邁克菲實驗室報告對過去 30 年逃逸技術的演變進行了回顧

邁克菲每分鐘可檢測到 244 個新興網絡威脅，每秒鐘約 4 個；2017 年一季度全球移動端惡意軟件感染率上升 57%；針對 Mac 操作系統的惡意軟件總數增長 53%

邁克菲

2017-06-28 10:00 6511

邁克菲公司今日發布《邁克菲實驗室威脅報告：2017年6月刊》，探討了Fareit 密碼竊取軟件的起源和內部工作機制，評述了各個行業公開披露的威脅攻擊事件，并總結了在 2017 年一季度惡意軟件、勒索軟件、移動惡意軟件和其它威脅的增長趨勢。

邁克菲實驗室觀測到亞洲地區的移動惡意軟件增長了一倍，全球移動惡意軟件感染率上升了 57%
過去四個季度的移動惡意軟件總數增長了 79%，樣本總數達到 1670 萬
廣告軟件的大量充斥導致今年一季度針對 Mac 操作系統的惡意軟件樣本總數增長了 53%
新的勒索軟件在一季度有所反彈，主要歸因于針對安卓系統的 Congur 系列攻擊
過去四個季度的勒索軟件總數增長了 59%，樣本總數達到 960 萬
今年一季度公開披露的安全事件達到 301 起，比去年四季度增長了 53%
醫療系統、公共部門和教育行業發生的安全事件數占所有安全事件的 50% 多

北京2017年6月28日電 /美通社/ -- 邁克菲公司今日發布《邁克菲實驗室威脅報告：2017年6月刊》，探討了Fareit密碼竊取軟件的起源和內部工作機制，回顧了過去 30 年惡意軟件逃逸技術的演化，闡述了逃逸技術采用的隱寫術特性，評述了各個行業公開披露的威脅攻擊事件，并總結了在 2017 年一季度惡意軟件、勒索軟件、移動惡意軟件和其它威脅的增長趨勢。

“現在市場上的反安全、反沙箱和反分析的逃逸技術即便沒有上千項也有數百項，而且許多都可以在暗網市場上直接購買到。”邁克菲實驗室副總裁 Vincent Weafer 說道，“這期發布的報告提醒我們，欺騙已經從針對某幾個系統的單個威脅，逐漸演變到針對多個系統的復雜威脅，以及到針對整個新安全模式，如機器學習。”

30 年惡意軟件逃逸技術回顧

在 20 世紀 80 年代，惡意軟件開發者開始嘗試一些方法來逃避安全產品的檢測，當時，有一個惡意軟件通過加密自己的部分代碼使安全分析員無法閱讀內容，而成功繞過了防御體系。“逃逸技術”指的是惡意軟件所能用到的所有能規避檢測、分析和檢查的方法。邁克菲實驗室將逃逸技術分為以下三大類：

反安全技術：用于規避來自防惡意軟件引擎、防火墻、應用程序遏制和/或其它防護手段的檢測。
反沙箱技術：用于檢測自動分析并規避能夠報告惡意軟件行為的引擎。通過檢測注冊表項、文件或與虛擬環境相關的進程，惡意軟件能夠知曉是否在沙箱內運行。
反分析技術：用于檢測和欺騙惡意軟件分析人員，比如，通過找到類似 Process Explorer 或 Wireshark 的監控工具，以及采用某些進程監控伎倆、打包程序或偽裝工具來規避反向工程。

《邁克菲實驗室威脅報告：2017 年 6 月刊》探討了一些較強大的逃逸技術，以及可提供現成逃逸工具的暗網市場，舉例說明了幾個惡意軟件系列是如何利用逃逸技術來規避檢測，以及對未來的預期，包括機器學習規避技術和基于硬件的規避技術。

在眾目睽睽下隱藏：隱寫術的隱藏威脅

隱寫術是一項隱藏秘密信息的科學藝術，在數字世界中，它用來將信息隱藏在圖像、音頻、視頻或文本文件中。數字隱寫術通常被惡意軟件作者用來逃避來自安全系統的檢測。我們所知的首例將隱寫術應用于網絡攻擊中的惡意軟件是 2011 年的 Duqu 惡意軟件。將隱寫術應用于數字圖像時，通過嵌入算法插入秘密信息，將圖像傳輸到目標系統，并提取秘密信息以供惡意軟件使用。修改后的圖像通常很難被人眼或安全技術檢測到。

邁克菲實驗室將網絡隱寫術視為該學科的最新形式，因為它將 TCP/IP 協議頭中的未使用字段用于隱藏數據。由于攻擊者可以使用這種技術通過網絡發送無限量的信息，這種方法正在被越來越多的攻擊者使用。

