报告
McAfee Labs 威胁报告 2016 年 6 月 McAfee Labs 在 5000 多个移动应用 程序安装包中发现了 应用合谋现象。
关于 McAfee Labs 简介
McAfee Labs 是威胁研究、威胁情报和网络安全先进理念 在 McAfee Labs,我们的任务仍然很繁重。 的全球领先来源之一。McAfee Labs 跨主要威胁媒介(文 在 Intel Security 3 月 1 日的 RSA 主题演讲中,Chris Young 件、Web、邮件和网络)利用数百万个传感器获取数据, 讨论了重要的网络安全挑战:市面极度缺乏真正有效的模型 提供实时威胁情报、评论分析和专家意见,以增强保护并 和共享威胁情报的联盟。如今已经有多个团体参与威胁情报 降低风险。 的交流,例如全球客户紧急响应团队、信息共享和分析中心 迈克菲现在是 Intel Security 的一部分。 (ISAC)、数字威胁交流以及私人论坛。Intel Security 是这些 团体中的活跃成员,其中包括网络威胁联盟 (CTA),该团体是 www.mcafee.com/cn/mcafee-labs.aspx Intel Security 和其他三个领先安全技术供应商共同创立的。 但此类组织仍然很少,而且采用的共享方式也不一样。 关注 McAfee Labs 我们很荣幸地宣布 McAfee Labs 会协助领导信息共享和分析 组织 (ISAO) 标准机构。这是最近成立的一家组织,由美国国 土安全部资助建立,它受特许确定了一套自愿性标准或指导 方针,用于 ISAO 的创建和应用,并在政府机构之间分享威胁 情报。这项工作预计在 2016 年可以基本完成,从而形成更 加统一的共享联盟。
McAfee Labs 威胁报告:2016 年 6 月 | 2 尽管现在威胁情报共享机制很有限,但 Intel Security 仍然参 其他新闻报道… 与了全球各种计算机紧急响应团队,并且通过公共和私人论 坛交流威胁数据。 勒索软件似乎每天都会见诸报端。我们首次提到它是在 《McAfee Labs 威胁报告:2012 年第二季度》中。从此之后, 在 4 月 27 日,Verizon 发布了 2016 Data Breach Investigations 我们在 McAfee Labs 威胁报告中多次讨论过勒索软件。我们 Report(2016 数据违规调查报告)。跟之前几年一样,该报告 最近发布了报告 Understanding Ransomware And Strategies 全面分析了 2015 年的数据违规模式。Intel Security(准确说 To Defeat It(了解勒索软件和击败它的策略),它是此类攻击 是我们的 Foundstone 事件响应单位)和其他贡献者一起, 的优秀初级读本,还发布了 How to Protect Against Ransomware 提供了在 Verizon 的分析中使用的匿名违规数据。Intel Security (如何防御勒索软件),为在 Intel Security 环境下阻止勒索 还同 Verizon 共同撰写了一部分报告,着重分析了入侵后 软件提供了各种产品指导。如果您关注勒索软件,它们都值 的欺诈行为。该报告研究了被入侵的实体的数据被窃后会 得一读。此外,一旦收到有关勒索软件的最新信息,就会发 发生什么情况。对该报告的大致发现所进行讨论有一个录 布在此处。 制的网络广播,还有我们就违规后欺诈的联合研究均可在 此处下载。 我们的 McAfee Labs 2016 年威胁预测报告于十一月下旬发 布,提供了一些预测。在第一季度中至少有两种发生的主要 现在我们即将推出《McAfee Labs 威胁报告:2016 年 6 月》。 攻击和我们的预测密切吻合。 在这份季度威胁报告中,我们重点讨论了三个关键主题: “我们预计 [勒索软件攻击] 会持续到 2016 年,也预见
■■ 探索了新兴的新攻击方式 - 移动应用程序合谋。如 到了不同行业领域的全新关注点,这些行业领域很快就 果单独看每个应用程序,并不会发现什么问题,但 支付了赎金,以恢复他们的关键运营。” 是当它们在同一台移动设备上运行并共享信息时, 在第 1 季度,三家医院遭到攻击者使用 Locky 系列勒索软件 可能就会产生恶意行为。 索取赎金。在一个案例中,医院支付了 17000 美元的赎金。 ■■ 我们检查了主流哈希函数,并阐述了它们为什么更 我们对于这一重要主题的最新观点可参见白皮书《了解勒索 易于在处理器性能提升时遭受网络攻击。 软件和击败它的策略》。
■■ 我们对 Pinkslipbot 进行了深入研究,这是一个恶 意软件系列,从 2007 起,它一直在得到有系统 “在 2016 年和以后,不断增长的关键基础设施漏洞数 的增强。它最新的变体在去年出现;我们从 12 月 量将成为严重的问题。针对这些目标的成功攻击将导致 至今年第 1 季度末,检测到了 4200 多个不同的 巨大的负面社会影响。” Pinkslipbot 二进制文件。 在 2015 年 12 月下旬,乌克兰电力公司遭到攻击,导致 22.5 万 我们会利用一组常规季度威胁统计数据来阐述这三个关键 人遭遇停电。 主题。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 3 每个季度,我们都会通过遥测发现流入 McAfee Global Threat 最后,我们很自豪地宣布,两个 Intel Security 团队得到了 Intelligence 的新威胁。McAfee GTI 云信息显示板可以让我们 Intel 最高荣誉的认可 - 英特尔成就奖。我们有几位获得这一 查看和分析各种实时攻击模式,以便更好地保护客户。这方 声誉卓绝的奖励的 McAfee Labs 员工是 Intel Security 团队 面的信息能够反映我们的客户所面临的攻击数量。第一季 成员。 度,我们的客户所看到的攻击数量如下所示: 我们通过自己的威胁报告用户调查不断收到来自读者的宝贵
■■ McAfee GTI 平均每天收到 499 亿次查询。 反馈。如果您愿意分享有关该威胁报告的观点,请单击此处 填写一份只需五分钟时间就能完成的简单调查。 ■■ 每小时会有超过 430 万次尝试(通过电子邮件,浏 览器搜索等)诱惑我们的客户连接到高更高 URL。 —Vincent Weafer,McAfee Labs 副总裁 ■■ 每小时暴露在我们的客户网络中的被感染文件超过 580 万个。
■■ 每小时还会有 180 万个潜在有害程序尝试进行安装 或启动。
■■ 我们客户每小时会尝试执行 50 万个操作来连接危 险 IP 地址,或者是这些地址尝试连接到客户网络。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 4 目录
McAfee Labs 威胁报告 执行摘要 6 2016 年 6 月 关键主题 7 此报告的研究及编写人员: 合伙犯罪:移动应用合谋情况调查 8 Wilson Cheng Shaina Dailey 加密算法的现状 16 Douglas Frosst Pinkslipbot:死灰复燃 22 Paula Greve Tim Hux 威胁统计信息 41 Jeannette Jarvis Abhishek Karnik Sanchit Karve Charles McFarland Francisca Moreno Igor Muttik Mark Olea François Paget Ted Pan Eric Peterson Craig Schmugar Rick Simon Dan Sommer Bing Sun Guilherme Venere
分享本报告 执行摘要
合伙犯罪:移动应用合谋情况调查
移动操作系统支持在移动设备上运行的应用程序之间的多种通信方式。但遗憾地 合谋移动应用程序看上去是良性 是,这些便利的应用程序间的通信机制也给有害行为相互协作提供了可乘之机。对 的,但是当它们在相同移动设备上 于两个或多个移动应用程序,如果单独分析它们的行为,可能不会发现恶意。但 运行并分享信息时,可能会表现出 是,它们结合在一起就会通过彼此交换信息而变得有害。数年来,类似这样的多个 恶意。McAfee Labs 在与 21 款移 应用程序威胁被认为只是理论上有危害性,但是 最近发现有合谋代码 动应用相关的 5000 多个安装包中 McAfee Labs 发现了应用程序合谋现象。 嵌入多个流行应用程序。在这一关键主题中,我们提供了移动应用程序合谋的简明 定义,阐述了移动应用程序合谋攻击的表现形式,以及企业防范这些攻击的方法。
加密算法的现状
信任是互联网的基石,这种信念又基于相信互联网上自由交流的邮件和文件是受信 尽管 SHA-1 中的缺陷已经公开,但 任的。将邮件和文件转变为短位组的哈希函数是这一切的根基。但如果网络犯罪分 研究表明,仍有 McAfee Labs 2000 子破解了这些哈希函数会怎样?在这一关键主题中,我们阐述了主流哈希函数,并 多万个证书在使用 SHA-1。这些系 说明了它们为什么在处理器性能提升时更易于遭受网络攻击。我们还介绍了仍在使 统中有 4000 多个是负责关键功能 用过时且较弱的哈希函数签署的证书数量,其中包括用在工业和关键基础设施应用 的 SCADA 系统。 程序中的证书。最后,我们证明了,企业应该积极迁移至更加强健的哈希函数。
Pinkslipbot:死灰复燃
在沉寂三年之后,W32/Pinkslipbot(也称为 Qakbot、Akbot、QBot)重新现身。 Pinkslipbot 自 2007 起一直得到有 这一后门特洛伊木马程序具有蠕虫一样的威力,最初在 2007 年出现,并且迅速以 系统的增强。McAfee Labs 在其最 其破坏性和影响严重性而闻名。该恶意软件系列能够窃取银行凭据、电子邮件密码 新的更新中检测到 4200 多个不同 和签名证书。Pinkslipbot 感染在 2013 年有所减少,但是在 2015 年末又凶猛回 的 Pinkslipbot 二进制文件。 归。这种恶意软件现在改进了一些特性,包括防分析和多层加密能力,防止恶意软 件研究人员对其进行逆向工程。在这一关键主题中,我们记录了它的历史记录、演 变信息、最近更新和僵尸网络基础设施。我们还提供了有关其自我更新和数据渗出 机制的详细信息,以及 McAfee Labs 在实时监控 Pinkslipbot 感染和凭据窃取上的 工作。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 6 关键主题
合伙犯罪:移动应用合谋情况调查
加密算法的现状
Pinkslipbot:死灰复燃
分享反馈意见 关键主题
合伙犯罪:移动应用合谋情况调查
—Igor Muttik
合伙犯罪很早就已经出现了,现在蔓延到了您的移动设备上。移动操作系统加入了 许多技术将应用程序隔离在沙盒中,从而限制它们的功能,并以非常细致的级别明 确控制它们具有什么权限。但是,操作系统也具有完整记录的方式,用于应用程序 跨沙盒边界彼此通信。例如在 Android 中,这通常通过互联网完成,形式基本上为 进程间(或应用程序间)的消息。
为了避开应用程序市场上提供的移动安全工具和恶意软件及隐私过滤器的检测,攻 击者可能通过使用具有敏感权限的应用程序来和接入互联网的另一款应用程序通 信,尝试利用不同功能和权限的多个应用程序来实现自己的目的。这种应用程序合 谋技术更难以被检测到,因为每个应用程序对于大多数工具的表现是良性的,使得 攻击者能够在被发现之前有更长时间侵入更多设备。
作为 McAfee Labs 对于新兴威胁和潜在防御持续调查的一部分,我们的研究人员跟 数所英国大学合作,识别并开发检测移动应用程序中恶意活动的新方法。在 ACiD 项 目中,来自 Intel Security、伦敦城市大学、斯旺西大学和考文垂大学的研究人员已 经开发并在继续开发自动发现和检测合谋应用程序的工具。
在这一关键主题中,我们探讨了移动应用程序合谋的定义和方法,以及我们如何检 测移动设备上的新兴攻击途径并加以防范。
移动应用程序合谋是什么?
