2018年Q2季度安全报告
腾讯平安团结实验室整理了2018年上半年互联网黑生产攻击数据和增长现状PC从两个方面详细解读玄色产业链的详细特点、攻防工艺和成长趋势,为大家揭开互联网黑产的面纱。 
目录
序言
1.移动终端黑产品规模大,恶意推广日均影响用户超过万
1.主流大主流黑产链
1.1暗扣话费黑产品:每天掠夺万万抢钱产业链
1.2实现广告流量:九人控制数百万广告流量牟取暴利
1.3手机应用分发黑产:缄默但不简朴的地下软件分发渠道
1.4 App刷产业链:欺骗开发者推广费用 12
2. 三种新兴攻击手段
2.1黑产加固过程加速
2.2黑产超级武器云加载进入3.0时代
2.3黑产品渗透到更多的供应链中,供应链安全风险加剧
二、PC端玄色产业链日益成熟,攻击精度加倍
1.勒索病毒解密产业链对企业和公共机构构构成严重威胁
2.控制肉鸡挖矿产业链,将游戏外挂成挖矿木马的重灾区
3.DDoS攻击手艺不断演进,团伙作案趋势显著
三、技术趋势与实践相匹配的互联网黑产品
1.移动终端人工智能黑产匹敌技术突破口
2.化被动为自动PC端黑产配手艺
四、2018年下半年的平安趋势剖析
1.MAPT攻击威胁继续上升,移动设备可能成为重大安全隐患
2.恶意应用的检测和反检测将变得越来越激烈,平安攻防将进入焦虑状态
3.黑生产团伙拓宽了Android采矿平台市场,移动采矿应用可能迎来攻击
4.勒索病毒攻击的加倍趋于精确定向攻击
5.采矿病毒的比例显著增加,手段加倍隐藏
6.高级可持续性APT攻击威胁越来越接近通俗人
7.刷量刷单类灰色产业依然严重
序言
病毒木马的演变史是互联网黑产品的演变史。病毒木马逐渐从最初的炫耀技术过渡到与利益相关的过渡:那里有流量,那里可以赚钱,那里会有黑产品集群。
2018年,随着移动应用程序跨越计算机应用程序的影响,主要的互联网黑色产品也迁移到移动平台上。腾讯平安反欺诈实验室观察数据解释,为黑色产品、恶意移动广告黑色产品、移动应用分销黑色产品,App推广刷黑产品是典型的,这些移动互联网黑产品给用户和软件开发者带来了巨大的经济损失。
与此同时,2018年是区块链的新年,几乎所有的新兴产业都无法绕过区块链这个关键词。根据回应,自2017年下半年以来,互联网病毒木马的主流也来自区块链、比特币、以太坊和门罗币。由于比特币具有不方便警方追踪的特点,世界上大多数黑市都选择比特币作为买卖硬币。由比特币和其他数字硬币引起的网络犯罪流动继续流行,采矿木马已成为2018年最具影响力的恶意程序。对于采矿,除了大规模投资购买矿机建立自己的矿山外,黑色生产的做法是控制尽可能多的肉鸡计算机建立僵尸网络进行采矿。僵尸网络除了可以挖掘利润外,还可以控制肉鸡计算机的执行DDoS攻击也是历史悠久的黑产赚钱模式之一。
为此,腾讯平安团结实验室整理了2018年上半年互联网黑产品攻击数据和增长现状,分别从移动终端和移动终端PC从两个方面详细解读玄色产业链的详细特点、攻防工艺和成长趋势,为大家揭开互联网黑产的面纱。
1.移动终端黑产品规模大,恶意推广日均影响用户超过万
2018年上半年,手机病毒种类多达数十种。大多数病毒属于三种类型:资费消费、恶意扣除和隐私获取。32.26%、28.29%和20.40%。此外,手机病毒的功效越来越复杂,病毒往往具有多种特征和恶意行为。腾讯4月初TRP-AI反病毒引擎捕获了一个恶意的木马,名为银行节日自动取款机,伪装成一个正常的支付插件,在用户不知情的情况下发送订单短信,上传用户的手机固件信息和隐私,导致消费和隐私泄露。
