瑞星2016年中國信息安全報告
責編:mhshi |2017-01-20 14:26:11近期,瑞星公司發布了《2016年中國信息安全報告》,對2016年1至12月的病毒、惡意網址、移動互聯網及企業信息安全做了詳細的分析,并對2017年的信息安全趨勢做出了預測。
免責聲明
本報告綜合瑞星“云安全”系統、瑞星客戶服務中心、瑞星反病毒實驗室、瑞星互聯網攻防實驗室、瑞星威脅情報平臺等部門的統計、研究數據和分析資料,僅針對中國2016年1至12月的網絡安全現狀與趨勢進行統計、研究和分析。本報告提供給媒體、公眾和相關政府及行業機構作為互聯網信息安全狀況的介紹和研究資料,請相關單位酌情使用。如若本報告闡述之狀況、數據與其他機構研究結果有差異,請使用方自行辨別,瑞星公司不承擔與此相關的一切法律責任。
報告摘要
- 2016年瑞星“云安全”系統共截獲病毒樣本總量4,327萬個,病毒總體數量比2015年同期上漲16.47%。報告期內,病毒感染次數5.6億次,感染機器總量1,356萬臺,平均每臺電腦感染40.96次病毒。
- 2016年瑞星“云安全”系統在全球范圍內共截獲惡意網址(URL)總量38億個,其中掛馬網站8,804萬個,詐騙網站4,977萬萬個。美國惡意URL總量為7,001萬個,位列全球第一,其次是中國695萬個,德國526萬個,分別為二、三位。
- 2016年瑞星“云安全”系統共截獲手機病毒樣本502萬個,隱私竊取類病毒占比32%,位列第一位,資費消耗類病毒占比16%,位列第二位,流氓行為類與惡意扣費類并列第三,占比15%。
- 2016年移動安全事件:病毒偽裝“交行安全控件”盜取用戶敏感信息;Android木馬冒充“公安”電信詐騙;“一條短信偷光銀行卡”騙子實施補卡截碼詐騙;數百萬臺安卓智能手機暴露于DRAMMERAndroid攻擊之下。
- 2016年移動安全趨勢分析:手機web瀏覽器攻擊將倍增;Android系統將受到遠程設備劫持、監聽;物聯網危機將不斷加深;
- 2016年企業面臨的安全問題逐漸凸顯,特別是自斯諾登事件后互聯網出現了大規模信息泄露事件,其中雅虎為信息泄露最大的受害者,影響個人信息超過10億。同時,企業還面臨著勒索軟件的攻擊以及APT攻擊等,這將使企業成為網絡威脅中的最大受害者。
- 趨勢展望:敲詐軟件依然會是低成本高收益網絡犯罪的主流;IoT(物聯網)安全隱患正在凸顯;全新的網絡攻擊模式——網絡流量監控;
- 專題1:勒索軟件年度分析報告。2016年是勒索軟件繁榮發展的一年,在這一年里除了針對Windows系統勒索軟件,針對Linux、Mac OX等勒索軟件都已出現。同時移動平臺Android和 IOS 系統也未能幸免。勒索軟件為了躲避查殺不斷發展,用上了各種手段。腳本JS 開發、python開發、Autoit開發的勒索軟件都在今年出現。2017年注定還是勒索軟件猖獗的一年。
- 專題2:SEO詐騙分析報告。瑞星安全專家針對詐騙網址進行了深入分析,分析過程中發現該網址不僅具有欺詐性質,而且還利用黑帽手段進行關鍵詞排名推廣,當用戶利用搜索引擎搜索到黑客設置的關鍵詞時,就會彈出黑客預先修改過的“正規網站”,讓受害者誤以為是官方網站,從而導致用戶上當受騙。
- 專題3:不法分子如何利用偽基站盈利。瑞星安全專家通過對偽基站深入的分析發現,詐騙者通過雇傭其他人員攜帶偽基站在街道和小區周邊進行大范圍發送詐騙短信、廣告、詐騙網址,木馬APK程序等,一旦用戶點擊詐騙鏈接,用戶的銀行卡、支付賬戶等個人信息將有可能泄露。詐騙者通過購買大量黑卡進行洗錢,將可用賬戶中的金額進行消費變現,然后轉賬到黑卡賬戶中。
- 專題4:2016路由安全分析。路由安全一直是網絡安全里的熱門事件,幾乎所有路由品牌都曝出過漏洞,黑客正是利用這些漏洞對用戶的路由進行入侵和劫持,將用戶訪問的網站定向到詐騙網站,然后盜取用戶個人隱私,如果是企業級路由被黑客攻擊,將會造成更大的影響。
以下為瑞星2016年中國信息安全報告全文:
一、病毒與惡意網址
(一)病毒和木馬
1. 2016年病毒概述
(1)病毒疫情總體概述
