一、概述 在2016年，網(wǎng)絡(luò)攻擊給世界帶來(lái)了重大影響，甚至成為美國(guó)大選中的一個(gè)關(guān)鍵因素。

在這方面，2016年你可以看到每一個(gè)人、甚至是從來(lái)沒(méi)有登錄過(guò)網(wǎng)站的人都受到了網(wǎng)絡(luò)攻擊和黑客行為的影響。

二、報(bào)告研究基礎(chǔ) 我們的報(bào)告以下面的數(shù)據(jù)為基礎(chǔ)：

幾乎十億惡意軟件的檢測(cè)/發(fā)生。

2016年6月到11月期間的數(shù)據(jù)。

近1億個(gè)Windows和Android設(shè)備。

超過(guò)200個(gè)國(guó)家。

來(lái)源于企業(yè)和消費(fèi)者環(huán)境。

我們的報(bào)告關(guān)注六類(lèi)威脅：勒索軟件、廣告欺詐惡意軟件、Android惡意軟件、僵尸網(wǎng)絡(luò)、銀行木馬和惡意廣告軟件。

此外，我們使用的數(shù)據(jù)不僅包括感染數(shù)據(jù)，還包含來(lái)自我們自己內(nèi)部蜜罐的數(shù)據(jù)和收集的數(shù)據(jù)，這些都有利于識(shí)別惡意軟件的傳播。

三個(gè)關(guān)鍵點(diǎn)：

勒索軟件占據(jù)了新聞?lì)^條，并且成為了攻擊商業(yè)活動(dòng)最受歡迎的攻擊方法。

有時(shí)候檢測(cè)到的以Kovter為首的廣告欺詐惡意軟件比勒索軟件還要多，對(duì)消費(fèi)者和企業(yè)構(gòu)成巨大威脅。

僵尸網(wǎng)絡(luò)感染并招募了物聯(lián)網(wǎng)設(shè)備，發(fā)動(dòng)了大規(guī)模DDoS攻擊。

三、勒索軟件上升到威脅首位，重點(diǎn)針對(duì)商業(yè)活動(dòng) 在2016年，勒索軟件搶占了新聞?lì)^條，并有很好的理由。

盡管傳統(tǒng)惡意軟件，如銀行木馬、間諜軟件、和鍵盤(pán)記錄的網(wǎng)絡(luò)犯罪，在將受害者的錢(qián)接收到銀行帳戶(hù)之前，需要監(jiān)控多個(gè)步驟，而勒索軟件使這個(gè)步驟簡(jiǎn)化了很多，可以看作是自動(dòng)化處理。

腳本小子甚至可以購(gòu)買(mǎi)勒索軟件工具包，被稱(chēng)為“勒索軟件即服務(wù)(RaaS)”，它可以將所有復(fù)雜的障礙從數(shù)字盜竊中去除。

僅在2016年第四季度，我們就編目了近400個(gè)勒索軟件的變種，大部分是一些新犯罪團(tuán)體為了獲得利潤(rùn)而創(chuàng)建的。

勒索軟件的趨勢(shì)不是新的，然而，正如我們已經(jīng)看到的，它的傳播在過(guò)去兩年有很大增長(zhǎng)，并觀察到特定的惡意軟件家族上升到了網(wǎng)絡(luò)犯罪交易的首位。

勒索軟件的傳播從2016年1月到2016年11月增長(zhǎng)了267%。

這個(gè)威脅景觀占據(jù)了前所未有的統(tǒng)治地位，這是以前從來(lái)沒(méi)有見(jiàn)到過(guò)的。

1. 受勒索軟件影響最多的前十個(gè)國(guó)家 上圖是受勒索軟件最多的前十個(gè)國(guó)家，美國(guó)是檢測(cè)到勒索軟件最多的國(guó)家，這一點(diǎn)不必驚訝。

來(lái)自世界各地和東歐的許多團(tuán)體都以美國(guó)為目標(biāo)，這不僅是因?yàn)槊绹?guó)民眾對(duì)技術(shù)有廣泛的可及性，還因?yàn)樗麄冎Ц囤H金的方式，以及他們的意識(shí)形態(tài)觀點(diǎn)。

