MalwareBenchMark借助“軟件基因”技術(shù)，自研平臺(tái)，匯聚智力和數(shù)據(jù)，持續(xù)關(guān)注各類(lèi)安全事件和惡意軟件。

在送走2017迎來(lái)2018之際，MalwareBenchMark借助大數(shù)據(jù)分析，從傳播范圍、技術(shù)變化和威脅程度等視角分析了2017年多個(gè)領(lǐng)域最具“影響力”的惡意軟件。

0X01 APT武器：持續(xù)升級(jí)的APT28工具系列

APT武器領(lǐng)域的惡意軟件2017的整體態(tài)勢(shì)是技術(shù)升級(jí)更加快速多樣，對(duì)抗強(qiáng)度加劇。在APT領(lǐng)域2017與2016變化不大，最為風(fēng)光的仍屬來(lái)自俄羅斯的APT組織，APT28&APT29。

其中APT29利用了“端口前置”，利用Tor隱蔽通信行為;而APT28的sednit利用了賽門(mén)鐵克的合法證書(shū);Turlar家族則升級(jí)到了2.0，專(zhuān)注外交領(lǐng)域的攻擊。

APT領(lǐng)域的對(duì)抗正呈現(xiàn)快速升級(jí)的狀態(tài)，APT28工具的X-Agent后門(mén)年底全面升級(jí)，并由Sedkit漏洞利用工具包轉(zhuǎn)為DealersChoice平臺(tái)。

0X02 工控系統(tǒng)：繼Stuxnet之后最大威脅的Industroyer

工控系統(tǒng)作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成，其安全問(wèn)題廣為關(guān)注，2017年的特點(diǎn)是源于地緣政治因素，針對(duì)電力和能源基礎(chǔ)設(shè)施的攻擊最為突出。

2017年6月份發(fā)現(xiàn)的Industroyer惡意代碼家族能夠直接控制變電中的電路開(kāi)關(guān)和繼電器，該惡意代碼在設(shè)計(jì)上不忘借鑒了blackenergy的磁盤(pán)擦除功能。Eset將其稱(chēng)之為繼Stuxnet之后的最大威脅。

12月份又出現(xiàn)了針對(duì)安全儀表系統(tǒng)(SIS)的攻擊代碼Triton，該儀表系統(tǒng)在天然氣和石油生產(chǎn)中廣泛使用。

卡巴斯基在2018年工控系統(tǒng)安全預(yù)測(cè)中指出，將會(huì)有更多的攻擊事件涉及到工業(yè)網(wǎng)絡(luò)的間諜活動(dòng)和利用工業(yè)自動(dòng)化系統(tǒng)組建的漏洞的惡意代碼。

0X03 物聯(lián)網(wǎng)：持續(xù)“擴(kuò)張”的Mirai家族

物聯(lián)網(wǎng)領(lǐng)域2017年惡意軟件特點(diǎn)可以用“擴(kuò)張”一詞總結(jié)。自從Mirai開(kāi)放源代碼以來(lái)，其家族無(wú)疑是物聯(lián)網(wǎng)領(lǐng)域最為“閃耀”的明星~!開(kāi)源模式極大地激發(fā)了黑客們的“創(chuàng)造”熱情，其各類(lèi)變種層出不窮，感染規(guī)模不斷擴(kuò)大。

技術(shù)層面上，主要是由針對(duì)telnet端口的弱口令掃描、擴(kuò)展到了ssh端口、同時(shí)增加了多種漏洞的利用?？梢灶A(yù)見(jiàn)由于WAP2協(xié)議漏洞的出現(xiàn)，wifi體系已經(jīng)極不安全，而這對(duì)物聯(lián)網(wǎng)惡意軟件來(lái)說(shuō)是“極大利好”。

2017年與Mirai相關(guān)的知名惡意軟件包括：Rowdy、IoTroops、Satori等。這些惡意軟件以mirai的源代碼為本體，經(jīng)過(guò)不斷的變異改進(jìn)，已經(jīng)從傳統(tǒng)的Linux平臺(tái)演變到了Windows平臺(tái)，利用的端口也在不斷變化，從傳統(tǒng)的弱口令攻擊轉(zhuǎn)變到了弱口令和漏洞利用的綜合攻擊方式，同時(shí)感染設(shè)備范圍由網(wǎng)絡(luò)攝像機(jī)、家庭路由，正向有線(xiàn)電視機(jī)頂盒等領(lǐng)域“擴(kuò)張”。

上述多個(gè)變種感染的設(shè)備已經(jīng)超過(guò)百萬(wàn)，攻擊方式快速且豐富的衍變，注定2018年在工控物聯(lián)網(wǎng)領(lǐng)域不會(huì)風(fēng)平浪靜!

