来源:蜘蛛抓取(WebSpider)
时间:2018-03-12 04:11
标签:
git 如何才能避免冲突
勒索病毒索财 为何不定“勒索罪”_中国江苏网
&&&&&&&正文
勒索病毒索财 为何不定“勒索罪”
黑客攻击呈增长趋势“数字绑票”涉四个罪名记者从北京海淀法院了解到,近年来,被称为“数字绑票”的勒索病毒、蠕虫病毒、DDOS攻击等黑客攻击破坏活动相关案件呈增长趋势。一条制作黑客工具、销售工具、获取信息、倒卖信息、控制系统的地下产业链已成型。
黑客攻击呈增长趋势 “数字绑票”涉四个罪名
记者从北京海淀法院了解到,近年来,被称为“数字绑票”的勒索病毒、蠕虫病毒、DDOS攻击等黑客攻击破坏活动相关案件呈增长趋势。一条制作黑客工具、销售工具、获取信息、倒卖信息、控制系统的地下产业链已成型。蠕虫和勒索病毒结合的“WannaCry”上月以来肆虐全球,成为近年来波及面最广的网络安全事件,受攻击电脑中的文档、照片、程序等多种文件被加密,用户需支付“比特币”赎金取回,否则文件就被彻底删除。目前,对于“黑客犯罪”即危害计算机信息系统安全的行为,我国刑法主要规定了四项罪名。那么,勒索病毒索要比特币究竟该当何罪?
黑客罪1
编传恶意程序致3万QQ用户感染
IT男赵某不到30岁,原为一家公司的病毒样本分析师,当从网络论坛上得知编写恶意程序,帮助一些软件公司增加软件的下载量,可赚取广告推广费用后,他就编写了破坏性程序,并上传到互联网。
这个恶意程序隐藏在一个网络链接内,用户只要点击了链接,就会有推广软件被“静默”下载到计算机。如果用户点链接时已登录QQ,此病毒性程序还会登录QQ群管理,在群共享中继续发布这一网络链接。恶意程序进入QQ后,会自动伪装成“QQ聊天记录查询”,一旦有人好奇点击了该链接,便会在群共享中发布。
赵某上传此恶意程序5天后,便发现大量用户被感染,随后自行将存储该程序的服务器关闭。短短5天内,已有3万余名QQ用户被感染,被感染用户计算机自动下载并隐藏运行10余款推广软件。而用户每下载一次推广软件,赵某便可获得0.2到0.5元不等的广告推广费,他共应获利1.3万余元。
经鉴定,赵某编写的这套破坏性程序,会造成QQ用户隐私信息泄露、财产损失等安全风险。
赵某因犯破坏计算机信息系统罪,被判处有期徒刑10个月、缓刑1年。这个罪名针对的是对系统、系统内信息进行删改等操作影响系统功能、数据、应用程序的正常运行、后果严重的或故意制作、传播计算机病毒等破坏性程序,影响系统正常运行的行为。
黑客罪2
侵入政府服务器植入恶意程序
黄某以VPN拨号的方式,非法侵入某地政务内网,租用服务器,通过黑客攻击软件,扫描并侵入某地30台政府服务器,通过软件工具扫描出上述服务器下有漏洞的主机,植入大量恶意程序。
黄某因犯非法侵入计算机信息系统罪,被法院判处拘役4个月、缓刑8个月。本罪打击的是对国家事务、国防建设、尖端科学技术领域计算机信息系统的侵入行为。
黑客罪3
侵入阿里巴巴云计算服务器
何某是广西一家科技有限公司的法定代表人。大学本科文化程度的他通过互联网,侵入北京阿里巴巴云计算技术有限公司服务器,并下载了该公司虚拟机账号、密码共计11506组。
何某因犯非法获取计算机信息系统数据罪,被判处有期徒刑3年,罚金人民币1万元。这个罪名主要针对除特殊系统之外的,入侵系统、通过技术手段获取账号、密码等身份认证信息或控制计算机系统的行为。
黑客罪4
销售侵入控制服务器的木马程序
80后男子黄某是中专文化程度,他在互联网上的QQ群里向他人销售能够侵入、控制网站服务器的webshell网页木马程序,通过支付宝交易49次,获利10260元。
后经司法鉴定,该程序是利用网站漏洞获取网站服务器文件的读取、写入、修改、删除等权限。
黄某因犯提供侵入、非法控制计算机信息系统程序、工具罪,被判处有期徒刑11个月,并处罚金1万元。本罪打击的是提供黑客工具的行为。
黑客是怎样索财的
海淀法院刑事审判二庭法官姜楠称,目前司法实践中,较为常见的黑客勒索财物方式是“勒索病毒”和利用控制的傀儡机占据网络资源使目标系统无法正常服务即“DDOS攻击”;根据不同情况,一般以“破坏计算机信息系统罪”或“敲诈勒索罪”定罪。
姜楠分析,黑客索财可分为两步:第一步犯罪手段行为,是通过网络攻击、植入病毒等方式,影响计算机系统的功能、正常运行;第二步犯罪目的行为,是以阻止正常运营、删除数据相威胁,向机主、网站经营者等利益相关人索要钱款。
蠕虫型勒索病毒属于破坏性程序,它能够自我复制、传播并破坏计算机系统功能,在7天不交付赎金等特定触发条件下破坏系统数据;同时,遭受攻击、传染的计算机系统的软件或硬件不能正常运行。所以在不考虑罪量要素的情况下,其手段行为属于“破坏计算机信息系统罪”;而黑客以网络攻击、销毁文件、不予解锁等方式索要钱款,属于“敲诈勒索罪”。而上个月发生的勒索病毒索财同时触犯了这两个罪名,法院会从一重罪处断。
