MalwareBenchMark借助“軟件基因”技術(shù)，自研平臺，匯聚智力和數(shù)據(jù)，持續(xù)關(guān)注各類安全事件和惡意軟件。

在送走2017迎來2018之際，MalwareBenchMark借助大數(shù)據(jù)分析，從傳播范圍、技術(shù)變化和威脅程度等視角分析了2017年多個領(lǐng)域最具“影響力”的惡意軟件。

0X01 APT武器：持續(xù)升級的APT28工具系列

APT武器領(lǐng)域的惡意軟件2017的整體態(tài)勢是技術(shù)升級更加快速多樣，對抗強度加劇。在APT領(lǐng)域2017與2016變化不大，最為風光的仍屬來自俄羅斯的APT組織，APT28&APT29。

其中APT29利用了“端口前置”，利用Tor隱蔽通信行為;而APT28的sednit利用了賽門鐵克的合法證書;Turlar家族則升級到了2.0，專注外交領(lǐng)域的攻擊。

APT領(lǐng)域的對抗正呈現(xiàn)快速升級的狀態(tài)，APT28工具的X-Agent后門年底全面升級，并由Sedkit漏洞利用工具包轉(zhuǎn)為DealersChoice平臺。

0X02 工控系統(tǒng)：繼Stuxnet之后最大威脅的Industroyer

工控系統(tǒng)作為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成，其安全問題廣為關(guān)注，2017年的特點是源于地緣政治因素，針對電力和能源基礎(chǔ)設(shè)施的攻擊最為突出。

2017年6月份發(fā)現(xiàn)的Industroyer惡意代碼家族能夠直接控制變電中的電路開關(guān)和繼電器，該惡意代碼在設(shè)計上不忘借鑒了blackenergy的磁盤擦除功能。Eset將其稱之為繼Stuxnet之后的最大威脅。

12月份又出現(xiàn)了針對安全儀表系統(tǒng)(SIS)的攻擊代碼Triton，該儀表系統(tǒng)在天然氣和石油生產(chǎn)中廣泛使用。

卡巴斯基在2018年工控系統(tǒng)安全預測中指出，將會有更多的攻擊事件涉及到工業(yè)網(wǎng)絡(luò)的間諜活動和利用工業(yè)自動化系統(tǒng)組建的漏洞的惡意代碼。

0X03 物聯(lián)網(wǎng)：持續(xù)“擴張”的Mirai家族

物聯(lián)網(wǎng)領(lǐng)域2017年惡意軟件特點可以用“擴張”一詞總結(jié)。自從Mirai開放源代碼以來，其家族無疑是物聯(lián)網(wǎng)領(lǐng)域最為“閃耀”的明星~!開源模式極大地激發(fā)了黑客們的“創(chuàng)造”熱情，其各類變種層出不窮，感染規(guī)模不斷擴大。

技術(shù)層面上，主要是由針對telnet端口的弱口令掃描、擴展到了ssh端口、同時增加了多種漏洞的利用?？梢灶A見由于WAP2協(xié)議漏洞的出現(xiàn)，wifi體系已經(jīng)極不安全，而這對物聯(lián)網(wǎng)惡意軟件來說是“極大利好”。

2017年與Mirai相關(guān)的知名惡意軟件包括：Rowdy、IoTroops、Satori等。這些惡意軟件以mirai的源代碼為本體，經(jīng)過不斷的變異改進，已經(jīng)從傳統(tǒng)的Linux平臺演變到了Windows平臺，利用的端口也在不斷變化，從傳統(tǒng)的弱口令攻擊轉(zhuǎn)變到了弱口令和漏洞利用的綜合攻擊方式，同時感染設(shè)備范圍由網(wǎng)絡(luò)攝像機、家庭路由，正向有線電視機頂盒等領(lǐng)域“擴張”。

上述多個變種感染的設(shè)備已經(jīng)超過百萬，攻擊方式快速且豐富的衍變，注定2018年在工控物聯(lián)網(wǎng)領(lǐng)域不會風平浪靜!

0X04 銀行/金融：在線銷售的CutletMaker

2017金融領(lǐng)域惡意軟件肆孽，針對SWIFT的攻擊沒有消沉反而日益盛行、多個國家和地區(qū)的ATM遭虐、POS機惡意軟件風靡、針對個人移動終端及支付的惡意軟件變種繁多… …總結(jié)一下就是異常“活躍”，畢竟直接產(chǎn)生經(jīng)濟效益啊~!

