年发生的事件影响到了网络空间,网络威胁也呈现出一些前所未有的特点和趋势。诺基亚发表了年网络威胁分析报告,盘点了今年网络攻击的特点。
一、简介
该报告展示了全球移动网络和有线网络中恶意软件活动的情况。报告中的数据来自部署了诺基亚NetGuardEndpointSecurity解决方案的通信运营商网络。这种基于网络的恶意软件检测解决方案使诺基亚客户能够监控其有线网络和移动网络,以发现消费者和企业终端设备(包括手机,笔记本电脑,个人计算机,电子记事本和新一代物联网设备(IoT))中的恶意软件的感染迹象。此解决方案已部署在全球主要的有线和移动网络中,可监控来自超过1.5亿台设备的网络流量。
该系统检查网络流量,以监控恶意软件的命令和控制通信、利用企图、黑客活动、扫描活动和分布式拒绝服务(DDoS)攻击。这使系统能够准确地确定哪些设备感染了恶意软件,以及涉及到哪些恶意软件。该系统通过监视攻击流量,来确定攻击来自何处以及正在攻击哪些网络设备。本报告还包括,诺基亚恶意软件分析实验室沙箱环境分析出的恶意软件详细信息,以及诺基亚蜜罐系统捕获到的其他信息。
二、主要发现1、新冠肺炎疫情导致移动恶意软件感染激增
年,移动网络平均每月感染率为0.23%。但是,在2月和3月,由于新冠肺炎相关的网络安全事件的严重升级,每月的感染率比前几个月增加了近30%。
2、新冠肺炎疫情影响了有线网络上的感染量
对于有线网络,每个住宅的平均每月感染率为2.16%。尽管与年相比总体下降,但由于新冠肺炎的影响,5月和6月的感染率急剧上升,但这一峰值是在观察到的移动网络感染量上升两个月之后出现。
3、物联网领域的感染显著增加
在观察到的所有移动网络感染中,物联网设备目前占32.72%,高于年的16.17%。这一趋势与现在连接到移动网络的物联网设备的数量不断增长相吻合。
4、安卓设备是最常见的恶意软件目标
在所有平台中,安卓设备的感染比例为26.64%,但比年的47.15%有所下降。该变化一部分是由于安卓设备安全性的提高,但主要是与物联网相关的感染增加的结果。
5、个人电脑被感染的比例较大
运行Windows系统的电脑在所有感染中占38.92%,比年的35.82%略有上升。
6、信息窃取和间谍软件正在增多
信息窃取和移动间谍软件的发展趋势非常强烈,这两类恶意软件占了所有感染安卓软件的35.76%。
7、木马现在是首选的恶意软件。
被检测为木马的恶意软件所占比例从年的34%跃升至74%,主要是因为今年的特殊情况,使网络钓鱼活动成为了将恶意软件直接传递给用户的最佳方式。而蠕虫和病*的相对比例在年有所下降。
三、网络犯罪分子利用人们对新冠肺炎的恐慌
新冠肺炎对世界各国都有着广泛的社会和经济影响。网络犯罪分子也在利用人们的恐惧心理,并以此作为提高攻击成功率的机会。
1、与新冠肺炎有关的特定恶意软件
在移动和有线网络中观察到的某些恶意软件是专门为这种情况而创建的。但大多是仓促创建的,并不复杂,但是仍然有效,因为用户对新冠肺炎十分敏感。
1.1CoViper
CoViper是一个利用新冠肺炎危机的新的擦除器恶意软件家族。它通过伪装成与冠状病*有关的文件来吸引受害者。通过擦除MBR(主引导记录),使计算机无法启动。
1.2“新冠肺炎疫情图”木马
伪装成“新冠肺炎疫情图”的恶意软件针对Windows平台。它利用了公众对新冠肺炎感染、死亡和传播的准确信息的需求。“新冠肺炎疫情图”应用程序在受害者的计算机上植入恶意软件,该恶意软件伪装成约翰霍普金斯大学的软件,并模仿该大学的真实地图。
1.3COVIDLock安卓勒索软件
这款安卓应用程序是一款木马程序,声称可以追踪冠状病*在全球范围内的传播,并可以追踪附近地区的新冠肺炎患者。实际上,该应用运行后会锁定设备,需要缴纳赎金才能解锁。
