想象一下，新冠疫情爆發(fā)時期，你收到一封以“某疾控中心”為發(fā)信人的郵件，附件則是“本地新冠疫情感染者名單及行動軌跡”的文檔。由于處于疫情肆虐的特殊階段，你可能在沒有核查發(fā)件人身份的前提下，就迫不及待地打開了該附件，噩夢隨之開啟。這份夾帶著病毒的惡意文件，在打開之后，內(nèi)藏的勒索病毒 RobbinHood 感染了電腦系統(tǒng)，并關(guān)閉了殺毒軟件，隨后提醒你必須支付一定數(shù)額的比特幣，以恢復(fù)被鎖住的文件……

2020年第一季度，伴隨著抗疫的升級，網(wǎng)絡(luò)安全領(lǐng)域也同樣面臨著嚴(yán)峻的威脅。

近日，亞信安全發(fā)布了《2020年第一季度網(wǎng)絡(luò)安全威脅報告》。報告顯示，新冠疫情已經(jīng)成為不法分子普遍選擇的網(wǎng)絡(luò)攻擊誘餌，而勒索病毒雖然數(shù)量有所降低，但是攻擊手段卻持續(xù)創(chuàng)新，與安全廠商的技術(shù)對抗正在升級，這些動向都提醒企業(yè)與消費者必須更加關(guān)注網(wǎng)絡(luò)威脅防御，并及時升級網(wǎng)絡(luò)安全策略。

新冠疫情成為一季度安全“關(guān)鍵詞”

新冠疫情威脅的不僅僅是現(xiàn)實中的安全健康，同樣也延伸到網(wǎng)絡(luò)的世界。無論是病毒、木馬、垃圾郵件、還是APT攻擊，我們都可以看到新冠活躍的“身影”。在第一季度，亞信安全頻繁截獲了利用“新型冠狀病毒肺炎”疫情進(jìn)行的網(wǎng)絡(luò)攻擊活動，攻擊中使用的文件名通常包含“冠狀病毒”、“武漢”、“疫情”等人們關(guān)注的熱門詞匯。其主要惡意行為包括遠(yuǎn)程控制、信息竊取、刪除系統(tǒng)文件和數(shù)據(jù)，造成系統(tǒng)無法啟動或者重要數(shù)據(jù)丟失。

亞信安全第一季度安全報告發(fā)現(xiàn)，大量網(wǎng)絡(luò)釣魚郵件使用了“外貿(mào)訂單”作為幌子，這是因為疫情對外貿(mào)造成的影響，使外貿(mào)企業(yè)格外關(guān)注此類的商機(jī)。此外，受到疫情影響，比特幣的價格重新回到飆升的軌道，這也導(dǎo)致更多的挖礦病毒攻擊，以及以比特幣為贖金的勒索病毒攻擊。

據(jù)亞信安全報告分析，新冠疫情之所以在第一季度成為網(wǎng)絡(luò)不法分子慣用誘餌，從本質(zhì)上是因為熱點事件是社交工程攻擊天然的催化劑，而隨著疫情傳播逐漸平穩(wěn)，此類網(wǎng)絡(luò)攻擊也將顯著降低。但必須注意的是，疫情對于網(wǎng)絡(luò)安全影響將是長久而潛在的。在后疫情時代，遠(yuǎn)程協(xié)同的工作模式將更加普遍，企業(yè)的業(yè)務(wù)邊界也會隨之?dāng)U展，這可能帶來新形態(tài)網(wǎng)絡(luò)安全威脅，用安全來定義業(yè)務(wù)邊界也將成為更多企業(yè)的選擇。

勒索病毒持續(xù)精進(jìn) 安全軟件成為首要目標(biāo)