1.四大主流黑产链
1.1暗扣电话费黑产品:日掠夺万万抢钱产业链
秘密扣除电话费是一种非常古老的互联网黑色生产。大多数用户会为支付包的消费充值一些电话费,通常很少关注电话费。事实上,这些预存的电话费余额也可以用来订阅各种增值服务。移动黑色生产就是这样做的,与利益共同体联系,窃取用户电话费余额,牟取暴利。
根据腾讯平安反欺诈实验室的数据,互联网上每天增加约2750个新病毒变种,伪装成各种色情游戏、聊天交友等应用程序,诱导用户下载和安装。这种恶意的手机应用每天影响数百万用户。根据人均电话费用数十元的估计,每天有数万万的电话费用被掠夺,可以说是掘金机械。广东、河南、江苏等受电话费用影响最大的省份。
腾讯平安反诈骗实验室发现,这类黑产品稀缺SP上游提供商,SDK掌握凭证的差异SP资源开发响应SDK,并将这些SDK植入伪装成色情、游戏、交友等容易吸引网民的应用。实现暗扣话费实现后,整个产业链的朋友通过分享的方式分享利润。这种黑色生产焦点的扣除SDK北京、深圳、杭州等地约有20个开发团队。
根据腾讯平安反诈骗实验室的观察,近期暗扣电话费手机恶意软件的影响呈上升趋势。
1.2实现广告流量:九人控制数百万广告流量牟取暴利
目前,中国网民对手机应用程序中的广告态度相对宽容,国内消费者支付应用程序的习惯尚未形成。正式的软件开发人员也需要通过广告流量来赚钱。然而,一些内置在各种应用程序中的恶意广告联盟主要通过恶意推广广告实现流量来盈利。平均每天有257种新的广告病毒变种,影响了大约676万的伟大用户群体。这些恶意广告联盟推广的广告,内容加倍,没有底线,在某些时刻突然推出色情边缘球应用、赌博甚至手机病毒。
腾讯平安反欺诈实验室的监测数据解释,区域越繁荣,恶意广告流量的实现就越严重。珠江三角洲、长江三角洲和京津冀地区比世界其他地区受到恶意广告流量的影响更大。
1.3手机应用分发黑产品:沉默但不简单的地下软件分发渠道
在应用市场竞争日益激烈的情况下,软件推广的成本也在上升。一些初创公司很难在软件推广上投入大量成本,部门制造商找到了一个相对便宜的软件推广渠道:通过移动应用程序分发黑色生产,并接受类似病毒的方法在用户的手机上安装软件。根据腾讯平安反欺诈实验室的监控数据,恶意推广地下暗流的整体规模约为1万级,主要影响中低端手机用户。例如,部门用户使用的手机系统不是官方版本,经常发现一些应用程序莫名其妙地出现在手机中,这是地下软件黑色生产的杰作。
通过手机恶意软件下载和推广应用程序是实现手机黑色生产的主要途径。腾讯平安反欺诈实验室的研究数据显示,每天有2200多种病毒变种,每天有1000多万网民受到影响。
1.4 App刷产业链:欺骗开发者推广费
为了将自己开发的手机应用安装在用户手机上,软件开发者会寻找推广渠道并为此付费。一部门掌握网络流量的人,又动起歪脑筋:行使种种作弊手段去虚报推广业绩,诱骗软件开发者。凭据腾讯平安反诈骗实验室对App产业链主要有三个阶段:
第一阶段:机刷时代(模拟刷、群控)
在早期阶段,通过模拟器模拟了大量的手机设备来伪装真实用户。随着后期的匹配,它主要通过购买部门的真实手机设备来实现。模拟器易于检测,组控制规模有限。随着开发商匹配技术的升级,该模式逐渐消除,刷行业和开发者也逐渐消除在长器的游戏中。
第二阶段:众筹肉刷
