卡巴斯基发布2017年第三季度IT威胁演化报告

卡巴斯基发布2017年第三季度IT威胁演化报告

第三季度威胁统计数据

卡巴斯基实验室的产品遍及全球185个国家,2017年第三季度检测到的IT威胁数据统计如下:

  • 卡巴斯基实验室解决方案和KSN一共检测到277646376次恶意的攻击网络;
  • Web反病毒组建一共标识出72012219个独特的恶意的URL;
  • 试图通过感染恶意软件的方式进而窃取用户银行账号的受害设备共计204388台;
  • 遭遇加密勒索软件的设备共计186283台;
  • 文件反病毒检测到了198228428个恶意的、潜在不受欢迎的对象;
  • 卡巴斯基实验室移动安全产品检测到:1598196个恶意安装包、19748个移动端的银行特洛伊木马程序(安装包)、108073个移动端的勒索软件(安装包)。

移动端威胁

  1. Q3安全事件

银行木马Asacub蔓延

2017年第三季度,移动端银行木马Trojan Trojan-Banker.AndroidOS.Asacub依然积极地通过垃圾短信的方式进行传播,由于攻击活动非常广泛,受影响的用户达到了之前的三倍,Asacub恶意软件家族的活动在七月达到了顶峰,之后呈下降趋势,9月份新增被感染的数量是7月份的三分之一,详细信息如下图所示:

卡巴斯基发布2017年第三季度IT威胁演化报告

2017年Q2和Q3受Trojan-Banker.AndroidOS.Asacub感染的用户数量分布图

移动端银行木马的新功能

2017年第三季度,观察到全球范围内移动端银行木马有两个显著的特征。

首先,移动端银行木马Svpeng家族发布了新的版本: Trojan-Banker.AndroidOS.Asacub,该样本能够获取窃取数据所必需的权限,只需要诱使用户允许木马程序使用为残疾人设计的特殊功能就可以了。一旦受害者允许了,木马程序就可以截获用户输入的文本、窃取文本消息,甚至还能防止自身被删除。

有趣的是,研究人员在8月发现了另一个Svpeng的更新样本,这个版本的恶意程序是勒索软件而非银行木马,其目的也不是窃取数据而是对设备上的所有文件进行加密,并要求支付比特币赎金。

卡巴斯基发布2017年第三季度IT威胁演化报告

Trojan-Banker.AndroidOS.Svpeng.ag.(勒索)的赎金提示界面

其次,移动端银行木马FakeToken家族扩大了其攻击范围,之前该恶意软件家族的攻击目标是银行APP和一些Google APPs,现在扩展到了一些用于预订出租车、机票和酒店的应用程序。FakeToken家族木马程序的目标是获取银行卡中的数据。

WAP计费订阅类型的攻击有所增长

2017第三季度,观察到通过订阅服务盗取用户金钱的特洛伊木马的攻击活动所有增加。总的来说,这些木马程序主要是通过感染那些用户可以用来进行支付转账的站点,在这些站点上加载了特殊的js文件,一旦用户触发了某些操作(如点击了支付按钮),就可以在不需要任何知识验证的情况下进行支付。

2017年第三季度最流行的20个木马程序中包括三个WAP付费订阅类型的恶意软件样本,分别是:Trojan-Dropper.AndroidOS.Agent.hb(排名第四)、Trojan.AndroidOS.Loapi.b(排名第五)和Trojan-Clicker.AndroidOS.Ubsod.b(排名第七)。

  1. 移动端威胁统计

2017的第三季度,卡巴斯基实验室检测到1598196个恶意安装包,大约是上一季度的1.2倍。

卡巴斯基发布2017年第三季度IT威胁演化报告检测到的恶意安装包的数量(2016年Q4~2017年Q3)

移动端恶意软件的类型分布

卡巴斯基发布2017年第三季度IT威胁演化报告2017年Q2和Q3移动端恶意软件类型分布情况

由上图可知,2017年第三季度移动端恶意软件中,RiskTool (53.44%)的占比,其份额提高12.93个百分点。在所有被发现的安装包样本中,大多数是 RiskTool.AndroidOS.Skymobi家族的恶意软件。

