安全中心 > 安全热点分析 > 2018年 Q2季度安全报告

2018年 Q2季度安全报告

时间:2018年 07月 30日   作者:腾讯反病毒实验室

PC端安全情况:

Ø 截止到20186月底,PC端Q2季度总计已拦截病毒8.6亿次,平均每月拦截木马病毒近1.43亿次。本季度总计发现9,164万次用户机器中木马病毒,平均每月为3,054万中毒机器进行病毒查杀。

Ø 2018年Q2季度病毒样本从病毒种类上木马类占总体数量的58.85%,依然是第一大种类病毒,环比上涨Adware类为第二大病毒类,占总体数量的31.10%,环比下降。而后门类为第三大病毒类,占总体数量的7.36%,环比略微下降。相比Q1季度,病毒种类并没有太大变化

移动端安全情况:

Ø 2018Q2统计Android样本数据显示,总计已检测Android病毒样本量375个,平均每月检测Android病毒样本62个。

Ø 根据2018Q2季度获取到的Android病毒样本分析,从病毒种类上来看整体排名并没有变化,排名第一位的仍然是PUA类(灰色软件),占总体病毒量的54.72%,此类病毒量已经连续多季度上涨。SMS类为第二大病毒种类,占总体数量的18.61%,相比Q1度上涨了1.35%,已连续2季度上涨。Spy类为第三大病毒种类,占总体数量的5.01%,相比Q1季度下降了5.12%

Q2热点安全事件:

Ø 电脑管家助力警方破获电脑挖矿大案

Ø 弹幕网站AcFun被攻击,泄露数千万条用户数据

Ø 2018世界杯主题的垃圾邮件来袭

Ø 美国零售业遭最惨黑客攻击500万张银行卡信息被窃

Ø 发现超过 2000 万用户从 Chrome 商店安装了恶意扩展

Ø 研究者又发现8CPU新漏洞 英特尔、ARM等芯片受影响

 

前言

一、加速推动信息领域核心技术突破,向着网络强国阔步前行

2018421全国网络安全和信息化工作会议在北京召开,国家主席、中央网络安全和信息化委员会主任习近平出席会议并发表重要讲话。他强调,加强网上正面宣传,维护网络安全,推动信息领域核心技术突破,加强网信领域军民融合,自主创新推进网络强国建设,为实现中华民族伟大复兴的中国梦作出新的贡献。

当前,我国是网络大国却不是网络强国,而我国又在核心技术上受制于人,所以我国网络安全形势异常严峻。习近平强调,没有网络安全就没有国家安全,要树立正确的网络安全观,加强信息基础设施网络安全防护,加强网络安全信息统筹机制,加强网络安全事件应急指挥能力建设,积极发展网络安全产业。严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为,深入开展网络安全知识技能宣传普及,提高广大人民群众网络安全意识和防护技能。

二、培养网络安全人才,腾讯安全学院正式成立

“网络空间的竞争,归根结底是人才竞争,建设网络强国,需要优秀的人才队伍。”

随着信息化发展的推进,国家、社会、企业对于网络安全人才的需求也不断攀升,但目前国内网络安全人才基础薄弱,如何培养、挖掘网络安全人才是国家与企业等各界需要共同思考和解决的问题。

在培养人才方面,多年来,国家不断增设网络安全相关专业,推进高等教育网络信息安全人才培养体系,大力支持信息安全学科师资队伍、专业院系、学科体系、重点实验室建设。作为安全企业,我们也必须积极参与到人才培养进程中来。

5月27日,腾讯安全学院正式揭牌成立。腾讯安全学院将通过搭建内部人才培养体系、校企合作体系及生态赋能合作体系,建设安全人才发展与交流平台。腾讯高级副总裁、腾讯安全学院院长丁珂称,希望借助国家对网络安全人才的重视及腾讯的积累,能够打通内外部的力量一起把优秀的人才发掘出来。

我们希望通过腾讯安全学院,能够为行业、国家培养、挖掘出更多的网络安全人才。

 

三、挖矿木马病毒持续增长,腾讯电脑管家协助警方破案

2017Q4季度,腾讯反病毒实验室经过对木马病毒数据的分析就已经预测挖矿木马病毒将会成为2018年新的趋势,而如今,预测变成现实。随着网络数字货币的价格上涨,越来越多的黑客将目光投向可以快速变现的网络挖矿,黑客将挖矿功能植入到游戏外挂、盗版软件等程序中,通过论坛、下载站等渠道进行传播。

根据收集到的数据显示,仅2018Q2季度各式各样的挖矿类木马病毒多达数千个变种,而挖取的不同数字货币多达数十种。

2018年411日腾讯电脑管家协助警方成功破获389万台肉鸡电脑挖矿大案,涉案案值高达1500余万元。实际在2017年底时,腾讯电脑管家就已发现名为“tlMiner”的挖矿木马,此挖矿木马瞄准“吃鸡”玩家及网吧高配电脑,搭建挖矿集群。

该挖矿木马是由公司运营,而该公司为大连当地高新技术企业,这说明,当前的网络黑客早已不是单打独斗的个体,规模化、公司化、甚至披上合法公司的外衣进行非法的网络黑客行为是当前网络黑客的一种新形态。

该案为国内首例利用挖矿木马组建僵尸网络,非法控制计算机挖矿的案件,但相信这只是冰山一角,在利益的驱使下,黑客不会轻易放弃,此案也绝不会成为最后一案,腾讯电脑管家会持续挖掘更多深层的木马病毒,保护用户的网络安全。

四、木马病毒借热点传播,用户需要小心防范

在整个Q2季度中,我们通过对木马病毒数据的分析发现,每当热点事件出现,便是某些木马病毒集中爆发期,而借助热点事件传播的木马病毒多为广告、诈骗、盗取用户信息类病毒。

