫卖)余额巨大的有时还会找人合作进行“洗料”。
“洗料”:通过多种方式将“料”进行变现,一般开通快捷支付充值水电、话费、游戏币或者利用其他存在第三方支付转账接口和银行快捷支付漏洞等,将“四大件”变成成现金后通过各种规避追查的手段与合伙人按比例(一般以料的额度按5:5、 4:6 、3:7这些比例)进行分账,日均可以赚取10万元以上。
4.伪基站影响、危害
(1)诈骗网站涉及行业分布
图49:诈骗网站涉及行业分布
(2)诈骗网站影响的银行分布
图50:诈骗网站影响的银行分布
(3)伪基站受害人群年龄分布
图51:伪基站受害人群年龄分布
5.伪基站危害:
1、“伪基站”运行时用户手机信号被强制连接到该设备上,无法正常使用运营商提供的服务,手机用户一般会暂时脱网8-12秒后恢复正常,部分手机用户则必须开关机才能重新入网。
此外,“伪基站”还会导致手机用户频繁地更新位置,使得该区域的无线网络资源紧张并出现网络拥塞现象,影响用户的正常通信。
2、“伪基站”盗用公众无线电通信运营商的频率资源,其大功率发射对周边电磁环境造成强烈干扰。
3、发送病毒短信,机主一旦不慎点击,轻则手机被植入木马病毒,发生手机资费被恶意消耗,被恶意 骚扰等后果,重则会记录网友在该诈骗网页中输入的任何信息,如涉及银行卡号密码、支付账号密码等,有可能造成财产损失。
6.伪基站相关数据
图52:伪基站短信类型比例
7.伪基站防范建议
1. 收到可疑短信及时向官方 确认。
2. 收到陌生短信不打开链接,不下载,不安装。
3. 公共场所不使用来历不明的WIFI热点。
4. 任何场所下不轻易泄露个人任何信息。
5. 手机安装安全防护软件、定期清理垃圾、查杀木马病毒。
专题4:2016路由安全分析
1、概述
路由安全一直是网络安全里的热门事件,几乎所有路由品牌都曝出过漏洞,黑客正是利用这些漏洞对用户的路由进行入侵和劫持,将用户访问的网站定向到诈骗网站,然后盗取用户个人隐私,如果是企业级路由被黑客攻击,将会造成更大的影响。
2、德国电信断网事件
2016年11月德国电信遭遇了一次大范围的网络故障,这次攻击致使多达90万宽带用户和2000万固定电话用户遭遇了网络中断,中断时间从星期日一直持续到星期一。
事件发生后,德国电信连夜与设备供应商生成了新的升级包,并且要求客户如果怀疑受到影响就断电重启路由器,之后利用自动或手动的升级过程来减轻问题。
德国电信还采取了一系列的过滤措施来保证升级过程不受攻击影响。德国电信经过调查发现,此次攻击和此前攻击美国网络的恶意软件Mirai存在必然联系,此次攻击同样是从路由器和网络摄像头发起导致德国电信的服务器流量飙升,从而使正常的网络不堪重负。
3、各品牌路由器漏洞情况
截止到2016年底包括D-link、TP-link、Cisco、斐讯、iKuai等一众国内外知名品牌都相继爆出了高危漏洞,影响上万用户的网络安全,以下是2016年中国用户最关注的的路由器品牌占比,以及根据exploits-db披露的各品牌路由器漏洞比例。
图53:2016年中国路由市场品牌关注比例
图54:2016年各品牌路由器漏洞比例
4、2016年路由器漏洞类型——僵尸网络成爆发性增长
2016年路由器漏洞类型包括默认口令、固件漏洞、路由后门等一系列安全问题。通过对2016年相关路由器事件进行统计,各种攻击方式中弱口令占比最多,也使得今年的僵尸网络呈现了爆发性的增长。
图55:2016年路由器漏洞类型占比
当路由器开始使用并运行后,如果用户没有修改设备的默认登录口令,或是因为某些原因将设备的口令设置的极其简单,使得攻击者可以针对这些路由器进行暴力破解,轻而易举的进入设备的管理界面。
然后,攻击者就可以向路由器植入恶意代码,并使之与攻击者的C&C(远程命令)服务器通讯,将设备变成僵尸网络中的一员。
而这些僵尸网络主要以发动DDos攻击为主,或作为代理对其他设备进行暴力破解,威胁网络安全。此前威胁美国、新加坡以及德国网络安全的都属于僵尸网络。
图56:2016年中国路由器弱密码TOP10
5、提高网民安全意识,加固用户名密码安全
对于像mirai这样的僵尸网络,目前还没有十分奏效的方法加以遏制,现在主要采用蜜罐技术通过行为特征分析,在僵尸网络形成的初期发现并采取相关措施。
由于僵尸网络的特性就是控制大量“肉鸡”,所以对于用户来说,就是提高自身的安全意识,修改初始密码以及弱密码,加固用户名和密码的安全性,督促行业对密码策略的进一步加强。
原创:北京瑞星信息技术股份有限公司
|