北京2017年6月28日电 /美通社/ -- 迈克菲公司今日发布《迈克菲实验室威胁报告:2017年6月刊》,探讨了Fareit密码窃取软件的起源和内部工作机制,回顾了过去 30 年恶意软件逃逸技术的演化,阐述了逃逸技术采用的隐写术特性,评述了各个行业公开披露的威胁攻击事件,并总结了在 2017 年一季度恶意软件、勒索软件、移动恶意软件和其它威胁的增长趋势。
“现在市场上的反安全、反沙箱和反分析的逃逸技术即便没有上千项也有数百项,而且许多都可以在暗网市场上直接购买到。”迈克菲实验室副总裁 Vincent Weafer 说道,“这期发布的报告提醒我们,欺骗已经从针对某几个系统的单个威胁,逐渐演变到针对多个系统的复杂威胁,以及到针对整个新安全模式,如机器学习。”
30 年恶意软件逃逸技术回顾
在 20 世纪 80 年代,恶意软件开发者开始尝试一些方法来逃避安全产品的检测,当时,有一个恶意软件通过加密自己的部分代码使安全分析员无法阅读内容,而成功绕过了防御体系。“逃逸技术”指的是恶意软件所能用到的所有能规避检测、分析和检查的方法。迈克菲实验室将逃逸技术分为以下三大类:
《迈克菲实验室威胁报告:2017 年 6 月刊》探讨了一些较强大的逃逸技术,以及可提供现成逃逸工具的暗网市场,举例说明了几个恶意软件系列是如何利用逃逸技术来规避检测,以及对未来的预期,包括机器学习规避技术和基于硬件的规避技术。
在众目睽睽下隐藏:隐写术的隐藏威胁
隐写术是一项隐藏秘密信息的科学艺术,在数字世界中,它用来将信息隐藏在图像、音频、视频或文本文件中。数字隐写术通常被恶意软件作者用来逃避来自安全系统的检测。我们所知的首例将隐写术应用于网络攻击中的恶意软件是 2011 年的 Duqu 恶意软件。将隐写术应用于数字图像时,通过嵌入算法插入秘密信息,将图像传输到目标系统,并提取秘密信息以供恶意软件使用。修改后的图像通常很难被人眼或安全技术检测到。
迈克菲实验室将网络隐写术视为该学科的最新形式,因为它将 TCP/IP 协议头中的未使用字段用于隐藏数据。由于攻击者可以使用这种技术通过网络发送无限量的信息,这种方法正在被越来越多的攻击者使用。
Fareit:最臭名卓著的密码窃取工具
Fareit 首次出现于 2011 年,并以多种方式演变,包括新攻击向量、增强的架构和内部工作机制,以及规避检测的新方法。Fareit 是最臭名卓著的密码窃取恶意软件,这已经得到越来越多人们的共识,而且种种迹象表明,它可能被用于 2016 年美国总统大选之前的那起著名的针对民主党全国委员会 (DNC) 的数据泄漏事件中。
Fareit 可通过网络钓鱼邮件、DNS 投毒和漏洞利用工具包进行传播。受害者可能会收到一封带有附件的恶意钓鱼电子邮件,该附件可能是 Word 文档、JavaScript 或存档文件。一旦用户打开附件,Fareit 就能够感染系统,将盗取的用户凭据发送给它的控制服务器,然后下载此次攻击活动中附带的其它恶意软件。
2016 年的美国民主党全国委员会数据泄漏事件的罪魁祸首是名为 Grizzly Steppe 的恶意软件攻击活动。迈克菲实验室在美国政府公布的 Grizzly Steppe 报告中的攻陷指标 (IoC) 列表中发现了 Fareit 哈希。普遍认为这一类别的 Fareit 专门应用于针对 DNC 的攻击中,通过网络钓鱼邮件附带的恶意 Word 文档附件进行传播。
该恶意软件引用了一些已发现的 Fareit 样本中多个不常见的控制服务器地址。在 DNC 攻击事件中,它可能联合其它技术来窃取电子邮件、FTP和其它重要的凭据。迈克菲实验室怀疑,Fareit 还将其它诸如 Onion Duke 和 Vawtrak 的高级威胁下载到受害者的系统中,以发动进一步的攻击。
“随着人们、企业和政府部门越来越多地依赖仅有密码保护的系统和设备,他们的凭据安全性非常低,很容易被窃取,对网络犯罪分子来讲非常有吸引力。”Weafer 指出,“迈克菲实验室相信使用密码窃取技术的攻击很可能会有所增加,Grizzly Steppe 攻击活动中已可窥见一些新型未来技术。”
2017 年一季度威胁活动
2017 年一季度,迈克菲全球威胁智能感知系统 (GTI) 登记的针对各个行业的网络威胁和网络攻击事件呈现显著的增长趋势:
若要了解有关 2017 年一季度威胁趋势和威胁格局的更多信息,请访问 www.mcafee.com/cn 阅读完整报告。
若要了解本报告中企业如何更好地保护自己远离威胁的详细信息,请访问我们的安全博客。