集顶尖研究团队 提供最新的安全研究成果

安全解析 研究报告 安全团队 研究机构

细数2020上半年PC端十大“黑恶势力”,一起康康是谁在“兴风作浪”

2020-07-14

时至7月,2020年上半年已告一段落。2020年,这个本该寄托无数憧憬的年份,却因一场席卷而来的疫情危机的到来而全球震荡。流年不利、人心惶惶,这些糟糕的词语已经无法准确描述这场疫情为全球人民生活造成的灰暗。

伴随着疫情夜幕的降临,生活在黑暗中的生物们也相继“苏醒”。勒索病毒、蠕虫木马、钓鱼邮件,横向渗透、变形虫攻击等黑客攻击如同洪流般裹挟泥沙席卷而来,各路玩家粉墨登场。在疫情的掩护下,将人们本已步履维艰的生活搅乱的更加浑浊。

360安全大脑对上半年全球范围内针对PC端异常活跃的十大网络攻击威胁,包括疫情下流行病毒的趋势,以及伴随疫情出现的全新攻击面和攻击技术进行了梳理和总结,以此提醒广大企业和个人用户提高警惕,未雨绸缪而有备无患。

 

Top1、勒索病毒独占鳌头

进入2020年,发展迅猛的勒索病毒没有丝毫放缓脚步,以更加来势汹汹的态势在全球横冲直撞“所向披靡”。在GandCrab家族一年半内赚下20亿美金的鼓舞下,上半年间,花样繁多的勒索病毒大有星火燎原之势,如同早已约定好上台表演次序一般,你方唱罢我登场,几乎每周都有勒索病毒“新起之秀”亮相,在广大用户身上刮下一层“油水”后,乘兴而来乘胜而归。

 

undefined

2020上半年勒索病毒花样频出

 

undefined

上半年中占比最高的勒索病毒增长趋势图

 

2020年上半年,勒索病毒繁多的变种更加趋于常态化,新型勒索病毒越演越烈的增长态势也愈发不可收拾。近两年来,勒索病毒制造门槛一再降低,用PHP、Python等语言编写的勒索病毒,甚至用更简易的脚本语言来编写勒索病毒已经屡见不鲜。

在暗网和一些地下黑客论坛中,以RAAS模式(勒索软件即服务)推广和分发勒索病毒的勒索软件供应商也日益增多,RAAS模式的出现让黑客攻击成本不断降低,策划实施攻击者只需支付少量成本即可发起勒索攻击,从中大量获利。而勒索对象也正在从C端用户全面转向大型B端企业,疯狂掘金的黑客团伙已然大肆分起了蛋糕,开始了“地盘掠夺”,动辄数百万美元的勒索赎金足已让各方玩家昼夜无休。

 

Top 2、挖矿、蠕虫和驱动类传统木马“三驾马车”地位牢固

除了疯狂捞金的勒索病毒外,挖矿木马、蠕虫木马和驱动类传统木马也动作频频,仍然是扮演着流行病毒主力军团角色。

据360安全大脑监测发现,上半年流行的挖矿类木马以Powershell形式的无文件攻击为主,其中以驱动人生木马(DTLMiner),匿影,BlueHero,MyKings家族居多。该类挖矿木马重点表现出更新频率高,混淆严重的特点。挖矿木马活跃度在一定程度上受虚拟货币价格涨幅影响,其中以DTLMiner挖矿木马更新最为频繁,堪称一众同班同学中最努力上进的 “优秀代表”。

undefined

更新频频的DTLMiner挖矿木马 

DTLMiner挖矿木马今年的三次更新中,还分别加入以疫情为话题的邮件蠕虫模块,SMBGhost漏洞检测与攻击模块,每一次的重要更新都在很大程度上增强了该木马的传播能力,从每次更新的时间节点来看,他的每次更新也都伴随重大漏洞被批露或EXP被公布。

而从其整个上半年对野外漏洞利用的利用情况看,蠕虫级漏洞,文档类漏洞和各类可以远程执行命令的服务器漏洞仍是其用的最得心应手的武器,挖矿木马可以轻易通过这些漏洞释放出大规模“AOE范围伤害”。

 

undefined

 

驱动类木马(Rootkit)相较于2019年下半年也有不小的增长,2020年上半年感染量达370万。驱动类木马的盈利模式相较以往并无太大变化,仍然以劫持用户浏览器主页和流量暗刷为主,其中活跃木马家族代表的木马家族有麻辣香锅和祸乱。