移动应用程序合谋:两款或者是多 为了有效检测合谋应用程序,我们首先需要掌握准确的定义:可用协作方式通过应 款应用相互协作,利用应用间通信 用程序间的通信一起执行有害活动的两个或多个应用程序。这需要至少一个应用程 一起执行有害活动。 序具有访问受限信息或服务的权限,还需要一个应用程序没有该权限,但是具有设 备外部访问权限,并且能够彼此通信。每个应用程序都可以有目的地或无意地由于 意外数据泄漏而合作,或者包含恶意库或软件开发套件 (SDK)。例如,这些应用程 序可使用共享的空间(所有应用程序均可读取)来交流有关授予的权限的信息,并 确定哪个信息最适合用作数据渗出的突破点或者远程命令的输入点。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 8 关键主题
应用 通信 应用
敏感权限或特权 邮件或共享存储 设备外部访问(互联网)
合谋应用程序的基础知识。
为了缩小我们寻找的特性范围,我们定义了三种具体的威胁类型:
■■ 信息窃取:具有敏感或机密信息访问权限的应用程序同一个或多个其他应 用程序合作(有意或无意),越过设备的边界发送信息。
■■ 财务窃取:应用程序向另一个可进行财务交易或财务 API 调用的应用程序 发送信息。
■■ 服务滥用:应用程序可控制系统服务并接收来自一个或多个其他应用程序 的信息或命令。
例如,文档提取器套件依靠应用程序 A 来查找敏感性文档,这些敏感性文档传递至 应用程序 B 以发送给远程服务器。或者是位置窃取套件读取应用程序 C 的位置信 息,并使用应用程序 D 将其发送至攻击者的控制服务器。这些情况必须与合法应用 程序间的信息共享与合作区分开来,例如从应用程序 C 读取位置信息以在地图或天 气应用程序中用于提供本地数据。
移动应用程序合谋方法
攻击者可使用多种方法来开发和部署合谋移动应用程序。首先是直接在两个或多个 应用程序之间分离恶意和窃取隐私的功能,例如一个应用程序帮助管理您的联系 人,而另一个提供简单的天气更新。攻击者的难点在于部署。只有两个恶意应用程 序安装在同一台移动设备上,这种方法才会成功。恶意发布者通过以同一应用程序 市场和交叉广告为目标,可最大化同时安装合谋应用程序的几率。此类广告可以是 典型的在线广告,或者应用程序内嵌广告。我们可通过调查来自同一来源的应用程 序、明确鼓励共同安装的应用程序或经常一起安装的应用程序来缩小搜索范围。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 9 关键主题
移动设备
访问本地存储 操作系统支持 的私人数据 A 的应用间通信 B
通信移动设备外部
合谋应用程序使用操作系统支持的应用程序间通信执行的典型信息传输。
第二个确定的方法是在应用程序开发人员中构建和散布可加入许多应用程序的库, 属于两个或多个移动应用程序的广 不过这些应用程序之间需要具备通信能力。例如,市场压力使得应用程序价格较低 告库可在不了解应用程序提供商的 (或免费),迫使许多应用程序开发人员在自己的代码中加入广告库。不法第三方 情况下合谋。 可在库中嵌入应用程序间通信功能,并让两个或多个应用程序合谋而无需知道原始 开发者,而开发人员并不知道自己创建的应用程序包含这种合谋内容。我们可以将 重点调查对象放在使用相同可疑第三方库或 SDK 的应用程序上。
移动设备
访问本地存储 的私人数据 A B
共享代码库 共享代码库
通信移动设备外部
共享的代码库可实现应用程序间合谋。
第三种方式是利用第三方应用程序或库中的安全漏洞。如果有已知的应用程序会泄 露数据或违反权限控制,那么另一款应用程序就可以在安全工具修复或拦截之前利 用这一点。通过调查一般配对的应用程序组和已知泄露或漏洞,我们可以缩小搜索 范围。
所有这些方法都有特征可让我们构建有效的工具,发现潜在的合谋应用程序。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 10 关键主题
检测移动应用程序合谋
Intel Security 和大学威胁研究人员合作,已经开发并将继续开发工具来检测移动 应用程序合谋。虽然移动应用程序的总数量非常多,并且配对组、三元组等的排列 和组合数目更是天文数字,但我们仍然需要一种方法快速筛选出没有合谋的应用程 序。第一步是分析应用程序的功能和权限;如果应用程序没有对敏感数据的访问权 限,或者它们具有相当的权限,则没有合谋的需要。
如果我们查找数据泄露合谋应用程序组,则首先要根据应用程序声明的权限,隔离有 敏感或机密信息、财务进程或系统服务访问权限的应用程序组(敏感应用程序), 然后查找可在设备外部通信的应用程序组(外部应用程序)。没有敏感数据或服务 访问权限以及无法访问互联网的应用程序不需要进一步接受合谋调查。
敏感应用 访问敏感信息或机密信息、 财务流程或系统服务 公共通信通道 外部应用 可在设备外部通信的应用
合谋应用程序的搜索从可以彼此通信的应用程序开始。
接下来,我们需要确定在这两个组之间有哪些通信渠道可用。可能性包括 Intents (Android) 或 App Extensions (iOS);External Storage (Android);SharedPreferences (Android) 或 UserDefaults (iOS)。这些都是有明确文档记录并且操作系统支持的通 信方式。除了这些显式方法,应用程序可使用隐蔽通道,其中一些可能相当难以发 现。例如,操纵智能手机的音量可让一个应用程序对它进行设置,而让另一个程序 来读取它,这是个缓慢但是在一定程度上可靠的应用程序之间位流(因此也可以是 任何消息)的传输方式。
应用程序市场上各种应用程序组可能产生的配对数量非常庞大,对全自动合谋检测 系统带来了巨大的挑战。如果我们加入三个或更多应用程序的排列,这个挑战将变 得几乎无法战胜,因为组合数目会变得极大。因此我们需要使用额外的技术来减小 配对组的数量,寻找潜在的合谋程序,去除不可能有恶意的应用程序,专注分析那 些可能性较高的应用程序。
例如,我们可以比较使用相同可疑库组的所有应用程序,对应用程序执行静态代码分 析,从而查找共用的通信 API,并考虑诸如发布日期、应用程序市场和安装方式等。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 11 关键主题
要跟踪通信,必须卸载每个应用程序并检查代码。利用掌握的这些信息,我们可以 将应用程序映射至潜在的通信操作,并确定来自我们两个组(敏感应用程序和外部 应用程序)的哪些配对可能在合谋。具体而言,如果敏感应用程序和外部应用程序 以必要的方向共享通信通道,则可能发生合谋。如果在每个组中加入启动程序和终 止程序,该技术也应当能发现三个或更多应用程序的合谋。例如,合谋组必须包含 有敏感信息访问权限并且可在通道 A 上发送信息的应用程序,还要包含具有互联网 访问权限并且可在通道 A 上接收信息的应用程序。或者是具有系统服务访问权限并 且可在通道 B 上接收信息的应用程序,以及具有互联网访问权限并且可在通道 B 上 发送信息的应用程序。合谋对之间的双向通信并非必要特性。
最近的研究《Towards Automated Android App Collusion Detection(自动检测 大多数应用程序可显式或隐式通 Android 合谋应用)》显示,市场上所有应用程序中几乎有 85% 可以使用显式 信,让分析更加困难。 (11.3%) 或隐式 (73.1%) 方法与其他应用程序通信,因此仅利用通信功能,将会产 生大量可能的合谋组。这意味着这种单一方法会产生太多的可疑对象。因此我们必 须更加深入地分析应用程序来消除不正确的怀疑。
移动应用间的通信
15.6%
隐式通信 11.3% 显式通信
无通信 73.1%
资料来源:McAfee Labs,2016 年。
加入威胁可能性计算可大幅减少这种数量。利用我们的合谋过滤工具对一组共 240 个 合谋和非合谋应用程序进行检测,结果显示误报率是 3%(七个应用程序被误判为 合谋),而漏报率是 2.5%(六个应用程序被误判为非合谋)。这样的错误率已经有 了不小的改善,但是对实际利用来说仍然显得太高。于是我们利用全代码分析来证明 是否有数据流从一个应用程序传到另一个应用程序。这一最终步骤的成本较高,因为 符号分析需要大量时间,但是会产生决定性并且在数学上经过证明的冲突结论。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 12 关键主题