有一個(gè)國(guó)家似乎從這個(gè)名單上消失了，這就是俄羅斯，因?yàn)槎砹_斯公民牢牢掌握了計(jì)算機(jī)的安全，而且，有一個(gè)現(xiàn)象就是俄羅斯勒索軟件開(kāi)發(fā)者可能很少攻擊他們自己人。

2. 勒索軟件在各大洲的分布3. 2016年最流行的勒索軟件家族 2016年，在勒索軟件游戲中有三個(gè)主要玩家。

其中的一個(gè)已經(jīng)退出了比賽，其它兩個(gè)還在繼續(xù)爭(zhēng)奪統(tǒng)治地位。

它們是：TeslaCrypt、Locky、Cerber。

在下表中，你能看到2016年其它一些突出的勒索軟件家族。

在2016年初，TeslaCrypt曾大規(guī)模傳播，但是在5月份TeslaCrypt被關(guān)閉了，并為所有受害者釋放出了解密密鑰。

當(dāng)TeslaCrypt被關(guān)閉后，它創(chuàng)造的真空期很快被其它兩個(gè)家族占據(jù)了，它們是Locky和Cerber。

它們幾乎占滿(mǎn)了整個(gè)2016年第三季度和第四季度，不過(guò)在3月和5月時(shí)，它們的傳播水平已經(jīng)幾乎和TeslaCrypt一樣了。

檢測(cè)到勒索軟件的不同、即使是在高發(fā)區(qū)

在企業(yè)環(huán)境中檢測(cè)到的勒索軟件有81%發(fā)生在北美洲。

在家庭/消費(fèi)者環(huán)境檢測(cè)到的勒索軟件有51%發(fā)生在歐洲。

勒索軟件網(wǎng)絡(luò)犯罪份子將他們的努力集中在了商業(yè)活動(dòng)中，特別是北美企業(yè)，毫無(wú)疑問(wèn)，他們可能意識(shí)到這些公司可以損失的東西很多、并且有很多支付資源。

在全球范圍內(nèi)，在12.3%的企業(yè)交易活動(dòng)中探測(cè)到了勒索軟件，但是在消費(fèi)者端，只有1.8%。

四、廣告欺詐惡意軟件嚴(yán)重攻擊著美國(guó)人 盡管在2016年勒索軟件占據(jù)著統(tǒng)治地位，但是廣告欺詐惡意軟件的表現(xiàn)也很突出。

實(shí)際上，探測(cè)到的廣告欺詐惡意軟件，尤其是Kovter惡意軟件，在夏天的幾個(gè)月里能媲美勒索軟件。

1. 發(fā)現(xiàn)廣告欺詐的前10個(gè)國(guó)家2. 近看Kovter廣告欺詐惡意軟件 Kovter是目前發(fā)現(xiàn)的最先進(jìn)的惡意軟件家族。

它包含了復(fù)雜的功能，如文件不用落盤(pán)，擁有只創(chuàng)建一個(gè)注冊(cè)表鍵值就可以感染系統(tǒng)的能力，這讓很多反病毒產(chǎn)品很難探測(cè)到它。

另外，Kovter采用rootkit功能來(lái)進(jìn)一步隱藏自身的存在，并會(huì)積極的識(shí)別和關(guān)閉安全解決方案。

盡管Kovter不是新的，它第一次出現(xiàn)是在2015年，一直被用作其他惡意軟件家族的下載者，一個(gè)負(fù)責(zé)偷取個(gè)人信息的工具，一個(gè)用于獲得系統(tǒng)訪問(wèn)權(quán)的后門(mén)。

然而在2016年，我們觀察到它開(kāi)始被用作廣告欺詐惡意軟件，這種惡意軟件可以被用于劫持系統(tǒng)，并使用它去訪問(wèn)網(wǎng)站、點(diǎn)擊廣告，這是為了在廣告競(jìng)價(jià)活動(dòng)(被稱(chēng)為點(diǎn)擊劫持)中創(chuàng)造更多的點(diǎn)擊量。

除了以這樣的方式運(yùn)用這種惡意軟件外，在2016年Kovter的傳播也發(fā)生了變化，Kovter以前主要是通過(guò)驅(qū)動(dòng)器漏洞和利用工具包來(lái)傳播，現(xiàn)在也看到了它使用大量的惡意釣魚(yú)郵件。

