【亞信安全】-【2020年8月24日】2020年第二季度,雖然新冠疫情在國內的防控形勢已經由陰轉晴,但在全球依然呈現爆發趨勢,并給網絡安全領域帶來了深遠的影響。亞信安全最近發布的《2020 年第二季度網絡安全威脅報告》顯示,由于疫情下遠程辦公的普及,越來越多的網絡犯罪分子瞄準視頻應用程序傳播惡意軟件;而在新冠病毒防控常態化的同時,“新冠研究與調查”更成為社交工程攻擊的熱門“誘餌”,帶來更為嚴峻的安全威脅。亞信安全建議,企業用戶要培訓員工提高警惕,謹防海外不法攻擊借助“新冠”侵入網絡,并部署周全的網絡安全解決方案。
“跨越”物理界限 新冠影響數字世界
提起病毒,我們往往會想到兩種事物,一種是生物意義上的病毒,另外一種則是計算機病毒。在平時,兩者涇渭分明,但在新冠這種特大型人類災難面前,我們可以清晰的看到現實世界和數字世界是如何相互交織的:亞信安全發現,在第二季度,由于新冠在全球的快速爆發,以新冠為攻擊肇因與誘餌的網絡攻擊事件快速增長。
針對視頻應用的攻擊是最明顯的例子:遠程辦公中,視頻會議應用程序成為不可缺少的軟件之一。網絡不法分子也瞄準了這一機會,除了對視頻會議應用程序進行攻擊之外,還會將挖礦病毒與 Zoom 等視頻會議應用程序捆綁,一旦用戶安裝這類軟件,后臺就會悄悄下載惡意挖礦病毒。
此外,報告還顯示,越來越多的不法分子抓住人們對于新冠病毒研究與調查的關注,利用熱點話題發動“釣魚”攻擊。在本季度,亞信安全截獲了 LemonDuck 無文件挖礦病毒,該病毒能夠繞過老版本的防護措施,偽裝成“新冠病毒”相關郵件,誘導收件人點擊郵件附件,導致感染并繼續傳播病毒。除了挖礦病毒外,本季度還截獲了利用“新冠疫情”蹭熱點的新型 Unicorn 勒索病毒,為了掩人耳目,此病毒還會在攻擊成功后彈出“新冠疫情” 相關信息圖片。
【勒索病毒中攜帶的新冠疫情相關圖片】
通過對近期攻擊事件的分析,亞信安全指出,新冠是 2020 年對世界影響最大的事件,同樣也深度改變了數字世界,影響了網絡攻防的“戰場”,網絡不法分子更多的利用了新冠帶來的熱度,來制造社交工程“誘餌”。對于國內用戶來說,雖然與新冠有關的直接網絡攻擊有所降低,但我們仍然要防范這些風險的死灰復燃,并及時采取相應防范措施。
勒索病毒與挖礦病毒依然肆虐
勒索病毒與挖礦病毒可以說是“老熟人”了,各類安全事件一直不乏他們活躍的身影:在第二季度,亞信安全共攔截挖礦病毒 7,963 次,其月檢測量呈遞增趨勢,不僅老病毒出現頻繁更新,而且還出現了多個新型挖礦病毒。這其中包括通過 WMI 無文件挖礦實現雙平臺感染的病毒,利用“新冠病毒”郵件傳播的 LemonDuck 無文件挖礦病毒,以及借助“海嘯”僵尸網絡發動DDoS 攻擊的挖礦病毒。
【亞信安全挖礦病毒檢測數量圖】
勒索病毒在本季度也衍生出大量的變種,包括 GlobeImposter、WannaRen、Sodinokibi勒索病毒的全新變種都頻繁出現,這些變種為了鎖住目標主機,勒索贖金,窮盡所能繞過網絡安全軟件的封堵。其中,本季度的熱門勒索病毒 GlobeImposter 的最新變種 C4H 通常會利用 RDP/SMB 暴力破解在內網擴散并投放,在進入內網后通過多種方法獲取登錄憑證,并在內網橫向滲透傳播。
目前,亞信安全防病毒服務器(OSCE)的行為監控功能已經可以有效攔截上述病毒,亞信安全高級威脅發現系統 TDA 則可以準確定位到下載惡意病毒的主機,阻止其后續的橫向滲透行為。亞信安全認為,阻止這些病毒傳播的第一道關口往往是郵件、網頁、社交軟件,用戶要養成良好的網絡安全習慣,不要隨意打開安全性不明的郵件或是網站。此外,企業用戶最好能夠通過訪問控制策略,限制外部對于關鍵業務數據的訪問,通過補丁管理、安全準入等機制,盡可能降低漏洞攻擊風險。
除此之外,亞信安全第二季度安全報告還揭示了以下動態:
• REMCOS 遠控木馬、LokiBot 間諜木馬和 EMOTET 銀行木馬等著名木馬家族在本季度再度活躍,并給金融機構帶來巨大威脅。
• PE 病毒數量在所有檢測病毒類型中所占比重最大,占到總檢測數量的 26%,其檢測數量達到 5,734,382 次。在具體病毒檢測排名中,檢測數量排名第一的則是 EXPL_CPLNK.SM。
• 截止到本季度,亞信安全對于安卓 APK 處理數量累計達到 10,170 萬個,保持了月處理數量持續上升的趨勢。
• 本季度通過 WEB 傳播的惡意程序中,.EXE 類型的可執行文件占總數的 83%,居首位。與上季度相比,略有減少。
• 本季度所有釣魚網站中,“金融證券類”釣魚網站所占比例最多,占總數的99%以上。