“破坏计算机信息系统罪”的量刑更多取决于所影响计算机系统的台数、经济损失、系统不能运行时间等方面;而“敲诈勒索罪”主要取决于索要的钱款数额。因此,不同的案件事实及证据将决定哪个罪名量刑更高及最终适用。
比特币并非“财物”不算“敲诈勒索罪”
“WannaCry”事件的特殊之处,是黑客索要比特币而非钱款,这在目前司法实践中较为鲜见。不过已有通过勒索病毒索要比特币的案件,公诉机关以“敲诈勒索罪”诉至法院,目前案件尚在审理中。
比特币作为一种虚拟产品,其法律本质究竟是财物还是电子数据?姜楠法官认为,如果只将其视为电子数据,而不纳入刑法保护的“财物”范畴,那么索要比特币就不符合“敲诈勒索罪”的犯罪构成。
与比特币法律地位接近的网络游戏装备、游戏币、Q币、网络账号等属虚拟财产,学界的主流观点认为应纳入“财物”范围,但目前执行的司法解释,申明盗窃虚拟财产不按“盗窃”论处,主要是因为虚拟财产的本质是计算机信息系统数据,将其解释为财物超出了法律解释的合理范畴,另外从操作层面上也难以解决数额计算的问题。
比特币不同于传统的虚拟财产,但在目前国家监管层面将它定位为“虚拟产品”的情况下,刑事司法直接将其定位为“财物”,不免有冒进和越位之嫌。姜楠法官认为,在当前情况下,暂不将比特币纳入传统“财物”的范围内,对勒索病毒索要比特币的行为以“破坏计算机系统罪”定性更为稳妥。 (记者 林靖 制图 王金辉)
标签:罪名;黑客攻击;数字绑票;计算机信息系统;黑客
责任编辑:中江网编辑
中国江苏网(江苏中江网传媒股份有限公司) 版权所有&&
&&视听节目许可证1008318号&&
电信业务经营许可证苏B1,B2-除了币安刚遭遇的好莱坞黑客,加密货币黑客还有哪些手段?-虚拟币导航网-服务于虚拟币区块链爱好者
除了币安刚遭遇的好莱坞黑客,加密货币黑客还有哪些手段?
发布时间:
17:30:16&&&&被阅览数: 40 次
拜币安黑客事件所赐,比特币跌到一周以来最低谷。黑客利用各种手段,时不时搅得币圈鸡犬不宁。了解黑客的作案手法,努力保证个人账户的安全,也是币圈人的基本修养之一。现在,区块链观察网带你去看5种黑客曾经或者正在使用的手法。
1. 声东击西
这次攻击币安的黑客,思维缜密得像好莱坞的侦探编剧。黑客做了2手准备:A计划:直接提币走人;B计划:利用币安作为全球第二大交易所的影响力,做空。让我们还原黑客作案的整个经过:
1)大量盗取币安用户账号,抛售账号内原有的各类加密货币,全部换成比特币BTC;
2)再用这些BTC全部换成VIA,拉动VIA币价暴涨;
3)在币安发现情况不对、暂停提币后,放弃A计划,转战B计划;
4)最后,当全球大大小小交易所涨跌受币安影响的时候,把之前在这些交易所早就布好局的VIA卖掉。
好一个处心积虑的大局!黑客不直接进击币安,而是通过某些技术盗取币安用户的账号,二度换币拉升VIA币价格,再去其他交易所卖VIA。币安方面称被盗与API Key有关,事情应该没有这么简单。区块链观察网会持续关注被盗真相。
2. 入侵热钱包
日,日本交易所CoinCheck服务器遭到黑客入侵,交易平台上5.23亿枚新经币NEM被盗,价值约合5.34亿美元。这是有史以来损失最惨重的数字货币盗窃案,黑客入侵平台上的热钱包(与互联网连接的存储方式),将交易所客户的NEM转移至另一个账户。其实,在热钱包中保管数字资产,相当于扛个装满现金的塑料袋走在街上。
据区块链观察网此前消息,这件惊天大案本不该发生,用户的NEM资产应当存放在冷钱包中。冷钱包通过离线保存秘钥,是一种更加安全的数字货币存储技术。通常情况下,大型数字货币交易所只将一小部分资金存放在热钱包中,其余部分存放在冷钱包中。
存在交易平台的币安不安全,有时还得看黑客心情好不好。因此,对于普通投资者,建议把资产保管在冷钱包/硬件钱包上,比如Ledger、Trezor。保管好自己的私钥,不透露给任何人,这是币圈人的基本常识。需要交易的时候,才把适量资金转移到热钱包中。
3. 伪造交易ID
案例典型是2014年臭名昭著的门头沟Mt.Gox被盗事件。黑客利用比特币的“可塑性”[1],通过伪造交易ID,反复提币。最后,价值4.6亿美元的比特币不翼而飞,Mt.Gox只能以破产告终。
不过,对于这起黑客事件,普通投资者能做的也不多。关于“伪造交易ID”的问题早就有人提出过,解决方案也是有的。然而,作为第三方交易平台,Mt.Gox并没有重视这件这个潜在风险;当时Mt.Gox内部管理混乱,CEO无心经营。更令人匪夷所思的是,当黑客声称没有收到比特币,申请重新提款的时候(其实这币交易在比特币网络上已经成功),Mt.Gox竟然在未核对自身余额是否少了的情况下,就直接给黑客重复打款!
