luda 写文章|流苏
编辑|图表
这是2018年的奇怪一天。
闹钟7:30准时响了,我艰难地掀开被子起床吃早饭。就像前一天一样。我打开电脑拿起手机的时候,一切都变得很奇怪。
醒来的时候,手机里还有几十条没读的短信,都是验证码和支付宝、银行卡的转账通知,坑爹的骗子用“短信嗅探”技术偷走了我的真金白银。
我立即打电话给我的死党,哭着向他借了一些钱。挂完电话后,我无聊地在刷手机。今天的广告很人性化。都是贷款平台。看到上面的优惠条件,我还有点激动。
选择广告点填写各种隐私信息后,我发现这其实是一个诈骗网站。没有钱,差点又上当了。
打开电脑准备工作,发现界面被锁定,微信扫描需要支付110元赎金才能解锁。当我决定扫描代码时,发现那张微信也已经冻结了。公司的计算机被Wanna Cry锁定,只有支付比特币才能解锁。
解锁后,我发现电脑运行得很慢,是卖矿病毒的鬼,可能上次免费wi-fi被黑客植入了。
逛直播平台的时候发现自己睡觉的视频正在直播,结果发现问题出在摄像头上。我爱的智能音箱和智能扫地机器人,默默录下我声音的人,用相机监视着我的生活。
这一天,我好像在网上裸奔。看到周围不友好的眼神,我突然惊醒了。原来是梦啊。
看了刚刚收到的徐星发布的《2018年中国网络安全报告》后,才意识到2018年网络安全态势似乎没有我们想象的那么美好。
病毒样本暴增56%
随着互联网的迅速发展,我国网民的数量与日俱增。今天,我国网民规模已达到7.72亿人,互联网规模居世界首位。
遗憾的是,随着用户数量的增加,网络病毒的数量也增加了。
2018年,西城的“云安全”系统共7,786万个,病毒感染次数为11.25亿次,总病毒数比2017年同期增加了55.63%。
其中,新的特洛伊木马病毒占总数的61.60%,仍然是最大类型的病毒。灰色软件病毒(垃圾邮件软件、广告软件、黑客工具、恶意软件)占总数的14.53%,第三大类病毒是病毒释放器,占总数的12.52%。
按地区来看,北京市2.26亿人感染病毒居全国首位,其次是广东省0.92亿人,山东省0.65亿人。
值得一提的是,随着病毒制作者的盈利能力更加突出,抢夺病毒、挖矿的病毒成为主要黑客研究的主要方向。这在一定程度上解释了为什么北京地区的病毒感染人数比其他地区多得多。江浙沪等互联网企业密集地区病毒感染数量大致相同。
在综合评价病毒感染人数、变种数量和代表性的结果中,西城选择了2018年1 ~ 12月的病毒Top10。详情如下图所示。
2017年,Wanna Cry勒索病毒大规模爆发,很多用户为了解锁电脑而支付赎金,作为丰厚的回报,黑客们涌向了勒索软件。
2018年,西城“云安全”系统共拦截了687万例恐吓软件感染次数,其中广东省感染179次。
通过对瑞星捕获的勒索样本按家族分析发现,GandCrab家族占比36%,位列第一,其次为WannaCrypt占比31%,以及Lyposit占比17%。
值得一提的是,2018年CVE-2017-0144(永恒之蓝漏洞)依然是影响最严重的漏洞之一,很多企业互联网中仍然存在很多未打“永恒之蓝”漏洞补丁的机器,导致其危害至今仍在持续。这意味着很多企业并未在那一场梦魇般的攻击中吸取教训,这也是勒索病毒无往不利的原因。而丰厚的回报也将进一步刺激病毒制作者研发新的病毒进行攻击并索要赎金。
这些诈骗你遇到过吗
2018年,瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量1.06亿个,其中诈骗网站为3,949万个,所占比例为37.25%。然而,对于普通用户而言,绝大部分损失来自于网络诈骗。
从地域分布来看,广东受诈骗网站攻击66万次,位列第一位,其次是北京市受诈骗网站攻击44万次,第三名是上海市受诈骗网站攻击20万次。
不同的区域,诈骗网站攻击类型也有所不同。广东、上海、江苏等地区访问的诈骗网站类型以赌博为主,北京、辽宁、浙江等地区则以情色网站为主,其余地区访问恶意推广诈骗网站居多。
从诈骗网站类型来看,赌博类诈骗网站占46%,位列第一位,其次是情色类诈骗网站占37%,恶意软件类诈骗网站占11%,分别为二、三位。
诈骗网站传播类型一般为以下几种:
利用微信朋友圈以软文方式进行诱导传播。
利用QQ群发方式进行范围传播。