0X04 銀行/金融：在線(xiàn)銷(xiāo)售的CutletMaker

2017金融領(lǐng)域惡意軟件肆孽，針對(duì)SWIFT的攻擊沒(méi)有消沉反而日益盛行、多個(gè)國(guó)家和地區(qū)的ATM遭虐、POS機(jī)惡意軟件風(fēng)靡、針對(duì)個(gè)人移動(dòng)終端及支付的惡意軟件變種繁多… …總結(jié)一下就是異常“活躍”，畢竟直接產(chǎn)生經(jīng)濟(jì)效益啊~!

值得關(guān)注的是針對(duì)金融領(lǐng)域的惡意軟件不再僅僅由來(lái)自“黑產(chǎn)”的鏈條產(chǎn)生了，有國(guó)家政治背景和訴求的組織也加入了進(jìn)來(lái)，就連CIA也被曝光具有監(jiān)控SWIFT的工具……這里S認(rèn)為公開(kāi)在暗網(wǎng)出售針對(duì)金融領(lǐng)域的惡意軟件影響更為“惡劣”，有可能極大降低網(wǎng)絡(luò)攻擊的門(mén)檻。

CutletMaker的軟件于2017年5月開(kāi)始在AlphaBay暗網(wǎng)市場(chǎng)上銷(xiāo)售，因?yàn)槊绹?guó)有關(guān)機(jī)構(gòu)在7月中旬關(guān)閉了AlphaBay，軟件經(jīng)營(yíng)方現(xiàn)新建了一個(gè)獨(dú)立網(wǎng)站專(zhuān)門(mén)銷(xiāo)售該軟件。

該新網(wǎng)站名為ATMjackpot，出售的正是同種ATM惡意軟件，但有少許修改。軟件經(jīng)營(yíng)者聲稱(chēng)，Cutlet Maker對(duì)所有Wincor Nixdorf的ATM機(jī)均有效，僅需要訪問(wèn)ATM機(jī)的USB端口即可。

根據(jù)廣告，工具包整體打包售價(jià) 5000 美元，使用手冊(cè)相當(dāng)詳細(xì)，包括作案需要的軟件設(shè)備、可攻擊的ATM機(jī)型，以及軟件操作方法和偷竊小技巧，還附有操作演示視頻。

ATM惡意軟件在暗網(wǎng)出售

0X05 犯罪勒索：占領(lǐng)半壁江山的WannaCry

網(wǎng)絡(luò)犯罪在美、中、英等國(guó)家已經(jīng)成為第一大犯罪類(lèi)型了，而勒索軟件是其中重要的手段之一，2017年勒索軟件的特點(diǎn)是“模式創(chuàng)新”。無(wú)容置疑，2017最具影響力的勒索軟件當(dāng)屬WannaCry了，它在2017年著實(shí)折騰了我們一把(呵呵)!

關(guān)于WannaCry多講了，大家聽(tīng)得太多了。但在WannaCry之前，勒索軟件Cerber一直穩(wěn)居勒索類(lèi)惡意代碼的頭把交椅，自從WannaCry利用“永恒之藍(lán)”漏洞沖擊了整個(gè)地球互聯(lián)網(wǎng)之后，WannaCry在全部勒索軟件中占到了半壁江山。

2017值得關(guān)注的是：勒索軟件目前成為了暗網(wǎng)上最大的交易項(xiàng)目，并“創(chuàng)新模式”出現(xiàn)了定制化的服務(wù)，甚至某些勒索軟件出現(xiàn)了類(lèi)似于傳銷(xiāo)的營(yíng)銷(xiāo)模式，一個(gè)人被勒索之后，只要講勒索軟件轉(zhuǎn)發(fā)到10個(gè)以上的微信群或社區(qū)群，就能解密自己的系統(tǒng)。

