近日，一種新型的勒索軟件攻擊了加拿大的努納武特地區(qū)，導(dǎo)致該地區(qū)政府的所有聯(lián)網(wǎng)服務(wù)都受到了影響，甚至影響了整個(gè)城市居民的生活。在過去的幾個(gè)月，工廠遭“劫持”、勒索軟件“復(fù)出”出演“變身記”、TA505網(wǎng)絡(luò)間諜對(duì)銀行發(fā)動(dòng)APT攻擊、阿聯(lián)酋航空“簽證取消”......這些出自《亞信安全2019年第三季度安全報(bào)告》的真實(shí)案例，在網(wǎng)絡(luò)安全的“大熒幕”上爭(zhēng)相上演，要比阿諾的“終結(jié)者T-800”還有想象力。

勒索病毒也走“少而美”路線

第三季度報(bào)告依然對(duì)勒索病毒發(fā)出了“紅色警報(bào)”。雖然第三季度亞信安全檢測(cè)到的勒索病毒數(shù)量呈現(xiàn)出遞減態(tài)勢(shì)，但是這些勒索病毒的功能設(shè)計(jì)上卻越來越復(fù)雜。在與安全軟件的持續(xù)對(duì)抗中，勒索軟件正持續(xù)、快速更新變種，并采用“無文件”等先進(jìn)的技術(shù)手段，以更好地隱藏自己。其中，本季度被截獲的 Sodinokibi 勒索軟件就利用了“無文件”方式來傳播，該勒索軟件會(huì)通過漏洞注入惡意的 PowerShell 腳本，然后下載加密的 Sodinokibi 勒索軟件主體文件到系統(tǒng)內(nèi)存中，最終完成勒索行為。

被該勒索軟件修改的用戶計(jì)算機(jī)桌面

在第三季度攔截勒索軟件 TOP 10 中，排名第一位的是 RANSOM_WCRY，占到總攔截次數(shù)的 90%。該勒索軟件并不新鮮，屬于利用了“永恒之藍(lán)”攻擊程序的WannaCry/Wcry勒索軟件，盡管這一勒索軟件家族“出道”已經(jīng)有幾年時(shí)間，但是依然憑借著其成熟的攻擊技術(shù)、成熟的商業(yè)化模式、廣泛的變種，從而獲得了犯罪分子的普遍青睞。

2019年第3季度勒索軟件檢測(cè)類型TOP10

第三季度報(bào)告與第二季度存在類似的一些狀況，本季度勒索軟件感染的高發(fā)地是巴西、中國(guó)與印度，高發(fā)行業(yè)則是制造業(yè)、保險(xiǎn)這兩個(gè)行業(yè)，這些地區(qū)與行業(yè)的共同點(diǎn)在于，其網(wǎng)絡(luò)安全防護(hù)能力都相對(duì)薄弱，而且終端設(shè)備數(shù)量龐大，更容易被勒索軟件找到可乘之機(jī)。 安全專家提醒用戶：要防范勒索軟件，養(yǎng)成良好的網(wǎng)絡(luò)安全習(xí)慣，迅速修補(bǔ)漏洞并部署全面的勒索軟件防護(hù)解決方案，顯然至關(guān)重要。

垃圾郵件攻擊瞄準(zhǔn)金融機(jī)構(gòu)

在本季度，亞信安全截獲了針對(duì)中國(guó)、加拿大和印度發(fā)動(dòng)的垃圾郵件攻擊活動(dòng)，此次攻擊活動(dòng)主要目的是傳播 Trickbot 銀行木馬。該木馬除了盜竊用戶信息外，還會(huì)刪除可移動(dòng)磁盤和網(wǎng)絡(luò)驅(qū)動(dòng)器中的特定擴(kuò)展名文件，使用病毒副本代替這些文件。Trickbot 銀行木馬最新變種通過帶有附件的垃圾郵件傳播，其會(huì)偽裝成為偽裝成廣告提供商的訂閱通知，并誘導(dǎo)用戶點(diǎn)擊附件中帶有宏的 Word 文檔。

