想象一下,新冠疫情爆发时期,你收到一封以“某疾控中心”为发信人的邮件,附件则是“本地新冠疫情感染者名单及行动轨迹”的文档。由于处于疫情肆虐的特殊阶段,你可能在没有核查发件人身份的前提下,就迫不及待地打开了该附件,噩梦随之开启。这份夹带着病毒的恶意文件,在打开之后,内藏的勒索病毒 RobbinHood 感染了电脑系统,并关闭了杀毒软件,随后提醒你必须支付一定数额的比特币,以恢复被锁住的文件……
2020年第一季度,伴随着抗疫的升级,网络安全领域也同样面临着严峻的威胁。
近日,亚信安全发布了《2020年第一季度网络安全威胁报告》。报告显示,新冠疫情已经成为不法分子普遍选择的网络攻击诱饵,而勒索病毒虽然数量有所降低,但是攻击手段却持续创新,与安全厂商的技术对抗正在升级,这些动向都提醒企业与消费者必须更加关注网络威胁防御,并及时升级网络安全策略。
.png)
新冠疫情成为一季度安全“关键词”
新冠疫情威胁的不仅仅是现实中的安全健康,同样也延伸到网络的世界。无论是病毒、木马、垃圾邮件、还是APT攻击,我们都可以看到新冠活跃的“身影”。在第一季度,亚信安全频繁截获了利用“新型冠状病毒肺炎”疫情进行的网络攻击活动,攻击中使用的文件名通常包含“冠状病毒”、“武汉”、“疫情”等人们关注的热门词汇。其主要恶意行为包括远程控制、信息窃取、删除系统文件和数据,造成系统无法启动或者重要数据丢失。
.png)
【伪装成新冠肺炎进展信息的垃圾邮件】
亚信安全第一季度安全报告发现,大量网络钓鱼邮件使用了“外贸订单”作为幌子,这是因为疫情对外贸造成的影响,使外贸企业格外关注此类的商机。此外,受到疫情影响,比特币的价格重新回到飙升的轨道,这也导致更多的挖矿病毒攻击,以及以比特币为赎金的勒索病毒攻击。
据亚信安全报告分析,新冠疫情之所以在第一季度成为网络不法分子惯用诱饵,从本质上是因为热点事件是社交工程攻击天然的催化剂,而随着疫情传播逐渐平稳,此类网络攻击也将显著降低。但必须注意的是,疫情对于网络安全影响将是长久而潜在的。在后疫情时代,远程协同的工作模式将更加普遍,企业的业务边界也会随之扩展,这可能带来新形态网络安全威胁,用安全来定义业务边界也将成为更多企业的选择。
勒索病毒持续精进 安全软件成为首要目标
报告显示,亚信安全共拦截勒索病毒 23,045 次,其月检测量呈递减趋势,但是勒索病毒在隐藏手法、攻击手段等方面却不断创新。这主要是因为安全软件的防御能力随着机器学习、大数据和云查杀等技术的发展变得越来越强,勒索病毒想要成功加密系统或是文件,必须使用更为先进的技术与手段,以逃避安全产品检测。
本季度亚信安全监测到, RobbinHood 勒索病毒借用易受攻击的驱动程序来删除安全软件。该驱动程序是主板厂商已经弃用的软件包的一部分,主程序 STEEL.EXE会将 ROBNR.EXE 文件释放到 Windows\Temp 目录中,然后利用合法的 gdrv.sys 驱动程序安装恶意的驱动程序 rbnl.sys,该恶意驱动程序主要用于在内核模式删除安全软件相关的进程或者文件,随后便可以任意运行勒索病毒。
.png)
【RobbinHood 勒索病毒攻击流程】
除了 RobbinHood 之外,本季度值得关注的新型勒索病毒还有 NEFILIM、CRYPTOPXJ、ANTEFRIGUS 等,这些病毒已经进化并整合了终止程序等功能,以更有效地实施攻击行动。因此,对于勒索病毒的防范,亚信安全建议,要保持良好的网络安全习惯,采取3-2-1规则来备份文件,并部署对抗勒索病毒更有效的安全软件。
安卓平台病毒涨声依旧 并实现“裙带式发展”
虽然第一季度感染型病毒、勒索病毒、挖矿病毒等病毒的感染量有所降低,但是移动安全威胁的上涨趋势依然不变。报告显示,亚信安全对 APK 文件的处理数量累计达到 9,612 万个,比2019年同期上涨超过20%,增长趋势稳定且高速,这说明用户要不断强化对于移动安全威胁的认知,并采取有效的措施来对抗移动安全威胁。
.png)
【安卓平台APK处理数量增长趋势图】
在本季度感染安卓平台的移动病毒家族中,Shedun 家族数量最多,占到总数的 77%,与上季度相比有所上升。SmsPay 家族位列第二位,占总数的 18%,Locker 家族则居第三位。其中,位居榜首的移动病毒 Shedun 早在2015年就开始了家族式作战,这种移动病毒能在后台下载安装其他应用,实现“裙带式”发展,因此颇受不法分子青睐,受威胁的移动设备早就突破了千万大关。
除此之外,亚信安全在本季度所监测到的安全动向还包括:
挖矿病毒的检测量有所降低,印度是受攻击最严重的区域,其次是泰国和美国,制造业、医疗、政府和保险等网络安全相对薄弱的组织受到了更大的威胁。
本季度新增 PE(感染型病毒)特征共计 2,771,157 个,和上一个季度相比数值有所减少,随后增加数量较多的病毒类型依次为 PUA、CRCK(破解软件)、TROJ(木马程序)以及 WORM(蠕虫病毒)。
本季度检测数量排名第一的病毒是 PUA.Win32.FlashServ.B.component。排名第二位的是 HackTool.Win32.RAdmin.GB,其次 是 PUA.Win32.FlashServ.SM1 和 CRCK_PATCHER。
在本季度通过 WEB 传播的恶意程序中,.EXE 类型的可执行文件占总数的 85%。
“金融证券类”钓鱼网站占比例最多,占总数的99%以上,银行为仿冒对象的钓鱼网站占绝大多数,其仿冒类型大多为主页型。 