2018年高考前后就出现多种借助高考热点进行传播的木马病毒,高考前夕,木马病毒以“高考复习大全”、“高考数学一点通”等名称伪装成正常APP进行传播,而高考之后,木马病毒又伪装成“高考成绩查询”、“高考志愿填报”等APP进行传播。由于下载此类木马病毒的用户多为家长或学生,黑客可以精准的获取到参加高考的用户信息,而这些信息将会被转卖给诈骗团伙,诈骗团伙会以“高考补助金”、“有内部关系可帮忙升学”等理由进行诈骗。

不仅高考热点被木马病毒搭上顺风车,四年一度的足球盛事世界杯同样被木马病毒盯上,不法份子以“世界杯直播”等名义传播和诱导用户安装被植入木马病毒的APP,而安装后会被推送广告、甚至恶意扣费。

无论木马病毒借助哪类热点进行传播,用户只要在正规渠道安装应用,安装杀毒软件,对陌生信息保持警惕,保持良好的上网习惯即可阻挡大部分的木马病毒。

五、关于腾讯反病毒实验室

 

腾讯反病毒实验室作为耕耘在网络安全反病毒第一战线上的一员,有责任主动担负保障国家、民众互联网安全的社会责任。

腾讯反病毒实验室成立于2010年,始终致力于互联网安全防护、计算机与移动端恶意软件检测查杀、网络威胁情报预警等工作。通过“自研引擎能力、安全事件运营、哈勃分析平台”的“三剑合璧”,对”安全查杀能力、漏洞监测能力及病毒样本分析提供了全面、系统、一体化的产品运营式的标准化防护,为腾讯安全实力进一步提供了强大技术支撑,也为网民构建了安全的上网环境。

实验室拥有专业的反病毒团队,在自主反病毒引擎TAV研发上深耕多年,拥有多项自主知识产权病毒检测专利。在AV-CAV-TEST等国际安全评测中反超国际老牌杀毒软件,多次取得大满贯的成绩表明中国自主研发的杀毒引擎已经达到了世界先进水平。

一、PC安全方面

腾讯电脑管家英文版连续通过VB100, ICSA认证测试,不仅2017年以来在赛可达测试连续获得第一的成绩,更是在AV-C 2017年国际评测中作为国内唯一参测产品,5项测试A+评级,比肩卡巴斯基,比特梵德,小红伞国际知名厂商。

 

二、移动安全方面

在移动威胁检测能力方面,腾讯手机管家则在2016年以来AV-Test国际评测中,连续14次满分13分通过,国内独树一帜

 

三、动态检测方面

反病毒实验室哈勃动态分析系统为网民提供了未知文件动态检测能力,实时帮助网民检测、分析可疑文件。

 

威胁情报方面

反病毒实验建立了威胁情报监控平台,可实时监控、探测、挖掘互联网安全威胁情报,及时向社会公众报告网络安全风险,可在腾讯电脑管家官方网站“安全舆情”中获取最新信息,也可以关注腾讯反病毒实验室公众号获取最新信息资讯

 .

第一章 PC端恶意程序

一、恶意程序拦截量与中毒机器

(一恶意程序拦截量

根据腾讯反病毒实验室统计数据显示,截止到2018年6月底,PC端总计已拦截病毒8.6亿次平均每月拦截木马病毒近1.43亿次

Q2季度总计拦截病毒4.1亿次平均每月拦截木马病毒近1.36亿次。相比Q1季度整体病毒拦截量略有下降,说明用户前端病毒活跃量呈现下降趋势,而Q2季度整体每月拦截量相对比较平稳,仅在5月份出现小幅下降。具体数值如:图 1

  

本季度病毒拦截量相比Q1季度病毒拦截量环比下降8.8%,根据最近4个季度数据波动情况分析,可以看出前端用户病毒数量呈现波浪式下降。具体数值如:图 2

 

2018年Q2季度相较于2017Q2季度病毒拦截量同比下降22%,同比恶意程序数量大幅下降。具体数值如:图 3

 

(二)中毒机器量

截止到2018年6月底,PC端Q2季度发现9,164万次用户机器中木马病毒,平均每月为3,054万中毒机器进行病毒查杀本季度5月份中毒机器次数最低,约为2,909万次,随后6月缓慢回升,但仍未超过1月的峰值。具体数值如图 4

 

2018年Q2季度中毒机器次数相比Q1季度中毒机器次数继续下降,降幅达到1.8%。这已是从2017Q3季度以来连续3个季度中毒机器次数下降。具体数值如图 5

 

2018Q2季度相较于2017Q2季度中毒机器数量同比下降24.62%。从2015至2018Q2数据来看,2017Q2季度为近几年中毒机器次数的峰值,拉高了近几年中毒机器次数的平均水平,而2018Q2季度首次呈现下降趋势,降至平均线水平以下。具体数值如:图 6

 

二、恶意程序详细分类

(一)恶意程序种类及量级上的分类

2018Q2季度根据获取到的病毒样本分析,从病毒种类上,木马类占总体数量的58.85%,始终是第一大种类病毒相较Q1季度的52.10%环比上涨了6.75%Adware类(广告软件、强制安装、收集用户隐私、弹垃圾信息等)为第二大病毒类,占总体数量的31.10%,相比Q1季度的39.76%Adware类病毒种类上出现下降,降幅达到8.66%。后门类为第三大病毒类,占总体数量的7.36%,相比Q1季度的6.40%下降了0.96%,降幅并不明显

通过以上数据可以看出,相比Q1季度,病毒种类及排名均无变化,仅在数量占比上有所差别,属正常波动范围。具体数值如图 7

 

