本报告中的统计数据是基于卡巴斯基用户自愿共享的检测数据。
一、第三季度相关数字
根据卡巴斯基安全网络(KSN):
· 卡巴斯基安全解决方案共阻止了来自全球203个国家/地区的在线资源发起的947,027,517次攻击。
· 卡巴斯基的Web反病毒组件共识别出246,695,333个唯一恶意URL。
· 在305,315个用户的计算机上发现了针对在线银行账户的恶意软件感染
· 共有259,867个不同的用户遭到勒索软件攻击
· 我们的文件反病毒系统记录了239,177,356个不同的恶意或潜在有害的样本
· 卡巴斯基的移动安全解决方案共检测到:
o 1,305,015个恶意安装包
o 55,101个移动银行木马恶意安装包
o 13,075个移动勒索软件木马安装包
二、移动威胁
2.1、Q3相关事件
本季度最大的新闻或许是银行木马Trojan-Banker.AndroidOS.Asacub。该木马的恶意活动在9月份达到了顶峰,超过25万个不同的用户遭到攻击–这还只是安装了卡巴斯基产品的用户的统计数据。
2017年到2018年遭到移动银行木马Asacub攻击的用户数量
到目前为止,在我们观察到的移动威胁之中,银行木马Asacub的攻击规模是最大的。该木马的版本号是连续的,这意味着同一个攻击者发起了这些攻击。统计所有受影响的用户的数量不太可能,但这种大规模的恶意活动至少需要感染上万的用户才能获利。
2.2、移动威胁的统计分析
在2018年第三季度,卡巴斯基实验室共检测到1,305,015个恶意安装包,比上一季度减少了439,229个。
2017 Q3 –2018 Q3,恶意安装包的数量
2.2.1、恶意移动app的类型分布
在2018年Q3检测到的所有威胁当中,潜在有害的灰色软件(RiskTool)的份额最大(52.05%);与上一季度相比,下降了3.3个百分点。RiskTool.AndroidOS.SMSreg家族的成员居功至伟。
2018年Q2-Q3,恶意移动app的类型分布
第二名是Trojan-Dropper,占22.57%,与上一季度相比增长了9个百分点。这类恶意文件大多属于Trojan-Dropper.AndroidOS.Piom、Trojan-Dropper.AndroidOS.Wapnor和Trojan-Dropper.AndroidOS.Hqwar家族。
广告app的份额继续下降,占6.44%(2018年Q2是8.91%)。
统计数据表明针对财务信息的移动威胁在2018年数量不断增长(移动银行木马在Q1的份额是1.5%,到了Q3增长到了4.38%)。
移动恶意软件TOP 20
|
Verdicts* |
%** |
|
|
1 |
DangerousObject.Multi.Generic |
55.85 |
|
2 |
Trojan.AndroidOS.Boogr.gsh |
11.39 |
|
3 |
Trojan-Banker.AndroidOS.Asacub.a |
5.28 |
|
4 |
Trojan-Banker.AndroidOS.Asacub.snt |
5.10 |
|
5 |
Trojan.AndroidOS.Piom.toe |
3.23 |
|
6 |
Trojan.AndroidOS.Dvmap.a |
3.12 |
|
7 |
Trojan.AndroidOS.Triada.dl |
3.09 |
|
8 |
Trojan-Dropper.AndroidOS.Tiny.d |
2.88 |
|
9 |
Trojan-Dropper.AndroidOS.Lezok.p |
2.78 |
|
10 |
Trojan.AndroidOS.Agent.rt |
2,74 |
|
11 |
Trojan-Banker.AndroidOS.Asacub.ci |
2.62 |
|
12 |
Trojan-Banker.AndroidOS.Asacub.cg |
2.51 |
|
13 |
Trojan-Banker.AndroidOS.Asacub.ce |
2.29 |
|
14 |
Trojan-Dropper.AndroidOS.Agent.ii |
1,77 |
|
15 |
