恶意软件威胁报告:2020 年第三季度统计数据和趋势

技术分享 小布 383浏览 0评论

我们之前针对 2020 年第二季度的恶意软件威胁报告重点介绍了恶意软件作者如何利用 MS Office 和基于脚本的威胁从数量转向更复杂和复杂的攻击方法。本季度的版本提供了对复杂攻击的更深入洞察,包括 PE(便携式可执行文件和非 PE 威胁类别、Android 和 macOS 威胁。我们还将仔细研究 Avira 保护实验室检测到的不断增长的传统恶意软件攻击和新的 IoT 恶意软件变种。

威胁摘要

 

在我们的第三季度恶意软件威胁报告中,我们看到总体趋势与 2020 年第二季度相似。虽然总体检测数量没有发生显着变化,但我们看到该数字的组合方式发生了变化。

我们发现传统恶意软件、基于漏洞利用的威胁和 coinminer 的数量显着增加了 50%。但是,与上一季度相比,广告软件/PUA、移动和基于脚本的威胁有所下降。一般恶意软件攻击激增,此类别包含在野外发现的最危险的威胁。在本报告中,我们将详细讨论每个威胁类别并查看它们最常见的形式。

PE恶意软件威胁

Portable Executable(或 PE) 通常用于描述 Windows 操作系统中的二进制可执行文件。PE 文件包括.exe , dll.scr 是恶意软件攻击中最常用的数据结构。

在 2020 年第三季度,PE 恶意软件是检测到的最大威胁类别。在此类别中,我们看到绝大多数攻击可归因于木马和文件感染程序、PUA 和广告软件。


图 1 :  Q3 的 PE 检测类别

下图显示威胁的攻击量环比增加。与第二季度相比,Fareit 木马在第三季度的检测次数增加了 80 多倍。请注意,我们排除了第二季度数量少于 2.500 的威胁。

图 2 :PE 防止攻击

票价

Fareit 是部署在恶意垃圾邮件活动中的最成功的信息窃取程序之一。该木马家族窃取网站密码等敏感信息,并将其发送到其后端服务器。2020年,它一直是对公共卫生部门的持续威胁。它还与CVE-2017-11882相关联这是前 10 个最常被利用的漏洞。Fareit 通常从以下位置窃取信息:

  • FTP客户端
  • 云存储服务
  • 浏览器
  • 邮件客户端

守卫

bGuard 是一个臭名昭著的浏览器劫持者。它是一个支持广告(如横幅、搜索结果、弹出窗口、背后弹出窗口、插页式和文本链接广告)的跨网络浏览器插件,适用于 Internet Explorer、Firefox 和 Chrome。bGuard 主要在安装过程中通过变现平台进行分发。

它通常捆绑在各种下载门户上的自定义安装程序中,并产生流量、显示广告和赞助商链接。某些变体还可以在征得或不征得用户同意的情况下收集特定于用户的信息。

纳米核

Nanocore 是一种 RAT(远程访问特洛伊木马),它允许未经授权访问受害者的设备。此 RAT 带有插件机制,可通过为其他恶意操作开发附加功能来扩展其功能。主要插件包括:

  • 间谍插件:允许监视麦克风和网络摄像头访问。
  • 控制插件:允许更好地控制具有一系列工具的受感染主机。
  • 安全插件:提供对受感染主机的 AV 工具和防火墙的访问以绕过它们。

由于其高级恶意功能,较新版本的 Nanocore 更加危险。Nanocore 活动以及与之相关的垃圾邮件和网络钓鱼攻击有所增加。

布朗托克

Brontok 是一个群发电子邮件恶意软件家族。它通过将自身副本作为附件发送到它从受感染系统上的文件收集的电子邮件地址进行传播。它还可以将自身复制到可拆卸的笔式驱动器。

表情符号

Emotet 被认为是世界上最大的恶意软件僵尸网络。从历史上看,Emotet 垃圾邮件僵尸网络与银行木马的分布有关。如今,它传播垃圾邮件以感染计算机,包括勒索软件。

最近,Emotet 网络正在投放 Trickbot 以提供勒索软件和 Qakbot 木马以窃取银行凭据。它可以劫持电子邮件链以感染更多用户。Emotet 还通过网络钓鱼电子邮件附件或加载网络钓鱼附件的链接以类似蠕虫的功能进行传播。

非 PE 恶意软件威胁

顾名思义,非 PE 威胁不是 Windows 可执行文件,而是感染机器的其他方式。在此类别中,我们有 Office 文件、脚本、PDF 和其他漏洞。

在下图中,我们可以看到 Non-PE 常见攻击类型的分布。我们在 7 月份观察到的几乎所有类别的攻击都少于平均水平。但是,在 8 月和 9 月期间,检测数量有所增加,从而拉平了第三季度恶意软件威胁报告的总平均值。


图 3  Q3 的非 PE 检测类别

非 PE 威胁 – Emotet

现在让我们仔细看看我们在 2020 年看到的最具影响力的恶意软件。 Emotet 在本季度非常强劲,如下图所示。7 月,我们收到了 5000 多份分发 Emotet 有效负载的文档。8 月份和 9 月份的数字分别增加了约 41% 和 127%,超过 12.000,表明持续增长。