在2018年這種趨勢(shì)會(huì)更加明顯，醫(yī)療保健、政府和關(guān)鍵基礎(chǔ)設(shè)施、教育行業(yè)仍可能將是被勒索的重災(zāi)區(qū)。

0X06 移動(dòng)終端：安卓終端排名第一的Rootnik

移動(dòng)終端始終是惡意軟件鐘情的場(chǎng)所，畢竟移動(dòng)終端的網(wǎng)絡(luò)用戶(hù)已經(jīng)超過(guò)了傳統(tǒng)PC網(wǎng)民，同時(shí)，移動(dòng)終端承載了太多的“關(guān)鍵”應(yīng)用，例如我們常用的“支付寶”，嘻嘻。

而在移動(dòng)端安卓無(wú)疑是重災(zāi)區(qū)。2017年的安卓惡意代碼比2016年增加了17.6%。其中Rootnik是最流行的惡意軟件家族，POrnclk占第二位，其余的是Axent、Slocker和Dloader。

有意思的是GooglePlay上的很多應(yīng)用程序被Rootnik綁定，該家族在9月下旬也被發(fā)現(xiàn)利用了DirtyCowLinux漏洞。

安卓手機(jī)供應(yīng)鏈安全值得擔(dān)憂(yōu)，38部手機(jī)被爆預(yù)裝惡意軟件

0X07 劫持與廣告：造成史上最大規(guī)模感染的FireBall

受到黑產(chǎn)的豐厚利益回報(bào)，劫持軟件與非法廣告一直是惡意軟件的一個(gè)熱門(mén)領(lǐng)域，但2017讓人大吃一驚的是出現(xiàn)了 "歷史上最大規(guī)模的惡意軟件感染" FireBall。而這個(gè)感染主機(jī)最多的惡意軟件竟然出自國(guó)人之手。FireBall據(jù)稱(chēng)已感染全球超過(guò)2.5億臺(tái)計(jì)算機(jī)，完全有能力 "引發(fā)全球?yàn)?zāi)難"。

FireBall可以控制互聯(lián)網(wǎng)瀏覽器, 監(jiān)視受害者的 web 使用, 并可能竊取個(gè)人文件。FireBall 與擁有3億客戶(hù)聲稱(chēng)提供數(shù)字營(yíng)銷(xiāo)和游戲應(yīng)用程序的中國(guó)公司Rafotech(卿燁科技http://www.rafotech.com/)相關(guān)。

FireBall行同 "瀏覽器-劫持", 它通過(guò)捆綁看似合法的軟件工作。該軟件將操縱受害者的瀏覽器, 改變搜索引擎, 并挖出用戶(hù)數(shù)據(jù)。它有能力運(yùn)行代碼、下載文件、安裝 plug-ins、更改計(jì)算機(jī)配置、監(jiān)視用戶(hù), 甚至充當(dāng)高效的惡意軟件下載器。

已經(jīng)觀察到2530萬(wàn)的感染在印度 (10.1%), 2410萬(wàn)在巴西 (9.6%), 1610萬(wàn)在墨西哥 (6.4%), 和1310萬(wàn)在印度尼西亞 (5.2%)。在美國(guó)它感染了550萬(wàn)設(shè)備 (2.2%)。全球20% 的企業(yè)網(wǎng)絡(luò)可能受到影響。

史上最大的感染事件：國(guó)產(chǎn)FireBall感染2.5億臺(tái)計(jì)算機(jī)能引發(fā)'全球?yàn)?zāi)難'

0X08 Windows & office：被濫用的NSA工具DoublePulsar

MS的windows和office一直是遭受惡意軟件威脅的主要對(duì)象，2017也是如此。從window UAC繞過(guò)到def漏洞、從office老版本到365，都是惡意軟件關(guān)注的目標(biāo)。CIA和NSA相關(guān)漏洞及利用工具的曝光促進(jìn)了這個(gè)領(lǐng)域的惡意軟件繁衍。

2017年很有意思的是，CVE-2012-0158雖然不是最常用的Offce 漏洞，但是卻被一些人稱(chēng)為“不會(huì)死的漏洞“，從2012年披露至今，仍然被大量的使用。2017年，最受攻擊者喜歡的漏洞是CVE-2017-0199，而CVE-2017-0199安全漏洞在Microsoft Offce的多個(gè)版本中可以利用。

