在2015年第四季度(10月,11月和12月),金山安全反病毒实验室收到来自世界各地恶意代码查询记录1700多万次。这些木马、病毒、蠕虫、恶意广告程序持续威胁着用户的合法权益。实验室通过分析恶意代码发展趋势,威胁走向,旨在给广大网络用户、各安全防御组织一个防御网络威胁的指南。
一、恶意代码的区域分布
2015年第四季度全球恶意代码爆发态势分布
上图是依据世界恶意代码查询量分国家和地区进行统计获得的威胁爆发趋势图,下表是各国(中国除外)威胁数量前十位的排名与占总数百分比。众所周知中国、美国、俄罗斯、日本是网络犯罪威胁较高的国家,此外数据显示出近年来网络威胁在一些新兴地区增长的趋势,其中包括东南亚、东欧、西非、中东和拉丁美洲。
1.东南亚网络威胁持续严峻
近些年,东南亚各国的安全形势不容乐观,以印尼领头的东南亚各国病毒、木马爆发持续增长。东南亚的网络建设正如火如荼地进行,但其网络防御的脚步显然没有跟上,黑客攻击事件频发。有报告显示,东南亚在成为受害国的同时也已成为世界网络袭击最大来源地区。
2.东欧地区网络威胁明显上升
受乌克兰局势的影响,东欧地区的网络安全局势持续恶化,乌克兰成为近期新增恶意代码爆发量最高的国家之一,紧随其后的波兰和罗马尼亚也有一定幅度上升。根据相关报道,乌克兰境内存在相当规模的DDoS攻击源,大量的病毒木马或是僵尸网络来源。
2015年第四季度全国恶意代码爆发态势分布
上图是国内恶意代码查询量分布图,下表列出了各个省份恶意代码出现的排名及占总数百分比。
在我国,发达地区和沿海省份黑样本查询数量明显高于其他地区。对比之前的数据,排名下降的有山东、河南,已掉出前十位。而四川、湖南的爆发数量有一定幅度增长。广东省稳坐第一把交椅,其数量依然是第二位的2-3倍。
二、恶意代码类型与家族
1.恶意代码前十排名
第四季度恶意样本主要类型依然木马、病毒和恶意广告程序,下图是爆发数量排在前十位的恶意代码家族类型。
2015年第四季度十大威胁类型
Trojan.Crypt
Crypt是一类庞大的木马家族,目前流行的变种本主要为Crypt.ZPACK、Crypt.XPACK、Crypt.CFI、Crypt.FKM等。此类木马大多数通过邮件、移动存储介质传播或通过木马下载器到指定服务器下载到本地计算机。木马造成的威胁巨大,它们允许黑客远程访问中招主机,盗取个人信息,监视用户上网行为。
Trojan.Dropper
Dropper是一类将一个或多个恶意程序释放到受害者主机,并安装执行的木马类家族总称。它们通常伪装成一个正常的文件,将其他恶意可执行程序压缩隐藏在自身文件内,诱使用户执行。在受害者主机运行后,Dropper将恶意程序提取释放到系统中,直接运行这些恶意代码,或添加开机启动项使用户下次启动系统时执行恶意程序,运行时受害用户并不知情。
Trojan.Black
Black是反病毒引擎判断其行为特征具有潜在危害的程序总称。相当多的恶意程序表现出了明显木马特征,但不能将其简单归类为某一类已知家族或其规模没有达到形成家族的程度,反病毒工程师统一归为Black类。
Virus.Virut
Virut俗称威客病毒家族,有些杀软公司也将其归类为Virtob。早在2006年,Virut病毒的第一例变种就已经被发现,但从目前实验室监控数据来看,该病毒家族依然处于持续活跃状态,感染主机数量居高不下,近几年持续有此类家族新变种出现的报道。Virut是典型的文件感染型病毒,能够在系统程序启动之前运行,并长期驻留内存,具有下载安装木马、黑客后门功能,病毒因此能持续更新。后台控制的黑客可以轻易从感染Virut的主机窃取文件,实施各种攻击。Virut的持续活跃已严重影响网络安全,成为了安全业内难以根治的顽疾。