這種傳播方法的變化，結(jié)合Kovter的傳播者更喜歡將美國(guó)人作為目標(biāo)這個(gè)事實(shí)，使Kovter在2016年成為了美國(guó)人面對(duì)的最大威脅之一，同時(shí)Kovter攻擊美國(guó)人比其它任何人都多，占到了68.64%。

3. 各國(guó)檢測(cè)到的Kovter分布 Kovter在方法和傳播上的改變是有意義的，因?yàn)樗磻?yīng)了勒索軟件的增長(zhǎng)趨勢(shì)：Kovter和勒索軟件兩者都為攻擊者提供了直接的利潤(rùn)來(lái)源，從而不用靠給其它罪犯出售密碼庫(kù)、信用卡信息、及社交媒體帳戶(hù)來(lái)獲得利潤(rùn)。

這種攻擊可以向受害人要求報(bào)酬，用于恢復(fù)他們的重要文件。

或利用受害人去欺詐廣告業(yè)，從而可以在較少的努力下得到更多的利潤(rùn)。

五、僵尸網(wǎng)絡(luò)利用物聯(lián)網(wǎng)設(shè)備制造大破壞 僵尸網(wǎng)絡(luò)在過(guò)去10年里是部署惡意軟件最常用的機(jī)制之一。

這些年我們看到僵尸網(wǎng)絡(luò)采用了一個(gè)新的戰(zhàn)術(shù)：攻擊、感染和雇傭物聯(lián)網(wǎng)絡(luò)設(shè)備成為僵尸網(wǎng)絡(luò)的一部分，如聯(lián)接到互聯(lián)網(wǎng)的恒溫調(diào)節(jié)器、或家用安全攝像機(jī)。

2016年最受關(guān)注的僵尸網(wǎng)絡(luò)被稱(chēng)為Mirai，一個(gè)開(kāi)源的惡意軟件，它能感染設(shè)備，并從一個(gè)命令和控制服務(wù)器上獲取命令。

在9月下旬，使用Mirai僵尸網(wǎng)絡(luò)的大規(guī)模攻擊行動(dòng)入侵了很多物聯(lián)網(wǎng)設(shè)備和家用路由器，所有受感染的設(shè)備都從一個(gè)單一的源接收命令，當(dāng)僵尸網(wǎng)絡(luò)軍隊(duì)集結(jié)完畢后，攻擊者使用分布式拒絕服務(wù)攻擊打倒了幾個(gè)著名的網(wǎng)站。

一個(gè)月后，Mirai攻擊了互聯(lián)網(wǎng)的一個(gè)骨干區(qū)域，Dyn，并且這種做法阻止了數(shù)以百萬(wàn)計(jì)的用戶(hù)訪問(wèn)熱門(mén)網(wǎng)站，如Twitter、Reddit、和Netfpx。

Mirai在功能上不僅能掃描連接到互聯(lián)網(wǎng)的設(shè)備，還能使用一個(gè)內(nèi)部的用戶(hù)名和密碼數(shù)據(jù)庫(kù)，去獲得設(shè)備的訪問(wèn)權(quán)，這是Mirai的一個(gè)重要功能。

在Mirai進(jìn)入設(shè)備并感染它后，Mirai根據(jù)操作者的命令，可以向任何目標(biāo)發(fā)動(dòng)DDoS攻擊。

我們看到起源于流行僵尸網(wǎng)絡(luò)家族的變種在亞洲和歐洲在增加。

例如，Kephos僵尸網(wǎng)絡(luò)在七月份增加了785%，到了十月份增加到960%。

IRCBot僵尸網(wǎng)絡(luò)在八月份增加了667%。

Qbog僵尸網(wǎng)絡(luò)在十一月份增加了261%。

1. 分布在各大洲的僵尸網(wǎng)絡(luò) 上圖為僵尸網(wǎng)絡(luò)在各大洲的分布狀況，亞洲的僵尸網(wǎng)絡(luò)占到了61.15%，其次是歐洲，占到14.97%。