Fareit：最臭名卓著的密碼竊取工具

Fareit 首次出現于 2011 年，并以多種方式演變，包括新攻擊向量、增強的架構和內部工作機制，以及規避檢測的新方法。Fareit 是最臭名卓著的密碼竊取惡意軟件，這已經得到越來越多人們的共識，而且種種跡象表明，它可能被用于 2016 年美國總統大選之前的那起著名的針對民主黨全國委員會 (DNC) 的數據泄漏事件中。

Fareit 可通過網絡釣魚郵件、DNS 投毒和漏洞利用工具包進行傳播。受害者可能會收到一封帶有附件的惡意釣魚電子郵件，該附件可能是 Word 文檔、JavaScript 或存檔文件。一旦用戶打開附件，Fareit 就能夠感染系統，將盜取的用戶憑據發送給它的控制服務器，然后下載此次攻擊活動中附帶的其它惡意軟件。

2016 年的美國民主黨全國委員會數據泄漏事件的罪魁禍首是名為 Grizzly Steppe 的惡意軟件攻擊活動。邁克菲實驗室在美國政府公布的 Grizzly Steppe 報告中的攻陷指標 (IoC) 列表中發現了 Fareit 哈希。普遍認為這一類別的 Fareit 專門應用于針對 DNC 的攻擊中，通過網絡釣魚郵件附帶的惡意 Word 文檔附件進行傳播。

該惡意軟件引用了一些已發現的 Fareit 樣本中多個不常見的控制服務器地址。在 DNC 攻擊事件中，它可能聯合其它技術來竊取電子郵件、FTP和其它重要的憑據。邁克菲實驗室懷疑，Fareit 還將其它諸如 Onion Duke 和 Vawtrak 的高級威脅下載到受害者的系統中，以發動進一步的攻擊。

“隨著人們、企業和政府部門越來越多地依賴僅有密碼保護的系統和設備，他們的憑據安全性非常低，很容易被竊取，對網絡犯罪分子來講非常有吸引力。”Weafer 指出，“邁克菲實驗室相信使用密碼竊取技術的攻擊很可能會有所增加，Grizzly Steppe 攻擊活動中已可窺見一些新型未來技術。”

2017 年一季度威脅活動

2017 年一季度，邁克菲全球威脅智能感知系統 (GTI) 登記的針對各個行業的網絡威脅和網絡攻擊事件呈現顯著的增長趨勢：

新威脅：2017 年一季度，平均每秒鐘檢測到 244 個新威脅，約合每秒鐘 4 個。
安全事件：邁克菲統計到今年一季度公開披露的安全事件達到 301 起，比去年四季度增長了 53%。醫療系統、公共部門和教育行業發生的安全事件數占所有安全事件的 50% 多。
惡意軟件：一季度新惡意軟件樣本數有所反彈，達到 3200 萬個。過去四個季度，惡意軟件樣本總數增加了 22%，已知樣本數達到 6.7 億個。新的惡意軟件數量反彈到過去四年的季度平均水平。
移動惡意軟件：一季度亞洲地區報告的移動惡意軟件數增長了一倍，全球移動惡意軟件感染率增長了 57%。過去四個季度，移動惡意軟件總數增長了 79%，樣本數達到 1670 萬個。導致這一結果的較大貢獻者是 Android/SMSreg 的增長，通過檢測，它是一個來自印度的潛在有害程序。
Mac 操作系統惡意軟件：過去三個季度，針對 Mac 操作系統的惡意軟件增長迅猛，主要原因是大量充斥的廣告軟件。盡管與針對 Windows 的威脅相比，Mac 的威脅數量仍然比較少，但一季度針對 Mac 操作系統的惡意軟件樣本總數增長了 53%。
勒索軟件：一季度新型勒索軟件樣本數有所反彈，主要歸因于針對安卓操作系統設備的 Congur 勒索軟件攻擊。過去十二個月，勒索軟件樣本總數增長了 59%，已知樣本總數達到 960 萬個。
垃圾郵件僵尸網絡：今年四月份，Kelihos 僵尸網絡的幕后元兇在西班牙被捕。多年以來，數以百萬計攜帶金融詐騙惡意軟件和勒索軟件的垃圾郵件的背后都有 Kelilos。據美國司法部發布的信息，在打擊 Kelilos 的行動中，美國與影子服務器基金會 (Shadow Server Foundation) 等外國機構及行業廠商之間的合作貢獻頗多。