• <input id="wqs2w"></input>
  • <object id="wqs2w"></object>
  • <input id="wqs2w"><acronym id="wqs2w"></acronym></input>
  • <input id="wqs2w"><acronym id="wqs2w"></acronym></input>
  • <menu id="wqs2w"></menu>
    <input id="wqs2w"><acronym id="wqs2w"></acronym></input>
  • <menu id="wqs2w"></menu>
  • 行業動態
    細數2020上半年PC端十大“黑惡勢力”,一起康康是誰在“興風作浪”

    時至7月,2020年上半年已告一段落。2020年,這個本該寄托無數憧憬的年份,卻因一場席卷而來的疫情危機的到來而全球震蕩。流年不利、人心惶惶,這些糟糕的詞語已經無法準確描述這場疫情為全球人民生活造成的灰暗。

    伴隨著疫情夜幕的降臨,生活在黑暗中的生物們也相繼“蘇醒”。勒索病毒、蠕蟲木馬、釣魚郵件,橫向滲透、變形蟲攻擊等黑客攻擊如同洪流般裹挾泥沙席卷而來,各路玩家粉墨登場。在疫情的掩護下,將人們本已步履維艱的生活攪亂的更加渾濁。

    360安全大腦對上半年全球范圍內針對PC端異?;钴S的十大網絡攻擊威脅,包括疫情下流行病毒的趨勢,以及伴隨疫情出現的全新攻擊面和攻擊技術進行了梳理和總結,以此提醒廣大企業和個人用戶提高警惕,未雨綢繆而有備無患。

    Top1、勒索病毒獨占鰲頭

    進入2020年,發展迅猛的勒索病毒沒有絲毫放緩腳步,以更加來勢洶洶的態勢在全球橫沖直撞“所向披靡”。在GandCrab家族一年半內賺下20億美金的鼓舞下,上半年間,花樣繁多的勒索病毒大有星火燎原之勢,如同早已約定好上臺表演次序一般,你方唱罷我登場,幾乎每周都有勒索病毒“新起之秀”亮相,在廣大用戶身上刮下一層“油水”后,乘興而來乘勝而歸。

    1

    2

    上半年中占比最高的勒索病毒增長趨勢圖


    2020年上半年,勒索病毒繁多的變種更加趨于常態化,新型勒索病毒越演越烈的增長態勢也愈發不可收拾。近兩年來,勒索病毒制造門檻一再降低,用PHP、Python等語言編寫的勒索病毒,甚至用更簡易的腳本語言來編寫勒索病毒已經屢見不鮮。

    在暗網和一些地下黑客論壇中,以RAAS模式(勒索軟件即服務)推廣和分發勒索病毒的勒索軟件供應商也日益增多,RAAS模式的出現讓黑客攻擊成本不斷降低,策劃實施攻擊者只需支付少量成本即可發起勒索攻擊,從中大量獲利。而勒索對象也正在從C端用戶全面轉向大型B端企業,瘋狂掘金的黑客團伙已然大肆分起了蛋糕,開始了“地盤掠奪”,動輒數百萬美元的勒索贖金足已讓各方玩家晝夜無休。

    Top 2、挖礦、蠕蟲和驅動類傳統木馬“三駕馬車”地位牢固

    除了瘋狂撈金的勒索病毒外,挖礦木馬、蠕蟲木馬和驅動類傳統木馬也動作頻頻,仍然是扮演著流行病毒主力軍團角色。

    據360安全大腦監測發現,上半年流行的挖礦類木馬以Powershell形式的無文件攻擊為主,其中以驅動人生木馬(DTLMiner),匿影,BlueHero,MyKings家族居多。該類挖礦木馬重點表現出更新頻率高,混淆嚴重的特點。挖礦木馬活躍度在一定程度上受虛擬貨幣價格漲幅影響,其中以DTLMiner挖礦木馬更新最為頻繁,堪稱一眾同班同學中最努力上進的 “優秀代表”。

    3

    更新頻頻的DTLMiner挖礦木馬 


    DTLMiner挖礦木馬今年的三次更新中,還分別加入以疫情為話題的郵件蠕蟲模塊,SMBGhost漏洞檢測與攻擊模塊,每一次的重要更新都在很大程度上增強了該木馬的傳播能力,從每次更新的時間節點來看,他的每次更新也都伴隨重大漏洞被批露或EXP被公布。