Trojan-Dropper类型的恶意软件占比10.97%,增长比较明显:6.29个百分点,被检测到的安装包样本中,大多数是Trojan-Dropper.AndroidOS.Agent.hb。

Trojan-Ransom勒索木马程序在2017年第一季度增长幅度很大,但之后持续下跌,在第三季度占比约为6.69%,与第二季度相比,下跌了 8.4个百分点。Trojan-SMS类型的恶意软件的占比也下跌至2.62%,与第二季度相比,减少了约4个百分点。

第三季度,Trojan-Clicker恶意软件的占有率从第二季度的0.29%上升到1.41%。

移动端恶意程序TOP 20

注意,下列表格中的恶意程序不包括潜在的、不受欢迎的恶意程序,如RiskTool或广告软件。

卡巴斯基发布2017年第三季度IT威胁演化报告

*“受害用户的占比(%)”是指相对于使用了卡巴斯基实验室的移动安全产品的所有用户而言,被恶意软件攻击的用户的百分比。

移动端威胁的地理分布

卡巴斯基发布2017年第三季度IT威胁演化报告2017年Q3感染移动端恶意软件的地理位置分布情况(所有受害用户的百分比)

遭遇移动端恶意软件攻击排名前10的国家(按受害的占比进行排序):

卡巴斯基发布2017年第三季度IT威胁演化报告

*卡巴斯基实验室移动安全产品的用户数量相对较低(<10,000)的国家不在统计范围内。

**“受害用户的占比(%)”是指相对于所在国家的所有使用了卡巴斯基移动安全产品的用户中,受害用户的百分比。

2017年以来,连续三个季度,伊朗地区的遭遇移动端恶意软件攻击的用户比例都是最高的:35.12%。第三季度孟加拉位居第二,受害用户占比28.3%;中国排在第三位,受害用户占比27.38%。

除此之外,本季度中,俄罗斯(8.68%)名列第三十五名(第二季度排名第二十六);法国(4.9%)为第五十九名;美国(3.8%)第六十七名;意大利(5.3%)第五十六名;德国(2.9%)第七十九名;英国(3.4%)第七十二名。

最安全的国家是格鲁吉亚(2.2%)、丹麦(1.9%)和日本(0.8%)。

移动端银行木马

前文提到过,2017年第三季度一共发现了19748个移动端银行木马程序的安装包,与第二季度相比减少了1.4倍,如下图所示:

卡巴斯基发布2017年第三季度IT威胁演化报告卡巴斯基实验室解决方案检测到的移动端银行木马程序的安装包数量(2016年Q4~2017年Q3)

2017年第三季度,Banker.AndroidOS.Asacub.ar成为最受欢迎的移动端银行木马,取代了长期位居首位的Trojan-Banker. AndroidOS.Svpeng.q。这些移动端的银行木马主要利用网络钓鱼窃取用户的信用卡数据以及网上银行的账号和密码。此外,它们还通过短信服务窃取资金。

卡巴斯基发布2017年第三季度IT威胁演化报告2017年Q3移动端银行木马的地理分布(所有受害用户的百分比)

移动端银行木马攻击排名前10的国家(按受害用户的占比进行排序):

卡巴斯基发布2017年第三季度IT威胁演化报告

*卡巴斯基实验室移动安全产品的用户数量相对较低(<10,000)的国家不在统计范围内。

**“受害用户的占比(%)”是指相对于所在国家的所有使用了卡巴斯基移动安全产品的用户中,受害用户的百分比。

2017年第三季度,受移动端银行木马攻击的排名前10的国家几乎没有什么变化:俄罗斯(1.2%)再次位居榜首;第二和第三位分别是乌兹别克斯坦(0.4%)和哈萨克斯坦(0.36%),它们在前一季度分别位居第五和第十。在这些国家的传播最普遍的恶意软件家族包括:Faketoken.z、Tiny.b 和 Svpeng.y。