现实世界的移动应用程序合谋现象
在配备我们开始研究后所构建的工具之后,我们发现移动应用程序合谋不仅是理论上 McAfee Labs 在与 21 款移动应用 存在。我们发现在一组使用特定 Android SDK 的应用程序中,有在网络上运行的应用 相关的 5000 多个安装包中发现了 程序合谋实例没有被检测到。该 SDK 自 2015 年末起已知存在风险并且可能有害,并 应用程序合谋现象。 且加入了与 21 款应用程序相关的 5000 多个安装包,具有大范围权限。如果将这些 Android 应用程序安装到同一台设备上,它们相互协作就可以绕过 Android 操作系统 的限制,并通过具有最高权限的应用程序响应来自远程控制服务器的命令。
在下图中,三个移动应用程序协商确定哪个具有最高权限。
应用沙盒 应用沙盒 应用沙盒
合谋应用 1 合谋应用 2 合谋应用 3
恶意 SDK 恶意 SDK 恶意 SDK
1 保存优先级值 1 保存优先级值 1 保存优先级值
优先级=100L 优先级=10L 优先级=0L
共享空间
移动应用程序使用共享的存储空间来协商权限。优先级值反映每个应用程序累计的权限。
在协商完成之后,仅具有最高权限的应用程序响应来自远程控制服务器的命令。基 于参与协商的所有应用程序,这可实现最大程度的权限提升,以及最强大的“僵尸 程序”功能。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 13 关键主题
应用沙盒 应用沙盒 应用沙盒
合谋应用 1 合谋应用 2 合谋应用 3
恶意 SDK 恶意 SDK 恶意 SDK
2 启动恶意服务
具有最高权限的应用程序实施操作,而其他应用程序则等待第一时间收集数据。它们随后将信 息发送至控制服务器。
该组应用程序可以突破操作系统的限制来执行操作,造成隐私和安全违规。但遗憾的 是,之前未发现这些应用程序的协作功能,因为应用程序通常接受的是单独分析。
经由选择具有更多权限的应用程序的此类权限提升是外部恶意应用程序合谋的首个 已知案例。它体现了使用第三方代码(例如广告库和外部 SDK)的重大风险,尤其 是在它们属于闭源并且并非完全受信任的情况下。此问题并非特定于 Android,并 且成为所有移动设备以及采用软件沙盒的虚拟和云环境的严重安全问题。
防范合谋移动应用程序
安全产品供应商通过扫描各个有害的移动应用程序并拦截它们,提供保护平板电脑 和智能手机的产品。移动安全软件不只是拦截具有恶意代码的应用程序,还可以扫 描恶意行为,例如可疑的权限请求,并且允许用户完全阻止这些应用程序。许多安 全产品可在下载恶意应用程序之前保护设备。它们可确定其他的攻击途径,例如恶 意的网站或电子邮件,并提前阻止它们。
利用这些技术也可以阻止合谋移动应用程序,但是难题在于要有技术来识别它们的 合谋行为。最近,Intel Security 和来自多所英国大学的研究人员一起开发了可检测 合谋移动应用程序的工具。McAfee Labs 研究人员现在手动利用这些工具并计划将 要了解 Intel Security 产品如何帮 它们部署到自己的自动化移动应用程序分析场中。这样,我们将缩短检测合谋移动 助防范合谋移动应用程序,请单击 应用程序的时间。McAfee Labs 和我们的大学合作伙伴已经做出了承诺,公开分享 此处。 我们的 ACiD 项目研究成果,以确保对所有用户进行保护。我们将会兑现承诺。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 14 关键主题
对于期望避开合谋移动应用程序的各个企业,我们建议只使用来自受信任市场和受 信任软件发布商的应用程序。禁止安装来自“未知来源”的移动应用程序的功能也 有助于确保仅安装来自受信任来源的应用程序。此外,要避免使用包含嵌入式广告 的软件,因为过多的广告表明存在多个广告库,从而增加了合谋的可能性。了解移 动应用程序的评级和评论也是验证其他应用程序用户是否遇到过安全问题的好办 法。最后,不要对设备进行“破解”或“越狱”,因为这样会让应用程序获得系统 级访问权限且可能执行恶意活动。
应用程序开发人员可通过避免使用未知的第三方和广告库(尤其是闭源库),从而 改善自己的软件并保护声誉。避免在应用程序中使用多个广告库也是不错的办法。 最后一种措施也会减少移动数据使用,因为每个库会使用额外的数据。
嵌入式防冲突过滤器显然会为市场供应商带来好处,阻止此类应用程序的发布。就 应用程序间通信制定明智的策略并明确禁止开发人员通过合谋违反操作系统限制也 是不错的办法。
合谋属于有效软件隔离的常见问题。此问题在实施软件沙盒的所有环境中都存在 - 从 其他移动操作系统到服务器场中的虚拟机。我们可以看到如何使用沙盒之间的隐蔽 通信来违反安全规定并造成数据泄露。实施更多更好的隔离是值得肯定的,并且我 们应当假设攻击者会更加频繁地采用合谋方法来规避这一安全趋势。因此,我们将 继续为移动设备研究和开发合谋检测方法,并将我们的调查扩展至更广的操作系统 范围。
要了解 Intel Security 产品如何帮助防范合谋移动应用程序,请单击此处。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 15 关键主题
加密算法的现状
—Charles McFarland、Tim Hux 和 Francisca Moreno
信任是互联网的基石,这种信念又基于相信互联网上自由交流的邮件和文件是受信 任的,即它们是由已知的发送者创建的。
身份验证通常通过数字签名来实施,这也可确保完整性(发送者和接收者之间的邮 件或文件未经改动)和不可抵赖性(发送者不能否认自己发送了邮件或文件)。
为了让它们有效并且广泛兼容,数字签名方案通常会验证邮件或文件的“哈希” (也称为摘要),而非邮件或文件本身。加密哈希函数将邮件或文件作为输入,并 产出相对较短的位组输出,这些输出大多数是唯一的和单向的,意味着不可反向。
签名 验证
01101000 哈希函数 11011101
数据 哈希 数字签名数据
使用签名人 的私钥加密 哈希
01101000 01101000 1101110 1101110 数据 特征码 证书 特征码 使用签名人 哈希函数 的公钥解密 附加至数据
01101000 01101000 11011101 = 11011101 哈希 哈希 如果哈希值相等, 数字签名数据 则特征码有效。
数字签名的签署和验证。
资料来源:Acdx,https://en.wikipedia.org/wiki/Electronic_signature。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 16 关键主题
但是如果有多个邮件或文件产生相同的哈希(就是合谋)又会怎样。更重要的是, 如果网络犯罪分子可创建与非恶意邮件或文件具有相同哈希的恶意邮件或文件将会 怎样?如果可能出现这种情况,恶意方可实施各种类型的伤害,通过用恶意软件入 侵的文件替代洁净文件来发起中间人攻击。
因此,很重要的一点是,哈希几乎不可(成本高昂又费时)使用其他邮件或文件来 复制。在这一关键主题中,我们阐述了各种加密哈希函数,并介绍了它们为什么在 处理器性能提升时更易于遭受网络攻击。新技术(例如量子计算)也可在发掘加密 技术可行性时发挥作用。
加密哈希函数
许多技术都有保持强健安全性的良好实施方法,也存在安全性较弱的实施方法。行 业研究者必然根据当前对技术的理解或当前可用于攻击的资源,发现了安全性较弱 的方案。哈希算法没有什么不同,并且会定期接受安全级别的再评估。
SHA-1 加密哈希函数已经通过了此过程。根据这些发现的结果,McAfee Labs 建议 各个企业在许多情况下不要使用。SHA-1 攻击在理论上存在可能性,但是迁移需要 大量的时间。软件行业有很多企业已经制定了停止支持 SHA-1 的计划,某些最严重 的安全漏洞可能通过它被利用。如果有企业还没有计划迁移使用较旧哈希函数的系 统,现在正是制定计划来避免未来的安全问题的时机。 McAfee Labs 建议企业不要使用 MD5 和 SHA-1 加密哈希函数。 市面上有许多加密哈希函数,其中著名的两个是 MD5 和 SHA-1。MD5 首次于 1992 年发布,尽管存在已知的不足,仍在广泛使用。在 1995 年,美国国家安全 局开发出了 SHA-1。它在过去很安全,但是创建哈希值副本所需的时间和成本的降 低速度都比之前的预计更快。再加上广泛地替换一个哈希函数所需要的准备时间很 长,所以这为威胁研究人员拉响了警报。
