2017十大(dà)最具“影響力”惡意軟件

MalwareBenchMark借助“軟件基因”技術，自研平台，彙聚智力和數據，持續關注各類安全事件和惡意軟件。

在送走2017迎來2018之際，MalwareBenchMark借助大(dà)數據分(fēn)析，從傳播範圍、技術變化和威脅程度等視角分(fēn)析了2017年多個領域最具“影響力”的惡意軟件。

0X01 APT武器：持續升級的APT28工(gōng)具系列

APT武器領域的惡意軟件2017的整體(tǐ)态勢是技術升級更加快速多樣，對抗強度加劇。在APT領域2017與2016變化不大(dà)，最爲風光的仍屬來自俄羅斯的APT組織，APT28&APT29。

其中(zhōng)APT29利用了“端口前置”，利用Tor隐蔽通信行爲;而APT28的sednit利用了賽門鐵克的合法證書(shū);Turlar家族則升級到了2.0，專注外(wài)交領域的攻擊。

APT領域的對抗正呈現快速升級的狀态，APT28工(gōng)具的X-Agent後門年底全面升級，并由Sedkit漏洞利用工(gōng)具包轉爲DealersChoice平台。

0X02 工(gōng)控系統：繼Stuxnet之後最大(dà)威脅的Industroyer
    工(gōng)控系統作爲國家關鍵基礎設施的重要組成，其安全問題廣爲關注，2017年的特點是源于地緣政治因素，針對電(diàn)力和能源基礎設施的攻擊最爲突出。

2017年6月份發現的Industroyer惡意代碼家族能夠直接控制變電(diàn)中(zhōng)的電(diàn)路開(kāi)關和繼電(diàn)器，該惡意代碼在設計上不忘借鑒了blackenergy的磁盤擦除功能。Eset将其稱之爲繼Stuxnet之後的最大(dà)威脅。

12月份又(yòu)出現了針對安全儀表系統(SIS)的攻擊代碼Triton，該儀表系統在天然氣和石油生(shēng)産中(zhōng)廣泛使用。

卡巴斯基在2018年工(gōng)控系統安全預測中(zhōng)指出，将會有更多的攻擊事件涉及到工(gōng)業網絡的間諜活動和利用工(gōng)業自動化系統組建的漏洞的惡意代碼。

0X03 物(wù)聯網：持續“擴張”的Mirai家族

物(wù)聯網領域2017年惡意軟件特點可以用“擴張”一(yī)詞總結。自從Mirai開(kāi)放(fàng)源代碼以來，其家族無疑是物(wù)聯網領域最爲“閃耀”的明星~!開(kāi)源模式極大(dà)地激發了黑客們的“創造”熱情，其各類變種層出不窮，感染規模不斷擴大(dà)。

技術層面上，主要是由針對telnet端口的弱口令掃描、擴展到了ssh端口、同時增加了多種漏洞的利用。可以預見由于WAP2協議漏洞的出現，wifi體(tǐ)系已經極不安全，而這對物(wù)聯網惡意軟件來說是“極大(dà)利好”。

2017年與Mirai相關的知(zhī)名惡意軟件包括：Rowdy、IoTroops、Satori等。這些惡意軟件以mirai的源代碼爲本體(tǐ)，經過不斷的變異改進，已經從傳統的Linux平台演變到了Windows平台，利用的端口也在不斷變化，從傳統的弱口令攻擊轉變到了弱口令和漏洞利用的綜合攻擊方式，同時感染設備範圍由網絡攝像機、家庭路由，正向有線電(diàn)視機頂盒等領域“擴張”。

上述多個變種感染的設備已經超過百萬，攻擊方式快速且豐富的衍變，注定2018年在工(gōng)控物(wù)聯網領域不會風平浪靜!

0X04 銀行/金融：在線銷售的CutletMaker

2017金融領域惡意軟件肆孽，針對SWIFT的攻擊沒有消沉反而日益盛行、多個國家和地區的ATM遭虐、POS機惡意軟件風靡、針對個人移動終端及支付的惡意軟件變種繁多… …總結一(yī)下(xià)就是異常“活躍”，畢竟直接産生(shēng)經濟效益啊~!