4. 爆发勒索病毒
2017年5月,一名为WanaCrypt0r 2.0的勒索病毒在全球爆发,高校、企业、医院等成为主要攻击目标。在无需任何操作的情况下,只要开机联网,该病毒即扫描开放445文件共享端口的Windows计算器,从而植入恶意程序。黑客通过加密电脑文件勒索,要求只能以比特币支付赎金,勒索金额为300至600美元。
对于个人用户,拔掉网线,并关闭攻击端口445,能够临时阻止勒索。
而更长远的预防措施,则是将电脑中的重要文件备份到移动硬盘;不要随意点开不明链接、文件或邮件;安装针对性的安全防御工具。
5. 开发手机恶意应用程序、写恶意代码
近日,一批针对安卓手机用户的恶意程序开始流行。如果不幸安装、启用了这类恶意应用,嵌于其中的特洛伊木马会在用户使用其他合法APP的时候,伪装成相应界面。也就是说,用户输入的加密货币账户信息,其实是提交给了这些黑客程序。
已经发现的恶意程序包括:ExoBot、BankBot、Marcher和Mazar Bot,比特币、比特币现金、以太币、莱特币和门罗币是主要窃取对象。
类似的还有写恶意代码,比如用来挖掘门罗币的Coinhive工具。如果用户访问了加载该JS挖矿脚本的网站,Coinhive的JS代码库会在用户的浏览器上运行,开始消耗用户的CPU资源,为黑客自己挖门罗币。
不怕黑客有技术,就怕黑客懂金融。黑客的手段远不止上述几种,作为普通参与者的我们,必须不断更新认知数据库。平日里当韭菜已经很辛苦了,不要给黑客太多机会。
[1]指在不改变目标地址和数额等核心信息、不破坏其合法性的前提下,可以添加额外数据。
--------
本文系区块链观察网原创稿件,版权属本站所有。欢迎转载本站内容,但必须注明:
转载自:区块链观察网www.blockob.com
1、所有收录币种本站均没有经过评测,请网友自行分析投资与挖矿风险。
2、对于已收录最新山寨币网但缺乏操守的币种,请网友告知,本站将予以下架删除等妥当处理。
3、资深虚拟币交流群给你一个完全自由的交流空间 掌握虚拟币实时信息 杜绝广告
&&&资深虚拟币一群:
&&&资深虚拟币二群:
&&&资深虚拟币VIP群:
本站内容均来自互联网,如无意中侵犯了您的权利,恳请及时与我们联系,我们将予以当即删除等妥当处理!&
CopyRight 2015 虚拟币收录网 All Rights Reserved 网站备案/许可证号:津ICP备号-1腾讯反病毒实验室2017年Q3安全报告 - 腾讯安全联合实验室
腾讯反病毒实验室2017年Q3安全报告
发表时间:
PC端安全情况:
?&截止到2017年月底,PC端总计已拦截病毒5.2亿次,平均每月拦截木马病毒近1.7亿次,较Q2季度统计没有发生太大变化,从月至月整体病毒拦截次数稍有下降,从亿次拦截下降到亿拦截,这说明前端病毒活跃量稍有下降趋势。
?&截止到2017年月底,端总计发现亿次用户机器中木马病毒,平均每月为万中毒机器进行病毒查杀,相比Q2季度统计平均数据的3,880万略有增长。
?&2017年Q3季度病毒样本从病毒种类上木马类占总体数量的66.77%,依然是第一大种类病毒,相比季度数据增长了。类为第二大病毒类,占总体数量的,但相比季度的,类数量有所下降,降幅达。后门类为第三大病毒类,占总体数量的,相比季度的并无太大变化。
移动端安全情况:
?&2017年统计样本数据显示,总计已检测病毒样本量多万个,平均每月检测病毒样本万个。
?&根据2017年季度获取到的安卓病毒样本分析,从病毒种类上来看整体排名并没有变化,排名第一位的仍然是类(灰色软件)病毒,占总体病毒量的,相比季度的增长了。类为第二大病毒种类,占总体数量的,相比季度的增长了。类为第三大病毒种类,占总体数量的,相比季度的下降了。
Q3热点安全事件:
?&知名终端管理软件Xshell多个产品被植入后门
?&58人被抓,腾讯协助警方斩断DDoS黑产全链条
?&一款针对全球各领事馆和大使馆的恶意软件Gazer
?&出现首个Android DDoS恶意程序
?&知名清理软件CCleaner被感染,逾万用户受影响
一、推动互联网安全发展,国家与社会共同在努力