Virus.Ramnit
Ramnit是通过可移动设备传播的感染型病毒家族。Ramnit发现与2010年,因形成大规模僵死网络而进入人们的视野,据报道欧洲刑警组织曾专门组织打击Ramnit僵尸网络,之后Ramnit操作团伙更换了新服务器,Ramnit卷土重来,目前仍然具有相当规模。Ramnit会破坏系统,窃取包括网上银行登录信息在内的用户数据信息,更严重的是受感染主机会成为僵尸网络的一部分,等待黑客下达统一指令而实施各种类型的犯罪活动,如定向发送垃圾邮件,实施DDoS攻击等。
Virus.Sality
Sality是通过邮件,共享文件计算机漏洞传播的感染型病毒家族。Sality首次发现于2003年,十多年来一直保持变种更新,2010年后出现与rootkit合并的变种,其危害更大。Sality的植入的代码采用了多态变形加密技术,每一次感染文件所产生的代码都不相同,执行病毒程序的时候,是边解密,边执行,使得难于提取特征码进行查杀。Sality多元的传播和感染方式使其难于完全扑灭。
Adware.BrowseFox
BrowseFox是典型的恶意广告程序家族。BrowseFox制造商承诺提供节省用户金钱和时间的插件,诱使用户安装,但是这些所谓的优惠券并不真实有效,仅仅为了给BrowseFox赞助商制造流量。程序安装后会修改主流浏览器,包括IE、火狐和谷歌Chrome,弹出大量广告页面,可能链接到包含木马的网站。
Trojan.Downloader
Downloader俗称木马下载器,是一类从远程服务器偷偷下载恶意程序到本地计算机,并安装执行的木马家族总称。Downloader近年来一直保持稳定的爆发数,可见如今的恶意软件并不依靠单一的样本实现所有入侵破坏行为,更多的是打出组合拳,Downloader负责通过各种手段入侵用户主机,伪装成合法软件欺骗用户执行。其本身不具备破坏性操作,而对外联网下载的程序专门实施非法操作,黑客只需要在Downloader连接的服务器更换新版本的恶意代码,便可以实施不同目的的、更有针对性的攻击。
Adware.CrossRider
CrossRider是插件类广告软件。以浏览器插件形式安装在IE、火狐、谷歌Chrome浏览器上,修改浏览器默认设置,修改浏览器主页,还会允许跨站脚本执行。
Trojan.Spy
Spy俗称间谍程序,是以监视用户操作、盗取账号密码等用户数据为目的的一类木马家族总称。互联网高速发展,网购用户、网银用户增多到相当规模,监测数据显示近年Spy家族木马程序从以社交账号盗号转向监控、盗取资产类数据。利益驱动是黑客执着于此类木马设计的主要原因。
2.威胁类型变化趋势
以下五张图展示了Trojan、Virus、Adware、Backdoor、Worm主要的四类恶意代码在本季度的爆发平率,清晰展示不同时期的威胁波动。
Trojan类恶意代码第四季度爆发趋势
Virus类恶意代码第四季度爆发趋势
Adware类恶意代码第四季度爆发趋势
Backdoor类恶意代码第四季度爆发趋势
Worm类恶意代码第四季度爆发趋势
三、典型案例
1.新一轮勒索者病毒变种爆发
勒索类病毒已经存在了许多年,今年开始再次呈现爆发趋势,第四季度更是新增多起VVV病毒中毒事件。根据反病毒实验室从全国各地采集的样本分析,对此类犯罪手法做跟踪梳理。
1.1 Cryptolocker卷土重来
