|
2013年互联网安全威胁综合报告
安天实验室
2014年1月16日
目 录
摘要
第一章 2013年恶意程序统计与分析
1.1 2013年与2012年捕获恶意程序样本数量对比
1.2 2013年捕获各类恶意程序样本数量对比
1.3 2013年与 2012年捕获恶意程序样本分类数量对比
1.4 2013 年各类恶意程序分类数量统计
1.5 2013年恶意程序样本按行为分类统计
1.6 2013年捕获恶意程序家族数量统计
1.6.1 2013年捕获恶意程序样本家族数量 TOP10 统计
1.6.2 2013年新增恶意程序家族样本数量 TOP10 统计
1.7 2013 年恶意程序加壳数量和类型统计
第二章 2013年移动互联网恶意程序统计与分析
2.1 2013年移动终端安全概况
2.2 2013年移动终端平台情况
2.2.1 总体情况
2.2.2 Android平台情况
2.2.3 Symbian平台情况
2.2.4 其他平台情况
2.3 2013年移动终端威胁情况
2.3.1 总体威胁概括
2.3.2 国内威胁情况
2.3.3 国外威胁情况
2.4 移动安全行业发展预测
2.4.1 Android平台已然成为恶意代码攻击的主要战场
2.4.2 恶意软件样本的趋利性不断增强
第三章 2013年安全事件摘要
第四章 2014年互联网安全趋势展望
摘要
2013年移动互联、云计算、大数据、可穿戴设备、物联网等诸多新技术粉墨登场给人们日常生活带来了更多的舒适和便利,但是新技术同时是把“双刃剑”,安全隐患也不容忽视各种移动漏洞层出不穷、数据泄露事件也大幅度增多……。2013年照比之前的传统恶意代码有更多的新颖与创新;随着震网、火焰等众多针对性攻击“浮出水面”,高级可持续威胁(APT)攻击在如今互联网时代无疑是深受其害公司的“一场噩梦”,针对性攻击就其复杂性、隐秘性、定向投放性等特点很难被传统的安全软件所发现,这也是各大安全公司难以应对的原因。另外,隐私泄露事件让人眼花缭乱,“棱镜门”的出现让人们更陷入对安全的担忧,在即将来临的2014,各种新攻击、新技术此起彼伏的汹涌而来,2014!该如何接招?
安天实验室对2013年互联网安全威胁进行了统计与分析,把对互联网构成的威胁进行归纳并总结为:计算机恶意程序的威胁和移动互联网恶意程序的威胁。
同时总结了2013年重要的安全事件以及2014年互联网信息安全趋势的展望。
第一章 2013年恶意程序统计与分析1.1 2013年与2012年捕获恶意程序样本数量对比
2013年安天实验室共捕获样本10887753个,与2012年的9473523个同比上升近15%,如图1所示。
图1 2013年与2012年捕获恶意程序样本数量对比图
1.2 2013年捕获各类恶意程序样本数量对比
如图2所示,从2013年捕获到的各类恶意程序样本数量对比来看,木马数量依然占据首位。
图2 2013年捕获恶意程序样本数量分布对比图
1.3 2013年与 2012年捕获恶意程序样本分类数量对比
如图3所示,2013年捕获到的恶意程序样本分类数量分布与2012年大体相同。其中,木马、蠕虫等较2012年相比数量有所增长,而病毒与后门略有下降。
图3 2013年与2012年捕获恶意程序样本分类数量对比
1.4 2013 年各类恶意程序分类数量统计
如图4所示,2013年捕获到的各类恶意程序中,木马的数量占到恶意程序总数量的一半,遥遥领先于其他类型的恶意程序。
图4 2013年捕获恶意程序分类数量占比图
1.5 2013年恶意程序样本按行为分类统计
如图5所示,2013年捕获恶意程序样本中,Downloader恶意程序的数量最大,SPY和Dropper分居二三位,相比2012年,盗号木马类恶意程序数量有所下降。
图5 2013年捕获恶意程序样本按行为分类统计
附:恶意程序行为解释
1、Downloader
下载型恶意程序,下载并安装新的恶意软件或广告件在受感染的机器上。
2、SPY
间谍类恶意程序,监测主机上的活动,并反馈给恶意程序作者,具有在系统内隐藏的能力。
