近日，亞信安全發(fā)布了《2018年第三季度安全威脅報(bào)告》。報(bào)告顯示，本季度勒索軟件雖然在數(shù)量上有所減少，但是攻擊方式更加多元化，防范的難度也更高。另外，針對(duì) ATM 的攻擊在本季度再度活躍，并出現(xiàn)了將惡意軟件偽裝成為 JPG 文件的垃圾郵件攻擊。亞信安全建議企業(yè)用戶(hù)在嚴(yán)峻的安全形勢(shì)下，應(yīng)該加強(qiáng)對(duì)于員工的安全培訓(xùn)，并部署安全網(wǎng)關(guān)、行為監(jiān)控、漏洞防護(hù)等產(chǎn)品，組成多層次、立體化的網(wǎng)絡(luò)安全防線(xiàn)。

勒索軟件攻擊方式更加多樣化

在第三季度，中國(guó)成為遭受勒索軟件攻擊最多的國(guó)家及地區(qū)，占全球總數(shù)的27%。從行業(yè)來(lái)看，黑客更傾向于政府、醫(yī)療、制造和保險(xiǎn)等網(wǎng)絡(luò)安全相對(duì)薄弱的企事業(yè)單位。。雖然本季度被攔截的勒索軟件在數(shù)量上有所減少，但是其攻擊方法、攻擊系統(tǒng)更加多元化，這讓其對(duì)抗網(wǎng)絡(luò)安全防護(hù)措施的能力進(jìn)一步增強(qiáng)。以 VIBOROT 勒索軟件為例，其是僵尸網(wǎng)絡(luò)和勒索軟件的結(jié)合體，一旦用戶(hù)感染該病毒，被感染機(jī)器會(huì)自動(dòng)發(fā)送攜帶有勒索軟件的垃圾郵件進(jìn)行傳播，很容易形成連鎖式的感染。

【2018年第三季度勒索病毒檢測(cè)數(shù)量圖】

在本季度發(fā)現(xiàn)的眾多勒索軟件新型變種中，Magniber勒索軟件值得重點(diǎn)關(guān)注。該病毒由漏洞攻擊套件Magnitude Exploit Kit散布攻擊，該攻擊套件曾經(jīng)引發(fā)CryptoWall、Locky、Cerber等數(shù)起影響力較大的勒索軟件攻擊事件。近日，類(lèi)似該勒索軟件攻擊事件再次發(fā)生，其成功入侵目標(biāo)系統(tǒng)之后，會(huì)檢測(cè)系統(tǒng)所在地區(qū)以及系統(tǒng)中安裝的語(yǔ)言包，如果系統(tǒng)所使用的語(yǔ)言(主要是韓文)符合Magniber勒索病毒設(shè)定的語(yǔ)言版本時(shí)，才會(huì)發(fā)動(dòng)攻擊。

亞信安全技術(shù)支持中心總經(jīng)理蔡昇欽建議稱(chēng)：“勒索軟件在短期內(nèi)不可能消失，網(wǎng)絡(luò)犯罪分子采取的戰(zhàn)術(shù)策略也在不斷演變，其攻擊方式更加多樣化。對(duì)于勒索病毒的變種，建議用戶(hù)通過(guò)部署網(wǎng)關(guān)類(lèi)產(chǎn)品作為第一道防線(xiàn)。另外，行為監(jiān)控和漏洞防護(hù)產(chǎn)品也可以有效阻止威脅到達(dá)客戶(hù)端。另外，養(yǎng)成良好的網(wǎng)絡(luò)安全習(xí)慣，不要點(diǎn)擊來(lái)歷不明的文件和鏈接，及時(shí)備份重要文件也有利于防范勒索軟件。”

ATM 成為網(wǎng)絡(luò)攻擊重要目標(biāo)

在第三季度，針對(duì)亞太及中東地區(qū)銀行發(fā)動(dòng)的ATM及SWIFT網(wǎng)絡(luò)攻擊活動(dòng)又出現(xiàn)活躍的跡象，由于其往往會(huì)直接關(guān)聯(lián)到巨額的金融資產(chǎn)，因此一旦攻擊得手，銀行將會(huì)遭受重大損失。而回顧近兩年針對(duì)的 ATM 網(wǎng)絡(luò)攻擊，可以發(fā)現(xiàn)，此類(lèi)攻擊往往具備以下特點(diǎn)：