病毒样本的数量上来划分,可以看到图 8中排在第一位仍然是木马类,占了恶意程序总量的37.32%,但相比Q1季度的56.87%下降了19.55%,首次出现大幅度下降,降幅为近几个季度的峰值。而排在第的是Adware病毒,占总体数量的34.79%,相比Q1季度的18.64%Adware病毒拦截量明显上升,涨幅达16.15%,此类病毒已持续上涨2个季度,增长趋势明显。PE感染型病毒类也出现小幅上涨,占比从Q1季度的14.15%增长至17.69%,涨幅为3.54%具体数值如图 8

 

从种类上感染型病毒的种类并不多,只占了恶意程序种类中的0.48%,排在最后一位,但在病毒拦截量上感染型病毒排在第三位,这与感染型病毒传播特点有关,也说明感染型病毒依旧十分活跃。在下面的第三节中,可以看感染型病毒的详细分类。

(二)木马类的详细分类

在第一大病毒类木马类中,可以详细划分为多种类型的木马病毒。有下载其他有害软件的程序,勒索软件,释放有害软件的程序,盗取个人信息,银行盗号诈骗,社交软件工具盗号,虚假反病毒软件,DDoS攻击软件,游戏盗号软件,以及流量点击等有害程序。

其中排名第一位的是下载类木马,占全部种类的34.23%,相比Q1季度有所上涨,上涨幅度为0.41%,至Q1季度此类已连续3个季度持续下降,而本季度出现较小幅度回升,此类病毒呈回升趋势。

排在第二位的是盗号类病毒,占全部种类的12.84%,相比Q1季度有的10.31%,上涨了3.49%,这表明Q2季度盗号类木马病毒新增类别增长迅速,攻击者正在开发新的病毒变种攻击用户网络银行相关信息。而在Q1季度快速增长的银行盗号类病毒得到有效控制,排名从第二位下降至第六,降回至2017年的平均水平。

勒索类病毒种类在2017Q4季度至2018Q1季度下降了6.80%,呈现了下降趋势,而本季度数据显示,勒索类病毒种类趋于平稳,相较于Q1季度没有出现较大幅度的变化,具体数值如图 9

 

木马病毒种类多说明病毒可能来自很多个不同的作恶团伙,但从木马拦截量上可以看出哪一些木马病毒最为活跃。木马病毒样本的数量上来划分,可以看到图 10中排在第一位是Dropper类木马病毒(释放有害文件木马),全部拦截量的46.10%,相比Q1季度的23.17%,上涨了22.93%,重新回升至平均水平。

排在第二位的是勒索类病毒,占全部拦截量的29.19%。勒索类病毒拦截量相比Q1季度的34.85%下降了5.66%,从2017Q2季度出现全球性勒索病毒事情后,勒索病毒从2017Q42018Q1季度出现了大幅度增长,而本季度相比Q1季度开始呈现下降趋势,勒索病毒热度逐渐开始收敛。从木马种类分布与木马拦截量分布两张数据图的对比可以看到,Dropper类虽然在病毒种类上没有下载类种类多,但在数量级上远远超过了下载类,这说明此类木马传播的最广泛,数量最多,受害的用户也最多。具体数值如图 10

 

 

(三PE感染型病毒分类

从监测到的数据上来看感染型病毒类别变化不大。感染型病毒种类上并不太多,但在用户侧仍然十分活跃,对比2018年Q1季度与Q2季度数据,排名前几位的感染型病毒无论占比还是排名均发生了变化

在感染型病毒中,本季度排在第一位的是Lamer病毒,占全部感染型病毒的26.26%,相比Q1季度上涨了22.29%,从Q1季度的第七位变为第一位,这么大幅度的增长还属首次,这说明Lamer类病毒在用户前端变得十分活跃。排在第二位的是Virut病毒,占全部感染型病毒的24.66%,受Lamer病毒数据变化影响,Virut相比Q1季度下降了14.25%。排名第三位的是Nimnul,占全部感染型病毒的13.67%,相比Q1季度下降了1.4%,勒索类型的感染型病毒PolyRansom并没有发生较大变化。具体数据如图 11

 

由于感染型病毒不同于普通的木马病毒,感染型病毒会通过修改宿主程序代码的方式将恶意代码寄生在宿主进程中运行,而每个文件被感染后的哈希(Hash,文件内数据的”信息摘要“)值都会变化,因此,被感染型病毒感染后的文件是无法进行”云查杀“的。

因此,杀毒引擎能否修复被感染的文件,体现了反病毒引擎对感染型病毒修复的能力。目前腾讯反病毒实验室的自研TAV反病毒引擎可以查杀并修复国际、国内流行的各类感染型病毒。

PE病毒分类

根据收集的非PE病毒样本统计从非PE病毒文件类型上来看,本季度排在第一位的是JS类病毒,占全部病毒的50.51%,说明此文件类型的病毒种类较多。排在第二位的是OLE类病毒,占全部病毒的26.46%,此文件类型为复合型文件,多为office宏、RTF等文件。排在第三位的是VBS类病毒,占全部病毒的16.45%具体数据如图 12

 

从非PE病毒拦截量上来分析,本季度中VBS类型病毒拦截量排名依旧第一位,占全部非PE病毒样本的55.26%VBS类病毒从类型上并非排在第一位,但在拦截量级上排上了第一位,这是因为此类VBS病毒中有种会感染HTML网页并插入VBS脚本代码的子类病毒,而VBS代码中包含了一个完成的可执行文件病毒,一旦HTML网页被执行后,便会执行这段恶意的VBS代码,释放出一个恶意的可执行文件并加载运行,由于其感染的特性,导致此类病毒在拦截量上排名第一。

排名在第二位的是JS脚本类病毒,占全部非PE病毒样本的21.21%。排名在第三位的是HTML类病毒,占全部非PE病毒样本的14.94%具体数据如图 13

 

