根據KSN:
卡巴斯基實驗室解決方案阻止了來自全球187個國家/地區的在線資源發起的962,947,023次攻擊。
網絡防病毒組件將351,913,075個唯一的URL識別為惡意URL。
記錄了215,762個用戶遭到的旨在通過在線訪問銀行帳戶來竊取資金的惡意軟體感染。
記錄了158,921個唯一用戶遭到的勒索軟體攻擊。
文件防病毒產品記錄了192,053,604個不同的惡意和潛在有害的樣本。
卡巴斯基實驗室行動裝置防護產品檢測到:
o 1,744,244個惡意安裝包
o 61,045個移動銀行木馬安裝包
o 14,119個移動勒索軟體木馬安裝包
移動威脅綜合統計在2018年第二季度,卡巴斯基實驗室檢測到1,744,244個惡意安裝包,比上一季度增加了421,666個。
檢測到的惡意安裝包數量,2017年第二季度 - 2018年第二季度
檢測到的惡意移動app的類型分布
檢測到的惡意移動app的類型分布,2018年第一季度
新近檢測到的惡意移動app的類型分布,2018年第二季度
在2018年第二季度發現的所有威脅中,最大的份額屬於潛在有害的RiskTool app( 55.3%);與上一季度相比,它們的份額增加了6個百分點,RiskTool.AndroidOS.SMSreg 家族的成員對該指標貢獻最大。
排名第二的是Trojan-Dropper威脅(13%),其份額下降了7個百分點。檢測到的大多數這種類型的文件來自Trojan-Dropper.AndroidOS.Piom和Trojan-Dropper.AndroidOS.Hqwar 。
廣告app的份額繼續下降了8%,佔所有檢測到的威脅的 9%(上一季度是11%)。
在報告期間一個顯著的變化是,SMS木馬的份額從第一季度的4.5 %增加到了第二季度的8.5%。
排名前**20**的移動惡意軟體
請注意,此惡意軟體評級不包含潛在危險或有害的程序,如RiskTool或Adware。
樣本 | %* |
| —- | —- | —- |
| 1 | DangerousObject.Multi.Generic | 70.04 |
| 2 | Trojan.AndroidOS.Boogr.gsh | 12.17 |
| 3 | Trojan-Dropper.AndroidOS.Lezok.p | 4.41 |
| 4 | Trojan.AndroidOS.Agent.rx | 4.11 |
| 5 | Trojan.AndroidOS.Piom.toe | 3.44 |
| 6 | Trojan.AndroidOS.Triada.dl | 3.15 |
| 7 | Trojan.AndroidOS.Piom.tmi | 2.71 |
| 8 | Trojan.AndroidOS.Piom.sme | 2.69 |
| 9 | Trojan-Dropper.AndroidOS.Hqwar.i | 2.54 |
| 10 | Trojan-Downloader.AndroidOS.Agent.ga | 2.42 |
| 11 | Trojan-Dropper.AndroidOS.Agent.ii | 2.25 |
| 12 | Trojan-Dropper.AndroidOS.Hqwar.ba | 1.80 |
| 13 | Trojan.AndroidOS.Agent.pac | 1.73 |
| 14 | Trojan.AndroidOS.Dvmap.a | 1.64 |
| 15 | Trojan-Dropper.AndroidOS.Lezok.b | 1.55 |
| 16 | Trojan-Dropper.AndroidOS.Tiny.d | 1.37 |
| 17 | Trojan.AndroidOS.Agent.rt | 1.29 |
| 18 | Trojan.AndroidOS.Hiddapp.bn | 1.26 |
| 19 | Trojan.AndroidOS.Piom.rfw | 1.20 |
| 20 | Trojan-Dropper.AndroidOS.Lezok.t | 1.19 |
*遭相關惡意軟體攻擊的唯一用戶佔所有被攻擊的卡巴斯基實驗室移動防病毒軟體的用戶的百分比。
和以前一樣,我們的TOP20中的第一名是DangerousObject.Multi.Generic( 70.04%),它是我們通過雲技術檢測到的惡意軟體。排在第二位的是Trojan.AndroidOS.Boogr.gsh(12.17%),它是我們通過機器學習識別為惡意軟體的文件。第三名是Dropper.AndroidOS.Lezok.p(4.41%),然後是只相差0.3個百分點的Trojan.AndroidOS.Agent.rx(4.11%),它是第一季度的第三名。
移動威脅的地理分布移動惡意軟體感染的地理分布,2018年第二季度
遭移動惡意軟體攻擊的用戶所佔比例排名前10位的國家/地區:
國家* | **%** |
