数据是征得卡巴斯基产品的用户同意后进行收集,然后再进行统计总结。
根据卡巴斯基安全网络的统计数据显示:
-
卡巴斯基的解决方案在全球 203 个国家阻止了来自网络资源的 989,432,403 次攻击。
-
560,025,316 个唯一的 URL 被 Web 反病毒组件识别为恶意的。
-
有 197,559 名用户的电脑被恶意软件感染,这些恶意软件旨在通过在线访问银行账户来盗取资金。
-
勒索软件攻击在 229,643 个独立用户的电脑上被击败。
-
我们的文件反病毒检测到 230,051,054 个独特的恶意和潜在不需要的对象。
-
在移动设备上,卡巴斯基产品检测:
-
870,617 个恶意安装包
-
13,129 个手机银行木马安装包
-
13179 个手机勒索软件安装包
在 2019 年第三季度,我们发现了一个非常不愉快的事件,即谷歌 Play 上流行的CamScanner 应用程序。新版本的应用程序包含一个广告库,内置木马释放器 Necro。从谷歌 Play 上的评论来看,木马释放器的任务是 激活付费订阅,尽管它可以在需要时提供另一个有效载荷。
图 2.1.1
2019 年第三季度发现的另一个有趣的木马是 Trojan.AndroidOS.Agent.vn。它的主要功能是 在处理程序指示时 “点赞” Facebook 上的帖子。有趣的是,为了进行点击,木马会攻击受感染设备上的 Facebook 移动应用程序,迫使它执行命令。
在同一季度,我们发现了新的针对 iOS 和 Android 的 FinSpy 间谍软件木马。在最新的版本中,重点是监听通讯应用程序中的通信。iOS 版本需要越狱才能完成它的工作,而安卓版本可以监视加密的 Threema 应用等。
在 2019 年第三季度,卡巴斯基检测到 870,617 个恶意安装包。
图 2.2.1 - 检测到恶意安装包的数量
在前几个季度,我们注意到新安装包的数量明显下降,而第三季度的数据与前一个季度相比上升了 117,067 个包。
图 2.3.1 - 检测到的移动应用程序的恶意类型分布
在 2019 年第三季度检测到的所有移动威胁中,最大的份额来自于潜在的主动提供的RiskTool 类项目(32.1%),该项目较上一季度下降了 9 个百分点。RiskTool 中是最常被检测到的对象。RiskTool.AndroidOS 家族:Agent(33.07% 的所有检测到威胁),RiskTool.AndroidOS.Wapron(16.43%)和
RiskTool.AndroidOS.Smssend(10.51%)。
排名第二的是 多种类型的木马(21.68%),他们所占的份额增加了 10 个百分点。Trojan.AndroidOS.Hiddapp(32.5%)、Trojan.AndroidOS.Agent(12.8%)和 Trojan.AndroidOS.Piom(9.1%)家族仍处于领先地位。卡巴斯基的机器学习系统在检测威胁方面做出了重大贡献:通过该技术检测到的木马(Trojan.AndroidOS.Boogr)占据了 28.7% 的市场份额,仅次于 Hiddapp。
排在第三位的是 AdWare 类程序(19.89%),其所占比例在报告期内上升了 1 个百分点。大多数情况下,AdWare 程序属于以下几个系列之一:
AdWare.Androidos.Ewind(此类威胁的 20.73%),
AdWare.AndroidOS.Agent(20.36%)
和 AdWare.AndroidOS.MobiDash(14.27%)。
Trojan-Dropper 类的威胁(10.44%)保持在同一水平,增长不显著(0.5 个百分点)。绝大多数被探测到的 Dropper 属于 Trojan-Dropper.AndroidOS.Wapnor 家族(69.7%)。远远落后于第二名和第三名的是 Trojan-
Dropper.AndroidOS.Wroba(14.58%)和 Trojan-
Dropper.AndroidOS.Agent(8.75%)。
请注意,这个恶意软件评级不包括潜在的危险或不需要的程序归类为 RiskTool 或 AdWare。
图 2.4.1 - 排名前 20 的手机恶意程序
我们的前 20 名的第一名变成了危险目标。一般(48.71%),我们使用云技术检测恶意软件的结论。当反病毒数据库缺乏检测恶意软件的数据,但该公司的云已经包含了有关目标的信息时,就会部署云技术。这基本上是如何检测最新的恶意程序。
