升级邮件隐藏钓鱼陷阱 犯罪分子骗你不商量
2018年,腾讯平安反病毒实验室宣布Q2季度互联网安全报告(以下简称报告)。根据该报告,挖掘木马病毒的流行趋势仍然没有减少,成为2018年最受欢迎的木马;同时,木马病毒已成为流行趋势,用户需要小心,停止招聘;此外,腾讯反病毒实验室在2018年上半年国际安全评价中取得了许多顶尖成就,反映了当地软实力,也是中国网民安全互联网环境的保障。 
讲述摘要
注:内部数据统计来自腾讯反病毒实验室
PC端平安情
?停止到2018年6月尾,PC端Q2季度病毒已被阻断8.6亿次,平均每月阻挡木马病毒1.43亿次。本季度总发现。9,164木马病毒在万用户机械中,平均每月为3,054万中毒机械进行病毒查杀。
?2018年Q2季度病毒样本从病毒类型中占木马类的总数58.85%,还是第一大种类病毒,环比上涨。Adware类别为第二大病毒,占总数31.10%,环比下降。尔后门类为第三大病毒类,占总体数目的7.36%,环比略有下降。相比Q1季度病毒类型变化不大。
移动端安全:
?2018年Q2统计Android样本数据显示,总数已被检测到Android病毒样本量375万多平均每月检测Android病毒样本62万多个。
?凭据2018年Q2季度获得Android病毒样本分析,从病毒类型来看,整体排名没有改变,排名第一的仍然是PUA类(灰色软件)占病毒总量54.72%,这种病毒的数量在多个季度继续上升。SMS类别为第二大病毒,占总数18.61%,相比Q1度上涨了1.35%,已延续2季度上涨。Spy类别为第三大病毒,占总数5.01%,相比Q1季度下降了5.12%
Q2热门平安事宜:
?计算机管家帮助警方破获计算机采矿案件
?弹幕网站AcFun数千万用户数据被攻击泄露
?2018世界杯主题垃圾邮件来袭
?美国零售业遭受黑客攻击500一万张银行卡信息被盗
?发现跨越 2000 万用户从 Chrome 恶意扩张安装在店铺内
?研究人员又发现了8个CPU新缺陷 英特尔,ARM等待芯片受到影响
目录
讲述摘要
目录
前言
一、 加快信息领域焦点技术突破,向网络强国迈进
二、 培育网络平安人才,腾讯平安学院正式建立
三、 随着木马病毒挖掘的不断增加,腾讯电脑管家协助警方破案
四、 木马病毒流行,用户需要小心
五、 腾讯反病毒实验室
第一章 PC端恶意程序
一、 恶意程序阻挡和中毒机械量
(1)恶意程序阻挡量
(二)中毒机械量
二、 详细分类恶意程序
(一)恶意程序类型和量级分类
(2)木马类的详细分类
(三)PE熏染病毒分类
(四)非PE病毒分类
三、 中毒用户区域漫衍
四、 PC端巧取豪夺病毒细节
(一)巧取豪夺病毒阻挡量
五、 与病毒相关的细节
(1)破绽病毒分类细节
(二)Linux平台破绽病毒细节
(三)Android平台破绽病毒详情
(四)Windows平台破绽病毒细节
六、 挖掘木马病毒的细节
(1)挖掘木马病毒分类
第二章 Android端恶意程序
一、恶意程序检查测量
二、恶意程序详细分类
(一)恶意程序种类及量级上的分类
第三章 平安舆情信息
一、本季度平安舆情量情况
附录1 2018年Q2季度网络安全事项清点
一、 破绽平安事宜
二、 盛行木马
三、 攻击事宜
四、 垃圾邮件
五、 数据泄露
六、 挖掘木马病毒
前言
一、加快信息领域焦点技术突破,向网络强国迈进
2018年4月21,北京召开了世界网络安全与信息化会议,中央网络安全与信息化委员会主席习近平出席会议并发表了主要讲话。他强调,要加强网络宣传,维护网络安全,推动信息领域重点技术突破,加强网络信息领域军民融合,自主创新,推进网络强国建设,为实现中华民族伟大中兴的中国梦作出新的孝道。
当前,中国是一个大型的网络国家,但不是一个强大的网络国家,能上受制于人,因此中国的网络安全形势极其严重。习近平强调,没有网络安全,就没有国家安全。建立准确的网络安全观,加强信息基础设施网络安全保护,加强网络安全信息协调机制,加强网络安全应急指挥能力建设,努力发展网络安全产业。严厉打击网络黑客、电信网络欺诈、侵犯公民个人隐私等违法犯罪行为,进一步推广网络安全知识技能,提高广大人民群众的网络安全意识和保护技能。
二、腾讯平安学院正式成立,培养网络平安人才
“网络空间的竞争,归根结底是人才竞争,建设网络强国,需要优异的人才队伍。”
随着信息技术的发展,国家、社会和企业对网络安全人才的需求也在上升,但目前国内网络安全人才基础薄弱。如何培养和挖掘网络安全人才是国家和企业需要合作思考的问题。
在人才培养方面,多年来,国家不断增加网络安全相关专业,推进高等教育网络信息安全人才培养体系,大力支持信息安全学科教师、专业部门、学科体系和重点实验室的建设。作为安全企业,我们也必须努力参与人才培养的过程。
5月27日,腾讯平安学院正式成立。腾讯平安学院将通过建立内部人才培养体系、校企互助体系和生态授权互助体系,搭建平安人才成长与交流平台。腾讯高级副总裁、腾讯平安学院院长丁克表示,希望借助国家对网络平安人才的重视和腾讯的积累,能够买通内外力量,共同探索优秀人才。
我们希望通过腾讯平安学院,为行业和国家培养和挖掘更多的网络平安人才。
三、随着木马病毒挖掘的不断增加,腾讯电脑管家协助警方破案
在2017年Q4本季度,腾讯反病毒实验室通过对木马病毒数据的分析,预计挖掘木马病毒将成为2018新的趋势,现在,展望已经导致了现实。随着网络数字硬币价格的上涨,越来越多的黑客关注可以快速实现的网络采矿。黑客将采矿效果植入游戏插件、盗版软件等程序,并通过论坛、下载站等渠道传播。