| —- | —- | —- |
| 1 | 孟加拉國 | 31.17 |
| 2 | 中國 | 31.07 |
| 3 | 伊朗 | 30.87 |
| 4 | 尼泊爾 | 30.74 |
| 5 | 奈及利亞 | 25.66 |
| 6 | 印度 | 25.04 |
| 7 | 印度尼西亞 | 24.05 |
| 8 | 象牙海岸共和國 | 23.67 |
| 9 | 巴基斯坦 | 23.49 |
| 10 | 坦尚尼亞 | 22.38 |
評級中排除了卡巴斯基實驗室移動防病毒軟體用戶數量相對較少的國家(10,000以下)。
*該國家遭到攻擊的唯一用戶佔該國家卡巴斯基實驗室移動防病毒軟體的所有用戶的比例。
在2018年第二季度,孟加拉國(31.17%)名列榜首。中國(31.07%)以微弱優勢排名第二。伊朗(30.87%)和尼泊爾(30.74%)分別獲得第三和第四名。
本季度俄羅斯(8.34%)排名下降到了第38位,落後於中國臺灣(8.48%)和新加坡(8.46%)。
移動銀行木馬在報告期間內,我們檢測到61,045個移動銀行木馬的安裝包,是2018年第一季度的 3.2倍。最大的貢獻來自於Trojan-Banker.AndroidOS.Hqwar.jck - 這個木馬幾乎佔了檢測到的新銀行木馬的一半。其次是Trojan-Banker.AndroidOS.Agent.dq ,約佔5000個安裝包。
卡巴斯基實驗室檢測到的移動銀行木馬安裝包數量,2017年第二季度 - 2018年第二季度
十大移動銀行木馬
樣本 | %* |
| —- | —- | —- |
| 1 | Trojan-Banker.AndroidOS.Agent.dq | 17.74 |
| 2 | Trojan-Banker.AndroidOS.Svpeng.aj | 13.22 |
| 3 | Trojan-Banker.AndroidOS.Svpeng.q | 8.56 |
| 4 | Trojan-Banker.AndroidOS.Asacub.e | 5.70 |
| 5 | Trojan-Banker.AndroidOS.Agent.di | 5.06 |
| 6 | Trojan-Banker.AndroidOS.Asacub.bo | 4.65 |
| 7 | Trojan-Banker.AndroidOS.Faketoken.z | 3.66 |
| 8 | Trojan-Banker.AndroidOS.Asacub.bj | 3.03 |
| 9 | Trojan-Banker.AndroidOS.Hqwar.t | 2.83 |
| 10 | Trojan-Banker.AndroidOS.Asacub.ar | 2.77 |
*遭相關惡意軟體攻擊的唯一用戶佔所有遭銀行木馬攻擊的卡巴斯基實驗室移動防病毒軟體用戶的百分比
第二季度最流行的移動銀行木馬是Trojan-Banker.AndroidOS.Agent.dq(17.74%),緊隨其後的是Trojan-Banker.AndroidOS.Svpeng.aj(13.22%)。這兩個木馬使用網絡釣魚窗口來竊取用戶的銀行卡和網上銀行憑據信息。此外,它們還通過濫用簡訊服務(包括手機銀行)來竊取資金。流行的銀行惡意軟體 Trojan-Banker.AndroidOS.Svpeng.q(8.56%)在評級中排名第三,從第二季度的第二名下降一位。
移動銀行威脅的地理分布,2018年第二季度
遭移動銀行木馬攻擊的用戶比例排名前**10**的國家
國家* | **%** |
| —- | —- | —- |
| 1 | 美國 | 0.79 |
| 2 | 俄國 | 0.70 |
| 3 | 波蘭 | 0.28 |
| 4 | 中國 | 0.28 |
| 5 | 塔吉克斯坦 | 0.27 |
| 6 | 烏茲別克斯坦 | 0.23 |
| 7 | 烏克蘭 | 0.18 |
| 8 | 新加坡 | 0.16 |
| 9 | 摩爾多瓦 | 0.14 |
| 10 | 哈薩克斯坦 | 0.13 |
評級中排除了卡巴斯基實驗室移動防病毒軟體用戶數量相對較少的國家(10,000以下)。
*該國家遭移動銀行木馬攻擊的唯一用戶佔該國家卡巴斯基實驗室移動防病毒軟體所有用戶的百分比。
總體而言,評級與第一季度相比沒有太大變化:俄羅斯(0.70%)和美國(0.79%)交換了位置,但均保持在前三。
由於兩個木馬的活躍傳播,波蘭(0.28%)從第九位上升到第三位,這兩個木馬是Trojan-Banker.AndroidOS.Agent.cw和Trojan-Banker.AndroidOS.Marcher.w。後者於2017年11月首次被發現,它通過典型的銀行惡意軟體工具集:SMS攔截、網絡釣魚窗口和設備管理員權限來確保其在系統中的持久性。
移動勒索軟體木馬在2018年第二季度,我們檢測到14,119**個**移動勒索軟體木馬的安裝包,比第一季度增加了一半。