值得關(guān)注的是針對金融領(lǐng)域的惡意軟件不再僅僅由來自“黑產(chǎn)”的鏈條產(chǎn)生了，有國家政治背景和訴求的組織也加入了進來，就連CIA也被曝光具有監(jiān)控SWIFT的工具……這里S認為公開在暗網(wǎng)出售針對金融領(lǐng)域的惡意軟件影響更為“惡劣”，有可能極大降低網(wǎng)絡(luò)攻擊的門檻。

CutletMaker的軟件于2017年5月開始在AlphaBay暗網(wǎng)市場上銷售，因為美國有關(guān)機構(gòu)在7月中旬關(guān)閉了AlphaBay，軟件經(jīng)營方現(xiàn)新建了一個獨立網(wǎng)站專門銷售該軟件。

該新網(wǎng)站名為ATMjackpot，出售的正是同種ATM惡意軟件，但有少許修改。軟件經(jīng)營者聲稱，Cutlet Maker對所有Wincor Nixdorf的ATM機均有效，僅需要訪問ATM機的USB端口即可。

根據(jù)廣告，工具包整體打包售價 5000 美元，使用手冊相當詳細，包括作案需要的軟件設(shè)備、可攻擊的ATM機型，以及軟件操作方法和偷竊小技巧，還附有操作演示視頻。

ATM惡意軟件在暗網(wǎng)出售

0X05 犯罪勒索：占領(lǐng)半壁江山的WannaCry

網(wǎng)絡(luò)犯罪在美、中、英等國家已經(jīng)成為第一大犯罪類型了，而勒索軟件是其中重要的手段之一，2017年勒索軟件的特點是“模式創(chuàng)新”。無容置疑，2017最具影響力的勒索軟件當屬WannaCry了，它在2017年著實折騰了我們一把(呵呵)!

關(guān)于WannaCry多講了，大家聽得太多了。但在WannaCry之前，勒索軟件Cerber一直穩(wěn)居勒索類惡意代碼的頭把交椅，自從WannaCry利用“永恒之藍”漏洞沖擊了整個地球互聯(lián)網(wǎng)之后，WannaCry在全部勒索軟件中占到了半壁江山。

2017值得關(guān)注的是：勒索軟件目前成為了暗網(wǎng)上最大的交易項目，并“創(chuàng)新模式”出現(xiàn)了定制化的服務，甚至某些勒索軟件出現(xiàn)了類似于傳銷的營銷模式，一個人被勒索之后，只要講勒索軟件轉(zhuǎn)發(fā)到10個以上的微信群或社區(qū)群，就能解密自己的系統(tǒng)。

在2018年這種趨勢會更加明顯，醫(yī)療保健、政府和關(guān)鍵基礎(chǔ)設(shè)施、教育行業(yè)仍可能將是被勒索的重災區(qū)。

0X06 移動終端：安卓終端排名第一的Rootnik

移動終端始終是惡意軟件鐘情的場所，畢竟移動終端的網(wǎng)絡(luò)用戶已經(jīng)超過了傳統(tǒng)PC網(wǎng)民，同時，移動終端承載了太多的“關(guān)鍵”應用，例如我們常用的“支付寶”，嘻嘻。

而在移動端安卓無疑是重災區(qū)。2017年的安卓惡意代碼比2016年增加了17.6%。其中Rootnik是最流行的惡意軟件家族，POrnclk占第二位，其余的是Axent、Slocker和Dloader。

有意思的是GooglePlay上的很多應用程序被Rootnik綁定，該家族在9月下旬也被發(fā)現(xiàn)利用了DirtyCowLinux漏洞。

安卓手機供應鏈安全值得擔憂，38部手機被爆預裝惡意軟件

0X07 劫持與廣告：造成史上最大規(guī)模感染的FireBall

受到黑產(chǎn)的豐厚利益回報，劫持軟件與非法廣告一直是惡意軟件的一個熱門領(lǐng)域，但2017讓人大吃一驚的是出現(xiàn)了 "歷史上最大規(guī)模的惡意軟件感染" FireBall。而這個感染主機最多的惡意軟件竟然出自國人之手。FireBall據(jù)稱已感染全球超過2.5億臺計算機，完全有能力 "引發(fā)全球災難"。

FireBall可以控制互聯(lián)網(wǎng)瀏覽器, 監(jiān)視受害者的 web 使用, 并可能竊取個人文件。FireBall 與擁有3億客戶聲稱提供數(shù)字營銷和游戲應用程序的中國公司Rafotech(卿燁科技http://www.rafotech.com/)相關(guān)。

FireBall行同 "瀏覽器-劫持", 它通過捆綁看似合法的軟件工作。該軟件將操縱受害者的瀏覽器, 改變搜索引擎, 并挖出用戶數(shù)據(jù)。它有能力運行代碼、下載文件、安裝 plug-ins、更改計算機配置、監(jiān)視用戶, 甚至充當高效的惡意軟件下載器。