此外，在本季度還截獲了大量針對(duì)亞洲銀行發(fā)動(dòng)的垃圾郵件攻擊活動(dòng)，這些郵件使用“阿聯(lián)酋航空 NBD 電子聲明”或者“簽證取消”等主題誘騙用戶點(diǎn)擊郵件附件，郵件附件是嵌入惡意程序的 Excel 文件。運(yùn)行后，其會(huì)下載 ServHelper 加載器，并借此傳播不法分子事先準(zhǔn)備好的惡意軟件。

亞信安全截獲的攻擊亞洲銀行的垃圾郵件樣本

在報(bào)告中亞信安全特別指出：“金融機(jī)構(gòu)一向是垃圾郵件瞄準(zhǔn)的重點(diǎn)行業(yè)，網(wǎng)絡(luò)不法分子慣用社交工程攻擊的方式，以引誘受害者上鉤。我們建議金融機(jī)構(gòu)通過部署網(wǎng)關(guān)類產(chǎn)品作為第一道防線，在源頭上進(jìn)行阻斷，并部署桌面防護(hù)產(chǎn)品，以有效阻止威脅到達(dá)客戶端。此外，人員安全意識(shí)培訓(xùn)也是必不可少的環(huán)節(jié)，需要教育員工不要輕易打開來歷不明的郵件，更不要輕易下載郵件中的附件。”

挖礦病毒持續(xù)肆虐

在前一段時(shí)間亞信安全發(fā)布的挖礦病毒半年報(bào)告中，指出挖礦病毒隨著數(shù)字貨幣價(jià)格的高漲出現(xiàn)了新一波的熱度，其傳播與幾款熱門挖礦病毒高度相關(guān)。而在第三季度，挖礦病毒“強(qiáng)者恒強(qiáng)”的趨勢(shì)依然體現(xiàn)的非常明顯，“WORM_COINMINER”這一挖礦病毒占據(jù)了挖礦病毒檢測(cè)數(shù)量的半壁江山。

2019年第3季度挖礦病毒TOP10

本季度，亞信安全截獲了一款新型XMR 挖礦病毒“Coinminer.Linux.MALXMR.UWEJY”，該病毒通過 Redis 未授權(quán)訪問漏洞以及 tomcat manager 管理頁(yè)面弱口令在內(nèi)網(wǎng)中進(jìn)行傳播，并且在 Web 業(yè)務(wù)中留下后門。挖礦病毒運(yùn)行后，進(jìn)程會(huì)占滿 CPU 資源，導(dǎo)致電腦卡頓，給業(yè)務(wù)帶來巨大影響。

隨著近期“區(qū)塊鏈”再次變成熱門話題，挖礦病毒很有可能出現(xiàn)一波新的傳播高潮。安全專家提醒用戶需要提升安全防護(hù)意識(shí)，密切關(guān)注病毒的傳播情況，并采用更有效的安全防護(hù)措施，以避免被不法分子找到可乘之機(jī)。

此外，亞信安全在第三季度監(jiān)測(cè)的安全風(fēng)險(xiǎn)還包括：

·在本季度檢測(cè)到的病毒種類中，PE(感染型病毒)的數(shù)量在所有檢測(cè)病毒類型中所占比重最大，占到總檢測(cè)數(shù)量的 25%。

·本季度新增數(shù)量較多的病毒類型依次為感染型病毒、漏洞利用型病毒、木馬程序、蠕蟲病毒以及黑客工具。

·亞信安全對(duì)APK文件的處理數(shù)量依舊呈上升趨勢(shì)，截止到本季度，安卓 APK 處理數(shù)量累計(jì)達(dá)到 8，779 萬(wàn)個(gè)。

·在通過Web傳播的惡意程序中，“.EXE” 類型的可執(zhí)行文件占總數(shù)的 90.11%，與上季度相比有所增加。

·在所有釣魚網(wǎng)站中，“金融證券類”釣魚網(wǎng)站所占比例最多，占總數(shù)的99%以上，其中銀行為仿冒對(duì)象的釣魚網(wǎng)站占絕大多數(shù)，其仿冒類型大多為主頁(yè)型。

關(guān)鍵詞：