但談到惡意軟件則是CIA和NSA曝光工具中的一系列最為突出，其中DoublePulsar，是由Shadow Brokers泄露的NSA黑客工具之一，現(xiàn)在該工具已被普通黑客使用，在全世界感染了超過(guò)36000臺(tái)設(shè)備。外媒Hacker News報(bào)道，Below0Day掃描結(jié)果顯示，全球有5561708臺(tái)Windows系統(tǒng)(SMB服務(wù))445端口暴露于互聯(lián)網(wǎng)中，已確認(rèn)有30625主機(jī)設(shè)備感染了惡意軟件。目前被感染的主機(jī)設(shè)備絕大多數(shù)位于美國(guó)地區(qū)，其次為英國(guó)、中國(guó)臺(tái)灣和韓國(guó)。

0X09 惡意郵件：造成30億美元損失的尼日利亞釣魚(yú)

2017年惡意郵件的盛行依舊，Phishme的數(shù)據(jù)顯示，90%的網(wǎng)絡(luò)攻擊開(kāi)始于釣魚(yú)郵件。這個(gè)領(lǐng)域2017年度的趨勢(shì)是勒索和欺詐軟件正被垃圾郵件打包傳播，同時(shí)正向關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域拓展威脅。

2017年出現(xiàn)的“尼日利亞釣魚(yú)”不得不提，近三年來(lái)“尼日利亞釣魚(yú)”造成的商業(yè)損失高達(dá)30億美元，該釣魚(yú)方式通過(guò)劫持真正的企業(yè)賬戶(hù)，監(jiān)控金融交易，并對(duì)交易重定向。最關(guān)鍵的是該釣魚(yú)郵件影響針對(duì)了全球22143多家機(jī)構(gòu)，涉及到冶金、建筑、運(yùn)輸?shù)母鱾€(gè)行業(yè)，之所以能夠發(fā)起這么大規(guī)模的攻擊，就是因?yàn)楫?dāng)前發(fā)動(dòng)釣魚(yú)攻擊的成本已經(jīng)非常低。

0X10 無(wú)文件/腳本惡意軟件：被用于挖礦的NSA 漏洞利用工具Zealot

2017年突出的是無(wú)文件駐留和腳本類(lèi)惡意軟件呈現(xiàn)爆發(fā)態(tài)勢(shì)，從PowerShell到AutoIt各類(lèi)腳本惡意軟件突發(fā)，這對(duì)傳統(tǒng)的安全防御技術(shù)提出了全新的挑戰(zhàn)。

據(jù)Carbon Black的2017年威脅報(bào)告顯示，無(wú)文件惡意軟件攻擊占今年所有攻擊的52%，首次超過(guò)基于惡意軟件的攻擊。無(wú)文件惡意軟件攻擊(也稱(chēng)為非惡意軟件攻擊)允許網(wǎng)絡(luò)犯罪分子跳過(guò)部署基于惡意軟件的攻擊所需的步驟。

2017年12月，F(xiàn)5 Networks 發(fā)現(xiàn)了一項(xiàng)利用 NSA 漏洞大量入侵 Linux 和Windows 服務(wù)器同時(shí)植入惡意軟件“ Zealot ”來(lái)挖掘 Monero 加密貨幣的攻擊行動(dòng)。

黑客組織使用兩個(gè)漏洞掃描互聯(lián)網(wǎng)上的特定服務(wù)器：一個(gè)是用于 Apache Struts(CVE-2017-5638 — RCE 遠(yuǎn)程代碼執(zhí)行漏洞)，另一個(gè)則是用于DotNetNuke ASP.NET CMS( CVE-2017-9822 — DotNetNuke 任意代碼執(zhí)行漏洞)。

黑客組織使用 PowerShell 下載并安裝最后一階段的惡意軟件，該惡意軟件在攻擊行動(dòng)中充當(dāng)Monero 礦工的角色。而在 Linux 上，黑客組織則通過(guò)從 EmpireProject 后期開(kāi)發(fā)框架中獲取的 Python 腳本感染系統(tǒng)，并且也會(huì)安裝同一個(gè) Monero 礦工。