三、中毒用户地域分布

根据中毒PC数量统计,从城市分布来看城市排名变化不是特别大依旧是互联网较为发达的城市用户中毒情况较排名TOP10的城市有些许变化,依次是:深圳市、广州市、武汉市、重庆市、北京市、成都市、上海市、济南市、东莞市、杭州市,其中,东莞市取代长沙市上榜TOP10

全国拦截病毒排名第一城市依然为深圳市,占全部拦截量的4.59%,相比Q1季度上涨了1.09%。第二名为广州市,排名相比Q1季度上升一位,拦截量占全部拦截量的4.01%,相比Q1季度上涨了0.82%名为武汉市排名相比Q1季度下降一位,拦截量占全部拦截量的3.65%,相比Q1季度上涨了0.49%具体数据如图 14

 

从省级地域分布数据来看,相比Q1季度在排名上有些许变化,前五名省份排名都没有变化,而第六名的四川省与第七名湖北省相对于Q1季度调换了排名。中毒PC数量最多的还是广东省排在全国第一省,占全部拦截量的13.86%,Q1季度相比上升0.64%河南省、山东省、江苏省病毒拦截量小幅度下降,浙江省小幅上涨。具体数据如图 15

 

四、PC端敲诈勒索病毒详情

敲诈勒索病毒是以敲诈勒索钱财为目的使得感染该木马的计算机用户系统中的指定数据文件被恶意加密,造成用户数据丢失。目前,由国外传进国内的敲诈勒索病毒大多需要支付比特币赎金才能进行解密,由于比特币完全匿名流通,目前技术手段无法追踪敲诈勒索病毒背后的幕后操纵者,这也使得敲诈勒索病毒从2013年后呈现爆发式增长。

)敲诈勒索病毒拦截量

根据相关数据分析显示,通过图 16可以看到,本季度敲诈类病毒拦截量最大的依然是Blocker,此类敲诈病毒占了所有敲诈类病毒的78.62%相比Q1季度上涨了5.77%,依然在小幅度持续上涨。而利用感染传播方式的PolyRansom敲诈勒索病毒呈现下降趋势,相比Q1季度的15.19%,本季度下降至1.12%,下降幅度达到14.07%具体数据如图 16

 

五、漏洞相关病毒详情

(一)漏洞病毒分类详情

漏洞病毒样本主要分布在WindowsLinuxAndroid平台上,这3种平台上的漏洞病毒样本占了全部漏洞病毒样本的98.86%。通过对获取到的漏洞类型样本统计,可以看到Windows平台占比最多,其中非PE类型的漏洞样本达到76.93%,相比Q1季度上涨5.50%PE类型漏洞样本达到18.40%,相比Q1季度下降6.30%Windows平台漏洞样本总量可达到所有平台全部漏洞样本总量的95.33%,相比Q1季度小幅下降0.80%Linux平台漏洞占比为2.41%Android平台漏洞占比为2.12%具体数值如图 17

 

(二)Linux平台漏洞病毒详情

Linux平台上,排名第一的漏洞攻击样本名为Exploit.Linux.Lotoor,占全部样本中的72.18%,相比Q1季度上涨21.52%,这类样本实际上是利用Linux漏洞进行权限提升,以便黑客得到更高的系统权限,执行其他恶意操作。具体数值如图 18

 

Android平台漏洞病毒详情

Android平台上,排名第一的漏洞攻击样本名为Exploit.AndroidOS.Lotoor,占全部样本中的86.70%,相比Q1季度上涨3.71%,此类名字与Linux平台上的名字相同,功能同样也是为了提升病毒的系统权限。由于Android是基于Linux内核开发并完善的,因此在内核层面他们是共通的。具体数值如图 19

 

Windows平台漏洞病毒详情

在收集到的Windows平台漏洞样本中,非PE类型漏洞病毒量级最大,占到了所有漏洞样本的76.93%。而在非PE类型漏洞病毒样本中,可以分为多种类型的文件,其中,排名第一位的是OLE类,此类通常为复合文档,以office文档居多,占全部非PE漏洞病毒的61.34%,相比Q1季度上涨11.15%。排名第二位的是JS类,占全部非PE漏洞病毒的28.64%,相比Q1季度下降9.21%。排名第三位的是SWF类,通常是指AdobeFlash漏洞,占全部非PE漏洞病毒的5.41%,相比Q1季度几乎没有太大变化。具体数值如图 20

 

Windows平台上的PE类型漏洞样本达到18.40%,在这部分漏洞样本中以排名第一位的名为MS04-028,占全部漏洞样本的17.30%,相比Q1季度上涨9.14%,此漏洞是较老的漏洞,但根据收集到的样本分析,依旧十分活跃。具体数值如图 21

 

六、挖矿木马病毒详情

早在2017年Q4季度安全报告前言中腾讯反病毒实验室就已经基于数据预测在2018年时,挖矿类木马病毒很有可能成为新的趋势,随着网络数字货币的价格上涨,越来越多的黑客更愿意选择以挖矿的方式进行获利。基于腾讯反病毒实验室的安全大数据,我们对挖矿木马病毒进行了详细分析与整理。

(一)挖矿木马病毒分类

对收集到挖矿木马病毒进行分析发现,挖矿木马病毒会以多种文件格式进行传播,其中排名第一位的是Win32类型挖矿病毒,占全部类型的82.24%。排在第二位与第三位的均是以网页程序进行挖矿的脚本类病毒,分别为JS类,占全部类型的7.53%,HTML类,占全部类型的7.00%,此类病毒多发于色情、赌博等网站。具体数值如图 22

 

当前网络上有非常多不同种类的加密数据货币,如:比特币、以太币、门罗币等。从挖矿木马病毒的量级上统计分析,78.08%的挖矿木马病毒样本是用于挖取比特币,而其挖取他类型加密数据货币的病毒样本占21.92%具体数值如图 23

 

