Labs威胁报告
2018年3月
威胁统计信息
恶意软件事件Web和网络威胁
1 McAfeeLabs威胁报告,2018年3月 报告 McAfeeLabs在第4季度检测到的新恶意软件数量达到史上最高记录,总共有6340万个新样本。
简介 欢迎阅读《McAfeeLabs威胁报告:2018年3月》。
在本期报告中,我们重点介绍McAfeeAdvancedThreatResearch和McAfeeLabs团队在2017年第4季度收集的新闻和统计数据。
我们去年底发现,不但本报告中提供的威胁统计数据令人震惊,而且最近的某些研究结果也令人震惊。
网络犯罪的最大进展之一是,越来越多的人关注加密货币劫持,这与数字货币的市场利率提高密切相关。
第4季度比特币值激增,12月比特币价格超过19000美元,达到最高水平,因此导致许多犯罪分子劫持比特币和Monero钱夹的活动攀升。
此变化进一步证明,网络犯罪分子始终会锁定回报最高、时间最短、风险最低的目标。
安全研究人员最近还发现了加密货币挖掘所使用的Android应用程序。
目前我们发现,地下论坛的讨论建议将加密货币的重心从比特币转向耐特币,因为后者更安全且暴露的几率更低。
某些网络犯罪分子仍在开发僵尸网络,以便利用物联网以及借用和开发新代码。
目前,我们发现这些僵尸网络主要用于拒绝服务攻击。
随着这类攻击带宽和频率的增长,安全行业所面临的挑战是充分防御这类攻击。
此报告的研究及编写人员:•AlexBassett•ChristiaanBeek•NiamhMinihane•EricPeterson•RajSamani•CraigSchmugar•ReseAnneSims•DanSommer•BingSun 关注共享
2 McAfeeLabs威胁报告,2018年3月 报告 主要趋势:网络犯罪分子透视,采用新策略和战术 在2017年第4季度,McAfeeLabs平均每秒记录8个新恶意软件样本,与第3季度每秒记录的4个新样本相比,其数量显著增加。
总体而言,该季度的主要特点是使用的工具和方案更新,比如PowerShell恶意软件和加密货币挖掘,这些攻击随比特币价值激增。
PowerShell:2017年第4季度,McAfeeLabs发现PowerShell恶意软件增长267%,年同比增长432%,此威胁类别逐渐成为网络犯罪分子的首选工具箱。
此脚本语言极具吸引力,攻击者会设法在MicrosoftOffice文件中使用它来执行第一阶段的攻击。
在12月,研究人员发现了OperationGoldDragon,此恶意软件活动以2018年冬奥会为攻击目标。
此活动是PowerShell恶意软件攻击的实施典范。
加密货币挖掘:网上货币诱发了许多网络犯罪,包括恶意软件的购买和勒索软件的赎金支付。
网络犯罪分子宁愿寻找外部计算资源,也不会使用自己的设备,因为专用挖掘机器的价格超过5000美元。
在第4季度,McAfeeAdvancedThreatResearch团队的分析师报告了这一迅猛发展的行业,介绍了网络犯罪分子如何设法恶意引进恶意软件,使用受害者的计算资源挖币,或直接查找、窃取用户的加密货币。
勒索软件:在2017年,McAfeeLabs观察到勒索软件年同比增长59%,其中仅第4季度就增长35%。
此活动涉及网络犯罪分子采用的创造性新战术,他们设法让此威胁类别达到其典型目的,勒索钱财、破坏企业网络。
犯罪分子制定策略策划“迷雾幻镜”,在实际攻击中分散防御者注意力,比如暴露伪勒索软件,如同NotPetya和台湾银行盗窃案。
尽管勒索软件持续增长,执法机构在第4季度仍成功打击了网络犯罪分子网络,并且逮捕的犯罪分子已声称对CTBLocker勒索软件的散布负责。
关键主题
3 McAfeeLabs威胁报告,2018年3月 关注共享 报告 关键主题 定向医疗保健行业:在2017年,公开披露的医疗保健行业安全事件数量比2016年增长了210%,不过第4季度的安全事件数量减少了78%。
在分析这些攻击时,McAfeeAdvancedThreatResearch专家得出这样的结论,许多事件都是不遵守最佳安全实践或不解决医疗软件漏洞问题所致。
Necurs和Gamut:在第4季度,97%的垃圾邮件僵尸网络通信量都来自于以下两种僵尸网络,它们可让网络犯罪分子租借访问权:最流行的垃圾邮件僵尸网络是Necurs,其中包括最近出现的“孤单女孩”垃圾邮件、“拉高出货”股票垃圾邮件和Locky勒索软件下载程序,Gamut紧随其后,其中包括发件人发送的以聘任书为主题的网络钓鱼和钱骡招募电子邮件。
统计信息 McAfeeGlobalThreatIntelligence 每个季度,McAfeeGlobalThreatIntelligence云信息显示板都可以让我们查看和分析各种实际攻击模式,以便更好地保护客户。
这方面的信息能够反映我们的客户所面临的攻击数量。
McAfeeGTI平均每天分析400000个URL和800000个文件。
第四季度,我们的客户所看到的攻击数量如下所示: Q在第4季度,McAfeeGTI平均每天收到480亿次查询。
QMcAfeeGTI防范的恶意文件数量从第3季度的每天4000万个增长到第4季度的每天4500万个。
QMcAfeeGTI防范的风险URL数量从第3季度的每天9900万个减少到第4季度的每天5700万个,尽管12月19日后的高风险URL数量激增。
QMcAfeeGTI防范的风险IP地址数量从第3季度的每天4800万个增长到第4季度的每天8400万个。
4 McAfeeLabs威胁报告,2018年3月 报告 主要活动:非对称网络战争继续升级 2017年初,McAfee分析师预测了网络安全行业来年将面临的难以应对的挑战,并指出信息不对称是主要障碍。
简而言之,攻击者访问技术社区的研究要容易得多,而且他们可以下载和使用开源工具支持其活动,而防御者洞察网络犯罪分子活动的水平很有限,并且攻击策略在不断改变,往往得等恶意活动出现之后才能进行识别。
