Malwarebytes：2018年第二季度网络犯罪技术总结和预测

一、总结

加密货币挖矿达到平稳状态

加密货币挖矿检测量逐渐减少，但仍是企业和个人用户的主要威胁。随着新Windows和Mac恶意软件变种的出现，基于浏览器的挖矿API的多样化和新的服务器端攻击的出现，网络犯罪分子在持续实验这种新的攻击向量。最终，许多犯罪分子并没有从加密货币挖矿中获得期待的收益。而且加密货币挖矿的疯狂一定程度上与加密货币市场趋势有关，加密货币市场的涨跌会对加密货币挖矿攻击的量产生影响。

GandCrab成为新的勒索软件之王

GandCrab是当前在野的勒索软件变种中使用量最大的。1季度，通过垃圾邮件释放payload的攻击活动数量增加，2季度，Gandcrab借助Magnitude利用套件进行传播。当Gandcrab开始引领勒索软件时，SamSam、Spartacus这些小范围的实验性的攻击活动也在全球不断爆发。

广告恶意软件检测量持平

广告恶意软件在用户端的检测量一直居高不下，2季度比1季度增长19%。同时在企业的检测量也是很高的，仅次于加密货币挖矿和银行木马。但新广告恶意软件的出现在2季度是持平的。其中有一个例外就是mac广告恶意软件Kwik，使用系统配置文件作为攻击的一种方式，这是一种新颖和静默的攻击方法。

VPNFilter恶意软件首次亮相

VPNFilter是一款新出现的进行高级、多阶段攻击的恶意软件，据称已感染超过50万小型办公室和消费级路由器和NAS设备。攻击范围超过50个国家，影响的品牌包括Asus, D-Link, Linksys, Netgear等。VPNFilter可以监控网络上的所有流量，达到窃取数据、中间人攻击、甚至破坏被感染设备。恶意软件不仅能窃取用户名和密码，还可以修改web页面，插入人工数据到设备用户中。VPNFilter还可以用来安装其他恶意软件并进行DDoS攻击。

漏洞利用

Adobe Flash Player、VBScript引擎、Adobe Reader中的漏洞利用最先出现在office或adobe文档中，也就是说威胁图谱已经在从drive-by攻击转向社会工程攻击了。事实上，恶意垃圾邮件是这类攻击最主要的传播向量。

针对PII的诈骗攻击

2季度，诈骗的攻击目标主要是PII（个人身份识别信息）。研究人员发现诈骗者用比特币垃圾邮件从受害者处窃取PII。缺乏监管、有限的诈骗保护、交易的支持性差，这让针对比特币的社会工程攻击变得及其有吸引力。因为传统的技术支持类的垃圾邮件已经被用户所熟知，因此，攻击者开始窃取密码、银行账户信息、邮箱账户等。新实施的GDPR好像还对PII窃取火上浇油了，因为这类信息可以在黑市上卖个好价钱。

二、预测

下一季度威胁图谱将发生改变

2017年第2和3季度，研究人员发现网络犯罪分子在传播方法和新技术的应用上有很大的改变，同时一些恶意软件家族慢慢消失了。因此，研究人员预测2018年3季度也会出现一些新的威胁。

加密货币挖矿或将淡退

加密货币挖矿检测量不断减少，这与公众对于合法加密货币挖矿的兴趣是成正比的。当然，仍有很多检测到的加密货币挖矿活动，但看起来加密货币挖矿的“疯狂期”已经过去，正进入一个平稳期。

利用套件仍将是巨大威胁

随着利用套件活动在韩国的增加，更多的新漏洞利用被曝光，未来应该有更多的漏洞利用套件活动。除非有更多的漏洞利用释放，否则漏洞利用套件将会成为恶意软件传播的主要方法。

勒索软件卷土重来

针对消费者的勒索软件检测量虽然减少了，但基数仍然很大。而且企业仍然面临大量的勒索软件威胁。伴随着GandCrab, Satan, SamSam等勒索软件的兴起，未来可能会有勒索软件的大规模爆发。

PII或将成为主要攻击目标

随着欧盟GDPR的正式实施，企业对用户PII信息的持有时间变短了，所以PII对犯罪分子的价值也就更大了。未来，与数据窃取相关的监视软件、keylogger、信息窃取器、钓鱼垃圾邮件等将会变多。

VPNFilter恶意软件会被大量仿制

VPNFilter的创建和传播是针对特定的网络设备的，这也说明了投资此类网络犯罪的价值。未来，针对未来设备的大规模类VPNFilter可能会成为新恶意软件的关注点。

本文翻译自：https://resources.malwarebytes.com/files/2018/07/Malwarebytes_Cybercrime-Tactics-and-Techniques-Q2-2018.pdf

声明：本文来自嘶吼，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。