Trojan-Dropper.AndroidOS.Hqwar.bb |
1.75 |
|
16 |
Trojan.AndroidOS.Agent.pac |
1.61 |
|
17 |
Trojan-Dropper.AndroidOS.Hqwar.ba |
1.59 |
|
18 |
Exploit.AndroidOS.Lotoor.be |
1.55 |
|
19 |
Trojan.AndroidOS.Piom.uwp |
1.48 |
|
20 |
Trojan.AndroidOS.Piom.udo |
1.36 |
*该排名并未包含任何潜在有害的程序,如灰色软件或广告软件
**遭受该恶意软件攻击的唯一用户数占所有遭受攻击的卡巴斯基移动用户数量的比例
第一名又一次花落DangerousObject.Multi.Generic(55.85%)。
第二名是Trojan.AndroidOS.Boogr.gsh(11.39%)。
第三名和第四名都是移动银行木马Asacub家族的代表– Trojan-Banker.AndroidOS.Asacub.a(5.28%)和Trojan-Banker.AndroidOS.Asacub.snt(5.10%)。
2.2.2、移动威胁的地理分布
2018年Q3,移动恶意软件的感染地图
遭到移动恶意软件攻击的用户比例较高的国家排名(Top 10):
|
国家* |
%** |
|
|
1 |
孟加拉 |
35.91 |
|
2 |
尼日利亚 |
28.54 |
|
3 |
伊朗 |
28.07 |
|
4 |
坦桑尼亚 |
28.03 |
|
5 |
中国 |
25.61 |
|
6 |
印度 |
25.25 |
|
7 |
巴基斯坦 |
25.08 |
|
8 |
印度尼西亚 |
25.02 |
|
9 |
菲律宾 |
23.07 |
|
10 |
阿尔及利亚 |
22.88 |
*该排名不包括卡巴斯基移动反病毒软件用户相对较少的国家(少于1万)
**该国家遭到攻击的唯一用户占该国家所有卡巴斯基移动反病毒软件用户的百分比
在2018年第三季度,孟加拉国(35.91%)仍然是移动用户受攻击比例排行榜的榜首。尼日利亚(28.54%)排在第二。第三和第四分别是伊朗(28.07%)和坦桑尼亚(28.03%)。
2.3、移动银行木马
在报告期内,我们共检测到55,101个移动银行木马安装包,比2018年Q2减少了约6000个。
最大的贡献来自于银行木马Trojan-Banker.AndroidOS.Hqwar.jck家族–占检测到的所有银行木马的35%。其次是Trojan-Banker.AndroidOS.Asacub,占29%。
2017 Q3-2018 Q3,卡巴斯基检测到的移动银行木马安装包数量
|
Verdicts |
%* |
|
|
1 |
Trojan-Banker.AndroidOS.Asacub.a |
33.27 |
|
2 |
Trojan-Banker.AndroidOS.Asacub.snt |
32.16 |
|
3 |
Trojan-Banker.AndroidOS.Asacub.ci |
16.51 |
|
4 |
Trojan-Banker.AndroidOS.Asacub.cg |
15.84 |
|
5 |
Trojan-Banker.AndroidOS.Asacub.ce |
14.46 |
|
6 |
Trojan-Banker.AndroidOS.Asacub.cd |
6.66 |
|
7 |
Trojan-Banker.AndroidOS.Svpeng.q |
3.25 |
|
8 |
Trojan-Banker.AndroidOS.Asacub.cf |
2.07 |
|
9 |
Trojan-Banker.AndroidOS.Asacub.bz |
1.68 |
|
10 |
Trojan-Banker.AndroidOS.Asacub.bw |
1.68 |
*遭受该恶意软件攻击的唯一用户数占所有遭受银行木马攻击的卡巴斯基移动用户数量的比例
在2018年第三季度,移动银行木马的TOP 10几乎都是Trojan-Banker.AndroidOS.Asacub的变种(前十之中占了九席)。
