[[183421]]

一、概述

在2016年，網(wǎng)絡(luò)攻擊給世界帶來了重大影響，甚至成為美國(guó)大選中的一個(gè)關(guān)鍵因素。在這方面，2016年你可以看到每一個(gè)人、甚至是從來沒有登錄過網(wǎng)站的人都受到了網(wǎng)絡(luò)攻擊和黑客行為的影響。

二、報(bào)告研究基礎(chǔ)

我們的報(bào)告以下面的數(shù)據(jù)為基礎(chǔ)：

1. 幾乎十億惡意軟件的檢測(cè)/發(fā)生。
2. 2016年6月到11月期間的數(shù)據(jù)。
3. 近1億個(gè)Windows和Android設(shè)備。
4. 超過200個(gè)國(guó)家。
5. 來源于企業(yè)和消費(fèi)者環(huán)境。
6. 我們的報(bào)告關(guān)注六類威脅：勒索軟件、廣告欺詐惡意軟件、Android惡意軟件、僵尸網(wǎng)絡(luò)、銀行木馬和惡意廣告軟件。

此外，我們使用的數(shù)據(jù)不僅包括感染數(shù)據(jù)，還包含來自我們自己內(nèi)部蜜罐的數(shù)據(jù)和收集的數(shù)據(jù)，這些都有利于識(shí)別惡意軟件的傳播。

三個(gè)關(guān)鍵點(diǎn)：

1. 勒索軟件占據(jù)了新聞?lì)^條，并且成為了攻擊商業(yè)活動(dòng)最受歡迎的攻擊方法。
2. 有時(shí)候檢測(cè)到的以Kovter為首的廣告欺詐惡意軟件比勒索軟件還要多，對(duì)消費(fèi)者和企業(yè)構(gòu)成巨大威脅。
3. 僵尸網(wǎng)絡(luò)感染并招募了物聯(lián)網(wǎng)設(shè)備，發(fā)動(dòng)了大規(guī)模DDoS攻擊。

三、勒索軟件上升到威脅首位，重點(diǎn)針對(duì)商業(yè)活動(dòng)

在2016年，勒索軟件搶占了新聞?lì)^條，并有很好的理由。盡管傳統(tǒng)惡意軟件，如銀行木馬、間諜軟件、和鍵盤記錄的網(wǎng)絡(luò)犯罪，在將受害者的錢接收到銀行帳戶之前，需要監(jiān)控多個(gè)步驟，而勒索軟件使這個(gè)步驟簡(jiǎn)化了很多，可以看作是自動(dòng)化處理。腳本小子甚至可以購(gòu)買勒索軟件工具包，被稱為“勒索軟件即服務(wù)(RaaS)”，它可以將所有復(fù)雜的障礙從數(shù)字盜竊中去除。僅在2016年第四季度，我們就編目了近400個(gè)勒索軟件的變種，大部分是一些新犯罪團(tuán)體為了獲得利潤(rùn)而創(chuàng)建的。

勒索軟件的趨勢(shì)不是新的，然而，正如我們已經(jīng)看到的，它的傳播在過去兩年有很大增長(zhǎng)，并觀察到特定的惡意軟件家族上升到了網(wǎng)絡(luò)犯罪交易的首位。

勒索軟件的傳播從2016年1月到2016年11月增長(zhǎng)了267%。這個(gè)威脅景觀占據(jù)了前所未有的統(tǒng)治地位，這是以前從來沒有見到過的。

1. 受勒索軟件影響最多的前十個(gè)國(guó)家

上圖是受勒索軟件最多的前十個(gè)國(guó)家，美國(guó)是檢測(cè)到勒索軟件最多的國(guó)家，這一點(diǎn)不必驚訝。來自世界各地和東歐的許多團(tuán)體都以美國(guó)為目標(biāo)，這不僅是因?yàn)槊绹?guó)民眾對(duì)技術(shù)有廣泛的可及性，還因?yàn)樗麄冎Ц囤H金的方式，以及他們的意識(shí)形態(tài)觀點(diǎn)。有一個(gè)國(guó)家似乎從這個(gè)名單上消失了，這就是俄羅斯，因?yàn)槎砹_斯公民牢牢掌握了計(jì)算機(jī)的安全，而且，有一個(gè)現(xiàn)象就是俄羅斯勒索軟件開發(fā)者可能很少攻擊他們自己人。