图 4 :Emotet在第三季度分发的 Office 样本

恶意软件分发技术并没有太大的不同,如前几波中所见。Emotet 使用混淆的 VBA 代码连接到 URL 以下载恶意负载。感染流程的第一步是使用社会工程技术来伪装附加文档的恶意意图的电子邮件(下面是一个示例)。

 

图 5 :社会工程学示例

非 PE 威胁 – 加密文档

在我们上一季度的报告中,我们强调了使用 XLM 宏的旧技术的卷土重来。最近,我们看到了大量加密的 XF 文档。在下面的图表中,我们包含了 10 月份的预测。

图 6 第三季度加密的恶意软件文档

非 PE 威胁——其他发展

  • 分发 ZLoader 恶意软件的 Maldoc 活动在本季度非常普遍。使用的技术和往常一样(XF 文档,有时是加密的)。这些文档代表了感染流程的第一步,然后是下载程序 VB 脚本。
  • 本季度还检测到分发 QakBot 恶意软件的 Maldoc 活动。这些文档使用 Excel 公式从不同的 URL 下载伪造的 png 文件(实际上是“.exe”文件)。
  • 新的 Ursnif 恶意软件活动也通过 Office 文档进行分发。对于这个恶意软件家族,感染流由宏 VBA 文档组成。

Android 恶意软件威胁

在本季度的恶意软件威胁报告中,全球 Android 威胁活动略有减少。

图 7 第 3 季度的Android 恶意软件检测

一般的 Android 恶意软件类别最常见,其次是广告软件、风险软件和 PUA。其他类别主要包含启发式和通用检测。

图 8 第三季度检测到的 Android 恶意软件类别

在本季度检测到的前十个 Android 家族中,其中四个具有显示侵入性广告的能力,其中 Android/Hiddad 是最大的。值得注意的是,PUA 进入前五,Android Lockers 在 Q3 中占有相当大的份额。

图 9 第 3 季度检测到的前 10 个 Android 恶意软件系列

安卓/希达

包含 Hiddad(一种用于 Android 的广告分发恶意软件)的应用程序获得了受感染用户的多个 5 星评级。不幸的是,不是出于正确的原因。Hiddad 通常以 YouTube 下载应用程序的形式出现。它通常会在 Google Play 上标为 Tube mate 或 Snap Tube 上市。

安卓/滴管

检测为 Dropper 的应用程序在其负载中包含其他恶意应用程序。Droppers 在受感染的设备上安装恶意负载,并且在大多数情况下会自动运行它。Dropper 用于感染策略的第二阶段(安装真正的恶意组件)。

安卓/短信注册

被检测为 SMSREG 的应用程序会显示有关 SMS/MMS 的恶意行为,包括窃取短信(可能用于窃取双因素身份验证代码)或向付费号码发送短信,从而对受害者造成经济损失。

安卓/代理

这种通用检测涵盖了无法准确归入特定类别的任何恶意行为。

在全球威胁热图上,受攻击最多的国家是德国、伊朗、巴西、印度和印度尼西亚,每个国家都有超过 35.000 次检测事件。与上一季度相比,美国上升了几个位置,目前排在第六位。

图 10 第三季度受攻击最多的 10 个国家

macOS 恶意软件威胁

当谈到 macOS 上阻止的威胁时,我们的第三季度恶意软件威胁报告显示广告软件胜过其他类别。广告软件之后是脚本(包括 JavaScript、PHP、HTML)、Office(包括与 Word、Excel 和 PowerPoint 相关的恶意软件)和漏洞(利用系统或某些已安装程序中的漏洞的恶意应用程序)。

“其他”类别构成剩余的 35%。它包括 HiddenEXT(包含恶意可执行文件但被无害扩展名隐藏的文件)、网络钓鱼(以虚假声明试图说服用户透露个人信息的文件)以及其他类型的检测,例如进入 macOS 环境的 Windows 文件。

图 11 Q3检测到的 macOS 威胁类别

现在,让我们来看看在第二季度和第三季度之间感染 macOS 环境的流行威胁。在下面的图表中,我们省略了两个季度总检测数少于 1.000 的检测,以消除低容量大纲。

图 12 :macOS 阻止攻击季度比较

OSX/文件编码器

此检测涵盖文件加密勒索软件系列。它使用 Torrent 网站作为其感染媒介,并伪装成某些应用程序(例如 Adob​​e Premiere 或 Microsoft Office)的破解程序。

OSX/闪回

这是一个伪装成 Adob​​e Flash Player 安装程序的木马家族,名为“Flashback”。在安装过程中,恶意软件将停用网络安全功能并安装动态加载程序库以将代码注入用户的应用程序中。据观察,该木马的目标是形成一个僵尸网络,可用于进一步的恶意目的。