卡巴斯基實驗室檢測到的移動勒索軟體木馬的安裝包數量,2017年第二季度- 2018年第二季度
樣本 | %* |
| —- | —- | —- |
| 1 | Trojan-Ransom.AndroidOS.Zebt.a | 26.71 |
| 2 | Trojan-Ransom.AndroidOS.Svpeng.ag | 19.15 |
| 3 | Trojan-Ransom.AndroidOS.Fusob.h | 15.48 |
| 4 | Trojan-Ransom.AndroidOS.Svpeng.ae | 5.99 |
| 5 | Trojan-Ransom.AndroidOS.Egat.d | 4.83 |
| 6 | Trojan-Ransom.AndroidOS.Svpeng.snt | 4.73 |
| 7 | Trojan-Ransom.AndroidOS.Svpeng.ab | 4.29 |
| 8 | Trojan-Ransom.AndroidOS.Small.cm | 3.32 |
| 9 | Trojan-Ransom.AndroidOS.Small.as | 2.61 |
| 10 | Trojan-Ransom.AndroidOS.Small.cj | 1.80 |
*遭到相關惡意軟體攻擊的唯一用戶佔所有遭到勒索軟體木馬攻擊的卡巴斯基實驗室移動防病毒軟體用戶的百分比
第二季度最流行的移動勒索軟體是Trojan-Ransom.AndroidOS.Zebt.a(26.71%),超過四分之一的用戶遭到該惡意軟體的攻擊。其次是Trojan-Ransom.AndroidOS.Svpeng.ag(19.15%),領先於曾經最流行的 Trojan-Ransom.AndroidOS.Fusob.h(15.48%)。
移動勒索軟體木馬的地理分布,2018年第二季度
受移動勒索軟體木馬攻擊的用戶所佔比例排名前**10**位的國家
國家* | **%** |
| —- | —- | —- |
| 1 | 美國 | 0.49 |
| 2 | 義大利 | 0.28 |
| 3 | 哈薩克斯坦 | 0.26 |
| 4 | 比利時 | 0.22 |
| 5 | 波蘭 | 0.20 |
| 6 | 羅馬尼亞 | 0.18 |
| 7 | 中國 | 0.17 |
| 8 | 愛爾蘭 | 0.15 |
| 9 | 墨西哥 | 0.11 |
| 10 | 奧地利 | 0.09 |
評級排除了卡巴斯基實驗室的移動防病毒軟體的用戶數量相對較少的國家/地區(少於10,000)
*該國家受到移動勒索軟體木馬攻擊的唯一用戶佔該國家所有卡巴斯基實驗室移動防病毒軟體用戶的百分比
前十名中的第一名是美國(0.49%);該國家最活躍的移動勒索軟體家族是Trojan-Ransom.AndroidOS.Svpeng :
樣本 | %* |
| —- | —- | —- |
| 1 | Trojan-Ransom.AndroidOS.Svpeng.ag | 53.53% |
| 2 | Trojan-Ransom.AndroidOS.Svpeng.ae | 16.37% |
| 3 | Trojan-Ransom.AndroidOS.Svpeng.snt | 11.49% |
| 4 | Trojan-Ransom.AndroidOS.Svpeng.ab | 10.84% |
| 5 | Trojan-Ransom.AndroidOS.Fusob.h | 5.62% |
| 6 | Trojan-Ransom.AndroidOS.Svpeng.z | 4.57% |
| 7 | Trojan-Ransom.AndroidOS.Svpeng.san | 4.29% |
| 8 | Trojan-Ransom.AndroidOS.Svpeng.ac | 2.45% |
| 9 | Trojan-Ransom.AndroidOS.Svpeng.h | 0.43% |
| 10 | Trojan-Ransom.AndroidOS.Zebt.a | 0.37% |
*美國受相關惡意軟體攻擊的唯一用戶佔該國所有受勒索軟體木馬攻擊的卡巴斯基實驗室移動防病毒軟體用戶的百分比
義大利(0.28%)在受移動勒索軟體攻擊的用戶比例的國家排名中位列第二。在這個國家大多數攻擊都是Trojan-Ransom.AndroidOS.Zebt.a 導致的。哈薩克斯坦位於第三名(0.26%),Trojan-Ransom.AndroidOS.Small.cm是那裡最流行的移動勒索軟體。
針對物聯網設備的攻擊從我們的蜜罐數據來看,暴力破解Telnet密碼是最常見的物聯網惡意軟體自我傳播方法。但是,最近針對其他服務(例如控制埠)的攻擊數量有所增加。這些埠被分配了用於通過路由器進行遠程控制的服務 – 這一功能是ISP等所需要的。我們已經觀察到通過埠8291和埠7547(TR-069協議)發起的針對IoT設備的攻擊嘗試。埠8291是MikrotikRouterOS的控制服務使用的埠。埠7547用於管理德國電信網絡中的設備。