第二名和第六名由 Trojan.AndroidOS.Boogr.gsh(9.03%)和 DangerousObject.AndroidOS.GenericML(4.34%)。这些结论被分配给被我们的机器学习系统识别为恶意的文件。
第三、第四和第十四位由 Trojan.AndroidOS.Hiddapp 家族成员占据,他们的任务是秘密地把广告强加给受害者。
第五,第十二,第十八和第十九的位置给了 Trojan Dropper 的 Necro 家族。虽然这个家族出现在雷达上的最后一个季度,真正严重的活动是观察到只有在这个报告期间。
排名第七的是 Trojan-Download.AndroidOS.Helper.a(1.99%),是 Necro 家族成员通常从自己身上提取的。Helper.a 的任务是从恶意服务器下载任意代码并运行它。
第八名是恶意软件 Trojan-Banker.AndroidOS.Svpeng.ak(1.75%),其主要任务是窃取网上银行凭证和截获双因素授权码。
第九名是 Trojan-Dropper.AndroidOS.Agent.ok(1.65%),它以 FlashPlayer 或 Rapidshare 客户端为幌子发布。最常见的是,它将广告软件模块放入受感染的系统。
第十和第十一位是 Trojan-Banker.AndroidOS.Hqwar 家族。这款 Dropper 在网络罪犯中的受欢迎程度持续下降。
图 2.5.1 - 移动威胁地理位置分布
图 2.5.2 - 被手机恶意软件攻击的用户比例排名前十的国家
在第三季度的前十名中,伊朗(52.68%)以被攻击用户的比例位居榜首。请注意,在报告所述期间,该国的份额几乎翻了一番。伊朗的卡巴斯基用户最常遇到的广告软件是 AdWare.AndroidOS.Agent.fa(22.03% 的移动威胁总数),广告安装
Trojan.AndroidOS.Hiddapp.bn 和潜在不需要的程序
RiskTool.AndroidOS.Dnotua.yfe(8.84%)。
孟加拉国(30.94%)位居第二,这个国家的用户最常遇到的广告软件程序,包括 AdWare.AndroidOS.Agent.fс(移动威胁的总数的 27.58%)和
AdWare.AndroidOS.HiddenAd.et(12.65%),还有
Trojan.AndroidOS.Hiddapp.cr(20.05%)。
印度(28.75%)攀升至第三位,原因与孟加拉国一样:
AdWare.AndroidOS.Agent.fc(36.19%),
AdWare.AndroidOS.HiddenAd.et(17.17%)和 Trojan.AndroidOS.Hiddapp.cr (22.05%)。
在报告期间,我们检测到 13129 个移动银行木马的安装包,仅比 2019 年第二季度少 770 个。
对统计数字贡献最大的是 Trojan-Banker.AndroidOS.Svpeng(所有检测到的银行木马它占到了 40.59%),Trojan-Banker.AndroidOS.Agent(11.84%)和 Trojan-Banker.AndroidOS.Faketoken(11.79%)家族。
图 2.6.1 - 卡巴斯基检测到的移动银行木马安装包数量
图 2.6.2 - 排名前 10 的手机银行木马
2019 年第三季度银行业面临的十大威胁中,排名第一的是 Trojan-Banker.AndroidOS.Svpeng 家族:Svpeng.ak(16.85%)获得第一名和 Svpeng.q(8.97%)获得第二名。这不是我们第一次从讲俄语的网络罪犯那里发现有趣的混淆木马 —— 这次是恶意软件 Svpeng.ak 特别提到了电子游戏的名字。
图 2.6.3 - 反编译后的代码片段
第三季度的第二、第四、第六、第十名来自于 Asacub Trojan 家族。尽管活动减少了,但仍然可以在世界各地的设备上找到 Asacub 样本。
图 2.6.4 - 手机银行木马感染地理分布
图 2.6.5 - 受手机银行木马攻击用户比例排名前十的国家
在第三季度,俄罗斯上升到第一位(0.30%),这影响了全球移动银行的整体格局。俄罗斯的用户最常成为 Trojan-Banker.AndroidOS.Svpeng.ak 的攻击目标。所有试图用移动金融恶意软件感染独立用户的行为中,有 17.32% 是由软件引起的。同样的木马病毒也进入了全球前 10 名。第二和第三名也是类似的情况:Trojan-