第4季度的主要攻击表明,非对称网络战争正在不断升级。
要了解我们的最新研究,请访问我们的社交媒体频道(Twitter@McAfee_Labs),我们会在其中分析新活动,介绍新工具,您可以使用这些工具更好地保护您的环境。
―RajSamani,McAfee高级威胁研究团队成员和首席科学家 Twitter@Raj_Samani 2017年11月:APT28(也称为FancyBear)利用几周前公布的MicrosoftOffice动态数据交换技术,借助主题为纽约恐怖袭击的网络钓鱼电子邮件活动发动攻击。
2017年12月:平昌冬奥会陷入以组织为目标的定向攻击,此次攻击利用了速记式加密和发动攻击几天之前发布的新工具Invoke-PSImage。
OperationGoldDragon持久驻留在受害者系统中,让攻击者可以随意搜索和访问设备中存储的数据,或连接的云帐户中存储的数据。
关键主题
5 McAfeeLabs威胁报告,2018年3月 关注共享 报告 威胁统计信息 7恶意软件14事件16Web和网络威胁
6 McAfeeLabs威胁报告,2018年3月 报告 关键主题 恶意软件 70,000,000 新恶意软件数量 60,000,000 50,000,000 40,000,000 30,000,000 20,000,000 10,000,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
700,000,000 恶意软件总数量 600,000,000 500,000,000 400,000,000 300,000,000 200,000,000 100,000,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 恶意软件数据来源于McAfee样本数据库,其中包括通过McAfee垃圾邮件陷阱、爬网程序和客户提交方式收集的恶意文件,以及其他行业来源提供的恶意文件。
本季度的一个主要威胁是Waboot。
资料来源:McAfeeLabs,2018年。
新Mac恶意软件数量 350,000 300,000 250,000 200,000 150,000 100,000 50,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
7 McAfeeLabs威胁报告,2018年3月 800,000 Mac恶意软件总数量 700,000 600,000 500,000 400,000 300,000 200,000 100,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
本季度Mac恶意软件的两种常见形式是Flashback和Longage,前者通过浏览器获取密码和其他数据,而后者可让黑客控制系统。
关注共享 报告 关键主题 3,000,000 新移动恶意软件数量 2,500,000 2,000,000 1,500,000 1,000,000 500,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
移动恶意软件总数量 25,000,000 20,000,000 15,000,000 10,000,000 5,000,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 本季度Android锁屏勒索软件的增长显著下滑。
(请参阅第9页的独立图表。
)Piom特洛伊木马程序植入程序的增长也明显放缓。
资料来源:McAfeeLabs,2018年。
各地区移动恶意软件感染率 (移动客户报告感染的百分比) 25%20%15%10% 5%0% 非洲 2017年1季度 亚洲澳大利亚2017年2季度 欧洲 北美 南美 2017年3季度 2017年4季度 资料来源:McAfeeLabs,2018年。
全球移动恶意软件感染率 (移动客户报告感染的百分比) 14% 12% 10% 8% 6% 4% 2% 0%1季度 2季度3季度2016 4季度 1季度 2季度3季度4季度2017 前三个季度全球感染率略有下降,而澳大利亚和美洲的占比增加。
资料来源:McAfeeLabs,2018年。
关注 共享
8 McAfeeLabs威胁报告,2018年3月 报告 关键主题 新勒索软件数量 2,500,000 2,000,000 1,500,000 1,000,000 500,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
新Android锁屏恶意软件数量 1,000,000 800,000 600,000 400,000 200,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
16,000,000 勒索软件总数量 14,000,000 12,000,000 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 为勒索软件增长做出重大贡献的是Ransom:Win32/Genasom。
资料来源:McAfeeLabs,2018年。
Android锁屏恶意软件总数量 2,000,000 1,600,000 1,200,000 800,000 400,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 这种形式的勒索软件是在2016年慢慢兴起的,但去年突然激增。
资料来源:McAfeeLabs,2018年。
关注 共享
