McAfee Labs 威胁报告 2018 年 3 月
Transcript of McAfee Labs 威胁报告 2018 年 3 月
报告
1 McAfee Labs 威胁报告,2018 年 3 月
McAfee Labs 威胁报告2018 年 3 月
威胁统计信息
恶意软件
事件
Web 和网络威胁
报告
2 McAfee Labs 威胁报告,2018 年 3 月
关注
共享
McAfee Labs 在第 4 季度检测到的新恶意软件数量达到史上最高记录,总共有 6340 万个新样本。
简介
欢迎阅读 《McAfee Labs 威胁报告:2018 年 3 月》。在本期报告中,我们重点介绍 McAfee Advanced Threat Research 和 McAfee Labs 团队在 2017 年第 4 季度收集的新闻和统计数据。我们去年底发现,不但本报告中提供的威胁统计数据令人震惊,而且最近的某些研究结果也令人震惊。
网络犯罪的最大进展之一是,越来越多的人关注加密货币劫持,这与数字货币的市场利率提高密切相关。第 4 季度比特币值激增,12 月比特币价格超过 19000 美元,达到最高水平,因此导致许多犯罪分子劫持比特币和 Monero 钱夹的活动攀升。此变化进一步证明,网络犯罪分子始终会锁定回报最高、时间最短、风险最低的目标。安全研究人员最近还发现了加密货币挖掘所使用的 Android 应用程序。目前我们发现,地下论坛的讨论建议将加密货币的重心从比特币转向耐特币,因为后者更安全且暴露的几率更低。
某些网络犯罪分子仍在开发僵尸网络,以便利用物联网以及借用和开发新代码。目前,我们发现这些僵尸网络主要用于拒绝服务攻击。随着这类攻击带宽和频率的增长,安全行业所面临的挑战是充分防御这类攻击。
此报告的研究及编写人员:
• Alex Bassett
• Christiaan Beek
• Niamh Minihane
• Eric Peterson
• Raj Samani
• Craig Schmugar
• ReseAnne Sims
• Dan Sommer
• Bing Sun
报告 关键主题
3 McAfee Labs 威胁报告,2018 年 3 月
关注
共享
主要趋势:网络犯罪分子透视,采用新策略和战术
在 2017 年第 4 季度,McAfee Labs 平均每秒记录 8 个新恶意软件样本,与第 3 季度每秒记录的 4 个新样本相比,其数量显著增加。总体而言,该季度的主要特点是使用的工具和方案更新,比如 PowerShell 恶意软件和加密货币挖掘,这些攻击随比特币价值激增。
PowerShell: 2017 年第 4 季度, McAfee Labs 发现 PowerShell
恶意软件增长 267%,年同比增长 432%,此威胁类别逐渐成为网络犯罪分子的首选工具箱。此脚本语言极具吸引力,攻击者会设法在 Microsoft Office 文件中使用它来执行第一阶段的攻击。
在 12 月,研究人员发现了 Operation Gold Dragon,此恶意软件活动以 2018 年冬奥会为攻击目标。此活动是 PowerShell
恶意软件攻击的实施典范。
加密货币挖掘:网上货币诱发了许多网络犯罪,包括恶意软件的购买和勒索软件的赎金支付。网络犯罪分子宁愿寻找外部计算资源,也不会使用自己的设备,因为专用挖掘机器的价格超过 5000 美元。在第 4 季度, McAfee Advanced Threat
Research 团队的分析师报告了这一迅猛发展的行业,介绍了网络犯罪分子如何设法恶意引进恶意软件,使用受害者的计算资源挖币,或直接查找、窃取用户的加密货币。
勒索软件:在 2017 年, McAfee Labs 观察到勒索软件年同比
增长 59%,其中仅第 4 季度就增长 35%。此活动涉及网络犯
罪分子采用的创造性新战术,他们设法让此威胁类别达到其典型目的,勒索钱财、破坏企业网络。犯罪分子制定策略策划“迷雾幻镜”,在实际攻击中分散防御者注意力,比如暴露伪勒索软件,如同 NotPetya 和台湾银行盗窃案。
尽管勒索软件持续增长,执法机构在第 4 季度仍成功打击了网络犯罪分子网络,并且逮捕的犯罪分子已声称对 CTB
Locker 勒索软件的散布负责。
4 McAfee Labs 威胁报告,2018 年 3 月
报告 关键主题
定向医疗保健行业:在 2017 年,公开披露的医疗保健行业安全事件数量比 2016 年增长了 210%,不过第 4 季度的安全事件数量减少了 78%。在分析这些攻击时,McAfee Advanced
Threat Research 专家得出这样的结论,许多事件都是不遵守最佳安全实践或不解决医疗软件漏洞问题所致。
Necurs 和 Gamut:在第 4 季度,97% 的垃圾邮件僵尸网络通信量都来自于以下两种僵尸网络,它们可让网络犯罪分子租借访问权:最流行的垃圾邮件僵尸网络是 Necurs,其中包括最近出现的“孤单女孩”垃圾邮件、“拉高出货”股票垃圾邮件和 Locky 勒索软件下载程序,Gamut 紧随其后,其中包括发件人发送的以聘任书为主题的网络钓鱼和钱骡招募电子邮件。
每个季度, McAfee Global Threat Intelligence