2018年Q3,移动银行威胁的地理分布
遭到移动银行木马攻击的用户比例较高的国家排名(Top 10):
|
国家* |
%** |
|
|
1 |
俄罗斯 |
2.18 |
|
2 |
南非 |
2.16 |
|
3 |
马来西亚 |
0.53 |
|
4 |
乌克兰 |
0.41 |
|
5 |
澳大利亚 |
0.39 |
|
6 |
中国 |
0.35 |
|
7 |
韩国 |
0.33 |
|
8 |
塔吉克斯坦 |
0.30 |
|
9 |
美国 |
0.27 |
|
10 |
波兰 |
0.25 |
*该排名不包括卡巴斯基移动反病毒软件用户相对较少的国家(少于1万)
**该国家遭到移动银行木马攻击的唯一用户数占该国家所有卡巴斯基移动反病毒软件用户的百分比
在2018年第三季度,由于银行木马Asacub的活跃,俄罗斯排在遭受银行木马攻击的移动用户比例Top 10国家的榜首。上一季度的第一名USA本季度掉到了第九(0.27%)。本季度的第二和第三分别是南非(2.16%)和马来西亚(0.53%)。
2.4、移动勒索软件木马
在2018年第三季度,我们共检测到 13,075个移动勒索软件木马安装包,比第二季度减少了1044个。
2017 Q3-2018 Q3,卡巴斯基实验室检测到的移动勒索软件木马安装包的数量
|
Verdicts |
%* |
|
|
1 |
Trojan-Ransom.AndroidOS.Svpeng.ag |
47.79 |
|
2 |
Trojan-Ransom.AndroidOS.Svpeng.ah |
26.55 |
|
3 |
Trojan-Ransom.AndroidOS.Zebt.a |
6.71 |
|
4 |
Trojan-Ransom.AndroidOS.Fusob.h |
6.23 |
|
5 |
Trojan-Ransom.AndroidOS.Rkor.g |
5.50 |
|
6 |
Trojan-Ransom.AndroidOS.Svpeng.snt |
3.38 |
|
7 |
Trojan-Ransom.AndroidOS.Svpeng.ab |
2.15 |
|
8 |
Trojan-Ransom.AndroidOS.Egat.d |
1.94 |
|
9 |
Trojan-Ransom.AndroidOS.Small.as |
1.43 |
|
10 |
Trojan-Ransom.AndroidOS.Small.cj |
1.23 |
*遭受该恶意软件攻击的唯一用户数占所有遭受勒索软件木马攻击的卡巴斯基移动用户数量的比例
在2018年第三季度,传播最广泛的移动勒索软件是Svpeng家族– Trojan-Ransom.AndroidOS.Svpeng.ag(47.79%)和Trojan-Ransom.AndroidOS.Svpeng.ah(26.55%)。这两个代表加起来占本季度所有移动勒索软件木马攻击的四分之三。一度很流行的Zebt家族和Fusob家族现在大幅下降,掉到了第三和第四,分别是Trojan-Ransom.AndroidOS.Zebt.a(6.71%)和Trojan-Ransom.AndroidOS.Fusob.h(6.23%)。
2018年Q3,移动勒索软件木马的地理分布
遭到移动勒索软件木马攻击的用户比例较高的国家排名(Top 10):
|
国家* |
%** |
|
|
1 |
美国 |
1.73 |
|
2 |
哈萨克斯坦 |
0.36 |
|
3 |
中国 |
0.14 |
|
4 |
意大利 |
0.12 |
|
5 |
伊朗 |
0.11 |
|
6 |
比利时 |
0.10 |
|
7 |
瑞士 |
0.09 |
|
8 |
波兰 |
0.09 |
|
9 |
墨西哥 |
0.09 |
|
10 |
罗马尼亚 |
0.08 |
*该排名不包括卡巴斯基移动反病毒软件用户相对较少的国家(少于1万)
**该国家遭到移动勒索软件木马攻击的唯一用户数占该国家所有卡巴斯基移动反病毒软件用户的百分比
与第二季度一样,第一名是美国(1.73%)。哈萨克斯坦上升了一位,排在第二(0.6%)。中国从第七名上升至第三名(0.14%)。