对于指定的哈希函数,译解密码者需要长时间的计算循环来创建哈希值副本。随着 中央处理和图形处理设备变得越来越强大,时间和成本都有所下降。此外,可利用 僵尸网络和云服务进一步减少创建哈希值副本所需的时间长度。MD5 哈希现在可在 不到一秒的时间内在商用服务器硬件上发生冲突。对于 SHA-1,当前预计需要数个 月时间。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 17 关键主题
MD5 MD5 主流浏览器将 发现第一个冲突 SHA-2 发布冲突算法 停止接受 发布 SHA-1 证书
1992 1993 1995 2001 2005 2006 2008 2017
MD5 SHA-1 发布 发现第一个冲突 SHA-1 MD5 发布 恶意证书 推出演示版
安全哈希算法的时间表
越来越受关注的行业问题
在 2015 年 10 月,行业研究人员发布了一份报告,在理论上改进了生成 SHA-1 冲 突的能力,由此减少了攻击的理论成本。在加密和哈希算法上赶在可能发生的攻击 前不是简单的工作。它需要计划、资源以及对未来功能的预期。在 2015 年 8 月, 美国国家安全局 (NSA) 宣布计划,根据量子计算的发展,将其加密套件转变为防量 子的算法。尽管普遍的量子计算尚不可用,或者说预计在短期内难以推出,NSA 也 看到了尽早制订防范这一潜在威胁媒介的计划的必要性。
在防量子领域已经开展了许多工作来寻找适当的算法改动和替代方案,但是要使用 该类算法,还需要许多年。就 SHA-1 哈希函数的冲突攻击而言,对于替代方案的需 求更为迫切。
SHA-1 使用邮件或文件,并产生对于单个邮件唯一的哈希值。如果哈希函数具有以 下属性,可将其视为安全:
■■ 抗逆象性:在给定哈希值的情况下,应难以找到邮件或文件使得哈希函数 生成相同的哈希值。
■■ 抗第二逆象性:在给定邮件或文件的情况下,应难以找到第二份邮件或文 件使得哈希函数为两个邮件或文件生成相同的哈希值。
■■ 防冲突:应难以找到哈希函数可在其中产生相同哈希值的两份邮件或文件。
明确地说,逆象和第二逆象属性仍然安全。2015 年 10 月的报告仅提及了有关冲突 属性的理论性攻击、SHA-1 防冲突性的减少。在不容易发生冲突的方面,仍可有效 使用 SHA-1。例如,假如生成了已知良好的文件和 SHA-1 哈希值,仍然可相信在 计算上不可能生成具有重复 SHA-1 哈希值的新文件。因此可信任使用自身 SHA-1 值的已知文件。这会受到防逆象属性保护。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 18 关键主题
问题的范围严格限制在防冲突属性中。在这种情况下,攻击和冲突属性的关键区别 在于,攻击者可能无法完全控制这些邮件是什么,也不能控制所得的哈希值。因此 问题在于未知的文件或证书。无论如何,在使用 SHA-1 时,狡猾的攻击者可生成两 个合谋邮件或文件,让技术的完整性(例如 SSL 证书和数字签名)遭遇风险。在某 些情况下,例如特选前缀冲突攻击,攻击者可选择邮件的某些部分而非整个邮件, 也非所得哈希值。已知攻击已经通过 MD5 算法实施,但是当前对于 SHA-1 还没有 出现已知的攻击。通过减少破坏 SHA-1 冲突属性所需的计算数,安全研究人员已计 算出产生冲突的理论成本已经降低至资金良好的组织能够投入的程度。
对于 MD5,该哈希函数自 1996 年起经历了相似的周期。通过技术上的改进以及对 MD5 算法的额外研究,有关其冲突属性的问题开始在 2008 年产生可行性问题。
尽管对于 MD5 或 SHA-1 哈希函数尚不存在已知的有关逆象或第二逆象的实际攻击, 但是可能只需数年便可从理论上的利用情形演变为实际攻击。我们在有关 MD5 冲突 属性的理论攻击方面就经历了这样的推迟,对于 SHA-1 可预见会出现相似的推迟。
行业响应
对大多数用户来说,好消息是到 2017 年使用 SHA-1 的 SSL 证书在主要浏览器中将 流行浏览器不再信任使用 SHA-1 不再受信任。在 Google Chrome 中已经是如此。2016 年 6 月之后,如果网站使用 签名的 SSL 证书。主要证书颁发机 SHA-1,Microsoft 不久将实施其自身的“防御措施”。主要证书颁发机构已经发布 构现在使用 SHA-2 来签名证书。 了 SHA-2 证书,并对自 2016 年 1 月 1 日起的代码签名停止发布 SHA-1 证书。
但是,具体支持什么尚不明确。在某些用户出现无法访问 HTTPS 网站的情况后, Firefox 暂时恢复了对 SHA-1 的支持。在许多情况下,Web 开发人员都没有犯错; 责任在于设计用于扫描和过滤传入通讯以查找内容的网络工具和恶意软件。这些设 备如不经过正确更新,可能会向通讯分配新的 SHA-1 签名的证书以查看内容。由于 Firefox 不再信任这些证书,这些网络上的用户发现自己无法访问加密的网站。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 19 关键主题
Microsoft 有关代码签名的策略允许在某些情况下使用 SHA-1。Microsoft 将允许当前 SHA-1 证书签名代码,前提是这些证书的创建时间在 2016 年 1 月 1 日之前。但是, X.509:是一个标准,定义以受信 在 1 月 1 日之后,Microsoft 不再允许根证书使用 SHA-1 哈希函数发布 X.509 证书。 任签名为中心的证书颁发机构的分 在该日期之后创建的任何证书都不再受信任。只要使用 SHA-1 的当前证书没有过期, 层系统。根证书可签名其他证书来 将仍然受信任并可签名代码。如果攻击者能够在该日期之前将两个文件串联,即使 证明其有效性。同样地,这些证书 可签名其他证书。任何人都可创建 所需的成本较大,可供攻击的机会也很小。永远不发现已知的 SHA-1 冲突是不可能 根证书。但是大多数操作系统对于 的,但是在理论上是可能的。此类攻击只能在发现这样的冲突后才能成功,而如今 主要证书颁发机构及其已知的根证 创建的一切都不再受信任。 书具有内置信任度。 什么系统在今天仍然依赖 SHA-1?通过 Censys(一种计算机科学家使用的搜索引 擎)进行查询后,我们在公共 IP 上找到了 20651245 个使用 SHA-1 签名的正在使 用的证书。这些证书中有一些采用的是自签名;如果它们并未在您的证书颁发机构 库中,则应谨慎对待。对于其他情况,这些属于需要更新证书的网站。
使用哈希函数的 SSL 证书
2250 万
2000 万
1750 万
1500 万
1250 万
1000 万
750 万
500 万
250 万
0 SHA-1 MD5 MD2 SHA-2 未知
使用 SHA-1 签名的公共 IP 地址上的证书在最近的研究中占优势。
资料来源:www.censys.io.
最大的风险似乎是攻击者可创建两个合谋的文件:一个无害,一个有恶意。良性文 件可提交以供受信的来源签名。一旦攻击者具有了签名,就可将签名传输至恶意文 件并提交。受害者将看到恶意文件是由受信任的源签名,并且可能遭到攻击。各组 织应生成用更新的哈希函数签名的新证书,为用户提供更高保障。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 20 关键主题
具体的问题在于仍在使用过时哈希函数的潜在关键系统的数目。SCADA(监督控制 在工业和关键基础设施应用中常见 和数据采集)系统在许多工业和关键基础设施应用中都有使用。Censys 搜索发现有 的许多 SCADA 系统仍然使用 SHA-1 4086 SCADA 个系统仍然在使用 SHA-1 哈希函数。因为这些系统出现在 Censys 结 哈希函数。 果中,因此它们必须公开可见,对攻击者提供更佳可见性。还有更多可能存在于受 信任网络中。
通过哈希函数接入互联网的 SCADA 系统
4500
4000
3500
3000
2500
2000
1500
1000
500
0 SHA-1 MD5 SHA-2 未知
许多公开连接的工业系统仍然依靠 SHA-1 哈希。
资料来源:www.censys.io.