已經(jīng)觀察到2530萬的感染在印度 (10.1%), 2410萬在巴西 (9.6%), 1610萬在墨西哥 (6.4%), 和1310萬在印度尼西亞 (5.2%)。在美國它感染了550萬設(shè)備 (2.2%)。全球20% 的企業(yè)網(wǎng)絡(luò)可能受到影響。

史上最大的感染事件：國產(chǎn)FireBall感染2.5億臺計算機能引發(fā)'全球災難'

0X08 Windows & office：被濫用的NSA工具DoublePulsar

MS的windows和office一直是遭受惡意軟件威脅的主要對象，2017也是如此。從window UAC繞過到def漏洞、從office老版本到365，都是惡意軟件關(guān)注的目標。CIA和NSA相關(guān)漏洞及利用工具的曝光促進了這個領(lǐng)域的惡意軟件繁衍。

2017年很有意思的是，CVE-2012-0158雖然不是最常用的Offce 漏洞，但是卻被一些人稱為“不會死的漏洞“，從2012年披露至今，仍然被大量的使用。2017年，最受攻擊者喜歡的漏洞是CVE-2017-0199，而CVE-2017-0199安全漏洞在Microsoft Offce的多個版本中可以利用。

但談到惡意軟件則是CIA和NSA曝光工具中的一系列最為突出，其中DoublePulsar，是由Shadow Brokers泄露的NSA黑客工具之一，現(xiàn)在該工具已被普通黑客使用，在全世界感染了超過36000臺設(shè)備。外媒Hacker News報道，Below0Day掃描結(jié)果顯示，全球有5561708臺Windows系統(tǒng)(SMB服務)445端口暴露于互聯(lián)網(wǎng)中，已確認有30625主機設(shè)備感染了惡意軟件。目前被感染的主機設(shè)備絕大多數(shù)位于美國地區(qū)，其次為英國、中國臺灣和韓國。

0X09 惡意郵件：造成30億美元損失的尼日利亞釣魚

2017年惡意郵件的盛行依舊，Phishme的數(shù)據(jù)顯示，90%的網(wǎng)絡(luò)攻擊開始于釣魚郵件。這個領(lǐng)域2017年度的趨勢是勒索和欺詐軟件正被垃圾郵件打包傳播，同時正向關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域拓展威脅。

2017年出現(xiàn)的“尼日利亞釣魚”不得不提，近三年來“尼日利亞釣魚”造成的商業(yè)損失高達30億美元，該釣魚方式通過劫持真正的企業(yè)賬戶，監(jiān)控金融交易，并對交易重定向。最關(guān)鍵的是該釣魚郵件影響針對了全球22143多家機構(gòu)，涉及到冶金、建筑、運輸?shù)母鱾€行業(yè)，之所以能夠發(fā)起這么大規(guī)模的攻擊，就是因為當前發(fā)動釣魚攻擊的成本已經(jīng)非常低。

0X10 無文件/腳本惡意軟件：被用于挖礦的NSA 漏洞利用工具Zealot

2017年突出的是無文件駐留和腳本類惡意軟件呈現(xiàn)爆發(fā)態(tài)勢，從PowerShell到AutoIt各類腳本惡意軟件突發(fā)，這對傳統(tǒng)的安全防御技術(shù)提出了全新的挑戰(zhàn)。

據(jù)Carbon Black的2017年威脅報告顯示，無文件惡意軟件攻擊占今年所有攻擊的52%，首次超過基于惡意軟件的攻擊。無文件惡意軟件攻擊(也稱為非惡意軟件攻擊)允許網(wǎng)絡(luò)犯罪分子跳過部署基于惡意軟件的攻擊所需的步驟。

2017年12月，F(xiàn)5 Networks 發(fā)現(xiàn)了一項利用 NSA 漏洞大量入侵 Linux 和Windows 服務器同時植入惡意軟件“ Zealot ”來挖掘 Monero 加密貨幣的攻擊行動。

黑客組織使用兩個漏洞掃描互聯(lián)網(wǎng)上的特定服務器：一個是用于 Apache Struts(CVE-2017-5638 — RCE 遠程代碼執(zhí)行漏洞)，另一個則是用于DotNetNuke ASP.NET CMS( CVE-2017-9822 — DotNetNuke 任意代碼執(zhí)行漏洞)。

黑客組織使用 PowerShell 下載并安裝最后一階段的惡意軟件，該惡意軟件在攻擊行動中充當Monero 礦工的角色。而在 Linux 上，黑客組織則通過從 EmpireProject 后期開發(fā)框架中獲取的 Python 腳本感染系統(tǒng)，并且也會安裝同一個 Monero 礦工。