上图对曾经历过勒索者病毒敲诈的用户来说并不陌生,若在在PC机上弹出这类提示,意味着勒索者病毒已经将本地文件加密完毕,此时除了支付赎金没有更好的办法。Cryptolocker在2013年被发现,在全球范围内掀起波澜,然而当时病毒加密算法和密钥复杂度有限,某些机构声称可以尝试找回部分被加密的文件。2015年初爆发新变种的样本显示,其的确采用声称的RSA算法,并使用2048位密钥进行加密,这使得在获得黑客手上的解密密钥之前,即便通过逆向工程破解病毒源代码也没有有效办法恢复加密数据。这一趋势使得病毒的严重性突增,导致被勒索的用户向黑客付费情况增多。
1.2 CTB-Locker在我国爆发
CTB-Locker是一款比特币敲诈病毒,2015年初,CTB-Locker在国内爆发式传播,木马会加密受害者主机中的docx、xlsx、 jpg、pdf、等114种格式的文件,甚至包括一些游戏文件。使用比特币做赎金是CTB-Locker的特点。
1.3 TeslaCrypt家族
有媒体报道本季度一款名为的VVV的病毒在日本施虐,属于TeslaCrypt家族新变种。然而没过多久,病毒在我国部分地区登录了,VVV病毒因被其加密后的文件形成VVV后缀而得名。
实验室从某客户内网获取到一些以invoice_作为文件名开头,以.js为后缀名的样本,通过人工分析,确认属于vvv病毒的下载器。被勒索用户点击运行了这些来自邮件的js脚本,脚本运行后连接外网下载勒索者可执行文件到本地静默运行,在将本地文件加密完毕后弹出上图提示。病毒使用RSA-4096的密钥对相比之前,加密强度又提升到一个新高度。
2.传统木马新趋势
本季度11月份,金山安全反病毒实验室发现Zbot木马型间谍软件新变种,以此为切入点,通过横向关联分析发现了与其紧密相关的其他几款木马,分析认为其背后有着强大的恶意病毒联盟作为支撑。木马开始展现出抱团协同作战,同时执行多种任务的新趋势。
某企业发生大部分员工的个人邮箱地址和登录信息被窃取事件,通过现场取证调查,得到截获的样本的家族分类统计表(未标数值为事后分析疑似感染的木马家族)。基于分析经验,同一内网同时大规模感染不同家族木马的概率微乎其微,因此判断这些被感染的木马之间存在某种关联性。
进一步分析发现,Zbot善于利用社会工程学伪造商务往来邮件, 诱使用户打开运行,除窃取敏感数据、允许远程访问和控制主机外,还具有下载其他恶意程序到本地启动的功能,如:Dofoil、Fareit、Gamarue等。下载执行的木马有可以进一步盗取FTP帐号密码 、Chrome、Firefox、Internet Explorer和Opera中存储的网站密码、服务器名称、端口号、登录ID等信息。Gamarue还可以通过移动存储设备传播,继续加剧感染性,同时利用盗取的邮箱信息,黑客可以利用其传播其他木马,如Kelihos、Cutwail。此外,Zbot也有可能通过这些病毒木马感染主机。由此,以上各类木马得以入侵受害者主机。这些木马都有远控功能,而且各自还有独特的功能,如执行DDoS攻击、发送垃圾邮件等。
以上分析可以看出,木马威胁心态由单一恶意代码源向木马集群式攻击过度,目标由单一任务向多任务过度。为防护这一恶意代码威胁新趋势,需要安全研究员企业安全运维人员对此予以高度重视。
四、总结
这份报告展示了2015年第四季度安全威胁发展态势,可以为安全防御方向决策提供有价值的参考。
可以预见,世界发达国家和地区威胁持续存在,发展中国家由于网络设施快速建设,信息安全的不足必将逐渐暴露出来。在我国发达省份,沿海开放地区安全形势持续严峻。从恶意程序类型上看三大感染型病毒威胁持续存在,不时涌现新型的威胁。而勒索者病毒在即将到来的2016年保持增长势头,防御木马入侵也变得越来与复杂与困难。
安全是一个快速发展的行业,提高对信息安全的意识,才能防患于未然。金山安全反病毒实验室将继续保持安全趋势的敏感性,为广大客户提供更多更新的业内动态。