    而從其整個上半年對野外漏洞利用的利用情況看,蠕蟲級漏洞,文檔類漏洞和各類可以遠程執行命令的服務器漏洞仍是其用的最得心應手的武器,挖礦木馬可以輕易通過這些漏洞釋放出大規?!癆OE范圍傷害”。

    5

    驅動類木馬查殺Top 5占比如圖所示


    驅動類木馬驅動類木馬的傳播主要依賴于系統激活工具,裝機盤,私服微端,下載站這幾個重要渠道進行傳播,這些渠道種類魚龍混雜,安全性極低,是被黑客植入病毒最多的“后花園”。

    360安全大腦發現,相較于2019年,驅動類木馬對抗殺軟手段有所升級,查殺難度和成本有所增長。具體表現為病毒更新周期縮短、由限制殺軟模塊加載的黑名單機制轉變成只允許系統模塊加載的白名單機制,以及通過加載模塊的時間戳,簽名等特征限制殺軟驅動加載等特征,驅動類木馬也正在變得更加“狡猾”。

    Top3、釣魚郵件攻擊趁火打劫

    疫情帶來的恐慌,無疑為黑客團伙們創造了為非作歹的“天時地利”。

    隨著疫情在全球的爆發,以COVID-19、Coronavirus、nCov等疫情相關詞匯的網絡攻擊也在全球范圍內激增。360安全大腦先后攔截到響尾蛇、海蓮花、Kimsuky、Lazarus、Patchwork等多個境外APT組織利用疫情為話題的攻擊樣本。

    6

    攜帶惡意附件偽造成衛生部疫情防控郵件的釣魚攻擊


    此類攻擊多偽造成世界衛生組織的安全建議,疫情通報,以及疫苗申請,疫情補助計劃等等。攻擊者精心構造釣魚郵件,通過社會工程的手段,誘騙用戶點擊帶毒的附件,進而在用戶電腦上植入遠控或竊密木馬。而DTLMiner更是將”COVID-19”話題制造為郵件蠕蟲進行大范圍傳播。

    目前,360安全大腦已監測多種不同類型的釣魚郵件,以疫情相關信息作為誘餌的惡意釣魚攻擊具有極高的隱蔽性,仍需反復提醒國內外各位用戶提高安全意識,注意警惕防范。

    Top4、VPN安全隱患異軍突起

    疫情的到來在打亂人們生活秩序的同時,也改變了我們的工作方式,拉開了數字化遠程辦公的大幕。倉促上線的遠程辦公,隨之引入了大量的安全問題。

    為員工提供訪問企業內網入口的VPN,無疑是遠程辦公最重要的技術手段,但VPN的脆弱性卻一直為人詬病。僅2020年上半年,國內外通過VPN漏洞發起網絡攻擊的安全事件高發,包括Fox Kitten,Darkhotel,Wellmess等黑客組織都曾在上半年以VPN缺陷為跳板,發起針對遠程辦公企業的大規模網絡攻擊。

    7

    一種典型的VPN攻擊場景


    在利用弱口令爆破、漏洞等手段成功入侵企業的VPN服務器后,攻擊者可以通過劫持VPN的升級流程下發遠控木馬,進而成功入侵目標內網。當員工在家辦公過程中升級VPN客戶端時,由于升級流程被攻擊者劫持,木馬可以順利通過升級渠道植入員工計算機設備中。

    憑借已植入的惡意木馬,攻擊者會進一步竊取員工進出企業內網的賬號密碼,直接進入企業內網企業核心資產和企業重要的敏感數據。

    Top5、遠程會議、即時通訊暗藏危機

    除VPN外,遠程會議,即時通信,文檔協助等方面也都存在諸多安全隱私問題。應運而生的遠程辦公軟件站在了風口上,但這些快速上線軟件及時響應了人們短期內遠程辦公的需求,但用戶的安全需求卻極易受到開發者的忽視和冷落。

    8

    遠程視頻軟件被捆綁WebMonitor遠控,CoinMiner木馬病毒


    以在線視頻會議軟件Zoom舉例,首先,在弱口令,默認配置的情況下,攻擊者可以在未被邀請的前提下參加視頻會議,若此過程無人審核或發現,則可能造成嚴重的信息泄漏;其次,Zoom等在線視頻會議軟件的早期版本并未實現端對端加密,且加密算法強度比較弱,數據傳輸過程中的安全性無法保障;再者,該軟件已經暴露了諸多高危漏洞,可能被黑客惡意利用。