9 McAfeeLabs威胁报告,2018年3月 报告 新恶意签名二进制文件数量 20,000,000 1,600,000 1,200,000 800,000 400,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
应用程序或二进制文件经过内容服务提供商签名和验证后,证书颁发机构会提供数字证书,此证书可在线提供相关信息。
网络犯罪分子在获取恶意签名二进制文件或恶意应用程序的证书后,更易于发动攻击,这直接摧毁了此信任模式。
25,000,00020,000,00015,000,00010,000,000 恶意签名二进制文件总数量 5,000,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
关键主题 10McAfeeLabs威胁报告,2018年3月 关注共享 报告 新漏洞利用恶意软件数量 1,200,000 1,000,000 800,000 600,000 400,000 200,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
漏洞利用攻击利用软件和硬件中的缺陷和漏洞。
零日攻击就是成功利用漏洞的示例。
有关最新示例,请参阅McAfeeLabs发布的“AnalyzingMicrosoftOfficeZero-DayExploitCVE-201711826:MemoryCorruptionVulnerability(分析MicrosoftOffice零日威胁CVE-2017-11826:内存受损漏洞)”。
16,000,000漏洞利用恶意软件总数量 14,000,000 12,000,000 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
11McAfeeLabs威胁报告,2018年3月 关注共享 关键主题 报告 关键主题 新宏恶意软件数量 250,000200,000150,000 100,000 50,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
4,800,000新Faceliker恶意软件数量 4,200,000 3,600,000 3,000,000 2,400,000 1,800,000 1,200,000 600,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
12McAfeeLabs威胁报告,2018年3月 1,600,000 宏恶意软件总数量 1,400,000 1,200,000 1,000,000 800,000 600,000 400,000 200,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 宏恶意软件通常以垃圾电子邮件或压缩附件中的Word或Excel文档形式出现。
其虚假的文件名很吸引力,如果宏已启用,受害者一打开文档就会受感染。
资料来源:McAfeeLabs,2018年。
Faceliker恶意软件总数量 20,000,000 Faceliker特洛伊木马操纵Facebook点击以伪造点“赞”的特定内容。
要了解详细信息,请阅读McAfeeLabs发表的此博文。
15,000,000 10,000,000 5,000,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
关注共享 报告 关键主题 新PowerShell恶意软件数量 18,000 15,000 12,000 9,000 6,000 3,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
7,000,000新JavaScript恶意软件数量 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
48,000PowerShell恶意软件总数量 42,000 36,000 30,000 24,000 18,000 12,000 6,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 第4季度PowerShell威胁是通过大批下载程序发动攻击的。
有关PowerShell和JavaScript威胁的详细信息,请参阅《McAfeeLabs威胁报告:2017年9月》中的“基于脚本的恶意软件兴起”一节。
资料来源:McAfeeLabs,2018年。
JavaScript恶意软件总数量 50,000,000 40,000,000 30,000,000 20,000,000 10,000,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 关注 资料来源:McAfeeLabs,2018年。
共享 13McAfeeLabs威胁报告,2018年3月 报告 关键主题 事件 各地区公开披露的安全事件数量 (公开披露的事件数量) 350 300 250 200 150 100 50 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 非洲 亚洲 多个地区 美洲 欧洲 大洋洲 资料来源:McAfeeLabs,2018年。
2016–2017年前十大攻击向量 (公开披露的事件数量) 700 600 500 400 300 200 100
0 未知恶意帐户数据DDoS代码恶意漏洞W-2未经 软件劫持泄露 注入破坏 诈骗授权 的 访问 安全事件数据是使用多个来源编译的,包括、/databreaches、和。
大多数攻击向量都是未知的或未公开报道的。
资料来源:McAfeeLabs,2018年。