Banker.AndroidOS.Asacub.snt(11.86%)和 Trojan-
Banker.AndroidOS.Svpeng.q(9.20%)。
南非跌至第二名(0.20%),连续第二个季度位居第二,Trojan-
Banker.AndroidOS.Agent.dx(89.80% 的移动金融恶意软件)是最广泛的威胁。
铜牌颁给了科威特(0.21%),在那里,就像在南非一样,Trojan-
Banker.AndroidOS.Agent.dx(75%)是最常见的。
在 2019 年第三季度,我们检测到 13179 个移动勒索软件安装包,比上一季度减少了 10115 个。我们在第二季度也观察到类似的下降,所以自今年年初以来,移动勒索木马的数量下降了近三倍。正如我们所看到的,其原因是 Asacub 木马背后的群体活动的减少。
图 2.7.1 - 移动银行木马的安装包数量
图 2.7.2 - 排行前 10 的手机勒索病毒木马
在 2019 年第三季度,勒索软件木马的领先地位被 Trojan-Ransom.AndroidOS.Svpeng 家族 的成员所保持。和上一季度一样,位居榜首的是 Svpeng.aj(40.97%),Svpeng.ah(5.79%)排在第三位。
图 2.7.3 - 手机勒索病毒感染地理分布
图 2.7.4 - 被移动勒索软件攻击用户比例排名前十的国家
与上一季度一样,被移动勒索软件木马攻击的用户数量最多的是美国(1.12%)、伊朗(0.25%)和哈萨克斯坦(0.25%)
第三季度出现了新威胁的间歇。一个例外是 Stockfolio 投资应用程序的修改版本的发布,其中包含一个加密的反向 shell 后门。
图 3.1.1- 排名前 20 的 MacOS 威胁
和上一季度一样,广告软件木马 Shlayer 是 macOS 面临的最大威胁。这个恶意软件依次下载了 Pirrit 家族 的广告软件程序,其成员在我们的排名中排名第二到第五。
图 3.2.1 - 上述威胁的地理分布
受攻击用户的地理分布发生了一些细微的变化:印度以 6.24% 的受攻击用户获得银牌,西班牙以 5.61% 的受攻击用户排名第三。法国(6.95%)保住了第一的位置。
在第三季度,用于攻击卡巴斯基 Telnet 蜜罐的设备的 IP 地址数量继续下降。如果在第二季度,Telnet 的份额仍然显著高于 SSH,那么在第三季度,两者的份额几乎相等。
图 4.1.1 - 根据实施攻击的设备的唯一IP地址数量分配,受攻击服务
至于涉及卡巴斯基陷阱的会话数量,我们注意到在第三季度中基于 telnet 的控制也部署得更频繁。
图 4.1.2 - 与卡巴斯基陷阱分配网络犯罪工作会议
图 4.2.1 - 企图攻击卡巴斯基 Telnet 陷阱的设备的IP地址地理分布
图 4.2.2 - 针对上述攻击排名前 10 的国家
上个季度的领导者埃及(10.89%)、中国(13.78%)和巴西(8.56%)再次排在前三名,唯一的区别是这次中国排在首位。
基于 telnet 的攻击通常会导致臭名昭著的 Mirai 家族 成员的下载。
图 4.2.3 - 基于 telnet 的攻击下载到受感染的物联网设备的十大恶意软件
图 4.3.1 - 试图攻击卡巴斯基SSH陷阱的设备的IP地址的地理分布
图 4.3.2 - 根据攻击卡巴斯基 SSH 陷阱的设备位置排名前 10 的国家
在2019年第三季度,使用 SSH 协议对卡巴斯基陷阱的攻击最多的来自埃及(17.06%)。越南(16.98%)和中国(13.81%)分列第二和第三。
在 2019 年第三季度,卡巴斯基解决方案阻止了试图发布一种或多种恶意软件的企图,这些恶意软件旨在从 197,559 名用户的电脑账户上盗取资金。
图 5.1.1 - 被金融恶意软件攻击的唯一用户数量
为了评估和比较全球范围内被银行木马和 ATM/POS 恶意软件感染的风险,对于每个国家,我们计算了在报告期间面临这一威胁的卡巴斯基产品的用户占该国所有产品用户的比例。
图 5.2.1 - 银行恶意软件攻击的地理分布
图 5.2.2 - 按被攻击用户比例排名前 10 的国家
图 5.2.3 - 10 大银行恶意软件家族
2019 年第三季度前三名的面孔与上一季度相同,只是顺序有所不同:RTM 家族(19.3%)从第一名跌至第三名,减少了近 13 个 p.p。,让另外两个 Zbot(26.7%)和 Emotet(23.9%)上升。上个季度,我们注意到 Emotet 服务器的活动有所减少,但在第三季度,它又回到了正轨,Emotet 的市场份额增长了超过 15 个百分点。