安全行业必须定期重新评估加密技术。跟二十世纪 90 年代末期从 MD5 转移到更强 健的哈希函数相似,我们现在需要从 SHA-1 进行迁移。
建议
企业应当积极地从 MD5 或 SHA-1 迁移至 SHA-2 或 SHA-3。某些系统(其中包括 许多 SCADA 系统)将需要一些时间才能正确更新。因此现在就开始迁移计划很重 要。对于大多数企业而言,保持操作系统和软件处于最新状态将缓解这些哈希函 数问题。大多数证书颁发机构都具有证书管理器,可让用户检查自身证书的签名算 法。这样可以更加容易确定其在使用的一些证书。不过,他们必须先确定所有依赖 SHA-1 的系统并进行更新。
我们预计所有系统从 SHA-1 更新为更强健的哈希函数需要一些时间。可能在少数情 况下,继续使用 SHA-1 所面临的风险在可接受范围内,例如对于具有已知哈希值 的当前二进制文件。但是,在未来的大多数情况下,所有系统都应该采用新哈希函 数,并且更新旧系统。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 21 关键主题
Pinkslipbot:死灰复燃
- Sanchit Karve、Guilherme Venere、Mark Olea、Abhishek Karnik 和 Shaina Dailey
W32/Pinkslipbot(也称为 Qakbot、Akbot 和 QBot)是一个恶意软件系列,专门 为窃取受感染机器上的个人和财务数据而创建。恶意软件可通过基于命令的后门 程序完全控制受感染的机器,该后门程序通过控制服务器以及基于虚拟网络计算 (VNC) 的后门程序操作。
尽管在 2007 年发现该恶意软件在流行,它背后的团体每隔数月就会在发布新版本 之前通过添加增量更新来维护代码库。这种模式在下图中显而易见。该图显示了从 2007 年开始提交至 McAfee Labs 的 Pinkslipbot 样本计数。在这一关键主题中,我 们介绍了该恶意软件的最新变体以及更新。
新的 Pinkslipbot 样本数量 Pinkslipbot 自 2007 年开始流行。 20000 在安全软件进行阻止之前,新的变 体又定期开始流行。 17500
15000
12500
10000
7500
5000
2500
0 1–4 季度 1–4 季度 1–4 季度 1–4 季度 1–4 季度 1–4 季度 1–4 季度 1–4 季度 1–4 季度 1 2007 2008 2009 2010 2011 2012 2013 2014 2015 季 度 16
自 2007 年起由 McAfee Labs 收集的 Pinkslipbot 样本。
资料来源:McAfee Labs,2016 年。
通过 Pinkslipbot 窃取的数据可让攻击者确定受感染的机器以及相应组织和人员的 确切位置。攻击者可向第三方出售该信息(尤其是在知名组织被感染时)并在第三 方付款后将目标恶意软件下载至受害机器。
已知感染媒介
Pinkslipbot 主要通过利用漏洞利用工具包(例如 RIG 和 Sweet Orange)以及可移 除驱动器(例如 U 盘)和网络共享等,以“随看随下”的形式提供。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 22 关键主题
受害者
4 1
3 2
利用登录页 受害网站 首次重定向提供 登录页 URL
Pinkslipbot 通常通过“随看随下”下载进行感染。
感染过程 1. 受害者访问受感染的网站。
2. 受感染的网站加载恶意的 JavaScript 文件,该文件和利用套件使用的网 站连接,控制登录页面的重定向。该网站返回脚本解码的变量以获得登 录页面的实际 URL。恶意 JavaScript 代码通常附加或预载于网站的合法 JavaScript 组件上,就像第 24 页顶部的图形所突出显示的那样。jquery.js 库包含恶意代码。
3. 脚本将受害者重定向至利用登录页面,方法是将该页面作为隐藏的 iframe 载入。
4. 利用登录页面在受害者的系统上载入小型 Web 格式文件,该文件利用 Adobe Flash 中的安全漏洞,可下载和执行恶意软件。受感染的 Flash 文 件下载经过 XOR 加密的 Pinkslipbot 可执行文件。最新的 Pinkslipbot 样 本使用密钥“vwMKCwwA”。加密的 Pinkslipbot 可执行文件和下图所示 相似:
加密的 Pinkslipbot 可执行文件以利用负载的形式被下载。
加密负载可降低在其下载期间安全软件检测到负载的机率。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 23 关键主题
重定向和成功的利用导致 Pinkslipbot 下载。
通过网络共享感染 一旦安装 Pinkslipbot,它就会尝试查找本地网络上打开的网络共享,并利用它们来 远程执行自身的副本。这使得 Pinkslipbot 可以快速渗入整个组织,尤其是在域管 理员的帐户被感染时。
开放的网络共享位于没有为管理员用户设置密码的系统中。在这种情况下,Windows 创建的默认共享(即 C$、IPC$ 和 ADMIN$)可在不进行身份验证的情况下被远程访 问。在这些系统中,Pinkslipbot 会尝试映射打开的共享,将自身复制到远程共享, 并使用 NetBIOS 协议来执行远程系统上的副本。以下网络数据包捕获显示了 Pinkslipbot 在连接至其 IPC$ 服务之后尝试在远程机器上映射打开的共享:
Pinkslipbot 擅长在整个组织感染。
Pinkslipbot 会尝试连接至远程机器 (UbuntuServ) 上的共享驱动器。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 24 关键主题
一旦映射驱动器,恶意软件就会复制自己的二进制文件,如该捕获的数据包中所示:
Pinkslipbot 二进制文件通过网络上的远程驱动器复制。
McAfee Labs 威胁报告:2016 年 6 月 | 25 关键主题
如果设置了管理员用户的密码,Pinkslipbot 会尝试进行目录攻击以获取共享文件 夹的访问权限。密码列表包含在每个样本中并且使用 64 字节的 XOR 密钥加密。如 果僵尸程序获得用户帐户的访问权限,会在没有任何用户交互的情况下复制和执行 Pinkslipbot 文件。还会在受感染的用户系统上创建与 AutoRun 相关的注册表项以 及快捷方式文件。
kenneth explorer paul 123qwe 9999 qwewq Brian adminadmin 123321 asdzxc 54321 Web David 5 xxxx 3333 manager file 0000000 123abc football test mypassword 123asd 4321 superuser donald 9 Thomas christopher master internet password1 Donna 22 qweasd carol Anthony 44444 coffee 654321 changeme nothing joseph susan 00000000 666 asddsa aaaa 4444444 33 passwd qazwsx access qwe123 games 1111 codename Christopher Paul system nancy daniel dragon 1111111 temporary 555555 testtest Margaret barbara 12345678 88888888 777777 444444 22222 qqqq Lisa account Betty Carol Michael nopass 77777 xxxxx lotus zzz mypc123 temptemp 21 Daniel 55555 login exchange monitor Login home jennifer 444 monkey margaret Dorothy cluster 5555 cookie pussy George work123 iloveyou Karen 0987654321 99999999 00000 11 Kevin 333 office password123 111 Kenneth 6666666 zxcvb William Mary 44444444 Robert john qweasdzxc qwerty nobody 12 thomas 00 public 4444 admin123 betty sql oracle 111111 password12 intranet mark admin killer rootroot george 3333333 shadow love123 michael Internet Charles 222222 market forever temp 321 linda mary edward Ronald sample 99999 helen david superman love job lisa controller richard owner abc123 123456789 8 Donald
每个 Pinkslipbot 样本中包含的部分密码。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 26 关键主题
Pinkslipbot 演化
成功窃取银行凭据刺激了僵尸主控机的积极性。随后,对原始 Pinkslipbot 代码库 频繁进行增量改进,以静默窃取更多数据并避免检测。
每个新样本有两个与其关联的版本号。每个号码的形式为 {主版本号}.{次版本号} 并 且包含前缀零。例如,Pinkslipbot 的主要版本 2 存储为 0200.xxx。这可通过强制 Pinkslipbot 显示其版本来看到,具体方法为将“/V”作为命令行参数传送:
Pinkslipbot 版本信息。
对于 Pinkslipbot 代码库的每次更改都可导致新次要版本出现。当源代码中有更为 明显的改动时会发生主要版本更改。我们不明白为什么存在次要版本号。据 McAfee Labs 了解,三个主要 Pinkslipbot 版本包括 98 个次要版本。下面将说明跨 Pinkslipbot 版本的一些开发。
命令行参数 0300 之前的主要版本接受一些命令行参数,其中包括:
开关命令 说明
/c 在处理其他命令行参数之前执行提供的参数(文件)
/t 自行终止
/s 新建 Pinkslipbot 服务
/i(或者没有参数) 通过将恶意软件可执行文件以及 DLL 置于 Pinkslipbot 的安装目录中来进行安装
之前 Pinkslipbot 版本接受的命令行参数。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 27 关键主题
自 0300 开始的主要版本接受修改的命令行参数集:
开关命令 说明
/c 跟之前的功能一样
/V 在消息框中显示版本信息
/W 确认资源中加密的 DLL 没有损坏
/d 将 Pinkslipbot DLL 注入 DNS 服务进程
/s 仅在没有检测到虚拟机时新建服务
/t 从当前进程移除 Pinkslipbot DLL
/A 测试进程中的 DLL 注入
/B 在受信任的进程中(explorer.exe 或 iexplore.exe 中的任 一个)注入 Pinkslipbot,并显示具有结果的消息框
/D 运行 Pinkslipbot 服务来感染 DNS 缓存
/I 跟之前版本中 /i 的功能相同