14McAfeeLabs威胁报告,2018年3月 关注共享 报告 北美和南美地区的热门针对性攻击领域 (公开披露的事件数量) 80 70 60 50 40 30 20 10 0医疗公共教育金融技术零售娱乐服务在线个人保健机构机构机构单位业机构机构服务机构 2017年1季度 2017年2季度 2017年3季度 2017年4季度 资料来源:McAfeeLabs,2018年。
2016–2017年前十大针对性攻击领域 (公开披露的事件数量) 350 300 250 200 150 100 50
0 公共个人医疗教育金融多个在线零售娱乐软件 机构 保健机构机构地区服务业机构开发 机构 机构 资料来源:McAfeeLabs,2018年。
关键主题 15McAfeeLabs威胁报告,2018年3月 关注共享 报告 Web和网络威胁 18,000,000 新可疑URL数量 15,000,000 12,000,000 9,000,000 6,000,000 3,000,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
12,000,000 新恶意URL数量 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
McAfee®TrustedSource™WebDatabase包含按网站信誉归类的URL(网页),可与过滤策略一起用于管理网络访问。
可疑URL数量即获得高风险或中等风险评分的站点的总数量。
恶意站点部署代码,旨在劫持计算机的设置或活动。
此类别包括自安装应用程序(“随看随下”可执行文件)、特洛伊木马程序以及利用浏览器或其他应用程序的漏洞的其他恶意软件。
关键主题 16McAfeeLabs威胁报告,2018年3月 关注共享 报告 4,000,000 新恶意下载内容数量 3,500,000 3,000,000 2,500,000 2,000,000 1,500,000 1,000,000 500,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
800,000 新网络钓鱼URL数量 700,000 600,000 500,000 400,000 300,000 200,000 100,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
恶意下载内容的源站点可让用户无意间下载有害或恼人的代码。
此类别包括其中包含广告软件、间谍软件、病毒和其他恶意代码的屏幕保护程序、工具栏和文件共享程序。
有时恶意软件是在用户不知情的情况下添加的,因为他们没有阅读完整的条款和条件就单击了“是”或“我同意”。
结果导致机器性能下降、密码被盗以及个人文件丢失或损坏。
网络钓鱼URL是网页,通常是以盗用用户帐户信息的恶作剧电子邮件形式出现。
这些站点谎报身份,冒充合法公司网页,旨在误导用户,获取用户数据,实施欺诈或盗取活动。
17McAfeeLabs威胁报告,2018年3月 关注共享 关键主题 报告 关键主题 4季度连接到控制服务器的热门恶意软件 21% 3%3%5% 5%5%7% WapomiRamnitOnionDukeChinaChopper51%MuieblackcatMiraiMaazben其他 4季度流行的垃圾邮件僵尸网络占比 1%1%1% Necurs Gamut 37% Lethic Darkmailer 60% 其他 第4季度97%的垃圾邮件僵尸网络通信量都来自于Necurs和Gamut,前者包括最近出现的“孤单女孩”垃圾邮件、“拉高出货”股票垃圾邮件和Locky勒索软件下载程序,而后者包括用英语、德语和意大利语发送的以聘任书为主题的网络钓鱼(和钱骡招募)电子邮件。
资料来源:McAfeeLabs,2018年。
4季度托管僵尸网络控制服务器的主要国家/地区 资料来源:McAfeeLabs,2018年。
4季度的热门网络攻击 28%35% 3% 3% 3% 3% 3%3% 19% 美国德国荷兰日本俄罗斯中国韩国法国其他 14%4%5%8% 10%15% 资料来源:McAfeeLabs,2018年。
服务器消息块浏览器拒绝服务44%暴力攻击恶意软件域名系统其他 关注 资料来源:McAfeeLabs,2018年。
共享 18McAfeeLabs威胁报告,2018年3月 关于McAfee McAfee是全球领先的独立网络安全企业之
一。
在协同工作思想的启迪下,McAfee研发出了适用于企业用户和家庭用户的解决方案,让网络环境变得更为安全。
通过构建与其他公司产品集成的解决方案,McAfee能够帮助企业部署真正集成的网络环境,通过协作的方式即时进行威胁检测和纠正,从而保护网络安全。
通过保护用户的所有设备的网络安全,McAfee能够随时随地为他们的数字化生活提供安全保障。
McAfee与其他安全参与者同心协力,致力于打击网络犯罪分子,以保护所有用户的利益。
。
关于McAfeeLabs McAfee高级威胁研究团队领导的McAfeeLabs是威胁研究、威胁情报和网络安全先进理念的全球领先来源之
一。
利用从跨主要威胁媒介(文件、Web、消息和网络)的数百万传感器获取的数据,McAfeeLabs和McAfeeAdvancedThreatResearch团队可提供实时威胁情报、关键分析和专家意见,以便增强保护并降低风险。
/mcafee-labs.aspx。
北京市东城区北三环东路36号北京环球贸易中心D座18层,100013 McAfee和McAfee徽标是McAfee,LLC或其分支机构在美国和/或其他国家或地区的商标或注册商标。
其他商标和品牌可能是其各自所有者的财产。
Copyright©2018McAfee,LLC.3780_03182018年3月 19McAfeeLabs威胁报告,2018年3月
1 McAfeeLabs威胁报告,2018年3月 报告 McAfeeLabs在第4季度检测到的新恶意软件数量达到史上最高记录,总共有6340万个新样本。
