投稿郵箱

DCWpaper@163.com

您的位置︰主頁 > 行業動態 >
勒索軟件“變形術”升級 大規模垃圾郵件瞄準銀行
來源︰數字通信世界   作者︰趙法彬   添加時間︰2019-11-20 22:06
亞信安全發布2019年第三季度安全報告。
近日,一種新型的勒索軟件攻擊了加拿大的努納武特地區,導致該地區政府的所有聯網服務都受到了影響,甚至影響了整個城市居民的生活。在過去的幾個月,工廠遭“劫持”、勒索軟件“復出”出演“變身記”、TA505網絡間諜對銀行發動APT攻擊、阿聯酋航空“簽證取消”......這些出自《亞信安全2019年第三季度安全報告》的真實案例,在網路安全的“大熒幕”上爭相上演,要比阿諾的“終結者T-800”還有想象力。
 
勒索病毒也走“少而美”路線
第三季度報告依然對勒索病毒發出了“紅色警報”。雖然第三季度亞信安全檢測到的勒索病毒數量呈現出遞減態勢,但是這些勒索病毒的功能設計上卻越來越復雜。在與安全軟件的持續對抗中,勒索軟件正持續、快速更新變種,並采用“無文件”等先進的技術手段,以更好地隱藏自己。其中,本季度被截獲的 Sodinokibi 勒索軟件就利用了“無文件”方式來傳播,該勒索軟件會通過漏洞注入惡意的 PowerShell 腳本,然後下載加密的 Sodinokibi 勒索軟件主體文件到系統內存中,最終完成勒索行為。

【被該勒索軟件修改的用戶計算機桌面】
 
在第三季度攔截勒索軟件 TOP 10 中,排名第一位的是 RANSOM_WCRY,佔到總攔截次數的 90%。該勒索軟件並不新鮮,屬于利用了“永恆之藍”攻擊程序的WannaCry/Wcry勒索軟件,盡管這一勒索軟件家族“出道”已經有幾年時間,但是依然憑借著其成熟的攻擊技術、成熟的商業化模式、廣泛的變種,從而獲得了犯罪分子的普遍青睞。

【2019年第3季度勒索軟件檢測類型TOP 10】
 
第三季度報告與第二季度存在類似的一些狀況,本季度勒索軟件感染的高發地是巴西、中國與印度,高發行業則是制造業、保險這兩個行業,這些地區與行業的共同點在于,其網絡安全防護能力都相對薄弱,而且終端設備數量龐大,更容易被勒索軟件找到可乘之機。 亞信安全提醒用戶︰要防範勒索軟件,養成良好的網絡安全習慣,迅速修補漏洞並部署全面的勒索軟件防護解決方案,顯然至關重要。
 
垃圾郵件攻擊瞄準金融機構
在本季度,亞信安全截獲了針對中國、加拿大和印度發動的垃圾郵件攻擊活動,此次攻擊活動主要目的是傳播 Trickbot 銀行木馬。該木馬除了盜竊用戶信息外,還會刪除可移動磁盤和網絡驅動器中的特定擴展名文件,使用病毒副本代替這些文件。Trickbot 銀行木馬最新變種通過帶有附件的垃圾郵件傳播,其會偽裝成為偽裝成廣告提供商的訂閱通知,並誘導用戶點擊附件中帶有宏的 Word 文檔。
 
亞信安全在本季度還截獲了大量針對亞洲銀行發動的垃圾郵件攻擊活動,這些郵件使用“阿聯酋航空 NBD 電子聲明”或者“簽證取消”等主題誘騙用戶點擊郵件附件,郵件附件是嵌入惡意程序的 Excel 文件。運行後,其會下載 ServHelper 加載器,並借此傳播不法分子事先準備好的惡意軟件。

【亞信安全截獲的攻擊亞洲銀行的垃圾郵件樣本】
 
亞信安全在報告中特別指出︰“金融機構一向是垃圾郵件瞄準的重點行業,網絡不法分子慣用社交工程攻擊的方式,以引誘受害者上鉤。我們建議金融機構通過部署網關類產品作為第一道防線,在源頭上進行阻斷,並部署桌面防護產品,以有效阻止威脅到達客戶端。此外,人員安全意識培訓也是必不可少的環節,需要教育員工不要輕易打開來歷不明的郵件,更不要輕易下載郵件中的附件。”
 
挖礦病毒持續肆虐
在前一段時間亞信安全發布的挖礦病毒半年報告中,指出挖礦病毒隨著數字貨幣價格的高漲出現了新一波的熱度,其傳播與幾款熱門挖礦病毒高度相關。而在第三季度,挖礦病毒“強者恆強”的趨勢依然體現的非常明顯,“WORM_COINMINER”這一挖礦病毒佔據了挖礦病毒檢測數量的半壁江山。

【2019 年第 3 季度挖礦病毒 TOP 10 】
 
在本季度,亞信安全截獲了一款新型XMR 挖礦病毒“Coinminer.Linux.MALXMR.UWEJY”,該病毒通過 Redis 未授權訪問漏洞以及 tomcat manager 管理頁面弱口令在內網中進行傳播,並且在 Web 業務中留下後門。挖礦病毒運行後,進程會佔滿 CPU 資源,導致電腦卡頓,給業務帶來巨大影響。
 
隨著近期“區塊鏈”再次變成熱門話題,挖礦病毒很有可能出現一波新的傳播高潮。亞信安全提醒用戶需要提升安全防護意識,密切關注病毒的傳播情況,並采用更有效的安全防護措施,以避免被不法分子找到可乘之機。
 
此外,亞信安全在第三季度監測的安全風險還包括︰
l  在本季度檢測到的病毒種類中,PE(感染型病毒)的數量在所有檢測病毒類型中所佔比重最大,佔到總檢測數量的 25%。
l  本季度新增數量較多的病毒類型依次為感染型病毒、漏洞利用型病毒、木馬程序、蠕蟲病毒以及黑客工具。
l  亞信安全對 APK 文件的處理數量依舊呈上升趨勢,截止到本季度,安卓 APK 處理數量累計達到 8,779 萬個。
l  在通過 Web 傳播的惡意程序中,“.EXE” 類型的可執行文件佔總數的 90.11%,與上季度相比有所增加。
l  在所有釣魚網站中,“金融證券類”釣魚網站所佔比例最多,佔總數的99%以上,其中銀行為仿冒對象的釣魚網站佔絕大多數,其仿冒類型大多為主頁型。