通过对Recorded Future平台索引的所有地下黑客论坛分析2018年5月至2019年5月期间超过390万个帖子,Insikt Group确定了地下黑客论坛中引用的顶级恶意软件变种,Insikt Group还试图找到与这些论坛上更多恶意软件引用相关的真实事件,以及在不同语言的论坛中宣传的恶意软件及工具的差异,以查看是否存在任何差异
地下黑客论坛是网络犯罪分子宣传各种恶意软件变种和黑客工具的市场,Insikt Group通过分析从2018年5月至2019年5月期间各种地址黑客论坛超过390万个帖子,确定了一些与实际攻击相关的最流行的顶级恶意软件变种
大多数恶意软件都是包含多种语言版本的,包括公开可用的两用工具,开源恶意软件或破解的恶意软件,而且一些恶意软件系统已有三年历史
Insikt Group还了解到地下黑客论坛使用不同语言,如英语、中文和俄语,并专注于不同的恶意软件,包含不同的恶意软件类别和攻击媒介等
在地下黑客论坛上打广告,排名前十的恶意软件类别包括MinerGate和Imminent Monitor等两用工具,还包括njRat,AhMyth,Mirai和超过三年的恶意软件Gh0st RAT开源恶意软件
根据该报告显示,不同语言的地下论坛关注不同的目标和攻击媒介,例如,讲中文和英语的地下论坛更多地关注Android设备,而非俄罗斯同行,中文地下黑客论坛的十大恶意软件包括三个Android木马:SpyNote、AhMyth和DroidJack,英语地下黑客论坛包括这三个中的两个:SpyNote和DroidJack,这与俄语组织形成鲜明对比,后者的前十名中没有任何移动恶意软件
论坛中使用中文提到的十大恶意软件,如下所示:
论坛使用英语提到的十大恶意软件
论坛使用俄语提到的十大恶意软件
我们发现了多个恶意软件,这些恶意软件在多个语言组中进行了广泛讨论,包括以下几个:
1.njRat,2012年底创建的Windows RAT ,其源代码可在某些论坛上在线获取,这种RAT在英语,阿拉伯语,西班牙语,俄语,中文(繁体)和波斯语帖子中很受欢迎
2.SpyNote,一种开放式基于Android的RAT,包含键盘记录和GPS功能,此应用程序在2016年开始的恶意软件论坛中找到,这种RAT在英语,中文(简体),中文(繁体),西班牙语,日语和阿拉伯语帖子中很受欢迎
3.GandCrab是一个以同名作家闻名的勒索软件,于2018年1月初发现,GandCrab的主要供应商于2019年6月退休, FBI 于2019年7月发布了版本4,5,5.04,5.1 和5.2 的主解密密钥。这些勒索软件在俄语,中文(简体),西班牙语,波斯语和阿拉伯语帖子中很受欢迎4.DroidJack是一款Android RAT,于2014年创建,其官方网站以210美元的价格销售终身许可证,但在地下论坛上使用破解版本便宜得多。这种RAT在中文(简体),中文(繁体),英文和阿拉伯文帖子中很受欢迎
从上面可以发现最受欢迎的恶意软件为:勒索软件和远控RTA软件为主,主要的原因我想是因为:勒索软件能带来暴利,远控RTA主要用于APT攻击使用
同时发现njRAT在英语论坛和俄语论坛中都很受欢迎,该RAT以其隐秘功能而闻名,它用于在后台静默运行,并且还能够禁用防病毒程序和其他Windows安全功能
Insikt Group还确定了从2018年5月到2019年5月提到的顶级恶意软件类别,其中最主要的类别是:Ransomware、Cypter、Trigan、WebShell,如下所示:
顶级恶意软件HASH值 ,如下所示:
顶级恶意软件及其交付机制
详细的分析报告链接:
https://www.recordedfuture.com/measuring-malware-popularity/
报告下载链接:
https://go.recordedfuture.com/hubfs/reports/cta-2019-0724.pdf
有兴趣的朋友可以下载研究一下
声明:本文来自安全分析与研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。