回顾2017年月至月,整个季度无论社会各界还是国家政府都在积极推动互联网安全发展。自月日《网络安全法》的全面实施,促使互联网安全产业发展进入有法可依的阶段,快速推动了整个产业的发展。
8月日,腾讯主办以“安全新秩序 连接新机遇”为主题的第三届中国互联网安全领袖峰会在国家会议中心召开,来自全球的顶尖安全专家就金融安全、大数据与云安全、人工智能与安全伦理、安全法治治理、智能硬件与物联网安全等多个议题探讨全新环境和形势下网络安全的新秩序构建、安全连接数字经济的新发展机遇。
9月日,以“网络安全为人民,网络安全靠人民”为主题的年国家网络安全宣传周在上海拉开帷幕。月日至日在全国范围开展以宣传网络强国战略思想、国家网络安全有关法律法规和政策标准为核心的网络安全宣传周活动,这是增强广大网民网络安全意识,提升基本互联网防护技能,营造安全健康文明网络环境的公共平台。同时展现近年来我国网络安全事业取得的成就,汇集业内专家共同为网络安全进一步发展建言献策,倡导全民广泛参与网络安全建设。
二、正规软件被利用事件频发,企业安全防护需提升
在2017年季度中,出现过多起正规软件厂商服务器被黑客入侵,将后门程序植入到正规软件中的事件,如Xshell事件、CCleaner事件等,在厂商并不知情的情况下,带有后门的软件推送给普通用户安装,导致数百万网民网络安全受到影响。
我们可以看到,黑客已经不再依赖于传统的系统漏洞进行大范围攻击,而是采用多种渠道并用的方式扩大病毒的传播。黑客只要通过入侵正规软件厂商的服务器,即可在短时间内让厂商的所有用户中毒,这远比黑客自己传播病毒容易得多。
这些安全事件的发生也并非偶然,这说明当前企业网络安全防护薄弱、内部IT管理混乱、员工安全风险意识不够等问题是当前企业普遍存在的,如何将这些问题一一解决,是企业管理者需要去思考并落实的首要问题。如果企业自身并没有搭建网络安全防护的能力,那就让专业的人来做专业的事,接入互联网安全公司让专业的人来为自己企业的安全发展保驾护航。
三、关于腾讯反病毒实验室
腾讯反病毒实验室作为耕耘在网络安全反病毒第一战线上的一员,有责任主动担负保障国家、民众互联网安全的社会责任。
腾讯反病毒实验室成立于2010年,始终致力于互联网安全防护、计算机与移动端恶意软件检测查杀、网络威胁情报预警等工作。通过“自研引擎能力、安全事件运营、哈勃分析平台”的“三剑合璧”,对”安全“,也为网民构建了安全的上网环境。
实验室拥有专业的反病毒团队,在自主反病毒引擎TAV研发上深耕多年,拥有多项自主知识产权病毒检测专利。AV-C、等国际安全评测中反超国际老牌杀毒软件,多次,也
一、PC安全方面
腾讯电脑管家英文版连续通过VB100, ICSA等认证测试,不仅2016年以来在赛可达测试获得6次第一的成绩,更是在AV-C 2016年国际评测中作为国内唯一参测产品,5项测试A+评级,获得年度荣誉产品称号,单项奖项斩获清除测试金奖(排名第一)、检出测试银奖两项大奖,比肩卡巴斯基,比特梵德,小红伞国际知名厂商。
二、移动安全方面
在移动威胁检测能力方面,腾讯手机管家则在2016年以来AV-Test国际评测中,连续9次满分13分通过,国内独树一帜。
三、动态检测方面
反病毒实验室哈勃动态分析系统为网民提供了未知文件动态检测能力,实时帮助网民检测、分析可疑文件。
四、威胁情报方面
反病毒实验建立了威胁情报监控平台,可实时监控、探测、挖掘互联网安全威胁情报,及时向社会公众报告网络安全风险,可在腾讯电脑管家官方网站“安全舆情”中获取最新信息,也可以关注腾讯反病毒实验室公众号获取最新信息资讯。
第一章&PC端恶意程序
一、恶意程序拦截量与中毒机器量
(一)恶意程序拦截量
根据腾讯反病毒实验室统计数据显示,截止到2017年月底,PC端总计已拦截病毒5.2亿次,平均每月拦截木马病毒近1.7亿次。每月平均拦截次数相对稳定,较Q2季度统计没有发生太大变化。
从Q3季度统计数据中可以看到从月至月整体病毒拦截次数稍有下降,从月亿次拦截下降到月亿拦截,这说明前端病毒活跃量稍有下降趋势。具体数值如:&1。
2017年Q3季度整体病毒拦截量约为5亿次,相较于年季度病毒拦截量环比下降。具体数值如:&2。
但相较于2016年Q3季度病毒拦截量同比增长了112%,从2016年与年季度病毒拦截量对比来看,恶意程序数量同比翻倍。具体数值如:&3。