根据网络到达的数据,仅2018年Q2每季度都有数千种挖矿木马病毒,而数十种不同的数字硬币。
2018年4月11腾讯电脑管家协助警方乐成破获389万台肉鸡计算机采矿案,涉案价值高达1500余万元2017年底,腾讯电脑管家发现了名字tlMiner挖矿木马,针对吃鸡玩家和网吧高配置电脑,搭建挖矿集群。
采矿木马由公司经营,公司是大连当地的高新技术企业,这表明当前的网络黑客不再是个人,规模、公司,甚至穿合法的公司外套举行非法网络黑客行为是当前网络黑客的一种新形式。
这是中国第一个行使挖掘木马形成僵尸网络,非法控制计算机挖掘案件,但相信这只是冰山一角,在利益的驱使下,黑客不会轻易放弃,案件永远不会成为最后一个案例,腾讯计算机管家将继续挖掘更深层次的木马病毒,珍惜用户的网络安全。
四、木马病毒流行,用户需要小心
在整个Q2本季度,通过对木马病毒数据的分析,我们发现,每当流行的事情出现时,就是一些木马病毒的集中发作期,而流行的木马病毒大多是广告、欺诈和窃取用户信息的病毒。
仅2018高考前后出现了各种流行的木马病毒。高考前夕,木马病毒以高考复习大全、高考数学一点通等名义伪装成正常APP高考结束后,木马病毒伪装成高考成绩查询APP传播。由于下载此类木马病毒的用户大多是家长或学生,黑客可以准确获取加入高考的用户信息,这些信息将转售给欺诈团伙。欺诈团伙将以高考补贴和内部关系可以帮助入学为由进行欺诈。
不仅木马病毒在高考中很受欢迎,四年一度的足球活动世界杯也是木马病毒的目标,罪犯以世界杯直播等名义传播和诱导用户安装植入木马病毒APP,广告安装后,甚至恶意扣除。
无论什么样的流行木马病毒传播,用户都可以阻止大多数木马病毒,只要他们在正式渠道安装应用程序和杀毒软件,警惕不熟悉的信息,保持优越的互联网习惯。
五、腾讯反病毒实验室
腾讯反病毒实验室作为网络安全反病毒第一战线的一员,有责任自动承担保障国家和人民互联网安全的社会责任。
腾讯反病毒实验室建立于20102000年,我一直致力于互联网安全保护、计算机和移动恶意软件检测和杀戮、网络威胁情报预测警察等事自主研发引擎能力、安全事务运营、哈勃分析平台勃分析平台查杀能力、缺陷监测能力和病毒样本分析“提供全面、系统、集成的产品运营规模化保护,进一步为腾讯的安全实力提供技术支持,也为网民构建了平安的上网环境。
实验室拥有专业的反病毒团队,独立反病毒引擎TAV研发多年,拥有多项自主知识产权病毒检测专利。在AV-C、AV-TEST等待国际平安评估多次超越国际老牌杀毒软件成就大满贯,这也解释中国自主研发的杀毒引擎已达到世界先进水平。
一、PC平安方面
腾讯电脑管家继续通过英文版VB100,ICSA等认证测试,不仅2017年以来在赛可达继续获得测试第一个成就,更是在AV-C 2017年度国际评估海内唯一参测产物,5项测试A 评级,与卡巴斯基、比特梵德、小红伞国际知名厂商相比。
二、移动安全
在移动威胁检测能力方面,腾讯手机管家在2016年以来AV-Test在国际评价中,延续14次满分13分通过,海内独树一帜。
三、动态检测
反病毒实验室哈勃动态分析系统网民提供动态检测未知文件的能力,帮助网民实时检测和分析可疑文件。
四、威胁情报
反病毒实验建立威胁情报监控平台,可实时监控、探索、挖掘互联网安全威胁情报,实时向公众讲述网络安全风险,可在腾讯计算机管家官方网站上在平安舆论中获取最新信息也可以关注腾讯反病毒实验室官方账号获取最新信息
第一章 PC端恶意程序
一、恶意程序阻挡和中毒机械量
(一)恶意程序阻挡量
根据腾讯反病毒实验室的统计数据,到2018年6月尾,PC病毒已经被终端断8.6亿次,平均每月阻挡木马病毒近1.43亿次。
Q2季度阻断病毒总数4.1亿次,平均每月阻挡木马病毒1.36亿次。相比Q1季度病毒整体阻挡量略有下降,说明用户前端病毒活动量呈下降趋势。Q2季度整体月阻挡相对稳定,仅在5月份略有下降。详细数值如下:图 1。
图 1
与本季度病毒阻挡量相比,本季度病毒阻挡量相比Q1季度病毒阻挡量环比下降8.8%,凭据最近4根据季度数据颠簸分析,前端用户病毒数量波动下降。详细数值如下:图 2。
图 2
2018年Q2季度相较于2017年Q2季度病毒阻挡量同比下降了22%,恶意程序数量同比大幅下降。详细数值如下:图 3。
图3
(二)中毒机械量停止到2018年6月尾,PC端Q2季度总计发现9,164万木马病毒在次用户机械中的平均月份是3,054万中毒机械举行病毒查杀,本季度5月中毒机械数量最低,约为2,909万次,随后6月亮缓慢上升,但仍未跨越1月的峰值。详细数值如图 4。
图 4
2018年Q2与季度中毒机械次数相比,季度中毒机械次数相比Q1季度中毒机械数量继续下降,降幅达到1.8%。这已是从2017年Q3季度以来延续3每季度中毒机械数量下降。详细数值如图 5。
图 5
2018年Q2季度相较于2017年Q2季度中毒机械数量同比下降24.62%。从2015至2018年Q2数据来看,2017年Q2季度是近年来中毒机械数量的峰值,提高了近年来中毒机械数量的平均水平2018年Q2季度首次下降,降至平均水平以下。详细数值如下:图 6。
图 6
二、详细分类恶意程序
(一)恶意程序类型和量级分类
