2019年第一季度网络安全威胁报告

迈克菲高级威胁团队和实验室团队共同发布了2019年第一季度网络安全威胁报告，报告中指出2019年第一季度，勒索软件攻击增长了118%，PowerShell无文件攻击增加了460%，同时检测到超过400万个独特来源的SMB利用流量

尽管2018年第四季度，勒索软件数量和种类有所下降，但2019年第一季度监测到勒索软件攻击增加了118%，迈克菲的安全研究人员调查发现，虽然鱼叉式网络钓鱼方式仍然很受欢迎，但是越来越多的勒索软件针对暴露的远程接入点进行攻击，如远程桌面协议（RDP），RDP凭证可以能过暴力破解方式进行攻击，还可以直接从地下网络犯罪集团手中购买，用于获取管理员权限，然后在企业网络上分发和执行勒索软件的完全权利，过去的勒索软件会建立一个C&C服务器环境平台用于存储控制勒索软件解密密钥，现在大多数勒索软件犯罪团伙使用电子邮件的方式，让受害者联系，这样可以更好的隐藏自己

迈克菲的安全研究人员发现新型的勒索软件使用了更高的技术，防止安全分析人员对样本进行分析，比方之前发现的一款新型的Anatova勒索软件，该勒索软件高度的模块化设计，感染了美国、英国、俄罗斯，意大利，瑞典及全球其他地区，它是在私人P2P网络中发现的，使用游戏或应用程序图标诱骗用户下载它，通过安全分析人员分析，这款勒索软件应该是熟练的恶意软件作者开发的，具有强大的静态分析保护功能，字符串全部加密处理，使用不同的密钥进行解密，90%的函数执行通过动态方式进行调用，只使用标准的Windows API和C编程，同时具有反沙箱和反虚拟机功能，还会加密网络共享目录文件，需要10个DASH币解密，2019年发现的一些新型的流行勒索病毒，基本都使用了高强度的代码混淆和动态内存加载等方式，需要安全分析人员对样本进行分析调试，才能发现里面的勒索软件的核心功能模块

通过监控数据表示2019年第一季度，最活跃的三大勒索软件家族：CrySiS(Dharma)、GandCrab、Ryuk，这只是迈克菲统计的第一季度的数据，第二季度最活跃的三大勒索软件家族：Phobos、Sodonikibi、Ryuk，同时国内第二季度最活跃的三大勒索软件家族：Globelmposter、Phobos、Sodonikibi

2019年第一季度，GandCrab和Ryuk大多数使用鱼叉式网络钓鱼攻击的方式，而CrySiS(Dharma)大多数使用RDP爆破的方式进行攻击，同时还发现另外一个比较流量的勒索病毒家族Scarab，出现了各种不同版本的变种，加密后的文件后缀名列表为：

.zzzzzzzz，.crash，.GEFEST，.AERTEMY，.kitty，.aescrypt，.crabs，.Joke，

.nosafe，.tokog和.suffer

该报告还指出，在2019年第一季度，地下网络犯罪分子提供了超过22亿个被盗帐户凭证，在同一时期，迈克菲的安全研究人员每分钟发现504次新的威胁

2019年第一季度的恶意软件，新型的勒索软件增加了118%，数据如下所示：

新的挖矿恶意软件增加了29%，数据如下所示：

JavaScript恶意软件下降了13%，数据如下所示：

恶意软件的总数在过去一年中增长了62%，数据如下所示：

新的PowerShell恶意软件在2019年第一季度增加了460%，数据如下所示：

恶意软件团伙通过使用PowerShell脚本，利用服务器来挖掘虚拟货币，同时很多PowerShell类的挖矿恶意软件还具有蠕虫传播的功能，可以利用服务器漏洞进行横向传播，导致大量机器被利用一起来挖掘虚拟货币，能过分析这类PowerShell恶意软件主要通过永恒之蓝SMB等漏洞进行传播感染

详细的报告下载地址：

https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-aug-2019.pdf

从以上的图表中可以看出去年一整年挖矿病毒急剧增加，勒索软件总量有所下降，然而随着2019年的到来，挖矿病毒的增长渐缓，勒索软件却暴涨，尤其是针对企业的勒索软件攻击，此前Malwarebytes报告统计直到2019年第二季度，针对企业的勒索软件攻击增加了363%，黑产团伙的目标就是为了谋取暴利，挖矿的速度远远赶不上直接勒索来直接、快， GandCrab的成功，使得其他黑产团伙都想快速发财致富，都转行做起了勒索的勾当，想快速发财致富，同时2019年第一季度和第二季度支付赎金的企业和政府部门越来越多，很多企业和政府部门在被勒索之后，为了快速恢复其业务都选择交付赎金，让这些勒索软件团伙看到了巨大的市场，这也是导致针对企业的勒索软件攻击越来越多的原因

恶意样本攻击一直是全球网络安全威胁的重点，每年都会有不同的恶意软件变种以及新的家族出现，同时黑产团伙为了最大限度的获取暴利，不断调整他们的攻击方案，使用不同的恶意样本针对不同的目标进行攻击，实现收益最大化，针对恶意样本的分析与研究工作，是一个持续不断的过程，不断的新的样本或变种出现，需要更多安全研究人员去分析和研究

上期精彩内容回顾

勒索病毒预警，近期一大波新型勒索病毒来袭

全球大多数的安全事件最终都是通过恶意软件进行攻击的，如果你对这些恶意软件感兴趣，想研究学习一些恶意样本的分析技术，欢迎加入知识星球，里面会分享各种最新的安全技术资料：恶意样本分析、渗透测试、应急响应、漏洞分析、黑产追踪等

加入知识星球的朋友，可以加入《安全分析与研究》专业群，可以与群里的各位安全研究员一起交流，讨论安全技术

安全的路很长，贵在坚持……