三、IoT威胁
在本季度的报告中,我们决定只分析Telnet攻击的统计数据。原因如下表所示,Telnet攻击占据了绝大多数的恶意软件类型,并且是最为频繁的攻击类型。
|
Telnet |
99,4% |
|
SSH |
0,6% |
2018年Q3,遭到攻击的服务分布(基于遭到攻击的不同IP地址的数量进行统计)
3.1、Telnet攻击
2018年Q3,遭到攻击的设备IP地址的地理分布(基于卡巴斯基的蜜罐数据)
攻击来源国家的Top 10(基于卡巴斯基的蜜罐数据):
|
国家/地区 |
%* |
|
|
1 |
中国 |
27.15% |
|
2 |
巴西 |
10.57% |
|
3 |
俄罗斯 |
7.87% |
|
4 |
埃及 |
7.43% |
|
5 |
美国 |
4.47% |
|
6 |
韩国 |
3.57% |
|
7 |
印度 |
2.59% |
|
8 |
中国台湾 |
2.17% |
|
9 |
土耳其 |
1.82% |
|
10 |
意大利 |
1.75% |
*每个国家/地区的受感染设备占全球用于发起Telnet攻击的IoT设备数量的百分比
根据卡巴斯基实验室的蜜罐数据,2018年第三季度攻击来源国家排行榜(基于唯一IP地址的数量统计)的第一名是中国(23.15%)。第二季度的冠军巴西本季度排在第二(10.57%)。第三名是俄罗斯(7.87%)。
在Telnet攻击中最常被下载的恶意软件是Downloader.Linux.NyaDrop.b(62.24%)。该恶意软件相当令人印象深刻,它包含一段shell code,可以从刚刚的攻击来源计算机上下载其它恶意软件,而且不调用任何其它工具 – 它所有的行为都通过系统调用进行。换句话说,NyaDrop就是那种全能士兵,它可以无视环境自行完成任务。
下载NyaDrop最多的是木马家族Backdoor.Linux.Hajime,因为Hajime可以将NyaDrop当作一个十分好使的自我传播手段。该流程十分有意思:
1. 成功感染设备后,Hajime会扫描网络,以期发现新的受害者。
2. 一旦发现合适的目标,就会向该设备下载一个轻量级NyaDrop(只有480个字节)
3. NyaDrop再回头联系感染源,慢慢下载Hajime(这货比较大)
所有的步骤都是必须的,因为虽然通过Telnet执行命令不难,但通过Telnet下载文件却是一个相当大的挑战。例如,下面是创建NyaDrop文件时的命令:
echo -ne "x7fx45x4cx46x01x01x01x00x00可以通过这种方式发送480个字节,但显然发送60KB的内容有些困难。
在Telnet攻击中下载最多的恶意软件(Top 10):
|
Verdicts |
%* |
|
|
1 |
Trojan-Downloader.Linux.NyaDrop.b |
62.24% |
|
2 |
Backdoor.Linux.Mirai.ba |
16.31% |
|
3 |
Backdoor.Linux.Mirai.b |
12.01% |
|
4 |
Trojan-Downloader.Shell.Agent.p |
1.53% |
|
5 |
Backdoor.Linux.Mirai.c |
1.33% |
|
6 |
Backdoor.Linux.Gafgyt.ay |
1.15% |
|
7 |
Backdoor.Linux.Mirai.au |
0.83% |
|
8 |
Backdoor.Linux.Gafgyt.bj |
0.61% |
|
9 |
Trojan-Downloader.Linux.Mirai.d |
0.51% |
|
10 |
Backdoor.Linux.Mirai.bj |
0.37% |
* Telnet攻击中下载至IoT设备上的每一种恶意软件的占比
该排名与上一季度变化不大:Top 10中的五个席位都被Mirai的不同变体所占据。看起来迄今为止Mirai仍然是传播最为广泛的IoT恶意软件。
四、金融威胁
4.1、Q3相关事件
Q2发现的新银行木马DanaBot在Q3继续迅猛发展。新变体不仅包含新的C&C通信协议,而且扩大了攻击目标列表。该木马在Q2主要针对澳大利亚和波兰,但在Q3开始针对奥地利、德国和意大利的企业。
