2020年第一季度,伴隨著(zhù)抗疫的升級,網(wǎng)絡(luò )安全領(lǐng)域也同樣面臨著(zhù)嚴峻的威脅。
近日,亞信安全發(fā)布了《2020年第一季度網(wǎng)絡(luò )安全威脅報告》。報告顯示,新冠疫情已經(jīng)成為不法分子普遍選擇的網(wǎng)絡(luò )攻擊誘餌,而勒索病毒雖然數量有所降低,但是攻擊手段卻持續創(chuàng )新,與安全廠(chǎng)商的技術(shù)對抗正在升級,這些動(dòng)向都提醒企業(yè)與消費者必須更加關(guān)注網(wǎng)絡(luò )威脅防御,并及時(shí)升級網(wǎng)絡(luò )安全策略。
新冠疫情成為一季度安全"關(guān)鍵詞"
新冠疫情威脅的不僅僅是現實(shí)中的安全健康,同樣也延伸到網(wǎng)絡(luò )的世界。無(wú)論是病毒、木馬、垃圾郵件、還是APT攻擊,我們都可以看到新冠活躍的"身影"。在第一季度,亞信安全頻繁截獲了利用"新型冠狀病毒肺炎"疫情進(jìn)行的網(wǎng)絡(luò )攻擊活動(dòng),攻擊中使用的文件名通常包含"冠狀病毒"、"武漢"、"疫情"等人們關(guān)注的熱門(mén)詞匯。其主要惡意行為包括遠程控制、信息竊取、刪除系統文件和數據,造成系統無(wú)法啟動(dòng)或者重要數據丟失。
【偽裝成新冠肺炎進(jìn)展信息的垃圾郵件】
亞信安全第一季度安全報告發(fā)現,大量網(wǎng)絡(luò )釣魚(yú)郵件使用了"外貿訂單"作為幌子,這是因為疫情對外貿造成的影響,使外貿企業(yè)格外關(guān)注此類(lèi)的商機。此外,受到疫情影響,比特幣的價(jià)格重新回到飆升的軌道,這也導致更多的挖礦病毒攻擊,以及以比特幣為贖金的勒索病毒攻擊。
據亞信安全報告分析,新冠疫情之所以在第一季度成為網(wǎng)絡(luò )不法分子慣用誘餌,從本質(zhì)上是因為熱點(diǎn)事件是社交工程攻擊天然的催化劑,而隨著(zhù)疫情傳播逐漸平穩,此類(lèi)網(wǎng)絡(luò )攻擊也將顯著(zhù)降低。但必須注意的是,疫情對于網(wǎng)絡(luò )安全影響將是長(cháng)久而潛在的。在后疫情時(shí)代,遠程協(xié)同的工作模式將更加普遍,企業(yè)的業(yè)務(wù)邊界也會(huì )隨之擴展,這可能帶來(lái)新形態(tài)網(wǎng)絡(luò )安全威脅,用安全來(lái)定義業(yè)務(wù)邊界也將成為更多企業(yè)的選擇。
勒索病毒持續精進(jìn) 安全軟件成為首要目標
報告顯示,亞信安全共攔截勒索病毒 23,045 次,其月檢測量呈遞減趨勢,但是勒索病毒在隱藏手法、攻擊手段等方面卻不斷創(chuàng )新。這主要是因為安全軟件的防御能力隨著(zhù)機器學(xué)習、大數據和云查殺等技術(shù)的發(fā)展變得越來(lái)越強,勒索病毒想要成功加密系統或是文件,必須使用更為先進(jìn)的技術(shù)與手段,以逃避安全產(chǎn)品檢測。
本季度亞信安全監測到, RobbinHood 勒索病毒借用易受攻擊的驅動(dòng)程序來(lái)刪除安全軟件。該驅動(dòng)程序是主板廠(chǎng)商已經(jīng)棄用的軟件包的一部分,主程序 STEEL.EXE會(huì )將 ROBNR.EXE 文件釋放到 Windows\Temp 目錄中,然后利用合法的 gdrv.sys 驅動(dòng)程序安裝惡意的驅動(dòng)程序 rbnl.sys,該惡意驅動(dòng)程序主要用于在內核模式刪除安全軟件相關(guān)的進(jìn)程或者文件,隨后便可以任意運行勒索病毒。
【RobbinHood 勒索病毒攻擊流程】