OSX/Spynion

该检测涵盖了一个木马家族。它通过多个免费的 macOS 应用程序进行分发,这些应用程序在安装过程中会下载恶意组件并将其放置在用户的个人计算机上。该组件负责监控用户的活动并将机密数据发送回攻击者的服务器。一些变种还具有后门功能,允许攻击者远程连接到用户的个人计算机。

广告软件/OSX.Tapufind

该恶意软件的行为是广告软件和浏览器劫持者的结合。它会在受害者的 Web 浏览器中显示误导性广告。它将流量转发到其登陆页面(其中包括“search.tapufind.com”和“tab.tapufind.com”,第一个取代用户的搜索引擎)。该广告软件会跟踪互联网活动,因此会导致用户出现隐私问题。这种类型的恶意软件来自安装包、垃圾邮件或假 Adob​​e Flash Players 更新。

OSX/Zipcloud

这是一个不需要的应用程序 (PUA),声称可以找到云存储的折扣。它向用户显示侵入性广告,并可能窃取个人数据,例如 IP 地址和搜索查询。它来自无假的应用程序或安装包。

查看 OSX 恶意软件的威胁热图,我们可以看到 OSX 攻击更有可能发生在欧洲和北美,受攻击最多的国家来自这些地区。仅德国和美国就占所有注册 macOS 检测的 50% 以上。

图 13 第 3 季度的macOS 威胁类别

物联网恶意软件威胁

在物联网领域,我们观察到常见的 Mirai、Gafgyt 和 Hajime 作为前 3 个物联网恶意软件家族。然而,与上一季度相比,Gafgyt 的存在显着增加。

图 14 第三季度排名前三的 IoT 系列

未来

自其源代码公开以来,我们经常查看 Mirai 的变化情况,最近对物联网攻击和恶意软件趋势的分析表明 Mirai 仍在继续发展。结果是使用 Mirai 变体的攻击增加,因为不熟练的攻击者相对容易地创建恶意僵尸网络。

加夫盖特

Gafgyt 恶意软件于 2014 年首次出现。它开始利用 IoT 设备(尤其是路由器)中的已知漏洞发起 Mirai 等 DDoS 攻击。Gafgyt 的著名变种是 BASHLITE 和 Qbot。每个变体都有其用途。在利用漏洞之前,恶意软件通常使用扫描仪功能来查找面向互联网的开放节点。如果在设备上发现,它还会杀死其他僵尸网络家族。

Hajime 出现于 2016 年底,是一个僵尸网络家族。它有一个传播模块,使其成为一个高级且隐蔽的家族,该家族使用不同的技术(例如对设备密码进行暴力攻击)来感染系统。然后采取几个步骤来向受感染的受害者隐藏自己。因此,该设备成为僵尸网络的一部分。之后,它包含一个攻击模块来达到目的。Hajime 的 C&C 服务器建立在对等网络上,与 Mirai 不同,Mirai 包含硬编码的 C&C 服务器地址。

深入探讨,让我们看看 IoT 中的子族和行为分类。使用我们的动态物联网检测模块,我们可以根据其行为发现新的恶意软件或恶意软件家族变种。如下所示,我们在 2020 年第三季度通过此模块捕获了相当新的恶意软件系列/变体。

图 15 第三季度检测到的新物联网系列

索拉

针对视频监控存储系统的 Mirai 变体。他们使用默认密码攻击和漏洞扫描程序。

尾张

针对视频监控存储系统的 Mirai 变体。它尝试使用默认密码攻击和利用扫描程序进行暴力访问。OWARI 和 SORA 是由同一作者创建的。

滑板车

它使用 RCE 漏洞利用并发起 DDoS 攻击。

阿瑞斯

它会感染基于 Android 的机顶盒 (STB)。

物联网威胁也可以根据其网络流量进行分类。根据设计,物联网设备的连接性很强,因此它们的流量可以告诉您很多有关其用途的信息。该检测层确实有助于发现新的漏洞利用。通过分析流量,我们可以快速检测到企图利用的安全漏洞。本季度出现的显着漏洞是:

  • UPnp SOAP 命令执行
  • 华为
  • 网件httpd
  • 合勤
  • 腾达RCE
  • GPON RCE
  • Aruba ClassPass 策略管理器

网络层模块还帮助我们根据网络或命令与控制通信行为检测恶意软件家族。例如:

  • 哈凯
  • 爱铃
  • 黑道
  • 斯库拉

他们有所有不同的方式与他们的指挥和控制基础设施进行通信。

进一步阅读

在2020 年年中的漏洞更新中,我们利用 Avira 漏洞检测团队(Avira 保护实验室的一部分)的专家见解来查看一些可能被利用的最关键漏洞。

了解有关新型恶意软件的更多信息,或通过订阅Avira Insights 博客的研究部分自动接收我们的第四季度恶意软件威胁报告。请访问oem.avira.com,了解如何通过使用 Avira 的反恶意软件 SDK 或 威胁情报来提高自己的检测率。

转载请注明:布尔云安的博客 » 恶意软件威胁报告:2020 年第三季度统计数据和趋势

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址