简要回顾一下,DanaBot具有模块化的结构,可以加载许多模块,包括用于拦截流量和窃取密码以及加密货币钱包的模块等。该木马主要通过包含恶意office文档的垃圾邮件传播。
4.2、金融威胁的统计分析
在2018年第三季度,卡巴斯基安全解决方案共帮助305,315个用户阻止了针对在线银行账户的恶意软件感染企图。
2018年Q3,遭到金融恶意软件攻击的唯一用户数量
4.2.1、攻击的地理分布
为了评估和比较全球范围内的银行木马和ATM/POS恶意软件的感染风险,我们统计了报告期内各个国家遭到此类威胁攻击的卡巴斯基用户占该国家所有卡巴斯基用户的比例。
2018年Q3,银行恶意软件攻击的地理分布
遭到银行恶意软件攻击的用户比例较高的国家排名(Top 10):
|
国家* |
%** |
|
|
1 |
德国 |
3.0 |
|
2 |
韩国 |
2.8 |
|
3 |
希腊 |
2.3 |
|
4 |
马来西亚 |
2.1 |
|
5 |
塞尔维亚 |
2.0 |
|
6 |
阿联酋 |
1.9 |
|
7 |
葡萄牙 |
1.9 |
|
8 |
立陶宛 |
1.9 |
|
9 |
印度尼西亚 |
1.8 |
|
10 |
柬埔寨 |
1.8 |
*该排名不包括卡巴斯基用户相对较少的国家(少于1万)
**该国家遭到银行恶意软件攻击的唯一用户数占该国家所有卡巴斯基用户的百分比
银行恶意软件家族排名(Top 10):
|
Name |
Verdicts |
%* |
||
|
1 |
Zbot |
Trojan.Win32.Zbot |
25.8 |
|
|
2 |
Nymaim |
Trojan.Win32.Nymaim |
18.4 |
|
|
3 |
SpyEye |
Backdoor.Win32.SpyEye |
18.1 |
|
|
4 |
RTM |
Trojan-Banker.Win32.RTM |
9.2 |
|
|
5 |
Emotet |
Backdoor.Win32.Emotet |
5.9 |
|
|
6 |
Neurevt |
Trojan.Win32.Neurevt |
4.7 |
|
|
7 |
Tinba |
Trojan-Banker.Win32.Tinba |
2.8 |
|
|
8 |
NeutrinoPOS |
Trojan-Banker.Win32.NeutrinoPOS |
2.4 |
|
|
9 |
Gozi |
Trojan.Win32. Gozi |
1.6 |
|
|
10 |
Trickster |
Trojan.Win32.Trickster |
1.4 |
*遭受该恶意软件攻击的唯一用户数占所有遭受银行威胁攻击的卡巴斯基用户数量的比例
在2018年第三季度,本Top 10列表中出现了三个新面孔:Trojan.Win32.Trickster(1.4%)、Trojan-Banker.Win32.Tinba(2.8%)和Trojan-Banker.Win32.RTM(9.2%)。其中后者因为7月中旬的大规模垃圾邮件活动排在第四名。
总体而言,Top 3没什么变化,唯一的变化是Trojan.Win32.Nymaim从第二季度的27%掉到第三季度的18.4%,从第一名掉至第二名。
五、勒索软件(加密类木马)
5.1、Q3相关事件
7月初,卡巴斯基安全专家发现属于臭名昭著的Rakhni木马的一个不同寻常的新变体。不同于以往的案例,该变体引人注意的是它现在用于分发恶意矿工而不是勒索软件。
8月份出现了另一个不寻常的勒索软件KeyPass。KeyPass的作者似乎为所有可能的感染场景都做好了准备 – 不管是垃圾邮件,还是漏洞利用工具包(EK),或者是针对目标系统的暴力密码破解攻击。KeyPass木马不仅可以运行在隐藏模式下,还可以运行在GUI模式下,以便攻击者可以配置加密参数。
在这一时期内,执法机构也在继续他们惯常的勒索软件对抗战争。在数年的调查之后,两名荷兰的犯罪人员因散播勒索软件CoinVault被判有罪。
5.2、统计分析
5.2.1、新变体的数量
第三季度新勒索软件变体的数量明显要比第二季度要少,与第一季度的数字接近。
