近日，Sophos公布了2018年惡意代碼流行預(yù)測(cè)分析報(bào)告，通過(guò)對(duì)2017年以來(lái)發(fā)生的安全威脅事件分析，來(lái)預(yù)測(cè)2018年可能發(fā)生的惡意代碼威脅。他們認(rèn)為2017年惡意代碼所呈現(xiàn)的四大趨勢(shì)，有可能在2018年成為主要的行為。

1

WannaCry開(kāi)創(chuàng)了RaaS的勒索服務(wù)模式

在WannaCry之前，勒索軟件Cerber一直穩(wěn)居勒索類惡意代碼的頭把交椅，自從WannaCry利用“永恒之藍(lán)”漏洞沖擊了整個(gè)地球互聯(lián)網(wǎng)之后，WannaCry在全部勒索軟件中占到了半壁江山。盡管Cerber降至第二位，但是其背后的力量不同忽視，Cerber的制造者不斷的更新和培育新的變種來(lái)適應(yīng)當(dāng)前變化的網(wǎng)絡(luò)環(huán)境，例如Cerber中出現(xiàn)的沙盒檢測(cè)與規(guī)避等行為。

下圖是2017年勒索軟件的爆發(fā)趨勢(shì)圖，可以看到六月份左右有一個(gè)明顯的峰值，這個(gè)時(shí)期正是WannaCry和NotPetya的爆發(fā)期，中后期主要是Locky的興起，但是可以發(fā)現(xiàn)Cerber在整個(gè)勒索軟件中一直穩(wěn)定的存在，這也從另外一個(gè)方面說(shuō)明了Cerber的攻擊能力。

勒索軟件目前是暗網(wǎng)上最大的交易項(xiàng)目，在2017年出現(xiàn)了定制化的服務(wù)模式，甚至某些勒索軟件出現(xiàn)了類似于傳銷的營(yíng)銷模式，一個(gè)人被勒索之后，只要講勒索軟件轉(zhuǎn)發(fā)到10個(gè)以上的微信群或社區(qū)群，就能解密自己的系統(tǒng)，在2018年這種趨勢(shì)會(huì)更加明顯，醫(yī)療保健、政府和關(guān)鍵基礎(chǔ)設(shè)施、教育行業(yè)仍可能將是被勒索的重災(zāi)區(qū)。

2

安卓惡意代碼

2017年的安卓惡意代碼比2016年增加了17.6%。其中Rootnik是最流行的惡意軟件家族，POrnclk占第二位，其余的是Axent、Slocker和Dloader。有意思的是GooglePlay上的很多應(yīng)用程序斗魚(yú)Rootnik綁定，該家族在9月下旬也被發(fā)現(xiàn)利用了DirtyCowLinux漏洞。Googleplay上發(fā)現(xiàn)的威脅數(shù)量比2016年同期增加了一倍：超過(guò)800個(gè)Android APP感染了Xavir惡意軟件，WireX感染的國(guó)家超過(guò)了100個(gè)，設(shè)備超過(guò)14萬(wàn)臺(tái)。Wirex從u.axclick.store獲取其DDoS的攻擊目標(biāo)。然后創(chuàng)建一個(gè)Webview并獲得目標(biāo)主機(jī)名和端口。然后啟動(dòng)50個(gè)線程來(lái)發(fā)起攻擊。每個(gè)線程發(fā)送10,000,000次512個(gè)字節(jié)的數(shù)據(jù)。

3

MAC惡意代碼

一直以來(lái)，大多數(shù)人都認(rèn)為Mac系統(tǒng)比Windows更安全。從2017年發(fā)現(xiàn)的情況來(lái)看，針對(duì)Mac系統(tǒng)的惡意代碼非常之多，但是實(shí)際攻擊的數(shù)量比例不高，但是2018的一個(gè)趨勢(shì)僵尸針對(duì)Mac的垃圾或者廣告類的惡意代碼將是巨大的。

4

windows office帶來(lái)的威脅

下圖是2017年以來(lái)被利用的office漏洞的分布圖，很有意思的是，CVE-2012-0158雖然不是最常用的Offce漏洞，但是卻被一些人稱為“不會(huì)死的漏洞“，從2012年披露至今，仍然被大量的使用。

2017年以來(lái)，CVE-2017-0199已經(jīng)成為最受攻擊者喜歡的漏洞，CVE-2017-0199安全漏洞在Microsoft Offce的多個(gè)版本中可以利用。不過(guò)，一些人預(yù)測(cè)，下一個(gè)應(yīng)該是是CVE-2017-11826。

最后，小編認(rèn)為，Sophos還漏掉了一個(gè)重要的預(yù)測(cè)點(diǎn)，那就是“后Mirai時(shí)代”物聯(lián)網(wǎng)和工控系統(tǒng)的惡意代碼威脅！從MalwareBenchmark 2017年分析和上報(bào)的物聯(lián)網(wǎng)惡意代碼來(lái)看，IOTroop，Satori，Rowdy等惡意代碼以mirai的源代碼為本體，經(jīng)過(guò)不斷的變異改進(jìn)，已經(jīng)從傳統(tǒng)的Linux平臺(tái)演變到了Windows平臺(tái)，利用的端口也在不斷變化，從傳統(tǒng)的弱口令攻擊轉(zhuǎn)變到了弱口令和漏洞利用的綜合攻擊方式。這樣的攻擊方式的快速且豐富的衍變，注定2018年在工控物聯(lián)網(wǎng)領(lǐng)域不會(huì)風(fēng)平浪靜！