2018年Q2季度凭据获取到病毒样本分析,从病毒在种类上,木马占总数58.85%,始终是第一大类病毒,相较Q1季度的52.10%环比上涨了6.75%。Adware第二大病毒类(广告软件、强制安装、网络用户隐私、弹垃圾信息等。),占总数31.10%,相比Q1季度的39.76%,Adware类病毒类型下降,降幅达到8.66%。后门类为第三大病毒类,占总数7.36%,相比Q1季度的6.40%下降了0.96%,降幅不明显。
从以上数据可以看出,相比Q1病毒,病毒类型及排名均无转变,正常颠簸仅限于数量比例的差异。详细数值如图 7。
图 7(病毒类型划分)
从病毒样本的数量被划分,你可以看到图 8木马仍然排名第一,占恶意程序总量37.32%,但相比Q1季度的56.87%下降了19.55%,首次大幅下降,降幅是近几个季度的峰值。排在第二位的是Adware病毒,占总数34.79%,相比Q1季度的18.64%,Adware病毒阻挡量显著增加,增加16.15%,这种病毒已经连续上升2季度增长趋势明显。PE熏染病毒也略有上升,比例从Q1季度的14.15%增进至17.69%,涨幅为3.54%。详细数值如图 8。
图 8(样本量级划分)
熏染型的类型病毒种类不多,恶意程序只占恶意程序类型0.48%,排名最后,但熏染病毒在病毒阻挡方面排名第三,这与熏染病毒的传播特征有关,也表明熏染病毒仍然非常活跃。在下面的第三节中,您可以看到熏染病毒的详细分类。
(2)木马类的详细分类
在最大的病毒木马类中,可以详细分为多种类型的木马病毒。有下载其他有害软件的程序,勒索软件,释放有害软件的程序,窃取个人信息,银行盗号诈骗,社交软件工具盗号,虚假反病毒软件,DDoS有害程序,如攻击软件、游戏盗号软件有害程序。
下载木马排名第一,占各种类型。34.23%,相比Q1季度上涨,上涨幅度为0.41%,至Q1这种季度已经延续3本季度持续下降,本季度略有回升,此类病毒呈回升趋势。
排在第二位的是盗号类病毒,占各种12.84%,相比Q1季度有的10.31%,上涨了3.49%,这解释Q2季度盗号木马病毒新增种类迅速增多,攻击者正在开发新的病毒变种攻击用户网银相关信息。Q1银行盗号病毒季度快速增长得到有效控制,排名从第二降至第六,降至第六2017年平均水平。
勒索病毒的种类在2017年Q4季度至2018年Q1季度下降了6.80%,有下降趋势,本季度数据显示,勒索病毒类型趋于稳定,与Q1季度变化不大,详细数值如图 9。
图 9(木马类型划分)
木马病毒的种类很多,说明病毒可能来自很多不同的作恶团伙,但从木马的阻挡量可以看出哪些木马病毒最活跃。从木马病毒样本的数量被划分,你可以看到图 10中排第一Dropper类木马病毒(释放有害文件木马),占所有阻挡量46.10%,相比Q1季度的23.17%,上涨了22.93%,回升到平均水平。
勒索病毒排名第二,占所有障碍物的比例29.19%。勒索病毒阻挡量相比Q1季度的34.85%下降了5.66%,从2017年Q2全球勒索病毒季度爆发后,勒索病毒从2017年Q4至2018年Q1季度大幅增长,与本季度相比Q1第一季度有下降趋势,勒索病毒的热度逐渐趋同。从木马类型漫衍和木马阻挡漫衍两个数据图的对比可以看出,Dropper虽然病毒种类没有下载类多,但在数量级上远远超过了下载类,这说明此类木马流传的最普遍,数目最多,受害的用户也最多。详细数值如图 10。
图 10(木马量级划分)
(三)PE熏染病毒分类
从监测到的数据来看,熏染病毒的种类变化不大。熏染型病毒种类不多,但是用户侧仍然很活跃,对比2018年Q1季度与Q2季度数据显示,排名前几的熏染病毒无论比例如何都发生了变化。
2018上半年区块链安全报告
在熏染病毒中,本季度排名第一的是Lamer病毒占所有感染病毒的比例26.26%,相比Q1季度上涨了22.29%,从Q1季度第七名成为第一名,这是第一次大幅增长,这表明Lamer类病毒在用户前端变得非常活跃。第二个是Virut病毒,所有熏染病毒占24.66%,受Lamer病毒数据转换的影响,Virut相比Q1季度下降了14.25%。排名第三的是Nimnul,所有熏染病毒占13.67%,相比Q1季度下降了1.4%,勒索型熏染病毒PolyRansom变化不大。详细数据如图 11。
图 11
由于熏制病毒不同于流行的木马病毒,熏制病毒将通过修改宿主程序代码将恶意代码寄生在宿主过程中,每个文件都被熏制(Hash,文件中数据的信息摘要)值城市变化,因此,被熏染病毒熏染的文件无法进行云查杀。
因此,杀毒引擎能否修复熏制文件反映了反病毒引擎修复熏制病毒的能力。目前,腾讯反病毒实验室的自主研究TAV反病毒引擎可以杀死和修复国际、各种熏染病毒在国内盛行。
(四)非PE病毒分类
网络的非凭证PE病毒样本统计,从非PE就病毒文件类型而言,本季度排名第一JS类病毒占所有病毒的比例50.51%,说明这个文件有很多种病毒。第二个是OLE类病毒占所有病毒的比例26.46%,此文件类型为复合型文件,多为office宏、RTF等待文件。第三名是VBS类病毒占所有病毒的比例16.45%,详细数据如图 12。
从非PE分析病毒阻挡量,本季度中期VBS类型病毒仍然排名第一,占所有非病毒的比例PE病毒样本的55.26%,VBS类病毒在类型上并不排名第一,但在阻挡量级上排名第一。这是因为这种病毒VBS有一种病毒会熏染HTML网页并插入VBS剧本代码的子类病毒,VBS一旦完成的可执行文件病毒包含在代码中HTML网页被执行后,这种恶意将被执行VBS该代码释放恶意可执行文件并加载运行。由于其熏染特性,此类病毒在阻挡量上排名第一。