在這兩個案例中,攻擊的性質都比普通的暴力攻擊要複雜得多;確切地說,它們涉及到漏洞利用。我們傾向於認為,在以下兩個因素的支持下,此類攻擊的數量將在未來繼續增長:
· 暴力破解Telnet密碼是一種低效率的策略,因為攻擊者之間存在激烈的競爭。每隔幾秒鐘就會有暴力攻擊的嘗試;一旦成功,攻擊者就會阻止所有其他攻擊者通過Telnet訪問。
· 每次重啟設備後,攻擊者都必須重新感染它,從而導致部分殭屍網絡丟失以及必須在一個充滿競爭的環境中再次獲得它。
從另一方面來講,利用一個漏洞的首個攻擊者可以在最短的時間內獲得大量設備的訪問權限。
遭到攻擊的服務的受歡迎程度(按受攻擊的唯一設備的數量),2018年第二季度
Telnet攻擊攻擊模式如下:攻擊者發現目標設備,檢查Telnet埠是否打開,並啟動密碼暴力破解程序。由於許多物聯網設備製造商忽視了安全性(例如,他們在設備上保留服務密碼並且不允許用戶定期更改它們),這種攻擊變得十分成功並且可能影響整個設備產線。受感染的設備開始掃描新的網絡段並感染其中的新的類似設備或工作站。
通過Telnet攻擊感染的物聯網設備的地理分布,2018年第二季度
通過**Telnet攻擊感染的物聯網設備所佔比例排名前10位的國家/**地區
國家 | %* |
| —- | —- | —- |
| 1 | 巴西 | 23.38 |
| 2 | 中國 | 17.22 |
| 3 | 日本 | 8.64 |
| 4 | 俄羅斯 | 7.22 |
| 5 | 美國 | 4.55 |
| 6 | 墨西哥 | 3.78 |
| 7 | 希臘 | 3.51 |
| 8 | 韓國 | 3.32 |
| 9 | 土耳其 | 2.61 |
| 10 | 印度 | 1.71 |
*每個特定國家/地區的受感染設備佔所有遭到Telnet攻擊的物聯網設備的百分比
在第二季度,巴西(23.38%)在受感染設備的數量方面處於領先地位,同樣地,其在Telnet攻擊數量方面也處於領先地位。其次是小幅上漲的中國(17.22%),第三名則是日本(8.64%)。
在這些攻擊中,攻擊者最常將Backdoor.Linux.Mirai.c(15.97%)下載到受感染的設備。
在成功的**Telnet攻擊中下載到受感染的IoT**設備的十大惡意軟體
樣本 | %* |
| —- | —- | —- |
| 1 | Backdoor.Linux.Mirai.c | 15.97 |
| 2 | Trojan-Downloader.Linux.Hajime.a | 5.89 |
| 3 | Trojan-Downloader.Linux.NyaDrop.b | 3.34 |
| 4 | Backdoor.Linux.Mirai.b | 2.72 |
| 5 | Backdoor.Linux.Mirai.ba | 1.94 |
| 6 | Trojan-Downloader.Shell.Agent.p | 0.38 |
| 7 | Trojan-Downloader.Shell.Agent.as | 0.27 |
| 8 | Backdoor.Linux.Mirai.n | 0.27 |
| 9 | Backdoor.Linux.Gafgyt.ba | 0.24 |
| 10 | Backdoor.Linux.Gafgyt.af | 0.20 |
*在成功的Telnet攻擊中每個特定惡意軟體程序下載到IoT設備的比例佔此類攻擊中所有惡意軟體下載量的百分比
SSH攻擊此類攻擊的發起類似於Telnet攻擊,唯一的區別是它們需要殭屍機器在其上安裝SSH客戶端以暴力破解登錄憑據。SSH協議是加密保護的,因此暴力破解密碼需要大量的計算資源。因此,來自物聯網設備的自我傳播效率低下,攻擊者往往是使用成熟的伺服器來發起攻擊。SSH攻擊的成功取決於設備所有者或製造商的失誤;換句話說,這又是製造商分配給整個設備產線的弱密碼或預設密碼導致的。
中國在物聯網設備受SSH攻擊方面處於領先地位。此外,中國在受Telnet攻擊方面排名第二。
通過SSH攻擊感染的物聯網設備的地理分布,2018年第二季度
通過**SSH攻擊感染的物聯網設備所佔比例排名前10**位的國家
國家 | %* |
| —- | —- | —- |
| 1 | 中國 | 15.77% |
| 2 | 越南 | 11.38% |
| 3 | 美國 | 9.78% |
| 4 | 法國 | 5.45% |
| 5 | 俄羅斯 | 4.53% |
| 6 | 巴西 | 4.22% |
| 7 | 德國 | 4.01% |
| 8 | 韓國 | 3.39% |
| 9 | 印度 | 2.86% |
| 10 | 羅馬尼亞 | 2.23% |
*每個國家/地區受感染設備的比例佔所有遭到SSH攻擊的受感染IoT設備的百分比
金融行業面臨的在線威脅第二季度相關事件新銀行木馬**DanaBot**