云信息显示板都可以让我们查看和分析各种实际攻击模式,以便更好地保护客户。这方面的信息能够反映我们的客户所面临的攻击数量。 McAfee GTI 平均每天分析 400000 个
URL 和 800000 个文件。第四季度,我们的客户所看到的攻击数量如下所示:
Q 在第 4 季度, McAfee GTI 平均每天收到
480 亿次查询。
Q McAfee GTI 防范的恶意文件数量从第 3 季度的每天 4000 万个增长到第 4 季度的每天 4500 万个。
Q McAfee GTI 防范的风险 URL 数量从第 3 季度的每天 9900 万个减少到第 4 季度的每天 5700 万个,尽管 12 月 19 日后的高风险
URL 数量激增。
Q McAfee GTI 防范的风险 IP 地址数量从第
3 季度的每天 4800 万个增长到第 4 季度的每天 8400 万个。
McAfee Global Threat Intelligence 统计信息
报告 关键主题
5 McAfee Labs 威胁报告,2018 年 3 月
关注
共享
主要活动:非对称网络战争继续升级
2017 年初, McAfee 分析师预测了网络安全行业来年将面临的难以应对的挑战,并指出信息不对称是主要障碍。简而言之,攻击者访问技术社区的研究要容易得多,而且他们可以下载和使用开源工具支持其活动,而防御者洞察网络犯罪分子活动的水平很有限,并且攻击策略在不断改变,往往得等恶意活动出现之后才能进行识别。第 4 季度的主要攻击表明,非对称网络战争正在不断升级。
2017 年 11 月: APT28(也称为 Fancy Bear)利用几周前公布
的 Microsoft Office 动态数据交换技术,借助主题为纽约恐怖袭击的网络钓鱼电子邮件活动发动攻击。
2017 年 12 月:平昌冬奥会陷入以组织为目标的定向攻击,此次攻击利用了速记式加密和发动攻击几天之前发布的新工具 Invoke-PSImage。 Operation Gold Dragon 持久驻留在受害者系统中,让攻击者可以随意搜索和访问设备中存储的数据,或连接的云帐户中存储的数据。
要了解我们的最新研究,请访问我们的社交媒体频道
(Twitter @McAfee_Labs),我们会在其中分析新活动,介绍
新工具,您可以使用这些工具更好地保护您的环境。
―Raj Samani, McAfee 高级威胁研究团队成员和首席科学家
Twitter @Raj_Samani
报告
6 McAfee Labs 威胁报告,2018 年 3 月
威胁统计信息7 恶意软件
14 事件
16 Web 和网络威胁
报告 关键主题
7 McAfee Labs 威胁报告,2018 年 3 月
关注
共享
恶意软件总数量
100,000,000
0
500,000,000
600,000,000
700,000,000
400,000,000
300,000,000
200,000,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。
恶意软件
新恶意软件数量
10,000,000
0
50,000,000
60,000,000
70,000,000
40,000,000
30,000,000
20,000,000
1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度2016 2017
Mac 恶意软件总数量
100,000
0
500,000
600,000
700,000
800,000
400,000
300,000
200,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。
新 Mac 恶意软件数量
50,000
0
250,000
300,000
350,000
200,000
150,000
100,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。 资料来源:McAfee Labs,2018 年。
恶意软件数据来源于 McAfee 样本
数据库,其中包括通过 McAfee 垃圾邮件陷阱、爬网程序和客户提交方式收集的恶意文件,以及其他行业来源提供的恶意文件。本季度的一个主要威胁是 Waboot。
本季度 Mac 恶意软件的两种常见形式是 Flashback 和 Longage,前者通过浏览器获取密码和其他数据,而后者可让黑客控制系统。
报告 关键主题
8 McAfee Labs 威胁报告,2018 年 3 月
关注
共享
移动恶意软件总数量
5,000,000
0
25,000,000
20,000,000
15,000,000
10,000,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。
新移动恶意软件数量
500,000
0
2,500,000
3,000,000
2,000,000
1,500,000
1,000,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。
全球移动恶意软件感染率(移动客户报告感染的百分比)
2%