有趣的是,长期位于这个榜单的澳大利亚没有进入本季度的前10名,这是由于在该地区非常活跃的Trojan-Banker.AndroidOS.Acecard 和 Trojan-Banker.AndroidOS.Marcher恶意软件家族在本季度的攻击活动减少的缘故。

移动端勒索软件

2017年第三季度,检测到的移动端木马-勒索软件的安装包有所下降,几乎是上一季度的一半,如下图所示:

卡巴斯基发布2017年第三季度IT威胁演化报告卡巴斯基实验室检测到的移动端木马-勒索软件安装包的数量(2016年Q4~2017年Q3)

在第二季度的报告中曾经提到, 2017上半年检测到的移动端勒索软件的安装包数量创下了历史新高,主要是由于Trojan-Ransom.AndroidOS.Congur异常活跃,不过在第三季度,该恶意软件家族的活动有所减少。

2017年第三季度,最受欢迎的木马-勒索软件是Trojan-Ransom.AndroidOS.Zebt.a,其次是Trojan-Ransom.AndroidOS.Svpeng.ab,Trojan-Ransom.AndroidOS.Fusob.h位列第三。

2017年第三季度移动端木马-勒索软件攻击活动的地理分布(所有受害用户的百分比)

卡巴斯基发布2017年第三季度IT威胁演化报告

*卡巴斯基实验室移动安全产品的用户数量相对较低(<10,000)的国家不在统计范围内。

**“受害用户的占比(%)”是指相对于所在国家的所有使用了卡巴斯基移动安全产品的用户中,受害用户的百分比。

美国(1.03%)再次荣登移动端木马-勒索软件攻击的国家的榜首;该地区传播最广泛的恶意软件家族是Trojan-Ransom.AndroidOS.Svpeng,这些木马从2014年就开始在美国泛滥了。

墨西哥(0.91%)排名,该地区大多数移动端的木马-勒索软件是Trojan-Ransom.AndroidOS.Zebt.a。比利时(0.85%)排名第三,该地区的用户饱受Zebt.a恶意软件的侵害。

网络犯罪分子利用易被攻击的应用程序

2017年第三季度,利用恶意的Microsoft Office文档对目标用户发起攻击的次数持续增长。大量的复合型恶意文档出现,包括一个漏洞和一个网络钓鱼消息,这样做是为了防止嵌入的漏洞利用程序失败。

虽然出现了新的Microsoft Office漏洞(CVE-2017-8570和CVE-2017-8759),但网络犯罪分子依然偏好继续利用CVE-2017-0199漏洞(2017年3月被发现的HTA处理过程中的一个逻辑漏洞)。卡巴斯基实验室的统计显示,第三季度遭遇CVE-2017-0199漏洞利用的受害用户占比65%,而遭遇小于CVE-2017-8570和CVE-2017-8759漏洞利用的受害用户占比小于1%。Microsoft Office漏洞利用的总份额是27.8%。

随着MS17-010补丁的更新,2017年第三季度没有发生类似WannaCry 或ExPetr之类的大型的网络攻击。然而,根据KSN的统计数据,第三季度,利用这些漏洞的攻击活动的数量依然有很大的增长。不出所料,最流行的漏洞利用是EternalBlue及其变种,它们利用了SMB协议的脆弱性;此外,KL的统计数据显示,EternalRomance、EternalChampion 和 CVE-2017-7269(一个IIS Web服务器的漏洞)的漏洞利用一直广受网络犯罪分子的欢迎。

卡巴斯基发布2017年第三季度IT威胁演化报告网络攻击中易被利用的应用程序的类型分布(2017年Q3)

第三季度网络攻击中已被利用的应用程序的分布与Q2基本上是相同的。首先,目标浏览器和浏览器组件的漏洞利用份额依然是最高的,占比约为35%(与第二季度相比,下降了4个百分点);针对Android漏洞利用的攻击活动占比22.7%,几乎与第二季度相同。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/reports/107029.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code