简介 欢迎阅读《McAfeeLabs威胁报告:2018年3月》。
在本期报告中,我们重点介绍McAfeeAdvancedThreatResearch和McAfeeLabs团队在2017年第4季度收集的新闻和统计数据。
我们去年底发现,不但本报告中提供的威胁统计数据令人震惊,而且最近的某些研究结果也令人震惊。
网络犯罪的最大进展之一是,越来越多的人关注加密货币劫持,这与数字货币的市场利率提高密切相关。
第4季度比特币值激增,12月比特币价格超过19000美元,达到最高水平,因此导致许多犯罪分子劫持比特币和Monero钱夹的活动攀升。
此变化进一步证明,网络犯罪分子始终会锁定回报最高、时间最短、风险最低的目标。
安全研究人员最近还发现了加密货币挖掘所使用的Android应用程序。
目前我们发现,地下论坛的讨论建议将加密货币的重心从比特币转向耐特币,因为后者更安全且暴露的几率更低。
某些网络犯罪分子仍在开发僵尸网络,以便利用物联网以及借用和开发新代码。
目前,我们发现这些僵尸网络主要用于拒绝服务攻击。
随着这类攻击带宽和频率的增长,安全行业所面临的挑战是充分防御这类攻击。
此报告的研究及编写人员:•AlexBassett•ChristiaanBeek•NiamhMinihane•EricPeterson•RajSamani•CraigSchmugar•ReseAnneSims•DanSommer•BingSun 关注共享
2 McAfeeLabs威胁报告,2018年3月 报告 主要趋势:网络犯罪分子透视,采用新策略和战术 在2017年第4季度,McAfeeLabs平均每秒记录8个新恶意软件样本,与第3季度每秒记录的4个新样本相比,其数量显著增加。
总体而言,该季度的主要特点是使用的工具和方案更新,比如PowerShell恶意软件和加密货币挖掘,这些攻击随比特币价值激增。
PowerShell:2017年第4季度,McAfeeLabs发现PowerShell恶意软件增长267%,年同比增长432%,此威胁类别逐渐成为网络犯罪分子的首选工具箱。
此脚本语言极具吸引力,攻击者会设法在MicrosoftOffice文件中使用它来执行第一阶段的攻击。
在12月,研究人员发现了OperationGoldDragon,此恶意软件活动以2018年冬奥会为攻击目标。
此活动是PowerShell恶意软件攻击的实施典范。
加密货币挖掘:网上货币诱发了许多网络犯罪,包括恶意软件的购买和勒索软件的赎金支付。
网络犯罪分子宁愿寻找外部计算资源,也不会使用自己的设备,因为专用挖掘机器的价格超过5000美元。
在第4季度,McAfeeAdvancedThreatResearch团队的分析师报告了这一迅猛发展的行业,介绍了网络犯罪分子如何设法恶意引进恶意软件,使用受害者的计算资源挖币,或直接查找、窃取用户的加密货币。
勒索软件:在2017年,McAfeeLabs观察到勒索软件年同比增长59%,其中仅第4季度就增长35%。
此活动涉及网络犯罪分子采用的创造性新战术,他们设法让此威胁类别达到其典型目的,勒索钱财、破坏企业网络。
犯罪分子制定策略策划“迷雾幻镜”,在实际攻击中分散防御者注意力,比如暴露伪勒索软件,如同NotPetya和台湾银行盗窃案。
尽管勒索软件持续增长,执法机构在第4季度仍成功打击了网络犯罪分子网络,并且逮捕的犯罪分子已声称对CTBLocker勒索软件的散布负责。
关键主题
3 McAfeeLabs威胁报告,2018年3月 关注共享 报告 关键主题 定向医疗保健行业:在2017年,公开披露的医疗保健行业安全事件数量比2016年增长了210%,不过第4季度的安全事件数量减少了78%。
在分析这些攻击时,McAfeeAdvancedThreatResearch专家得出这样的结论,许多事件都是不遵守最佳安全实践或不解决医疗软件漏洞问题所致。
Necurs和Gamut:在第4季度,97%的垃圾邮件僵尸网络通信量都来自于以下两种僵尸网络,它们可让网络犯罪分子租借访问权:最流行的垃圾邮件僵尸网络是Necurs,其中包括最近出现的“孤单女孩”垃圾邮件、“拉高出货”股票垃圾邮件和Locky勒索软件下载程序,Gamut紧随其后,其中包括发件人发送的以聘任书为主题的网络钓鱼和钱骡招募电子邮件。
统计信息 McAfeeGlobalThreatIntelligence 每个季度,McAfeeGlobalThreatIntelligence云信息显示板都可以让我们查看和分析各种实际攻击模式,以便更好地保护客户。
这方面的信息能够反映我们的客户所面临的攻击数量。
McAfeeGTI平均每天分析400000个URL和800000个文件。
第四季度,我们的客户所看到的攻击数量如下所示: Q在第4季度,McAfeeGTI平均每天收到480亿次查询。
QMcAfeeGTI防范的恶意文件数量从第3季度的每天4000万个增长到第4季度的每天4500万个。
QMcAfeeGTI防范的风险URL数量从第3季度的每天9900万个减少到第4季度的每天5700万个,尽管12月19日后的高风险URL数量激增。
QMcAfeeGTI防范的风险IP地址数量从第3季度的每天4800万个增长到第4季度的每天8400万个。
4 McAfeeLabs威胁报告,2018年3月 报告 主要活动:非对称网络战争继续升级 2017年初,McAfee分析师预测了网络安全行业来年将面临的难以应对的挑战,并指出信息不对称是主要障碍。
简而言之,攻击者访问技术社区的研究要容易得多,而且他们可以下载和使用开源工具支持其活动,而防御者洞察网络犯罪分子活动的水平很有限,并且攻击策略在不断改变,往往得等恶意活动出现之后才能进行识别。
第4季度的主要攻击表明,非对称网络战争正在不断升级。