用户可以通过手机轻松赚钱作为吸引用户进入平台的噱头APP提供各种各样的义务来获得治疗,就像安装一个应用程序玩十分钟可以得到一美元一样。然而,由于这些平台失去了太多的合同,欺骗用户做义务,不愿意付费,越来越少的网民愿意参与这些游戏,模式逐渐消失。
第三阶段:木马手艺自动刷量
手动刷需要大量的真实用户账户或更多的设备,但也需要人肉操作,导致效率低下。2018年,一些聪明的开发商率先建立了木马自动刷平台。SDK通过互助植入一些用户只需要的应用程序进行传输,然后通过云控制系统向用户设备自动执行刷操作。
2.三种新兴攻击手段
2.1加速黑产加固工艺
加固技术开发的最初目的是珍惜应用程序的焦点源代码不被盗。随着病毒竞争的不断改善,越来越多的病毒应用程序首先接受加固,以珍惜其恶意代码,而不被安全软件发现。
目前,国内外有许多成熟的加固解决方案制造商。这些制造商有许多先进的加固技术和完善的兼容性解决方案。然而,这些解决方案解决方案的这些优势正成为黑色生产的良好珍贵伞。根据腾讯平安反欺诈实验室的数据,2018年以后行使这些著名加固解决方案的病毒应用正在迅速增加。
从病毒家族的角度来看,社会工作者欺诈、恶意广告、色情、勒索等更激烈的病毒家族更喜欢使用加固技术来珍惜自己。
2.2黑产超级武器云加载进入3.0时代
随着恶意应用开发商和安全制造商的攻击和防御越来越激烈和深入,恶意软件开发者倾向于使用恶意代码隐藏在云服务器中,接受云控制发布恶意效果,最终通过内陆框架动态加载达到最佳的隐藏恶意行为效果,云加载技术是最好的匹配手段,现在是传统的安全软件。
根据腾讯平安反欺诈实验室的大数据,近一半的动态加载技术应用是病毒。云加载技术正成为病毒开发者最喜欢的攻击手段。色情、恶意应用分发、游戏暗扣等最赚钱的病毒家族一般标配云加载攻击技术,实现利益最大化。
病毒黑产中该工艺的作恶特点是:将恶意代码剥离并封装成payload,云服务器控制客户端上传的特定信息流是否发布执行payload功效,发布的代码最终在内存中加载执行,恶意代码可以实时清算,确保恶意文件不落地,防止传统的安全客户感知。腾讯安全专家将这种行使技术变成了云加载技术。
近年来,随着开发人员的对待Android系统架构和动态加载技术深入了解,发现了各种代码热更新方案和插件框架,免费开源,为病毒技术开发者实施云控制恶提供了技术基础,云控制技术已成为绝大多数高风险木马的标准,腾讯安全反欺诈实验室最近也发现了一些使用云控制技术的病毒家庭。
现在已经更新已更新3.0该版本的框架病毒开发者不仅可以通过区域、运营商、型号、设备等维度限制用户吸烟,还可以行使VA当虚拟加载技术完全剥离恶意代码,通过白色框架按需加载和扩展各种恶意效果时,流行的和平制造商很难捕捉到病毒的恶意行为。
2.3黑产品渗透更多供应链,供应链安全风险加剧
回首整个Android应用供应链相关的重大安全问题可以发现,供应链攻击的安全问题在用户影响和危害方面不低于传统的恶意应用和操作系统0day腾讯平安专家发现,针对缺陷攻击Android以下趋势:
1)供应链攻击的安全问题占供应链下游(分发环节)攻击的大部分,受影响的用户数量多达百万,层出不穷。XcodeGhost这类污染开发工具针对软件供应链上游(开发环境)举行攻击的平安事宜较少,但攻击一旦乐成,却可能影响上亿用户。