德國(guó)處理了大量的僵尸網(wǎng)絡(luò)問(wèn)題，從2015年到2016年，在該國(guó)檢測(cè)到的僵尸網(wǎng)絡(luò)數(shù)量增加了550%。

2. 網(wǎng)絡(luò)罪犯改變了惡意軟件傳播策略 2016年，在釣魚(yú)郵件中使用腳本附件是惡意軟件傳播方法的最大改變之一。

這些腳本通常駐留在壓縮文件中，一旦打開(kāi)并觸發(fā)了它們，它們會(huì)訪問(wèn)遠(yuǎn)程服務(wù)器，并在系統(tǒng)中下載和安裝惡意軟件。

另一個(gè)在2016年又流行的方式是使用包含宏腳本的Office文檔(.docx,.xlsx,等等)，一旦用戶(hù)打開(kāi)文件并啟用宏后，惡意軟件就會(huì)被執(zhí)行。

通常會(huì)使用社會(huì)工程學(xué)策略，攻擊者會(huì)哄騙用戶(hù)啟用宏功能，惡意宏在系統(tǒng)中會(huì)下載并運(yùn)行惡意軟件。

建立在原有感染方法之上，攻擊者通過(guò)發(fā)送受保護(hù)的ZIP文件和Office文件來(lái)增加復(fù)雜性，并在釣魚(yú)郵件中包含解壓密碼。

這增加了攻擊的合理性，同時(shí)，這也是一種有效的對(duì)抗電子郵件自動(dòng)分析的方法，包括蜜罐和沙箱。

在6月份，通過(guò)利用工具包，使用宏腳本的數(shù)量增加很多。

這是因?yàn)锳ngler利用工具包，一個(gè)2015年到2016年初的主要的利用工具包，后來(lái)它的服務(wù)被關(guān)閉了。

然而，RIG利用工具包迅速代替了Angler的位置，并且在2017年我們可能會(huì)看到更多。

六、Android惡意軟件變得更聰明 在過(guò)去幾年里，手機(jī)威脅景觀并沒(méi)有改變很多。

Android惡意軟件創(chuàng)造者主要是在追趕現(xiàn)代Windows桌面惡意軟件的功能，當(dāng)這些功能涉及到Android操作系統(tǒng)時(shí)，可能比較困難。

然而在2016年，一個(gè)值得注意的趨勢(shì)是使用隨機(jī)化的惡意軟件作者增加了，這可以被用于逃避手機(jī)安全引擎的探測(cè)。

這導(dǎo)致了被檢測(cè)到的Android惡意軟件增加了很多。

分布在各國(guó)的Android惡意軟件 有趣的是，巴西，印度尼西亞，菲律賓和墨西哥是檢測(cè)到Android惡意軟件前10位的國(guó)家。

在發(fā)展中國(guó)家檢測(cè)到很多流行的Android惡意軟件，主要是因?yàn)樵谶@些國(guó)家廣泛使用了不安全的第三方應(yīng)用商店。

七、惡意軟件攻擊在國(guó)家和地理上的差異 我們的數(shù)據(jù)顯示，在不同區(qū)域使用的攻擊方法和惡意軟件有所不同。

針對(duì)美國(guó)和歐洲的攻擊是高度分化的。

在美國(guó)探測(cè)到了大多數(shù)類(lèi)型的惡意軟件，并且探測(cè)到的每一個(gè)類(lèi)威脅總量都要領(lǐng)先于其它所有國(guó)家，除了銀行木馬類(lèi)型，這一類(lèi)型的攻擊在土耳其是最多的。