3、Dropper
捆绑型恶意程序,将其他恶意程序与正常文件相结合,当用户打开被捆绑恶意程序的正常文件时,同时释放并执行恶意程序。
4、Stealer
偷窃类恶意程序,用于盗取用户的机密信息,如个人隐私、帐号、商业机密等。
5、GameThief
网游盗号类恶意程序,用于盗取用户的网络游戏账号、密码等信息。
6、Ransom
勒索、敲诈类的赎金木马程序,加密或删除用户文件,勒索或敲诈用户金钱后解密或恢复用户文件。
7、NET
侧重于网络操作类的恶意程序,例如创建大量线程扫描,或者连接网络。使网络变慢或不能正常运转。
8、FakeAV
仿冒反病毒软件或安全工具的恶意程序,利用仿冒的反病毒软件或安全工具虚假报警,恐吓用户系统中有“恶意程序”,让用户交取金钱后帮助用户“删除恶意程序”。
9、Clicker
重定向受感染的机器访问指定的 WEB 页面或其它互联网资源。常被用于提高指定网站的点击率、对指定的网站进行拒绝服务攻击、访问恶意网站受到其它的恶意程序攻击。
10、P2P
点对点类恶意程序,通常将自身复制到本地共享文件夹下,一旦成功的把自身以一个看似无害的名字安置到共享文件夹下,P2P网络就被接管:通过网络通知另外的用户有新的资源,并且提供下载,从而执行被感染的文件。
1.6 2013年捕获恶意程序家族数量统计
1.6.1 2013年捕获恶意程序样本家族数量 TOP10 统计
如表1所示,2013年捕获的恶意程序样本家族数量主要以病毒及木马为主。病毒程序由于其有感染其他文件的行为,样本数量依然庞大。
表1 2013年捕获恶意程序样本家族数量TOP10
排名 | 名称 | 样本数量 | 1 | Downloader[:not_virus]/Win32.AdLoad | 332570 | 2 | Virus/Win32.Expiro | 266726 | 3 | Trojan/Win32.Jorik | 264480 | 4 | Worm/Win32.Debris | 243478 | 5 | Trojan[SPY]/Win32.Zbot | 239524 | 6 | Virus/Win32.Virut | 231255 | 7 | Virus/Win32.Sality | 227446 | 8 | Hoax[:not_virus]/Win32.ArchSMS | 202622 | 9 | Virus/Win32.Nimnul | 192129 | 10 | Virus/Win32.Parite | 189375 |
附:TOP10家族名称解释
1、Downloader[:not_virus]/Win32.AdLoad
家族特点:这是一类以下载为目的的程序,下载程序本身是没有恶意的。他们具有从网上下载各种内容的功能,所以,经常被攻击者恶意的利用而将它下载到受害者的电脑中。
2、Virus/Win32.Expiro
家族特点:这是一种感染windows可执行文件的感染式病毒,并从受感染的电脑中收集用户信息。还允许后门访问和控制被感染的计算机,并降低IE的安全设置。
3、Trojan/Win32.Jorik
家族特点:此类木马存在大量变种,感染用户计算机后于远程服务器建立连接,并与服务器进行命令交互,以此实现远程控制的目的。其可根据服务器发送的指令,以FTP和HTTP的方式下载其他恶意程序,给被感染用户造成更大的危害。
4、Worm/Win32.Debris
家族特点:这是2013年新出现的家族,基于Windows系统的利用漏洞传播的蠕虫病毒。该蠕虫可以通过网络共享文件夹传播,同时利用垃圾邮件附件和可移动存储设备进行传播。它可以删除系统文件、限制用户访问文件夹、阻止系统程序启动(如:任务管理器和注册表编辑器)。主要目的是窃取用户信息。
5、Trojan[SPY]/Win32.Zbot
家族特点:此类木马多是出自著名僵尸网络控制组织Zbot之手,或根据Zbot已发布的恶意程序改编而来。功能上主要以盗取在线游戏账号与密码等信息为目的的木马,并可能伴随自身传播和组成僵尸网络发动大规模攻击的行为。