要了解我们的最新研究,请访问我们的社交媒体频道(Twitter@McAfee_Labs),我们会在其中分析新活动,介绍新工具,您可以使用这些工具更好地保护您的环境。
―RajSamani,McAfee高级威胁研究团队成员和首席科学家 Twitter@Raj_Samani 2017年11月:APT28(也称为FancyBear)利用几周前公布的MicrosoftOffice动态数据交换技术,借助主题为纽约恐怖袭击的网络钓鱼电子邮件活动发动攻击。
2017年12月:平昌冬奥会陷入以组织为目标的定向攻击,此次攻击利用了速记式加密和发动攻击几天之前发布的新工具Invoke-PSImage。
OperationGoldDragon持久驻留在受害者系统中,让攻击者可以随意搜索和访问设备中存储的数据,或连接的云帐户中存储的数据。
关键主题
5 McAfeeLabs威胁报告,2018年3月 关注共享 报告 威胁统计信息 7恶意软件14事件16Web和网络威胁
6 McAfeeLabs威胁报告,2018年3月 报告 关键主题 恶意软件 70,000,000 新恶意软件数量 60,000,000 50,000,000 40,000,000 30,000,000 20,000,000 10,000,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
700,000,000 恶意软件总数量 600,000,000 500,000,000 400,000,000 300,000,000 200,000,000 100,000,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 恶意软件数据来源于McAfee样本数据库,其中包括通过McAfee垃圾邮件陷阱、爬网程序和客户提交方式收集的恶意文件,以及其他行业来源提供的恶意文件。
本季度的一个主要威胁是Waboot。
资料来源:McAfeeLabs,2018年。
新Mac恶意软件数量 350,000 300,000 250,000 200,000 150,000 100,000 50,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
7 McAfeeLabs威胁报告,2018年3月 800,000 Mac恶意软件总数量 700,000 600,000 500,000 400,000 300,000 200,000 100,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
本季度Mac恶意软件的两种常见形式是Flashback和Longage,前者通过浏览器获取密码和其他数据,而后者可让黑客控制系统。
关注共享 报告 关键主题 3,000,000 新移动恶意软件数量 2,500,000 2,000,000 1,500,000 1,000,000 500,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
移动恶意软件总数量 25,000,000 20,000,000 15,000,000 10,000,000 5,000,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 本季度Android锁屏勒索软件的增长显著下滑。
(请参阅第9页的独立图表。
)Piom特洛伊木马程序植入程序的增长也明显放缓。
资料来源:McAfeeLabs,2018年。
各地区移动恶意软件感染率 (移动客户报告感染的百分比) 25%20%15%10% 5%0% 非洲 2017年1季度 亚洲澳大利亚2017年2季度 欧洲 北美 南美 2017年3季度 2017年4季度 资料来源:McAfeeLabs,2018年。
全球移动恶意软件感染率 (移动客户报告感染的百分比) 14% 12% 10% 8% 6% 4% 2% 0%1季度 2季度3季度2016 4季度 1季度 2季度3季度4季度2017 前三个季度全球感染率略有下降,而澳大利亚和美洲的占比增加。
资料来源:McAfeeLabs,2018年。
关注 共享
8 McAfeeLabs威胁报告,2018年3月 报告 关键主题 新勒索软件数量 2,500,000 2,000,000 1,500,000 1,000,000 500,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
新Android锁屏恶意软件数量 1,000,000 800,000 600,000 400,000 200,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
16,000,000 勒索软件总数量 14,000,000 12,000,000 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 为勒索软件增长做出重大贡献的是Ransom:Win32/Genasom。
资料来源:McAfeeLabs,2018年。
Android锁屏恶意软件总数量 2,000,000 1,600,000 1,200,000 800,000 400,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 这种形式的勒索软件是在2016年慢慢兴起的,但去年突然激增。
资料来源:McAfeeLabs,2018年。
关注 共享
9 McAfeeLabs威胁报告,2018年3月 报告 新恶意签名二进制文件数量 20,000,000 1,600,000 1,200,000 800,000 400,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
