目前最活跃恶意软件头衔到底花落谁家?
根据CheckPoint Security公司的研究结果,恶意软件的整体环境特点在2017年第一季度发生了一些有趣的变化。
Kelihos僵尸网络顺利实现登顶,而Conficker蠕虫则在榜单中跌落至第四位。
令人意外的是,已经拥有8年发展历程的Conficker曾在2016年全程保有最活跃恶意软件家族称号。
2016年1月,CheckPoint公司的研究人员们表示Conficker为“最突出的恶意软件家族,其在全部已知攻击活动中占比14%。”我们还发现Conficker是在2015年年内全面复苏的,当时该恶意软件样本曾感染警方监控摄像头。
在CheckPoint Security公司发布的今年1月十大“最受欢迎”恶意软件当中,我们看到:
1.Kelihos– 主要用于比特币盗窃与垃圾邮件发送的僵尸网络。其利用对等通信使得每个单独节点都能够作为命令与控制服务器起效。
2.HackerDefender– 一款面向Windows系统的用户定制型Rootkit,可用于隐藏文件、进程与注册表项,同时亦可通过由现有服务开启的各TCP端口实现后门及端口重新定向。这意味着安全人员无法通过传统方式找到隐藏的后门。
3.Cryptowall– 这款勒索软件的雏形为Cryptolocker doppelgänger,并通过不断发展而有所超越。在Cryptolocker被挫败后,Cryptowall已经成为目前最为突出的勒索软件方案之一。Cryptowall最为知名的特征在于使用AES加密并通过Tor匿名网络建立其命令与控制通信。其被广泛应用于各类漏洞利用工具包、恶意广告以及网络钓鱼活动当中。
4.Conficker– 一款蠕虫病毒,能够实现远程操作与恶意软件下载。受感染的设备受到僵尸网络控制,通过与命令与控制服务器通信以接收指令。
5.Nemucod– JavaScript或者VBScrit下载器,其被广泛用于下载勒索软件变种或者其它恶意载荷。
6.RookieUA– Info Stealer设计并用于提取登录名与密码等用户账户信息,而后将其发送至远程服务器。
7.Nivdort– 一套多用途僵尸网络,亦被称为Bayrob,被用于收集密码、修改系统设置及下载其它恶意软件。其通常利用以二进制编码的收件人地址通过垃圾邮件传播,因此各个文件皆惟一存在。
8.Zeus– 银行业务相关木马,利用man-in-the-browser键盘记录器记录并抓取表单,从而窃取银行信息。
9.Ramnit– 银行业务相关木马,能够窃取银行凭证、FTP密码、会话cookies以及个人数据。
10.Necurs– 通过垃圾邮件传播恶意软件的僵尸网络,主要用于传播勒索软件与银行木马。
近来,研究人员观察到Kelihos恶意软件开始通过受感染的U盘进行传播。而在人气榜单上排名第三的Cryptwall则是一款相当知名的僵尸网络方案,主要被用于Locky勒索软件的分发。
Checkpoint公司在观察中发现移动威胁领域的态势有所变化,其中Android Triada模块化后门顺利登顶本轮三大最受欢迎移动威胁榜单。位列第二的是HummingBad,CERT-EU及其他消息来源亦在研究中证实了Checkpoint研究人员的结论,他们发现HummingBad这一广告欺诈恶意软件的新变种正在Android软件市场Google Play上迅速传播。
HummingBad最初于约一年前,即2016年1月/2月由恶意软件作者Yingmob发布,并凭借着同年下半年月入30万美元的惊人吸金能力快速获得关注。去年上半年,约有1000万台Android设备遭受该恶意软件感染。
目前根据Check Point公司的调查,HummingWhale已经在广告欺诈能力与技术复杂度方面超越HummingBad,亦已经在下载应用组合列表中被下载了数百万次。
移动恶意软件中位列第三的为Hiddad,这款Android恶意软件能够对合法应用进行重新打包,并将其释放至第三方应用程序商店当中。
以下为三大“最受欢迎”移动恶意软件:
1.Triada– Triada这款Android模块化后门能够获取超级用户权限以下载恶意软件,并帮助将恶意软件嵌入至系统进程当中。Triada亦已经在浏览器的欺诈URL中被发现。
2.Hummingbad– 这款Android恶意软件能够在设备上建立永久rootkit,安装欺诈性应用并对其进行轻微修改以实现其它恶意活动,具体包括安装密钥记录器、窃取凭证并绕过企业广泛使用的加密电子邮件容器。
3.Hiddad– Android恶意软件能够对合法应用程序进行重新打包,并将其发布至第三方应用程序商店当中。其主要功能为显示广告内容,但同时亦能够访问操作系统内置的关键性安全细节,从而允许攻击者获取敏感用户数据。
(责任编辑:宋编辑)