2017 Q4-2018 Q3,新勒索软件变体的数量
5.2.2、遭勒索软件攻击的用户数量
在2018年第三季度,卡巴斯基产品共保护了259,867名用户免遭勒索软件攻击。这一数字不仅与第二季度相比有所增长,而且在第三季度本身也是逐月增长的。在9月份我们观察到勒索软件感染企图的一个显著增长,这可能与夏季假期的结束有关。
2018年Q3,遭到勒索软件攻击的唯一用户数量
5.2.3、攻击的地理分布
2018年Q3,勒索软件攻击的地理分布
遭到勒索软件攻击的用户比例较高的国家排名(Top 10):
|
国家* |
%** |
|
|
1 |
孟加拉 |
5.80 |
|
2 |
乌兹别克斯坦 |
3.77 |
|
3 |
尼泊尔 |
2.18 |
|
4 |
巴基斯坦 |
1.41 |
|
5 |
印度 |
1.27 |
|
6 |
印度尼西亚 |
1.21 |
|
7 |
越南 |
1.20 |
|
8 |
莫桑比克 |
1.06 |
|
9 |
中国 |
1.05 |
|
10 |
哈萨克斯坦 |
0.84 |
*该排名不包括卡巴斯基用户相对较少的国家(少于5万)
**该国家遭到勒索软件攻击的唯一用户数占该国家所有卡巴斯基用户的百分比
亚洲国家占据了该排名中的大多数席位。孟加拉国领跑(5.8%),乌兹别克斯坦紧随其后(3.77%),新面孔尼泊尔排在第三(2.18%)。巴基斯坦(1.41%)排在第四,中国(1.05%)则从第六掉到第九,同时越南(1.20%)也从第三掉到第七。
传播最广泛的勒索软件家族(Top 10):
|
Name |
Verdicts |
%* |
|||
|
1 |
WannaCry |
Trojan-Ransom.Win32.Wanna |
28.72% |
||
|
2 |
(generic verdict) |
Trojan-Ransom.Win32.Phny |
13.70% |
||
|
3 |
GandCrab |
Trojan-Ransom.Win32.GandCrypt |
12.31% |
||
|
4 |
Cryakl |
Trojan-Ransom.Win32.Cryakl |
9.30% |
||
|
5 |
(generic verdict) |
Trojan-Ransom.Win32.Gen |
2.99% |
||
|
6 |
(generic verdict) |
Trojan-Ransom.Win32.Cryptor |
2.58% |
||
|
7 |
PolyRansom/VirLock |
Virus.Win32.PolyRansom |
2.33% |
||
|
8 |
Shade |
Trojan-Ransom.Win32.Shade |
1,99% |
||
|
9 |
Crysis |
Trojan-Ransom.Win32.Crusis |
1.70% |
||
|
10 |
(generic verdict) |
Trojan-Ransom.Win32.Encoder |
1.70% |
||
*遭受该勒索软件家族攻击的唯一用户数占所有遭受勒索软件攻击的卡巴斯基用户数量的比例
前十名中出现了越来越多的通用样本特征(generic verdict),这是卡巴斯基智能情报系统自动检测的结果。WannaCry(28.72%)仍旧领跑。GandCrab(12.31%)也仍占有一席之地,本季度该勒索软件出现了两个新的版本。Top 10中的旧面孔还包括PolyRansom、Cryakl、Shade和Crysis。而Cerber和Purgen则掉出了本季度的前十名。
六、恶意矿工
正如我们在报告《2016~2018勒索软件和恶意矿工的威胁景观》中描述的那样,勒索软件渐渐下滑,而恶意矿工正在取代它的位置。因此今年开始我们决定在季度报告中分析此类威胁(恶意矿工)的现状。同时,我们开始使用更广泛的verdicts来统计恶意矿工的数据,因此今年的季度报告中的数据可能与早期的报告并不一致。
6.1、统计分析
6.1.1、新变体的数量
在2018年第三季度,卡巴斯基安全解决方案共检测到31,991个新恶意矿工变体。
2018年Q3,新恶意矿工变体的数量
6.1.2、遭恶意矿工攻击的用户数量