值得關注的是針對金融領域的惡意軟件不再僅僅由來自“黑産”的鏈條産生(shēng)了，有國家政治背景和訴求的組織也加入了進來，就連CIA也被曝光具有監控SWIFT的工(gōng)具……這裏S認爲公開(kāi)在暗網出售針對金融領域的惡意軟件影響更爲“惡劣”，有可能極大(dà)降低網絡攻擊的門檻。

CutletMaker的軟件于2017年5月開(kāi)始在AlphaBay暗網市場上銷售，因爲美國有關機構在7月中(zhōng)旬關閉了AlphaBay，軟件經營方現新建了一(yī)個獨立網站專門銷售該軟件。

該新網站名爲ATMjackpot，出售的正是同種ATM惡意軟件，但有少許修改。軟件經營者聲稱，Cutlet Maker對所有Wincor Nixdorf的ATM機均有效，僅需要訪問ATM機的USB端口即可。

根據廣告，工(gōng)具包整體(tǐ)打包售價 5000 美元，使用手冊相當詳細，包括作案需要的軟件設備、可攻擊的ATM機型，以及軟件操作方法和偷竊小(xiǎo)技巧，還附有操作演示視頻(pín)。

ATM惡意軟件在暗網出售

0X05 犯罪勒索：占領半壁江山的WannaCry

網絡犯罪在美、中(zhōng)、英等國家已經成爲第一(yī)大(dà)犯罪類型了，而勒索軟件是其中(zhōng)重要的手段之一(yī)，2017年勒索軟件的特點是“模式創新”。無容置疑，2017最具影響力的勒索軟件當屬WannaCry了，它在2017年着實折騰了我(wǒ)們一(yī)把(呵呵)!

關于WannaCry多講了，大(dà)家聽(tīng)得太多了。但在WannaCry之前，勒索軟件Cerber一(yī)直穩居勒索類惡意代碼的頭把交椅，自從WannaCry利用“永恒之藍(lán)”漏洞沖擊了整個地球互聯網之後，WannaCry在全部勒索軟件中(zhōng)占到了半壁江山。

2017值得關注的是：勒索軟件目前成爲了暗網上最大(dà)的交易項目，并“創新模式”出現了定制化的服務，甚至某些勒索軟件出現了類似于傳銷的營銷模式，一(yī)個人被勒索之後，隻要講勒索軟件轉發到10個以上的微信群或社區群，就能解密自己的系統。

在2018年這種趨勢會更加明顯，醫療保健、政府和關鍵基礎設施、教育行業仍可能将是被勒索的重災區。

0X06 移動終端：安卓終端排名第一(yī)的Rootnik

移動終端始終是惡意軟件鍾情的場所，畢竟移動終端的網絡用戶已經超過了傳統PC網民，同時，移動終端承載了太多的“關鍵”應用，例如我(wǒ)們常用的“支付寶”，嘻嘻。

而在移動端安卓無疑是重災區。2017年的安卓惡意代碼比2016年增加了17.6%。其中(zhōng)Rootnik是最流行的惡意軟件家族，POrnclk占第二位，其餘的是Axent、Slocker和Dloader。

有意思的是GooglePlay上的很多應用程序被Rootnik綁定，該家族在9月下(xià)旬也被發現利用了DirtyCowLinux漏洞。

安卓手機供應鏈安全值得擔憂，38部手機被爆預裝惡意軟件

0X07 劫持與廣告：造成史上最大(dà)規模感染的FireBall
    受到黑産的豐厚利益回報，劫持軟件與非法廣告一(yī)直是惡意軟件的一(yī)個熱門領域，但2017讓人大(dà)吃一(yī)驚的是出現了 "曆史上最大(dà)規模的惡意軟件感染" FireBall。而這個感染主機最多的惡意軟件竟然出自國人之手。FireBall據稱已感染全球超過2.5億台計算機，完全有能力 "引發全球災難"。

FireBall可以控制互聯網浏覽器, 監視受害者的 web 使用, 并可能竊取個人文件。FireBall 與擁有3億客戶聲稱提供數字營銷和遊戲應用程序的中(zhōng)國公司Rafotech(卿烨科技http://www.rafotech.com/)相關。

FireBall行同 "浏覽器-劫持", 它通過捆綁看似合法的軟件工(gōng)作。該軟件将操縱受害者的浏覽器, 改變搜索引擎, 并挖出用戶數據。它有能力運行代碼、下(xià)載文件、安裝 plug-ins、更改計算機配置、監視用戶, 甚至充當高效的惡意軟件下(xià)載器。