2)第三方SDK平安事宜和厂家预留后门Android供应链中频繁发生的安全事项大多采用白签名绕过查杀系统的机制,其行为介于是非之间,远远超过影响用户数量的普通缺陷行使攻击。
升级邮件隐藏钓鱼陷阱 犯罪分子骗你不商量
3)在攻击隐藏性方面,基于供应链各环节的攻击比传统恶意应用更隐藏,隐藏周期更长,攻击的发现和清算也比较复杂。
4)近年来,供应链各个环节的攻击呈上升趋势。在更加复杂的互联网环境下,软件供应链向攻击者展示的攻击面越来越多,越来越多的攻击者也发现,对供应链的攻击可能应用自己或系统的缺陷更容易,成本更低。
二、PC端玄色产业链日益成熟,攻击精度加倍
1.勒索病毒解密产业链对企业和公共机构构构成严重威胁
2018年,由于勒索病毒,大量企业、政府机关和公共服务机构的生产系统数据被加密和损坏,主要业务系统崩溃。勒索病毒攻击者利用各种手段实验入侵主要机构的网络系统,如通过弱密码入侵企业网站,然后将企业入侵Web服务器作为跳板渗透到内网,然后行使局域网缺陷攻击工具将勒索病毒分发到内网关键服务器,加密企业关注的业务服务器和备份服务器数据。
一旦病毒成功,企业将立即陷入崩溃状态,因此关键业务将停止。如果企业网络管理发现备份系统也受损。基本上只有一种方法:支付赎金。众所周知,勒索病毒的加密过程是高强度的非对称加密,除非获得密钥,否则理论上不可能解密。正因为如此,腾讯威胁情报中心监控发现了这条未知的精彩产业链:勒索病毒解密产业链。
该产业链的从业者甚至通过购置搜索引擎要害字广告来拓展营业。
当受害者企业追求解决方案时,常规的安全制造商往往会回复没有备份数据就找不到。受害者企业通过互联网找到解密服务提供商,这些人作为受害者企业联系勒索病毒传播中介,相对于受害者企业,更熟悉虚拟数字货币销售,经过讨价还价,代理受害者企业购买解密钥,以解密数据。在某些情况下,无法清理努力解密的中介机构是否与勒索病毒传播者有某种联系。
此外,勒索病毒传播链本身也有专业的分工,有些人努力制作勒索病毒生成器,分发给有网站资源的人,各方干预利益分享。
2.控制肉鸡挖掘产业链,将游戏插件插入挖掘木马的重灾区
去年年底,温州一家公司的网站遭到恶意攻击。当网络警察整理线索时,他们发现嫌疑人徐有重大嫌疑人。经观察,警方确实发现了一个行使缺陷安装采矿木马的犯罪团伙。该团伙有12名成员行使缺陷攻击他人的电脑,并在赚钱控制后植入采矿木马。工作组发现,该团伙租用了20多台服务器,远程控制了5000多只肉鸡,非法采矿了1000多枚门罗币和其他数字硬币(价值约60万元)。
巧合的是,2017年底,腾讯电脑管家通过平安大数据监控发现了一款名牌为“tlMiner2017年12月20日,挖掘木马的流通达到峰值,当天受挖掘木马影响的机械近20万台。tlMiner挖掘木马,植入吃鸡游戏(steamPUBG)插件吃鸡小程序。由于吃鸡游戏对计算机性能的要求较高,黑色生产团伙瞄准了吃鸡玩家和网吧的高配置计算机,建立了一个采矿集群。
腾讯计算机管家团队立即配合守护者设计,向警方提供案件线索,协助山东警方于2018年3月初立案攻击。tlMiner木马黑产。据分析,tlMiner吃鸡游戏插件、海豚加速器(修改版)、腾讯视频网站高仿盗版(dy600.com)、酷艺影视网吧VIP植入等程序tlminer通过网吧联盟挖掘木马,QQ群、论坛、下载站、云盘等渠道流传。