2. 勒索軟件在各大洲的分布

3. 2016年最流行的勒索軟件家族

2016年，在勒索軟件游戲中有三個(gè)主要玩家。其中的一個(gè)已經(jīng)退出了比賽，其它兩個(gè)還在繼續(xù)爭(zhēng)奪統(tǒng)治地位。它們是：TeslaCrypt、Locky、Cerber。

在下表中，你能看到2016年其它一些突出的勒索軟件家族。

[[183422]]

在2016年初，TeslaCrypt曾大規(guī)模傳播，但是在5月份TeslaCrypt被關(guān)閉了，并為所有受害者釋放出了解密密鑰。

當(dāng)TeslaCrypt被關(guān)閉后，它創(chuàng)造的真空期很快被其它兩個(gè)家族占據(jù)了，它們是Locky和Cerber。它們幾乎占滿了整個(gè)2016年第三季度和第四季度，不過在3月和5月時(shí)，它們的傳播水平已經(jīng)幾乎和TeslaCrypt一樣了。

檢測(cè)到勒索軟件的不同、即使是在高發(fā)區(qū)

• 在企業(yè)環(huán)境中檢測(cè)到的勒索軟件有81%發(fā)生在北美洲。
• 在家庭/消費(fèi)者環(huán)境檢測(cè)到的勒索軟件有51%發(fā)生在歐洲。

勒索軟件網(wǎng)絡(luò)犯罪份子將他們的努力集中在了商業(yè)活動(dòng)中，特別是北美企業(yè)，毫無疑問，他們可能意識(shí)到這些公司可以損失的東西很多、并且有很多支付資源。在全球范圍內(nèi)，在12.3%的企業(yè)交易活動(dòng)中探測(cè)到了勒索軟件，但是在消費(fèi)者端，只有1.8%。

四、廣告欺詐惡意軟件嚴(yán)重攻擊著美國(guó)人

盡管在2016年勒索軟件占據(jù)著統(tǒng)治地位，但是廣告欺詐惡意軟件的表現(xiàn)也很突出。實(shí)際上，探測(cè)到的廣告欺詐惡意軟件，尤其是Kovter惡意軟件，在夏天的幾個(gè)月里能媲美勒索軟件。

1. 發(fā)現(xiàn)廣告欺詐的前10個(gè)國(guó)家

2. 近看Kovter廣告欺詐惡意軟件

Kovter是目前發(fā)現(xiàn)的最先進(jìn)的惡意軟件家族。它包含了復(fù)雜的功能，如文件不用落盤，擁有只創(chuàng)建一個(gè)注冊(cè)表鍵值就可以感染系統(tǒng)的能力，這讓很多反病毒產(chǎn)品很難探測(cè)到它。另外，Kovter采用rootkit功能來進(jìn)一步隱藏自身的存在，并會(huì)積極的識(shí)別和關(guān)閉安全解決方案。

盡管Kovter不是新的，它第一次出現(xiàn)是在2015年，一直被用作其他惡意軟件家族的下載者，一個(gè)負(fù)責(zé)偷取個(gè)人信息的工具，一個(gè)用于獲得系統(tǒng)訪問權(quán)的后門。

然而在2016年，我們觀察到它開始被用作廣告欺詐惡意軟件，這種惡意軟件可以被用于劫持系統(tǒng)，并使用它去訪問網(wǎng)站、點(diǎn)擊廣告，這是為了在廣告競(jìng)價(jià)活動(dòng)(被稱為點(diǎn)擊劫持)中創(chuàng)造更多的點(diǎn)擊量。除了以這樣的方式運(yùn)用這種惡意軟件外，在2016年Kovter的傳播也發(fā)生了變化，Kovter以前主要是通過驅(qū)動(dòng)器漏洞和利用工具包來傳播，現(xiàn)在也看到了它使用大量的惡意釣魚郵件。