根据网络钓鱼电子邮件或Google搜索,用户被引诱到一个看起来合法的新冠肺炎信息网站的恶意网站,并引导他们安装可以提供实时更新的应用程序。但这实际上是一个锁定他们手机的勒索软件。
2、以新冠肺炎为主题的网络钓鱼攻击可传播各种恶意软件
除了专门针对新冠肺炎主题创建或修改的恶意软件外,还有一些网络钓鱼活动也针对该主题,但使用的是现有的恶意软件。以下列出了一些利用新冠肺炎疫情的紧迫感,进行网络钓鱼攻击的案例。
2.1RemcosRAT
Remcos是一种复杂的远程访问木马(RAT),可以用来完全控制和监视任何Windows计算机(从XP开始)。它已被用于多个恶意活动中。
最新的活动利用了社会工程学,其中威胁行动者利用全球新冠肺炎的趋势。钓鱼邮件包含一个PDF文件,声称提供了应对冠状病*的安全措施,但实际上这个PDF文件包含一个REMCOSRATdropper,与执行恶意软件的VBS文件一起运行。
如图1所示,在以前的攻击活动中使用的恶意软件,在以新冠肺炎主题的攻击活动中被重用。这个版本的恶意软件是Win32.Backdoor.Remcosrat.A,年底达到峰值,但在年7月的新冠肺炎防治行动中再次使用。
图1Win32.Backdoor.Remcosrat.A----每日感染率
2.2主题与新冠肺炎有关的文档投递的Plugx
PlugX是针对Windows平台的恶意程序。该恶意软件通常通过网络钓鱼电子邮件、受感染的网站和恶意软件进行传递。其主要目的是投放恶意软件。当恶意软件在系统上建立持久性之后,就会尝试与C&C服务器建立网络连接。
PlugX将设备的敏感信息发送到C&C服务器,删除或更改注册表项,并按照C&C服务器的指示更改插件。
2.3HawkEye信息窃取软件,通过假冒新冠肺炎用药推荐传播
一种新的HawkEye恶意软件变种正在通过伪造世界卫生组织的邮件分发。该电子邮件似乎是由世界卫生组织(WHO)总干事TedrosAdhanomGhebreyesus博士发送的。
HawkEye是针对Windows操作系统的信息窃取恶意软件。该恶意软件是通过钓鱼邮件投递的,这些邮件含有恶意URL链接或者包含恶意宏文档。该软件被安装后,就会利用浏览器的键盘记录技术窃取敏感信息。该恶意软件还能够将其他恶意软件下载到受感染的系统。
2.4Kimsuky的新冠肺炎行动
Kimsuky恶意软件以微软Word文件的形式发送,伪装成有关新冠肺炎的信息。该文档包含一个宏,当用户收到“允许其他内容下载以正确查看该文档”的请求时,该宏将执行。打开后,恶意宏将与C&C服务器连接,并试图从站点下载文件。
2.5冠状病*防护口罩短信骗局
“COVIDSafetyMask”是针对安卓设备的信息窃取恶意程序。该程序伪装成可帮助用户获得安全口罩的应用程序。感染后,它会请求允许获得联系人和发送短信的权限。一旦获得所需的权限,该恶意软件就会向受害者的联系人发送欺诈性消息,以进行传播。
2.6“coronalive1.1”SpyMax监视软件
“coronalive1.1”是一个运行在安卓设备上的监视木马,伪装成冠状病*追踪程序。它属于SpyMax监视软件家族,具有SpyMax所包含的所有功能,如呼叫管理,短信管理,摄像头管理。它为恶意行动者提供了访问手机上敏感数据的途径,并允许攻击者远程激活摄像头和麦克风。
2.7Anubis,Cerberus,Gimp
在新冠肺炎网络钓鱼活动中发现了很多较旧的恶意软件,这些只是其中的几个。
3、建议
与COVID-19相关的大多数攻击都是网络钓鱼攻击。攻击者没有利用新的漏洞,并且在大多数情况下,甚至没有创造新的恶意软件。他们所做的就是利用新冠肺炎这一主题进行网络钓鱼攻击,以提高网络钓鱼活动的成功率。
个人用户在访问网站或打开电子邮件附件时应该保持警惕。要重点注意的是:
只访问可靠的权威网站,来获取关于新冠肺炎的最新消息只安装来自可信应用程序商店(GooglePlay,Apple,Microsoft)的应用程序在移动设备上使用最新的杀*程序及时安装应用程序更新和操作系统的补丁程序,使其处于最新版本请不要打开发件人未知的可疑电子邮件中的附件如果没有明确的理由或需要,不要授予其额外的权限四、移动网络中的恶意软件
1、移动设备的感染率
图2显示了自年1月以来每月观察到的受感染设备的百分比。此数据是根据欧洲,北美,亚太地区和中东的移动设备得出的平均数据。
图2自年1月以来的每月移动设备的感染率
每月感染率为0.23%。在2月和3月达到了高峰,当时每月移动设备的感染率比前几个月增加了近30%。而增加的原因是与新冠肺炎相关的网络安全事件的严重升级。
截至2月,每月移动设备感染率有所上升。但总体感染率较前几年有所下降。对于这种趋势有几种解释:
在过去几年里,官方移动应用程序商店的安全性有了显著提高。然而,第三方应用程序商店仍然存在着木马程序。这些数据是来自受NetGuardEndpointSecurity保护的网络。该防御措施提供了一些机制来帮助移动设备ISP(互联网服务提供商)检测和解决其移动网络中的网络安全问题。当移动设备感染恶意程序时,NetGuardEndpointSecurity还会提醒用户,因此用户可以自行采取措施。因此,当ISP(互联网服务提供商)采取行动主动降低其用户设备的感染率时,移动设备的感染率往往会随着时间的推移而降低。
2、感染的设备
图3展示了年按设备类型划分的感染情况。在智能手机中,安卓设备是最常被恶意软件攻击的目标。在所有感染设备中,安卓设备占26.64%,Windows/pc占38.92%,物联网设备占32.72%,iphone仅占1.72%。
图3年和年被感染的设备类型占比
与年相比,受感染的安卓设备所占比例有所下降,而恶意行动者的兴趣正在向物联网设备转移。但安卓设备仍然是移动网络攻击的主要目标。
在智能手机领域,传播的恶意软件主要是木马应用程序。用户被网络钓鱼、广告或其他社会工程欺骗,下载和安装应用程序。虽然官方应用商店(例如GooglePlay商店)的安全性不断提高。但是,安卓应用程序可以在任何地方下载这一事实仍然是一个巨大的问题,因为用户可以从第三方应用程序商店免费下载应用程序,那里的许多应用程序虽然功能强大,但却可能是木马程序。另一方面,iphone的应用程序在很大程度上仅限于一个来源,即AppleStore。
越来越多的Windows/pc通过USB和移动Wi-Fi设备连接到移动网络,或者直接通过智能手机连接。因此,Windows/pc仍然是恶意软件感染的目标,在年观察到的恶意软件感染中,Windows/pc占了将近39%。
物联网设备现在占观察到的感染设备的32.72%。与年相比,物联网设备在整个设备中所占份额比此前的16.17%增加了%。随着物联网设备的广泛普及,可以预期的是,物联网设备感染的数量将急剧增长。如图3所示,到年,物联网设备在整体设备感染中的比例增加。
物联网设备被感染的成功率在很大程度上取决于设备对互联网的可见性。在定期为设备分配面向公众互联网IP地址的网络中,物联网的感染率很高。在使用运营商级NAT的网络中,由于网络扫描看不到易受攻击的设备,因此感染率大大降低。
3、年安卓恶意软件样本将继续增长
图4显示了在威胁情报实验室中收集和分析的移动恶意软件样本增长的情况。目前有将近万个安卓恶意软件样本,同比增长17.4%。
图4威胁情报实验室数据库中手机恶意软件增长率五、安卓恶意软件