2016年瑞星“云安全”系統共截獲病毒樣本總量4,327萬個,病毒總體數量比2015年同期上漲16.47%。報告期內,病毒感染次數5.6億次,感染機器總量1,356萬臺,平均每臺電腦感染40.96次病毒。
在報告期內,新增木馬病毒占總體數量的48.6%,依然是第一大種類病毒。灰色軟件病毒(垃圾軟件、廣告軟件、黑客工具、惡意殼軟件)為第二大種類病毒,占總體數量的17.54%,第三大種類病毒為后門病毒,占總體數量的12.77%。
(2)病毒感染地域分析
在報告期內,廣東省病毒感染6,051萬人次,依然位列全國第一,其次為北京市3,657萬人次及河南省2,477萬人次。與2015年同期相比,北京排進前三,江蘇則由第二名降到第五。
2. 2016年病毒TOP10
根據病毒感染人數、變種數量和代表性進行綜合評估,瑞星評選出了2016年病毒TOP10:
3. 2016年中國勒索軟件感染現狀
在報告期內,瑞星“云安全”系統共截獲勒索軟件樣本26.5萬個,感染共計1,311萬次,其中北京市感染143萬次,位列全國第一,其次為廣東省100萬次、浙江省73萬次及安徽省68萬次。
4. 2016年CVE漏洞TOP10
(二)惡意網址
1. 2016年全球惡意網址總體概述
2016年瑞星“云安全”系統在全球范圍內共截獲惡意網址(URL)總量1.38億個,其中掛馬網站8,804萬個,詐騙網站4,977萬個。美國惡意URL總量為7,001萬個,位列全球第一,其次是中國695萬個,德國526萬個,分別為二、三位。
2. 2016年中國惡意網址總體概述
在報告期內,香港惡意網址(URL)總量為117萬個,位列中國第一,其次是浙江省104萬個,以及北京市95萬個,分別為二、三位。
注:上述惡意URL地址為惡意URL服務器的物理地址。
3. 2016年中國詐騙網站概述
2016年瑞星“云安全”系統共攔截詐騙網站攻擊4,399萬余次,攻擊機器總量327萬臺,平均每臺機器被攻擊13.43次。
在報告期內,廣東省受詐騙網站攻擊733萬次,位列第一位,其次是北京市受詐騙網站攻擊608萬次,第三名是浙江省受詐騙網站攻擊340萬次。
4. 2016年中國主要省市訪問詐騙網站類型
在報告期內,浙江省、上海市等訪問的詐騙網站類型主要以網絡賭博為主,而湖北省、天津市則以色情論壇為主。
5. 詐騙網站趨勢分析
2016年賭博和情色類詐騙網站占比較多,這類網站會誘使用戶下載惡意APP程序,竊取用戶隱私信息。有些甚至通過木馬病毒盜取用戶銀行卡信息,進行惡意盜刷、勒索等行為。詐騙攻擊主要通過以下手段進行攻擊:
? 利用QQ、微信、微博等聊天工具傳播詐騙網址。
? 利用垃圾短信“偽基站”推送詐騙網址給用戶進行詐騙。
? 通過訪問惡意網站推送安裝惡意APP程序竊取用戶隱私信息。
? 通過第三方下載網站對軟件進行捆綁木馬病毒誘使用戶下載。
6. 2016中國掛馬網站概述
2016年瑞星“云安全”系統共攔截掛馬網站攻擊2,749萬余次,攻擊機器總量181萬臺,平均每臺機器被攻擊15.16次。
在報告期內,北京市受掛馬攻擊588萬次,位列第一位,其次是上海市受掛馬攻擊551萬次,第三名是遼寧省受掛馬攻擊528萬次。
7. 掛馬網站趨勢分析
2016年掛馬攻擊相對減少,攻擊者所使用的工具傾向于使用2015年下半年由hacking team泄露的網絡工具包。攻擊者一般是自建一些導航類或色情類的網站,吸引用戶主動訪問。也有一些攻擊者會先購買大型網站上的廣告位,然后在用戶瀏覽廣告的時候悄悄觸發。如果不小心進入掛馬網站,則會感染木馬病毒,導致丟失大量的寶貴文件資料和賬號密碼,其危害極大。掛馬防護手段主要為:
? 拒絕接受陌生人發來的鏈接地址。
? 禁止瀏覽不安全的網站。
? 禁止在非正規網站下載軟件程序。
? 安裝殺毒防護軟件。
1.手機病毒概述
2016年瑞星“云安全”系統共截獲手機病毒樣本502萬個,隱私竊取類病毒占比32%,位列第一位,資費消耗類病毒占比16%,位列第二位,流氓行為類與惡意扣費類并列第三,占比15%。
2. 2016年Android手機漏洞TOP5
3.手機垃圾短信概述
2016年瑞星“云安全”系統共截獲手機垃圾短信328億條,廣告類垃圾短信占比82.37%,居首位。危險程度極高的詐騙短信占比10.74%,其他類垃圾短信占比6.89%。