這種傳播方法的變化，結(jié)合Kovter的傳播者更喜歡將美國(guó)人作為目標(biāo)這個(gè)事實(shí)，使Kovter在2016年成為了美國(guó)人面對(duì)的最大威脅之一，同時(shí)Kovter攻擊美國(guó)人比其它任何人都多，占到了68.64%。

3. 各國(guó)檢測(cè)到的Kovter分布

Kovter在方法和傳播上的改變是有意義的，因?yàn)樗磻?yīng)了勒索軟件的增長(zhǎng)趨勢(shì)：Kovter和勒索軟件兩者都為攻擊者提供了直接的利潤(rùn)來源，從而不用靠給其它罪犯出售密碼庫(kù)、信用卡信息、及社交媒體帳戶來獲得利潤(rùn)。這種攻擊可以向受害人要求報(bào)酬，用于恢復(fù)他們的重要文件。或利用受害人去欺詐廣告業(yè)，從而可以在較少的努力下得到更多的利潤(rùn)。

五、僵尸網(wǎng)絡(luò)利用物聯(lián)網(wǎng)設(shè)備制造大破壞

僵尸網(wǎng)絡(luò)在過去10年里是部署惡意軟件最常用的機(jī)制之一。這些年我們看到僵尸網(wǎng)絡(luò)采用了一個(gè)新的戰(zhàn)術(shù)：攻擊、感染和雇傭物聯(lián)網(wǎng)絡(luò)設(shè)備成為僵尸網(wǎng)絡(luò)的一部分，如聯(lián)接到互聯(lián)網(wǎng)的恒溫調(diào)節(jié)器、或家用安全攝像機(jī)。2016年最受關(guān)注的僵尸網(wǎng)絡(luò)被稱為Mirai，一個(gè)開源的惡意軟件，它能感染設(shè)備，并從一個(gè)命令和控制服務(wù)器上獲取命令。在9月下旬，使用Mirai僵尸網(wǎng)絡(luò)的大規(guī)模攻擊行動(dòng)入侵了很多物聯(lián)網(wǎng)設(shè)備和家用路由器，所有受感染的設(shè)備都從一個(gè)單一的源接收命令，當(dāng)僵尸網(wǎng)絡(luò)軍隊(duì)集結(jié)完畢后，攻擊者使用分布式拒絕服務(wù)攻擊打倒了幾個(gè)著名的網(wǎng)站。

一個(gè)月后，Mirai攻擊了互聯(lián)網(wǎng)的一個(gè)骨干區(qū)域，Dyn，并且這種做法阻止了數(shù)以百萬計(jì)的用戶訪問熱門網(wǎng)站，如Twitter、Reddit、和Netflix。Mirai在功能上不僅能掃描連接到互聯(lián)網(wǎng)的設(shè)備，還能使用一個(gè)內(nèi)部的用戶名和密碼數(shù)據(jù)庫(kù)，去獲得設(shè)備的訪問權(quán)，這是Mirai的一個(gè)重要功能。在Mirai進(jìn)入設(shè)備并感染它后，Mirai根據(jù)操作者的命令，可以向任何目標(biāo)發(fā)動(dòng)DDoS攻擊。

我們看到起源于流行僵尸網(wǎng)絡(luò)家族的變種在亞洲和歐洲在增加。例如，Kelihos僵尸網(wǎng)絡(luò)在七月份增加了785%，到了十月份增加到960%。IRCBot僵尸網(wǎng)絡(luò)在八月份增加了667%。Qbog僵尸網(wǎng)絡(luò)在十一月份增加了261%。

1. 分布在各大洲的僵尸網(wǎng)絡(luò)