最新版本的恶意软件接受的命令行参数。
检测虚拟机 当前版本的 Pinkslipbot 包含广泛的技术阵列来检测虚拟机:
■■ CPUID 检查 1:确认 CPUID 供应商 ID 字符串为“GenuineIntel”。
■■ CPUID 检查 2:确认处理器支持 CLMUL 命令。在 2010 年后制造的大多 Pinkslipbot 使用各种技术来逃避检 数非虚拟处理器都支持 命令,但虚拟处理器可能不支持。 测,包括 VM 检测、调试器检查、 CLMUL
加密要渗出的数据以及禁用防恶意 ■ ■ VMWare“红药丸”技术。 软件。 ■■ 检测包含虚拟机供应商名称的硬件设备名称。
■■ 检测文件系统上的虚拟机文件(通常通过来宾添加内容植入)。
■■ 使用例外处理程序的长命令检查。
旧版本的 Pinkslipbot 检查是否存在已安装的软件,确定它是否在虚拟机中运行以 进行恶意软件分析。恶意软件假设已安装的软件(例如 Microsoft Office、Project 或 Citrix 实用工具)的存在表明机器未用于恶意软件分析。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 28 关键主题
其他元素 旧版本的 Pinkslipbot 使用 UPX 来打包可执行文件。后来,恶意软件作者选择用定 制打包程序将自己的恶意软件打包。有关定制打包程序的更多信息在 Pinkslipbot 二 进制结构一节中提供。
Pinkslipbot 还检查是否存在调试文件,并在找到后立即退出。我们相信恶意软件作者 添加了这项检查来防止自己的机器受感染。僵尸程序的初始版本会查找 C:\irclog.txt。 稍后的版本会查找 C:\pagefile.sys.bak.txt。对于 2015 年 12 月起的版本,该字符串 会改变为 C:\pagefile.sys.bak2.txt。
Pinkslipbot 依靠伪随机数字生成算法来创建文件名和加密密钥。版本 0200 使用标 准 C 语言库函数 rand() 的默认实现,而版本 0300 将其更换为 Mersenne Twister 算法。
Pinkslipbot 的每个主要版本都改善了其用于传输失窃数据的加密方案。最早的版本 使用简单的 XOR;之后的版本改为在之前算法的基础上加入压缩和加密。
版本 0200 和更早的版本在其配置文件内存储 Pinkslipbot 组件的别名。示例如下:
alias__qbot.cb=wzitc.dll alias__qbotinj.exe=wzitce.exe alias__qbot.dll=wzit.dll alias_seclog.txt=wzit1.dll
之前的变体使用的别名。
这些别名用于以人类可识别的名称引用 Pinkslipbot 组件,尽管在安装后有随机名称。 Pinkslipbot 的最新版本不会保存别名列表,并且依靠文件名模式来确定各个组件。
版本 0200 和之前的版本包含恶意软件可执行文件中以纯文本形式嵌入的所有相关 Pinkslipbot 组件。版本 0300 开始将所有组件压缩和加密为恶意软件可执行文件和 DLL 的资源部分。
数据泄露机制 其间交替的较旧版本使用 IRC 服务器和常规 Web 服务器来传输窃取的数据。对于僵 尸网络控制者不利的是,这会通过其 IP 地址暴露团体的身份(通过 IRC 或域映射)。 在版本 0300 中,这个漏洞已通过使用受感染的 FTP 服务器得到修复,该 FTP 服务 器用作失窃凭据的临时数据存储库。僵尸网络控制者定期连接至这些服务器并复制 失窃的数据,而不会将自己的 IP 地址泄漏给恶意软件研究者。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 29 关键主题
前缀“seclog”、“article”和“artic1e”用于从受感染的机器确定包含失窃数据 的压缩或加密备份的文件。
最新版本的 Pinkslipbot 可从证书库检索和导出私钥。
API 挂接 Pinkslipbot 在每个运行的进程中挂接各个 API 函数(有少数例外),以用作数据窃 取功能的进入点。最新版本的 Pinkslipbot 挂接以下 API 函数:
DLL API 名称 目的
Ntdll.dll ZwResumeThread 通知恶意软件将自身注入新 激活的线程
Ntdll.dll LdrLoadDll 通知恶意软件挂接来自正在 载入的 DLL 的函数
Ntdll.dll ZwReadFile 读取文件中的数据
Ws2_32.dll WSAConnect、MyConnect 记录 TCP 连接
Ws2_32.dll WSASend、send 记录 POP3 和 FTP 登录凭据
Dnsapi.dll DnsQuery_A、DnsQuery_W、 对防恶意软件域返回无效 IP 并 Query_Main 对其他对象返回虚假 IP 地址
User32.dll TranslateMessage 为按键记录器获取击键
User32.dll GetClipboardData 为按键记录器获取剪贴板的 内容
User32.dll GetMessageA、 在收到 WM_QUIT 消息后, GetMessageW、 清理恶意软件线程 PeekMessageA、 PeekMessageW
Wininet.dll HttpSendRequestA、 从 HTTP 通信中记录登录凭 HttpSendRequestW、 据 HttpSendRequestExW、 InternetWriteFile
Wininet.dll InternetReadFile、 将 JavaScript 代码注入网页 InternetReadFileExA、 InternetQueryDataAvailable
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 30 关键主题
DLL API 名称 目的
Wininet.dll InternetCloseHandle 清理恶意软件 Web 注入
Wininet.dll HttpOpenRequestA、 设置 Web 注入和内容捕获 HttpOpenRequestW 功能
Nss3.dll、 PR_OpenTCPSocket 在用户首选项中禁用 Firefox nspr4.dll 安全设置
Nss3.dll、 PR_Read、PR_Write、 管理 Web 注入并捕获通过 nspr4.dll PR_Poll HTTPS 发送的数据
Nss3.dll、 PR_Close 从页面移除 Web 注入 nspr4.dll
Pinkslipbot 挂接的 Windows API。
Pinkslipbot 通过挂接 DNS API 并为以下域返回无效的 IP 地址来尝试禁用来自 Intel Security、AVG 和 Symantec 的网站信誉产品:
■■ siteadvisor.com
■■ avgthreatlabs.com
■■ safeweb.norton.com
僵尸程序配备有其他抵御防恶意软件的功能,例如将文件夹权限设置为只读以防止 签名更新的功能,以及 DNS 欺骗机制,为涉及防恶意软件产品的网站返回任何 A 查 询的无效 IP 地址。
控制服务器通信 对于控制服务器所做的所有命令请求都以下面的格式显示:
protoversion={协议版本}&r={数字}&n={机器 ID}&os={操作系统版本}&bg= {字符}&it={NUM}&qv ={恶意软件版本}&ec={时间戳}&av={检测到防病毒软件} &salt={随机 SALT}
恶意软件也可对控制服务器进行 Ping 操作,使其了解活动的感染。在这些情况下, 恶意软件会发出以下请求:
protoversion={协议版本}&r={数字}&n={机器 ID}&tid={线程 I D}&rc={数字} &rdescr=(空)
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 31 关键主题
恶意软件支持少量来自其控制服务器的命令:
命令 说明
cc_main 请求并执行来自控制服务器的命令
Certssave 窃取证书
Ckkill 删除 Cookie
Forceexec 使用 /c 命令行参数调用示例
grab_saved_info 保存 Internet Explorer cookie,为安装的产品保存密码, 并保存已安装证书的列表
injects_disable 禁用 Web 注入
injects_enable 启用 Web 注入
Instwd 注入系统并设置相关的计划任务和注册表条目
install3 从 URL 下载文件并执行
Killall 通过模式匹配名称终止进程
Loadconf 加载包含新控制参数以及 FTP 植入位置的配置文件
Nattun 使用提供的 IP 地址作为新的 SOCKS5 代理
Nbscan 跨内部网络感染系统
重新加载 重启 Pinkslipbot
Rm 根据文件名删除文件
Saveconf 加密配置文件并保存至磁盘
Thkillall 终止所有 Pinkslipbot 线程
uninstall 卸载 Pinkslipbot
Updbot 检索最新的 Pinkslipbot 二进制文件
Updwf 检索最新的 Web 注入代码
uploaddata 将窃取的凭据上载至受感染的 FTP 服务器
Var 以僵尸程序内部可变状态保存值
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 32 关键主题
命令 说明
Getip 旨在获取受感染系统的 IP 地址,但是对最新的样本不进 行任何操作
Wget 从指定的 URL 下载文件并保存至磁盘
可通过 Pinkslipbot 控制服务器发出的命令列表。
从 3 月开始,Pinkslipbot 样本开始通过 SSL 和其控制服务器通信。但是,Pinkslipbot 没有让标准库处理加密,而是由其自身使用 MatrixSSL 来实施 SSL 通信。SSL 握手期 间的公钥交换经过修改,可返回 XOR 加密的私钥副本,防止 Web 浏览器以及数据包 捕获实用工具识别通信并将其解码。
基础设施 如下图中所示,Pinkslipbot 背后的团体使用数个系统来完成各个任务,消除对于当 前大多数僵尸网络常见的单点故障。
FTP 更新客户端
受害 FTP 服务器
65200/65400 端口 控制服务器命令/保持活动
控制服务器
监控流量注入 透明代理破坏的 DNS 响应 恶意代码重定向流量 被感染的 计算机
代理服务器的网络 Web
Pinkslipbot 基础设施。
控制服务器是单个服务器,负责向受感染的机器发出命令。
每个 Pinkslipbot 样本中硬编码的 IP 地址用作基于 Web 的连接的主要代理服务器。 所有外部连接都通过 Pinkslipbot 经由代理服务器路由。如果代理服务器脱机,窃 取的会话可通过受感染的 FTP 植入区域传输,或者控制服务器可推送新的代理服务 器更新来还原操作。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 33 关键主题
域名生成算法 Mersenne Twister 算法用作 Pinkslipbot 的域生成算法的基础。Pinkslipbot 生成的 域可每隔 10 天变化一次。但是,为了迷惑恶意软件研究者,如果检测到正在运行 的数据包捕获实用工具,僵尸程序会增加传递至 Mersenne Twister 算法的初始种 子,从而得到不同的随机数字,进而得到不同的域。Pinkslipbot 监控的进程包括:
■■ tcpdump.exe
