首页 > 安全研究 > 安全通报 > 安全简讯

《维他命》每日安全简讯20180911

发布时间 2018-09-11
包含恶意软件链接的垃圾邮件、用于下载恶意软件的机器人…这些只是僵尸网络的应用场景之一。除了僵尸网络的运营者或客户的想象力,没有什么能限制有效荷载的选择。它可以是勒索软件、银行木马、恶意矿工、后门,等等。例子也很好找,比如说Gandcrab和Trik,或者是Locky和Necurs。每一天我们都拦截到来自不同类型和家族的僵尸网络的不计其数的文件下载命令。在这里我们展示了2017 H2和2018 H1的僵尸网络活动的分析结果。


研究方法


我们的统计数据中不包含僵尸网络下载的更新文件,因为这些更新文件的数量因恶意软件的不同而不同,并且影响了最终的统计结果。我们还排除了下载的配置文件,因为它们与文章主题的关系不大。此外,我们只计算了唯一文件的数量(通过MD5)。统计结果是基于对150个僵尸网络家族及其变体的超过60000个不同的C&C服务器的命令进行分析得来。

卡巴斯基实验室通过Botnet Tracking技术跟踪僵尸网络的活动。该技术是指模拟受感染的机器(bots)以检索僵尸网络的相关运营数据。


2018 H1我们的bots下载的唯一恶意文件的总数与2017 H2相比下降了14.5%。



2017 H2 – 2018 H1,唯一恶意文件的数量


最受欢迎的


对bots下载的文件进行分析,我们发现了最受欢迎的、传播最广泛的家族。请注意该列表的前几项其实变化不大。njRAT后门在2017年和2018年都占据了重要位置。它在bots下载的所有文件中的比例从3.7%增长到了5.2%,这意味着每20个文件中就至少有一个njRAT后门文件。这种广泛的传播是由于该恶意软件繁多的版本以及较低的门槛(很容易设置自己的后门)。



2017 H2 – 2018 H1,下载量最多的威胁


相当多的情况下,僵尸网络被用于分发恶意挖矿软件。2018 H1恶意矿工的占比为4.6%,远比2017 H2的2.9%要高。
然而,犯罪分子对货币的兴趣也没有下降,证据就是Top 10列表中的Neutrino.POS和Jimmy。2017 H2,Neutrino.POS的占比为4.6%。2018年它的比例有所下降,但它的“表亲”Jimmy为银行木马贡献了1.1%的份额。


2017 H2,Top 10威胁的分布


在2018 H1,Khalesi木马在排行榜上位列第三,占所有下载的文件的4.9%。2017年Remcos、BetaBot、Smoke和Panda bots都曾下载该木马,但到了2018年只有垃圾邮件僵尸网络Lethic下载了该木马。


另一个值得注意的是,2018 H1的Top 10中出现了Mail PassView,它是一个适用于多种邮件客户端的合法的密码恢复工具。PassView通过Remcos 后门进行分发,它很有可能被用于获取受害者的邮箱密码。


Cutwail、Lethic以及新版Emotet bots也都扎根在Top 10中。


与2017 H2相比,今年僵尸网络下载的勒索软件的数量有所上升。尽管勒索软件的整体趋势是下降的,但僵尸网络运营者仍然在继续分发它们。根据我们的数据,2017年大多数勒索软件都是Smoke bot下载的,但在2018年,Nitol夺走了第一名。勒索软件GandCrab是2018 Top 10排行榜的新居民。GandCrab出现于2018年,随后立刻被多个僵尸网络分发,其中最为活跃的是僵尸网络Trik。



2018 H1,Top 10威胁的分布


在攻击行为方面,2017 H2和2018 H1的领头羊都是木马。这些木马具有各种不同的能力,以至于很难说出它们的“专长”是什么。其中重要的组成部分是用于窃取信息的银行木马和后门木马。此外,由于僵尸网络Lethic的活跃,去年最常见的恶意软件包含了大量的垃圾邮件机器人。


2017 H2 – 2018H1,僵尸网络下载文件的行为分布


最“多面”的


在我们观察到的僵尸网络家族中,我们发现了最“多面”的家族 – 即下载的不同文件数量最多的家族。这种多样性可能受以下几个因素的影响:
·        同一家族的不同僵尸网络由具有不同目标的不同运营者进行管理。
·        运营者“出租”其僵尸网络,允许它们被用于分发恶意软件。
·        僵尸网络改变了它的“专长”(例如,Emotet从银行木马变成了垃圾邮件机器人)。
2018年和2017年一样,最“多面”的bots是Hworm、Smoke和BetaBot(又名Neurevt)。



2017 H2 – 2018H1,Hworm下载文件的行为分布



2017 H2 – 2018H1,Smoke下载文件的行为分布



2017 H2 – 2018H1,Betabot下载文件的行为分布


正如上文所提到的,隐匿的恶意挖矿软件非常流行,统计数据也证实了这一点。尽管下载的恶意软件种类非常多,但恶意矿工总是能排在前三。


后门也占据了一个重要的位置,因为它们可以为犯罪分子提供广泛的选择(从截屏到键盘记录再到直接控制目标设备)。


最“国际化的”


在控制服务器的地理分布方面,Njrat后门不出意外地赢得了“最国际化”大奖,它的C&C分布于99个国家之中。它的地理分布情况归因于配置个人后门的简单程度,使得任何人都可以以最少的恶意软件开发知识来创建自己的僵尸网络。


2017 H2 – 2018H1,Njrat的C&C服务器的分布


紧随其后的是DarkComet后门和NanoCore RAT。它们分别获得了银牌和铜牌,其C&C约分布于80个国家之中。尽管NanoCore的创建者被捕,但他出售了他私人开发的RAT的源码,现在其他网络犯罪分子正在使用它。



2017 H2 – 2018H1,DarkComet的C&C服务器的分布

 



2017 H2 – 2018H1,NanoCore RAT的C&C服务器的分布


对感染目标的地理分布进行审视,另一个后门QRAT进入了我们的视线。该后门覆盖了最大的范围。2017 H2,我们在190个国家检测到该后门的感染企图。而到了今年,QRAT再次增加了两个国家,使得总数变成了192。


2017 H2 – 2018H1,QRAT的地理分布


这种广阔的范围归因于SaaS(软件即服务),或者说是MaaS(恶意软件即服务),可以以30天、90天或一年的不同模式来购买QRAT分发服务。它的跨平台的天性(Java语言编写)也起到了一定的作用。


结论


通过拦截僵尸网络的命令,我们可以跟踪病毒编写者的最新趋势,并为我们的用户提供最大的保护。


以下是我们从分析bots下载的文件中发现的主要趋势:
    ·  僵尸网络分发的文件中恶意矿工的比例正在增长。这是因为犯罪分子开始将僵尸网络视作恶意挖矿的工具。
    ·  后门继续成为僵尸网络下载文件的大部分。这是因为僵尸网络的运营者热衷于在感染设备上获取最大控制权限。
    ·   droppers的下载数量也在上升,表明攻击是多阶段的,并且越来越复杂。
    ·  2018年的僵尸网络下载文件中银行木马的比例有所下降,但现在谈论其数字的整体下降还为时过早,因为它们常通过droppers进行交付(参考上一条)。
    ·  僵尸网络越来越多地根据客户的需求进行租赁,在很多情况下确定僵尸网络的“专长”已变得十分困难。


声明:本资讯由启明星辰维他命安全小组翻译和整理

上一篇 下一篇