迈克菲实验室报告对过去 30 年逃逸技术的演变进行了回顾

迈克菲每分钟可检测到 244 个新兴网络威胁，每秒钟约 4 个；2017 年一季度全球移动端恶意软件感染率上升 57%；针对 Mac 操作系统的恶意软件总数增长 53%

迈克菲

2017-06-28 10:00 5598

迈克菲公司今日发布《迈克菲实验室威胁报告：2017年6月刊》，探讨了Fareit 密码窃取软件的起源和内部工作机制，评述了各个行业公开披露的威胁攻击事件，并总结了在 2017 年一季度恶意软件、勒索软件、移动恶意软件和其它威胁的增长趋势。

迈克菲实验室观测到亚洲地区的移动恶意软件增长了一倍，全球移动恶意软件感染率上升了 57%
过去四个季度的移动恶意软件总数增长了 79%，样本总数达到 1670 万
广告软件的大量充斥导致今年一季度针对 Mac 操作系统的恶意软件样本总数增长了 53%
新的勒索软件在一季度有所反弹，主要归因于针对安卓系统的 Congur 系列攻击
过去四个季度的勒索软件总数增长了 59%，样本总数达到 960 万
今年一季度公开披露的安全事件达到 301 起，比去年四季度增长了 53%
医疗系统、公共部门和教育行业发生的安全事件数占所有安全事件的 50% 多

北京2017年6月28日电 /美通社/ -- 迈克菲公司今日发布《迈克菲实验室威胁报告：2017年6月刊》，探讨了Fareit密码窃取软件的起源和内部工作机制，回顾了过去 30 年恶意软件逃逸技术的演化，阐述了逃逸技术采用的隐写术特性，评述了各个行业公开披露的威胁攻击事件，并总结了在 2017 年一季度恶意软件、勒索软件、移动恶意软件和其它威胁的增长趋势。

“现在市场上的反安全、反沙箱和反分析的逃逸技术即便没有上千项也有数百项，而且许多都可以在暗网市场上直接购买到。”迈克菲实验室副总裁 Vincent Weafer 说道，“这期发布的报告提醒我们，欺骗已经从针对某几个系统的单个威胁，逐渐演变到针对多个系统的复杂威胁，以及到针对整个新安全模式，如机器学习。”

30 年恶意软件逃逸技术回顾

在 20 世纪 80 年代，恶意软件开发者开始尝试一些方法来逃避安全产品的检测，当时，有一个恶意软件通过加密自己的部分代码使安全分析员无法阅读内容，而成功绕过了防御体系。“逃逸技术”指的是恶意软件所能用到的所有能规避检测、分析和检查的方法。迈克菲实验室将逃逸技术分为以下三大类：

反安全技术：用于规避来自防恶意软件引擎、防火墙、应用程序遏制和/或其它防护手段的检测。
反沙箱技术：用于检测自动分析并规避能够报告恶意软件行为的引擎。通过检测注册表项、文件或与虚拟环境相关的进程，恶意软件能够知晓是否在沙箱内运行。
反分析技术：用于检测和欺骗恶意软件分析人员，比如，通过找到类似 Process Explorer 或 Wireshark 的监控工具，以及采用某些进程监控伎俩、打包程序或伪装工具来规避反向工程。

《迈克菲实验室威胁报告：2017 年 6 月刊》探讨了一些较强大的逃逸技术，以及可提供现成逃逸工具的暗网市场，举例说明了几个恶意软件系列是如何利用逃逸技术来规避检测，以及对未来的预期，包括机器学习规避技术和基于硬件的规避技术。

在众目睽睽下隐藏：隐写术的隐藏威胁

隐写术是一项隐藏秘密信息的科学艺术，在数字世界中，它用来将信息隐藏在图像、音频、视频或文本文件中。数字隐写术通常被恶意软件作者用来逃避来自安全系统的检测。我们所知的首例将隐写术应用于网络攻击中的恶意软件是 2011 年的 Duqu 恶意软件。将隐写术应用于数字图像时，通过嵌入算法插入秘密信息，将图像传输到目标系统，并提取秘密信息以供恶意软件使用。修改后的图像通常很难被人眼或安全技术检测到。

迈克菲实验室将网络隐写术视为该学科的最新形式，因为它将 TCP/IP 协议头中的未使用字段用于隐藏数据。由于攻击者可以使用这种技术通过网络发送无限量的信息，这种方法正在被越来越多的攻击者使用。