腾讯计算机管家安全团队继续深化对木马黑生产链的研究,协助警方深入挖掘,进一步分析挖掘木马作者的上游:大型挖掘木马黑生产链的公司运营。4月11日,警方在辽宁省大连市查封了该黑生产公司。
公司是大连当地高新技术企业,为非法利润,建立木马平台,招募近3500家代理,通过网吧渠道、鸡插件、盗版视频软件传播木马,非法控制用户计算机终端389万,数字加密硬币挖掘、强制广告等非法业务,总挖掘DGB(极特币),HSR(红烧肉币),XMR(门罗币),SHR(超级现金币),BCD(比特币钻石),SIA(云储币)等数字硬币跨越2000万枚,非法赚钱1500多万元。
3.DDoS攻击手艺不断演进,团伙作案趋势明显
DDoS从工具开发者到员工在分工上的多维成长,也有工艺、销售、渠道等分工DDoS攻击产业链通常被称为接发单人、担保人、肉鸡商、攻击软件开发人员等。DDoS新手艺不断被挖掘出来,DDoS攻击正在大规模、自动化和平台增长。DDoS在手艺与平台上始终是站在互联网的最前沿,往往我们看到一个峰值的泛起,即是互联网的一场灾难。
每种攻击类型的出现或每种攻击类型技能的更新都是攻击者的狂欢节,比如今年Memcached反射放大攻击不仅在技术上达到了5万倍的反射放大效果,而且在流量上也达到了1.7Tbps峰值效果。
1)DDoS的攻击类型
SYN Flood作为一种早期攻击类型,它占近20%。主要原因是它的攻击效果具有优越的渗透性。它可以在攻击服务器和中心基础网络设施方面取得优越的效果。
同样UDP Flood以其数据包组织幼稚的特点,仍占很大比例。最大比例是第一次反射放大攻击(占60%)。反射放大以其攻击成本低、组织承包简单、反射倍数高、自动化平台后端挪用方便等特点,成为流量攻击的首选。
在盛行的DDoS在攻击类型的比例统计中,IoT设备为反射源SSDP多年来,反射放大一直占据最高比例。今年的新秀Memcached反射并没有超过其比例的锋芒。
由于攻击手法的增加,DDoS攻击效果立竿见影,行使DDoS勒索和攻击竞争对手越来越受欢迎;催生DDoS玄色产业链越来越细化。除了发单人、担保人、黑客软件作者外,还增加了肉鸡商、接单人、资源提供商、接单平台等几个维度。
面对伟大的经济利益,DDoS攻击黑产品在多个环节逐渐完成自动化,使整个链条不需要人工干预,发单人直接在DDoS我们称这样的平台为页面DDoS攻击平台。
“页端DDoS攻击平台包括一系列操作,如用户注册、提案等一系列操作,可在用户侧完成,无需其他员工干预。DDoS在提议攻击时,攻击平台是API挪用发包机或支持发包机的形式API的C2服务器举行攻击,延迟时间一样平常小于10秒;对比传统DDoS 攻击已完成全自动无人值守攻击。DDoS在成单率、响应时间、攻击效果等方面,攻击平台的高度集成治理得到了可行的解决。
除了平台化,DDoS攻击类型也有很大的增长。IoT(物联网)僵尸网络的典型代表mirai互联网基础架构服务提供商Dyn DNS(现在的Oracle DYN)举行功击。今年3月Memcached反射是一剂强心针,以5万反射放大倍数,1.7Tbps流量峰值再次刷新DDoS的认知。
2)DDoS典型的攻击案例--暗夜攻击团伙案
DDoS腾讯云鼎实验室曾配合公安机关破获暗夜,严重影响企业的线上业务发展。DDoS攻击团伙案,该团伙攻击对某客户的游戏业务产生严重影响,玩家接待缓慢,登录下线,甚至完全没有反应。
