【内容分享】卡巴斯基年度报告系列(四)-2018年僵尸网络威胁景观

宣布时间 2019-04-27

一、统计数据



2018年卡巴斯基僵尸网络监测手艺共监测到15314次攻击,, ,,比2017年的20009次镌汰23.46% 。。。 。。。。。


别的,, ,,2018年39.35%的攻击都是新泛起的,, ,,即攻击目的和僵尸木马家族都未在2017年泛起过 。。。 。。。。。这种情形与新泛起的银行木马(Danabot和BackSwap)有关,, ,,也与攻击者试图改变攻击目的规模有关 。。。 。。。。。


在攻击的地理漫衍方面,, ,,2017年攻击者的目的笼罩了111个国家;;;而在2018年则镌汰至101个国家 。。。 。。。。。



二、小序



正如媒体所普遍报道的,, ,,Mirai等僵尸网络主要与DDoS攻击有关 。。。 。。。。。但这只是冰山一角,, ,,除了DDoS攻击之外,, ,,僵尸网络还可用于窃取用户的信息,, ,,如财务数据等 。。。 。。。。。常见的攻击场景如下:


1. 安排恶意软件 。。。 。。。。。若是攻击者的目的是财务数据,, ,,则会安排银行木马 。。。 。。。。。这种情形下,, ,,受熏染的装备成为僵尸网络的一份子,, ,,接受C&C的控制 。。。 。。。。。
2. 恶意软件接受C&C的下令,, ,,其中包括目的匹配规则(例如在线银行效劳的URL)等攻击所需的数据 。。。 。。。。。

3. 接受下令后,, ,,恶意软件监测用户的行为并在用户会见目的效劳时提倡攻击 。。。 。。。。。


僵尸网络辅助攻击的主要类型是:
? Web注入
? URL诱骗
? DNS诱骗

? 数据网络(访客统计、会见过的网页数据、屏幕截图)


与主要针对Web资源的DDoS攻击差别,, ,,本报告调研的攻击主要针对企业的客户 。。。 。。。。。此类攻击可导致:
? 窃取用户凭证
? 窃取银行卡数据
? 替换生意地点(例如银行转账的收款人)

? 在用户不知情的情形下以用户的名义执行其它操作


这些场景不但适用于窃取用户的银行账户,, ,,也适用于窃取其它效劳的账户,, ,,下文中将有更多形貌 。。。 。。。。。



三、研究要领



卡巴斯基通过僵尸网络监测手艺跟踪僵尸网络的行为,, ,,这种手艺可以模拟受熏染的装备并监测攻击者的实时行为 。。。 。。。。。


通过阻挡和剖析僵尸网络的设置文件和C&C下令,, ,,本报告涵盖了2017年和2018年僵尸网络监测手艺网络到的数据 。。。 。。。。。


报告中的攻击目的是从僵尸网络设置文件或C&C下令中提取的URL规则(例如,, ,,用于匹配指定在线银行效劳URL的规则) 。。。 。。。。。


报告中的“恶意软件家族”指代已知的恶意软件家族名称,, ,,例如ZeuS、TrickBot(Trickster)、Cridex(Dridex、Feodo、Geodo等)、Ramnit(Nimnul) 。。。 。。。。。

 

凯发·k8(中国游)官方网站


C&C下令中包括的目的匹配规则示例


报告中一次单独的攻击是指目的匹配规则和恶意软件家族(及变体)都是唯一的 。。。 。。。。。其它数据(注入剧本、加密钱币钱包地点替换规则、URL替换规则、重定向规则、凭证阻挡模式等)并未盘算在内 。。。 。。。。。


剖析样本中扫除了与反恶意软件厂商的资源有关的攻击,, ,,由于此类攻击通常接纳了一定的反清静步伐(例如阻止下载清静解决计划) 。。。 。。。。。别的还扫除了无法从目的匹配规则中确认攻击目的的攻击,, ,,例如,, ,,BetaBot的目的是“* bank *” 。。。 。。。。。


报告中仅思量了差别攻击的数目,, ,,并未思量差别僵尸网络家族的攻击总数,, ,,由于差别家族接受C&C下令的频率差别 。。。 。。。。。


本报告涵盖了凌驾6万个C&C及150个恶意软件家族(及其变体)的剖析效果 。。。 。。。。。



四、攻击目的



首先剖析犯法分子偏幸的攻击目的是哪些企业的客户 。。。 。。。。。


2017年,, ,,受攻击目的中占比最大的是金融效劳种别(77.44%),, ,,这包括在线银行效劳、聚合银行效劳、在线市肆以及其它与金融生意(不包括加密钱币)相关的资源 。。。 。。。。。这一效果在意料之中,, ,,由于犯法分子可直接获得受害者财务资金的会见权,, ,,从而潜在收益最大 。。。 。。。。。