0%
10%
12%
14%
8%
6%
4%
1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度2016 2017
各地区移动恶意软件感染率(移动客户报告感染的百分比)
5%
0%
25%
20%
15%
10%
非洲 亚洲 澳大利亚 欧洲 北美 南美
2017 年 1 季度 2017 年 2 季度 2017 年 3 季度 2017 年 4 季度
资料来源:McAfee Labs,2018 年。 资料来源:McAfee Labs,2018 年。
本季度 Android 锁屏勒索软件的增长显著下滑。(请参阅第 9 页的独立图表。) Piom 特洛伊木马程序植入程序的增长也明显放缓。
前三个季度全球感染率略有下降,而澳大利亚和美洲的占比增加。
报告 关键主题
9 McAfee Labs 威胁报告,2018 年 3 月
关注
共享
勒索软件总数量
2,000,000
0
10,000,000
8,000,000
6,000,000
16,000,000
14,000,000
12,000,000
4,000,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。
新勒索软件数量
500,000
0
2,500,000
2,000,000
1,500,000
1,000,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。
Android 锁屏恶意软件总数量
400,000
0
2,000,000
1,600,000
1,200,000
800,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
新 Android 锁屏恶意软件数量
200,000
0
1,000,000
800,000
600,000
400,000
1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度2016 2017
资料来源:McAfee Labs,2018 年。 资料来源:McAfee Labs,2018 年。
为勒索软件增长做出重大贡献的是 Ransom:Win32/Genasom。
这种形式的勒索软件是在 2016 年慢慢兴起的,但去年突然激增。
报告 关键主题
10 McAfee Labs 威胁报告,2018 年 3 月
关注
共享
恶意签名二进制文件总数量
2016 2017
20,000,000
15,000,000
10,000,000
5,000,000
0
25,000,000
1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。
新恶意签名二进制文件数量
400,000
0
20,000,000
1,600,000
1,200,000
800,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。
应用程序或二进制文件经过内容服务提供商签名和验证后,证书颁发机构会提供数字证书,此证书可在线提供相关信息。网络犯罪分子在获取恶意签名二进制文件或恶意应用程序的证书后,更易于发动攻击,这直接摧毁了此信任模式。
报告 关键主题
11 McAfee Labs 威胁报告,2018 年 3 月
关注
共享
漏洞利用恶意软件总数量
2,000,000
0
10,000,000
12,000,000
14,000,000
16,000,000
8,000,000
6,000,000
4,000,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
新漏洞利用恶意软件数量
200,000
0
1,000,000
1,200,000
800,000
600,000
400,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。 资料来源:McAfee Labs,2018 年。
漏洞利用攻击利用软件和硬件中的缺陷和漏洞。零日攻击就是成功利用漏洞的示例。有关最新示例,请参阅 McAfee Labs
发布的“Analyzing Microsoft Office Zero-Day Exploit CVE-2017-
11826: Memory Corruption Vulnerability (分析 Microsoft
Office 零日威胁 CVE-2017-11826:内存受损漏洞)”。
报告 关键主题
12 McAfee Labs 威胁报告,2018 年 3 月
关注
共享
宏恶意软件总数量
200,000
0
1,000,000
1,200,000
1,400,000
1,600,000
800,000
600,000
400,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。
新宏恶意软件数量
50,000
0
250,000
200,000
150,000
100,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。