排名第二的是JS剧本病毒占所有非病毒PE病毒样本的21.21%。排名在第三位的是HTML类病毒,占所有非PE病毒样本的14.94%,详细数据如图 13。
图 13
三、中毒用户区域漫衍
凭据中毒PC数目统计,从都会漫衍的角度来看排名转变并不罕见,依旧是互联网蓬勃发展的用户会中毒多,排名TOP10会有一些变化,其次是:深圳、广州、武汉、重庆、北京、成都、上海、济南、东莞、杭州,其中,东莞取代了长沙市TOP10。
世界阻止病毒排名第一的都会依然对于深圳来说,它占据了所有的阻挡量4.59%,相比Q1季度上涨了1.09%。第二名是广州市,排名相比Q1季度上升一个,阻挡量增加一个,占所有阻挡量4.01%,相比Q1季度上涨了0.82%。第三名为武汉市,排名相比Q1季度下降一个,阻挡量占所有阻挡量3.65%,相比Q1季度上涨了0.49%。详细数据如图 14。
图 14
漫衍于省级地区数据来看,相比Q1季度排名略有变化,前五名省份排名没有变化,第六名四川省与第七名湖北省相比Q1排名在季度变化。中毒PC数目广东省最多,排在世界第一省,占所有阻挡量13.86%,与Q1季度上升0.64%。河南、山东、江苏病毒阻挡量小幅下降,浙江省小幅上升。详细数据如图 15。
图 15
四、PC端巧取豪夺病毒细节
巧取豪夺病毒以抢钱为目的,使得熏染该木马的盘算机用户系统中的指定数据文件被恶意加密,用户数据丢失。现在,大多数从国外传入中国的巧夺豪夺病毒都需要支付比特币赎金来解密。由于比特币完全匿名流通,巧夺豪夺病毒背后的幕后操作员无法跟踪手艺手段,这也使得巧夺豪夺病毒从2013年后出现发作式增进。
(一)巧取豪夺病毒阻挡量
根据相关数据的分析,图 16可以看到,本季度骗类病毒阻挡最大的仍然是Blocker,这种欺骗性病毒占据了所有欺骗性病毒的比例78.62%,相比Q1季度上涨了5.77%,它仍在小幅上升。行使熏染传播模式PolyRansom与巧取豪夺病毒相比,有下降趋势。Q1季度的15.19%,本季度跌至1.12%,下降幅度达到14.07%。详细数据如图 15。
图 16
五、破绽相关病毒详情
(一)破绽病毒分类细节
破绽病毒样本主要漫衍Windows、Linux、Android平台上,这3各种平台上的破绽病毒样本占据了所有破绽病毒样本98.86%。通过统计获得的缺陷类型样本,可以看到Windows非PE到达类型的缺陷样本76.93%,相比Q1季度上涨5.50%。PE类型破绽样本到达18.40%,相比Q1季度下降6.30%。Windows平台破绽样本总量可达到平台所有破绽样本总量95.33%,相比Q1季度略有下降0.80%。Linux平台破绽比例为2.41%,Android平台破绽比例为2.12%。详细数值如图 17。
图 17
(二)Linux平台破绽病毒细节
在Linux在平台上,第一个缺陷攻击样本被称为Exploit.Linux.Lotoor,在所有样本中72.18%,相比Q1季度上涨21.52%,这种样本实际上是行使的Linux为了让黑客获得更高的系统权限,实施其他恶意操作,提高了缺陷举行权限。详细数值如图 18。
图 18
(三)Android平台破绽病毒细节
在Android在平台上,第一个缺陷攻击样本被称为Exploit.AndroidOS.Lotoor,在所有样本中86.70%,相比Q1季度上涨3.71%,此类名字与Linux平台上的名称相同,功效也是为了提高病毒的系统权限。Android是基于Linux因此,它们在内核层面在内核层面是共同的。详细数值如图 19。
图 19
(四)Windows平台破绽病毒细节
在网络到的Windows非PE类型破绽病毒量级最大,占到了所有破绽样本的76.93%。而在非PE类型破绽病毒样本可分为多种类型的文件,其中排名第一的是OLE这类通常是复合文档office大多数文档占所有非PE破绽病毒的61.34%,相比Q1季度上涨11.15%。排名第二的是JS类,占所有非PE破绽病毒的28.64%,相比Q1季度下降9.21%。排名第三的是SWF类,通常是指Adobe的Flash缺陷,占所有非PE破绽病毒的5.41%,相比Q1季度变化不大。详细数值如图 20。
图 20
Windows平台上的PE类型破绽样本到达18.40%,在这个部门的破绽样本中排名第一MS04-028,占所有缺陷样本17.30%,相比Q1季度上涨9.14%,这个缺陷是比较老的缺陷,但是根据网络到的样本分析,还是很活跃的。详细数值如图 21。
图 21
六、挖掘木马病毒的细节
早在2017年Q4腾讯反病毒实验室在季度平安讲述前言中基于数据展望,在2018年,挖掘木马病毒很可能成为新趋势,随着网络数字硬币价格的上涨,越来越多的黑客更愿意选择通过挖掘获利。基于腾讯反病毒实验室的安全大数据,我们对木马病毒的挖掘进行了详细的分析和整理。
(一)采矿木马病毒分类
分析网络到挖掘木马病毒,发现挖掘木马病毒会以各种文件和图案传播,其中排名第一的是Win32采矿病毒类型占各种类型82.24%。排名第二和第三的是基于网页程序挖掘的剧本病毒,分为JS类,占所有类型7.53%,HTML类,占所有类型7.00%类病毒多发于色情、赌钱等网站。详细数值如图 22。
图 22
当前网络上有异常多差异种类的加密数据钱币,如:比特币、以太币、门罗币等。从挖矿木马病毒的量级上统计剖析,78.08%挖掘木马病毒样本用于挖掘比特币,而挖掘其他类型加密数据硬币的病毒样本占21.92%。详细数值如图 23。
图 23
统计了采矿过程中使用的过程名称。在统计的过程名称中,一些过程确实对应于系统文件,因为采矿木马使用系统文件作为过程木偶进行采矿,如下面的第一个过程名称conhost在许多情况下,记事本程序对应于系统(notepad.exe)。其他的,比如EthDcrMiner64、minerd 、xig、ETHSC、xmrig等待的过程名称是规模挖掘木马。挖掘木马对应的过程排名,如图 24:
图 24
腾讯反病毒实验室利用哈勃分析系统分析了这些木马的过程,统计了挖掘木马相邻的矿池地址,包括pool.minexmr.com成为国内采矿用户最喜欢的矿池地址。其中,国内流行的采矿木马采用自建矿池进行采矿,主要是因为使用第三方矿池,第三方矿池会收取一定的手续费,自建矿池可以减少这些不必要的费用。其他更活跃的矿池地址,如图 25:
图 25
对木马病毒矿池地址对应的端口号进行了统计分析。个人用户和企业可以通过这些端口来判断是否有采矿行为。据统计,3333该端口是采矿木马最喜欢的端口,约占所有采矿池相邻端口的12%。此外,777端口和555端口分为第二和第三,占6%和5%。此外,从端口范围来看,3000-3999两者之间的端口是挖掘木马最喜欢的端口限制,该区间的端口占据了挖掘端口38.7%(注:这里的38.7%包括3333端口的12%)。详细的端口排名漫衍图,如图 26:
图 26
第二章 Android端恶意程序
一、恶意程序检查测量
2018年Q2统计Android样本数据显示,总数已被检测到Android病毒样本量375万多平均每月检测Android病毒样本62万多个。可以通过数据看到Android病毒样本Q2季度相比Q1季度下降,下降幅度达到21%,详细数值如下:图 27。
图 27
二、恶意程序详细分类
(一)恶意程序类型和量级分类
凭据2018年Q2季度获取到的Android病毒样本剖析,从病毒种类上整体排名没有改变,排名第一的还是PUA类(灰色软件),占总体病毒量的54.72%,相比Q1季度上涨了4.86%,这种病毒的数量已经持续了很多季度。SMS类为第二大病毒,占总数18.61%,相比Q1度上涨了1.35%,已延续2季度上涨。Spy第三大病毒种类,占总数5.01%,相比Q1季度下降了5.12%。详细数值如图 28。
图 28(病毒类型划分)
从Android病毒样本的数目级上来划分,可以看到排名第一的仍然是PUA,占所有Android病毒数目的58.61%,相比Q1季度上涨了5.63%,Android端流氓PUA病毒连续季度上涨。排在第二位的Dropper占所有Android病毒数目的20.28%,相比Q1季度下降了6.54%,此Dropper类病毒的主要行为是伪装成其他正常软件,在后台安装其他流氓软件,会导致用户Android机上被安装多种推广软件。排名第三的是SMS类病毒,占所有Android病毒数目的6.17%,相比Q1季度上涨1.27%。详细数据如图 29。
图 29(病毒量级划分)
第三章 平安舆情信息
一、本季度平安舆情量情况
2018年Q2季度网络热门话题分为缺陷、有害样本盛行、攻击、勒索欺诈、钓鱼、IoT平安。其中,破绽类平安事宜占比最高。26.33%,占比超过1/4,其次是流行的有害软件事项,占比23.15%。在其他详细的典型类型中,巧取豪夺,钓鱼,IoT平安最突出,比例划分是13.16%,8.88%和3.89%。
相较于2018年Q1季度,比例最大的破绽平安,有害软件盛行,巧取豪夺,攻击事项热度不同,划分上升1.85%,1.73%,0.2%,0.81%。
附录1 2018年Q2季度网络安全事项清点
一、破绽平安事宜
(一)ZenMate VPN 浏览器插件缺陷导致用户真实地址泄露,影响 350 万用户
ZenMate是一有跨越4300万用户的VPN提供商,它提供各种浏览器扩展来使用它们VPN。停止5月份浏览器扩展约莫350万用户。用于Chrome和Firefox的ZenMate VPN客户端信托过时域名zenmate.li,因此,它可以通过新闻通知扩展浏览器API挪用。在没有任何用户交互的情况下,行使此缺陷可以获取用户的所有账户信息,如账户ID,电子邮件地址、身份验证UUID令牌、电子邮件列表、账户类型、订阅信息、用户所在国、平台登录时间、是否可用于登录受害者账户VPN等信息。
(二)研究人员又发现了8个CPU新破绽 英特尔、ARM等待芯片受到影响
今年5月,德国算机杂志《c't》报告称,研究人员在盘算机上CPU内找到8新的缺陷,这些缺陷和Metldown、Spectre有点相似。该杂志还表示,英特尔将公布补丁,修复缺陷,ARM一些芯片也受到影响,至于AMD研究人员正在观察芯片是否也存在同样的问题。《c't》由于研究人员会优先通知响应公司,在公司发现修复补丁后,没有披露信息的来源会公开发现。
二、盛行木马 (一)发现跨越 2000 万用户从 Chrome 恶意扩张安装在店铺内
今年4月,谷歌被发现Chrome至少在商店里2000万用户安装了五个恶意广告阻挡器AdRemover、uBlock Plus、Adblock Pro、HD for YouTube和Webutation。这些恶意浏览器扩展通常可以在网上接收用户的所有行为,甚至窃取用户接收网站的信息,包括密码、网页浏览记录和信用卡信息。AdRemover扩展,它修改了JavaScript的jQuery图书馆将用户访问网站的信息发送回远程服务器,远程服务器发送的命令隐藏在无害图像中,以防止检测。建议广大用户安装扩展程序,注意扩展程序制造商。
(二)Mirai 变种将目的锁定金融部门
今年4月发现,Mirai僵尸网络的一个变体被用来建议金融部门企业的一系列漫衍拒绝服务流动。这些攻击至少行使13000物联网装备被绑架,流量高达30Gbps,僵尸网络和恶意软件的变体也增加了可链接IoTroop僵尸网络的特点。最近的攻击接受了DNS放大工艺,达到流量峰值30Gbps。平安专家示意自己2017年10自本月以来,它已经发展到行使其他物联网设备的缺陷,并可能继续这样做,以传播僵尸网络,促进更大的发展DDoS攻击。
(三)Vega Stealer 恶意软件瞄准 Chrome,Firefox 浏览器、窃取浏览器保留的用户凭证和信用卡信息
今年5月发现了一个名字Vega Stealer恶意软件,通过Chrome和Firefox浏览器保留凭证和信用卡信息August Stealer变种。具有父恶意软件功效的子集等功效。除了窃取浏览器数据外,Vega也可以从受熏染的机械中泄露Word,Excel,PDF和文本文件。Vega中的Chrome窃取浏览器的效果是August Stealer代码部门;August还从其他浏览器和应用程序中窃取信息,如Skype和Opera。Vega新的功效包括新的网络通信协和Firefox浏览器窃取效果。
(四)Netflix 首先使用新型钓鱼有用 TLS 证书的站点
新的Netflix网络钓鱼诈骗将受害者带到有用的传输层面(TLS)证书网站,近期使用TLS认证网站的Netflix网络钓鱼邮件有所增添。攻击者行使未修复的安装或插件或弱密码损坏常见的可疑密码CMS软件,如WordPress或Drupal。从那时起,他们可以建立可能被误认为是真实的Netflix域网钓鱼站。在某些情况下,他们使用通配符DNS记录。近年来,使用TLS网络钓鱼攻击的方式急剧增加;2017年与2016年相比,SSL / TLS提供的在线钓鱼实验增加了400%。
三、攻击事宜
(一)美国零售业遭受黑客攻击500一万张银行卡信息被盗
四月,一波黑客被盗500美国商店顾客的1万张信用卡和借记卡信息12.5一万条信息出售。影响包罗美国生鲜超市Whole Foods、快餐连锁店Chipotle、度假村Omni Hotels & Resorts,以及特朗普开设的连锁酒店。
(二)Vigilante黑客行使CiscoCVE-2018-0171攻击俄罗斯和伊朗网络
四月黑客队JHT”对俄罗斯和伊朗的网络基础设施提出了黑客攻击流动,黑客行使思科CVE-2018-0170智能安装(Smart Install,SMI),将路由器重置为启动设置并重新启动设备,然后向受害者发出建议,导致大规模网络暂停。智能安装(Smart Install,SMI)只能安装客户端的协议新闻也被称为集成分支客户端IBC),未经身份验证的远程攻击者可以更改启动设置文件并强制重新加载装备,并在装备上加载新的装备IOS并运行图像Cisco IOS和IOS XE在软件交流机上执行高权限CLI下令。伊朗通击袭击了伊朗数千台装备。伊朗通信和信息技术部表示,全球跨越20其中,万台路由器受到影响3500台位于伊朗。
(三)包括恶意代码minecrafe皮肤被熏染了5w多的用户
“Minecraft”它是一个非常受欢迎的跨越7400万玩家的世界建设游戏发生在今年4月Minecraft下载他们头像皮肤的网站用户无意中中毒。已知近期50,000个Minecraft该账户感染了恶意软件,恶意软件将重新模拟个人硬盘,删除备份数据和系统程序。
(四)412挂马风暴
4月12日本腾讯威胁情报中心监控恶意代码嵌入在大量客户端的嵌入式新闻页面中。用户将被植入挖掘木马、银行木马和远程控制木马无需知情。本波挂马将影响多达客户端50影响极大的局限性很大。波挂马已经受到影响20w 用户IE11,然后安装IE补丁:KB3154070;如果是网络管理员,请使用以下内容ip添加防火墙阻挡列表:139.224.225.117,107.150.50.34,222.186.3.73。
(五)APT组织寄生兽再出没
4月,腾讯御见威胁情报中心再次发现寄生兽的最新危险行动。寄生兽组织开发的木马针对目标计算机移动存储介质(U盘子、移动硬盘等。)设计了奇怪的入侵方案:木马发现了目的U盘存在Office在文档中,这些文档将首先转换为RTF图案,然后捆绑行使高危破绽触发的攻击木马。这种做法是寄生兽APT组织的首创,是针对内外网星散的隔离网络稀奇开发的攻击方式——当用户使用U当盘等移动存储设备在内外网络中交换数据时,文档将植入木马。当内网其他用户打开被熏时Office文件中,木马会悄悄潜入内网。针对这种攻击,企业用户可以使用腾讯御界高级威胁检测系统(http://t.cn/RnvtLDV?u=6405524958&m=4229481289573968&cu=1736794023)全面防御。
(六)VPNFilter僵尸网络以网络设备为目的,已被熏染54个国家约 50 万台网络设备
