近日，亞信安全發(fā)布了《2018年第三季度安全威脅報告》。報告顯示，本季度勒索軟件雖然在數(shù)量上有所減少，但是攻擊方式更加多元化，防范的難度也更高。另外，針對 ATM 的攻擊在本季度再度活躍，并出現(xiàn)了將惡意軟件偽裝成為 JPG 文件的垃圾郵件攻擊。亞信安全建議企業(yè)用戶在嚴峻的安全形勢下，應(yīng)該加強對于員工的安全培訓(xùn)，并部署安全網(wǎng)關(guān)、行為監(jiān)控、漏洞防護等產(chǎn)品，組成多層次、立體化的網(wǎng)絡(luò)安全防線。

勒索軟件攻擊方式更加多樣化

在第三季度，中國成為遭受勒索軟件攻擊最多的國家及地區(qū)，占全球總數(shù)的27%。從行業(yè)來看，黑客更傾向于政府、醫(yī)療、制造和保險等網(wǎng)絡(luò)安全相對薄弱的企事業(yè)單位。。雖然本季度被攔截的勒索軟件在數(shù)量上有所減少，但是其攻擊方法、攻擊系統(tǒng)更加多元化，這讓其對抗網(wǎng)絡(luò)安全防護措施的能力進一步增強。以 VIBOROT 勒索軟件為例，其是僵尸網(wǎng)絡(luò)和勒索軟件的結(jié)合體，一旦用戶感染該病毒，被感染機器會自動發(fā)送攜帶有勒索軟件的垃圾郵件進行傳播，很容易形成連鎖式的感染。

【2018年第三季度勒索病毒檢測數(shù)量圖】

在本季度發(fā)現(xiàn)的眾多勒索軟件新型變種中，Magniber勒索軟件值得重點關(guān)注。該病毒由漏洞攻擊套件Magnitude Exploit Kit散布攻擊，該攻擊套件曾經(jīng)引發(fā)CryptoWall、Locky、Cerber等數(shù)起影響力較大的勒索軟件攻擊事件。近日，類似該勒索軟件攻擊事件再次發(fā)生，其成功入侵目標系統(tǒng)之后，會檢測系統(tǒng)所在地區(qū)以及系統(tǒng)中安裝的語言包，如果系統(tǒng)所使用的語言(主要是韓文)符合Magniber勒索病毒設(shè)定的語言版本時，才會發(fā)動攻擊。

亞信安全技術(shù)支持中心總經(jīng)理蔡昇欽建議稱：“勒索軟件在短期內(nèi)不可能消失，網(wǎng)絡(luò)犯罪分子采取的戰(zhàn)術(shù)策略也在不斷演變，其攻擊方式更加多樣化。對于勒索病毒的變種，建議用戶通過部署網(wǎng)關(guān)類產(chǎn)品作為第一道防線。另外，行為監(jiān)控和漏洞防護產(chǎn)品也可以有效阻止威脅到達客戶端。另外，養(yǎng)成良好的網(wǎng)絡(luò)安全習(xí)慣，不要點擊來歷不明的文件和鏈接，及時備份重要文件也有利于防范勒索軟件。”

ATM 成為網(wǎng)絡(luò)攻擊重要目標

在第三季度，針對亞太及中東地區(qū)銀行發(fā)動的ATM及SWIFT網(wǎng)絡(luò)攻擊活動又出現(xiàn)活躍的跡象，由于其往往會直接關(guān)聯(lián)到巨額的金融資產(chǎn)，因此一旦攻擊得手，銀行將會遭受重大損失。而回顧近兩年針對的 ATM 網(wǎng)絡(luò)攻擊，可以發(fā)現(xiàn)，此類攻擊往往具備以下特點：

• 通常通過網(wǎng)絡(luò)釣魚的方式進行有針對性目標攻擊;
• 使用特定的合法持卡人賬戶，這些帳戶往往具有較少的交易歷史記錄;
• 黑客通常是發(fā)起跨境ATM攻擊，交易被轉(zhuǎn)到目標銀行;
• 目標銀行應(yīng)用環(huán)境生成一個應(yīng)答信息，如果交易信息被拒絕，惡意軟件將在幾微秒內(nèi)發(fā)出批準該消息的應(yīng)答。

亞信安全研究人員分析了多起ATM攻擊中使用的惡意軟件，發(fā)現(xiàn)攻擊者往往依賴多種工具發(fā)動不同的攻擊行為，這些惡意軟件能夠?qū)⑵鋫窝b成是銀行發(fā)布的消息，以騙過驗證系統(tǒng)。為了防止被銀行網(wǎng)絡(luò)安全防御系統(tǒng)發(fā)現(xiàn)，這些惡意軟件還具有自刪除功能，并可以在內(nèi)存中執(zhí)行，同時還會被注入到網(wǎng)絡(luò)層的交易中，使攻擊者能夠攔截來自處理器的流量，阻止交易流量前往主機進行驗證，以防止向客戶端發(fā)出報警。

大量垃圾郵件活動被截獲

在9月份，亞信安全再次截獲大量垃圾郵件攻擊活動，與以往一樣，這些垃圾郵件主要由攜帶惡意附件的郵件組成。不同的在于，本次攻擊活動使用的郵件附件看起來是 JPG 文件，實際上則是植入了惡意代碼的可執(zhí)行文件，文件名則是隨機字母和數(shù)字的組合。為了吸引用戶點擊，郵件標題和正文往往采取能夠吸引人注意的主題，例如，其會偽裝成為 Windows 11 發(fā)布通知、銀行的通知等，以誘導(dǎo)受害者點擊附件中的 JPG 文件。

【偽裝成JPG文件的惡意郵件附件】

蔡昇欽指出：“垃圾郵件攻擊利用的往往是一些敏感話題或者是近期流行性話題，以誘導(dǎo)受害者打開郵件并下載附件。要防范垃圾郵件的攻擊，企業(yè)用戶需要加強對于人員安全意識與安全行為的培訓(xùn)。在產(chǎn)品層面，企業(yè)可以部署郵件網(wǎng)關(guān)，在源頭上阻斷可疑的垃圾郵件;另外，企業(yè)用戶還可以部署行為監(jiān)控和漏洞防護產(chǎn)品，阻止威脅到達客戶端。”

此外，在亞信安全第三季度安全報告中，亞信安全還披露了以下安全動態(tài)：

• 在本季度新增病毒種類中，木馬病毒以8,960,375個位居第一，和上一個季度相比數(shù)值有較大幅度增加;
• 挖礦病毒在本季度躍居病毒新增種類的第二位，較上一季度增長29%。從挖礦病毒分布行業(yè)看，黑客更傾向于政府、醫(yī)療、制造等網(wǎng)絡(luò)安全相對薄弱的企事業(yè)單位;
• 本季度亞信安全對APK文件的處理數(shù)量依舊呈上升趨勢，在感染安卓平臺的手機病毒家族中，Shedun家族數(shù)量最多，占到總數(shù)的74%，與上季度相比增長14%;
• 通過WEB傳播的惡意程序中，.EXE類型的可執(zhí)行文件占總數(shù)的50%，居首位。與上季度相比，有較大幅度增加。
• 在第三季度的所有釣魚網(wǎng)站中，“支付交易類”和“金融證券類”釣魚網(wǎng)站所占比例最多，占總數(shù)的99%以上。

報告下載鏈接：http://www.asiainfo-sec.com/about/report/9899.html