腾讯云鼎实验室根据系统日志判断大流量延续DDoS单日攻击流量峰会达到462G,该团伙掌握的DDoS攻击资源非常重要。腾讯云鼎实验室最终控制了该团伙中的一个C2通过流量、日志、关联等多维数据分析,服务器发现可疑线索,最终定位为证据所在地。公安机关将在海外夜以继日DDoS黑产团伙一网打尽。
三、技术趋势与实践相匹配的互联网黑产品
1.人工智能成为移动终端黑产匹配技术突破口
移动黑生产旨在盈利。为了珍惜自己的利益,黑生产从业者会尽一切努力隐藏自己,与平安厂商的竞争越来越激烈。腾讯平安团队凭借多年积累的竞争简历,认为移动黑生产竞争技术的增长主要有以下偏差:
1)立体平安检测系统
从应用传播、应用安装、应用运行、应用实现等维度,将各种安全检测手段融入应用的不同生命周期。例如,访问URL安装检测引擎可以阻止恶意行为在下载阶段继续,例如,行为检测引擎可以时,行为检测引擎可以实时阻止进一步损坏操作。
2)自动防御用户端侧
平安厂商使用的传统静态引擎由于缺乏真实的行为数据,黑产团伙很容易就可以突破其防线。不管黑产接纳若干种先进的匹敌手段,其最终的目的照样通过执行恶意行为来实现牟利的目的,手机厂商通过系统层原生集成应用敏感行为检测点,真实的捕捉到恶意行为。数据脱敏以后可以辅助深度学习等方式实现更快,更准确的检测效果。
3)引入人工智能算法,智能识别未知样本
从病毒发现到检测,传统的杀毒引擎将有一段时间的空窗期(就像样本网络一样)。平安研究人员可以通过深入学习技术,将厚厚的人工简历泛化为一般的病毒检测模型,提高未知病毒的检测能力。
腾讯平安团队基于第三种思想开发腾讯TRP-AI反病毒引擎已应用于腾讯手机管家云引擎,该技术通过深度集成在魅族Flyme7系统率先全面应用。TRP反病毒引擎系统新病毒发现能力提高8.3%,云加载技术在新检测病毒中的比例60.1%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%、%12.而且病毒平均隐蔽期为%,35min。
2.化被动为自动PC端黑产匹敌手艺
随着互联网产业的加速增长,PC黑色生产技术也在不断发展。为了最大限度地赚钱,黑色生产将尽可能长时间地停留在用户的电脑上。与此同时,2018年区块链的普及迅速使加密假币成为深色工业地下流通的硬通货。通过挖掘获得假冒虚拟加密币,使黑色生产实现链加倍直接。为了更好地攻击PC平安厂商的匹敌工艺主要包括以下几个方面:
1)平安破绽响应机制更快
平安破绽一直是网络攻击的绝佳通道,0day缺陷通常用于高价值目的的精确攻击。2018年,经常提到永恒蓝色缺陷攻击包。这个武器级的缺陷攻击包被黑客完全公开,一度被黑客产品广泛使用,成为入侵企业网络、传播勒索病毒、植入挖掘木马的利器。
网络黑产品可以在很短的时间内使用Windows补丁的高危缺陷已经公布,但由于盗版系统等原因,大多数网民的补丁安装率普遍较低。这种情况使得缺陷攻击工具在补丁公布后很长一段时间都非常有用。防病毒软件更新补丁修复效果,对帮助这些用户清洁干扰,修复系统缺陷起着关键作用。
对于一些突然发作0day缺陷也需要平安软件提前防御。2018年,Office公式编辑器的缺陷和缺陷Flash 0day缺陷是黑产行使最常见的攻击武器,行使此类缺陷进行攻击,用户打开一个Office文档或浏览网页也可能立即中毒。腾讯计算机管家将女娲石防御技术集成到攻击者的这一特征中,即使计算机遇到部门0day攻击时,也可以实现有用的障碍。补丁修复方案的升级大大提高了腾讯电脑管家用户电脑的缺陷修复率,黑产品犯罪的工艺成本也显著提高。
