2018Q2网络犯罪报告：网络攻击转向“重质不重量” 加密货币成主要目标

Malwarebytes发布了一份2018年第二季度的网络犯罪报告。

总的来说，一个网络犯罪增长缓慢的季度反映了网络犯罪状况的总体平静，在第一季度结束的时候，加密货币挖矿继续占据网络犯罪的主导地位，勒索软件继续通过实验来发展，针对开发工具的袭击有着一个虽小但意义重大的回归。

在几乎每一个商业和个人用户检测的恶意软件类别中，我们都看到了数量的减少，这也印证了新年以来我们的普遍看法：“这里很安静”。

然而，我们发现了从Q1到Q2的一些网络攻击方面的有趣的进展。尽管网络攻击事件的数量有所减少，但质量却在提高。

Malwarebytes公司的两大个人检测结果分别是广告软件和加密货币挖矿技术，而在第二季度矿工们则占据了商业检测中第一的位置。

第一财季表现强劲的间谍软件公司(Spyware)下跌了40%，至第五位，而银行木马公司(banking Trojans)则稳居第二，尽管探测量下降了近50%。

与此同时，在个人和商业方面，后门攻击都迅速增加，个人领域的检测量增加了442%。

勒索软件和加密货币挖矿技术的新发展推动了市场的发展，因为第二季度的攻击通常比第一季度的攻击更加复杂。

复杂的VPNFilter恶意软件的引入，对成千上万毫无戒心的小办公室和个人用户实施了多阶段攻击，这让沉睡的网络安全行业清醒过来。

尽管像WannaCry和NotPetya这样的2017年疫情在传播数量和影响方面还没有达到空前的水平，但VPNFilter、SamSam和其他类似复杂的活动表明，2018年可能只是更高层次、有针对性的袭击的一年。

正如我们在最近几份季度报告中所做的那样，我们将英特尔和我们的情报、研究和数据科学团队从2018年4月至6月收集的统计数据与我们的消费者和商业产品的遥测数据相结合，这些数据被部署在数百万台机器上。

以下是我们在2018年第二季度研究得出的关于网络犯罪的数据。

加密货币挖矿成主要目标

针对加密货币挖矿的检测数量正在逐渐降低，但它们仍在威胁领域占据主导地位。

随着新的Windows和Mac恶意软件变种、多样化，到其他基于浏览器的挖掘API，以及新的服务器端攻击，网络犯罪分子正在继续试验这种全新的攻击载体。

最终，许多犯罪分子并没有从他们期望的加密货币挖矿技术中获得投资回报。

随着加密货币市场趋势的发展，加密热潮可能会趋于稳定;然而，加密货币市场的大幅上涨或下跌可能会迅速影响这些数字。

GandCrab现在是勒索软件之王

GandCrab现在是最顶级的杀伤软件。

这个非常受欢迎的多个垃圾邮件活动的有效负载在第一季度是通过电子邮件被下载的。

在第二季度中，Gandcrab被转移到大规模开发工具进行分发。

当GandCrab在勒索软件方面处于领先地位时，其他勒索软件也出现在第二季度，如SamSam和Spartacus，延续了在全球范围爆发的小规模实验活动的趋势。

广告软件检测保持稳定

广告软件仍然是个人领域受害最多的产品(以销量计)，每一季度增长19%。

它在商业领域中检测数量也排名前列，仅次于加密货币挖矿和银行木马。

然而，这类恶意软件的新发展在第二季度仍然很少。

一个值得注意的例外是: Mac广告软件公司Kwik使用系统配置文件作为攻击手段，这是一种相当新颖和狡猾的方法。

VPNFilter恶意软件首次亮相

一种名为VPNFilter的新型恶意软件在本季度以先进的多阶段攻击而成为新闻，据报道，这些攻击感染了50多万台小型办公设备、消费类路由器和NAS设备。

此次攻击涉及50多个国家，影响了华硕、D-Link、Linksys和Netgear等大品牌。

VPNFilter能够秘密监视网络上的所有流量，以过滤数据，提供中间人攻击，甚至摧毁被感染的设备。

这种恶意软件不仅可以获取用户名和密码，还可以修改网页，插入人工数据欺骗用户，同时，在暗处掏空账户。

VPNFilter还可以用于执行DDoS攻击，或者作为安装其他软件的催化剂，如加密货币挖矿软件。

开发工具袭击浪潮复苏

不要把它称为回归:针对开发工具的袭击在本季度经历了复苏，部分原因是利用流行软件中识别出的四个关键缺陷。

虽然供应商已经很快地发布了补丁，但是许多消费者和企业用户并没有及时地修补补丁，因此仍然暴露在外。

Adobeflash Player、VBScript引擎(Office, IE)和Adobereader中的漏洞最先在MS Office或Adobe文档中使用，这表明威胁事件已从搭便车攻击转向社会工程方案。