已經觀察到2530萬的感染在印度 (10.1%), 2410萬在巴西 (9.6%), 1610萬在墨西哥 (6.4%), 和1310萬在印度尼西亞 (5.2%)。在美國它感染了550萬設備 (2.2%)。全球20% 的企業網絡可能受到影響。

史上最大(dà)的感染事件：國産FireBall感染2.5億台計算機能引發'全球災難'

0X08 Windows & office：被濫用的NSA工(gōng)具DoublePulsar
    MS的windows和office一(yī)直是遭受惡意軟件威脅的主要對象，2017也是如此。從window UAC繞過到def漏洞、從office老版本到365，都是惡意軟件關注的目标。CIA和NSA相關漏洞及利用工(gōng)具的曝光促進了這個領域的惡意軟件繁衍。

2017年很有意思的是，CVE-2012-0158雖然不是最常用的Offce 漏洞，但是卻被一(yī)些人稱爲“不會死的漏洞“，從2012年披露至今，仍然被大(dà)量的使用。2017年，最受攻擊者喜歡的漏洞是CVE-2017-0199，而CVE-2017-0199安全漏洞在Microsoft Offce的多個版本中(zhōng)可以利用。

但談到惡意軟件則是CIA和NSA曝光工(gōng)具中(zhōng)的一(yī)系列最爲突出，其中(zhōng)DoublePulsar，是由Shadow Brokers洩露的NSA黑客工(gōng)具之一(yī)，現在該工(gōng)具已被普通黑客使用，在全世界感染了超過36000台設備。外(wài)媒Hacker News報道，Below0Day掃描結果顯示，全球有5561708台Windows系統(SMB服務)445端口暴露于互聯網中(zhōng)，已确認有30625主機設備感染了惡意軟件。目前被感染的主機設備絕大(dà)多數位于美國地區，其次爲英國、中(zhōng)國台灣和韓國。

0X09 惡意郵件：造成30億美元損失的尼日利亞釣魚
    2017年惡意郵件的盛行依舊(jiù)，Phishme的數據顯示，90%的網絡攻擊開(kāi)始于釣魚郵件。這個領域2017年度的趨勢是勒索和欺詐軟件正被垃圾郵件打包傳播，同時正向關鍵基礎設施領域拓展威脅。

2017年出現的“尼日利亞釣魚”不得不提，近三年來“尼日利亞釣魚”造成的商(shāng)業損失高達30億美元，該釣魚方式通過劫持真正的企業賬戶，監控金融交易，并對交易重定向。最關鍵的是該釣魚郵件影響針對了全球22143多家機構，涉及到冶金、建築、運輸的各個行業，之所以能夠發起這麽大(dà)規模的攻擊，就是因爲當前發動釣魚攻擊的成本已經非常低。

0X10 無文件/腳本惡意軟件：被用于挖礦的NSA 漏洞利用工(gōng)具Zealot
    2017年突出的是無文件駐留和腳本類惡意軟件呈現爆發态勢，從PowerShell到AutoIt各類腳本惡意軟件突發，這對傳統的安全防禦技術提出了全新的挑戰。

據Carbon Black的2017年威脅報告顯示，無文件惡意軟件攻擊占今年所有攻擊的52%，首次超過基于惡意軟件的攻擊。無文件惡意軟件攻擊(也稱爲非惡意軟件攻擊)允許網絡犯罪分(fēn)子跳過部署基于惡意軟件的攻擊所需的步驟。

2017年12月，F5 Networks 發現了一(yī)項利用 NSA 漏洞大(dà)量入侵 Linux 和Windows 服務器同時植入惡意軟件“ Zealot ”來挖掘 Monero 加密貨币的攻擊行動。

黑客組織使用兩個漏洞掃描互聯網上的特定服務器：一(yī)個是用于 Apache Struts(CVE-2017-5638 — RCE 遠程代碼執行漏洞)，另一(yī)個則是用于DotNetNuke ASP.NET CMS( CVE-2017-9822 — DotNetNuke 任意代碼執行漏洞)。

黑客組織使用 PowerShell 下(xià)載并安裝最後一(yī)階段的惡意軟件，該惡意軟件在攻擊行動中(zhōng)充當Monero 礦工(gōng)的角色。而在 Linux 上，黑客組織則通過從 EmpireProject 後期開(kāi)發框架中(zhōng)獲取的 Python 腳本感染系統，并且也會安裝同一(yī)個 Monero 礦工(gōng)。