今年五月至少停止54个国家/区域内受熏设备数量不少500,000。受VPNFilter已知设备有小型和家庭办公室(SOHO)空间中的Linksys,MikroTik,NETGEAR和TP-Link网络设备和QNAP网络附加存储(NAS)装备。VPNFilter恶意软件的组件可以窃取网站证书并监控Modbus SCADA协议。最后,恶意软件具有破坏性能力,可使熏制设备不可用,可在个体受害者机械或团体上触发。
(七)一周内恶意 PHP 剧本熏染了 2400 个网站
今年5月发现Brain Food僵尸网络通过在正当网站托管的网页上销售虚假减肥药和智商增强药。到目前为止,由于有用的超文本预处理器(PHP)剧本(也叫Brain Food),垃圾邮件发送者取得了乐成,剧本巧妙地避免了网站检测。一周内,有2400一个网站被熏染推销可疑药片。Brain Food代码多态,使用多层base64编码混淆。此外,僵尸网络还有一个特点。当一个网站被熏染时,抓取它PHP当代码时,剧本将重新定位到准确的页面。
(八)LuckyMouse 组织对中亚国家数据中心提出连续水坑攻击
在2018年31月,中亚国家数据中心发现了一个连续流动,该数据中心来自2017秋天以来一直很活跃。主要目的选择 - 这意味着攻击者获得了普遍的政府资源,了解了政府的一举一动。这种观点被滥用,比如在国家官网插入恶意剧本进行水坑攻击。运营商使用HyperBro木马作为其内存远程管理工具(RAT)。反检测息争压缩机广泛应用Metasploit的shikata_ga_nai编码器和使用LZNT1举行压缩。
(九)InvisiMole多用途特工软件对俄罗斯和乌克兰的目高针对性攻击
六月发现InvisiMole俄罗斯和乌克兰的多功能特工软件Windows PC提出高度针对性的攻击,恶意代码接受32位和64位置版本,模块化结构,两个厚后门,重叠效果。他们的合作负担接近100特工流动。研究人员非常重视一些功效,例如,InvisiMole允许攻击者接受熏染PC相机,这样他们就可以看到和听到受害者的位置。这样,攻击者就可以监控目的的流动,窃取信息。到目前为止,十几台机器上出现了恶意软件。
(十)中国进出口企业遭遇“商贸信”攻击,企业秘密被盗
6月,腾讯威胁情报中心发现,最近对中国进出口企业的网络攻击再次出现。黑客攻击的目的是中国电子技术、外贸和海洋运输企业。攻击者发送与企业经营相关的诱饵邮件,附件是行使Office缺陷(缺陷编号:CVE-2017-11882)稀奇定制的攻击文件,在有缺陷的电脑上打开附件会立即中毒。缺陷触发后行使bitsadmin下载Loki Bot木马并执行,然后窃取受害职员各种账号密码等隐秘信息。
(十一)美国票务网站Ticketfly遭受黑客攻击勒索
今年6月,美国票务网站Ticketfly被黑客攻击勒索,影响了几张公开的音乐会门票销售估计有2600一万人受到违规行为的影响,包括电子邮件地址、姓名、实际地址和电话号码。黑客见告Ticketfly数据泄露是导致数据泄露,然后要求比特币(约7,500美元)换取信息。
四、垃圾邮件
(一)2018世界杯主题垃圾邮件来袭
世界杯门票是黑客发送垃圾邮件的高发时期,通知收件人通过官方互助伙伴和赞助商(Visa,可口可乐、微软等)FIFA在他们自己的彩票中获得现金奖金,通常包括附件,有些人会要求收件人支付部门邮费或银行转账费用,主要目的是在线用户数据(包括财务信息等),并提取小额汇款,而附件可能是损害收件人利益的恶意软件。
另一种是为收件人提供干预门票、礼物或赢得比赛。受害者需要在黑客提供的假页面上注册并提供电子邮件地址“组织者”发送联系方式。该方案的目的是更新电子邮件数据库,以分发更多的垃圾邮件。
(二)声称WannaCry重新来袭的WannaSpam垃圾邮件
今年6月,一个自称WannaCry-Hack-Team该组织向用户发送垃圾邮件,声称收件人的计算机已经被发送WannaCry熏制,并在电子邮件文本中发布他们的比特币地址,收件人需要在指定的时间内将比特币发送给他们,否则计算机上的文件将被删除。这实际上只是一封垃圾邮件,收件人的计算机也没有被删除WannaCry熏染,只需删除邮件即可。
五、数据泄露
(一)加拿大最大的两家银行近在咫尺9万名客户的数据被泄露
5月底,蒙特利尔银行和加拿大帝国商业银行即将到来9网络犯罪分子窃取了1万名客户的数据,两家银行都了解到黑客窃取的数据,这意味着他们的检测和预防措施完全失败。黑客试图勒索银行,可能是因为被盗的数据没有黑客想象的那么有价值。没有消息称,是否有客户因信息泄露而遭受损失。
(二)在开普敦的一个在线交通平台上泄露了近百万用户的私人信息
今年5月,南非开普敦一个在线交通平台的私人数据库被泄露,包括近100万用户的姓名、身份证号码、电子邮件地址和南非公民描述的明确存储密码。数据泄露的主要原因可能是在线平台对数据安全性的疏忽,其敏感数据的备份似乎保留在公开访问的目录中。
(三)欧洲北美铁路公司网站被入侵,大量用户的敏感信息被泄露
今年5月,欧洲北美铁路公司(RENA)与客户见面,他们发现证据解释说,黑客未经授权接收了用于预订机票的电子商务网站,并可能窃取大量敏感数据——客户姓名、性别、地址、电话号码、电子邮件地址、信用卡/借记卡号码、支付卡到期日期等,并解释了黑客入侵RENA系统已有近3一个月。这可能是因为RENA内部员工密码泄露导致黑客进入系统,或其电子网站有未修复的缺陷,导致黑客远程行使并入侵其网络。