6、Virus/Win32.Virut
家族特点:Virut是感染可执行文件的病毒,并且每次感染的代码都不同;因为这个病毒感染时会破坏被感染程序的数据,所以经常造成反病毒软件无法正常修复被感染的程序。该病毒还将自身放置在系统还原目录中,并在每个磁盘根目录下释放autorun.inf文件,利用可移动存储介质进行传播。
7、Virus/Win32.Sality
家族特点:Sality是多态型的PE感染式病毒,感染代码具有变异性,感染以后缀为.scr和.exe的文件。同时会破坏安全相关的进程和服务。
8、Hoax[:not_virus]/Win32.ArchSMS
家族特点:这是一种假冒的压缩程序,这类压缩程序运行后会要求用户发送一条或多条短信到一个付费号码,从而获取访问压缩程序内容的授权。但大多数情况下用户只会收到一条关于如何使用BT资源的说明或者一个指向这些内容的链接。该家族的特点主要是骗取用户金钱。
9、Virus/Win32.Nimnul
家族特点:这是一种感染windows可执行文件和html文件的感染式病毒。该病毒可以释放IRC后门程序,使攻击者可以远程控制用户系统。该病毒通过注入IE进程的代码进行文件感染,并向html文件中加入VBS代码用以释放和运行病毒。
10、Virus/Win32.Parite
家族特点:该病毒首次发现于2008年末,至今已有多个变种。此类病毒感染本地及共享网络上的exe及scr为后缀名的可执行文件。感染方式是在文件尾增加一个新的区块,将病毒代码写入该区块中,被感染后的文件将先执行病毒代码,再执行原程序的代码。此外该病毒还具有删除反病毒软件注册表;结束反病毒软件进程等功能。
1.6.2 2013年新增恶意程序家族样本数量 TOP10 统计
如表2所示,2013年新增的恶意程序家族中Debris蠕虫样本数量最多。
表2 2013年新增恶意程序家族样本数量TOP10
排名 | 恶意程序家族名 | 样本数量 | 1 | Worm/Win32.Debris | 243478 | 2 | Downloader[:not_virus]/Win32.Morstar | 124823 | 3 | Trojan/Win32.SelfDel | 37017 | 4 | Trojan/Win32.Badur | 32281 | 5 | Downloader[:not_virus]/Win32.GLDCT | 30900 | 6 | Virus/Win32.Crytex | 25378 | 7 | Trojan/MSIL.Disfa | 23114 | 8 | Virus/Win32.Suspic | 18772 | 9 | Worm/Win32.Bundpil | 15090 | 10 | Trojan/Win32.Csyr | 11317 |
1.7 2013 年恶意程序加壳数量和类型统计
2013年,恶意程序样本加壳的比例由2012年的8.6%上升至2013年的17.6%,如图6所示。2013年恶意程序所使用的主要壳类型TOP 10列表如表3所示。
图6 2013年与2012年加壳样本数、总样本数统计对比
表3 2013年恶意程序所使用的壳类型数量TOP10
序号 | 壳名称 | 数量 | 1 | UPX | 863840 | 2 | PE_Patch | 424160 | 3 | ASPACK | 91802 | 4 | PECOMPACT | 69346 | 5 | ASPROTECT | 64679 | 6 | UPACK | 45332 | 7 | ZPROTECT | 28454 | 8 | Com100 | 27452 | 9 | MPRESS | 26108 | 10 | NSPACK | 21239 |
第二章 2013年移动互联网恶意程序统计与分析