上圖為僵尸網(wǎng)絡(luò)在各大洲的分布狀況，亞洲的僵尸網(wǎng)絡(luò)占到了61.15%，其次是歐洲，占到14.97%。

德國(guó)處理了大量的僵尸網(wǎng)絡(luò)問題，從2015年到2016年，在該國(guó)檢測(cè)到的僵尸網(wǎng)絡(luò)數(shù)量增加了550%。

2. 網(wǎng)絡(luò)罪犯改變了惡意軟件傳播策略

2016年，在釣魚郵件中使用腳本附件是惡意軟件傳播方法的最大改變之一。這些腳本通常駐留在壓縮文件中，一旦打開并觸發(fā)了它們，它們會(huì)訪問遠(yuǎn)程服務(wù)器，并在系統(tǒng)中下載和安裝惡意軟件。

另一個(gè)在2016年又流行的方式是使用包含宏腳本的Office文檔(.docx,.xlsx,等等)，一旦用戶打開文件并啟用宏后，惡意軟件就會(huì)被執(zhí)行。通常會(huì)使用社會(huì)工程學(xué)策略，攻擊者會(huì)哄騙用戶啟用宏功能，惡意宏在系統(tǒng)中會(huì)下載并運(yùn)行惡意軟件。建立在原有感染方法之上，攻擊者通過發(fā)送受保護(hù)的ZIP文件和Office文件來增加復(fù)雜性，并在釣魚郵件中包含解壓密碼。這增加了攻擊的合理性，同時(shí)，這也是一種有效的對(duì)抗電子郵件自動(dòng)分析的方法，包括蜜罐和沙箱。

在6月份，通過利用工具包，使用宏腳本的數(shù)量增加很多。這是因?yàn)锳ngler利用工具包，一個(gè)2015年到2016年初的主要的利用工具包，后來它的服務(wù)被關(guān)閉了。然而，RIG利用工具包迅速代替了Angler的位置，并且在2017年我們可能會(huì)看到更多。

六、Android惡意軟件變得更聰明

在過去幾年里，手機(jī)威脅景觀并沒有改變很多。Android惡意軟件創(chuàng)造者主要是在追趕現(xiàn)代Windows桌面惡意軟件的功能，當(dāng)這些功能涉及到Android操作系統(tǒng)時(shí)，可能比較困難。

然而在2016年，一個(gè)值得注意的趨勢(shì)是使用隨機(jī)化的惡意軟件作者增加了，這可以被用于逃避手機(jī)安全引擎的探測(cè)。這導(dǎo)致了被檢測(cè)到的Android惡意軟件增加了很多。

分布在各國(guó)的Android惡意軟件

有趣的是，巴西，印度尼西亞，菲律賓和墨西哥是檢測(cè)到Android惡意軟件前10位的國(guó)家。在發(fā)展中國(guó)家檢測(cè)到很多流行的Android惡意軟件，主要是因?yàn)樵谶@些國(guó)家廣泛使用了不安全的第三方應(yīng)用商店。

七、惡意軟件攻擊在國(guó)家和地理上的差異

我們的數(shù)據(jù)顯示，在不同區(qū)域使用的攻擊方法和惡意軟件有所不同。針對(duì)美國(guó)和歐洲的攻擊是高度分化的。在美國(guó)探測(cè)到了大多數(shù)類型的惡意軟件，并且探測(cè)到的每一個(gè)類威脅總量都要領(lǐng)先于其它所有國(guó)家，除了銀行木馬類型，這一類型的攻擊在土耳其是最多的。