第四和第五名没有任何变化 —— 仍然被 Nimnul(6.6%)和 Trickster(5.8%)占据。排名前十的新上榜作品中,值得注意的是 the banker CliptoShuffler(5.4%),它的排名直线上升至第六位。
针对政府机构以及医疗、教育和能源行业组织的勒索软件攻击数量持续上升。我们在上个季度就注意到了这种趋势。
一种新型的攻击,网络附加存储(NAS),正在取得进展。该感染方案涉及攻击者扫描 IP 地址范围,以搜索可通过 Internet 访问的 NAS 设备。一般来说,只有 web 接口可以从外部访问,受身份验证页面的保护;然而,许多设备在固件中有漏洞。这使得网络罪犯可以利用漏洞,在设备上安装一个特洛伊木马,对连接到美国国家安全局的媒体上的所有数据进行加密。这是一种特别危险的攻击,因为在许多情况下,NAS 用于存储备份,而这些设备的所有者通常认为它们是一种可靠的存储手段,而仅仅是感染的可能性就会让人感到震惊。
雨刷也成为更频繁的攻击工具。与勒索软件一样,这类程序会重命名文件并提出赎金要求。但是这些木马不可逆转地破坏了文件内容(用 0 或随机字节替换它们),所以即使受害者付钱,原始文件也会丢失。
FBI 公布了 GandCrab(verdict Trojan-Ransom.Win32.GandCrypt)版本 4 和 5 的解密密钥。解密被添加到最新的 RakhniDecryptor 构建中。
在 2019 年第三季度,我们发现了三个新的勒索木马家族,并发现了这种恶意软件的 13138 个新修改。
图 6.2.1 - 一些新的勒索软件修改
在 2019 年第三季度,卡巴斯基产品击败了针对 229643 名 KSN 用户的勒索软件攻击。这比上一季度略低。
图 6.3.1 - 被勒索木马攻击的唯一用户数量
7 月是被攻击用户最多的月份 —— 100380人,比 6 月多了近 20000 人。然而,在那之后,该指标急剧下降,并没有偏离 9 万受攻击用户的数字太远。
图 6.4.1 - 按用户份额被勒索木马攻击的国家的地理分布
图 6.4.2 - 排名前十的被勒索病毒攻击的国家
图 6.5.1 - 十大最常见的勒索木马家族
在 2019 年第三季度,卡巴斯基解决方案(Kaspersky solutions)发现了 11753 个新的矿商改造项目。
图 7.1.1 - 新矿机修改数
在第三季度,我们检测到全球 639496 个卡巴斯基产品的唯一用户的电脑上使用了矿工的攻击。
图 7.2.1 - 被矿工攻击的唯一用户数量
在第三季度,被攻击的用户数量继续下降,8 月份下降到 282,334 人。9 月份,这一指标开始上升,达到 297,394,与 7 月份的数字相差无几。
图 7.3.1 - 按受矿商攻击的用户份额划分的国家地理分布
图 7.3.2 - 被矿工袭击用户比例排名前 10 的国家
与以前一样,在网络罪犯使用的漏洞分布统计数据中,很大一部分属于 Microsoft Office 套件中的漏洞(73%)。与上一季度一样,最常见的是方程编辑器应用程序中的堆栈溢出错误(CVE-2017-11882, CVE-2018-0802),该应用程序之前是 Microsoft Office 的一部分。本季度被广泛利用的其他 Microsoft Office 漏洞还有 CVE-2017-8570、CVE-2017-8759 和 CVE-2017-0199。
现代浏览器是复杂的软件产品,这意味着新的漏洞不断被发现并用于攻击(13%)。网络罪犯最常见的攻击目标是微软 IE 浏览器,它的漏洞经常在野外被利用。本季度发现了积极利用的 zero-day 漏洞 CVE-2019-1367,它会 导致内存损坏,并允许在目标系统上执行远程代码。微软为其发布了一个计划外的补丁,这一事实表明情况有多严重。本季度 Google Chrome 也不是没有,收到更新修复的关键弱点 CVE-2019-13685,CVE-2019-13686,CVE-2019-13687,CVE-2019-13688,其中一些浏览器允许入侵者规避各级系统中保护和执行代码,绕过了沙盒。
大多数针对系统内部特权升级的漏洞源于单个操作系统服务和流行的应用程序。特权升级漏洞扮演着特殊的角色,因为它们经常被恶意软件利用来获取目标系统中的持久性。本季度值得注意的是 CVE-2019-14743 和 CVE-2019-15315 的漏洞,这些漏洞 允许安装流行的 Steam 客户端危及系统。微软 Windows 文本服务框架的一个缺陷也值得一提。谷歌的研究人员发布了一个工具来演示这个问题(CtfTool),它允许进程以系统特权运行,还允许对其他进程的内存进行更改,并在其中执行任意代码。