2013年,随着移动智能终端和3G网络的飞速发展,移动互联网的发展可谓日新月异。再加上智能手机网民的大幅度增加,移动互联网已经成为了目前发展迅速、市场潜力巨大、前景相当诱人的产业。随之移动互联网也成为病毒攻击者的新的主流战场。
2013年,安天实验室共捕获新增恶意样本604541个,其中Android平台共捕获新增恶意样本601194个,占新增恶意样本总量的99%,成为移动安全的主要战区。Symbian平台新增恶意样本数量为3341个,已逐渐退出历史舞台。
就恶意样本的威胁类型来看,恶意扣费类软件和资费消耗类软件占到恶意软件总量的87%以上。系统破坏、隐私窃取、流氓行为类的软件占新增恶意样本的21%。体现出恶意软件的趋利性增强。
2.1 2013年移动终端安全概况
数据显示,2013年手机病毒继续呈爆发式增长,较2012年相比,一年增长近四倍,中国移动互联网的安全呈现越发严峻的趋势。
从2013年新增恶意样本数量的月统计数量来看,7月和8月数量达到十万级别,7月份最高达到113513个。2013年全年每月平均的恶意样本数量也达到77725个,是2012年平均水平的5倍。
从全年的恶意样本的变化趋势来看,移动终端新增恶意代码数据呈现出爆炸级增长。2013年7月恶意样本数量达到全年最大值,2012年恶意样本数量峰值也出现在7~8月间。就这两年的统计数据来看,7~8月份是移动终端恶意代码最为活跃的时期。
2.2 2013年移动终端平台情况
2.2.1 总体情况
2013年全年捕获到的恶意样本分布的平台主要是Android、Symbian。其中,Android平台新增恶意样本601194个,Symbian平台新增恶意样本3341个,J2me平台新增恶意样本6个。与往年捕获的恶意样本分布的平台相比,2013年的恶意样本99%出现在Android平台,其余出现在symbian平台和其他平台。
2.2.2 Android平台情况
目前Android平台的移动终端设备市场占有率已迅速扩大,针对Android平台的移动安全攻击也变得异常激烈。2013年捕获到的恶意样本中99%来源于Android平台。Android平台在2013年全年共新增601194个恶意样本,其中1月份最低,共新增35204个恶意样本,之后持续走高,到7月份达到峰值,共新增113382个恶意样本,突破十万级别。
2.2.3 Symbian平台情况
与Android平台相反,目前以Symbian为平台的移动终端设备的市场占有率逐渐减少。Symbian平台新增恶意样本为3341个。到2013年下半年,Symbian平台新增的恶意样本几乎为零,安全威胁逐年下降,预示着Symbian平台也即将退出历史舞台。
2.2.4 其他平台情况
根据2013年新增恶意样本分布平台的统计数据来看,除了Android平台和Symbian平台,其他平台仅出现新增恶意样本6个。加上Symbian平台的颓势,Android平台成为恶意软件的主流战场已经势不可挡。
2.3 2013年移动终端威胁情况
2.3.1 总体威胁概括
根据中国互联网协会发布的《移动互联网恶意代码描述规范》,共把移动互联网恶意代码威胁类型分为8种,分别是:恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为。
从统计数据来看,恶意扣费类软件占比最大,总数达到43万之多,占总量的72%,依然是恶意样本的主要威胁。其次是资费消耗类软件,全年总样本量也达到9万多,占总量的15%。系统破坏类软件占3%,隐私窃取类软件占3%,流氓行为类软件占3%,远程控制类软件占2%,诱骗欺诈类软件占1%,恶意传播类软件占1%的比例。
从以上统计图来看,恶意扣费类软件占有恶意样本威胁类型的最大比例,为总量的72%。而且在6~7月间有较大增幅,并保持居高不下的状态。其次资费消耗类软件占比也较大,达到15%,说明目前恶意软件样本的趋利性不断增强。恶意扣费类软件和资费消耗类软件在9月份都有一定幅度的下滑。与2012年同期数据相比,2013年各个威胁类型的恶意样本都有几十倍甚至上百倍的增长。
2.3.2 国内威胁情况