除了 RobbinHood 之外,本季度值得關(guān)注的新型勒索病毒還有 NEFILIM、CRYPTOPXJ、ANTEFRIGUS 等,這些病毒已經(jīng)進(jìn)化并整合了終止程序等功能,以更有效地實(shí)施攻擊行動(dòng)。因此,對于勒索病毒的防范,亞信安全建議,要保持良好的網(wǎng)絡(luò )安全習慣,采取3-2-1規則來(lái)備份文件,并部署對抗勒索病毒更有效的安全軟件。
安卓平臺病毒漲聲依舊 并實(shí)現"裙帶式發(fā)展"
雖然第一季度感染型病毒、勒索病毒、挖礦病毒等病毒的感染量有所降低,但是移動(dòng)安全威脅的上漲趨勢依然不變。報告顯示,亞信安全對 APK 文件的處理數量累計達到 9,612 萬(wàn)個(gè),比2019年同期上漲超過(guò)20%,增長(cháng)趨勢穩定且高速,這說(shuō)明用戶(hù)要不斷強化對于移動(dòng)安全威脅的認知,并采取有效的措施來(lái)對抗移動(dòng)安全威脅。
【安卓平臺APK處理數量增長(cháng)趨勢圖】
在本季度感染安卓平臺的移動(dòng)病毒家族中,Shedun 家族數量最多,占到總數的 77%,與上季度相比有所上升。SmsPay 家族位列第二位,占總數的 18%,Locker 家族則居第三位。其中,位居榜首的移動(dòng)病毒 Shedun 早在2015年就開(kāi)始了家族式作戰,這種移動(dòng)病毒能在后臺下載安裝其他應用,實(shí)現"裙帶式"發(fā)展,因此頗受不法分子青睞,受威脅的移動(dòng)設備早就突破了千萬(wàn)大關(guān)。
除此之外,亞信安全在本季度所監測到的安全動(dòng)向還包括:
挖礦病毒的檢測量有所降低,印度是受攻擊最嚴重的區域,其次是泰國和美國,制造業(yè)、醫療、政府和保險等網(wǎng)絡(luò )安全相對薄弱的組織受到了更大的威脅。
本季度新增 PE(感染型病毒)特征共計 2,771,157 個(gè),和上一個(gè)季度相比數值有所減少,隨后增加數量較多的病毒類(lèi)型依次為 PUA、CRCK(破解軟件)、TROJ(木馬程序)以及 WORM(蠕蟲(chóng)病毒)。
本季度檢測數量排名第一的病毒是 PUA.Win32.FlashServ.B.component。排名第二位的是 HackTool.Win32.RAdmin.GB,其次 是 PUA.Win32.FlashServ.SM1 和 CRCK_PATCHER。
在本季度通過(guò) WEB 傳播的惡意程序中,。EXE 類(lèi)型的可執行文件占總數的 85%。
"金融證券類(lèi)"釣魚(yú)網(wǎng)站占比例最多,占總數的99%以上,銀行為仿冒對象的釣魚(yú)網(wǎng)站占絕大多數,其仿冒類(lèi)型大多為主頁(yè)型。
報告下載鏈接:
https://www.asiainfo-sec.com/Public/home/pdf/2020YXAQaqwxbg.pdf
關(guān)于亞信安全
亞信安全是中國網(wǎng)絡(luò )安全行業(yè)領(lǐng)跑者,以安全數字世界為愿景,旨在護航產(chǎn)業(yè)互聯(lián)網(wǎng)。亞信安全在云安全、身份安全、端點(diǎn)安全、安全管理、高級威脅治理,威脅情報6大核心技術(shù)領(lǐng)域擁有國際領(lǐng)先技術(shù),同時(shí)引領(lǐng)5G安全和工業(yè)互聯(lián)網(wǎng)的安全創(chuàng )新。2020年,亞信安全提出"安全定義邊界"的發(fā)展理念,賦能企業(yè)在5G時(shí)代的數字化安全運營(yíng)能力。