■■ windump.exe
■■ ethereal.exe
■■ wireshark.exe
■■ ettercap.exe
■■ rtsniff.exe
■■ packetcapture.exe
■■ capturenet.exe
■■ wireshark.exe
Mersenne Twister 算法的相关信息可参见 Johannes Bader 的 GitHub 页面。
McAfee Labs 威胁报告:2016 年 6 月 | 34 关键主题
Pinkslipbot 二进制文件结构
尽管旧版本的僵尸程序使用诸如 UPX 的标准打包程序以及和银行特洛伊木马程序 Zeus 所使用的相似的模糊处理技术,最新品种的 Pinkslipbot 二进制文件使用了自 定义实现来将二进制文件和相关文件打包,如下图中所示:
01101000 11011101
打包的样本 受害 FTP 凭据 网上银行网站重定向 模糊处理 JavaScript 文件, 通过函数调用 用于恶意软件更新
外壳代码 作为资源的 作为资源的 作为资源的 加密数据 加密数据 加密数据 通过函数调用
解压的 EXE 作为资源的 解压的 DLL 加密 DLL
Pinkslipbot 的二进制文件图
Pinkslipbot 在其 %APPDATA%\Microsoft\ 中的目录内保留两个附属数据文件。第 一个数据文件最初以来自 Pinkslipbot DLL 中第一资源的数据填充。文件包含受感染 FTP 服务器的登录凭据,具体如下:
<以下内容的 SHA1 二进制摘要> cc_server_port=16763 cc_server_pass=iJKcdgJ67dcj=uyfgy)ccdcd ftphost_1==
在每个 Pinkslipbot 样本中编码的示例配置文件。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 35 关键主题
一旦将该数据转储,Pinkslipbot 就会保存初始安装时间(感染时间)以及可经由 受感染系统的内部网络访问的所有可见系统的列表,以及所有 Pinkslipbot 针对其 各个组件的计划任务(诸如对于其自身的更新以及指向 FTP 服务器的上载)。如果 Pinkslipbot 设法通过小型基于目录的强力攻击获得其用户帐户的访问权限,第二数 据文件包含在受感染系统以及其他系统上窃取的所有数据的加密副本。
DLL 内第二个加密的资源包含在线银行 URL 列表,该列表用于注销用户活动的会 话。这些 URL 由没有注销用户但是看上去已注销的页面替代。这可让恶意软件控制 器使用当前的会话来访问在线银行帐户。该资源文件的摘录:
通过每个样本编码的银行 URL,防止会话被终止。
DLL 中的最后资源包含模糊处理的 JavaScript,该 JavaScript 联系受感染的域以下 载新 Pinkslipbot 样本加密的副本。
在样本中加密的模糊处理 JavaScript。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 36 关键主题
尽管经过模糊处理的代码看上去很复杂,但它本质上通过分号来拆分数组,以提取 相关域名。
下载服务器通过执行模糊处理的 JavaScript 展现。
传播感染
自 2015 年 12 月起(在最新进行的活动中),McAfee Labs 收到了 4200 多个不同 自 2015 年 12 月起,McAfee Labs 的 Pinkslipbot 二进制文件,相应检测由主要位于美国、英国和加拿大的驱动器遥测 收到了 多个不同的 4200 Pinkslipbot 报告。 二进制文件,主要来自美国、英国 和加拿大。
检测到 Pinkslipbot 感染的地图。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 37 关键主题
国家/地区 感染共享
美国 73 .6%
英国 23 .1%
加拿大 3 .6%
德国 2 .2%
澳大利亚 1 .7%
报告检测到 Pinkslipbot 的前 5 个国家/地区。
攻陷指标
在 DNS 缓存中如果存在以下域,则可能表明感染了 Pinkslipbot:
■■ gpfbvtuz.org
■■ hsdmoyrkeqpcyrtw.biz
■■ lgzmtkvnijeaj.biz
■■ mfrlilcumtwieyzbfdmpdd.biz
■■ hogfpicpoxnp.org
■■ qrogmwmahgcwil.com
■■ enwgzzthfwhdm.org
■■ vksslxpxaoql.com
■■ dxmhcvxcmdewthfbnaspnu.org
■■ mwtfngzkadeviqtlfrrio.org
■■ jynsrklhmaqirhjrtygjx.biz
■■ uuwgdehizcuuucast.com
■■ gyvwkxfxqdargdooqql.net
■■ xwcjchzq.com
■■ tqxllcfn.com
■■ feqsrxswnumbkh.com
■■ nykhliicqv.org
■■ ivalhlotxdyvzyxrb.net
■■ bbxrsgsuwksogpktqydlkh.net
■■ rudjqypvucwwpfejdxqsv.org
Pinkslipbot 驻留在 %APPDATA%\Microsoft 中特定于机器的目录中。如果该文件 夹中的子目录具有包含五到七个字符的可疑名称并包含两个 DLL 文件和一个 .exe (名称和目录一样),则表示当前感染了 Pinkslipbot。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 38 关键主题
僵尸程序使用自己用作代理的 IP 地址主动修改 DNS 响应。DNS 返回的不正确的 IP 可能表示受 Pinkslipbot 感染。
防护
一如既往,Intel Security 建议您确保防恶意软件签名为最新状态,以抵御 Pinkslipbot 和其他威胁。您也可创建自定义访问规则,防止 Pinkslipbot 与其控制服务器通信, 如以下示例所示:
该访问保护规则防止与 Pinkslipbot 的控制服务器通信。
McAfee Labs 已经发布了 W32/Pinkslipbot 的威胁顾问。顾问提供额外的预防措施。
Intel Security 的 Foundstone 专业服务团队推荐一种简单的方法:确保外围安全, 如 McAfee Labs 威胁顾问所建议,创建自定义的保护规则,将 Windows 操作系统 更新至最新的补丁级别,并管理补丁程序。尽管不存在两个相同的环境,但是也有 几个方面是可以共有的:
■■ 未修复的系统
■■ DAT/签名版本过期
为了保护外围入口的安全,您需要封锁所有网络入口点上不需要使用的端口,阻断 往返于相关恶意 IP 地址之间的连接请求,并且禁止使用网络共享,这样才能防止 Pinkslipbot 的传播。在大多数环境下,您还需要禁用自动运行功能。将 Windows 操作系统更新至最新补丁级别以及将防恶意软件更新至最新版本很重要。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 39 关键主题
未及时安装修补程序的系统往往存在易于被恶意软件利用的漏洞。对任何环境来 说,完善的修补程序管理是必不可少的一项措施。一旦供应商发布修补程序,您就 应该立即进行测试、验证和实施。如果由于早期版本的依赖性问题导致无法安装修 补程序,则要采取其他措施来缓解对已知安全漏洞的利用。已经证明,积极的修补 程序管理机制是缓解 Pinkslipbot 和其他恶意软件影响的一种最有效的方法。
虽然 Pinkslipbot 主要是在被漏洞利用工具包感染的网站上,通过随看随下的方式 进行传播,但是受害者往往是被钓鱼电子邮件指引到这些网站的。通过将电子邮件 要了解 Intel Security 产品如何帮助 标记为“内部”或“外部”,用户更容易识别伪造或钓鱼电子邮件,这样在点击未 防范类似 Pinkslipbot 的特洛伊木 马程序,请单击此处。 知的恶意链接之前就会慎之又慎。
Pinkslipbot 有一部分是在内存中运行,所以仅仅对系统进行修补还不足以应对,您 还需要执行全盘扫描,再辅以恶意软件删除工具,才能将其清除。受感染的系统需 要重启才能从内存中清除这种恶意软件,您最好再执行一次重新扫描,确保系统已 经清理干净。我们还建议您使用复杂的强密码,防止遭到字典攻击,并且禁用“自 动运行”功能,同时遵循仅授予“最低权限”的原则。
Pinkslipbot 是极具攻击性的特洛伊木马程序,并且是声名狼藉的 Zeus 特洛伊木马程 序的进化代表。如果使用简单的 Windows 系统登录密码,则会很容易被 Pinkslipbot 感染,它甚至不需要通过漏洞利用工具包或者用户交互来入侵您的系统。一旦机器 被感染,它就会记录在系统上执行的一切活动,并且将收集的信息发送给攻击者。 随着 Pinkslipbot 的控制服务器引入自定义的安全通信,您将会更加难以检测和分析 这一款恶意软件。它过去的劣迹表明,随着它的不断迭代,其危险性会越来越强。 通过了解环境并采用我们推荐的技巧,公司可以将 Pinkslipbot 可能会造成的损害降 至最低。
要了解 Intel Security 产品如何帮助防范类似 Pinkslipbot 的特洛伊木马程序,请单 击此处。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 40 威胁统计信息
恶意软件
Web 威胁
网络攻击
分享反馈意见 威胁统计信息
恶意软件
新恶意软件新恶意软件
6000 万
5000 万
4000 万
3000 万
2000 万
1000 万
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
资料来源:McAfee Labs,2016 年。
恶意软件总计恶意软件总数
6 亿
5.5 亿
5 亿
4.5 亿
4 亿
3.5 亿
3 亿
2.5 亿
2 亿
1.5 亿
1 亿
5000 万
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
资料来源:McAfee Labs,2016 年。 分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 42 威胁统计信息
新移动恶意软件新移动恶意软件
200 万
从此威胁报告开始,我们调整了移 175 万 动恶意软件样本计数方法,从而提 高了准确性。这种调整已应用于新 150 万 移动恶意软件图表和总移动恶意软
件图表中所示的所有季度。 125 万
100 万
75 万
50 万
25 万
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
资料来源:McAfee Labs,2016 年。
移动恶意软件总计移动恶意软件总数
1000 万
900 万
800 万
700 万
600 万
500 万
400 万
300 万
200 万
100 万
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
资料来源:McAfee Labs,2016 年。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 43 威胁统计信息
Regional2016 年第一季度的区域移动恶意软件感染率 Mobile Malware Infection Rates in Q1 2016 (percent of(即移动客户报告的检测百分比) mobile customers reporting infections)