就国内的恶意软件威胁类型来看,系统破坏类软件占新增恶意软件总量的63.21%,成为国内恶意软件的主要威胁类型。恶意扣费类软件占14.45%,资费消耗类软件占8.87%,扣费类软件所占比例也有不断上升的趋势。流氓行为、隐私窃取和远程控制类软件也平均占到4%的比例。
2.3.3 国外威胁情况
从2013年国外恶意软件威胁类型数据来看,恶意扣费类软件占了很大的比重。相比来看,虽然国内这类软件总数的比重也较大,但也仅仅占了15%左右。系统破坏类软件在国外的恶意软件总量中仅占0.14%。由此我们也许可以看到未来国内移动恶意代码类型的发展趋势。
2.4 移动安全行业发展预测
2.4.1 Android平台已然成为恶意代码攻击的主要战场
Android平台移动终端设备的市场占有率急速上升,Symbain等其他平台的移动终端设备的市场占有率不断缩小,Symbian平台退出历史舞台似乎已成定局。因此针对Android平台的移动恶意代码数量逐步增加。根据2013年的统计数据显示,99%的移动恶意代码出现在Android平台,Android平台已然成为恶意代码攻击的主要战场,因此对于2014年,Android平台的恶意代码将是安全厂商查杀的重点。
2.4.2 恶意软件样本的趋利性不断增强
2013年,恶意扣费类软件和资费消耗类软件占到恶意软件总量的83%以上。系统破坏、隐私窃取、流氓行为类的软件各占新增恶意样本的3%左右。说明目前恶意软件的主要行为体现在其扣费行为和资费消耗行为,体现了恶意软件的趋利性不断增强。
第三章 2013年安全事件摘要
1 “棱镜计划”-----斯诺登泄密事件
6月份,美国国安局前雇员斯诺登曝出的“棱镜门”瞬间震惊全球,棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年小布什时期起开始实施的绝密电子监听计划.美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视频会议,登录时间,社交网络资料的细节,其中包括两个秘密监视项目,一是监视、监听民众电话的通话记录,二是监视民众的网络活动。
“棱镜”事件爆出,引起轩然大波让所有网民感到恐慌,保护隐私更加显得格外至关重要。
2 疯狂的“比特币”
2013年比特币汇率疯狂了翻了2500倍,大受追捧,瞬间成了神话。大批量的挖、大批量的倒卖最近一年爆出了很多比特币的安全隐患。根据美国FBI查获的案件显示,今年9月份,FBI查获毒品交易网站“丝路”(Silk Road)后,有两大比特币网站涉嫌数千万美元以上金额的比特币。其中一家网站拥有14.4万个比特币,对应的价值接近1亿美元。另外一个包含3万个比特币,价值约为2000万美元。比特币交易几乎不受法律保护匿名的支付方法,交易安全、盗窃安全、非法利用用户电脑赚取比特币等问题值得深思。
3 搜狗“窃密门”
2013年中搜狗爆出漏洞,闹出不小的风波。窃取用户敏感隐私信息,导致大量用户隐私泄露,时隔几月搜狗浏览器又爆出漏洞导致用户QQ和支付宝信息泄露。隐私问题再一次升级。
4 漏洞事件
· 微软漏洞
2013年微软漏洞成激增趋势,频出漏洞问题严重影响用户安全,典型漏洞常受恶意代码青睐。以下是安天实验室2012年与2013年漏洞统计结果。
· Java安全漏洞
1月底~2月初,Oracle似乎都因Java漏洞而被置于风口浪尖,即便是在更新后漏洞也依然存在。屡屡发生的Java安全事件甚至让美国国土安全部都开口建议禁用Java。几个月后,Oracle考虑到零日漏洞补丁的增加,改变了Java安全更新的号码排列。
· 苹果手机支付宝存图形解锁漏洞
2013年年末,网络上曝出iOS端手机支付宝存在解锁漏洞:手机在没有网络的情况下,连续输错5次支付宝图形密码,就可以重新设置图形密码,之后能直接进入支付宝账户。不少网友在动手实验后表示“确实如此”。
· 路由器漏洞
路由器后门漏洞被多次曝出,先是5月份曝出13种主流家庭与小型商业用路由器有漏洞,10月份,NetGear路由器漏洞也被曝,继D-Link后,腾达成为第二个被曝在产品中放置后门的供应商