(二)2016年移動安全事件
1.病毒偽裝“交行安全控件”盜取用戶敏感信息
2016年6月,一個偽裝成“交行安全控件”的病毒潛伏在各大安卓電子市場中,誘導用戶下載安裝。該病毒運行后,會誘導用戶激活系統設備管理器、隱藏自身啟動圖標、攔截用戶短信并將短信內容發送到指定號碼、還涉及登陸、支付等相關功能,給用戶造成嚴重的隱私泄露等安全問題。
2.Android木馬冒充“公安”電信詐騙
2016年5月,全球首款專用于網絡電信詐騙的Android木馬被發現,該木馬偽裝成“公安部案件查詢系統”,可實現竊取隱私、網絡詐騙和遠程控制等多種惡意行為,在受害人不知情的情況下轉走其銀行賬戶中的資金,對手機用戶造成極大威脅。Android木馬加速實現了電信詐騙手段的3.0進化,一般的網絡電信詐騙中,詐騙者必須誘導受害人完成轉賬。而引入了移動場景的3.0級別,即使受害人沒有自主完成轉賬,詐騙者也可以依靠植入受害人手機的木馬,在其不知情的情況下完成遠程轉賬。
3.“一條短信偷光銀行卡”騙子實施補卡截碼詐騙
2016年4月,一網友爆料,莫名其妙地收到了一條“訂閱增值業務”的短信,根據提示回復了“取消+驗證碼”之后,噩夢就此開啟:手機號碼失效,半天之內支付寶、銀行卡上的資金被席卷一空。這起案件的關鍵點在于不法分子利用 “USIM卡驗證碼”,完成了對受害者手機卡的復制,不法分子復制了網友手機卡,搖身變成網友,然后隨意操作資金流向。
4.數百萬臺安卓智能手機暴露于DRAMMER Android攻擊之下
2016年10月,來自谷歌公司Zero項目組的安全研究人員們發現了一種名為DRAMMER的全新攻擊方式,該攻擊可劫持運行有Linux系統之計算機設備,利用其內存機制中的一項設計漏洞獲取Linux系統的更高內核權限,可被用于在數百萬臺Android智能手機之上獲取“root”訪問權限,從而允許攻擊者對受感染設備加以控制。
(三)移動安全趨勢分析
1.手機web瀏覽器攻擊將倍增
Android和iPhone平臺上的web瀏覽器,包括Chrome、Firefox、Safari以及采用類似內核的瀏覽器都有可能受到黑客攻擊。因為移動瀏覽器是黑客入侵最有效的渠道,通過利用瀏覽器漏洞,黑客可以繞過很多系統的安全措施。
2.Android系統將受到遠程設備劫持、監聽
隨著Android設備大賣,全球數以億計的人在使用智能手機,遠程設備劫持將有可能引發下一輪的安全問題,因為很多智能手機里存在著大量能夠躲過谷歌安全團隊審查和認證的應用軟件。與此同時,中間人攻擊(MitM)的數量將大增,這是因為很多新的智能手機用戶往往缺乏必要的安全意識,例如他們會讓自己的設備自動訪問不安全的公共WiFi熱點,從而成為黑客中間人攻擊的獵物和犧牲品。
3.物聯網危機將不斷加深
如今,關于“物聯網開啟了我們智慧生活”的廣告標語不絕于耳,但支持物聯網系統的底層數據架構是否真的安全、是否已經完善,卻很少被人提及,智能家居系統、智能汽車系統里藏有我們太多的個人信息。嚴格來講,所有通過藍牙和WiFi連入互聯網的物聯網設備和APP都是不安全的,而這其中最人命關天的莫過于可遠程訪問的醫療設備,例如大量的超聲波掃描儀等醫療設備都使用的是默認的訪問賬號和密碼,這些設備很容易被不法分子進行利用。
(一)2016年企業安全總體概述
2016年企業面臨的安全問題逐漸凸顯,特別是自斯諾登事件后互聯網出現了大規模信息泄露事件,其中雅虎為信息泄露最大的受害者,影響個人信息超過10億。同時,企業還面臨著勒索軟件的攻擊以及APT攻擊等,這將使企業成為網絡威脅中的最大受害者。
(二)2016年企業安全相關數據
報告期內,通過對國內企業網絡安全產品部署情況進行分析,發現企業部署終端安全防護產品占比81.79%,位列第一位,其次網關安全硬件占比12.25%,第三名是虛擬化安全占5.75%,這說明企業對于終端安全更加重視。在調查的企業中,政府、軍隊、軍工、能源等行業安全產品部署相對完善,而中小企業則投入較少,安全意識不足。
(三)企業APT攻擊中,CVE漏洞攻擊占比最多
