永利皇宫登录网址三大对抗手段成主流,维基百

2019-11-16 06:49栏目:财经资讯
TAG:

中新网8月9日电 当肤白貌美的“美女交友”广告弹出在网页上,千万不要轻易点击,否则很有可能陷入“擒狼”木马的陷阱,沦为黑产疯狂敛财的工具。

永利皇宫登录网址 1

《2016中国网络安全报告》发布

维基百科曝光“CIA病毒”监控电脑 该病毒样本已遭中国杀毒软件拦截

CNII网讯 相信很多网友都曾有过这样的遭遇:电脑中毒后浏览器主页莫名被篡改,时不时会推出各类推广链接,使用杀毒软件无法将其斩草除根,即便格式化重装系统后也会卷土重来,犹如“狗皮膏药”一般赖在电脑中,令中招用户苦不堪言。

近期,360安全卫士率先拦截并披露了一起大规模网络色情广告挂马事件:一个名为“擒狼”的挂马团伙,利用网络色情等诱惑内容广告散播木马,劫持受害者浏览器并进行远程控制。安全专家经过分析木马并反攻黑客后台发现,“擒狼”隐藏着一条庞大而成熟的黑产链条,仅每年劫持浏览器获取的电商佣金就高达200余万元,如果再加上强锁主页等非法收入,该团伙每年黑色收益估算高达千万元。

系统漏洞、文件捆绑、文件伪装、网页浏览传播等网页挂马传播途径都有可能导致用户感染木马病毒,一旦不慎中招,轻则电脑被他人控制,个人隐私被人窃取,重则密码被盗,劫持交易,银行资金被盗空。

永利皇宫登录网址 2

日前,维基解密曝光了美国中央情报局的机密黑客项目,特别提到CIA设计的电脑病毒会尝试绕过五款流行的杀毒软件,包括中国的360、瑞星,以及国外的卡巴斯基、微软MSE和赛门铁克。但是根据维基解密公布的病毒样本,360测试发现一年多以前就可以查杀拦截,这类病毒并无法攻破360杀毒和安全卫士的主动防御系统。

其实,这类病毒就是顽固病毒家族的一种。该类病毒木马采用刷流量、锁主页、恶意推广、网络攻击、挖矿等变现方式牟利,给用户的信息及财产安全造成严重威胁。在此背景下,腾讯安全详细盘点过去一年各类顽固病毒木马入侵事件,从其获利变现方式、传播渠道、以及对抗技术、典型案例等方面展开,全面剖析Bootkit/Rootkit 病毒家族的主要态势及变化趋势,并为广大企业及个人用户防范顽固病毒木马提供了实用建议。

永利皇宫登录网址 3永利皇宫登录网址三大对抗手段成主流,维基百科曝光。暗藏“擒狼”木马的网络色情交友广告

近日,腾讯御见威胁情报中心监测发现,某输入法软件及某网吧管理软件内嵌的广告页面遭遇网页挂马攻击,用户一旦运行这些恶意软件,用户电脑就会被安装木马下载器、Steam盗号木马和广告刷量木马。同时,用户电脑会因内嵌的广告页面被挂马而中毒,给用户造成一定的损失。

日前,据360互联网安全中心最新发布《2016中国网络安全报告》显示,去年360安全卫士捕获新增恶意程序1.9亿个,平均每秒出现6个新病毒。在病毒呈现自动化生成和快速变形势态的同时,360全年拦截恶意程序攻击高达627.3亿次。值得警惕的是,网页挂马利用广告联盟再次大规模活跃,正规网站甚至使用影音播放器等客户端都频繁发生广告挂马事件,加密文件敲诈钱财的勒索软件成为新兴的“病毒之王”。

从维基解密泄露的8761份机密文件来看,其中大多数为各类黑客项目的描述和技术文档,真正公开出来的黑客工具样本很少,而且残缺不全。经过对维基解密曝光的一个“CIA病毒”进行分析,360方面表示,该病毒使用的攻击技术已经过时,并不具备攻破360防护系统的能力。

顽固病毒“花式”获利 游戏外挂工具成“重灾区”

360追日团队发布分析报告指出,“擒狼”使用了近年来十分热门的挂马攻击包Kaixin exploit kit,该攻击包混合了Edge浏览器、IE浏览器、Flash等常用软件的多个漏洞。在没有及时打补丁或开启专业安全软件防护的情况下,电脑浏览挂马网页时就会自动下载运行木马。

永利皇宫登录网址 4

网页挂马死灰复燃 呈爆发性增长

360安全专家针对已公开的“CIA病毒”进行分析溯源,通过病毒服务器和代码编写特点等线索,挖出了更多并没有被维基解密曝光的“CIA病毒”家族样本。其中有病毒样本早在2016年2月已经出现在全球在线杀毒扫描平台VirusTotal上,当时360杀毒和安全卫士的“QVM人工智能引擎”就可检测查杀。

作为2018年最为活跃的病毒木马,顽固病毒木马具备启动早、隐蔽性高、反复感染等显著特点,从而横行网络。值得一提的是,病毒作者从入侵过程中发现系列变现获利之道,一度让普通用户蒙受重大经济损失。

暗藏“擒狼”木马的网络广告流量极大且诱惑性极高,360单日拦截此类攻击超过3万次,且拦截量一直处于快速上涨趋势。挂马团伙大量投放广告,则意味着其具有稳定的盈利模式和持续的开发体系。

监测数据显示,目前受挂马影响的电脑超过5万台,其中大约有1万台电脑被安装多个挖矿木马、广告刷量木马,以及木马下载器。有趣的是,腾讯电脑管家安全专家通过病毒代码分析,发现木马作者会自动检测受害电脑IP,如果是位于北京、上海、广东、山东、浙江等省市,就会立即停止,避免进一步产生危害。

网页挂马是指攻击者在网页中插入恶意代码,利用浏览器或Flash等插件的漏洞,在网民浏览网页时自动下载并运行。由于其攻击过程十分隐蔽,没有开启安全软件的网民一般很难察觉。

已曝光的资料显示,“CIA病毒”采用DLL劫持的方式进行攻击,专门定制了捆绑恶意代码的常用软件作为攻击武器,包括邮件客户端、浏览器、游戏、PDF阅读器、杀毒软件、数据备份工具、办公软件、文本编辑软件、即时通讯软件等。当这些常用软件运行时,就会把病毒DLL文件加载起来。

数据显示,目前顽固病毒的主要变现获利包括锁主页、刷流量、恶意推广等方式,占比前三的依次为35%、30%、18%。随着挖矿黑产的兴起,挖矿获利已上升至10%,暗云新变种等Bootkit木马也转投挖矿获利。

通过溯源分析,360摸清了“擒狼”的底细:无论是技术手段还是黑产盈利模式,“擒狼”和网上曾经活跃的“一生锁页”浏览器锁定工具都十分相似。木马除劫持浏览器外,还通过静默安装推广程序、劫持电商推广等行为实现流量变现。“擒狼”团伙持续开发木马程序,推广者利用挂马和系统装机等方式诱导中招者下载木马,赚取的佣金则被双方分赃。

据腾讯电脑管家安全专家介绍,盗号木马团伙精心构造的挂马代码使用了编号为CVE-2018-8174的高危漏洞,存在漏洞的电脑浏览器打开挂马页面会立刻中毒。安全专家提醒广大用户,建议及时安装操作系统补丁,并使用腾讯电脑管家拦截网页挂马。

以2016年3月英雄联盟等知名客户端挂马为例,电脑裸奔的网民打开游戏后,木马自动运行,强制安装推广软件。数据显示,仅一天之内,360安全卫士就拦截此类挂马攻击超过2万次。

360安全专家表示,DLL劫持的攻击方法在国内早已出现。大约在2011年前后,国内流行的网购木马大多是把常用软件EXE和病毒DLL定制在一起进行传播,俗称“白 黑”,当时360云安全主动防御已经针对此类攻击方法升级了防护策略,可以全面拦截DLL劫持类型的病毒。维基解密曝光的“CIA病毒”,无论是已经公开的样本,还是技术文档描述的攻击方法,360杀毒和安全卫士都可以第一时间拦截查杀。

永利皇宫登录网址 5

永利皇宫登录网址 6黑产利益链示意图

作为Windows VBScript Engine 代码执行漏洞,CVE-2018-8174高危漏洞的 VBScript 脚本执行引擎存在代码执行漏洞,不法攻击者可以将恶意的脚本代码嵌入到Office文件或者网站中,一旦用户点击,远程攻击者可以获取当前用户权限执行脚本中的恶意代码。不过,微软早在今年4月20日就已确认此漏洞,并于5月8号发布了官方安全补丁,对该 0day 漏洞进行了修复,将其命名为 CVE-2018-8174。

挂马攻击卷土重来的主要原因有三点:恶意代码通过广告联盟渗透到知名网站和软件客户端上,访问正规网站也中招的概率急剧提升;国外黑客公司Hacking Team泄露的400G信息包含了大量高利用价值的攻击代码;Flash曝光的不少高危漏洞成为了挂马程序的“靶子”。

目前,CIA方面并没有对维基解密曝光文件的真实性做出回应。在此前微软发表的一份声明中,微软方面也表示CIA的黑客工具针对的是“旧系统”的“过时”漏洞,无法攻破最新的Win10系统。

(图:顽固病毒木马主要变现获利方式)

为了能闷声发大财,“擒狼”木马没少花心思,比如全程静默安装运行,以不影响终端用户体验为目标,避免被受害者发现;另外,它还会使用系统正规程序的名字为恶意程序做掩护。“擒狼”木马服务器的后台数据显示,该团伙仅劫持浏览器赚取的电商佣金就高达200余万元。

目前,客户端内嵌网页挂马是病毒木马作者的主要传播渠道,攻击者在客户端软件中插入恶意代码,客户端软件一旦运行,就会染毒中招。而这种木马病毒由于内嵌在输入法软件中,用户几乎一开机就可能自动下载木马并运行。其攻击过程十分隐蔽,如果用户电脑没有开启安全软件保护,网民一般很难察觉。为此,腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马劲松提醒广大用户,应增强警觉性,使用Windows Update或腾讯电脑管家的漏洞修复功能为系统安装补丁,以免成为违规软件的受害者。

新兴的“网络敲诈产业链”也成为助长挂马攻击不容忽视的因素。勒索软件会对电脑文件进行高强度的加密,敲诈受害者支付比特币赎金,赎金要价一般价值上万元人民币。在经济利益诱惑下,病毒传播者花大成本投放广告挂马传播勒索软件,意图赚取远远超过广告投入的高额收益。

事实上,目前该类病毒木马的传播渠道已呈多元化发展。作为病毒传播的重要载体,盗版Ghost系统通过广告竞价排名获得网络访问量以吸引用户下载安装内嵌病毒的软件,最终劫持主页等手段进行获利;同时盗版激活工具、游戏外挂及各类下载器,针对特定目标人群发动定向攻击;另外第三方流氓软件也是顽固病毒的重要传播渠道,以看似“正常”的软件诱导用户下载,继而向用户电脑上安装病毒文件。

对普通网民来说,开启安全软件是防御挂马最有效的方法。360安全卫士在今年7月国内率先曝光“擒狼”挂马团伙,并第一时间全面拦截和查杀木马,即使用户不慎点击了挂马广告也能够防止中招。

同时,马劲松还建议用户,不要在不明网络、论坛等下载软件,须到软件管理等正规渠道下载正版软件,可以有效减少木马病毒的侵害;务必保持安全软件开启状态,对各类病毒攻击实时防御,并信任安全软件的查杀提示,可有效保护个人电脑安全。

勒索软件晋升“病毒之王”

永利皇宫登录网址 7

如果发现浏览器主页被篡改为可疑网址、在网上购物时网址出现奇怪后缀等异常情况,很可能是“擒狼”木马作祟。鉴于该木马还具有远程控制能力,随时可以实施更恶劣的破坏或窃取隐私数据,电脑用户应尽快下载使用安全软件全盘扫描查杀木马,并把IE、Flash等常用软件升级到最新版本,以免遭遇更严重的损失。

2016年,作为新型网络犯罪生力军的勒索软件已经泛滥成灾。报告显示,去年全国至少有497万台电脑遭遇其攻击。

(图:带毒盗版Ghost系统广告竞价排名)

在国外,勒索软件灾情更加严重。据IBM Security研究显示,2016年带有勒索软件的垃圾邮件数量同比增长了6000%,近40%的垃圾信息中带有该类病毒。网络犯罪分子近乎疯狂的投入到病毒勒索模式,预计2017年勒索软件的数量还将增长10倍。

不止于普通用户,顽固病毒还会通过弱口令爆破、漏洞利用等入侵方式集中攻击企业用户。近年来,随着挖矿木马、勒索病毒的兴起,挖矿勒索等病毒为了提升查杀难度,获得更早的执行机会,也会与顽固病毒进行捆绑传播。

勒索软件推动了挂马攻击的复兴,反之,网页挂马也加速了勒索软件的传播。技术门槛低、经济收益高、难以溯源等特点,让大量不法分子投身于制作和传播勒索软件的行列中,他们购买挂马服务,采用撒网抓鱼的方式传播病毒。

对此,《报告》提醒企业用户,尽量关闭不必要的文件共享和端口,对重要文件和数据进行定期非本地备份;采用高强度的密码,同时对没有互联需求的服务器/工作站内部访问设置相应控制。

为应对勒索软件,360安全卫士在2016年8月推出“反勒索服务”,承诺如果防不住病毒,由360代交赎金并解密文件。报告显示,截至去年底,360反勒索服务共接到1000余位遭遇勒索软件攻击的受害者求助,绝大多数受害者是由于电脑裸奔而中招。

顽固病毒三大技术对抗手段:拦截过滤、对抗杀软、自保护

《报告》提示广大网民,尽管近年来国内电脑安全状况已经得到极大提升,但以勒索软件为代表的新兴病毒仍然具有极大危害,一旦中招会对电脑资料和财产造成严重损失,建议网民及时打补丁、不随意打开可疑邮件附件,并注意开启安全软件的“反勒索服务”,为数据安全加一道保险。

《报告》指出,该类病毒作者不断提升拦截过滤、对抗杀软、自保护等技术实现对抗杀软。首先,顽固病毒木马作者通过注册各种各样的回调、hook系统相关函数,以合适的时间获得执行机会,在回调函数中完成相关的拦截过滤功能,直接拦截包括文件过滤、网络过滤等文件。

永利皇宫登录网址 8

(图:独狼Rootkit过滤点)

其次,为躲避杀软查杀,病毒作者采用各种手段完成对抗,包括病毒文件名随机化、阻止杀毒软件进程启动、设备占坑、阻断联网、重定向、禁写BCD配置文件等升级技术等。此外,病毒作者会采用“自保护“方式,通过阻止或者隐藏自身注册表以达到自保护的目的。

网络攻击威胁不断加剧 技术创新守护用户网络安全

纵观整个2018年,利用顽固病毒发动的网络攻击愈发频繁。从“独狼一代”到“暗云变种”再到“外挂幽灵”团伙,顽固病毒逐渐与广大用户生活息息相关,严重威胁用户网络安全。

以“外挂幽灵”团伙为例,去年10月,腾讯安全御见威胁情报中心监测发现,“外挂幽灵”团伙利用七哥辅助网等多个游戏辅助网站传播“双枪”、“紫狐”等木马病毒。这些网站提供的多款游戏外挂工具会私自携带多个木马病毒,在安装过程中会释放锁主页程序、开心输入法和“紫狐”木马下载器等恶意程序,给用户造成不必要的经济损失和麻烦。

综合整个《报告》可以看出,顽固病毒凭借隐蔽性强、反复感染、难以查杀等特点,逐渐成为黑产分子惯用攻击方式之一。腾讯安全对此建议用户务必提高网络安全意识,保持腾讯电脑管家等安全软件实时开启状态。如果用户已经中招,在用杀毒软件查杀过程中被强制重启,导致杀毒过程终端无法彻底清除该病毒时,可以使用腾讯电脑管家PE版急救箱进行查杀,可彻底查杀顽固病毒。

永利皇宫登录网址 9

(图:腾讯电脑管家急救箱)

版权声明:本文由永利皇宫登录网址发布于财经资讯,转载请注明出处:永利皇宫登录网址三大对抗手段成主流,维基百