第三季度卡巴斯基产品共在全球1,787,994名用户的计算机中检测到恶意挖矿软件。
2018年Q3,遭到恶意矿工攻击的唯一用户数量
2018年9月恶意矿工的攻击数量与6月份差不多,但第三季度的整体趋势是下降的。
6.1.3、攻击的地理分布
2018年Q3,恶意矿工攻击的地理分布
遭到恶意矿工攻击的用户比例较高的国家排名(Top 10):
|
国家* |
%** |
|
|
1 |
阿富汗 |
16.85% |
|
2 |
乌兹别克斯坦 |
14.23% |
|
3 |
哈萨克斯坦 |
10.17% |
|
4 |
白俄罗斯 |
9.73% |
|
5 |
越南 |
8.96% |
|
6 |
印度尼西亚 |
8.80% |
|
7 |
莫桑比克 |
8.50% |
|
8 |
乌克兰 |
7.60% |
|
9 |
坦桑尼亚 |
7.51% |
|
10 |
阿塞拜疆 |
7.13% |
*该排名不包括卡巴斯基用户相对较少的国家(少于5万)
**该国家遭到恶意矿工攻击的唯一用户数占该国家所有卡巴斯基用户的百分比
七、常见攻击平台
常见攻击平台的分布与第二季度相比没什么变化。微软Office应用(70%)仍然是遭到最多攻击的平台 – 是浏览器(排名第二的攻击平台)的5倍。
尽管距离Office公式编辑器漏洞(CVE-2017-11882和CVE-2018-0802)的修复已经过去了很长一段时间,但这两个漏洞的exploits仍然是恶意垃圾邮件中最流行的选择。
针对VBS脚本引擎中的漏洞 CVE-2018-8373的exploit也在野外被发现(该漏洞影响了IE9~11,并于8月底被修复)。但犯罪分子对该漏洞的使用并不多,这可能是因为IE本身就不怎么流行,而且在最新的Win 10中VBS脚本默认一直是禁用的。
2018年Q3,犯罪分子使用的exploits的分布(按攻击平台进行划分)
第三季度还出现了两个非典型0day – CVE-2018-8414和CVE-2018-8440。这两个漏洞特殊的地方在于,漏洞细节和PoC文件在官方补丁发布之前就向公众披露了。
关于CVE-2018-8414,一篇详细地描述了如何利用SettingContent-ms文件来在Windows上执行任意代码的文章早在6月份就向公众发布了。一个月之后,在第三季度该漏洞的修复补丁才姗姗来迟(犯罪分子早已在积极利用该漏洞)。刚开始时,研究人员是将该漏洞报告给微软的,但微软认为这不是一个漏洞,不需要发布修复补丁。但随着犯罪分子开始积极利用这种文件分发恶意payload,微软才重新考虑并在7月14日发布了修复补丁。根据KSN的统计数据,SettingContent-ms文件在犯罪分子之中并不是很流行,在修复补丁发布后,基本上就停止使用了。
另一个有意思的案例是CVE-2018-8440。和上面的情况一样,研究人员故意发布了用于重现该漏洞的所有信息,然后攻击者就开始利用该漏洞。CVE-2018-8440是一个提权漏洞,可允许攻击者提升至最高权限级别 – System。该漏洞与Windows处理计划任务程序中的高级本地过程调用(ALPC)有关。ALPC中的漏洞使得攻击者可以将任意访问控制列表(DACL)修改成普通权限即可访问。利用该漏洞使得普通用户可以修改任意系统文件的访问权限。
八、在线威胁
本小节中的统计数据是基于卡巴斯基的Web反病毒系统收集的数据。该系统可在计算机从恶意/被感染的网页上下载恶意文件时保护用户。这些恶意网站可能是由犯罪分子创建的网站,或是受感染的web资源(例如包含用户自创建内容的论坛等)以及被入侵的合法资源。
8.1、在线威胁的来源国家分布
以下统计数据是基于攻击中使用的在线资源的物理位置,这些在线资源可能包括:包含恶意重定向的网页、包含漏洞利用以及恶意软件的网站、僵尸网络C&C服务器等。一个主机可能是一个或多个网络攻击的威胁来源。为了确定网络攻击来源的地理分布,我们将其域名与真实IP地址进行配对,然后建立了IP-地理位置信息库(GEOIP)。
在2018年第三季度,卡巴斯基安全解决方案共阻止了全球203个国家的在线资源发起的 947,027,517次攻击。我们的Web反病毒组件共识别出246,695,333个唯一恶意URL。