在針對企業的APT攻擊中,利用CVE漏洞往往是攻擊過程中最重要的手段。攻擊者利用Office,Adobe漏洞對企業發起攻擊。而企業對于第三方軟件漏洞修復往往沒有做到及時響應,導致企業存在安全漏洞。根據瑞星“云安全”統計“CVE-2010-0188” Adobe Reader樣本超過4萬個。
由于企業軟件開發大量采用Java編程,而Oracle官方已經停止對Java 1.7的維護,導致很多企業沒有及時升級,存在著大量老式CVE漏洞。在2016年中利用2015年CVE漏洞最多的是對Office的攻擊,主要為CVE-2015-1641,CVE-2015-2545。
(四)2016年全球網絡安全事件TOP10
(五)2016年全球數據泄露事件TOP10
(六)2016年全球網絡安全事件解讀
1.黑客攻擊美國大選
在2016年中,黑客對美國大選進行了攻擊干擾,通過攻擊郵箱、投票機等設備,導致美國“郵件門”事件爆發,在2016年6月,維基解密泄露出幾千封美國民主黨委員會(DNC)被盜郵件。直至7月,維基解密共泄露20000多封被盜郵件和29段錄音材料,間接性干擾了選民的決策。“郵件門”事件成為黑客攻擊影響史上的里程碑。
2.NSA方程式組織內部工具泄露
在2016年中,NSA內部組織遭到網絡攻擊并泄露了大量的文件。在泄露的文件夾中NSA對全球進行網絡攻擊活動,其中包括了32個來自中國教育機構的域名,其他的主要為三大移動運營商以及部分電子科技企業和研究機構。從泄露的文件可以看出,NSA對中國的科技和研究企業的網絡安全攻擊成為了企業的重災區。
3.雅虎10億數據泄露
雅虎作為一個全球知名搜索引擎,旗下的服務同樣是多元化。雅虎郵箱作為老牌提供商,用戶量過億。在2016年中,雅虎內部遭到網絡攻擊導致超過10億的數據泄露,不僅對用戶造成了不可挽回的影響,同樣對雅虎自身也造成了不可估量的經濟損失。
(七)安全建議
1.實時關注漏洞公告,對漏洞的重要性及影響范圍進行評估。
2.企業內部軟件資產評估,對于老舊的軟件進行及時升級。
3.建立合理的企業內部安全架構,定期進行安全評估。
4.企業內部人員安全意識培訓,避免遭到APT攻擊。
(一)敲詐軟件依然會是低成本高收益網絡犯罪主流
敲詐軟件在過去取得了巨大的“成功”,使得敲詐軟件的種類、攻擊范圍、攻擊目標越來越多,受害者數量也持續上升。同時,2016年出現的敲詐軟件中,充斥著大量使用了對稱加密算法的變種,被它們加密的文件實際上是可以還原的。這類犯罪者,僅僅是想借Locky/CryptXXX等知名敲詐軟件給人們帶來 “文件無法解密還原”的主觀判定,以更低的成本和技術難度,達到成功勒索的目的。
同時,敲詐軟件似乎已經盯上了企業,同個人數據相比,企業數據顯得更加重要,勒索成功率會大幅上升。為了遏制敲詐軟件帶來的危害,產品提供商、安全提供商、政府都在做出相應的努力。例如:安卓系統將采用新的機制來遏制鎖屏(Trojan.SLocker)類敲詐軟件的攻擊,政府和安全廠商有都在嘗試追蹤比特幣交易來定位犯罪者。未來,敲詐軟件也一定會因為法律的震懾作用而有所收斂。
(二)IoT(物聯網)安全隱患正在凸顯
2016年是IoT(物聯網)安全開始正式走進我們視野的一年,隨著物聯網的日漸成熟,IoT的安全隱患正在凸顯出來。
諸如2016年的“物聯網Mirai僵尸網絡”、“烏克蘭電網攻擊事件”、“索尼攝像頭后門事件”、“德國電信用戶超90萬臺路由器遭黑客破壞”等多起安全事件,都說明了IoT安全的建設迫在眉睫,相對傳統的傳統的互聯網安全,IoT安全涉及范圍更廣,破壞力更大。
(三)全新的網絡攻擊模式——網絡流量監控
在NSA泄露的工具中,從安全從業者角度來看是一個全新的網絡攻擊模式,他脫離了傳統企業內部安全攻擊,而是對運營商網絡設備的攻擊。在泄露的文件Firewall目錄中涉及了思科,華為,Juniper等知名廠商的產品,在EXPLOITS文件夾中,攻擊腳本涉及了思科,天融信,Fortigate等安全防火墻產品。NSA通過對設備的網絡攻擊,將數據流量進行收集。對于這類利用安全產品自身的漏洞攻擊手法,可以從海量數據中進行定向分析某一個企業網絡活動,直接窺探企業內部安全。
1.什么是勒索軟件?