5 韩国政府遭攻击
今年三月,韩国爆发历史上最大规模的黑客攻击,韩国主要银行、媒体、以及个人计算机均受到影响。大量企业,包括国内主流的银行、电视台计算机都被破坏及瘫痪,导致无法提供服务,大量资料被窃取。韩国部分电视及部分金融公司网络全部瘫痪,恶意代码可以直接删除硬盘文件。
6 苹果、Facebook 、Twitter 科技巨头相继被黑
今年二月,Apple、Facebook和Twitter在内的众多科技公司网站纷纷遭遇了黑客入侵,分析认为,此次大规模的黑客攻击和针对个人用户和公司的攻击手法有所不同。这次黑客采用了一种名为“水坑”(watering hole)的攻击模式,即首先攻击一个流行的、并在不同领域公司之间都拥有较高访问量的网站服务器。
第四章 2014年互联网安全趋势展望
1 大数据时代袭来,隐私泄露“硝烟再起”
具统计世界上90%的数据都是最近两年创建的,许多公司预测数据增长量将在一年内60%以上的速度增长,大数据时代袭来推动了云计算、大数据技术的繁荣昌盛发展,已经渗透到多个行业,包括制造业、IT和技术、金融服务、专业服务、医疗保健、制药和生物技术以及消费品等。毫无疑问,大数据革命已经开始。用户数据慢慢的从个人电脑转向云服务。那么隐私泄露问题将不再是窃密用户电脑信息那么复杂与多样,当所有同类数据都集中到云端的时候,一切窃密矛头直指云服务器。会有更多的“脱库“事件发生,保护隐私刻不容缓。
2 移动系统趋向“成熟期”,漏洞数量继续升温
在过去的一年中移动恶意代码多为利用移动漏洞所为,安卓系统开放且系统并不成熟,频频爆出漏洞威胁着每一个用户的隐私与财产的重要数据。智能设备系统与日俱增包括智能电视、智能机顶盒、尖端医疗机器等各种智能设备赚足了人们的眼球,掀起了智能设备的高潮,但它们背后的“脆弱”却往往被忽视。系统开发周期短暂漏洞数量数不胜数等问题导致恶意代码横飞。
3 APT攻击“稳、准、狠”、火眼金睛现原形
APT攻击是中高效、精确、的网络攻击,它的手法在于隐匿自己,正对特定对象长期有组织、有计划的行动,在近几年被频繁用于各种网络攻击事件之中,迅速给企业信息安全最大的威胁之一。在之前我们对APT的认识不够,也迷思很久,但APT事件在2013年中爆出了几乎是前几年的总和。各大安全厂商竭尽全力挖掘APT事件。我们似乎掌握了APT的动向与核心技术,我们正在和APT赛跑,APT隐匿性日渐提示在加上社交网络混乱,陷阱多多。安防体系增强、投入更多的人力挖掘更多潜在的APT威胁是值得挑战的。
4 可穿戴设备成为“新宠”,安全隐患“埋下伏笔”
可穿戴设备引领IT新潮流,安全问题成为最大盲区。可穿戴设备的焦点始终攒聚在功能和性能,而安全性并未引起足够的重视。缺失的信息安全问题也并未引起安全厂商的重视,尚没有安全厂商设计出针对可穿戴设备的安全产品。由于可穿戴设备利用无线技术回传信息,直接贴近人体最为隐私的数据,例如:用户的面孔、习惯还包括其他健康问题,用户的体温、血压等健康问题,随着可穿戴设备的功能扩展和应用的增多,涉及到的安全信息问题也会更突出,可穿戴设备的安全盲点将会给黑客带来了很大的“机遇“。
5 社交攻击智能化,巧妙实施收益大
随着科技的发展,社交的成熟,越来越多的人投身于社交网络中,2013年社交攻击成智能化发展,在2014年“社交攻击“将无处不在,将会有更多的恶意代码利用社交平台获取用户的联系方式、网络习惯等有价值的信息进行巧妙的定向投放攻击。这种攻击成功率大,方法简单等特点会被黑客大范围使用。
6 二维码铺天盖地,见码就扫设“陷阱”
如今是二维码几乎取代域名的时代,据悉,通过手机读取二维码上网的技术在日本和韩国普及度已达96%,在国内仍处于起步阶段。但是,一旦为网民所接受,二维码应用将呈现爆发性增长的状态。当2014来临之际也是二维码飞速发展之时,殊不知手机病毒也可以利用二维码技术来传播病毒,你还见码就扫吗?那么,你的钱财可能也被扫了进去。
|
|
发表于 2014-1-17 15:29