DanaBot木馬於5月被發現。它具有模塊化結構,能夠加載額外的模塊以攔截流量、竊取密碼和加密貨幣錢包等 - 通常是此類威脅的標準功能集。該木馬通過包含惡意office文檔的垃圾郵件傳播,此文檔隨後用於加載木馬的主體。DanaBot 最初主要針對澳大利亞的用戶和金融機構,但是在4月初,我們注意到它已經變得積極針對波蘭的金融機構。
獨特的**BackSwap**技術
銀行木馬BackSwap變得更加有趣。大多數類似的威脅,包括Zeus**、**Cridex 和Dyreza在內,都是通過攔截用戶的流量,將惡意腳本注入受害者訪問的銀行頁面或將其重定向到釣魚網站。相比之下,BackSwap使用了一種創新的技術來注入惡意腳本:利用WinAPI。它通過模擬敲擊鍵盤以在瀏覽器中打開開發者控制臺,然後使用此控制臺將惡意腳本注入網頁。在BackSwap的後續版本中,它使用JavaScript 代碼通過地址欄注入惡意腳本。
Carbanak**團伙頭目被逮捕**
3月26日,歐洲刑警組織宣布逮捕Carbanak 和CobaltGoblin背後的網絡犯罪團夥的頭目。這是由西班牙皇家警察、歐洲刑警組織、聯邦調查局以及羅馬尼亞、摩爾多瓦、白俄羅斯和中國臺灣當局以及私人信息安全公司之間的聯合行動。預計該頭目的被捕將減少該組織的活動,但最近的數據顯示,該組織的活動沒有發生明顯的下降。在 5月和6月,我們發現了針對東歐銀行和加工公司的多起針對性網絡釣魚攻擊浪潮。Carbanak 發出的釣魚郵件偽裝成信譽良好的反惡意軟體供應商、歐洲中央銀行和其他組織的支持熱線。這些電子郵件包含利用CVE-2017-11882和CVE-2017-8570 漏洞的文件附件。
勒索軟體木馬使用**Doppelgänging**技術
卡巴斯基實驗室的專家檢測到了勒索軟體 TrojanSynAck使用ProcessDoppelgänging技術的案例。該惡意軟體的作者使用這種複雜的技術使其更加隱蔽,並使安全解決方案的檢測變得更加困難。這是第一個將該技術用于勒索軟體木馬的案例。
另一個引人注目的事件是加密類惡意軟體Purga(又名Globe)的傳播活動,在此期間,這個惡意軟體與包括一個銀行木馬在內的其他惡意軟體一起被加載到感染了木馬Dimnie的計算機上。
關於金融威脅的綜合統計這些統計數據是基於從同意提供統計數據的用戶那裡收到的卡巴斯基實驗室產品檢測到的樣本數據。
在2018年第二季度,卡巴斯基實驗室解決方案幫助215,762個用戶阻止了一個或多個試圖從銀行帳戶竊取資金的惡意軟體的企圖。
遭金融惡意軟體攻擊的唯一用戶的數量,2018年第二季度
攻擊的地理分布銀行惡意軟體攻擊的地理分布,2018年第二季度
按遭到攻擊的用戶比例排名前**10位的國家/**地區
國家* | 遭到攻擊的用戶比例**%** |
| —- | —- | —- |
| 1 | 德國 | 2.7% |
| 2 | 喀麥隆 | 1.8% |
| 3 | 保加利亞 | 1.7% |
| 4 | 希臘 | 1.6% |
| 5 | 阿拉伯聯合大公國 | 1.4% |
| 6 | 中國 | 1.3% |
| 7 | 印度尼西亞 | 1.3% |
| 8 | 利比亞 | 1.3% |
| 9 | 多哥 | 1.3% |
| 10 | 黎巴嫩 | 1.2% |
這些統計數據是基於從同意提供統計數據的卡巴斯基實驗室產品用戶收到的防病毒產品的檢測數據。
不包括卡巴斯基實驗室產品的用戶相對較少的國家(10,000以下)。
*其計算機遭到銀行木馬或ATM/ PoS惡意軟體攻擊的卡巴斯基實驗室唯一用戶佔該國家卡巴斯基實驗室產品所有唯一用戶的百分比。
十大銀行惡意軟體家族
名稱 | 樣本* | 遭到攻擊的用戶比例**%** |
| —- | —- | —- | —- |
| 1 | Nymaim | Trojan.Win32. Nymaim | 27.0% |
| 2 | Zbot | Trojan.Win32. Zbot | 26.1% |
| 3 | SpyEye | Backdoor.Win32. SpyEye | 15.5% |
| 4 | Emotet | Backdoor.Win32. Emotet | 5.3% |
| 5 | Caphaw | Backdoor.Win32. Caphaw | 4.7% |
| 6 | Neurevt | Trojan.Win32. Neurevt | 4.7% |
| 7 | NeutrinoPOS | Trojan-Banker.Win32.NeutrinoPOS | 3.3% |
| 8 | Gozi | Trojan.Win32. Gozi | 2.0% |
| 9 | Shiz | Backdoor.Win32. Shiz | 1.5% |
| 10 | ZAccess | Backdoor.Win32. ZAccess | 1.3% |
這些統計數據是基於從同意提供統計數據的卡巴斯基實驗室產品用戶收到的卡巴斯基產品的檢測樣本。