在本報(bào)告關(guān)注的惡意軟件類型中，歐洲是惡意軟件纏身最深的大陸，歐洲的感染量比北美洲多了20%，比大洋洲更是高了17倍。

1.在勒索軟件方面，歐洲領(lǐng)先于所有其它大陸：有49%的勒索軟件是在基于歐洲的設(shè)備中探測(cè)到的。

2.在Android惡意軟件方面，有31%的Android惡意軟件是在基于歐洲的設(shè)備中探測(cè)到的。

3.在惡意廣告軟件方面：有37%的惡意廣告軟件是在基于歐洲的設(shè)備中探測(cè)到的。

歐洲的惡意軟件將目光投向法國(guó)、英國(guó)、和西班牙

在歐洲被惡意軟件攻擊最多的國(guó)家是法國(guó)、英國(guó)、和西班牙。

針對(duì)英國(guó)的惡意軟件總量?jī)H次于法國(guó)。在我們6個(gè)月的研究期內(nèi)，我們看到英國(guó)的事件幾乎是俄羅斯的兩倍。德國(guó)受勒索軟件的影響排在第二位，排在美國(guó)后面。一個(gè)接受的理論是：惡意軟件作者在廣泛傳播他們的成品前，會(huì)先將德國(guó)作為了一個(gè)試驗(yàn)場(chǎng)。同時(shí)，俄羅斯受勒索軟件的影響是不均衡的(和其它國(guó)家相比，勒索軟件對(duì)俄羅斯的影響較小)，但俄羅斯卻是銀行木馬的熱門目標(biāo)。

八、2017預(yù)測(cè)

1. 勒索軟件

在2016年年末，主要的勒索軟件占據(jù)了重要的舞臺(tái)，我們不太可能看到很多新的先進(jìn)的勒索軟件家族在Cerber和Locky的成熟和大規(guī)模滲透下進(jìn)入市場(chǎng)。其中的許多將利用勒索軟件的流行在網(wǎng)絡(luò)犯罪中迅速發(fā)展。

這種趨勢(shì)從2016年開始還將斷續(xù)延續(xù)。在2016年后六個(gè)月里探測(cè)到的勒索軟件變種中，有60%從出現(xiàn)到現(xiàn)在還不到一年，這進(jìn)一步說明了一個(gè)事實(shí)：今天存在的大多數(shù)勒索軟件是由新手開發(fā)的，并帶到了勒索軟件行業(yè)中。

我們可能會(huì)看到更多的變種，它們會(huì)修改受害計(jì)算機(jī)的主引導(dǎo)記錄(MBR)。MBR是系統(tǒng)能將自己引導(dǎo)到操作系統(tǒng)狀態(tài)的關(guān)鍵組件，一旦被修改，系統(tǒng)將會(huì)被引導(dǎo)到惡意軟件設(shè)置的一個(gè)鎖屏狀態(tài)，并要求贖金用于解密文件，及恢復(fù)主操作系統(tǒng)的訪問權(quán)。此功能的添加將受害者的選項(xiàng)減少到只有兩個(gè)：要么支付贖金，要么把系統(tǒng)徹底擦干凈。

2. 惡意軟件傳播

多年來，我們觀察到在惡意軟件的傳播方式中最穩(wěn)定的只有一個(gè)：通過電子郵件傳播。網(wǎng)絡(luò)釣魚攻擊，包含惡意附件，這種方法在2016年下半年有一個(gè)很大的反彈。然而，我們預(yù)測(cè)在不久的將來，利用工具包(特別是RIG)有可能會(huì)再一次成為標(biāo)準(zhǔn)的惡意軟件傳播方式。

由于源于釣魚郵件的下載者和安裝惡意軟件會(huì)有新的發(fā)展，以及使用包含宏腳本的Office文檔，在未來我們不會(huì)看到釣魚攻擊方法會(huì)消失，這種攻擊方法在今年剩下的時(shí)間里，將繼續(xù)維持在穩(wěn)定的水平，并可能會(huì)變得復(fù)雜。

3. 物聯(lián)網(wǎng)

利用物聯(lián)網(wǎng)設(shè)備的新網(wǎng)絡(luò)攻擊在激增，加上對(duì)物聯(lián)網(wǎng)產(chǎn)業(yè)安全的關(guān)注不足，導(dǎo)致像Mirai的僵尸網(wǎng)絡(luò)有能力攻擊互聯(lián)網(wǎng)的骨干區(qū)域。不論物聯(lián)網(wǎng)產(chǎn)業(yè)決定做什么---未雨綢繆或完全忽視安全---2017年新的物聯(lián)網(wǎng)攻擊策略大門已經(jīng)被類似于Mirai的惡意軟件打開。