Faceliker 恶意软件总数量
5,000,000
0
20,000,000
15,000,000
10,000,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
新 Faceliker 恶意软件数量
600,000
0
3,000,000
3,600,000
4,200,000
4,800,000
2,400,000
1,800,000
1,200,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。
Faceliker 特洛伊木马操纵
Facebook 点击以伪造点“赞”的特定内容。要了解详细信息,请阅读 McAfee Labs 发表的此博文。
资料来源:McAfee Labs,2018 年。
宏恶意软件通常以垃圾电子邮件或压缩附件中的 Word 或 Excel
文档形式出现。其虚假的文件名很吸引力,如果宏已启用,受害者一打开文档就会受感染。
报告 关键主题
13 McAfee Labs 威胁报告,2018 年 3 月
关注
共享
JavaScript 恶意软件总数量
10,000,000
0
50,000,000
40,000,000
30,000,000
20,000,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。
新 JavaScript 恶意软件数量
1,000,000
0
5,000,000
6,000,000
7,000,000
4,000,000
3,000,000
2,000,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。
PowerShell 恶意软件总数量
6,000
0
30,000
36,000
42,000
48,000
24,000
18,000
12,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
新 PowerShell 恶意软件数量
3,000
0
15,000
18,000
12,000
9,000
6,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。 资料来源:McAfee Labs,2018 年。
第 4 季度 PowerShell 威胁是通过大批下载程序发动攻击的。有关
PowerShell 和 JavaScript 威胁的详细信息,请参阅 《McAfee Labs
威胁报告: 2017 年 9 月》中的“基于脚本的恶意软件兴起”一节。
报告 关键主题
14 McAfee Labs 威胁报告,2018 年 3 月
关注
共享
2016–2017 年前十大攻击向量(公开披露的事件数量)
100
0
500
600
700
400
300
200
未知 代码注入
DDoS数据泄露
帐户劫持
恶意软件
未经授权的访问
W-2 诈骗
漏洞恶意破坏
资料来源:McAfee Labs,2018 年。
事件
各地区公开披露的安全事件数量(公开披露的事件数量)
50
0
250
300
350
200
150
100
2016 2017
非洲 亚洲美洲 欧洲
多个地区大洋洲
2 季度 3 季度1 季度 4 季度 1 季度 3 季度2 季度 4 季度
资料来源:McAfee Labs,2018 年。
安全事件数据是使用多个来源编译
的,包括 hackmageddon.com、 privacyrights.org/data-
breaches、 haveibeenpwned.
com 和 databreaches.net。
大多数攻击向量都是未知的或未公开报道的。
报告 关键主题
15 McAfee Labs 威胁报告,2018 年 3 月
关注
共享
2016–2017 年前十大针对性攻击领域(公开披露的事件数量)
50
0
250
300
350
200
150
100
公共机构
个人 医疗保健
教育机构
金融机构
多个地区
在线服务机构
零售业
娱乐机构
软件开发机构
资料来源:McAfee Labs,2018 年。
北美和南美地区的热门针对性攻击领域(公开披露的事件数量)
10
0
50
40
30
80
70
60
20
2017 年 1 季度 2017 年 2 季度 2017 年 3 季度 2017 年 4 季度
在线服务机构
服务机构
娱乐机构
零售业
技术单位
金融机构
教育机构
公共机构
医疗保健
个人
资料来源:McAfee Labs,2018 年。
报告 关键主题
16 McAfee Labs 威胁报告,2018 年 3 月
关注
共享
新恶意 URL 数量
2,000,000
0
10,000,000
12,000,000
8,000,000
6,000,000
4,000,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。
Web 和网络威胁
新可疑 URL 数量
3,000,000
0
15,000,000
18,000,000
12,000,000
9,000,000