14%
12%
10%
8%
6%
4%
2%
0% 非洲 亚洲 澳大利亚 欧洲 北美洲 南美洲
资料来源:McAfee Labs,2016 年。
Global全球移动恶意软件感染率 Mobile Malware Infection Rates (percent of(即报告感染的移动客户报百分比) mobile customers reporting infections)
22%
20%
18%
16%
14%
12%
10%
8%
6%
4%
2%
0% 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
资料来源:McAfee Labs,2016 年。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 44 威胁统计信息
新 Mac新宏恶意软件 OS 恶意软件
40000
Mac OS 恶意软件达到巅峰主要是由 35000 于 VSearch 广告软件的增多。
30000
25000
20000
15000
10000
5000
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
资料来源:McAfee Labs,2016 年。
新 Mac宏恶意软件总数 OS 恶意软件总计
10 万
9 万
8 万
7 万
6 万
5 万
4 万
3 万
2 万
1 万
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
资料来源:McAfee Labs,2016 年。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 45 威胁统计信息
新勒索软件新勒索软件
120 万
本季度勒索软件增加了 24%,延续 100 万 了快速上升势头,这部分源于技术 相对不熟练的网络犯罪分子可使用 80 万 漏洞利用工具包来部署恶意软件。
McAfee Labs 提供了多个资源来抵御 60 万 该威胁,其中包括 How to Protect Against Ransomware(如何防御勒索 40 万 软件)和 Understanding Ransomware and Strategies to Defeat It(了解勒 20 万 索软件和击败它的策略)。 0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
资料来源:McAfee Labs,2016 年。
勒索软件总计勒索软件总数
600 万
550 万
500 万
450 万
400 万
350 万
300 万
250 万
200 万
150 万
100 万
50 万
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
资料来源:McAfee Labs,2016 年。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 46 威胁统计信息
New新恶意签名二进制文件 Malicious Signed Binaries
250 万
有关该威胁的更多信息,请参阅最 200 万 近威胁报告中的“滥用信任:利用 在线安全防护的软肋”。 150 万
100 万
50 万
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
资料来源:McAfee Labs,2016 年。
Total恶意签名二进制文件总计 Malicious Signed Binaries
2200 万
2000 万
1800 万
1600 万
1400 万
1200 万
1000 万
800 万
600 万
400 万
200 万
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
资料来源:McAfee Labs,2016 年。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 47 威胁统计信息
New新宏恶意软件 Macro Malware
60000
Macro 恶意软件延续了快速上升势 50000 头。有关该威胁的更多信息,请阅读 《McAfee Labs 威胁报告,2015 年 40000 11 月》中有关宏攻击的关键主题。
30000
20000
10000
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
资料来源:McAfee Labs,2016 年。
Total宏恶意软件总计 Macro Malware
45 万
40 万
35 万
30 万
25 万
20 万
15 万
10 万
5 万
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
资料来源:McAfee Labs,2016 年。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 48 威胁统计信息
Web 威胁
New新可疑 Suspect URL URLs
3500 万
3000 万
2500 万
2000 万
1500 万
1000 万
500 万
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
URL 关联的域
资料来源:McAfee Labs,2016 年。
New新网络钓鱼 Phishing URLsURL
250 万
200 万
150 万
100 万
50 万
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
URL 关联的域
资料来源:McAfee Labs,2016 年。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 49 威胁统计信息
新出现的垃圾邮件New Phishing URLs URL
250 万
200 万
150 万
100 万
50 万
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
URL 关联的域
资料来源:McAfee Labs,2016 年。
全球垃圾邮件和电子邮件量 Global(单位:万亿封邮件) Spam and Email Volume
11
10
9
8
7
6
5
4
3
2
1
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
垃圾邮件 合法电子邮件
资料来源:McAfee Labs,2016 年。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 50 威胁统计信息
排名前 10 位的僵尸网络发送的垃圾邮件量 Spam Emails(单位:百万封) From Top 10 Botnets
1400
Gamut 僵尸网络是前 10 名中的常 1200 客,在第 1 季度取得领先,数量增 加了接近 50%。流行的垃圾邮件活 1000 动提供快速致富方案和廉价的仿冒
医疗药品。Kelihos 是 2015 年第 4 800 季度最为多产的垃圾邮件僵尸网 络,并且是分布广泛的恶意软件分 600 销商,分布在四个位置。 400
200
0 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2014 2015 2016
Kelihos Gamut Asprox Stealrat
Cutwail 其他 Sendsafe
Slenfbot Darkmailer Lethic
资料来源:McAfee Labs,2016 年。
Worldwide Botnet Prevalence 全球僵尸网络盛行
Wapomi
Muieblackcat
Chopper Webshell 17% 3% Sality 3% 37% Ramnit 3% 4% Maazben
4% OnionDuke 5% 蠕虫 9% 15% W32/AutoRun
Darkness
其他
资料来源:McAfee Labs,2016 年。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 51 威胁统计信息
Top Countries Hosting Botnet Control Servers 托管僵尸网络控制服务器的主要国家/地区
美国
德国
32% 俄罗斯
40% 荷兰
法国
英国 8% 乌克兰 5% 4% 5% 其他
3% 3% 资料来源:McAfee Labs,2016 年。
网络攻击
Top Network Attacks 主要网络攻击
3% 3%
网络威胁部分和上个季度相似。最 5% 浏览器 流行的浏览器攻击为“数据:URI 暴力攻击 方案”RFC 2397,暴露了 Firefox 4% 中的安全漏洞。 拒绝服务 7% 33%
SSL
DNS 22% 扫描
23% 后门程序
其他
资料来源:McAfee Labs,2016 年。
分享本报告
McAfee Labs 威胁报告:2016 年 6 月 | 52 关于 Intel Security
迈克菲现在是 Intel Security 的一部分。英特尔安全凭借其 Security Connected 战 略(创新型硬件增强安全解决方案和独特的 Global Threat Intelligence)致力于开 反馈。为帮助指导我们以后的工 发具有前瞻性且经实践验证的安全解决方案和服务,保护用作商业或个人目的的全 作,我们殷切希望得到您的反馈意 球系统、网络和移动设备。Intel Security 将迈克菲的安全经验和专业知识与英特尔 见。如果您愿意分享您的观点,请 单击此处以填写一份五分钟就能完 的创新和可靠性能相结合,使安全性成为每种体系结构以及每个计算平台的基本要 成的快速威胁报告调查。 素。Intel Security 的使命是让每位用户放心地在数字世界中安全可靠地工作生活。
www.intelsecurity.com
关注 McAfee Labs
McAfee. Part of Intel Security.
北京市东城区北三环东路 36 号环球贸易中心 D 座 18 层 邮编:100022 电话:(8610) 85722000 传真:(8610) 85752299
上海市延安西路 2299 号上海世贸商城 22 层 邮编:200336 电话:(8621) 23080699 传真:(8621) 63406606
深圳市南山区高新南九道 9 号威新软件园 3 号楼 3 楼 邮编:518057 电话:(86755) 82825003 传真:(86755) 82825001
销售热线:400 610 0369 或 800 810 0369 www.intelsecurity.com www.mcafee.com/cn
本文所含信息仅供参考,旨在为 Intel Security 用户提供便利。此处所含信息如有变更,恕不另行通知。此类信息按“现状”提供,对任何特定环境 或情况下信息的准确性或适用性不做任何保证。 Intel 以及 Intel 和 McAfee 徽标是 Intel Corporation 或 McAfee, Inc. 在美国和/或其他国家或地区的商标。其他商标和品牌可能是其各自所有者的财 产。Copyright © 2016 Intel Corporation.62420rpt_qtr-q2_0516