利用短信群发平台以中奖方式进行传播。
利用游戏辅助软件进行传播。
利用大型互联网平台发布信息进行传播。
为何赌博类诈骗网站能够一直占据着第一名的宝座?这与赌徒想要一夜暴富的心理密切相关。
赌博类诈骗网站的套路一般是这样的。先给予用户一点甜头;紧接着,销售便向客户推销讲师、专家为其分析得奖概率、开奖趋势等等;而后再通过网站后台控制最终开奖结果,套空用户的钱包。不少用户沉迷其中无法自拔,期望能够翻本,最终却亏的倾家荡产。
这似乎也能解释为何广东地区诈骗网站攻击次数远远多于北京、上海等地区;毕竟广东地区赌博类游戏更为常见。
而情色类诈骗网站就更简单一些,往往是打着“视频交友”或者“裸聊”的幌子,引诱用户一步步向网站里充钱。充钱的方式一般分为两种:一是以“保证金”的名义,承诺可以退还,但打过去后就没有然后了;二是引诱用户充值VIP、SVIP、超级VIP...不断诱惑用户打钱。还有情色诈骗类网站甚至暗藏木马病毒,窃取用户信息和财产。
手机真的安全吗
PC端一直存在着各种各样的病毒,充斥着形形色色的攻击,这一点毋庸置疑。然而在用户认知中,手机等移动设备的安全性依旧值得信任,似乎并没有多少安全问题。
事实真是如此吗?一切还需要通过数据来说话。
2018年,瑞星“云安全”系统共截获手机病毒样本640万个,病毒总体数量比2017年同期上涨26.73%。新增病毒类型以信息窃取、资费消耗、流氓行为、恶意扣费四类为主,其中信息窃取类病毒占比26%,位居第一。
随着移动互联网的兴起,用户在移动端花费的时间明显大于PC端;相应的,针对移动端的病毒也越来越多。
通过数据分析、比较,瑞星总结出2018年手机病毒Top5,详细信息如下:
2018年Android手机漏洞Top5详细信息如下:
而在获取用户隐私信息方面,移动端比PC端更为厉害。
2018年11月,中消协通报100款APP个人信息收集与隐私政策测评情况。其中,10类APP涉嫌过度收集个人信息,59款APP涉嫌过度收集“位置信息”,28 款APP涉嫌过度收集“通讯录信息”,23 款APP涉嫌过度收集“身份信息”,22款APP涉嫌过度收集“手机号码”等。
在“集中整治APP乱象”活动中,网信办依法关停下架“成人约聊”“两性私密圈”“澳门金沙”“夜色的寂寞”“全民射水果”等3469款涉黄涉赌、恶意扣费、窃取隐私、诱骗诈骗、违规游戏、不良学习类APP。
由此可见,手机的安全性并没有想象中的那么高,依旧存在着许许多多的问题。作为长时间陪伴着用户的必需品,手机所获取的信息更加准确,也更有价值。
也许,当你在和朋友讨论去云南旅游时,手机中的某个APP正窃听着信息,并把和云南旅游的相关广告强塞进你的嘴里。换句话说,手机APP在窃取大量的个人信息后,依靠大数据分析技术所得出的用户画像,可能比你自己都了解你自己。
勒索挖矿一体化
黑客费尽心机制作恶意病毒并传播,其目的在于谋取不正当利益。当下,锁定用户电脑病勒索赎金和植入挖矿病毒慢慢挖矿无疑是来钱最快的两种方式,在利益的驱使下,勒索病毒和挖矿病毒的界限开始模糊。
病毒在运行后首先表现出的是勒索功能,对用户电脑进行加密并索要赎金。随后,病毒还会悄悄躲进电脑中,消耗用户电脑资源来挖掘虚拟货币。因此,哪怕用户缴纳赎金后依旧在为黑客创造价值。
为了获取更高的收益,黑客还增加了病毒的传播性,自动通过弱口令和系统漏洞、多种web漏洞传播,扩大电脑感染的数量,一边索要赎金,一边继续挖矿。
1
GandCrab勒索挖矿病毒
据瑞星“云安全”系统监测数据显示,GandCrab勒索挖矿病毒表现较为活跃。自2018年年初到2018年年末,GandCrab勒索挖矿病毒从未停下更新的脚步,持续对抗安全产品的查杀。
病毒具备了蠕虫、挖矿、勒索、窃密等多种特性,一是加密用户电脑、文件,向用户索要赎金;二是消耗电脑资源挖矿,导致CPU占用率居高不下;三是窃取账号密码,替换虚拟货币钱包软件的剪切板;四是感染可移动磁盘、web目录等,传播并感染其他电脑。
2
Satan 勒索挖矿病毒
Satan勒索病毒,运行之后加密受害者计算机文件,因其被加密文件后缀为.satan而得名。和GandCrab勒索挖矿病毒一样,利用漏洞攻击用户后,除了索要赎金外,还将挖矿和窃取用户信息。值得一提的是,Satan 勒索挖矿病毒可以使用永恒之蓝漏洞和其他web漏洞,极容易感染其他电脑。所幸瑞星已有相应的预防和破解方法。