(二)中毒机器量
截止到2017年月底,PC端总计发现3.6亿次用户机器中木马病毒,平均每月为3,900万中毒机器进行病毒查杀,相较Q2统计平均数据的万略有增长。具体数值如&4。
2017年季度相比季度中毒机器数略有增长,机器数量增长了。从到季度数据来看,中毒机器数在缓慢增长。具体数值如图&5。
2017年Q3季度相较于2016年Q3季度中毒机器数量同比增长53%,从2014至年数据来看,同季度中毒机器数量有明显回升迹象。具体数值如:&6。
二、恶意程序详细分类
(一)恶意程序种类及量级上的分类
2017年Q3季度根据获取到的病毒样本分析,从病毒种类上,木马类占总体数量的66.77%,依然是第一大种类病毒,相比Q2季度数据增长了。
Adware类(广告软件、强制安装、收集用户隐私、弹垃圾信息等)为第二大病毒类,占总体数量的25.28%,但相比Q2季度的,Adware类数量有所下降,降幅达13.74%。
后门类为第三大病毒类,占总体数量的5.37%,相比Q2季度的并无太大变化。
通过以上数据可以看出,相比2017年2季度,病毒种类及排名均无变化,仅在数量占比上有所差别。具体数值如&7。
从病毒样本的数量上来划分,可以看到&8中排在第一位仍然是木马类,占了恶意程序总量的70.41%,相比Q2季度的36.76%增长了33.65%。
排在第二位的是PE感染型,占总体数量的12.37%。相比Q2季度数据,PE感染型病毒总量超过了Adware样本量成为第二位,而Adware下滑到了第三位,Adware样本量从Q2季度的29.12%下降到了8.35%,降幅达到20.77%。
从种类上PE感染型病毒的种类并不多,只占了恶意程序种类中的0.25%,排在最后一位,但在病毒拦截量上PE感染型病毒却排在了第二位,仅次于木马类型。这与PE感染型病毒制作难度、传播特点有关。
PE感染型病毒制作难度大、黑客等编程人员需要掌握的技术多、成本高、开发时间久等因素有关。感染型病毒种类虽然不多,但是感染型病毒的传播性很大,存活时间相对也比较久,因此,种类少的PE感染型种类在样本传播量级上占了一定的比例,这也是由于感染型病毒具有感染、传播的特性。
(二)木马类的详细分类
在第一大病毒类木马类中,可以详细划分为多种类型的木马病毒。DDoS攻击软件,游戏盗号软件,以及流量点击等有害程序。其中排名第一位的是下载类木马,占全部种类的45.04%。排在第二位的勒索病毒种类占到了。具体数值如&9。
木马病毒种类多只能说明病毒的变种多,其背后可能来自很多个不同的作恶团伙。但如果从木马病毒样本的数量上来划分,可以看到&9中排在第一位是Dropper类木马病毒(释放有害文件木马),占全部拦截量的88.63%。Dropper类数据相比2017年季度和,增长了。
两张饼图对比可以看到,Dropper类虽然在病毒种类上没有下载类种类多,但在数量级上远远超过了下载类,这说明此类木马传播的最广泛,数量最多,受害的用户也最多。
勒索类病毒相比Q2季度有所下降,从季度的下降至,降幅达到。具体数值如图&10。
(三)PE感染型病毒分类
从收集的病毒样本来看,PE感染型病毒种类上并不太多,但在用户侧仍然十分活跃,对比Q2与Q3季度数据,排名前三位的仍然是PolyRansom、Nimnul、Virut病毒,仅次序发生了变化。
在PE感染型病毒中,排在第一位的是Virut病毒,占全部感染型病毒的49.82%,相比Q2季度的10.71%,增长了39.11%,这说明近期此类型病毒有所爆发。而在Q2季度中排名第一的PolyRansom病毒降幅较大,位列第三,从Q2季度的39.50%下降到9.39%,下降了30.11%,传播趋势明显得到控制。Nimnul病毒排名本季度与Q2季度相同,排名第二没有变化,但病毒总量上从23.51%下降到了12.27%,传播趋势也有所收敛。具体数据如&11。
由于感染型病毒不同于普通的木马病毒,感染型病毒会通过修改宿主程序代码的方式将恶意代码寄生在宿主进程中运行,而每个文件被感染后的哈希(Hash,文件内数据的”信息摘要“)值都会变化,因此,被感染型病毒感染后的文件是无法进行”云查杀“的。