 

undefined

驱动类木马查杀Top 5占比如图所示 

驱动类木马驱动类木马的传播主要依赖于系统激活工具,装机盘,私服微端,下载站这几个重要渠道进行传播,这些渠道种类鱼龙混杂,安全性极低,是被黑客植入病毒最多的“后花园”。

360安全大脑发现,相较于2019年,驱动类木马对抗杀软手段有所升级,查杀难度和成本有所增长。具体表现为病毒更新周期缩短、由限制杀软模块加载的黑名单机制转变成只允许系统模块加载的白名单机制,以及通过加载模块的时间戳,签名等特征限制杀软驱动加载等特征,驱动类木马也正在变得更加“狡猾”。

 

Top3、钓鱼邮件攻击趁火打劫

疫情带来的恐慌,无疑为黑客团伙们创造了为非作歹的“天时地利”。

随着疫情在全球的爆发,以COVID-19、Coronavirus、nCov等疫情相关词汇的网络攻击也在全球范围内激增。360安全大脑先后拦截到响尾蛇、海莲花、Kimsuky、Lazarus、Patchwork等多个境外APT组织利用疫情为话题的攻击样本。

undefined

携带恶意附件伪造成卫生部疫情防控邮件的钓鱼攻击 

此类攻击多伪造成世界卫生组织的安全建议,疫情通报,以及疫苗申请,疫情补助计划等等。攻击者精心构造钓鱼邮件,通过社会工程的手段,诱骗用户点击带毒的附件,进而在用户电脑上植入远控或窃密木马。而DTLMiner更是将”COVID-19”话题制造为邮件蠕虫进行大范围传播。

目前,360安全大脑已监测多种不同类型的钓鱼邮件,以疫情相关信息作为诱饵的恶意钓鱼攻击具有极高的隐蔽性,仍需反复提醒国内外各位用户提高安全意识,注意警惕防范。

 

Top4、VPN安全隐患异军突起

疫情的到来在打乱人们生活秩序的同时,也改变了我们的工作方式,拉开了数字化远程办公的大幕。仓促上线的远程办公,随之引入了大量的安全问题。

为员工提供访问企业内网入口的VPN,无疑是远程办公最重要的技术手段,但VPN的脆弱性却一直为人诟病。仅2020年上半年,国内外通过VPN漏洞发起网络攻击的安全事件高发,包括Fox Kitten,Darkhotel,Wellmess等黑客组织都曾在上半年以VPN缺陷为跳板,发起针对远程办公企业的大规模网络攻击。

undefined

一种典型的VPN攻击场景

在利用弱口令爆破、漏洞等手段成功入侵企业的VPN服务器后,攻击者可以通过劫持VPN的升级流程下发远控木马,进而成功入侵目标内网。当员工在家办公过程中升级VPN客户端时,由于升级流程被攻击者劫持,木马可以顺利通过升级渠道植入员工计算机设备中。

凭借已植入的恶意木马,攻击者会进一步窃取员工进出企业内网的账号密码,直接进入企业内网企业核心资产和企业重要的敏感数据。

 

Top5、远程会议、即时通讯暗藏危机

除VPN外,远程会议,即时通信,文档协助等方面也都存在诸多安全隐私问题。应运而生的远程办公软件站在了风口上,但这些快速上线软件及时响应了人们短期内远程办公的需求,但用户的安全需求却极易受到开发者的忽视和冷落。

 

undefined

远程视频软件被捆绑WebMonitor远控,CoinMiner木马病毒

以在线视频会议软件Zoom举例,首先,在弱口令,默认配置的情况下,攻击者可以在未被邀请的前提下参加视频会议,若此过程无人审核或发现,则可能造成严重的信息泄漏;其次,Zoom等在线视频会议软件的早期版本并未实现端对端加密,且加密算法强度比较弱,数据传输过程中的安全性无法保障;再者,该软件已经暴露了诸多高危漏洞,可能被黑客恶意利用。

 

undefined


国外安全研究员还发现,该软件将会议视频数据存放于AWS存储桶中,可公开访问。利用某软件的自动命名规则,就可搜索到该软件的会议视频数据。 

除了大肆传播的流行病毒外,在2020年上半年,360安全大脑还发现很多新的利用手法和攻击面被挖掘并利用,这些攻击思路刷新了我们对于传统安全技术的认知,让我们以全新的视角去重新审视每一个安全维度,进而不断提升产品的安全能力。