*受此惡意軟體攻擊的唯一用戶佔所有受金融惡意軟體攻擊的用戶的百分比。
在2018年第二季度,TOP10的整體構成保持不變,但排名發生了一些變化。在交換位置後, Trojan.Win32.Zbot(26.1%)和Trojan.Win32.Nymaim(27%)依舊保持領先。銀行木馬Emotet的攻擊活動增加,因此受攻擊用戶的比例從2.4%增加到5.3%。反之,Caphaw的攻擊活動從第一季度的15.2%大幅縮減至4.7%,在評級中排名第五。
加密類惡意軟體新變體的數量在第二季度,我們檢測到7,620個新的加密類惡意軟體變體。這比第一季度要高,但仍遠低於去年的數字。
加密類惡意軟體新變體的數量,2017年第二季度- 2018年第二季度
遭到加密木馬攻擊的用戶數量在2018年第二季度,卡巴斯基實驗室的產品幫助158,921個唯一用戶阻止了其計算機上的加密類惡意軟體攻擊。我們的統計數據顯示,第二季度網絡犯罪分子的活動與第一季度相比和環比均有所下降。
遭到加密木馬攻擊的唯一用戶數,2018年第二季度
攻擊的地理分布遭到加密木馬攻擊的前十大國家
國家* | 遭到加密木馬攻擊的用戶比例**%** |
| —- | —- | —- |
| 1 | 衣索比亞 | 2.49 |
| 2 | 烏茲別克斯坦 | 1.24 |
| 3 | 越南 | 1.21 |
| 4 | 巴基斯坦 | 1.14 |
| 5 | 印度尼西亞 | 1.09 |
| 6 | 中國 | 1.04 |
| 7 | 委內瑞拉 | 0.72 |
| 8 | 亞塞拜然 | 0.71 |
| 9 | 孟加拉國 | 0.70 |
| 10 | 蒙古 | 0.64 |
不包括卡巴斯基實驗室用戶相對較少的國家/地區(50,000以下)。
*其計算機遭到加密木馬攻擊的唯一用戶佔該國家卡巴斯基實驗室產品所有唯一用戶的百分比。
第二季度的TOP10國家列表幾乎與第一季度相同。然而,還是有一些排名變化:衣索比亞(2.49%)使得烏茲別克斯坦(1.24%)從第一位下降到第二位,而巴基斯坦(1.14%)上升到第四位。越南(1.21%)保持第三位,印度尼西亞(1.09%)繼續排名第五。
十大最廣泛傳播的加密木馬家族
名稱* | 樣本 | 遭到攻擊的用戶比例**%** |
| —- | —- | —- | —- |
| 1 | WannaCry | Trojan-Ransom.Win32.Wanna | 53.92 |
| 2 | GandCrab | Trojan-Ransom.Win32.GandCrypt | 4.92 |
| 3 | PolyRansom/VirLock | Virus.Win32.PolyRansom | 3.81 |
| 4 | Shade | Trojan-Ransom.Win32.Shade | 2.40 |
| 5 | Crysis | Trojan-Ransom.Win32.Crusis | 2.13 |
| 6 | Cerber | Trojan-Ransom.Win32.Zerber | 2.09 |
| 7 | (generic verdict) | Trojan-Ransom.Win32.Gen | 2.02 |
| 8 | Locky | Trojan-Ransom.Win32.Locky | 1.49 |
| 9 | Purgen/GlobeImposter | Trojan-Ransom.Win32.Purgen | 1.36 |
| 10 | Cryakl | Trojan-Ransom.Win32.Cryakl | 1.04 |
統計數據是基於卡巴斯基實驗室產品的檢測樣本。這些信息由同意提供統計數據的卡巴斯基實驗室產品的用戶提供。
*遭特定加密木馬家族攻擊的卡巴斯基實驗室唯一用戶佔所有遭加密木馬攻擊的用戶的百分比。
WannaCry進一步擴大了其家族的領先優勢,其份額從第一季度的38.33%上升至53.92 %。與此同時,GandCrab(4.92%,在2018 年第一季度剛剛出現)背後的網絡犯罪分子在傳播方面投入了大量精力,一路上升到第二位,取代了多態蠕蟲PolyRansom(3.81%)。榜單中的其餘位置,就像在Q1中一樣,被熟悉的加密木馬Shade、Crysis、Purgen、Cryakl等所佔據。
惡意挖礦軟體正如我們在《2016 - 2018年勒索軟體和惡意挖礦軟體趨勢報告》中報告的,勒索軟體正在逐漸下降,而加密貨幣礦工正在開始取而代之。因此,今年我們開始決定發布有關威脅類型狀況的季度報告。同時,我們開始使用更廣泛的樣本作為收集礦工統計數據的基礎,因此第二季度的統計數據可能與我們早期出版物的數據並不一致。它包括了我們檢測為木馬的隱匿礦工以及發布在 「非病毒的灰色軟體」中的礦工。
新變體的數量在2018年第二季度,卡巴斯基實驗室解決方案檢測到了13,948個新的礦工變體。
新礦工變體的數量,2018年第二季度
遭到惡意挖礦軟體攻擊的用戶數量
在第二季度,我們在全球2,244,581名卡巴斯基實驗室用戶的計算機上檢測到涉及挖礦程序的攻擊。