勒索軟件(也稱密鎖病毒)是一類以加密電腦和移動設備中用戶文件為目的的惡意軟件。用戶一旦感染,用戶設備中的各類文件將會被加密無法使用,用戶必須按照惡意軟的指示繳納贖金才有可能解密文件。
2.勒索軟件歷史
最早的一批勒索軟件病毒大概出現在8、9年前,那時候的勒索軟件作者還沒有現在那么惡毒大膽,敲詐的形式還比較溫和,主要通過一些虛假的電腦檢測軟件,提示用戶電腦出現了故障或被病毒感染,需要提供贖金才能幫助用戶解決問題和清除病毒,期間以FakeAV為主。
隨著人們安全意識的提高,這類以欺騙為主的勒索軟件逐漸的失去了它的地位,慢慢消失了。伴隨而來的是一類locker類型的勒索軟件。此類病毒不加密用戶的數據,只是鎖住用戶的設備,阻止對設備的訪問,需提供贖金才能幫用戶進行解鎖。期間以LockScreen 家族占主導地位。由于它不加密用戶數據,所以只要清除了病毒就不會給用戶造成任何損失。由于這種病毒帶來危害都能夠很好的被解決,所以該類型的敲詐軟件也只是曇花一現,很快也消失了。
FakeAV和LockScreen 都因自身不足逐漸消失了,隨之而來的是一種更惡毒的以加密用戶數據為手段勒索贖金的敲詐軟件。由于這類敲詐軟件采用了一些高強度的對稱和非對稱的加密算法對用戶文件進行加密,在無法獲取私鑰的情況下要對文件進行解密,以目前的計算水平幾乎是不可能完成的事情。正是因為有這一點,該類型的勒索軟件能夠帶來很大利潤,各種家族如雨后春筍般出現了,比較著名的有CTB-Locker、TeslaCrypt、CryptoWall、Cerber 等等。
3.勒索軟件的傳播途徑
1) 垃圾郵件
勒索軟件的傳播途徑和其他惡意軟件的傳播類似,垃圾郵件是最主要的傳播方式。攻擊者通常會用搜索引擎和爬蟲在網上搜集郵箱地址,然后利用已經控制的僵尸網絡向這些郵箱發有帶有病毒附件的郵件。垃圾郵件投毒的方式有以下幾種:
a. 附件中包含壓縮包,壓縮包中包含病毒的可執行程序和下載器。
b. 附件中包含壓縮包,壓縮包中包含有js腳本和wsf腳本等,運行腳本會從網上下載勒索軟件的可執行程序或下載器執行。
c. 附件中包含壓縮包,壓縮包中包含doc文檔,執行文檔后會加載doc中的宏并運行,釋放出腳本并執行,接著會下載勒索軟件或下載器執行。
2)Exploit Kit
Exploit Kit 是一種漏洞利用工具包,里面集成了各種瀏覽器、Flash和PDF等軟件漏洞代碼。攻擊流程通常是:在正常網頁中插入跳轉語句或者使用詐騙頁面和惡意廣告等劫持用戶頁面,觸發漏洞后執行shellcode并下載惡意病毒執行。常見比較著名的EK有Angler、Nuclear、Neutrino和RIG等。勒索軟件也會利用EK去投毒,當用戶機器沒有及時打補丁的情況下被劫持到攻擊頁面的話,中毒的概率是比較高的。
3)定向攻擊
定向攻擊在勒索軟件傳播的過程中使用的也越來越多。攻擊者有針對性的對某些互聯網上的服務器進行攻擊,通過弱口令或者一些未及時打補丁的漏洞對服務器進行滲透,獲得相應的權限后在系統執行勒索病毒,破壞用戶數據,進而勒取贖金。
4.勒索軟件家族種類
2016年是勒索軟件繁榮昌盛的一年,這一年出現了許多新的家族,也有很多老的家族從人們的視線中消失。整年中瑞星“云安全”系統截獲的勒索家族有七十多種。其中以下幾種在今年影響比較大。
1)Cerber
Cerber 家族是年初出現的一款新型勒索軟件。從年初的1.0版本一直更新到現在的4.0版,是今年最活躍的勒索軟件之一。傳播方式主要是垃圾郵件和EK掛馬。索要贖金為1-2個比特幣。到目前為止加密過后的文件沒有公開辦法進行解密。
2)Locky
Locky家族也是2016年流行的勒索軟件之一,和Cerber 的傳播方式類似,主要采用垃圾郵件和EK。勒索贖金0.5-1個比特幣。
3)CryptoWall
CryptoWall家族也是2016年較流行的一款勒索軟件,勒索贖金1.5個比特幣。最主要的傳播方式是垃圾郵件和EK傳播。垃圾郵件附件中通常包含一個doc文檔,文檔打開后會加載宏釋放wsf文件并執行,從網上下載勒索病毒運行。
4) TeslaCrypt
TeslaCrypt是今年消失的一款勒索軟件。其家族在2015年底到2016年初仍然大規模的傳播。但是在2016年5月份,該家族幕后組織突然發布道歉聲明宣布停止傳播,并公布出一個主解密密鑰。隨即TeslaCrypt就慢慢淡出人們的視野了。
5.勒索軟件受害人群
為了能夠獲取最大的利潤,攻擊者通常是不區分受害者對象的。就目前勒索軟件最主要的傳播途徑來看,個人用戶比企事業組織受害比例要高。隨著各人市場攻擊的飽和,必然會使攻擊者轉向企事業單位和政府組織,企事業面臨的風險也會越來越大。