第二名是全球门户网站和社交网络种别(6.15%),, ,,其中包括搜索引擎、电子邮件效劳和社交网络 。。。 。。。。。搜索引擎在这一种别中的缘故原由是通常其主页提供了邮箱登录表单,, ,,这常被犯法分子使用以窃取用户凭证 。。。 。。。。。


第三名是除了在线市肆之外的提供州产品和效劳的资源(5.08%),, ,,如托管效劳商,, ,,攻击者也会窃取用户的支付信息 。。。 。。。。。这类资源被划分为一个单独类别的缘故原由是它们通常提供特定的产品或效劳,, ,,这可以看出犯法分子的兴趣所在 。。。 。。。。。

 

凯发·k8(中国游)官方网站


2017年攻击目的的种别漫衍

 

凯发·k8(中国游)官方网站


2018年攻击目的的种别漫衍


2018年前三名稍有改变 。。。 。。。。。金融效劳的攻击份额下降了3.51个百分点,, ,,至73.93% 。。。 。。。。。


僵尸网络的目的匹配规则险些总是包括一个域名或域名的一部分 。。。 。。。。。通太过析与金融机构相关的域名,, ,,我们体例了一份2018年僵尸网络攻击目的的地图 。。。 。。。。。该地图显示了成为攻击目的的金融机构域名的数目 。。。 。。。。。应该指出的是,, ,,一个机构可能拥有多个域名,, ,,例如差别国家的域名 。。。 。。。。。

 

凯发·k8(中国游)官方网站


2018年受攻击金融机构的域名漫衍地图


2018年僵尸网络攻击者对加密钱币的兴趣有所增添:与加密钱币效劳(生意所、钱包等)有关的攻击数目增添了两倍多(增添了4.95个百分点),, ,,达7.25% 。。。 。。。。。


犯法分子起劲地将这种兴趣转化为牟利的念头 。。。 。。。。。大大都与加密钱币效劳有关的攻击是Ramnit Banker(53%)提倡的 。。。 。。。。。别的,, ,,Chthonic 和Panda (都是污名昭著的银行木马ZeuS 的变种)针对加密钱币钱包和生意所的攻击也急剧增添 。。。 。。。。。CapCoiner 木马也是专门针对此类资源的一个主要攻击者 。。。 。。。。。

 

凯发·k8(中国游)官方网站


2018年针对加密钱币效劳的僵尸木马家族



五、攻击目的的地理漫衍



请注重:若是目的匹配规则包括一个国家的TLD(顶级域名),, ,,则该国家被列入统计数据 。。。 。。。。。若是该TLD无法匹配一个国家(例如.com),, ,,则该目的企业总部所在的国家被列入统计数据 。。。 。。。。。


2018年攻击目的国家排名的Top10改变了顺序,, ,,该没有改酿成员 。。。 。。。。。与2017年一样,, ,,美国企业的客户成为最常受到攻击的目的 。。。 。。。。。


2017

2018

1

美国

31.29%

美国

34.84%

2

德国

11.15%

英国

9.97%

3

英国

9.20%

意大利

7.46%

4

意大利

7.52%

加拿大

6.16%

5

加拿大

6.96%

德国

3.88%

6

澳大利亚

4.67%

西班牙

3.14%

7

法国

4.57%

瑞士

3.04%

8

西班牙

2.87%

法国

3.02%

9

中国

2.50%

澳大利亚

2.29%

10

瑞士

2.17%

中国

2.11%


2018年德国的排名大幅下降,, ,,这是由于2017年的主要孝顺者BetaBot (占所有攻击的75%)在2018年份额下降至仅凌驾1.5% 。。。 。。。。。只管2018年Danabot 主要针对德国的银行,, ,,但德国照旧无法保住第二名的位置 。。。 。。。。。

 

凯发·k8(中国游)官方网站


2017年攻击目的的地理漫衍


别的,, ,,2018年针对澳大利亚企业客户的攻击份额从4.67%下降至2.29% 。。。 。。。。。险些所有针对澳大利亚的僵尸网络都镌汰了攻击数字 。。。 。。。。。例如,, ,,2018年银行木马Gozi的所有攻击活动中,, ,,针对澳大利亚金融机构的攻击次数险些为0 。。。 。。。。。但在2017年,, ,,凌驾90%的Gozi攻击都是针对澳大利亚 。。。 。。。。。


凯发·k8(中国游)官方网站

 

2018年攻击目的的地理漫衍


但也有坏新闻,, ,,许多恶意软件扩大了它们的攻击规模:2018年Trickster(TrickBot)的目的列表新增了不少于11个国家,, ,,同时SpyEye 木马和银行木马IcedID 划分增添了凌驾9个和5个国家 。。。 。。。。。