2)数据备份机制匹敌勒索病毒损坏
2017年,以WannaCry以勒索病毒为首的勒索病毒接受了相对盲目的广泛传播损害,但由于勒索病毒的普遍传播,并没有获得足够的经济回报:绝大多数流行用户在勒索病毒攻击后放弃支付赎金解锁数据,而是选择重新安装系统。对于网络黑色生产,这种广泛的网络攻击损害了他人,攻击者首先转向了对高价值目的的正确攻击。通过系统缺陷、社会工程诱惑和精心设计的钓鱼邮件,诱导目标用户操作危险程序。
然而,勒索病毒的熏染量下降了,勒索病毒造成的损失却依然严重:许多主要信息系统被勒索病毒损坏,受害者被迫支付赎金。面临勒索病毒越来越精准的袭击,高价值用户需要加倍完善的数据珍爱方案,腾讯电脑管家迅速升级“文档守护者”功效,通过充分行使用户电脑冗余的磁盘空间自动备份数据文档,既使电脑不幸染毒,数据文档被加密,也能通过文档守护者来恢复文档,尽最大可能减小损失。
3)威胁情报系统可以显示黑产品的全貌
为了避免杀毒软件的查杀,病毒木马的行为变得更加隐藏。病毒样本的更新和木马控制服务器的转换速度比以前快。部门攻击者甚至会限制恶意程序传播的局限性,黑色产品的攻击越来越难以捕捉和缺乏纪律。
腾讯皇家威胁情报系统基于安全大数据分析处理系统,通过分析成千上万的恶意软件行为,建立一系列规则库,然后行使这些规则匹配每个新发现的网络威胁,如完成拼图,松懈的病毒木马行为完全拼接,发现木马病毒流动纪律,追溯病毒木马传播的来源。2018年,腾讯皇家威胁情报系统协助警方破获了多起网络黑人生产案件,成为攻击黑人生产的有力武器。
2018年下半年平安趋势分析
1.MAPT攻击威胁继续上升,移动设备可能成为重大安全隐患
2018年,随着互联网 过程的不断推进,我们可以通过智能设备享受移动医疗服务、社会保障服务、电子身份证、电子驾照等非常方便的移动互联网服务。同时,大量企业和政府部门首先习惯于通过智能终端管理内部事务,这些基于智能手机服务方便人们,也暴露出巨大的安全风险:移动互联网时代智能手机携带全面、巨大的私人和组织隐私数据,一旦私人智能手机控制,黑客团伙通过设备获取各种敏感数据,造成不可估量的损失。
虽然现在是主流APT讨论仍集中在PC电脑,但趋势解释APT攻击组织正在向网络军火库添加MAPT(Mobile Advanced Persistent Threat)武器获取准确全面的信息。APT-C-27基于安卓的组织于2015年首次更新维护RAT将这些工具行使到网络用户手机上的文档、图片、短信GPS位置等情报信息。Skygofree会监控上传录制amr并实验音频数据root用户设备获取用户whatsapp.facebook等待社交软件数据。Pallas全球部署试图攻击包括政府、军队、公用事业、金融机构、制造公司和国防承包商在内的各种目的。
全平台笼罩在国家黑客队攻击手艺的加持下,无限智能办公时代被忽视的移动智能设备正成为重大安全隐患,MAPT威胁企业、重点机构甚至政府部门。他们需要移动/PC一体化反APT平安解决方案。
2.恶意应用的检测和反检测将变得越来越激烈,平安攻防将进入焦虑状态