根据被攻击的应用程序类型分配用于攻击的漏洞
网络攻击仍然很普遍。与前几个季度一样,本季度我们尝试了多次利用 SMB 协议中的漏洞。这表明,在部署 EternalBlue,EternalRomance 和其他 exploits 的攻击中,未受保护的和未更新的系统仍然有很高的感染风险。也就是说,很大一部分恶意网络流量是由一些请求构成的,这些请求的目的是在流行的网络服务和服务器(如远程桌面协议和 Microsoft SQL Server)上强制输入密码。RDP 还面临着其他一些问题,这些问题都与检测这个网络协议中几个共同名称 DejaBlue(CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, CVE-2019-1223, CVE-2019-1224, CVE-2019-1225, CVE-2019-1226)下的漏洞有关。与之前发现的 CVE-2019-0708 不同,这些漏洞不仅影响旧版本的操作系统,也影响新版本的操作系统,比如 Windows 10。与 CVE-2019-0708 的情况一样,一些 DejaBlue 漏洞在被攻击的系统中不需要授权,允许执行用户不可见的恶意活动。因此,及时安装操作系统和防病毒解决方案的最新更新对降低感染风险至关重要。
本节的统计数据基于 Web 反病毒软件,当恶意对象从恶意/受感染的网页下载时,该软件可以保护用户。恶意网站是网络罪犯专门创建的;带有用户创建内容(例如,论坛)的 web 资源,以及被攻击的合法资源都可能受到感染。
下面的统计数据显示了由卡巴斯基产品在用户计算机上阻止的互联网攻击源的国家分布(带有重定向的 web 页面、包含攻击和其他恶意程序的站点、僵尸网络 C&C 中心等)。任何唯一的主机都可能是一个或多个基于 web 的攻击的来源。
为了确定基于 web 的攻击的地理来源,将域名与其实际的域IP地址进行匹配,然后确定特定 IP 地址的地理位置。
在 2019 年第三季度,卡巴斯基解决方案阻止了来自全球 203 个国家的在线资源发起的 989,432,403 次攻击。560,025,316 个独特的 url 触发了 Web 反病毒组件。
图 8.2.1 - 按国家分发网络攻击源
为了评估不同国家的用户所面临的网络感染风险,我们计算了每个国家的卡巴斯基用户在本季度中电脑网络杀毒软件被触发的百分比。由此产生的数据显示了不同国家计算机运行环境的侵略性。
这个评级只包括恶意软件类的恶意程序的攻击;它不包括网络反病毒检测潜在的危险或不需要的程序,如 RiskTool 或 adware。
这些统计数据是基于 Web 反病毒模块返回的检测结果,这些检测结果来自同意提供统计数据的卡巴斯基产品用户。
平均而言,全球 10.97% 的互联网用户计算机经历过至少一次恶意软件类攻击。
图 8.3.1 - 恶意网络攻击的地理分布
用户计算机本地感染的统计数据是一个重要的指标。它们包括通过感染文件或可移动媒体渗透到目标计算机的对象,或最初以非开放的形式进入计算机的对象(例如,复杂安装程序中的程序、加密文件等)。
本节的数据是基于对硬盘文件创建或访问时的反病毒扫描产生的统计数据和扫描可移动存储介质的结果进行分析。
在 2019 年第三季度,我们的文件反病毒检测到 230,051,054 个恶意和潜在不需要的对象。
对于每个国家,我们计算了在报告期内卡巴斯基产品用户中计算机文件杀毒软件被触发的百分比。这些统计数字反映了不同国家的个人电脑感染水平。
请注意,这个评级只包括恶意软件类的恶意程序的攻击;它不包括文件反病毒触发器,以应对潜在的危险或不需要的程序,如 RiskTool 或 adware。
这些统计数据是基于 OAS 和 ODS 反病毒模块从同意提供统计数据的卡巴斯基产品用户那里收到的检测结果。这些数据包括检测位于用户计算机或连接到计算机的可移动媒体上的恶意程序,如闪存驱动器、相机存储卡、电话和外部硬盘驱动器。
图 9.1.1 - 局部感染的地理分布
总体而言,全球 21.1% 的用户计算机在第三季度至少面临一个恶意软件级别的本地威胁。俄罗斯为 24.24%。
注:本文翻译自 https://securelist.com/it-threat-evolution-q3-2019-