在本報(bào)告關(guān)注的惡意軟件類(lèi)型中，歐洲是惡意軟件纏身最深的大陸，歐洲的感染量比北美洲多了20%，比大洋洲更是高了17倍。

1.在勒索軟件方面，歐洲領(lǐng)先于所有其它大陸：有49%的勒索軟件是在基于歐洲的設(shè)備中探測(cè)到的。

2.在Android惡意軟件方面，有31%的Android惡意軟件是在基于歐洲的設(shè)備中探測(cè)到的。

3.在惡意廣告軟件方面：有37%的惡意廣告軟件是在基于歐洲的設(shè)備中探測(cè)到的。

歐洲的惡意軟件將目光投向法國(guó)、英國(guó)、和西班牙 在歐洲被惡意軟件攻擊最多的國(guó)家是法國(guó)、英國(guó)、和西班牙。

針對(duì)英國(guó)的惡意軟件總量?jī)H次于法國(guó)。

在我們6個(gè)月的研究期內(nèi)，我們看到英國(guó)的事件幾乎是俄羅斯的兩倍。

德國(guó)受勒索軟件的影響排在第二位，排在美國(guó)后面。

一個(gè)接受的理論是：惡意軟件作者在廣泛傳播他們的成品前，會(huì)先將德國(guó)作為了一個(gè)試驗(yàn)場(chǎng)。

同時(shí)，俄羅斯受勒索軟件的影響是不均衡的(和其它國(guó)家相比，勒索軟件對(duì)俄羅斯的影響較小)，但俄羅斯卻是銀行木馬的熱門(mén)目標(biāo)。

八、2017預(yù)測(cè)1. 勒索軟件 在2016年年末，主要的勒索軟件占據(jù)了重要的舞臺(tái)，我們不太可能看到很多新的先進(jìn)的勒索軟件家族在Cerber和Locky的成熟和大規(guī)模滲透下進(jìn)入市場(chǎng)。

其中的許多將利用勒索軟件的流行在網(wǎng)絡(luò)犯罪中迅速發(fā)展。

這種趨勢(shì)從2016年開(kāi)始還將斷續(xù)延續(xù)。

在2016年后六個(gè)月里探測(cè)到的勒索軟件變種中，有60%從出現(xiàn)到現(xiàn)在還不到一年，這進(jìn)一步說(shuō)明了一個(gè)事實(shí)：今天存在的大多數(shù)勒索軟件是由新手開(kāi)發(fā)的，并帶到了勒索軟件行業(yè)中。

我們可能會(huì)看到更多的變種，它們會(huì)修改受害計(jì)算機(jī)的主引導(dǎo)記錄(MBR)。

MBR是系統(tǒng)能將自己引導(dǎo)到操作系統(tǒng)狀態(tài)的關(guān)鍵組件，一旦被修改，系統(tǒng)將會(huì)被引導(dǎo)到惡意軟件設(shè)置的一個(gè)鎖屏狀態(tài)，并要求贖金用于解密文件，及恢復(fù)主操作系統(tǒng)的訪問(wèn)權(quán)。

此功能的添加將受害者的選項(xiàng)減少到只有兩個(gè)：要么支付贖金，要么把系統(tǒng)徹底擦干凈。

2. 惡意軟件傳播 多年來(lái)，我們觀察到在惡意軟件的傳播方式中最穩(wěn)定的只有一個(gè)：通過(guò)電子郵件傳播。

網(wǎng)絡(luò)釣魚(yú)攻擊，包含惡意附件，這種方法在2016年下半年有一個(gè)很大的反彈。

然而，我們預(yù)測(cè)在不久的將來(lái)，利用工具包(特別是RIG)有可能會(huì)再一次成為標(biāo)準(zhǔn)的惡意軟件傳播方式。

由于源于釣魚(yú)郵件的下載者和安裝惡意軟件會(huì)有新的發(fā)展，以及使用包含宏腳本的Office文檔，在未來(lái)我們不會(huì)看到釣魚(yú)攻擊方法會(huì)消失，這種攻擊方法在今年剩下的時(shí)間里，將繼續(xù)維持在穩(wěn)定的水平，并可能會(huì)變得復(fù)雜。

3. 物聯(lián)網(wǎng) 利用物聯(lián)網(wǎng)設(shè)備的新網(wǎng)絡(luò)攻擊在激增，加上對(duì)物聯(lián)網(wǎng)產(chǎn)業(yè)安全的關(guān)注不足，導(dǎo)致像Mirai的僵尸網(wǎng)絡(luò)有能力攻擊互聯(lián)網(wǎng)的骨干區(qū)域。

不論物聯(lián)網(wǎng)產(chǎn)業(yè)決定做什么---未雨綢繆或完全忽視安全---2017年新的物聯(lián)網(wǎng)攻擊策略大門(mén)已經(jīng)被類(lèi)似于Mirai的惡意軟件打開(kāi)。