(四)DNA测试服务MyHeritage公司9200超过1万用户的用户数据被泄露
6月初,在第三方私人服务器上发现了包罗MyHeritage公司9200超过1万名用户的电子邮件地址和散列密码,但不包括用户的其他数据,如用户的财务信息DNA、家谱细节等信息。MyHeritage每个用户密码的哈希密钥都不一样,所以网络犯罪分子很难完全解码9200超过1000个密码。并表示将对用户账户实施双要素身份验证效果,以提高用户数据的安全性。
(五)Ticketmaster用户信息泄露是因为谈天的效果
今年6月,世界上最大的票务网站Ticketmaster,因为使用了第三方聊天软件——Inbenta恶意代码注入所提供的小部件,导致用户数据泄露,包括用户姓名、地址、电子邮件地址、电话号码、详细付款信息和Ticketmaster登录详细信息等数据。Ticketmaster并不是所有的网站访问者都受到影响,只是在2017年9月至2018年6月23日本时代购买或试图购买票据的国际用户受到影响,约莫是整个客户5%在所有页面上实时禁用Inbenta小部件。
(六)弹幕网站AcFun数千万用户数据被攻击泄露
六月中旬,弹幕网站AcFun该网站被黑客攻击,近1000万用户数据泄露,包括用户ID、昵称和加密存储密码。攻击者在GitHub公布了300条用户信息及手机号,但不久之后已删除。AcFun示意2017年7月7日后登录AcFun用户密码自动升级为更强的加密策略,密码安全,提醒2017年7月7以后从未上岸过的用户和密码强度低的用户实时更改密码。
六、挖掘木马病毒
(一)新型Monero挖矿木马在Mac端兴起
今天五月以来,大量Mac用户熏染了一种新型Monero挖掘木马,一个叫mshelper这个过程会消耗很多CPU电源耗尽他们的电池。采矿软件是伪装的Adobe Flash Player安装程序安装,用户从非官方网站下载或特别引诱受害者打开他们的诱饵文木马首先在目的系统上执行时,它将启动两个svchost.exe在这个过程中,一个是执行挖掘义务,另一个是在后台操作,用来感知防病毒的珍爱,停止检测。
(二)在Ubuntu Snap Store上找到包罗Bytecoin加密硬币矿工的恶意软件包
在官方Ubuntu SnapStore上托管的Ubuntu Snap Package的源代码中发现通过分析解释,恶意软件是一种加密硬币挖掘木马。Bytecoin(BCN)加密硬币,恶意软件中硬编码的账户是“myfirstferrari@protonmail.com”。恶意应用程序是2048buntu,它是2024游戏的合法版本包括在内Ubuntu Snap统一开发人员上传的另一个应用程序也包括恶意挖掘代码。Ubuntu Snap Store不提供安装计数,因此无法确定受影响的用户数量。
(三)近400个Drupal现场熏制恶意软件,秘密挖掘加密硬币
5月上旬,近400一个网站遭受了恶意攻击,主要是美国政府机构、教育机构和一些科技公司。这些网站使用旧版本Drupal内容管理系统被恶意软件行使,关键远程代码执行缺陷(CVE-2018-7600),植入了Coinhive采矿服务。所有熏染JavaScript代码指向相同的域名(vuuwd.com)和相同的Coinhive此外,采矿服务限制了受害者CPU减少被发现的可能性。
(四)计算机管家帮助警方破获计算机采矿案件
2017年底,腾讯电脑管家发现了一款名为tlMiner采矿木马的流传量达到峰值,12月20日当天有近20采矿木马影响了万台机械,发现tlMiner挖矿木马瞄准吃鸡玩家和网吧高配置电脑,建立采矿集群。腾讯计算机管家与守护者合作,实时向山东警方提供线索,协助警方2018年4月11日乐成破获389万台肉鸡计算机采矿案,涉案价值高达1500余万元。
“tlMiner吃鸡游戏插件、海豚加速器(修改版)、高仿盗版视频网站木马作者(dy600.com)、酷艺影视网吧VIP植入等程序tlMiner挖掘木马通过网吧联盟、论坛、下载站、云磁盘等渠道传播。木马作者通过上述渠道植入木马,非法控制网吧和私人计算机终端为其私人挖掘。腾讯计算机管家已经完全阻止了木马病毒。
(五)实际上,它被称为吃鸡辅助软件来挖掘病毒
6月,腾讯御见威胁情报中心监控xiaoba勒索病毒的作者在网站上xiaobaruanjian.xyz它提供了荒野行动的游戏辅助,并潜伏了勒索病毒、挖掘木马和篡改主页的木马。一旦用户下载并运行网站的所谓吃鸡辅助软件,浏览器主页就会被篡改CPU挖掘被大量占用。荒原行动装备解封工具伪装成吃鸡游戏辅助工具.cmd荒原行动装备解封工具被包装成压缩包文件.exe”,伪装的正规软件文件名极难被用户发现。该压缩包文件执行时会启动恶意剧本cmd,修改文件的建立时间,然后执行木马文件。xiaoba病毒将改变浏览器导航40多余的浏览器被勒索,木马在桌面上发布了大量的推广lnk,同时,大量的采矿被占用CPU资源。当比特币和以太坊币在中毒计算机上交易时,病毒会监控剪切板,并在交易时用自己的地址替换收款人的地址,从而实现虚拟货币交易抢劫。更糟糕的是,xiaoba病毒作者还增加了勒索病毒的效果,使计算机无法启动,并要求受害者在消除病毒封锁之前付款。现在,腾讯的计算机管家已经完全阻止和杀死了病毒。
Rootkit病毒添加独狼2新变种