2019第三季度網路威脅分析
- 2019 年 12 月 12 日
- 筆記
卡巴斯基第三季度阻止了來自全球203個國家的發起的989432403次攻擊。
季度數據
560025316唯一URL被Web防病毒組件識別為惡意;有197559名用戶的電腦被竊取資金的惡意軟體感染;勒索軟體攻擊在229643個唯一用戶的電腦上被擊敗。 檢測到移動設備產品:870617惡意安裝包;13129手機銀行木馬安裝包;13179移動勒索軟體特洛伊木馬的安裝包。
移動威脅
新發現
2019年第三季度,發現GooglePlay上CamScanner新版本應用程式包含木馬。從Google Play上的評論來看,dropper的任務是激活付費訂閱,不過它也可以提供另一個有效負載。 2019年第3季度檢測到的另一個有趣的木馬程式是.AndroidOS.Agent.vn。它的主要功能是「喜歡」Facebook的帖子。 在同一季度發現了針對iOS和Android的新間諜木馬。在最新版本中,重點是監聽消息應用程式中的通訊。
數據分析
2019年第三季度檢測到870617個惡意安裝包。
在前幾個季度新安裝包的數量明顯下降,而第三季度的數據比上個季度增加了117067個包。
按類型分類
在2019年第三季度發現的所有移動威脅中,佔比最高的是未經請求的風險工具類項目(32.1%),與上一季度相比下降了9個百分點。最常見的是RiskTool.AndroidOS家族:占該類檢測到的所有威脅的33.07%、RiskTool.AndroidOS.Wapron(16.43%)和RiskTool.AndroidOS.Smssend(10.51%)。
排在第二位的是木馬類下的miscellaneous木馬(21.68%),增加了10個百分點。該類內部的分布與上季度持平,木馬.AndroidOS.Hiddapp(32.5%)、木馬.AndroidOS.Agent(12.8%)和木馬.AndroidOS.Piom(9.1%)。
排在第三位的是廣告類節目(19.89%),廣告軟體.AndroidOS.Ewind(占該類所有威脅的20.73%)、廣告軟體.AndroidOS.Agent(20.36%)和廣告軟體.AndroidOS.MobiDash(14.27%)。
木馬dropper威脅(10.44%)保持在相同的水平。絕大多數檢測到的dropper屬於.AndroidOS.Wapnor家族(69.7%)。排在第二位和第三位的分別是Trojan-Dropper.AndroidOS.Wroba(14.58%)和Trojan-Dropper.AndroidOS.Agent(8.75%)。
前20移動惡意軟體程式
排名第一的是DangerousObject.Multi.Generic(48.71%)第二位和第六位分別是木馬病毒AndroidOS.Boogr.gsh(9.03%)和AndroidOS.generiml(4.34%)。第三、第四和第十四位是Trojan.AndroidOS.Hiddapp家族的成員,他們的任務是秘密地把廣告分發到受害者身上。
第五,第十二,第十八,和第十九個是Necro家族的木馬dropper。這一家族上季度出現在關注範圍,在本報告所述期間發現了其重要活動。
排在第七位的是木馬下載程式.AndroidOS.Helper.a(1.99%)。
排在第八位的是惡意軟體木馬Banker.AndroidOS.Svpeng.ak(1.75%),其主要任務是竊取網上銀行憑據和攔截授權碼。
排名第九的是木馬下載程式AndroidOS.Agent.ok(1.65%),它以FlashPlayer或Rapidshare客戶端的名義發布,它會將廣告軟體模組放入受感染的系統中。
排在第十位和第十一位的是 Trojan-Banker.AndroidOS.Hqwar家族的成員。該種工具在網路罪犯中的受歡迎程度繼續下降。
地理位置分析
受移動惡意軟體攻擊用戶排名前十的國家/地區:
在第三季度前十名中,伊朗(52.68%)的受攻擊用戶份額保持第一。在本報告所述期間,該國的份額幾乎翻了一番。伊朗最常遇到的廣告軟體app adware.AndroidOS.Agent.fa(占移動威脅總數的22.03%)、安裝木馬程式AndroidOS.Hiddapp.bn(14.68%)、RiskTool.AndroidOS.Dnotua.yfe(8.84%)。
孟加拉國(30.94%)排名第二。這個國家的用戶最常遇到廣告軟體程式包括adware.AndroidOS.Agent.f c(占移動威脅總數的27.58%)和adware.AndroidOS.HiddenAd.et(12.65%),以及下載廣告軟體程式的木馬程式.AndroidOS.hiddap.cr(20.05%)。
印度(28.75%)攀升至第三位,該國的威脅更為活躍:AdWare.AndroidOS.Agent.fс (36.19%), AdWare.AndroidOS.HiddenAd.et (17.17%)、Trojan.AndroidOS.Hiddapp.cr (22.05%)。
手機銀行木馬
報告期內共檢測到手機銀行木馬安裝包13129個,比2019年第二季度減少770個。
對統計數據貢獻最大的是木馬Banker.AndroidOS.Svpeng(占所有檢測到的銀行木馬程式的40.59%),木馬Banker.AndroidOS. Agent(11.84%)和Trojan-Banker.AndroidOS.Faketoken家族(11.79%)。
十大手機銀行木馬
2019年第三季度銀行業十大威脅是以AndroidOS.Svpeng家族的木馬為首:Svpeng.ak(16.85%)排名第一,Svpeng.q(8.97%)排名第三。
第三季度的第二、第四、第六和第十位是Asacub家族。儘管活躍度有所下降,但Asacub樣本仍在世界各地的設備上被發現。
手機銀行木馬攻擊用戶比例排名前十的國家/地區:
在第三季度,俄羅斯上升到第一位(0.30%),俄羅斯的用戶通常是木馬Banker.AndroidOS.Svpeng.ak的目標。
南非下滑至第二位(0.20%),Trojan-Banker.AndroidOS.Agent.dx (占所有移動金融惡意軟體的89.80%)是最普遍的威脅。
科威特(0.21%)和南非一樣,經常遇到Trojan-Banker.AndroidOS.Agent.dx(75%)。
移動勒索軟體
2019年第三季度,檢測到13179個移動勒索軟體安裝包,比上季度減少10115個。自年初以來,移動勒索軟體數量下降了近三倍。原因是Asacub木馬背後的組織活動減少。
勒索軟體top10:
與上一季度一樣,排名第一的是Svpeng.aj(40.97%),第三的是Svpeng.ah(5.79%)。
受攻擊國家地區top10:
與上一季度一樣,受移動勒索軟體攻擊用戶數量排名第一的是美國(1.12%)、伊朗(0.25%)、哈薩克(0.25%)。
Apple macOS 威脅
第三季度沒有出現新的威脅形式,Stockfolio的修改版本中包含一個加密的反向shell後門。
與上一季度一樣,廣告軟體木馬程式Shlayer是macOS的最大威脅,這個惡意軟體下載了Pirrit家族的廣告程式。
受攻擊用戶的地理分布發生了一些微小的變化:印度以6.24%第二,西班牙5.61%第三,法國(6.95%)穩居第一。
IoT威脅
數據分析
第三季度,攻擊卡巴斯基Telnet蜜罐的設備IP數量繼續下降。在第三季度,Telnet( 51.83%)的份額與SSH份額(48.17%)幾乎相等。
Telnet攻擊分析
telnet攻擊設備前10的國家/地區:
上個季度的領頭羊埃及(10.89%)、中國(13.78%)和巴西(8.56%)再次佔據前三名,本次中國佔據了第一。基於Telnet的攻擊通常導致下載Mirai家族惡意軟體。
Telnet攻擊下的前10惡意軟體:
SSH攻擊分析
SSH攻擊設備前10的國家/地區:
金融威脅
金融威脅統計
在2019年第三季度,惡意軟體從197559名用戶電腦上的銀行賬戶中竊取資金。
攻擊地理分析
排名前10的國家/地區:
排名前10的惡意軟體家族:
2019年第三季度的前三名的與上一季度相同,只是順序不同:RTM家族(19.3%)從第一位跌至第三位,下跌了13個點,其他兩位為Zbot(26.7%)和Emotet(23.9%)。上個季度Emotet伺服器的活動有所下降,但在第三季度,Emotet的份額增長超過了15個百分點。
勒索軟體
針對政府機構以及醫療、教育和能源部門的勒索軟體攻擊數量繼續上升。
新型攻擊對網路附加存儲(NAS)的攻擊正在逐漸流行起來,方案涉及攻擊者掃描IP地址範圍,搜索可通過Internet訪問的NAS設備。通常,只有web介面可以從外部訪問,並受身份驗證頁的保護;但是許多設備韌體中存在漏洞。
Wipers也成為一種更頻繁的攻擊工具,木馬程式會不可逆轉地破壞文件內容(將其替換為零或隨機位元組),即使受害者支付了費用,原始文件也會丟失。
在2019年第三季度,發現了三個新的勒索軟體木馬家族,並發現了13138個新的惡意軟體。
被勒索軟體木馬攻擊的用戶數:
7月份是受攻擊用戶最多的一個月——100380人,比6月份增加了近20000人。
地理分析
top10國家/地區:
前十大勒索軟體木馬家族
挖礦統計
2019年第三季度,發現了11753個新的礦工改造項目。
在第三季度,全球639496名唯一用戶的電腦上發現了礦工的攻擊。
第三季度,受攻擊的用戶數量繼續下降,8月份降至282334人。9月份,這一指標開始增長,達到297394。
top10國家/地區:
漏洞分析
在有關網路罪犯使用漏洞分布的統計數據中,很大一部分屬於Microsoft Office套件漏洞(73%),最常見的是方程式編輯器應用中的堆棧溢出錯誤(CVE-2017-11882,CVE-2018-0802)。本季度被廣泛利用的其他Microsoft Office漏洞還有CVE-2017-8570、CVE-2017-8759和CVE-2017-0199。
瀏覽器是複雜的產品,新的漏洞不斷被發現並用於攻擊(13%)。網路罪犯最常見的目標是Microsoft Internet Explorer。本季度發現了零日漏洞CVE-2019-1367,該漏洞會導致記憶體損壞,並允許在目標系統上執行遠程程式碼。
許可權提升漏洞起著特殊的作用,它們經常被惡意軟體用來在目標系統中獲得持久控制。本季度存在漏洞CVE-2019-14743和CVE-2019-15315,這些漏洞允許在安裝了Steam客戶端的情況下攻擊系統。微軟Windows文本服務框架中的一個缺陷也值得一提,它允許進程以系統許可權運行,並執行任意程式碼。
網路攻擊仍然很普遍。本季度,與上一季度一樣,在永恆藍、永恆浪漫和其他漏洞的攻擊中,未受保護和未更新的系統仍有很高的感染風險。
RDP還面臨(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1223、CVE-2019-1224、CVE-2019-1225、CVE-2019-1226)網路協議中的多個漏洞相關的問題。與之前發現的CVE-2019-0708不同,這些漏洞不僅影響舊版本的作業系統,還影響新版本的作業系統,如Windows 10。
網路攻擊來源國:前10名
以下統計數據顯示了用戶電腦上阻止的互聯網攻擊源按國家/地區的分布情況。
為了確定網路攻擊的地理來源,將域名與其實際的域IP地址進行匹配,然後確定特定IP地址(GEOIP)的地理位置。
2019年第三季度阻止了來自全球203個國家的在線資源發起的989432403次攻擊。560025316唯一的url觸發了Web反病毒組件。
網路感染風險國家排名:
全球平均有10.97%的互聯網用戶電腦至少遭受過一次惡意軟體類攻擊。
本地威脅
用戶電腦本地感染統計數據是一個重要指標,包括通過感染文件或可移動媒體入侵目標電腦。
在2019年第3季度,文件防病毒檢測到230051054個惡意對象。
本地感染風險最高的國家
在報告所述期間,我們計算了用戶在其電腦上觸發反病毒文件的百分比。這些統計數字反映了不同國家的個人電腦感染水平。
總體而言,21.1%的全球用戶電腦在第三季度至少面臨一個惡意軟體級的本地威脅。
*參考來源:securelist,由Kriston編譯,轉載請註明來自FreeBuf.COM
