导语:概要 根据网络安全公司Check Point最新发布的《全球恶意软件威胁指数》报告显示,今年10月,加密货币挖掘(Crypto mining)已经日益成为一种流行的恶意软件形式,且正在成为威胁环境中的重要一角。它允许在受害者的端点和网络遭受延迟和

概要

根据网络安全公司Check Point最新发布的《全球恶意软件威胁指数》报告显示,今年10月,加密货币挖掘(Crypto mining)已经日益成为一种流行的恶意软件形式,且正在成为威胁环境中的重要一角。它允许在受害者的端点和网络遭受延迟和性能下降的情况下,让威胁行为者获得可观的收益。

根据Check Point的研究结果显示,加密货币挖掘脚本至少会占用受害者计算机CPU资源的65%,严重降低设备的性能。CoinHive变种已经在上月(10月)成功跻身“最受欢迎的恶意软件”第6位,足以看出网络犯罪分子对其的喜爱程度。CoinHive是一种隐藏在网站上的JavaScript程序,它通过点击访问者电脑的处理能力来挖掘monero的能力。

从今年9月开始,RoughTed和Locky两款恶意软件就一直雄踞前两名不变。然而,在10月份的前三名榜单中出现了一个新的技术:Seamless流量分配系统(Traffic Distribution System,简称TDS)。据悉,Seamless会默默地将受害者重定向到恶意网页中,使其被漏洞利用工具包感染,感染成功后,攻击者就会将其他恶意软件下载到目标设备上。

毫无疑问,这种新型恶意软件的出现,凸显了对高级威胁防御技术的需求。这涉及一个多层次的网络安全策略,能够有效防止已知的恶意软件家族以及全新的零日威胁。

Top10最受欢迎的恶意软件

(箭头表示与9月份相比的变化趋势,↔表示持平;↑上升;↓下降)

↔RoughTed——大规模的恶意广告活动。攻击者通过RoughTed可以绕过广告拦截器,传递各种有效载荷,例如骗局、漏洞利用和恶意软件。此外,它还可以用于攻击任何类型的平台和操作系统,并利用广告拦截器旁路和指纹识别,以试图确保标记是来自RoughTed感染域名的服务内容。

↔Locky——勒索软件,于 2016 年2月开始发行,主要通过包含伪装成Word或Zip附件的下载器的垃圾邮件进行传播,然后下载并安装用来加密用户文件的恶意软件,通过RSA-2048和AES-128算法对100多种文件类型进行加密。

↑Seamless——流量分配系统(TDS),通过使用TDS技术将受害者重定向到恶意网页中,致其被漏洞利用工具包感染,感染过程完成后,将允许攻击者从目标服务器下载更多的恶意软件。

↔Conficker——Conficker是一种针对微软的Windows操作系统的计算机蠕虫病毒,Conficker病毒最早的版本出现在2008年秋季。Conficker作为一种“感染”工具,传播主要通过运行Windows系统的服务的缓冲区漏洞。不过当Conficker蠕虫病毒接收来自C&C服务器的指令时,它们还可以下载其他恶意软件、窃取凭证或禁用安全软件。

↑Zeus——多年前出现的一款银行木马,其源代码也在几年前被泄漏。Zeus是当前许多针对桌面用户的银行木马的基础,其主要通过捕获浏览器中间人(Man-in-the-Browser,简称MitB)按键记录与样式窃取银行账户数据。

↑CoinHive——加密货币挖掘脚本(CryptoMiner),主要通过在未经用户许可的情况下,将JavaScript加密货币挖掘脚本嵌入在其网站中,当访客访问该网站时,会利用访客的计算机CPU资源来挖掘加密货币,最终导致网站访客的计算机性能下降。

↑Ramnit——银行木马,用于窃取银行凭证、FTP密码、会话记录以及其他个人数据等。Ramnit恶意代码是一个典型的VBScript蠕虫病毒,能够通过网页挂马的方式进行传播,用户在浏览器中浏览挂载该恶意代码的HTML页面后并点击加载ActiveX控件后主机就有可能受到恶意代码的感染。

↓Fireball——浏览器劫持者,可以转换为一个功能齐全的恶意软件。该恶意软件出现于今年6月份,并在随后的一段时间内成功感染了高达2.5亿台计算机设备,包括Windows和macOS。Fireball的传播使用了一种中国网民喜闻乐见的方式——捆绑。用户从网上下载安装免费软件后,捆绑的恶意软件就会安装浏览器插件控制受害者的浏览器配置,替换浏览器默认搜索引擎和主页,将之替换成一个假的搜索引擎:trotux.com。替换的假冒搜索引擎只是将用户的搜索请求重定向到雅虎或者google,但植入了追踪的像素,用来收集受害者的信息。此外,Fireball还能够监控受害者的web流量,在目标系统执行恶意代码、安装插件,甚至直接安装恶意软件,这样就能够在目标系统和网络中留下了巨大的后门。

↓Pushdo——用于感染系统的木马病毒,下载Cutwail垃圾邮件模块,也可用于安装其他第三方恶意软件。

↑Andromeda——一个模块化的bot,最原始的bot仅包含一个加载器,在其运行期间会从C&C服务器上下载相关模块和更新,它同时也拥有反虚拟机和反调试的功能,能够在受感染的计算机上提供额外的恶意软件,并且可以修改以创建不同类型的僵尸网络。

对于攻击行为者而言,10月份移动领域最受欢迎的恶意软件与9月份相比也发生了一次变化——Android勒索软件LeakerLocker出现在了第二位。

Top3最受欢迎的移动设备恶意软件

Triada——Android模块化后门程序,可将超级用户权限授予下载的恶意软件,以帮助其嵌入到系统进程中。此外,Triada也被用于在浏览器中加载的欺骗性网址。

LeakerLocker——针对Android设备的勒索软件,能够读取用户个人的敏感信息,并将其呈现给用户,随后威胁其交纳赎金,否则将会把这些信息外泄。

Hiddad——伪装成合法应用程序并将其发布在第三方应用商店的Android恶意软件。它的主要功能是显示广告,但也可以访问内置于操作系统中的关键安全细节,允许攻击者获取用户的敏感数据。

源链接

Hacking more

...