其具体攻击方式如下图所示:
3
Xbash勒索挖矿病毒
Xbash病毒集勒索、挖矿、蠕虫于一身,使用多种漏洞和弱口令进行传播,并且可以感染Linux和Windows。该病毒的特殊之处在于攻击时会删除用户数据库并索要赎金,危害较大;并且会利用activeMQ漏洞、hadoop漏洞、Redis漏洞等数据库软件漏洞进行攻击。
4
Lucky勒索挖矿病毒
Lucky病毒使用多种漏洞和弱口令攻击Windows和Linux系统,和前几种勒索病毒一样,Lucky病毒在勒索用户的同时还会进行挖矿,占用CPU资源;同时,还会通过永恒之蓝漏洞和多种web漏洞攻击网络中的其它机器。
其具体攻击方式如下图所示:
5
FilesLocker勒索病毒
FilesLocker病毒之所以名气这么大,是因为该病毒一出现就招募合作伙伴。从招募信息来看,需要大量肉鸡在攻击者;因此,该勒索病毒将会通过各种方式进行传播,未来可能会有很多精心编造的钓鱼邮件。
FilesLocker勒索病毒合作伙伴招募信息如下:
物联网的那些事
随着智能门锁、智能音箱、智能扫地机器人等智能设备进入到用户家居生活中,物联网的安全问题受到人们的关注。一方面是智能的家居生活,另一方面是黑产攻击者的温床;那么智能设备的安全性和所面临的问题到底是怎样的呢?瑞星对最近出现的几个趋势进行了分析。
1
传统DDoS攻击持续存在
DDoS是物联网最为常见的攻击方式,随着智能设备的数量越来越多,这一攻击方式的威胁性也在不断增大。不少人对“速度与激情7”中车辆被控制的场景心有余悸,这也表明一旦DDoS攻击形成规模,造成的危害不容小觑。
2
发送垃圾邮件逐渐增多
瑞星研究人员发现了一个发送广告邮件的物联网病毒,并将其命名为Linux.ProxyM,该病毒几乎可以在所有Linux设备上运行。一旦智能设备被感染,便会接受控制指令向其他设备群发带病毒的广告邮件,引起链式感染。和传统租用服务器发送邮件相比较,该攻击方式成本更低,传播范围更广,防不胜防。
3
批量挖矿逐渐增加
由于挖矿占用的CPU率极高,所以常常被用户发现。为了谋取更多的利益,很多黑客开始把目光投向了物联网设备。即便是挖矿造成机器卡顿,用户往往认为是机器过热、产品运行时间久等原因,一般通过重启来解决,挖矿便可以悄悄的进行。ADB.Miner是针对物联网设备进行挖矿的病毒之一,通过扫描漏洞即可植入挖矿病毒。
4
开始被用于APT攻击
APT攻击之所以不常见,是因为APT攻击基础设施成本高、资源投入大、上攻击持续久、潜伏时间长...因此常常以政治、高经济价值目标为主。
瑞星发现一款名为VPNFilter恶意软件被用于物联网攻击中,具备多种功能,兼顾收集情报和破坏性攻击等。目前,全世界54个国家超过50万台路由器和NAS 等物联网设备都已被VPNFilter恶意软件感染。
瑞星“云安全”
文中多次提到瑞星的“云安全”系统,可能很多读者对此并不了解。简单来说,“云安全”系统是杀毒软件互联网化的实际体现;由超过一亿的客户端、智能型云安全服务器、数百家互联网重量级公司三个部分组成。每天,“云安全”系统截获的病毒样本超过30万之多,每天截获处理的“挂马网站”超过2万条。
很明显,2018年网络安全态势并不乐观,对于企业级用户而言,勒索病毒、挖矿病毒依旧猖獗且给企业带来严重伤害。哪怕是“台积电”龙头般的企业也在勒索病毒的攻击下损失惨重。
为保护企业不受勒索病毒的攻击,“瑞星之剑”应运而生。“瑞星之剑”创造性的使用了“智能诱饵”“基于机器学习的文件格式判定规则”和“智能勒索代码行为监测”等技术,目前在全球范围内尚属首创。同时,“瑞星之剑”和企业其他防御产品有着完美的兼容性,不给企业带来额外负担。
此外,瑞星在终端安全、云安全、网关安全、安全教育等方面皆有相应的解决方案供企业用户选择,如瑞星网络安全预警系统、瑞星网络安全态势感知系统、瑞星下一代防火墙等等。
如今,瑞星已经在企业级安全道路上越走越稳,和微软、BAT、华为、深信服、思科等皆有深度合作。其用户遍布政府、军工、医疗、工业、金融等多个领域,其中包括中石油、国家电网、杭州银行、工商银行、上海仁济医院等重量级企业用户。