事实上，恶意攻击——无论是有针对性的还是通过更大规模的行动——是他们的主要传播媒介之一。

骗子以个人信息为目标

在Q2中，骗子们越来越多地针对个人识别信息(PII)。

我们首先观察到，诈骗者利用比特币骗局公然从受害者手中窃取PII。宽松的监管、有限的欺诈保护，以及交易所对比特币的支持不足，导致针对比特币钱包的社会工程攻击获利丰厚。

但随着传统技术支持骗局的受害者群体在用户意识和执法力度加大的情况下收缩，骗子们越来越频繁地窃取密码、银行账户信息和电子邮件账户。

新的GDPR法规可能会为PII盗窃事件火上浇油，因为这类信息会在黑市上攫取一笔可观的收入。

加密货币挖矿

一年过去了6个月，自从加密货币挖矿泛滥开始以来的8个月，我们看到了网络犯罪格局又一次转变的开始。

我们不确定下个季度哪个威胁将会成为最大的威胁，但它不太可能是加密货币挖矿。

Windows加密货币挖矿恶意软件的检测在第二季度有所下降，尽管该季度恶意软件占整体检测出的比例很高。

然而，6月下旬收集的数据显示，下降速度开始放缓。

自从加密货币热潮开始以来，我们检测到的商业中的加密货币挖矿次数每个月都在波动。

到2018年为止，每个季度都有某种形式的探测高峰，第一次是在1月，第二次是在5月。

到第三季度，我们可能会发现一个持续的趋势和(或)热潮，试图传播这些工具。

然而，很有可能的是，当我们进入Q3时，我们将看到商业检测数量的下降，这在个人方面已经观察到了。

2018年第一季度末，安卓中的加密货币挖矿行为的检测数量急剧上升，这让我们相信，在第二季度，我们会看到移动矿工的浪潮。

幸运的是,我们错了。

事实上，今年5月，安卓矿商的检测次数比前一个月减少了16%。然而，尽管存在这些不一致，Q2仍然比Q1多检测了244%。

在安卓领域，我们可能会看到矿商的整体使用增加。

尽管整个系统中的探测活动都有所下降，但在恶意软件(Windows、Mac、Android)和基于浏览器的版本(coprotection.com)中，加密货币仍然是本季度最常见的有效载荷之一。

低调的负载有它的优势，因为这些威胁可以在系统上停留更长时间，最终产生更大的利润。

同时，它们的发展和传播又与加密货币市场中的变化密切相关。

检测的趋势密切反映了加密货币市场价格的涨跌，包括比特币、以太币(Ethereum)和门罗币(Monero)。

人们和犯罪分子试图从流行的加密货币市场中快速赚钱，而这一现象可能不会像2017年末那样让很多人一夜暴富。

除非加密货币市场的变化导致价格飙升或迅速下滑，否则预计将会看到加密货币挖矿技术以目前的较慢的速度进入第三季度。

服务器端攻击

服务器和客户端的加密货币挖矿在很大程度上没有减少，这是由于内容管理系统(CMS)中识别出的主要漏洞，比如Drupal。

实际上，Drupalgeddon攻击(CVE-2018-7600和CVE-2018-7602)几乎立即成为了网络上坏人们的武器。

由于各种依赖项(如主题、插件)可能在核心更新后停止工作，因此升级CMS并不总是一件容易的事情。

这也是一项成本，对一些人来说，也是一个技术障碍，这意味着数十万网站仍将容易受到自动攻击。

网络攻击者可以将被入侵的网站重新定位，用于各种用途，但根据我们最近进行的一项研究，最常见的客户端有效负载是注入浏览器内的挖掘代码。

这遵循了我们自2017年9月以来一直在检测的趋势，即出现了一种我们称之为“搭便车挖矿”的新威胁，这种威胁是通过无声的应用程序界面(API)实现的，这些API利用网站访问者的浏览器挖掘加密货币。

