McAfee2018年12月威胁报告(中)

挖矿依然猖獗

通过恶意软件对恶意软件挖矿2018年稀松平常。过去一年,“挖矿机”恶意软件增长了多达4000%。

McAfee2018年12月威胁报告(中)

安全研究人员Remco Verhoef发现了一种Mac OS威胁,之后被命名为OSX.Dummy,在加密货币挖矿群里分发。该利用很简单,需要受害者在OSX种端执行一行命令,下载和执行载荷。

实施者在Slack、Telegram和Discord上编写信息,提示用户下载软件对加密货币问题进行修复。假软件通过一行Bash进行执行,用户便在自己的设备上受到了感染。执行时,OSX.Dummy在恶意服务器上开启了逆向shell,攻击者便能访问到受感染系统。

挖矿者会利用一切可信场景。一些安全研究人员发现了开源媒体播放器Kodi的非正式存储库也被修改成可传送恶意软件的附加组件,而该活动从2017年便已经开始。

另一个活动用CVE-2018-14847漏洞对未打补丁的MikroTik路由器进行利用。安全研究人员Troy Mursch检测到超过3700台感染设备成为了挖矿机。该活动最初针对的时北美和巴西地区。

一般情况下,我们不会考虑使用路由器或物联网设备,如IP摄像头或摄像程序作为挖矿设备,因其CPU没有台式机或笔记本电脑性能强劲。然而,由于缺乏合适的安全控制,网络罪犯可以从CPU速度的总量上获益。如果他们能长期控制上千台设备,也还是能够从中获利的。

McAfee2018年12月威胁报告(中)

手机中假冒APP充斥

整体来说,新的手机恶意软件在2018年第三季度下降了24%。尽管呈下降趋势,但这一季度手机安全整体局势依然存在一些不寻常的威胁。从携带恶意软件的Fortnite游戏假“外挂”软件,到手机银行木马和应用的各种不想要的广告等。研究人员还发现了渗出了包括地点、联系人名单、接听电话和使用照相机等方面的数据。

McAfee2018年12月威胁报告(中)

McAfee2018年12月威胁报告(中) McAfee2018年12月威胁报告(中)

第三季度McAfee手机研究团队检测出了一种感染至少5000台设备的威胁 “Android/TimpDoor”,通过钓鱼进行传播,使用短信欺骗受害者下载并安装假冒语音消息应用,从而让犯罪分子在不知情的情况下将感染设备作为网络代理。一旦假应用被安装,后台服务便开始启用Socks代理,便会通过一个安全的shell隧道以加密连接的方式将所有网络流量重定向到第三方服务器,可访问内网并绕过防火墙或网络监控器这样的网络安全机制。

运行TimpDoor的设备作为手机后门,可秘密访问企业和家庭网络,因为恶意流量和载荷经过加密。更糟糕的是,一个网络上受到感染的设备也可以用于发送垃圾和钓鱼邮件、进行点击诈骗或发起DDoS攻击等。

恶意应用显示为合法的语音应用,然而其按键和功能却是伪造的。

McAfee2018年12月威胁报告(中)

McAfee2018年12月威胁报告(中)

安卓/Timpdoor最有意思的能力是让SSH连接开启

该应用具有建立设备连接、持续上传信息的预警。

思科的Talos团队发现用恶意手机设备管理器感染13台iPhone设备的行动。该感染方法尚不可知,但攻击者可能取得了物理访问或社工技巧对设备管理器进行了部署。感染工作流于能力:

McAfee2018年12月威胁报告(中)

攻击者使用BOptions加载技术,感染了一个动态库、添加特性安装合法应用。该攻击提醒我们:开发和框架环境如不合理保护,也会受到攻击。

McAfee2018年12月威胁报告(中)

MITRE ATT&CK:颜色越深,使用越频繁

银行木马转为不常见文件类型

银行恶意软件依然是网络犯罪分子的杀手锏。第三季度其发现在垃圾邮件活动中不常见文件类型的使用。这些攻击依赖绕过邮件保护系统(其配置是为阻止并分析常用Office、存档、脚本及其他文件等)。本季度,该团队发现了IQY文件(一种Excel格式)单独发送,传送各种恶意软件种类,对设备进行感染。这些活动促使用户点击邮件,使用的方法也是 “照片发送”、“付款”、“请确认”等传统社工套路,在全世界范围传播了约500,000封邮件。

McAfee2018年12月威胁报告(中)

感染链采用了IQY文件+DDE,并以Powershell传送Ursnif或Bleboh恶意软件

第三季度,其研究人员发现了许多使用可信邮件的活动,集中在其所选择领域和客户对邮件进行点击。

金融机构在近些年增强了对其客户的保护,其中一个有效手段是在转账到其他账户或登录银行账户时进行双因素验证。其研究团队在第三季度发现了一个知名金融恶意软件更新了其“网页注入”,对特定金融公司的双因素攻击操作包含在其中。

McAfee2018年12月威胁报告(中)

Zeus Panda恶意软件的网页注入文件

Zeus Panda经常变换其网页注入,将金融领域所采用的最新保护包含在内。

第三季度时,一些知名的恶意软件种类对其版本做出了微小的改动。银行木马Kronos在2014年流行开来;其新版本本年度在Tor网络上托管其控制服务器、并重命名为Osiris,在地下市场上发售。另一种活动针对的是德国用户,用恶意.doc文件携带下载Kronos的宏。Kronos在第三季度是由RIG利用工具包进行传送,该工具包之前也投放过Zeus Panda。

银行恶意软件在巴西一直颇为流行。研究团队发现了一种针对该国的种类:CamuBot,其试图伪装成其针对银行需要的安全模式。与其他巴西恶意软件种类相比,CamBot有类似之处,但也有不同:其还有类似TrickBot、Ursnif、Dridex和Qakbot等软件的特点。这可是一项重大变革,因为之前针对该国的威胁并不是特别复杂。

McAfee2018年12月威胁报告(中)

MITRE ATTACK 框架:颜色越深,使用越频繁

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/reports/133900.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code