• 通常通過(guò)網(wǎng)絡(luò)釣魚(yú)的方式進(jìn)行有針對(duì)性目標(biāo)攻擊;
• 使用特定的合法持卡人賬戶(hù)，這些帳戶(hù)往往具有較少的交易歷史記錄;
• 黑客通常是發(fā)起跨境ATM攻擊，交易被轉(zhuǎn)到目標(biāo)銀行;
• 目標(biāo)銀行應(yīng)用環(huán)境生成一個(gè)應(yīng)答信息，如果交易信息被拒絕，惡意軟件將在幾微秒內(nèi)發(fā)出批準(zhǔn)該消息的應(yīng)答。

亞信安全研究人員分析了多起ATM攻擊中使用的惡意軟件，發(fā)現(xiàn)攻擊者往往依賴(lài)多種工具發(fā)動(dòng)不同的攻擊行為，這些惡意軟件能夠?qū)⑵鋫窝b成是銀行發(fā)布的消息，以騙過(guò)驗(yàn)證系統(tǒng)。為了防止被銀行網(wǎng)絡(luò)安全防御系統(tǒng)發(fā)現(xiàn)，這些惡意軟件還具有自刪除功能，并可以在內(nèi)存中執(zhí)行，同時(shí)還會(huì)被注入到網(wǎng)絡(luò)層的交易中，使攻擊者能夠攔截來(lái)自處理器的流量，阻止交易流量前往主機(jī)進(jìn)行驗(yàn)證，以防止向客戶(hù)端發(fā)出報(bào)警。

大量垃圾郵件活動(dòng)被截獲

在9月份，亞信安全再次截獲大量垃圾郵件攻擊活動(dòng)，與以往一樣，這些垃圾郵件主要由攜帶惡意附件的郵件組成。不同的在于，本次攻擊活動(dòng)使用的郵件附件看起來(lái)是 JPG 文件，實(shí)際上則是植入了惡意代碼的可執(zhí)行文件，文件名則是隨機(jī)字母和數(shù)字的組合。為了吸引用戶(hù)點(diǎn)擊，郵件標(biāo)題和正文往往采取能夠吸引人注意的主題，例如，其會(huì)偽裝成為 Windows 11 發(fā)布通知、銀行的通知等，以誘導(dǎo)受害者點(diǎn)擊附件中的 JPG 文件。

【偽裝成JPG文件的惡意郵件附件】

蔡昇欽指出：“垃圾郵件攻擊利用的往往是一些敏感話(huà)題或者是近期流行性話(huà)題，以誘導(dǎo)受害者打開(kāi)郵件并下載附件。要防范垃圾郵件的攻擊，企業(yè)用戶(hù)需要加強(qiáng)對(duì)于人員安全意識(shí)與安全行為的培訓(xùn)。在產(chǎn)品層面，企業(yè)可以部署郵件網(wǎng)關(guān)，在源頭上阻斷可疑的垃圾郵件;另外，企業(yè)用戶(hù)還可以部署行為監(jiān)控和漏洞防護(hù)產(chǎn)品，阻止威脅到達(dá)客戶(hù)端。”

此外，在亞信安全第三季度安全報(bào)告中，亞信安全還披露了以下安全動(dòng)態(tài)：

• 在本季度新增病毒種類(lèi)中，木馬病毒以8,960,375個(gè)位居第一，和上一個(gè)季度相比數(shù)值有較大幅度增加;
• 挖礦病毒在本季度躍居病毒新增種類(lèi)的第二位，較上一季度增長(zhǎng)29%。從挖礦病毒分布行業(yè)看，黑客更傾向于政府、醫(yī)療、制造等網(wǎng)絡(luò)安全相對(duì)薄弱的企事業(yè)單位;
• 本季度亞信安全對(duì)APK文件的處理數(shù)量依舊呈上升趨勢(shì)，在感染安卓平臺(tái)的手機(jī)病毒家族中，Shedun家族數(shù)量最多，占到總數(shù)的74%，與上季度相比增長(zhǎng)14%;
• 通過(guò)WEB傳播的惡意程序中，.EXE類(lèi)型的可執(zhí)行文件占總數(shù)的50%，居首位。與上季度相比，有較大幅度增加。
• 在第三季度的所有釣魚(yú)網(wǎng)站中，“支付交易類(lèi)”和“金融證券類(lèi)”釣魚(yú)網(wǎng)站所占比例最多，占總數(shù)的99%以上。

報(bào)告下載鏈接：http://www.asiainfo-sec.com/about/report/9899.html