Top6、“隔离网络突破”另辟蹊径

5月下旬,国外安全公司ESET在报告中披露了Ramsay恶意软件的一种针对物理隔离网络的攻击新型攻击手段。所谓物理隔离网络,是指采用物理方法将内网与外网隔离,从而避免入侵或信息泄露的风险的技术手段。物理隔离网络主要用来保障那些需要绝对保证安全的保密网、专网和特种网络的安全需求。

360安全大脑对其进行了跟踪研究分析,发现该 Ramsay恶意文件主要内容通过可移动磁盘来实现针对隔离网络突破攻击。

 

undefined 

Ramsay恶意软件通过U盘实现隔离网络突破流程图


首先黑客会先向目标计算机设备发送钓鱼邮件,该邮件附件携带含有漏洞的恶意附件,触发漏洞之后会感染员工电脑。被感染的员工电脑上线后,黑客会进一步下发定制版的可以感染隔离网络的木马,通过感染U盘,PDF/DOC/EXE文件等方式在企业内网中扩散。

紧接着黑客会再利用系统管理员与员工之间的工作接触,包括但不限于使用共享文件,U盘等,通过这些途径感染至管理员计算机、U盘和其他文件。拥有访问隔离网络权限的管理员,一旦将受感染的U盘插入隔离网络电脑上就会将其感染。

之后该木马会在隔离网络中运行,进一步感染隔离网内的其他设备,当成功获得目标重要资产的访问权限时,会直接窃取其中机密数据并将其写入U盘或带指令的文档中。此时获取的机密数据会以同样的方式再度被带出隔离网络并接入已感染病毒的外网计算机中,外网计算机中的驻留程序检测到U盘或文档携带的机密数据,将其提取并发送给黑客。 

360安全大脑发现,针对隔离网络环境攻击是一种全新的攻击思路,黑客组织在考虑到隔离网络这一特殊的场景时,利用USB设备,doc文档等常见的媒介实现从外网渗透进隔离网络并在窃取数据之后传回给黑客,这一行为具有极高的隐蔽性。由于物理隔离网络多为政企机构等单位采用,因此尽管该病毒还在研发阶段,尚不够成熟,但是这种攻击场景将对政企单位造成的严重威胁不容小觑。


Top7、横向渗透技术靡然成风

从境外APT组织“海莲花”(OceanLotus)、GlobeImposter勒索病毒,再到最近闹得满城风雨的驱动人生供应链攻击事件,“横向渗透”这种在复杂网络攻击被广泛使用的手段,已成为不法黑客瞄准企业目标,以点破面的惯用伎俩。如不及时发现,最终面临的将可能是企业内网设备的停摆与瘫痪,严重威胁企业数字资产安全。

入侵和控制员工个人电脑通常并不是攻击者的最终目的,攻击者会以被攻陷系统为跳板,采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器,同时不断地提升自己的权限,以求控制更多的电脑和服务器,直至获得核心电脑和服务器的控制权,这种攻击方法已在多个APT攻击中被发现使用。


据360安全大脑统计,2020年上半年累计拦截到横向渗透的攻击高达150万次。


如Mykings僵尸网络通过远程执行WMI技术进行横向渗透:

undefined


某勒索软件使用PsExec进行横向移动:

undefined


利用WINRM服务进行横向渗透:

undefined


除此之外,常见的手法还有:

undefined


值得一提的是,从2019年开始,360安全大脑已经监测到境外APT组织海莲花针对中国的多起攻击事件中,都曾采用通过WMI远程执行和powershell调用COM远程执行的方式,在目标内网横向渗透。

上半年中传播广泛的DLTMiner,Tor2Mine,Mykings等挖矿木马,也都集成了不同的横向渗透模块,通过WMI/ SMB/SSH/数据库/RDP弱口令爆破和各种漏洞(永恒之蓝/Bluekeep/SMBGhost)漏洞进行横向传播。

  

Top8、供应链污染配合感染型病毒打出“组合拳”

2020年5月,360安全大脑首次检测到一款新型的感染型病毒Peviru,该病毒除了感染可执行文件之外,还会感染某编程语言(以下简称X语言)的编译坏境,导致用户编译的所有程序都会被感染。

360安全大脑通过对该病毒溯源发现,这款病毒背后的黑客团伙通过供应链污染的手段将携带这种病毒的开发工具植入X语言论坛。而就在近期,我们又检测到该黑客团伙通过之前部署的恶意软件下发勒索病毒。