6,000,000
1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度2016 2017
资料来源:McAfee Labs,2018 年。
McAfee® TrustedSource™ Web Database 包含按网站信誉归类的 URL(网页),可与过滤策略一起用于管理网络访问。可疑 URL 数量即获得高风险或中等风险评分的站点的总数量。
恶意站点部署代码,旨在劫持计算机的设置或活动。此类别包括自安装应用程序(“随看随下”可执行文件)、特洛伊木马程序以及利用浏览器或其他应用程序的漏洞的其他恶意软件。
报告 关键主题
17 McAfee Labs 威胁报告,2018 年 3 月
关注
共享
新网络钓鱼 URL 数量
100,000
0
500,000
600,000
700,000
800,000
400,000
300,000
200,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
新恶意下载内容数量
500,000
0
2,500,000
3,000,000
3,500,000
4,000,000
2,000,000
1,500,000
1,000,000
2016 20171 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度
资料来源:McAfee Labs,2018 年。 资料来源:McAfee Labs,2018 年。
恶意下载内容的源站点可让用户无意间下载有害或恼人的代码。此类别包括其中包含广告软件、间谍软件、病毒和其他恶意代码的屏幕保护程序、工具栏和文件共享程序。有时恶意软件是在用户不知情的情况下添加的,因为他们没有阅读完整的条款和条件就单击了“是”或“我同意”。结果导致机器性能下降、密码被盗以及个人文件丢失或损坏。
网络钓鱼 URL 是网页,通常是以盗用用户帐户信息的恶作剧电子邮件形式出现。这些站点谎报身份,冒充合法公司网页,旨在误导用户,获取用户数据,实施欺诈或盗取活动。
报告 关键主题
18 McAfee Labs 威胁报告,2018 年 3 月
关注
共享
4 季度连接到控制服务器的热门恶意软件
51%
7%5%
5%
5%
3%
3%
21%Ramnit
Wapomi
OnionDuke
China Chopper
Muieblackcat
Mirai
Maazben
其他
资料来源:McAfee Labs,2018 年。
4 季度流行的垃圾邮件僵尸网络占比
60%
37%Gamut
Necurs
Lethic
Darkmailer
其他
1% 1% 1%
资料来源:McAfee Labs,2018 年。
4 季度的热门网络攻击
44%
15%
10%
8%
5%
4%
14%
浏览器
服务器消息块
拒绝服务
暴力攻击
恶意软件
域名系统
其他
4 季度托管僵尸网络控制服务器的主要国家/地区
35%
19%3%3%3%
3%3%
3%
28% 德国
美国
荷兰
日本
俄罗斯
中国
韩国
法国
其他
资料来源:McAfee Labs,2018 年。 资料来源:McAfee Labs,2018 年。
第 4 季度 97% 的垃圾邮件僵尸网络通信量都来自于 Necurs 和
Gamut,前者包括最近出现的“孤单女孩”垃圾邮件、“拉高出货”股票垃圾邮件和 Locky 勒索软件下载程序,而后者包括用英语、德语和意大利语发送的以聘任书为主题的网络钓鱼(和钱骡招募)电子邮件。
19 McAfee Labs 威胁报告,2018 年 3 月
关于 McAfee Labs
McAfee 高级威胁研究团队领导的 McAfee Labs 是威胁研究、威胁情报和网络安全先进理念的全球领先来源之一。利用从跨主要威胁媒介(文件、Web、消息和网络)的数百万传感器获取的数据,McAfee Labs 和 McAfee Advanced Threat
Research 团队可提供实时威胁情报、关键分析和专家意见,以便增强保护并降低风险。
www.mcafee.com/cn/mcafee-labs.aspx。
关于 McAfee
McAfee 是全球领先的独立网络安全企业之一。在协同工作思想的启迪下,McAfee 研发出了适用于企业用户和家庭用户的解决方案,让网络环境变得更为安全。通过构建与其他公司产品集成的解决方案,McAfee 能够帮助企业部署真正集成的网络环境,通过协作的方式即时进行威胁检测和纠正,从而保护网络安全。通过保护用户的所有设备的网络安全,McAfee 能够随时随地为他们的数字化生活提供安全保障。McAfee 与其他安全参与者同心协力,致力于打击网络犯罪分子,以保护所有用户的利益。
www.mcafee.com/cn。
McAfee 和 McAfee 徽标是 McAfee, LLC 或其分支机构在美国和/或其他国家或地区的商标或注册商标。其他商标和品牌可能是其各自所有者的财产。 Copyright © 2018 McAfee, LLC. 3780_03182018 年 3 月
北京市东城区北三环东路 36 号北京环球贸易中心 D 座 18 层,100013www.mcafee.com/cn