2017年下半年可谓数字安全事件频发。9月，消费报告机构Equifax公布遭遇数据泄露，1.43亿美国消费者个人信息被泄。

 

之后不到2个月，俄罗斯和乌克兰公司企业遭BadRabbit恶意软件感染——2017年发生的第3次国际性勒索软件大爆发。年底，Check Point的月度《全球威胁索引》中首次将一款加密货币挖矿机列在了首位。

2017年下半年的安全形势是由数起安全事件撑起的。Check Point从其ThreatCloud协作情报网络抓取数据，撰写了《2017下半年全球威胁情报趋势报告》。该报告综合了来自2.5亿地址的信息用以发现僵尸网络，分析了1100万恶意软件特征码和550万被感染网站，以揭示下半年传播最广的恶意软件和其他数字威胁。

报告主要发现如下：

　　一、全球趋势

最主要的威胁态势之一，就是加密货币挖矿机的兴起。Check Point威胁情报组经理玛雅·霍洛维茨对此评论道：

2017年下半年见证了加密货币挖矿机席卷全球，成为广受欢迎的赚钱攻击方法。虽然挖矿机并非全新恶意软件类型，但加密货币的流行和价值飙升还是大幅推动了加密货币挖矿恶意软件的扩散。

事实上，2017年下半年加密货币挖矿机问题凸显的最主要原因，是这些工具不通知用户就注入到了网站中。广告过滤时代，某些企业可能还挺欢迎这种网页广告的替代方式。注入挖矿代码后，网站访问者的主机CPU使用率往往会被消耗掉一大半。Check Point 估算，2017年12月，每5家企业中就有1家沦为了加密货币挖矿代码注入的受害者。

加密货币挖矿机飙升的同时，漏洞利用工具包的使用有所降低。其中原因很多，包括Web浏览器中引入了新的安全机制，还有零日漏洞的发现也越来越难了。很多漏洞利用工具包因而转向了利用已经打上补丁的旧有安全漏洞，造成偷渡式攻击和新漏洞利用工具开发在数量上有所减少。

但日子过得比漏洞利用工具包舒服的数字威胁不仅仅有加密货币挖矿机一种。垃圾邮件和恶意邮件在2017年下半年也比较滋润。实际上，62%的感染都利用了简单邮件传输协议(SMTP)，为高级黑客采用新漏洞和.xlam及.xlb等文件类型实施高级攻击铺平了道路。

 

　　二、2017年下半年恶意文件类型细分

最后，2017年下半年有多个恶意软件家族是重用原有成功数字威胁代码的改良版。比如说，名为IoTroop和Satori的两个物联网僵尸网络就是源自Mirai。尤其是IoTroop，用漏洞扫描替换了Mirai的暴力口令破解器。

　　最流行的恶意软件家族

Check Point的报告还分类揭示了最流行的恶意软件家族，详情如下：

　　1.顶级恶意软件家族

　　Roughted (15.3%)

5月爆发，6月达到顶峰的大规模恶意广告活动，影响150多个国家的公司企业。1个月之后，该威胁在企业网络的感染率从28%降到了18%，下降了1/3。

　　CoinHive (8.3%)

门罗币挖矿机。2017年9月首发，但迅速流传开来，成为Check Point《2017年12月全球威胁索引》中列出的“头号”恶意软件。

　　Locky (7.9%)

2016年2月首次出现的加密型勒索软件。2017年上半年短暂掉出榜单后于下半年重回顶级恶意软件行列。

　　2.顶级勒索软件家族

　　Locky (30%)

主要通过带恶意附件的垃圾邮件传播，所带恶意附件是伪装成Word或Zip文件的下载器。该下载器会释放Locky加密软件，将用户文件统统加密锁定。

　　Globeimposter (26%)

2017年5月首度出现的勒索软件家族。依靠垃圾邮件、恶意广告和漏洞利用工具包传播。该威胁会将中招用户的文件加密成带.crypt后缀的加密文件。

　　WannaCry (15%)

2017年5月全球爆发的勒索软件。利用Windows SMB漏洞在企业网络间横向移动。

 

　　3.顶级银行恶意软件家族

　　Ramnit (34%)

盗取银行凭证、FTP口令、会话cookie和个人数据的木马。

　　Zeus (22%)

通过浏览器中间人键盘记录和表单抓取对Windows平台实施银行信息盗取的恶意软件。

　　Tinba (16%)

在用户尝试登录网银账户时利用网页注入盗取受害者凭证的一种威胁。

　　4.顶级手机恶意软件家族

　　Hidad (55%)

重打包合法App以展示广告并将之混入第三方应用商店的安卓恶意软件。该恶意软件会获取操作系统中内含的关键安全信息，盗取用户的敏感数据。

　　Triada (8%)

模块化安卓后门，能以超级用户权限下载恶意软件并将之嵌入系统进程。该威胁还会进行浏览器URL欺骗。

　　Lotoor (8%)

利用安卓系统漏洞以获取root权限的黑客工具。

　　5.顶级加密货币挖矿恶意软件

　　CoinHive (52%)

JavaScript加密货币挖矿机。网站拥有者可将之嵌入自己的网站，偷偷利用网站访问者的CPU计算能力挖掘加密货币。

　　Cryptoloot (13%)

与CoinHive类似的JavaScript挖矿机。事实上，网络罪犯通常将Cryptoloot作为CoinHive的替代品推广。

　　Coinnebula (8%)

2017年10月，微软在多个视频流网站观测到该浏览器挖矿机。

　　三、2018预测

Check Point对2018网络安全形势做了前瞻。首先，区块链攻击可能更加进化。安全行业将看到虚拟钱包及凭证盗窃，还有加密货币盗窃的新方法。能够收集虚拟钱包凭证的银行木马也会更为常见。数字攻击者将会使用移动僵尸网络来非法挖掘加密货币。

其次，2018年将出现更复杂高端的IoT攻击类型。更多产的IoT零日漏洞研究将推动网络黑市发展，催生出新的攻击类型和方法来利用受感染设备并收集数据。比如说，攻击者会设计出针对特定设备的方法，引发更多数据泄露和数据篡改。

最后，安全行业将见证更多的跨平台恶意软件攻击，比如能加密医院网络、雇员手机和所有联网医疗设备的勒索软件。

　　联手对抗未来威胁

Check Point的《2017下半年全球威胁情报趋势报告》清楚呈现出威胁情报的重要性。公司企业可用此信息进行用户教育，更好地防御数字威胁。Check Point和Tripwire结成合作伙伴关系以更好地防护双方客户就是该威胁趋势运用的一大案例。

　　Check Point完整报告链接地址：

https://research.checkpoint.com/h2-2017-global-threat-intelligence-trends-report

(责任编辑：安博涛)