遭惡意挖礦軟體攻擊的唯一用戶數量,2018年第二季度
在4月和5月,遭到攻擊的用戶數量大致相等,而在6月份,加密礦工的攻擊活動略有減少。
攻擊的地理分布
惡意挖礦攻擊的地理分布,2018年第二季度
按遭到攻擊的用戶比例排名前**10位的國家/**地區
國家* | 遭到攻擊的用戶比例**%** |
| —- | —- | —- |
| 1 | 衣索比亞 | 17.84 |
| 2 | 阿富汗 | 16.21 |
| 3 | 烏茲別克斯坦 | 14.18 |
| 4 | 哈薩克斯坦 | 11.40 |
| 5 | 白俄羅斯 | 10.47 |
| 6 | 印度尼西亞 | 10.33 |
| 7 | 莫三比克 | 9.92 |
| 8 | 越南 | 9.13 |
| 9 | 蒙古 | 9.01 |
| 10 | 烏克蘭 | 8.58 |
不包括卡巴斯基實驗室產品用戶相對較少的國家(50,000以下)。
*其計算機遭到惡意挖礦軟體攻擊的卡巴斯基實驗室唯一用戶佔該國家所有卡巴斯基實驗室產品唯一用戶的百分比。
在2018年第二季度,我們再次觀察到最常遭到攻擊的平臺分布上的一些重大變化。Microsoft Office 漏洞利用的比例(67%)相比第一季度增加了一倍,如果與2017年的平均值相比,則是四倍。這種急劇增長主要是由於包含漏洞利用(CVE-2017-11882)的垃圾郵件的大規模傳播導致的。存在於舊版本的公式編輯器組件中的該棧溢出漏洞影響了過去18年來發布的每一個Office 版本。該漏洞利用可在Office軟體包和Windows的所有可能組合中穩定生效。另一方面,它還允許攻擊者使用各種混淆技術來繞過保護措施。這兩個因素使得該漏洞利用成為第二季度網絡犯罪分子手中最受歡迎的工具。其他 Office漏洞利用的比例與第一季度相比則沒有發生大的變化。
第二季度KSN的統計數據還顯示,越來越多的AdobeFlash漏洞通過MicrosoftOffice被利用。儘管Adobe和微軟努力阻止對FlashPlayer 的漏洞利用,但新的零日漏洞CVE-2018-5002在第二季度被發現。該漏洞利用通過XLSX文件傳播,並使用了一個鮮為人知的技術來遠程下載漏洞利用而不是直接在文件中包含該漏洞利用。與其他多種文件格式一樣,SWF文件以OLE對象的格式在Office文檔中呈現。該OLE對象包含實際的文件和屬性列表,其中一個屬性指向SWF文件的路徑。漏洞利用中的OLE對象並沒有包含SWF文件,但只包含了一個屬性的列表,包括指向SWF文件的web連結,這會強制Office 從該遠程連結中下載缺失的文件。
網絡犯罪分子使用的漏洞利用針對的應用程式的類型分布,**2018**年第二季度
在2018年3月下旬,在 VirusTotal上檢測到一個包含兩個零日漏洞的PDF文檔: CVE-2018-4990和CVE-2018-8120 。前者允許通過利用AcrobatReader中的JPEG2000格式圖像處理器中的軟體錯誤從 JavaScript執行shellcode。後者存在於win32k 函數SetImeInfoEx中 ,用於進一步提權到SYSTEM級別,並使該PDF閱讀器能夠逃離沙箱。對該文檔的分析和我們的統計數據顯示,在上傳到 VirusTotal時,此漏洞利用尚處於開發階段,並未用於野外攻擊。
4月下旬,卡巴斯基實驗室專家利用沙箱在InternetExplorer中發現了零日漏洞 CVE-2018-8174,並向微軟報告。對此漏洞的利用使用了與CVE-2017-0199 相關聯的技術(通過特製的OLE對象從遠程源啟動HTA腳本),以便在MicrosoftOffice 的幫助下利用易受攻擊的InternetExplorer組件。我們觀察到漏洞利用程序包的創建者已經集成了這個漏洞並通過網站和包含惡意文檔的電子郵件主動分發該漏洞利用。
還是在第二季度,我們觀察到網絡攻擊的數量不斷增長。利用MS17-010漏洞利用的攻擊嘗試越來越多;它構成了我們檢測到的網絡攻擊的大多數。
通過網絡資源發起的攻擊本章中的統計信息是基於Web反病毒產品,它可以在惡意對象從惡意/受感染的網頁下載時保護用戶。惡意網站是由網絡犯罪分子專門創建的;包含用戶創建內容的Web資源(例如論壇)以及被黑客入侵的合法資源可能會被感染。
在線資源被植入惡意軟體的排名前十大的國家/地區以下統計信息是基於攻擊中使用的在線資源(包含惡意重定向的網頁、包含漏洞利用以及惡意軟體的網站、殭屍網絡C&C伺服器,等等)的物理位置,這些攻擊被我們的防病毒組件所阻止。任何唯一的主機都可能是一個或多個網絡攻擊的來源。為了確定網絡攻擊來源的地理分布,我們將其域名與其實際域IP位址進行匹配,然後建立一個特定IP的地理位置庫(GEOIP)。
在2018年第二季度,卡巴斯基實驗室解決方案阻止了來自全球187個國家的網絡資源發起的962,947,023次攻擊。網絡防病毒組件將351,913,075個唯一URL識別為惡意URL。
網絡攻擊來源的國家分布,2018年第二季度