从新的移动间谍软件和信息窃取软件的出现和扩散中可以看出,超过一半的安卓恶意软件都属于这一类。这些类型的恶意软件占移动网络检测到的所有感染病*的三分之一,如果把银行木马(一种专门的信息窃取形式)算进去,这个比例就会上升到50%以上。这种趋势表明,恶意攻击者的兴趣正在窃取敏感数据和凭据,特别是银行凭据。广告软件仍然很有代表性,而挖矿软件的感染显著下降(在排名前20位的恶意软件中,只有一个挖矿软件,其比例在下降)。
图5年检测到的感染量前20的安卓恶意软件
图6显示了年发现的各类安卓恶意软件在全球移动网络中的比例。
图6安卓恶意软件–类型分类六、固定住宅网络中的恶意软件
图7显示了年4月以来固定住宅网络的感染率。
图7每月住宅感染率
年平均每月固定住宅网络感染率是2.16%。自年以来,其感染率一直在持续下降。原因可能是:
网络罪犯的精力集中在物联网和移动设备上家庭路由器内置的防火墙功能,可以更好地保护住宅网络不受互联网的影响现代笔记本电脑和台式电脑上使用的操作系统和应用程序比过去的Windows/XP系统更安全。
需要注意的是,年6月,每月住宅网络的感染率急剧上升,几乎翻了一番,达到3.56%。这种增长可归因于与新冠肺炎疫情相关的网络钓鱼活动的增多。
住宅网络的感染趋势与移动网络有相似之处。由于固定住宅网络感染率反映了北美诺基亚NetGuardEndpointSecurity在有线网络部署中的活动,因此与全球移动网络感染的增长相比,有线网络的感染率的增长延迟了。
七、感染住宅网络前20的恶意软件
图8显示了诺基亚NetGuardEndpointSecurity解决方案检测到的前20个家庭网络恶意软件。
图8感染量前20的家庭网络恶意软件
在年固定住宅网络中检测到的前20大恶意软件感染中,大多数仍然集中在传统Windows/PC平台上。与上一年相比,在住宅网络中发现的安卓恶意软件感染数量有所增加。这一发现与安卓智能手机感染数量的整体增长以及在家中通过Wi-Fi将智能手机连接到互联网的普遍做法相一致。
八、前20名高威胁级别恶意软件
图9显示了移动和固定网络中排名前20位的高威胁级别恶意软件。高威胁级别的感染与身份窃取、经济损失和其他网络犯罪活动有关。
图9前20名高威胁级别恶意软件
排名前20位的包含各种僵尸网络,下载者木马,银行木马和密码窃取程序。值得注意的是,最严重的网络威胁还持续稳定的存在,这表明APT组织的应变能力及适应能力,而且随着时间的推移继续成为严重威胁。今年,安卓恶意软件在前20名高威胁感染列表中所占的比例从3%增加到7%。
九、变种最多的前20种恶意软件
图10显示了互联网上发现的变种最多的前20种恶意软件。与恶意软件有关的大量样本表明,这些恶意软件是通过许多木马应用程序分发的,或者是在应用程序开发中广泛使用的库的一部分。这些恶意软件表明恶意软件作者在努力尝试避开反病*产品的检测。这些恶意软件不断改变其可识别的特征,使反恶意软件的检测更加困难。很多常见的恶意软件可以具备多种属性,包括病*,蠕虫,僵尸网络,木马或键盘记录程序。
图10变种最多的前20种恶意软件排名
网络犯罪的一种普遍类型是加密货币挖矿程序。它会大量消耗系统的CPU和GPU资源来秘密挖掘加密货币。另一个趋势是转向专用于Win64平台的恶意软件。这一趋势的主要原因是对Windows7的支持已经结束。
去年流行的另一种恶意软件是信息窃取程序。这些恶意软件旨在窃取用户的机密数据并与黑客共享。此外,它们可能允许黑客远程访问以执行攻击任务。图11显示了有关恶意软件分发的首选方法的趋势。
图11年变种最多的恶意软件类型十、结论
从移动网络和固定宽带的安全性角度来看,新冠肺炎疫情的爆发注定了年是不平凡的一年。网络攻击的数量和类型已经发生了深刻的变化。
年,移动网络的平均每月感染率为0.23%。在固定宽带网络中,每个住宅的每月感染率为2.16%。虽然平均感染率比前几年有所下降,但因具体情况而有相当大的差异。
end
本文为CNTIC编译,不代表本