在过去的几个月里，我们注意到模糊脚本的增加，使得识别和屏蔽web矿工变得更加困难。

这些隐匿技术是意料之中的，是一个年轻且不稳定的威胁的自然进化。

有可能，由于这些新开发的推动，我们已经看到了“搭便车”下载活动的轻微增长，这些活动主要与RIG EK攻击包有关。

这些都是由恶意广告驱动的，以及存在的流量分配系统(TDS)，如BlackTDS。

我们预计在今年余下的时间里将会有更多检测到攻击的日子。

尽管“搭便车”的比例在所有网络攻击里比以前更小，但威胁行为者很可能仍会在他们力所能及的范围内依赖社会工程技巧——至少让受害者来做一些工作。

随着越来越多的企业意识到可以通过组策略禁用公司范围内的宏和基于脚本的攻击，攻击者将采用开发等技术，不能以同样的方式禁用这些技术。

受害者过滤

随着手机诈骗在公众中的知名度越来越高，潜在受害者们产生的怀疑也越来越多。

骗子，浪费时间的人，以及对被骗的普遍抵制，都让骗局的幕后主使们付出了巨大的代价。作为回应，他们开始使用一些技术。

这是419个骗局的领导者，在发起一个骗局之前，他们用各种方法过滤最容易被欺骗的受害者。

我们观察到的常见的过滤方法包括:直接发送语音邮件，请求回复，紧跟那些不完全被说服的受害者，并要求在骗局前先支付小额的预付款。

这些方法背后的意图是预先选择那些无法或不愿对虚假的技术主张持怀疑态度的受害者，从而维持一个高价值的对象池，当不再有利可图时，可以欺骗、操纵和出售给下一个骗子。

由于持怀疑态度的受害者经常向执法部门和合法的科技公司报告，对易受骗的受害者进行过滤也可以作为一种有效的保护措施。

对第三季度的预测

预计下个季度会有大的变化

我们正处于网络犯罪世界的另一个重大变化的边缘。

在2017年的第二季度和第三季度之间，我们开始看到分布的显著变化，家族的消失，以及新技术的采用。

我们预计，我们的2018年第三季度报告将与这一报告截然不同。

对未来三个月可能出现的任何新威胁保持警惕也是明智的。

加密货币矿工将会过时

关于加密货币攻击的检测正在全面下降。这与公众对合法的加密货币挖掘的兴趣是直接相关的。

当然，我们仍将看到大量的矿工被分发和检测。

然而，看起来我们正处于“狂热”的末尾，正在进入一个更稳定的加密货币的新时代。

开发工具包仍然是一种威胁

随着韩国开发工具包活动的增加和多个新的开发工具被发现，我们仍然期望在今年余下的时间里看到更多的开发工具包活动。

然而，除非有更多的漏洞被释放，否则僵尸网络仍然不是恶意软件传播的主要方式。

威胁软件的比例将再次上升

对个人攻击的勒索软件被检测到的数量下降了，这很好。

然而，企业仍然面临着越来越多的案件，在这些案件中，勒索软件被用来对付他们的系统。

与新科技相结合，像GandCrab、SamSam和Satan这样的勒索软件的进化，使得我们可能会看到勒索软件重新掀起潮流。

个人识别信息将成为一个更显眼的目标

由于欧盟5月下旬出台的《综合数据保护条例》(GDPR)新政策，各组织将只有有限的时间来留住客户的数据，使其对犯罪分子更有价值。

这意味着我们可能会看到数据窃取威胁的增加，从间谍软件、信息偷取者到键盘记录者和优秀的老式钓鱼诈骗。

VPNFilter恶意软件会产生大量的模仿者

今年，VPNFilter的创建和分发已显示出投资于这种形式的网络犯罪的价值。因此，我们预测将看到模仿者将广泛使用的设备作为新的恶意软件的主要焦点。

关于长期的预测，我们认为IoT恶意软件的新时代可能终将到来。

结论

我们再次看到，在2018年第二季度，现实世界的趋势(加密货币价值减少)和网络威胁事件的演进之间有着明显的联系。

恶意软件的作者们正在从加密货币的热潮中挤出最后的可用汁液，在新的和旧的攻击载体中加入挖矿负载，并修改传统的恶意软件，以便将更多的钱注入到他们的圈套中。

虽然恶意软件攻击加密货币的趋势似乎是在下降，我们不认为它将永远消失。

相反，它将在恶意软件作者的武器库中取代其他恶意软件类别，等待市场价格的下一次上涨，预示着另一场加密货币游戏热潮的到来。

尽管第二季度恶意软件检测的总体数量有所下降，但我们并没有如释重负。

对更复杂形式的恶意软件进行实验，包括新的勒索软件家族和基于路由的威胁，表明网络罪犯很可能已经准备好将他们的精力转移到其他可能更危险的攻击上。