对挖矿过程中使用的进程名称进行了统计。在统计出的进程名中,有些进程其实对应着系统文件,这是由于挖矿木马以进程注入的方式使用系统文件做为进程傀儡进行挖矿,如下面排名第一位的进程名conhost在很多情况下对应着系统的记事本程序(notepad.exe)。对于其他的诸如EthDcrMiner64、minerd 、xig、ETHSC、xmrig等的进程名都为标准的挖矿木马。挖矿木马对应的进程名排名如图 24

 

腾讯反病毒实验室使用哈勃分析系统对这些木马的工作进程进行了分析,对挖矿木马所连接的矿池地址进行了统计,其中pool.minexmr.com成为国内挖矿用户最喜爱使用的矿池地址。其中部分在国内流行的挖矿木马使用了自建矿池的方式进行挖矿,这主要是出于使用第三方矿池,第三方矿池会收取一定的手续费,而使用自建矿池的方式可以减少这些不必要的费用支出。其他的较活跃的矿池地址如图 25

 

对挖矿木马病毒的矿池地址对应的端口号进行了统计分析,个人用户、企业等可以通过这些端口辅助判断是否有挖矿行为。根据统计,3333端口为挖矿木马最爱使用的端口,约占所有挖矿矿池连接端口的12%,此外,7777端口与5555端口分别为第二名和第三名,分别占6%和5%。此外,从端口区间上看,3000-3999之间的端口是挖矿木马最爱使用的端口范围,该区间的端口占挖矿端口的38.7%(注:这里的38.7%包括3333端口所占的12%)。具体的端口排名分布图如图 26

 

第二章 Android端恶意程序

一、恶意程序检测量

2018Q2统计Android样本数据显示,总计已检测Android病毒样本量375个,平均每月检测Android病毒样本62个。通过数据可以看到Android病毒样本Q2季度相比Q1季度有所下降,下降幅度达21%具体数值如:图 27

 

二、恶意程序详细分类

(一)恶意程序种类及量级上的分类

根据2018Q2季度获取到Android病毒样本分析,从病毒种类上来看整体排名并没有变化排名第一位的仍然是PUA(灰色软件)占总体病毒量的54.72%,相比Q1季度上涨了4.86%,此类病毒量已经连续多季度上涨SMS类为第二大病毒种类,占总体数量的18.61%,相比Q1度上涨了1.35%,已连续2季度上涨Spy类为第三大病毒类,占总体数量的5.01%,相比Q1季度下降了5.12%。具体数值如图 28

 

Android病毒样本的数量上来划分,可以看到排在第一位仍然是PUA,占全部Android病毒数量58.61%,相比Q1季度上涨了5.63%Android端流氓PUA病毒已持续季度上涨。排在第位的Dropper全部Android病毒数量20.28%,相比Q1季度下降了6.54%,此Dropper类病毒主要行为是伪装成其他正常软件,释放出其他流氓软件在后台静默安装,会导致用户Android机上被安装多种推广软件。排在第三位的是SMS类病毒,占全部Android病毒数量的6.17%,相比Q1季度上涨1.27%。具体数据如图 29

 

章 安全舆情信息

本季度安全舆情量情况

2018年Q2季度网络热议话题分别是漏洞、流行有害样本、攻击事件、勒索敲诈、钓鱼事件以及IoT安全。其中漏洞类安全事件占比最多高达26.33%,占幅超1/4,其次是流行的有害软件事件,占比有23.15%。其他具体典型类型中,敲诈勒索、钓鱼事件、IoT安全最为突出,占比分别是13.16%,8.88%和3.89%。

 

相较于2018年Q1季度,占比最大的漏洞安全、流行有害软件、敲诈勒索、攻击类事件热度有不同幅度上升,分别上升了1.85%,1.73%,0.2%,0.81%。

 

附录1  2018Q2季度网络安全事件盘点

一、漏洞安全事件

(一)ZenMate VPN 浏览器插件存在漏洞导致用户真实地址泄漏,影响350万用户

ZenMate是一家拥有超过4300万用户的VPN提供商,它提供多种浏览器扩展来使用他们的VPN。截止5月份,浏览器扩展总共有大约350万用户。用于Chrome和Firefox的ZenMate VPN客户端信任过期的域名zenmate.li,所以它可以通过消息传递对浏览器扩展进行特权API调用。在没有任何用户交互的情况下,利用这个漏洞可以获取用户的所有账户信息,如账户ID,电子邮件地址,身份验证UUID和可用于登录受害者账户的令牌,电子邮件列表,账户类型,订阅信息,用户所在国家,平台登录时间,以及是否链接VPN等信息。

(二)研究者又发现8个CPU新漏洞 英特尔、ARM等芯片受影响

今年五月,德国计算机杂志《c't》报道称,研究人员在计算机CPU内找到8个新漏洞,这些漏洞与Metldown、Spectre有点相似。杂志还说,英特尔准备发布补丁,修复漏洞,ARM的一些芯片也受到影响,至于AMD芯片是否也存在同样的问题,研究人员正在调查。《c't》没有披露信息的来源,因为研究人员会优先通知相应公司,在公司找到修复补丁之后再公开自己的发现。

二、流行木马

(一)发现超过2000万用户从Chrome商店安装了恶意扩展

今年四月,发现谷歌Chrome商店中已有至少2000万用户安装了五款恶意广告拦截器AdRemover、uBlock Plus、Adblock Pro、HD for YouTube和Webutation。这些恶意浏览器扩展经常可以访问用户在网上的所有行为,甚至会窃取用户访问网站的信息,包括密码、网页浏览记录和信用卡信息。举例AdRemover扩展,它修改了JavaScript的jQuery库,将用户访问网站的信息发送回远程服务器,并且为了避免检测,远程服务器发送的这些命令隐藏在一个无害的图像中。建议广大用户安装扩展程序要谨慎,注意扩展程序的出厂商。