2018年Q3,网络攻击来源的国家分布
在第三季度,美国(52.81%)是web攻击来源最多的国家。整体上来看,前四名与第二季度没有变化:美国后面分别是荷兰(16.26%)、德国(6.94%)和法国(4.4%)。
8.2、在线威胁的目标国家分布(用户风险最大的国家)
为了评估不同国家/地区的用户面临的在线感染风险,我们计算了每个国家/地区的卡巴斯基用户的计算机在本季度触发Web反病毒组件的百分比。这些数据表明了不同国家/地区的计算机面临的风险大小。
此排名仅包含属于恶意软件类别的攻击,不包含潜在危险/有害的软件的检测数据(比如说灰色软件、广告软件)。
|
国家* |
%** |
|
|
1 |
委内瑞拉 |
35.88 |
|
2 |
阿尔巴尼亚 |
32.48 |
|
3 |
阿尔及利亚 |
32.41 |
|
4 |
白俄罗斯 |
31.08 |
|
5 |
亚美尼亚 |
29.16 |
|
6 |
乌克兰 |
28.67 |
|
7 |
摩尔多瓦 |
28.64 |
|
8 |
阿塞拜疆 |
26.67 |
|
9 |
吉尔吉斯斯坦 |
25.80 |
|
10 |
塞尔维亚 |
25.38 |
|
11 |
毛里塔尼亚 |
24.89 |
|
12 |
印度尼西亚 |
24.68 |
|
13 |
罗马尼亚 |
24.56 |
|
14 |
卡塔尔 |
23.99 |
|
15 |
哈萨克斯坦 |
23.93 |
|
16 |
菲律宾 |
23.84 |
|
17 |
立陶宛 |
23.70 |
|
18 |
吉布提 |
23.70 |
|
19 |
拉脱维亚 |
23.09 |
|
20 |
洪都拉斯 |
22.97 |
*该排名不包括卡巴斯基用户相对较少的国家(少于1万)
**该国家遭到恶意软件类别的攻击的唯一用户数占该国家所有卡巴斯基用户的百分比
平均而言,全球18.92%的互联网用户至少遭到一次恶意软件类别的网络攻击。
2018年Q3,恶意网络攻击的地理分布
九、本地威胁
关于用户计算机遭到的本地感染的统计数据是一个非常重要的指标:它能反映出通过被感染的文件、可移动媒体或加密文件(例如复杂的安装程序或加密文件中包含的恶意程序)入侵计算机的威胁。
本小节中的数据是基于对硬盘上的文件还有可移动媒体的反病毒扫描结果的统计分析。这些可移动媒体可能包括U盘、存储卡、手机和移动硬盘等。
在2018年第三季度,卡巴斯基的文件反病毒系统共检测到239,177,356个不同的潜在有害/恶意样本。
9.1、本地威胁的目标国家分布(用户风险最大的国家)
对于每个国家/地区,我们计算了在报告期内触发了文件反病毒系统的卡巴斯基用户的百分比。这些数据反映出该国家/地区的个人计算机遭受感染的风险程度。
此排名仅包含属于恶意软件类别的攻击,不包含卡巴斯基文件反病毒系统检测到的潜在危险/有害的程序,如灰色软件和广告软件。
|
国家* |
%** |
|
|
1 |
乌兹别克斯坦 |
54.93 |
|
2 |
阿富汗 |
54.15 |
|
3 |
也门 |
52.12 |
|
4 |
土库曼斯坦 |
49.61 |
|
5 |
塔吉克斯坦 |
49.05 |
|
6 |
老挝 |
47.93 |
|
7 |
叙利亚 |
47.45 |
|
8 |
越南 |
46.07 |
|
9 |
孟加拉 |
45.93 |
|
10 |
苏丹 |
45.30 |
|
11 |
埃塞俄比亚 |
45.17 |
|
12 |
缅甸 |
44.61 |
|
13 |
莫桑比克 |
42.65 |
|
14 |
吉尔吉斯斯坦 |
42.38 |
|
15 |
伊拉克 |
42.25 |
|
16 |
卢旺达 |
42.06 |
|
17 |
阿尔及利亚 |
41.95 |
|
18 |
喀麦隆 |
40.98 |
|
19 |
马拉维 |
40.70 |
|
20 |
白俄罗斯 |
40.66 |
*该排名不包括卡巴斯基用户相对较少的国家(少于1万)
**该国家遭到恶意软件类别的攻击的唯一用户数占该国家所有卡巴斯基用户的百分比
2018年Q3,恶意本地攻击的地理分布
平均而言,全球22.53%的计算机在第三季度遭到至少一次恶意软件类别的本地攻击。