因此,杀毒引擎能否修复被感染的文件,体现了反病毒引擎对感染型病毒修复的能力。目前腾讯反病毒实验室的自研TAV反病毒引擎可以查杀并修复国际、国内流行的各类感染型病毒。
(四)非PE病毒分类
根据收集的非PE病毒样本统计,Q3季度中VBS样本类排名第一位,占全部非PE病毒样本的75.69%,其主要原因是存在一类感染型病毒,会感染HTML网页并插入VBS脚本代码,一旦HTML网页被执行后,便会执行这段恶意的VBS代码,释放出一个恶意的可执行文件并加载运行。
排名在第二位的是HTML类型病毒,占全部非PE病毒样本的18.31%。第三名为JS脚本类,占比为18.31%。第四名为PDF,占比为0.46%。具体数据如&12。
三、中毒用户地域分布
根据中毒PC数量统计,从城市分布来看城市排名变化不是特别大,依旧是互联网较为发达的城市用户中毒情况较多,全国拦截病毒排名第一的城市依然为深圳市,占全部拦截量的4.64%。
第二名为广州市,占全部拦截量的3.69%,相比Q2季度的增长了,排名上升一位。
第三名为武汉市,占全部拦截量的3.24%,相比Q2季度的增长了,病毒拦截量趋势明显上扬,从季度的第位上升至第三位。具体数据如&13。
从省级地域分布数据来看,中毒PC数量最多的还是广东省,排在全国第一省,占全部拦截量的13.41%,与Q2季度相比变化不大。排在第二位的是河南省,相比Q2季度排名上升了位,占全部拦截量的,占比增长了。第三名为山东省,与Q2季度排名没有变化,但占比有所下降,从季度的%下降到5.96%,降幅达到。具体数据如&14。
四、漏洞相关病毒详情
利用系统或软件的漏洞可以快速传播木马病毒,黑客由其青睐系统漏洞,5月份爆发的病毒就是利用系统漏洞进行传播,才能够使病毒在短时间内影响到全球多个国家和地区。月在全球范围内传播的钓鱼邮件木马Globelmposter也多是利用office软件的漏洞运行恶意程序的。越来越多的黑客使用已知或未知的漏洞进行病毒木马传播,因此,漏洞相关类病毒样本呈现了增长趋势。
(一)漏洞病毒分类详情
漏洞病毒样本主要分布在Windows、、平台上,通过对获取到的漏洞类型样本统计,可以看到平台占比最多,其中非类型的漏洞样本达到,类型漏洞样本达到,平台漏洞样本总量可达到所有平台全部漏洞样本总量的。随着系统使用量的增长,平台漏洞样本也超过了平台,占比达到,平台占比为。具体数值如&15。
(二)Linux平台漏洞病毒详情
在Linux平台上,排名第一的漏洞攻击样本名为,占全部样本中的,这类样本实际上是利用漏洞进行权限提升,以便黑客得到更高的系统权限,执行其他恶意操作。具体数值如&16。
(三)Android平台漏洞病毒详情
在Android平台上,排名第一的漏洞攻击样本名为,占全部样本中的,此类名字与平台上的名字相同,功能同样也是为了提升病毒的系统权限。由于是基于内核开发并完善的,因此在内核层面他们是共通的。具体数值如&17。
(四)Windows平台漏洞病毒详情
在收集到的Windows平台漏洞样本中,非类型漏洞病毒量级最大,占到了所有漏洞样本的。
而在非PE类型漏洞病毒样本中,可以分为多种类型的文件,其中,排名第一位的是类,占全部非漏洞病毒的。排名第二位的是类,此类通常为复合文档,以文档居多,占全部非漏洞病毒的。排名第三位的是类,通常是指的漏洞,占全部非漏洞病毒的。具体数值如&18。
Windows平台上的类型漏洞样本达到,在这部分漏洞样本中以排名第一位的名为,主要是绕过系统。用户帐户控制(,简写作是微软公司在其及更高版本操作系统中采用的一种控制机制。其原理是通知用户是否对应用程序使用硬盘驱动器和系统文件授权,以达到帮助阻止恶意程序损坏系统的效果。具体数值如&19。
(五)非PE类漏洞攻击病毒常用编程语言详情
在收集到的漏洞相关非PE样本中,使用脚本编写的病毒文件最多,占了全部病毒量的,可见几乎所有漏洞相关的非类型病毒都使用脚本语言编写,而使用其他编程语言的病毒样本只占了。
排名第二位的编程语言为VBS,占全部病毒量的,在平台上类型的病毒量比较大,但应用到漏洞攻击相关的样本相对并不是太多,大多是通过宏病毒的方式存在。
值得注意的是,现在Windows平台加入的也正在被黑客利用,中也加入了相当多的攻击脚本,通过执行、上传、下载等。具体数值如&20。