6.勒索軟件爆發原因
1)加密手段有效,解密成本高
勒索軟件都采用成熟的密碼學算法,使用高強度的對稱和非對稱加密算法對文件進行加密。除非在實現上有漏洞或密鑰泄密,不然在沒有私鑰的情況下是幾乎沒有可能解密。當受害者數據非常重要又沒有備份的情況下,除了支付贖金沒有什么別的方法去恢復數據,正是因為這點勒索者能源源不斷的獲取高額收益,推動了勒索軟件的爆發增長。
互聯網上也流傳有一些被勒索軟件加密后的修復軟件,但這些都是利用了勒索軟件實現上的漏洞或私鑰泄露才能夠完成的。如Petya和Cryptxxx家族恢復工具利用了開發者軟件實現上的漏洞,TeslaCrypt和CoinVault家族數據恢復工具利用了key的泄露來實現的。
2)使用電子貨幣支付贖金,變現快追蹤困難
幾乎所有勒索軟件支付贖金的手段都是采用比特幣來進行的。比特幣因為他的一些特點:匿名、變現快、追蹤困難,在加上比特幣名氣大,大眾比較熟知,支付起來困難不是很大而被攻擊者大量使用。可以說比特幣很好的幫助了勒索軟件解決贖金的問題,進一步推動了勒索軟件的繁榮發展。
3)Ransomware-as-a-server的出現
勒索軟件服務化,開發者提供整套勒索軟件的解決方案,從勒索軟件的開發、傳播到贖金的收取都提供完整的服務。攻擊者不需要任何知識,只要支付少量的租金及可租賃他們的服務就可以開展勒索軟件的非法勾當。這大大降低了勒索軟件的門檻,推動了勒索軟件大規模爆發。
7.勒索軟件幕后黑手
勒索軟件的幕后黑手都有哪些呢。瑞星抽樣分析了下2016年比較著名的勒索軟件家族,統計了下他們的控制服務器(C&C)的地址和傳毒地址。從統計結果中不難看出美國和俄羅斯不管是在控制服務器和傳毒端都占有很大比例。
8.勒索軟件發展的新形勢
2016年是勒索軟件繁榮發展的一年,在這一年里除了針對Windows系統勒索軟件,針對Linux、Mac OX等勒索軟件都已出現。同時移動平臺Android和 IOS 系統也未能幸免。勒索軟件為了躲避查殺不斷發展,用上了各種手段。腳本JS 開發、python開發、Autoit開發的勒索軟件都在今年出現。2017年注定還是勒索軟件猖獗的一年。
1)現有各種平臺仍將持續發展
由于勒索軟件能夠給攻擊者帶來巨額的利潤,這種攻擊手段在短時間內是不會消失的。各平臺、各樣式的勒索軟件仍會繁榮發展。
2)針對企業等組織的攻擊將越來越多
隨著勒索軟件在個人市場的競爭越來越激烈,必然會使越來越多的攻擊轉向針對企業。雖然針對企業的攻擊要更高的技術水平和更長的時間,但是帶來的回報也會更多。往往企業中的數據要比個人的數據更有價值。企業面對勒索軟件的風險在未來也會越來越大。
3)物聯網新興設備受到的威脅增加
物聯網在當下已經越來越普及,這部分設備受到攻擊的風險也會越來越大。試想下當你下班回家打開智能電視,看到的不是精彩節目而是某某勒索軟件的信息,當你準備發動汽車電子顯示屏上顯示的是交付贖金的勒索信息你該怎么辦? 這不是異想天開,這都是可能會發生的事情。
4)工控系統可能成為攻擊對象
工控系統受到攻擊的最著名的案例當屬”震網“了,Stuxnet蠕蟲攻擊伊朗核設施。當今的工業社會工控系統是如此普遍,如果他們受到勒索軟件的攻擊,帶來的結果將是難以預料的。
9.瑞星給用戶的建議
1)、定期備份系統與重要文件,并離線存儲獨立設備。
2)、使用專業的電子郵件與網絡安全工具,可分析郵件附件、網頁、文件是否包括惡意軟件,帶有沙箱功能。
3)、經常給操作系統、設備及第三方軟件更新補丁。
4)、使用專業的反病毒軟件、防護系統,并及時更新。
5)、設置網絡安全隔離區,確保既是感染也不會輕易擴散。
6)、針對BYOD設置同樣或更高級別的安全策略。
7)、加強員工(用戶)安全意識培訓,不要輕易下載文件、郵件附件或郵件中的不明鏈接。
8)、受感染后盡量不要給勒索者付贖金,不要去縱容勒索者,增加他們的收入去繼續破壞更多的人。
1.概述
報告期內,瑞星安全專家在詐騙攔截的網址中發現一個極為可疑的URL,隨后對其進行了深入分析,分析過程中發現該網址不僅具有欺詐性質,而且還利用黑帽手段進行關鍵詞排名推廣。
黑客首先利用非法手段入侵正規政府或學校網站,在網站的其他目錄下上傳惡意文件,當受害者利用搜索引擎搜索到黑客設置的關鍵詞時,就會彈出黑客預先修改過的“正規網站”,讓受害者誤以為是官方網站,從而導致用戶上當受騙。
2.代碼分析
通過攔截的詐騙網址進行代碼分析,代碼如下圖:
其中,我們抽取其中一段代碼,可以看出,黑客隱藏了一段域名body=GetHtml(“h”&”tt”&”p:”&”/”&”/2″&”2″&”2.”&”18″&”6″&”.”&”43.1″&”0″&”9″),我們將其中的域名進行拼接,就可以看出該域名為:http://222.186.43.109。然后我們訪問該域名,網站顯示為客服服務中心,如下圖:
查看最開始詐騙網址http://www.vdsjg.top的源文件時發現,黑客在META中設置了標題為“〖余額寶轉賬到銀行卡號上遲遲未到賬怎么辦〗__百度–知道”的關鍵字,以此來騙取搜索引擎收錄與用戶點擊,如下圖:
代碼中加載了uaredirect.js文件,訪問JS文件經過加密處理,解密后發現加載了一個URL鏈接框架,其中IP與上面拼接的鏈接中IP地址相同,訪問該IP連接與上面域名顯示的頁面一致,如下圖:
加密代碼中同時還存在一個流量統計的頁面http://js.users.51.la/17459262.js,該流量統計是用來統計頁面的訪問次數和訪客的地區分布等信息。
通過技術分析得到了詐騙網站站長的賬戶名為lllppp,網站的名稱為“飛升云端”,統計ID為“17459262”。
查詢IP:222.186.43.109的歸屬地為江蘇鎮江。
對詐騙網站的域名進行分析,查詢到域名聯系人,聯系方式,注冊時間和過期時間等信息。
繼續深入查詢,可以了解到注冊人注冊時所使用的姓名和聯系方式,查詢手機號碼歸屬地為安徽,這里不排除注冊者使用虛假的信息。
詐騙網站域名歸屬地為香港地區,一般非正規網站所使用服務器多數分布在海外地區。
通過注冊人郵箱查詢出該注冊人名下的其他域名,根據域名信息判斷是同一時間注冊的多個域名。
打開其中任意域名查看,發現同http://www.vdsjg.top網站內容相同。
由此可以推斷域名使用者利用關鍵詞推廣的形式進行支付寶詐騙,當網民在搜索引擎中輸入支付寶客服,支付寶電話,支付寶客服電話,支付寶客服中心等關鍵詞,就會出現詐騙者利用非法手段入侵入侵的網站所掛載的欺詐頁面,而不知真相的用戶很難對其進行辨別,如果撥打其網站所提供的電話,就會陷入詐騙者所設的圈套,一步步引誘騙取用戶錢財。
3.詐騙手段
整個詐騙過程人員劃分可以分為受害者、非法攻擊者、詐騙者。
首先,由非法攻擊者對網站實施攻擊,在獲取網站的權限之后,將獲取到的權限交給詐騙者,由詐騙者上傳詐騙頁面等待搜索引擎收錄詐騙頁面。
其次,受害者在某搜索引擎中搜索支付寶退款等相關關鍵詞,搜索引擎會將詐騙網站提供給用戶。
最后,受害者撥打詐騙網頁中提供的客服聯系方式,詐騙者利用各種手段騙取用戶個人信息。
一般詐騙者會發給受害者一個可以退款的詐騙鏈接地址,要求受害者輸入支付寶賬號、銀行卡等信息,并告訴受害者在一定的時間內就可以將錢退回到賬戶中。受害者輸入完個人信息,詐騙者便會利用這些信息登陸受害者的支付寶賬戶或銀行賬戶進行轉賬操作。
4.防詐騙手段
1、認準官方網站,撥打官方所提供的客服電話。
2、請勿相信索取手機驗證碼的陌生電話或短信。
3、不要點擊以短信、微信等通信方式發來的退款、轉賬鏈接。
1.偽基站簡介
“偽基站”即假基站,設備一般由主機和筆記本電腦組成,通過短信群發器、短信發信機等相關設備,能夠搜取以其為中心、一定半徑范圍內的手機卡信息,利用移動通信的缺陷,通過偽裝成運營商的基站,冒用他人手機號碼強行向用戶手機發送詐騙、廣告推銷等信息。
2.偽基站組織結構
偽基站的組織結構包括木馬程序開發者、偽基站短信發送者、垃圾郵件發送者、詐騙者、中介或下線組成。
3.偽基站運作流程
偽基站首先由詐騙者購買硬件設備進行偽基站部署,然后程序開發者開發偽基站需要的web框架平臺或應用程序,然后通過域名運營商購買大量域名進行詐騙工作,這些域名周期都是非常短,一般周期為1-7天,然后將詐騙程序搭建起來,一般常用的幾套詐騙源碼為建設銀行詐騙、工商銀行詐騙、QQ安全中心詐騙、中國移動詐騙、中國好聲音中獎詐騙等。
詐騙者通過雇傭其他人員攜帶偽基站在街道和小區周邊進行大范圍發送詐騙短信、廣告、詐騙網址,木馬APK程序等,同時也以郵箱的形式進行發送事先部署好的詐騙網址,通過詐騙網址來獲取網民的個人信息、銀行卡、支付賬戶等,詐騙者在收信平臺對詐騙網址獲取到的信息進行整理和驗證。
詐騙者尋找合作方或中介,將整理出來的信息進行變現操作,通過購買大量黑卡進行洗錢,將可用賬戶中的金額進行消費變現,然后轉賬到黑卡賬戶中。
名詞解釋:
制作網站:有專人搶注類似于運營商,各大銀行機構的域名進行出售或自己用,有專業的人員進行仿站模仿類似于運營商、各個銀行的網站,然后購買美國或者香港免備案服務器進行搭建后制作過域名攔截程序。
木馬制作:由程序開發人員進行開發后,以幾千元不等的價格將源碼賣給下級代理進行二次開發出售(根據各大殺毒庫的更新情況制作“免殺”),以每周2000元進行出售。