应用程序或二进制文件经过内容服务提供商签名和验证后,证书颁发机构会提供数字证书,此证书可在线提供相关信息。
网络犯罪分子在获取恶意签名二进制文件或恶意应用程序的证书后,更易于发动攻击,这直接摧毁了此信任模式。
25,000,00020,000,00015,000,00010,000,000 恶意签名二进制文件总数量 5,000,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
关键主题 10McAfeeLabs威胁报告,2018年3月 关注共享 报告 新漏洞利用恶意软件数量 1,200,000 1,000,000 800,000 600,000 400,000 200,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
漏洞利用攻击利用软件和硬件中的缺陷和漏洞。
零日攻击就是成功利用漏洞的示例。
有关最新示例,请参阅McAfeeLabs发布的“AnalyzingMicrosoftOfficeZero-DayExploitCVE-201711826:MemoryCorruptionVulnerability(分析MicrosoftOffice零日威胁CVE-2017-11826:内存受损漏洞)”。
16,000,000漏洞利用恶意软件总数量 14,000,000 12,000,000 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
11McAfeeLabs威胁报告,2018年3月 关注共享 关键主题 报告 关键主题 新宏恶意软件数量 250,000200,000150,000 100,000 50,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
4,800,000新Faceliker恶意软件数量 4,200,000 3,600,000 3,000,000 2,400,000 1,800,000 1,200,000 600,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
12McAfeeLabs威胁报告,2018年3月 1,600,000 宏恶意软件总数量 1,400,000 1,200,000 1,000,000 800,000 600,000 400,000 200,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 宏恶意软件通常以垃圾电子邮件或压缩附件中的Word或Excel文档形式出现。
其虚假的文件名很吸引力,如果宏已启用,受害者一打开文档就会受感染。
资料来源:McAfeeLabs,2018年。
Faceliker恶意软件总数量 20,000,000 Faceliker特洛伊木马操纵Facebook点击以伪造点“赞”的特定内容。
要了解详细信息,请阅读McAfeeLabs发表的此博文。
15,000,000 10,000,000 5,000,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
关注共享 报告 关键主题 新PowerShell恶意软件数量 18,000 15,000 12,000 9,000 6,000 3,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
7,000,000新JavaScript恶意软件数量 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
48,000PowerShell恶意软件总数量 42,000 36,000 30,000 24,000 18,000 12,000 6,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 第4季度PowerShell威胁是通过大批下载程序发动攻击的。
有关PowerShell和JavaScript威胁的详细信息,请参阅《McAfeeLabs威胁报告:2017年9月》中的“基于脚本的恶意软件兴起”一节。
资料来源:McAfeeLabs,2018年。
JavaScript恶意软件总数量 50,000,000 40,000,000 30,000,000 20,000,000 10,000,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 关注 资料来源:McAfeeLabs,2018年。
共享 13McAfeeLabs威胁报告,2018年3月 报告 关键主题 事件 各地区公开披露的安全事件数量 (公开披露的事件数量) 350 300 250 200 150 100 50 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 非洲 亚洲 多个地区 美洲 欧洲 大洋洲 资料来源:McAfeeLabs,2018年。
2016–2017年前十大攻击向量 (公开披露的事件数量) 700 600 500 400 300 200 100
0 未知恶意帐户数据DDoS代码恶意漏洞W-2未经 软件劫持泄露 注入破坏 诈骗授权 的 访问 安全事件数据是使用多个来源编译的,包括、/databreaches、和。
大多数攻击向量都是未知的或未公开报道的。
资料来源:McAfeeLabs,2018年。
14McAfeeLabs威胁报告,2018年3月 关注共享 报告 北美和南美地区的热门针对性攻击领域 (公开披露的事件数量) 80 70 60 50 40 30 20 10 0医疗公共教育金融技术零售娱乐服务在线个人保健机构机构机构单位业机构机构服务机构 2017年1季度 2017年2季度 2017年3季度 2017年4季度 资料来源:McAfeeLabs,2018年。