Fareit：最臭名卓著的密码窃取工具

Fareit 首次出现于 2011 年，并以多种方式演变，包括新攻击向量、增强的架构和内部工作机制，以及规避检测的新方法。Fareit 是最臭名卓著的密码窃取恶意软件，这已经得到越来越多人们的共识，而且种种迹象表明，它可能被用于 2016 年美国总统大选之前的那起著名的针对民主党全国委员会 (DNC) 的数据泄漏事件中。

Fareit 可通过网络钓鱼邮件、DNS 投毒和漏洞利用工具包进行传播。受害者可能会收到一封带有附件的恶意钓鱼电子邮件，该附件可能是 Word 文档、JavaScript 或存档文件。一旦用户打开附件，Fareit 就能够感染系统，将盗取的用户凭据发送给它的控制服务器，然后下载此次攻击活动中附带的其它恶意软件。

2016 年的美国民主党全国委员会数据泄漏事件的罪魁祸首是名为 Grizzly Steppe 的恶意软件攻击活动。迈克菲实验室在美国政府公布的 Grizzly Steppe 报告中的攻陷指标 (IoC) 列表中发现了 Fareit 哈希。普遍认为这一类别的 Fareit 专门应用于针对 DNC 的攻击中，通过网络钓鱼邮件附带的恶意 Word 文档附件进行传播。

该恶意软件引用了一些已发现的 Fareit 样本中多个不常见的控制服务器地址。在 DNC 攻击事件中，它可能联合其它技术来窃取电子邮件、FTP和其它重要的凭据。迈克菲实验室怀疑，Fareit 还将其它诸如 Onion Duke 和 Vawtrak 的高级威胁下载到受害者的系统中，以发动进一步的攻击。

“随着人们、企业和政府部门越来越多地依赖仅有密码保护的系统和设备，他们的凭据安全性非常低，很容易被窃取，对网络犯罪分子来讲非常有吸引力。”Weafer 指出，“迈克菲实验室相信使用密码窃取技术的攻击很可能会有所增加，Grizzly Steppe 攻击活动中已可窥见一些新型未来技术。”

2017 年一季度威胁活动

2017 年一季度，迈克菲全球威胁智能感知系统 (GTI) 登记的针对各个行业的网络威胁和网络攻击事件呈现显著的增长趋势：

新威胁：2017 年一季度，平均每秒钟检测到 244 个新威胁，约合每秒钟 4 个。
安全事件：迈克菲统计到今年一季度公开披露的安全事件达到 301 起，比去年四季度增长了 53%。医疗系统、公共部门和教育行业发生的安全事件数占所有安全事件的 50% 多。
恶意软件：一季度新恶意软件样本数有所反弹，达到 3200 万个。过去四个季度，恶意软件样本总数增加了 22%，已知样本数达到 6.7 亿个。新的恶意软件数量反弹到过去四年的季度平均水平。
移动恶意软件：一季度亚洲地区报告的移动恶意软件数增长了一倍，全球移动恶意软件感染率增长了 57%。过去四个季度，移动恶意软件总数增长了 79%，样本数达到 1670 万个。导致这一结果的较大贡献者是 Android/SMSreg 的增长，通过检测，它是一个来自印度的潜在有害程序。
Mac 操作系统恶意软件：过去三个季度，针对 Mac 操作系统的恶意软件增长迅猛，主要原因是大量充斥的广告软件。尽管与针对 Windows 的威胁相比，Mac 的威胁数量仍然比较少，但一季度针对 Mac 操作系统的恶意软件样本总数增长了 53%。
勒索软件：一季度新型勒索软件样本数有所反弹，主要归因于针对安卓操作系统设备的 Congur 勒索软件攻击。过去十二个月，勒索软件样本总数增长了 59%，已知样本总数达到 960 万个。
垃圾邮件僵尸网络：今年四月份，Kelihos 僵尸网络的幕后元凶在西班牙被捕。多年以来，数以百万计携带金融诈骗恶意软件和勒索软件的垃圾邮件的背后都有 Kelilos。据美国司法部发布的信息，在打击 Kelilos 的行动中，美国与影子服务器基金会 (Shadow Server Foundation) 等外国机构及行业厂商之间的合作贡献颇多。