偽基站發送詐騙短信:這個一般為線下交易,包吃包住包油錢以每小時500元左右為酬勞或以合作分成的方式,讓有偽基站設備的人帶著偽基站游走在繁華的街區進行大范圍的撒網(發送詐騙網站)。
“出料”:將詐騙網站后臺收到的數據進行篩選整理(利用各個銀行的在線快捷支付功能情況查余額,看看是否可以直接消費進行轉賬或第三方支付進行消費),自己無法將余額消費的將會以余額的額度以不同的價格出售(大部分會打包起來以每條1元的價格進行多次叫賣)余額巨大的有時還會找人合作進行“洗料”。
“洗料”:通過多種方式將“料”進行變現,一般開通快捷支付充值水電、話費、游戲幣或者利用其他存在第三方支付轉賬接口和銀行快捷支付漏洞等,將“四大件”變成成現金后通過各種規避追查的手段與合伙人按比例(一般以料的額度按5:5、?4:6?、3:7這些比例)進行分賬,日均可以賺取10萬元以上。
4.偽基站影響、危害
(1)詐騙網站涉及行業分布
(2)詐騙網站影響的銀行分布
(3)偽基站受害人群年齡分布
5.偽基站危害:
1、“偽基站”運行時用戶手機信號被強制連接到該設備上,無法正常使用運營商提供的服務,手機用戶一般會暫時脫網8-12秒后恢復正常,部分手機用戶則必須開關機才能重新入網。此外,“偽基站”還會導致手機用戶頻繁地更新位置,使得該區域的無線網絡資源緊張并出現網絡擁塞現象,影響用戶的正常通信。
“偽基站”盜用公眾無線電通信運營商的頻率資源,其大功率發射對周邊電磁環境造成強烈干擾。
發送病毒短信,機主一旦不慎點擊,輕則手機被植入木馬病毒,發生手機資費被惡意消耗,被惡意廣告騷擾等后果,重則會記錄網友在該詐騙網頁中輸入的任何信息,如涉及銀行卡號密碼、支付賬號密碼等,有可能造成財產損失。
6.偽基站相關數據
7.偽基站防范建議
1. 收到可疑短信及時向官方客服電話確認。
2. 收到陌生短信不打開鏈接,不下載,不安裝。
3. 公共場所不使用來歷不明的WIFI熱點。
4. 任何場所下不輕易泄露個人任何信息。
5. 手機安裝安全防護軟件、定期清理垃圾、查殺木馬病毒。
1、概述
路由安全一直是網絡安全里的熱門事件,幾乎所有路由品牌都曝出過漏洞,黑客正是利用這些漏洞對用戶的路由進行入侵和劫持,將用戶訪問的網站定向到詐騙網站,然后盜取用戶個人隱私,如果是企業級路由被黑客攻擊,將會造成更大的影響。
2、德國電信斷網事件
2016年11月德國電信遭遇了一次大范圍的網絡故障,這次攻擊致使多達90萬寬帶用戶和2000萬固定電話用戶遭遇了網絡中斷,中斷時間從星期日一直持續到星期一。事件發生后,德國電信連夜與設備供應商生成了新的升級包,并且要求客戶如果懷疑受到影響就斷電重啟路由器,之后利用自動或手動的升級過程來減輕問題。
德國電信還采取了一系列的過濾措施來保證升級過程不受攻擊影響。德國電信經過調查發現,此次攻擊和此前攻擊美國網絡的惡意軟件Mirai存在必然聯系,此次攻擊同樣是從路由器和網絡攝像頭發起導致德國電信的服務器流量飆升,從而使正常的網絡不堪重負。
3、各品牌路由器漏洞情況
截止到2016年底包括D-link、TP-link、Cisco、斐訊、iKuai等一眾國內外知名品牌都相繼爆出了高危漏洞,影響上萬用戶的網絡安全,以下是2016年中國用戶最關注的的路由器品牌占比,以及根據exploits-db披露的各品牌路由器漏洞比例。
4、2016年路由器漏洞類型——僵尸網絡成爆發性增長
2016年路由器漏洞類型包括默認口令、固件漏洞、路由后門等一系列安全問題。通過對2016年相關路由器事件進行統計,各種攻擊方式中弱口令占比最多,也使得今年的僵尸網絡呈現了爆發性的增長。
當路由器開始使用并運行后,如果用戶沒有修改設備的默認登錄口令,或是因為某些原因將設備的口令設置的極其簡單,使得攻擊者可以針對這些路由器進行暴力破解,輕而易舉的進入設備的管理界面。
然后,攻擊者就可以向路由器植入惡意代碼,并使之與攻擊者的C&C(遠程命令)服務器通訊,將設備變成僵尸網絡中的一員。而這些僵尸網絡主要以發動DDos攻擊為主,或作為代理對其他設備進行暴力破解,威脅網絡安全。此前威脅美國、新加坡以及德國網絡安全的都屬于僵尸網絡。
5、提高網民安全意識,加固用戶名密碼安全
對于像mirai這樣的僵尸網絡,目前還沒有十分奏效的方法加以遏制,現在主要采用蜜罐技術通過行為特征分析,在僵尸網絡形成的初期發現并采取相關措施。
由于僵尸網絡的特性就是控制大量“肉雞”,所以對于用戶來說,就是提高自身的安全意識,修改初始密碼以及弱密碼,加固用戶名和密碼的安全性,督促行業對密碼策略的進一步加強。