2016–2017年前十大针对性攻击领域 (公开披露的事件数量) 350 300 250 200 150 100 50
0 公共个人医疗教育金融多个在线零售娱乐软件 机构 保健机构机构地区服务业机构开发 机构 机构 资料来源:McAfeeLabs,2018年。
关键主题 15McAfeeLabs威胁报告,2018年3月 关注共享 报告 Web和网络威胁 18,000,000 新可疑URL数量 15,000,000 12,000,000 9,000,000 6,000,000 3,000,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
12,000,000 新恶意URL数量 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000 01季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
McAfee®TrustedSource™WebDatabase包含按网站信誉归类的URL(网页),可与过滤策略一起用于管理网络访问。
可疑URL数量即获得高风险或中等风险评分的站点的总数量。
恶意站点部署代码,旨在劫持计算机的设置或活动。
此类别包括自安装应用程序(“随看随下”可执行文件)、特洛伊木马程序以及利用浏览器或其他应用程序的漏洞的其他恶意软件。
关键主题 16McAfeeLabs威胁报告,2018年3月 关注共享 报告 4,000,000 新恶意下载内容数量 3,500,000 3,000,000 2,500,000 2,000,000 1,500,000 1,000,000 500,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
800,000 新网络钓鱼URL数量 700,000 600,000 500,000 400,000 300,000 200,000 100,000
0 1季度2季度3季度4季度1季度2季度3季度4季度 2016 2017 资料来源:McAfeeLabs,2018年。
恶意下载内容的源站点可让用户无意间下载有害或恼人的代码。
此类别包括其中包含广告软件、间谍软件、病毒和其他恶意代码的屏幕保护程序、工具栏和文件共享程序。
有时恶意软件是在用户不知情的情况下添加的,因为他们没有阅读完整的条款和条件就单击了“是”或“我同意”。
结果导致机器性能下降、密码被盗以及个人文件丢失或损坏。
网络钓鱼URL是网页,通常是以盗用用户帐户信息的恶作剧电子邮件形式出现。
这些站点谎报身份,冒充合法公司网页,旨在误导用户,获取用户数据,实施欺诈或盗取活动。
17McAfeeLabs威胁报告,2018年3月 关注共享 关键主题 报告 关键主题 4季度连接到控制服务器的热门恶意软件 21% 3%3%5% 5%5%7% WapomiRamnitOnionDukeChinaChopper51%MuieblackcatMiraiMaazben其他 4季度流行的垃圾邮件僵尸网络占比 1%1%1% Necurs Gamut 37% Lethic Darkmailer 60% 其他 第4季度97%的垃圾邮件僵尸网络通信量都来自于Necurs和Gamut,前者包括最近出现的“孤单女孩”垃圾邮件、“拉高出货”股票垃圾邮件和Locky勒索软件下载程序,而后者包括用英语、德语和意大利语发送的以聘任书为主题的网络钓鱼(和钱骡招募)电子邮件。
资料来源:McAfeeLabs,2018年。
4季度托管僵尸网络控制服务器的主要国家/地区 资料来源:McAfeeLabs,2018年。
4季度的热门网络攻击 28%35% 3% 3% 3% 3% 3%3% 19% 美国德国荷兰日本俄罗斯中国韩国法国其他 14%4%5%8% 10%15% 资料来源:McAfeeLabs,2018年。
服务器消息块浏览器拒绝服务44%暴力攻击恶意软件域名系统其他 关注 资料来源:McAfeeLabs,2018年。
共享 18McAfeeLabs威胁报告,2018年3月 关于McAfee McAfee是全球领先的独立网络安全企业之
一。
在协同工作思想的启迪下,McAfee研发出了适用于企业用户和家庭用户的解决方案,让网络环境变得更为安全。
通过构建与其他公司产品集成的解决方案,McAfee能够帮助企业部署真正集成的网络环境,通过协作的方式即时进行威胁检测和纠正,从而保护网络安全。
通过保护用户的所有设备的网络安全,McAfee能够随时随地为他们的数字化生活提供安全保障。
McAfee与其他安全参与者同心协力,致力于打击网络犯罪分子,以保护所有用户的利益。
。
关于McAfeeLabs McAfee高级威胁研究团队领导的McAfeeLabs是威胁研究、威胁情报和网络安全先进理念的全球领先来源之
一。
利用从跨主要威胁媒介(文件、Web、消息和网络)的数百万传感器获取的数据,McAfeeLabs和McAfeeAdvancedThreatResearch团队可提供实时威胁情报、关键分析和专家意见,以便增强保护并降低风险。
/mcafee-labs.aspx。
北京市东城区北三环东路36号北京环球贸易中心D座18层,100013 McAfee和McAfee徽标是McAfee,LLC或其分支机构在美国和/或其他国家或地区的商标或注册商标。
其他商标和品牌可能是其各自所有者的财产。
Copyright©2018McAfee,LLC.3780_03182018年3月 19McAfeeLabs威胁报告,2018年3月
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