黑生产团伙的匹配技术越来越完善,安全攻防进入焦虑局面,传统的安全监控方案逐渐处于劣势。一方面,在巨大利益的驱使下,企业运营的黑生产团伙拥有更多的基于云加载技术的恶意应用(恶意代码难以捕获)财务开发,并有足够的人力进行免杀匹敌(传统引擎基于特征检测,容易绕过)。另一方面,一些供应链制造商也成为黑生产团伙的珍贵伞,并在自己的框架中引入恶意效果SDK,新手艺手段发现了大量的恶意应用程序。
3.黑生产团伙拓宽了Android采矿平台市场,移动采矿应用可能迎来攻击
与计算机平台相比,移动智能设备普及率高,使用频率高,但移动设备受电池容量和处理能力的限制,开采容易导致设备堵塞、发烧、电池寿命下降,甚至手机电池爆炸物等物理损坏,移动平台似乎不是可持续开采的平台。
随着移动设备性能的不断提高,2018年黑生产团伙仍在实验行使手机平台生产电子硬币。HiddenMiner隐藏在三方应用市场诱导用户下载,然后控制用户窃取手机设备Monero,又如ADB.Miner基于安卓的方法是通过端口扫描找到的TV设备开采时,发现了太多Google play官方应用市场应用包括恶意挖掘代码,这表明黑人生产团伙正在扩大安卓挖掘平台市场。
4.勒索病毒攻击的加倍趋于精确的定向攻击
威胁情报中心的监测发现,勒索病毒正在摆脱以往无差异的盲目攻击,而是转向高价值攻击目的进行正确攻击。攻击者行使系统缺陷或精心组织的钓鱼电子邮件入侵企业网络,并选择最有可能欺骗乐城的高价值数据来加密勒索
2018年上半年较多的教育机构、医疗机构、进出口贸易企业、制造业等高价值目的的计算机系统被勒索病毒攻击,这一趋势正变得日益显着。同时,这意味着高价值目的需要增强平安防护,稀奇主要的是做好系统破绽修补和要害营业数据的备份。
5.采矿病毒的比例显著增加,手段加倍隐藏
采矿病毒正成为最常见的病毒类型。由于区块链相关行业的普及,各种流行的虚拟加密硬币可以直接在销售中赚钱。除非区块链相关的空气硬币泡沫破裂,否则采矿病毒将是最直接的黑色生产赚钱模式,远远超过几年前流行的盗窃木马。
比特币挖掘需要高性能的矿机运行,成本高,对于控制肉鸡挖掘来说性价比太低。大多数挖掘病毒行使受害计算机CPU为了防止被害人发现,许多挖矿病毒对系统资源的消耗控制更加严格。
监测发现,大量的采矿病毒将受到限制CPU资源消耗的上限,当用户运行高资源消耗程序时,暂时退出采矿;当用户系统闲置时,全速采矿等。采矿病毒基本上限于三种形式:流行的客户端木马采矿、网页采矿(入侵网站、植入采矿代码、打开网页采矿)、入侵控制企业服务器采矿。
6.高级可持续性APT攻击威胁越来越接近通俗人
高级可持续性威胁(以下简称可持续性威胁)APT),这是一种行使先进攻击手段对特定目的持续网络攻击的攻击形式。平安制造商最近披露了跨国APT组织,行使高价值和安全缺陷,组织准确欺骗电子邮件,以所有可能的方式入侵目的网络,窃取信息,损坏目的系统。
除上述高价值目的外,腾讯威胁情报中心发现,商业黑客组织可能正在使用APT攻击的目的是获取商业信息并将其出售给特定买家。它使接近高价值目的的商业机构成为下一个APT攻击领域。流行企业的网络安全防护系统远远弱于国家、政府和大型企业的网络,更容易成为APT攻击受害者。
7.刷刷单灰色行业依然严重
互联网创新企业容易受到羊毛党的攻击。国家实行实名制,严格控制网络服务账户。然而,随着物联网的兴起,大量未实行实名制的物联网卡流入市场。羊毛党购买了大量的物联网卡,并注册了大量的账户来囤积。这些虚假账户广泛应用于羊毛刷行业,创造虚假繁荣,给相关企业造成严重损失。
2018上半年区块链安全报告