(六)使用JS脚本语言编写漏洞攻击病毒详情
JS脚本语言由于其语言的灵活性,通常很多应用程序都会使用到脚本,如在网页中使用、在文档中使用等,因此,利用脚本语言所写的漏洞攻击样本也是最多的。
在收集到的使用JS脚本所写的漏洞攻击相关样本中,以为最多,占此类全部样本的,由此可以看到,在漏洞利用中,使用最多的攻击语言是,这也是因为中可以使用脚本的原因。具体数值如&21。
在统计的数据中可以看到排名第三位的是名为Exploit.JS.Angler的样本报毒名,此类样本是利用所生成的样本,是知名的钓鱼攻击工具包,其中包含了非常多的漏洞利用工具,此钓鱼攻击工具包在年才出现,短短几年时间,就成为了野外利用最常用的漏洞利用工具包之一。
(七)OLE漏洞攻击病毒详情
通过对OLE漏洞攻击样本的数据统计,可发现在漏洞攻击中利用微软办公软件漏洞样本最多,其中以文档居首,今年比较严重的漏洞就是可以看到在活跃的病毒样本中可以找到此漏洞样本。
根据其他报毒名CVE号统计可以看出,利用老漏洞来进行攻击的样本超过了当年新增的漏洞,因此,无论企业还是普通用户都应该及时更新漏洞补丁,而不应该在意补丁是否为当年最新,图表中可以看到,年的号也占了不少比例。具体数值如&22。
第二章&Android端恶意程序
一、恶意程序检测量
2017年Q3统计Android样本数据显示,总计已检测Android病毒样本量320多万个,平均每月检测Android病毒样本110万个。通过数据可以看到Android病毒样本从月至月整体趋势在缓慢下降。具体数值如:&23。
二、恶意程序详细分类
(一)恶意程序种类及量级上的分类
根据2017年Q3季度获取到的安卓病毒样本分析,从病毒种类上来看整体排名并没有变化,排名第一位的仍然是PUA类(灰色软件)病毒,占总体病毒量的45.11%,相比Q2季度的增长了。
SMS类为第二大病毒种类,占总体数量的18.51%,相比Q2季度的增长了。Spy类为第三大病毒种类,占总体数量的4.91%,相比Q2季度的%下降了3.72%。具体数值如&24。
从安卓病毒样本的数量级上来划分,可以看到排在第一位的仍然是PUA,但排在第二位的变成了Ransom类,占全部安卓病毒数量的23.65%,相比Q2季度的13.03%增长了10.62%,可见在Q3季度安卓移动端敲诈勒索类病毒增长迅速。排在第三位的是Banker类病毒,占全部安卓病毒数量的5.80%,相比Q2季度的2.42%增长了3.38%,相比Q2季度已经翻倍。具体数据如&25。
三、Q3季度Android端恶意程序案例
(一)首次发现Android DDoS恶意程序
在2017年的季度中,首次出现了带有功能的病毒,这标志着黑客开始利用移动设备组织发起攻击。
WireX寄生于Google Player应用市场常见的软件名为、等,WireX潜入用户设备安装启动后门模块,通过用户的手机DDos攻击了多个内容分发网络()和内容提供商比如,。
(二)Android勒索病毒出现定制化工具
在8月份,一个名为“梦工厂”勒索病毒生成器出现在网络上,该勒索病毒生成器主要通过网络网盘传播,并增加了开通服务收费的功能。恶意使用者通过支付开通服务后,即可使用资源目录下的各种锁机文件,进而生成批量勒索病毒,通过网络恶意推广诱导用户中招,趁机勒索“解锁费”。
“梦工厂”勒索病毒生成器的原理在于,软件作者整合了一些常见技术类型和流派的锁屏样本,降低了勒索病毒的技术制作成本,同时也可能导致勒索病毒的进一步泛滥。
(三)Android银行相关木马爆发
在Q3季度中,越来越多的银行相关类木马集中爆发,这正是因为移动支付的快速发展,让藏在暗处的黑客开始觊觎用户放在手机中的钱财。
其中一款名为&Red Alert 2.0新型木马已感染&商店上超过&款银行与社交媒体应用,木马可以让黑客窃取用户敏感信息、劫持短信邮件,并阻止与银行、金融机构相关的所有来电呼叫,研究人员发现,这个木马在黑客论坛中售价为美元。
附录1 &2017年Q3季度网络安全事件盘点
一、知名终端管理软件Xshell多个产品被植入后门