在第二季度,網絡攻擊來源國家排名的前四名保持不變。美國(45.87%)是大多數網絡攻擊來源的所在地。荷蘭(25.74 %)排名第二,德國(5.33%)排名第三。第五名發生了變化:俄羅斯(1.98%)取代了英國,儘管其份額下降了 0.55個百分點
用戶面臨在線感染風險最大的國家/地區為了評估不同國家/地區的用戶面臨的在線感染風險,我們計算了每個國家/地區的卡巴斯基實驗室用戶的計算機在本季度觸發Web防病毒組件的百分比。由此產生的數據代表了計算機在不同的國家運行所面臨的風險指標。
此評級僅涵蓋屬於惡意軟體類型的惡意程序的攻擊;不包括針對潛在的危險或有害程序(如灰色軟體或廣告軟體)的Web防病毒檢測數據。
國家* | 遭到攻擊的用戶比例** |
| —- | —- | —- |
| 1 | 白俄羅斯 | 33.49 |
| 2 | 阿爾巴尼亞 | 30.27 |
| 3 | 阿爾及利亞 | 30.08 |
| 4 | 亞美尼亞 | 29.98 |
| 5 | 烏克蘭 | 29.68 |
| 6 | 摩爾多瓦 | 29.49 |
| 7 | 委內瑞拉 | 29.12 |
| 8 | 希臘 | 29.11 |
| 9 | 吉爾吉斯斯坦 | 27.25 |
| 10 | 哈薩克斯坦 | 26.97 |
| 11 | 俄羅斯 | 26.93 |
| 12 | 烏茲別克斯坦 | 26.30 |
| 13 | 亞塞拜然 | 26.12 |
| 14 | 塞爾維亞 | 25.23 |
| 15 | 卡達 | 24.51 |
| 16 | 拉脫維亞 | 24.40 |
| 17 | 越南 | 24.03 |
| 18 | 喬治亞 | 23.87 |
| 19 | 菲律賓 | 23.85 |
| 20 | 羅馬尼亞 | 23.55 |
*這些統計數據是基於Web防病毒模塊返回的檢測結果,這些檢測結果是從同意提供統計數據的卡巴斯基實驗室產品用戶處收到的。
不包括卡巴斯基實驗室用戶相對較少的國家/地區(10,000以下)。
**惡意軟體類的攻擊所針對的唯一用戶佔該國家卡巴斯基實驗室產品所有唯一用戶的百分比。
惡意網絡攻擊的地理分布(受攻擊用戶的百分比),2018年第二季度
平均而言,全球有19.59%的網際網路用戶的計算機至少經歷過一次惡意軟體類的網絡攻擊。
本地威脅用戶計算機的本地感染統計數據是一個非常重要的指標:它們反映了通過被感染文件、可移動媒介或最初以加密格式進入計算機的文件(例如集成在複雜安裝程序、加密文件等中的程序)侵入計算機系統的威脅。
本節中的數據是基於防病毒組件對硬碟驅動器上的文件的掃描結果,以及對可移動存儲介質的掃描結果的分析統計。
在2018年第二季度,我們的文件防病毒組件檢測到192,053,604個惡意和潛在有害的對象。
用戶面臨本地感染風險最高的國家/地區對於每個國家/地區,我們計算了在報告期間觸發了計算機文件防病毒組件的卡巴斯基實驗室產品用戶的百分比。這些統計數據反映了不同國家的個人計算機感染程度。
此評級僅涵蓋屬於惡意軟體類型的攻擊。它不包括文件防病毒組件檢測到的潛在危險或有害程序,如灰色軟體或廣告軟體。
國家* | 遭到攻擊的用戶比例** |
| —- | —- | —- |
| 1 | 烏茲別克斯坦 | 51.01 |
| 2 | 阿富汗 | 49.57 |
| 3 | 塔吉克斯坦 | 46.21 |
| 4 | 葉門 | 45.52 |
| 5 | 衣索比亞 | 43.64 |
| 6 | 土庫曼斯坦 | 43.52 |
| 7 | 越南 | 42.56 |
| 8 | 吉爾吉斯斯坦 | 41.34 |
| 9 | 盧安達 | 40.88 |
| 10 | 蒙古 | 40.71 |
| 11 | 阿爾及利亞 | 40.25 |
| 12 | 寮國 | 40.18 |
| 13 | 敘利亞 | 39.82 |
| 14 | 喀麥隆 | 38.83 |
| 15 | 莫三比克 | 38.24 |
| 16 | 孟加拉國 | 37.57 |
| 17 | 蘇丹 | 37.31 |
| 18 | 尼泊爾 | 37.02 |
| 19 | 尚比亞 | 36.60 |
| 20 | 吉布地 | 36.35 |
這些統計數據是基於OAS和ODS防病毒模塊從同意提供統計數據的卡巴斯基實驗室產品用戶處收到的返回的檢測數據。這些數據包括對位於用戶計算機上或連接到計算機的可移動介質,例如快閃記憶體驅動器、相機和電話存儲卡或外部硬碟驅動器上的惡意程序的檢測結果。
不包括卡巴斯基實驗室用戶相對較少的國家/地區(10,000以下)。
*在其計算機上阻止了惡意軟體類本地威脅的唯一用戶佔該國家卡巴斯基實驗室產品的所有唯一用戶的百分比。
惡意本地攻擊的地理分布(按受攻擊用戶的百分比進行歸類),2018年第二季度
平均而言,全球19.58%的計算機在第二季度經歷過至少一個惡意軟體類的本地威脅。
*本文作者:vitaminsecurity,轉載請註明來自FreeBuf.COM