(二)Mirai 变种将目标锁定金融部门

今年四月发现,Mirai僵尸网络的一个变种被用来发起一系列针对金融部门企业的分布式拒绝服务活动。这些攻击利用了至少13000件被劫持的物联网设备,产生的流量高达30Gbps,并且该僵尸网络和恶意软件的变体还增加了可链接到IoTroop僵尸网络的特征。近期的攻击,采用了DNS放大技术,流量峰值达到30Gbps。安全专家表示自2017年10月以来已经发展到利用其它物联网设备中的漏洞,并且可能会持续这样做,以传播僵尸网络并促成更大的DDoS攻击。

(三)Vega Stealer 恶意软件瞄准浏览器,窃取Chrome、Firefox浏览器保存的用户凭证以及信用卡信息

今年五月发现,一个名为Vega Stealer的恶意软件,通过Chrome和Firefox浏览器保存凭证和信用卡信息August Stealer的变种。它具有父恶意软件功能的子集以及其他功能。除了窃取浏览器数据之外,Vega也可以从受感染的机器中泄漏Word,Excel,PDF和文本文件。此外,Vega中的Chrome浏览器窃取功能是August Stealer代码的一部分; August也从其他浏览器和应用程序中窃取信息,如Skype和Opera。Vega的新功能包括新的网络通信协议和Firefox浏览器窃取功能。

(四)Netflix 新型钓鱼开始使用具有有效TLS证书的站点

新的Netflix网络钓鱼诈骗将受害者带到具有有效传输层安全性(TLS)证书的站点,近期使用TLS认证网站的Netflix网络钓鱼邮件有所增加  。攻击利用未修补的安装或插件或弱密码来破坏常见的可疑CMS软件,如WordPress或Drupal。从那里,他们可以创建可能被误认为真正的Netflix域的网络钓鱼站点。在某些情况下,他们使用通配符DNS记录。年来,使用TLS进行网络钓鱼攻击的方法急剧增加; 2017年与2016年相比,SSL / TLS提供的网络钓鱼尝试增加了400%。

三、攻击事件

(一)美国零售业遭最惨黑客攻击 500万张银行卡信息被窃

四月一波黑客窃取了500万张美国商店顾客的信用卡和借记卡信息,并将12.5万条信息挂出售卖。影响到包括美国生鲜超市Whole Foods、快餐连锁店Chipotle、度假村Omni Hotels & Resorts,以及特朗普创办的连锁酒店在内的公司。

(二)Vigilante黑客利用Cisco CVE-2018-0171漏洞攻击俄罗斯和伊朗网络

四月黑客团队“JHT发起了一项针对俄罗斯和伊朗的网络基础设施的黑客攻击活动,黑客利用思科CVE-2018-0170智能安装(Smart Install,SMI),将路由器重置为启动配置并重新启动设备,然后他们向受害者发出警告信息,并导致大规模网络中断。智能安装(Smart Install,SMI)协议消息被用于只能安装客户端(也称为集成分支客户端IBC),允许未经身份验证的远程攻击者更改启动配置文件并强制重新加载设备,在设备上加载新的IOS映像,并在运行Cisco IOS和IOS XE软件的交换机上执行高权限CLI命令。此次攻击袭击了伊朗的数千台设备,伊朗通信和信息技术部表示,全球超过20万台路由器受到影响,其中3500台位于伊朗。

(三)包含恶意代码的minecrafe皮肤已经感染了5w多的用户

“Minecraft ”是一款非常受欢迎的拥有超过7400万玩家的世界建筑游戏,今年四月发生从官方的 Minecraft网站下载他们头像皮肤的用户无意中中毒。已知有近50,000个Minecraft帐户感染了恶意软件,该恶意软件会重新格式化个人硬盘并删除备份数据和系统程序

(四)412挂马风暴

4月12日腾讯御见威胁情报中心监控到大量客户端的内嵌新闻页中被嵌入恶意代码。用户会在毫无知情的情况,被植入挖矿木马、银行木马、以及远控木马等。本波挂马,波及到的客户端多达50多个,影响范围非常之广。该波挂马已经波及20w+用户。建议广大用户升级浏览器到IE11,然后安装IE补丁:KB3154070;若为网络管理员,请把下列ip加入防火墙拦截列表:139.224.225.117107.150.50.34222.186.3.73

(五)APT组织“寄生兽”再出没

四月腾讯御见威胁情报中心再次发现“寄生兽”最新危险行动,此次“寄生兽”组织开发的木马针对目标计算机移动存储介质(U盘、移动硬盘等)设计了特别的入侵方案:木马发现目标U盘存在Office文档时,会首先将这些文档转换为RTF格式,再捆绑利用高危漏洞触发的攻击木马。这种作法是“寄生兽”APT组织的首创,是针对内外网分离的隔离网络特别开发的攻击方式——当用户使用U盘等移动存储设备在内外网中交换数据时,文档将被植入木马,当内网其他用户打开被感染木马的Office文件,木马就会悄无声息地潜入内网中。针对此类攻击行为,企业用户可使用腾讯御界高级威胁检测系统(http://t.cn/RnvtLDV?u=6405524958&m=4229481289573968&cu=1736794023)进行全面防御。

(六)VPNFilter僵尸网络以网络设备为目标,已感染了54个国家 50 万台网络设备

截止今年五月,至少54个国家/地区受感染设备的数量不下500,000。受VPNFilter影响的已知设备有小型和家庭办公室(SOHO)空间中的Linksys,MikroTik,NETGEAR和TP-Link网络设备以及QNAP网络附加存储(NAS)设备。VPNFilter恶意软件的组件可以窃取网站证书并监控Modbus SCADA协议。最后,恶意软件具有破坏性的能力,可以使受感染的设备不可用,这可以在个别受害者机器上触发或集体触发