報告顯示，亞信安全共攔截勒索病毒 23，045 次，其月檢測量呈遞減趨勢，但是勒索病毒在隱藏手法、攻擊手段等方面卻不斷創(chuàng)新。這主要是因為安全軟件的防御能力隨著機(jī)器學(xué)習(xí)、大數(shù)據(jù)和云查殺等技術(shù)的發(fā)展變得越來越強(qiáng)，勒索病毒想要成功加密系統(tǒng)或是文件，必須使用更為先進(jìn)的技術(shù)與手段，以逃避安全產(chǎn)品檢測。

本季度亞信安全監(jiān)測到， RobbinHood 勒索病毒借用易受攻擊的驅(qū)動程序來刪除安全軟件。該驅(qū)動程序是主板廠商已經(jīng)棄用的軟件包的一部分，主程序 STEEL.EXE會將 ROBNR.EXE 文件釋放到 Windows\Temp 目錄中，然后利用合法的 gdrv.sys 驅(qū)動程序安裝惡意的驅(qū)動程序 rbnl.sys，該惡意驅(qū)動程序主要用于在內(nèi)核模式刪除安全軟件相關(guān)的進(jìn)程或者文件，隨后便可以任意運(yùn)行勒索病毒。

除了 RobbinHood 之外，本季度值得關(guān)注的新型勒索病毒還有 NEFILIM、CRYPTOPXJ、ANTEFRIGUS 等，這些病毒已經(jīng)進(jìn)化并整合了終止程序等功能，以更有效地實施攻擊行動。因此，對于勒索病毒的防范，亞信安全建議，要保持良好的網(wǎng)絡(luò)安全習(xí)慣，采取3-2-1規(guī)則來備份文件，并部署對抗勒索病毒更有效的安全軟件。

安卓平臺病毒漲聲依舊 并實現(xiàn)“裙帶式發(fā)展”

雖然第一季度感染型病毒、勒索病毒、挖礦病毒等病毒的感染量有所降低，但是移動安全威脅的上漲趨勢依然不變。報告顯示，亞信安全對 APK 文件的處理數(shù)量累計達(dá)到 9，612 萬個，比2019年同期上漲超過20%，增長趨勢穩(wěn)定且高速，這說明用戶要不斷強(qiáng)化對于移動安全威脅的認(rèn)知，并采取有效的措施來對抗移動安全威脅。

在本季度感染安卓平臺的移動病毒家族中，Shedun 家族數(shù)量最多，占到總數(shù)的 77%，與上季度相比有所上升。SmsPay 家族位列第二位，占總數(shù)的 18%，Locker 家族則居第三位。其中，位居榜首的移動病毒 Shedun 早在2015年就開始了家族式作戰(zhàn)，這種移動病毒能在后臺下載安裝其他應(yīng)用，實現(xiàn)“裙帶式”發(fā)展，因此頗受不法分子青睞，受威脅的移動設(shè)備早就突破了千萬大關(guān)。

除此之外，亞信安全在本季度所監(jiān)測到的安全動向還包括：

挖礦病毒的檢測量有所降低，印度是受攻擊最嚴(yán)重的區(qū)域，其次是泰國和美國，制造業(yè)、醫(yī)療、政府和保險等網(wǎng)絡(luò)安全相對薄弱的組織受到了更大的威脅。

本季度新增 PE（感染型病毒）特征共計 2，771，157 個，和上一個季度相比數(shù)值有所減少，隨后增加數(shù)量較多的病毒類型依次為 PUA、CRCK（破解軟件）、TROJ（木馬程序）以及 WORM（蠕蟲病毒）。

本季度檢測數(shù)量排名第一的病毒是 PUA.Win32.FlashServ.B.component。排名第二位的是 HackTool.Win32.RAdmin.GB，其次 是 PUA.Win32.FlashServ.SM1 和 CRCK_PATCHER。

在本季度通過 WEB 傳播的惡意程序中，.EXE 類型的可執(zhí)行文件占總數(shù)的 85%。

“金融證券類”釣魚網(wǎng)站占比例最多，占總數(shù)的99%以上，銀行為仿冒對象的釣魚網(wǎng)站占絕大多數(shù)，其仿冒類型大多為主頁型。
責(zé)任編輯:pj