    9


    國外安全研究員還發現,該軟件將會議視頻數據存放于AWS存儲桶中,可公開訪問。利用某軟件的自動命名規則,就可搜索到該軟件的會議視頻數據。

    除了大肆傳播的流行病毒外,在2020年上半年,360安全大腦還發現很多新的利用手法和攻擊面被挖掘并利用,這些攻擊思路刷新了我們對于傳統安全技術的認知,讓我們以全新的視角去重新審視每一個安全維度,進而不斷提升產品的安全能力。

    Top6、“隔離網絡突破”另辟蹊徑

    5月下旬,國外安全公司ESET在報告中披露了Ramsay惡意軟件的一種針對物理隔離網絡的攻擊新型攻擊手段。所謂物理隔離網絡,是指采用物理方法將內網與外網隔離,從而避免入侵或信息泄露的風險的技術手段。物理隔離網絡主要用來保障那些需要絕對保證安全的保密網、專網和特種網絡的安全需求。

    360安全大腦對其進行了跟蹤研究分析,發現該 Ramsay惡意文件主要內容通過可移動磁盤來實現針對隔離網絡突破攻擊。

    10

    Ramsay惡意軟件通過U盤實現隔離網絡突破流程圖


    首先黑客會先向目標計算機設備發送釣魚郵件,該郵件附件攜帶含有漏洞的惡意附件,觸發漏洞之后會感染員工電腦。被感染的員工電腦上線后,黑客會進一步下發定制版的可以感染隔離網絡的木馬,通過感染U盤,PDF/DOC/EXE文件等方式在企業內網中擴散。

    緊接著黑客會再利用系統管理員與員工之間的工作接觸,包括但不限于使用共享文件,U盤等,通過這些途徑感染至管理員計算機、U盤和其他文件。擁有訪問隔離網絡權限的管理員,一旦將受感染的U盤插入隔離網絡電腦上就會將其感染。

    之后該木馬會在隔離網絡中運行,進一步感染隔離網內的其他設備,當成功獲得目標重要資產的訪問權限時,會直接竊取其中機密數據并將其寫入U盤或帶指令的文檔中。此時獲取的機密數據會以同樣的方式再度被帶出隔離網絡并接入已感染病毒的外網計算機中,外網計算機中的駐留程序檢測到U盤或文檔攜帶的機密數據,將其提取并發送給黑客。

    360安全大腦發現,針對隔離網絡環境攻擊是一種全新的攻擊思路,黑客組織在考慮到隔離網絡這一特殊的場景時,利用USB設備,doc文檔等常見的媒介實現從外網滲透進隔離網絡并在竊取數據之后傳回給黑客,這一行為具有極高的隱蔽性。由于物理隔離網絡多為政企機構等單位采用,因此盡管該病毒還在研發階段,尚不夠成熟,但是這種攻擊場景將對政企單位造成的嚴重威脅不容小覷。

    Top7、橫向滲透技術靡然成風

    從境外APT組織“海蓮花”(OceanLotus)、GlobeImposter勒索病毒,再到最近鬧得滿城風雨的驅動人生供應鏈攻擊事件,“橫向滲透”這種在復雜網絡攻擊被廣泛使用的手段,已成為不法黑客瞄準企業目標,以點破面的慣用伎倆。如不及時發現,最終面臨的將可能是企業內網設備的停擺與癱瘓,嚴重威脅企業數字資產安全。

    入侵和控制員工個人電腦通常并不是攻擊者的最終目的,攻擊者會以被攻陷系統為跳板,采用口令竊聽、漏洞攻擊等多種滲透方法嘗試進一步入侵組織內部更多的個人電腦和服務器,同時不斷地提升自己的權限,以求控制更多的電腦和服務器,直至獲得核心電腦和服務器的控制權,這種攻擊方法已在多個APT攻擊中被發現使用。

    據360安全大腦統計,2020年上半年累計攔截到橫向滲透的攻擊高達150萬次。

    如Mykings僵尸網絡通過遠程執行WMI技術進行橫向滲透:

    11

    某勒索軟件使用PsExec進行橫向移動:

    12

    利用WINRM服務進行橫向滲透:

    13

    除此之外,常見的手法還有:

    拷貝病毒到具有自啟動屬性的目錄下,當重新登錄或啟動時,文件得到執行。

    14

          遠程創建服務

    15

        ? 遠程執行計劃任務

    16

        ? 遠程注冊表操作

    17

       遠程COM接口調用

    18

    遠程執行powershell

    19

    值得一提的是,從2019年開始,360安全大腦已經監測到境外APT組織海蓮花針對中國的多起攻擊事件中,都曾采用通過WMI遠程執行和powershell調用COM遠程執行的方式,在目標內網橫向滲透。

    上半年中傳播廣泛的DLTMiner,Tor2Mine,Mykings等挖礦木馬,也都集成了不同的橫向滲透模塊,通過WMI/ SMB/SSH/數據庫/RDP弱口令爆破和各種漏洞(永恒之藍/Bluekeep/SMBGhost)漏洞進行橫向傳播。

    Top8、供應鏈污染配合感染型病毒打出“組合拳”

    2020年5月,360安全大腦首次檢測到一款新型的感染型病毒Peviru,該病毒除了感染可執行文件之外,還會感染某編程語言(以下簡稱X語言)的編譯壞境,導致用戶編譯的所有程序都會被感染。

    360安全大腦通過對該病毒溯源發現,這款病毒背后的黑客團伙通過供應鏈污染的手段將攜帶這種病毒的開發工具植入X語言論壇。而就在近期,我們又檢測到該黑客團伙通過之前部署的惡意軟件下發勒索病毒。

    20

    黑客團伙通過供應鏈污染配合感染型病毒下發勒索病毒


    Top9、搭建虛擬機躲避查殺獨創怪招

    在黑客眼中,攻防最大的魅力就在于封鎖,和突破封鎖,這種對抗游戲經久不衰,攻防雙方也樂此不彼,查殺與免殺技術亦是如此。

    在上半年諸多有趣的免殺樣本中,一種叫RagnarLocker的勒索軟件將免殺技術提高到了一個新的水平。為了躲避殺毒軟件查殺,RagnarLocker在受害者機器上部署了一套完整的Oracle VirtualBox虛擬機壞境,并將49KB大小的勒索病毒存儲到Windows XP虛擬機的虛擬映像文件(micro.vdi)當中。整個加密文件過程也在虛擬機空間中進行,安裝在宿主機上的很多殺毒軟件對此都束手無策。

    21

    攻擊者先是使用GPO(Group Policy Object) task運行遠程網絡上的MSI(msiexec.exe)文件。這個MSI文件釋放一個舊版本的VirutalBox安裝程序和包含RagnarLocker勒索軟件的Windows XP映像文件。勒索軟件會在嘗試關閉反病毒軟件服務和進程后,將宿主機本地磁盤,可移動設備,網絡設備等都映射到虛擬機內。

    最后攻擊者啟動虛擬機,勒索軟件位于xp鏡像的啟動目錄下,虛擬機啟動時會自動執行勒索軟件,在虛擬機中加密共享的物理機數據從而規避殺軟的查殺。攻擊者還會刪除卷影還原點,防止用戶通過磁盤恢復工具恢復加密的文件。

    這種新穎的通過虛擬機加密的手法可謂獨辟蹊徑,Ragnar Locker已經成功利用這種方法實現了對葡萄牙跨國能源巨頭、世界第四大風能生產商EDP的勒索攻擊,并開出了1580枚BTC近11萬美元的高昂贖金。

    Top10、變形蟲(BadUSB)攻擊花式釣魚

    2013年,斯諾登曾曝光美國NSA武器庫中的“水蝮蛇一號” (COTTONMOUTH-I),它可以在電腦不連網的情況下秘密修改數據,這一支用于全球監控的超級網絡軍火,實質上是一個植入微型電腦的特制U盤。在2014年的Black Hat大會上,來自柏林的安全研究員現場還原如何利用U盤、鼠標等任意USB設備,“完美”繞開安全軟件防護網,實施攻擊,并將其定義為世界上最邪惡的USB外設——“BadUSB”。根據BadUSB極難辨別的偽裝攻擊特點,360安全大腦 將其命名為“變形蟲”。