(七)一周内恶意 PHP脚本感染了2400个网站

今年五月发现Brain Food的僵尸网络,通过在合法网站上托管的网页推销虚假减肥药和智商增强药。到目前为止,由于有效的超文本预处理器(PHP)脚本(也称为Brain Food),垃圾邮件发送者已经取得了成功,该脚本已经巧妙地避开了网站检测。在一周的时间内,有2400网站被感染推销可疑药片 Brain Food代码是多态的,并且使用多层base64编码进行混淆。另外该僵尸网络有个特点,当一个网站被感染后,抓取PHP代码时,脚本会重定向到正确的页面。

(八)LuckyMouse 组织针对中亚国家数据中心发起持续性水坑攻击

在2018年3月,发现了一项针对中亚国家数据中心的持续活动,该数据中心自2017年秋季以来一直活跃。目标的选择重要 - 这意味着攻击者获得了广泛的政府资源,得知政府的一举一动。这种访问被滥用,例如,在该国的官方网站上插入恶意脚本以进行水坑攻击。运营商使用HyperBro木马作为他们的内存远程管理工具(RAT)。反检测和解压缩器广泛使用Metasploit的shikata_ga_nai编码器以及使用LZNT1进行压缩。

(九)InvisiMole多用途间谍软件对俄罗斯及乌克兰目标发起高针对性攻击

六月发现InvisiMole多功能间谍软件对俄罗斯和乌克兰的Windows PC发起高度针对性的攻击,恶意代码采用32位和64位版本,具有模块化架构,有两个功能丰富的后门,有重叠功能。他们共同承担了近100项间谍活动。有些功能被研究员极度重视,例如,InvisiMole允许攻击者访问受感染的PC摄像机,这样他们就可以看到和听到受害者所在位置的情况。通过这种方式,攻击者可以监视目标的活动并窃取信息到目前为止,恶意软件已在十几台机器上出现过

(十)中国进出口企业遭遇“商贸信”攻击,企业机密被窃取

腾讯御见威胁情报中心监测六月份发现,近期针对中国进出口企业的网络攻击再次出现。黑客攻击的目标是中国电子科技、外贸、远洋运输企业,攻击者发送精心准备的与企业业务相关的诱饵邮件,附件是利用Office漏洞(漏洞编号:CVE-2017-11882)特别定制的攻击文档,存在漏洞的电脑上打开附件会立刻中毒。漏洞触发后利用bitsadmin下载Loki Bot木马并执行,然后窃取受害人员各类账号密码等机密信息。

(十一)美国票务网站 Ticketfly遭受黑客攻击勒索

今年六月美国票务网站 Ticketfly 遭受黑客攻击勒索,影响到几个公开的销售音乐会门票估计有2600万人受到了违规行为的影响,其中包括电子邮件地址以及姓名,实际地址和电话号码。黑客知Ticketfly一个漏洞导致数据泄露,然后要求一个比特币(约7,500美元)换取信息。

四、垃圾邮件

(一)2018世界杯主题的垃圾邮件来袭

世界杯赛事门票发售时是黑客发送垃圾邮件的高发时期,一种方式为通知收件人在由官方合作伙伴和赞助商(Visa,可口可乐,微软等)以及FIFA本身举办的彩票中获得现金奖金,这些邮件通常包含附件,有的会要求收件人支付一部分邮费或银行转账费用,主要目的是收集用户数据(包括财务信息等)并提取小额汇款,附件则有可能是损害收件人利益的恶意软件。

另一种为是为收件人提供参与门票、赠品或赢得比赛之旅。受害者需要在黑客所提供的假的页面上注册并提供电子邮件地址,向“组织者”发送其联系方式。这种方案的目的主要是更新电子邮件数据库,以分发更多的垃圾邮件。

(二)声称WannaCry重新来袭的WannaSpam垃圾邮件

今年六月,一个自称为“WannaCry-Hack-Team”的组织向用户发送垃圾邮件,声称收件人的计算机已被WannaCry感染,并将他们的比特币地址贴在邮件正文中,需要收件人在指定时间内发送比特币给他们,否则其计算机上的文件将被全部删除这实际上只是一个垃圾邮件,收件人的计算机也未被WannaCry感染,只需将邮件删除即可。

五、数据泄露事件

(一)加拿大两家最大的银行称近9万名客户的数据遭泄露

五月底,蒙特利尔银行和加拿大帝国商业银行近9万名客户的数据遭受网络犯罪分子窃取,两家银行都了解黑客窃取的数据,意味着他们的检测和预防措施完全失效。黑客试图勒索银行,可能是因为被窃取的数据不如黑客所想的那么有价值。目前尚未有消息说是否有客户因为此次的信息泄露事件而遭受损失。

(二)开普敦一个在线交通平台中近百万用户个人信息发生泄露

今年五月,南非开普敦一个在线交通平台的个人数据库发生泄露,所泄露的数据包含近百万名用户的姓名、身份证号、电子邮件地址,以及南非公民报告的明文形式存储的密码。造成数据泄露的主要原因可能是该在线平台对数据安全性的疏忽,其敏感数据的备份似乎保存在可公开访问的目录中。

(三)欧洲北美铁路公司网站被入侵,大量用户敏感信息遭泄露

今年五月欧洲北美铁路公司(RENA)告知客户他们已经发现证据表明黑客未经授权而访问其用于预订机票的电子商务网站,并可能窃取了大量敏感数据——客户的姓名、性别、地址、电话号码、电子邮件地址、信用卡/借记卡卡号、支付卡到期日期等,并且已经表明黑客侵入RENA系统已有近3个月的时间。这一事件可能是由于RENA内部员工密码泄露导致黑客可进入系统,或者是其电子网站有未修复的漏洞导致黑客可远程利用并入侵其网络。

(四)DNA测试服务MyHeritage公司9200万用户的用户数据遭泄露

六月上旬,在第三方私人服务器上发现了包含MyHeritage公司9200余万名用户的电子邮件地址和散列密码,但未包含用户的其他数据,例如用户的财务信息、DNA、家谱细节等信息。MyHeritage表示,每个用户密码的哈希密钥都不相同,因此网络犯罪分子难以完全解码9200余万个密码。并表示将为用户账户实施双要素身份验证功能,以提高用户数据的安全性。

(五)Ticketmaster因聊天功能导致用户信息泄露

今年六月,全球最大的票务网站Ticketmaster,因其使用的第三方聊天软件——Inbenta所提供的小部件里被注入恶意代码导致用户数据泄露,包括用户姓名地址电子邮件地址电话号码付款详细信息和Ticketmaster登录详细信息等数据。Ticketmaster称并非所有网站访问者都受到影响,只有在2017年9月至2018年6月23日期间购买或试图购买票据的国际用户受到影响,大约为其整个客户的5%左右,并且已及时在其所有页面上禁用了Inbenta小部件

(六)弹幕网站AcFun被攻击,泄露千万条用户数据

六月中旬,弹幕网站AcFun发布公告称网站遭遇黑客攻击,近千万条用户数据外泄包括用户ID、昵称以及加密存储的密码。攻击者在GitHub发布了300条用户信息及手机号,但不久之后已删除。AcFun表示2017年7月7日之后登录过AcFun的用户密码自动升级为更强的加密策略,密码是安全的,并且提示在2017年7月7日之后从未登陆过的用户以及密码强度低的用户及时更改密码。

六、挖矿木马病毒

(一)新型Monero挖矿木马在Mac端兴起

今天五月以来,大量Mac用户感染了一种新型Monero挖矿木马,一个名为“mshelper”的进程会消耗大量的CPU电力并耗尽他们的电池。该挖矿软件由伪装的Adobe Flash Player安装程序安装,通过用户从非官方网站下载或特意诱骗受害者打开他们的诱饵文档。该木马在目标系统上开始执行时,就会启动两个svchost.exe进程,一个执行矿任务另一个在后台运行,用于感知防病毒保护并避免检测

(二)在Ubuntu Snap Store上找到包含Bytecoin加密货币矿工的恶意软件包

在官方Ubuntu Snap Store 上托管的Ubuntu Snap Package的源代码中发现了一个恶意软件,分析表明它是一个加密货币挖矿木马。挖掘Bytecoin(BCN)加密货币,恶意软件中硬编码的帐户是“myfirstferrari@protonmail.com”。恶意应用程序是2048buntu,它是2024游戏的合法版本,包含在Ubuntu Snap中,同一开发人员上传的另一应用程序也包含该挖矿恶意代码。由于Ubuntu Snap Store没有提供安装计数,因此无法确定受影响的用户数量。

(三)400个Drupal站点感染恶意软件,秘密挖掘加密货币

5月上旬,近400个网站遭受了恶意攻击,主要是美国的政府机构、教育机构及一些科技公司的网站。这些网站均是使用了旧版本的Drupal内容管理系统,被恶意软件利用了其中的关键远程代码执行漏洞(CVE-2018-7600,植入了Coinhive挖矿服务。所有受感染的JavaScript代码都指向相同的域名(vuuwd.com和相同的Coinhive密钥,并且该挖矿服务限制了对受害者CPU的占有率,以减低被发现的可能性。

(四)电脑管家助力警方破获电脑挖矿大案

2017年底时,腾讯电脑管家曾发现一款名为“tlMiner”的挖矿木马的传播量达到峰值,12月20日当天有近20万台机器受到该挖矿木马影响,并发现“tlMiner”挖矿木马瞄准“吃鸡”玩家及网吧高配电脑,搭建挖矿集群。腾讯电脑管家配合守护者计划及时将该案线索提供给山东警方,协助警方于2018年4月11日成功破获389万台肉鸡电脑挖矿大案,涉案案值高达1500余万元。

“tlMiner”木马作者在“吃鸡”游戏外挂、海豚加速器(修改版)、高仿盗版视频网站(dy600.com)、酷艺影视网吧VIP等程序中植入“tlMiner”挖矿木马,通过网吧联盟、论坛、下载站和云盘等渠道传播。木马作者通过以上渠道植入木马,非法控制网吧和个人计算机终端为其个人挖矿。腾讯电脑管家已全面拦截该木马病毒。

(五)名为“吃鸡”辅助软件,实则挖矿病毒

六月,腾讯御见威胁情报中心监控到“xiaoba”勒索病毒的作者在网站xiaobaruanjian.xyz上提供《荒野行动》的游戏辅助,同时将勒索病毒、挖矿木马、篡改主页木马暗藏其中。用户一旦下载运行该网站的所谓“吃鸡”辅助软件,会导致浏览器主页被篡改、电脑CPU被大量占用挖矿。伪装成“吃鸡”游戏辅助工具的“荒野行动设备解封工具.cmd”,被打包为压缩包文件“荒野行动设备解封工具.exe”,伪装的正规软件文件名极难被用户发现。该压缩包文件执行时会启动恶意脚本cmd,修改文件创建时间,然后执行木马文件。“xiaoba”病毒会篡改浏览器导航,已针对40余款浏览器进行劫持,木马运行后在桌面释放大量推广lnk,同时挖矿占用大量CPU资源。当中毒电脑上发生比特币、以太坊币交易时,病毒会监视剪切板,在交易瞬间将收款人地址替换为自己的,从而实现虚拟币交易抢劫。更恶劣的是,“xiaoba”病毒作者还增加了勒索病毒功能,让电脑无法开机,要求受害人付款后才能解除病毒封锁。目前,腾讯电脑管家已全面拦截并查杀该病毒。

相关热点分析