不出所料地,, ,,针对加密钱币效劳用户的攻击最常爆发在美国、卢森堡和中国 。。。 。。。。。这是由于许多加密钱币效劳都在这些国家注册 。。。 。。。。。别的,, ,,2018年针对注册在英国、新加坡、爱沙尼亚、韩国和瑞士的效劳的攻击数目也大幅增添 。。。 。。。。。


凯发·k8(中国游)官方网站

 
2017年受攻击加密钱币效劳的地理漫衍

 

凯发·k8(中国游)官方网站


2018年受攻击加密钱币效劳的地理漫衍


六、C&C地理漫衍



本小节统计了僵尸网络C&C效劳器的地理漫衍相关数据 。。。 。。。。。


2017年C&C漫衍份额最多的地区是乌克兰(24.25%),, ,,其中银行木马Gozi的C&C占了约60% 。。。 。。。。。

 

凯发·k8(中国游)官方网站


2017年C&C的地理漫衍


2018年俄罗斯(29.61%)在C&C数目的排名中位列第一,, ,,其中凌驾一半(54%)的C&C中心属于银行木马Panda 。。。 。。。。。


凯发·k8(中国游)官方网站

 

2018年C&C的地理漫衍



七、最活跃家族



7.1 BetaBot


银行木马BetaBot占2018年所有攻击的13.25% 。。。 。。。。。

 

凯发·k8(中国游)官方网站


2018年BetaBot攻击目的的地理漫衍


主要特征(BetaBot的攻击份额):
? 地理漫衍:42个国家
? 受攻击最多的国家:美国(73.60%)、中国(6.35%)、英国(6.11%)

? 受攻击最多的组织种别:金融效劳(37.43%)、全球门户网站和社交网络(18.16%)


7.2 Trickster (TrickBot)


银行木马TrickBot占2018年所有攻击的12.85% 。。。 。。。。。

 

凯发·k8(中国游)官方网站


2018年TrickBot攻击目的的地理漫衍

主要特征(TrickBot的攻击份额):
? 地理漫衍:65个国家
? 受攻击最多的国家:英国(11.02%)、美国(9.34%)、德国(7.99%)
? 受攻击最多的组织种别:金融效劳(96.97%)、加密钱币效劳(1.72%)

7.3 Panda


银行木马Panda占2018年所有攻击的9.84% 。。。 。。。。。

 

凯发·k8(中国游)官方网站


2018年Panda攻击目的的地理漫衍

主要特征(Panda的攻击份额):
? 地理漫衍:33个国家
? 受攻击最多的国家:加拿大(24.89%)、美国(22.93%)、意大利(17.90%)
? 受攻击最多的组织种别:金融效劳(80.88%)、加密钱币效劳(10.26%)

7.4 SpyEye


SpyEye占2018年所有攻击的8.05% 。。。 。。。。。

凯发·k8(中国游)官方网站
 
2018年SpyEye攻击目的的地理漫衍

主要特征(SpyEye的攻击份额):
? 地理漫衍:32个国家
? 受攻击最多的国家:美国(35.01%)、英国(14.38%)、德国(13.57%)

? 受攻击最多的组织种别:金融效劳(98.04%)


7.5 Ramnit


Ramnit占2018年所有攻击的7.97%,, ,,其攻击目的令人惊讶地笼罩了66个国家 。。。 。。。。。

 

凯发·k8(中国游)官方网站


2018年Ramnit攻击目的的地理漫衍

主要特征(Ramnit的攻击份额):
? 地理漫衍:66个国家
? 受攻击最多的国家:英国(25.70%)、美国(20.12%)、中国(7.78%)

? 受攻击最多的组织种别:金融效劳(47.76%)、加密钱币效劳(46.83%)



八、结论



我们对2018年僵尸网络C&C下令的统计剖析得出以下结论:
? 总体攻击数目上的镌汰可能批注犯法分子更倾向于使用笼罩单个组织大宗资源的目的匹配规则,, ,,并且长时间坚持一致 。。。 。。。。。
? 绝大大都攻击仍然瞄准金融机构及其客户 。。。 。。。。。
? 与2017年相比,, ,,针对加密钱币效劳用户的攻击数目显著增添 。。。 。。。。。由于越来越多的僵尸网络正在针对此类资源举行注入攻击,, ,,此类攻击的数目预计还会增添 。。。 。。。。。
? 新的目的匹配规则正在增添 。。。 。。。。。犯法分子正在针对新的、以前未遭攻击的目的,, ,,并且修改旧的匹配规则以笼罩更多网站,, ,,从而窃取用户的数据及资金 。。。 。。。。。

原文链接:https://securelist.com/bots-and-botnets-in-2018/90091/