Xshell 是一款强大、著名的终端模拟软件,被广泛地用于服务器运维和管理,它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。
Xshell在月日发布的官方版本被植入后门,用户下载、更新到该版本均会中招。该恶意的后门代码存在于有合法签名的模块中。从后门代码的分析来看,该代码是由于攻击者入侵的开发者的主机或者编译系统并向源码中插入后门导致的。该后门代码可导致用户远程登录的信息泄露。
Xmanager Enterprise、、、、五款软件存在安全漏洞,官方已于月日紧急修复,并发布更新版本。
二、知名清理软件CCleaner被感染,逾200万用户受影响
9月18日,官方发布安全公告,公告称旗下的软件被篡改并植入了恶意代码,恶意代码会偷偷执行Floxif木马,窃取受害者隐私,甚至还会下载运行其它木马,造成更严重的危害,由于整个程序带有CCleaner的正版数字签名,这一下载行为不会引起任何异常报警,用户也毫无察觉。
事实上,从8月日CCleaner就已经被攻击,官方编译的主程序文件被植入恶意代码,但官方直到9月日才发现异常,当天就发布了干净的,日又升级了。
据安全机构估计,约有227万用户已经安装了受感染的软件。
三、安全公司Carbon Black客户数据泄漏,TB级别隐私数据流出
安全公司公营及私营公司提供安全产品,客户中还包括硅谷领先的互联网搜索、社交媒体、政府和金融相关企业。
8月日,安全公司&被控泄露&级别其客户企业的机密数据。泄露的数据来自多家财富&企业,数据内容包括了用户机密数据、财务记录、网络情报和其它敏感数据。
安全管理策略提供商DirectDefense的公开博客中写道,这些企业所采用的&(终端检测及响应)安全解决方案中存在问题,正在泄漏数十万个敏感文件。面对指控,安全公司&则表示并非是他们将客户敏感数据泄漏出去,相反,正是这些使用方案的企业自己,也许是偶然地,将自己的敏感数据泄露在云端服务器上。
四、58人被抓,腾讯协助警方斩断DDoS黑产全链条
江苏省某网络公司服务器频繁遭到DDoS流量攻击,导致挂载在服务器上的多个网站无法正常运营,损失严重。据了解,此次攻击是网站经营者的业务同行恶意竞争打压,雇佣黑客实施攻击网络的犯罪行为。随后,在腾讯“守护者计划”安全团队的协助下,江苏省徐州市公安局网安支队根据网络攻击溯源寻踪,开展黑产打击行动,打掉了这个攻击黑产团伙,抓获分布于全国省多个市的犯罪嫌疑人人,包括发单人、肉鸡商、实施攻击人、出量人、担保人、黑客攻击软件作者等黑产链条中的各类角色,对该类型的攻击犯罪形成了有力震慑。
五、针对全球各领事馆和大使馆的恶意软件Gazer
8月31日,国外安全研究员发现了一款针对全球范围内各领事馆、部委及大使馆用以监视政府和外交官的恶意软件。从2016年起,恶意软件就开始利用一个叫做为的后门,这个后门被认为是由之前与俄罗斯情报机构相关的高级持续威胁()黑客组织留下的。
Gazer后门使用编写,通过鱼叉式钓鱼邮件传播。它分两个步骤完成对目标计算机的劫持。 恶意软件先利用后门此前与相关,然后安装组件。它可以通过其用于监视其预期目标的高级方法及其在受感染设备上保持持续性的能力,将其自身隐藏在受害者的计算机上,并长时间窃取信息。
六、出现首个Android DDoS恶意程序WireX Botnet
WireX最早出现在年月日,当时发现有少数的设备被感染。之后不到两个星期,被感染的设备数量已经多达数万台,这是首个恶意程序。
WireX寄生于Google Player应用市场常见的软件名为、等,WireX潜入用户设备安装启动后门模块,通过用户的手机DDos攻击了多个内容分发网络()和内容提供商比如,。一旦中招以后,你的手机就会成为犯罪团伙的肉鸡,犯罪团伙可以利用安装的后门程序发送,会导致手机流量消耗可能导致上网变卡。
七、Globelmposter钓鱼邮件勒索病毒在全球传播
Globelmposter钓鱼邮件很早就在国外传播,自7月号起,腾讯发现国内开始遭受攻击,且规模越来越大,作恶方式,技术手段也不断更新。
Globelmposter是通过运行带有宏的word文档,来执行恶意行为的。如果用户电脑开启了宏,运行后会从服务器下载样本。最终用户电脑会被全盘加密勒索,被加密文件后缀名为、725、等。