    利用“變形蟲(BadUSB)”發起的網絡攻擊幾乎從未停止,尤其是在國家級網絡對抗、關鍵基礎設施攻擊、間諜情報活動等場景下,“變形蟲(BadUSB)”更成為一種致命的入侵武器。而在2020年上半年,又再次真實的發生了一起利用變形蟲(BadUSB)發起攻擊的惡意安全事件。

    3月,美國一家酒店的員工收到了來自“Best Buy”的用戶回饋信,信中提到BestBuy公司為了回饋忠實用戶,贈送每位用戶50美元的購物卡,信封中還包含一個USB驅動器,聲稱里面包含一個購物清單,相信很多未受過專業安全培訓的人都會第一時間將USB設備查到電腦上開始選購商品。

    22

    但事實上,這個USB設備是經過特殊處理的,攻擊者將USB設備編程為USB鍵盤,因為計算機默認設置是信任USB鍵盤,當USB設備被插入受害者計算機時,模擬鍵盤就會執行惡意代碼,進而控制這臺機器。

    明槍易躲暗箭難防。谷歌反欺詐研究團隊曾用實驗說明一項危險事實:在實驗中隨意丟棄的287個U盤中,有135人撿走并遭到攻擊,釣魚USB“上鉤率”高達45%。因此,如果在停車場,公司角落,咖啡館等看到被人遺落的U盤,SD卡等設備,或是受到陌生的USB贈品,很有可能來源于攻擊者的惡意投放。對于政企單位而言,拒絕使用來源不明的USB設備的警鐘更應長鳴。

    對黑客而言更有利的是,我們手邊的USB設備實在林林總總,觸手可及的鍵盤、鼠標、充電寶、數據線、以及各種轉接頭……不得不說,我們的電腦高度依賴著USB外接設備,但同時,電腦系統也給予了最大的兼容,甚至免驅。這樣的后果就是,若不幸插入BadUSB,攻擊再難停止,并且這種攻擊可以隨意偽裝、防不勝防。

    安全反思:

    綜合上半年PC端面臨的安全威脅態勢來看,流行病毒接踵而至,新型的攻擊面、復合型攻擊手法也在被不斷的挖掘和利用。疫情熱點和疫情下遠程辦公場景也為紛涌而來的攻擊活動提供了更多的攻擊入口,對PC安全行業帶來了極為復雜嚴峻的網絡安全挑戰和現實威脅。

    進入2020年的下半場,還有哪些未知安全風險將會“裂變”而至,誰也無法預見。

    就上半年已暴露出的諸多安全威脅面而言,各方仍應提高安全意識加強安全防護,居安思危以未雨綢繆。畢竟,若不能清醒的看清新威脅,無論發生何種后果都終將由自己買單。

    PC安全威脅十面埋伏,360安全大腦如何見招拆招?

    針對上半年傳統病毒木馬變種百出,對抗持續升級的嚴峻安全形勢,在360安全大腦的極智賦能下,360安全衛士在不斷提升安全檢測能力的同時,還推出“橫向滲透防護”、“變形蟲BadUSB防護”等多項安全解決方案,不斷提升360安全衛士的終端防護能力。針對以上十大風險挑戰,360安全大腦給出如下安全建議:

    1、 前往http:weishi.#下載安裝360安全衛士,對多種惡意攻擊及時進行攔截;

    2、打開360安全衛士,進入軟件管家下載360文檔衛士,全面防御勒索病毒文件數據勒索,實時保護文檔安全;

    3、如果不慎感染勒索病毒,可直接前往lesuobingdu.#確認所中勒索病毒類型,并通過360安全衛士“功能大全”窗口,搜索安裝“360解密大師”,點擊“立即掃描”嘗試恢復被加密文件,360解密大師已經支持800多種勒索病毒免費破解;

    4、提高個人網絡安全意識,建議從軟件官網,360軟件管家等正規渠道下載安裝軟件,對于被360安全衛士攔截的不熟悉的軟件,不要繼續運行和添加信任。

    23

    360安全衛士獨家推出“橫向滲透”防護功能,全視域洞察阻斷病毒木馬橫向傳播擴散

    24

    360安全衛士獨家推出變形蟲(BadUSB)防護功能,實時捕捉USB設備惡意行為

    分享至: