前言
一、共建网络安全,共享网络文明,积极推动网络安全发展
9月16日,以“网络安全为人民,网络安全靠人民”为主题的2018年国家网络安全宣传周在成都拉开帷幕,国家网络安全宣传周已经连续举办五届,通过论坛、讲座、宣传片、互动等丰富多样的形式,“网络安全”观念越来越被广大网民所接受和认可,网民的防护技能也在逐步提升。
8月27日,第四届互联网安全领袖峰会(Cyber Security Summit 2018,简称CSS2018)在京举行。本届峰会以“安全强驱动,数字新生态”为主题,围绕“数字经济时代,安全是所有0前面的1”这一话题展开讨论。本届安全峰会汇聚了数十位来自国内外互联网行业的专业人员以及各家互联网企业的高层人员,共同探讨互联网安全的前沿问题与未来发展。
10月3日,国际反病毒年度安全盛会Virus Bulletin International Conference(VB2018)在加拿大召开。腾讯安全携旗下腾讯电脑管家、自研TAV杀毒引擎及哈勃分析系统等多个经过严格考验的安全产品亮相展会。腾讯安全反病毒实验室安全专家发表名为《危险卷土重来:对抗不断变化的宏病毒威胁》的主题演讲,分享了多种宏病毒检测手段与方法,受到了参会安全专家的广泛关注。
二、VB100公布最新评测报告:腾讯电脑管家第30次通过认证
国际权威杀毒评测机构Virus Bulletin公布2018年8月VB100评测成绩,腾讯电脑管家(英文版)以100%通过率,0误报的优异成绩获得认证,同时也是其第30次获得该认证,再次刷新连续通过记录,持续领跑国际杀毒软件第一阵营。
如今,网络安全已逐渐成为海陆空天之外的第五种安全,本次测试,腾讯电脑管家不仅在世界舞台证明了国内安全厂商的实力,而且也为国内网络安全行业的进步带来更大信心。
三、多家医院遭入侵植入挖矿木马,勒索病毒攻击国土局,Q3季度网络安全事件频发
腾讯御见威胁情报中心在7月检测到广东、重庆多家三甲服务器被黑客入侵,攻击者暴力破解医院服务器的远程登录服务,之后下载多种挖矿木马。攻击者将挖矿木马伪装成远程协助工具Teamviewer运行,攻击者的挖矿木马会检测多达50个常用挖矿程序的进程,将这些程序结束进程后独占服务器资源挖矿。
9月山东省部分地区国土资源局遭受勒索病毒攻击,导致无法办理相关业务最终发布暂停办理公告。此次勒索病毒是在国土资源专网内爆发的,大多数企业、机构的IT部门认为内部网络相对比较安全,因此网络安全防护工作不到位给了木马病毒可乘之机,内部网络不等于安全,同样需要及时更新防病毒软件,更新系统补丁。
四、关于腾讯反病毒实验室
腾讯反病毒实验室作为耕耘在网络安全反病毒第一战线上的一员,有责任主动担负保障国家、民众互联网安全的社会责任。
腾讯反病毒实验室成立于2010年,始终致力于互联网安全防护、计算机与移动端恶意软件检测查杀、网络威胁情报预警等工作。通过“自研引擎能力、安全事件运营、哈勃分析平台”的“三剑合璧”,对”安全查杀能力、漏洞监测能力及病毒样本分析“提供了全面、系统、一体化的产品运营式的标准化防护,为腾讯安全实力进一步提供了强大技术支撑,也为网民构建了安全的上网环境。
实验室拥有专业的反病毒团队,在自主反病毒引擎TAV研发上深耕多年,拥有多项自主知识产权病毒检测专利。在AV-C、AV-TEST等国际安全评测中反超国际老牌杀毒软件,多次取得大满贯的成绩,这也表明中国自主研发的杀毒引擎已经达到了世界先进水平。
一、PC安全方面
腾讯电脑管家英文版连续通过VB100, ICSA等认证测试,不仅2017年以来在赛可达测试连续获得第一的成绩,更是在AV-C 2017年国际评测中作为国内唯一参测产品,5项测试A+评级,比肩卡巴斯基,比特梵德,小红伞国际知名厂商。
二、移动安全方面
在移动威胁检测能力方面,腾讯手机管家则在2016年以来AV-Test国际评测中,连续16次满分13分通过,国内独树一帜。
三、动态检测方面
反病毒实验室哈勃动态分析系统为网民提供了未知文件动态检测能力,实时帮助网民检测、分析可疑文件。
第一章 PC端恶意程序
一、恶意程序拦截量与中毒机器量
(一)恶意程序拦截量
根据腾讯反病毒实验室统计数据显示,截止到2018年9月底,PC端总计已拦截病毒12亿次,平均每月拦截木马病毒约1.33亿次。
Q3季度总计拦截病毒3.3亿次,Q3季度平均每月拦截木马病毒近1.11亿次。相比Q2季度整体病毒拦截量有所下降,说明用户前端病毒活跃量继续呈现下降趋势,而Q3季度整体每月拦截量逐步下降,9月降至最低点,为截止目前本年度最低点。具体数值如:图 1。
本季度病毒拦截量相比Q2季度病毒拦截量环比下降19.54%,根据最近4个季度数据波动情况分析,可以看出前端用户病毒数量呈现波浪式下降。具体数值如:图 2。
图 2
2018年Q3季度相较于2017年Q3季度病毒拦截量同比下降了34.30%,同比恶意程序数量大幅下降,但依旧超过2015与2016年同季度病毒拦截量。具体数值如:图 3。
(二)中毒机器量
截止到2018年9月底,PC端Q3季度总计发现8,276万次用户机器中木马病毒,平均每月为2,758万中毒机器进行病毒查杀,本季度7月份中毒机器次数最低,约为2,622万次,随后8月缓慢回升至3,000万次左右。具体数值如图 4。
图 4
2018年Q3季度中毒机器次数相比Q2季度中毒机器次数继续下降,降幅达到9.69%。这已是从2017年Q3季度以来连续4个季度中毒机器次数下降。具体数值如图 5。
图 5
2018年Q3季度相较于2017年Q3季度中毒机器数量同比下降33.94%。从2015至2018年Q3数据来看,2017年Q3季度为近几年中毒机器次数的峰值,拉高了近几年中毒机器次数的平均水平,而2018年Q3季度呈现下降回归趋势,降至平均线水平。具体数值如:图 6。
图 6
一、恶意程序详细分类
(一)恶意程序种类及量级上的分类
2018年Q3季度根据获取到的病毒样本分析,从病毒种类上,木马类占总体数量的57.67%,始终是第一大种类病毒,相较Q2季度环比小幅下降。Adware类(广告软件、强制安装、收集用户隐私、弹垃圾信息等)为第二大病毒类,占总体数量的33.68%,相比Q2季度出现小幅上涨。后门类为第三大病毒类,占总体数量的6.63%,相比Q2季度出现小幅下降,但降幅并不明显。
通过以上数据可以看出,相比Q2季度,病毒种类及排名均无变化,仅在数量占比上有所差别,属正常波动范围。具体数值如图 7。
图 7(病毒种类上划分)
从病毒样本的数量上来划分,可以看到图 8中排在第一位仍然是木马类,占了恶意程序总量的62.21%,但相比Q2季度出现大幅度增长,拦截量重新回归至60%以上。而排在第二位的是PE感染型病毒,占总体数量的14.39%,相比Q2季度出现小幅下降,但排名取代Adware类上升至第二位。排在第三位的是Adware病毒,占总体数据是14.19%,受木马类大幅上涨影响,此类病毒相较Q2季度呈现下降趋势。具体数值如图 8。
图 8(样本量级上划分)
(二)木马类的详细分类
在第一大病毒类木马类中,可以详细划分为多种类型的木马病毒。有下载其他有害软件的程序,勒索软件,释放有害软件的程序,盗取个人信息,银行盗号诈骗,社交软件工具盗号,虚假反病毒软件,DDoS攻击软件,游戏盗号软件,以及流量点击等有害程序。
其中排名第一位的是下载类木马,占全部种类的38.06%,相比Q2季度有所上涨,上涨幅度较小,此类病毒已连续两月小幅度上涨,呈回升趋势。
排在第二位的是盗号类病毒,占全部种类的15.23%,相比Q2季度小幅上涨,这表明Q3季度盗号类木马病毒新增类别再次增长,攻击者正在开发新的病毒变种攻击用户网络银行相关信息。
排在第三位的是勒索类病毒,占全部种类的11.59%,相较Q2季度出现小幅上涨,位排名上升两位,具体数值如图 9。
图 9(木马种类上划分)
木马病毒种类多说明病毒可能来自很多个不同的作恶团伙,但从木马拦截量上可以看出哪一些木马病毒最为活跃。从木马病毒样本的数量上来划分,可以看到图 10中排在第一位是Dropper类木马病毒(释放有害文件木马),占全部拦截量的42.52%,相比Q2季度出现小幅下降。
排在第二位的是勒索类病毒,占全部拦截量的28.80%。勒索类病毒拦截量相比Q2季度基本持平,没有较大变化。从木马种类分布与木马拦截量分布两张数据图的对比可以看到,Dropper类虽然在病毒种类上没有下载类种类多,但在数量级上远远超过了下载类,这说明此类木马传播的最广泛,数量最多,受害的用户也最多。具体数值如图 10。
图 10(木马量级上划分)
(三)PE感染型病毒分类
从监测到的数据上来看,感染型病毒类别变化不大。感染型病毒种类上并不太多,但在用户侧仍然十分活跃,对比2018年Q2季度与Q3季度数据,排名前几位的感染型病毒无论占比还是排名均发生了变化。
在感染型病毒中,本季度排在第一位的是PolyRansom病毒,占全部感染型病毒的20.69%,相比Q2季度从第五位上升至第一位,重新开始变得活跃。排在第二位的是Virut病毒,占全部感染型病毒的19.37%,相比Q2季度发生小幅下降,但排名没有发生变化。排名第三位的是Agent,占全部感染型病毒的15.26%,相比Q2季度从第六位上升至第三位。具体数据如图 11。
图 11
由于感染型病毒不同于普通的木马病毒,感染型病毒会通过修改宿主程序代码的方式将恶意代码寄生在宿主进程中运行,而每个文件被感染后的哈希(Hash,文件内数据的”信息摘要“)值都会变化,因此,被感染型病毒感染后的文件是无法进行”云查杀“的。
因此,杀毒引擎能否修复被感染的文件,体现了反病毒引擎对感染型病毒修复的能力。目前腾讯反病毒实验室的自研TAV反病毒引擎可以查杀并修复国际、国内流行的各类感染型病毒。
(四)非PE病毒分类
根据收集的非PE病毒样本统计,从非PE病毒文件类型上来看,本季度排在第一位的是VBS类病毒,占全部病毒的45.28%,大幅上涨,相比Q2季度超过JS重新上升至第一位。排在第二位的是JS类病毒,占全部病毒的27.05%,相比Q2季度大幅下降。排在第三位的是HTML类病毒,占全部病毒的18.18%,相比Q2季度大幅上升。具体数据如图 12。
图 12
一、中毒用户地域分布
根据中毒PC数量统计,从城市分布来看城市排名变化不是特别大,依旧是互联网较为发达的城市用户中毒情况较多,排名TOP10的城市有些许变化,依次是:深圳市、广州市、武汉市、北京市、重庆市、成都市、上海市、济南市、杭州市、苏州市,其中,苏州市取代东莞市上榜TOP10。
全国拦截病毒排名第一的城市依然为深圳市,占全部拦截量的4.89%,相比Q2季度小幅上涨。第二名为广州市,排名相比Q2季度小幅上涨,拦截量占全部拦截量的4.39%。第三名为武汉市,相比Q2季度小幅下降,拦截量占全部拦截量的3.33%。具体数据如图 14。
图 14
从省级地域分布数据来看,相比Q2季度在排名上有些许变化,前六名省份排名都没有变化。中毒PC数量最多的还是广东省,排在全国第一省,占全部拦截量的14.43%,与Q2季度相比小幅上涨。河南省、山东省病毒拦截量小幅度下降,江苏省、浙江省小幅上涨。具体数据如图 15。
图 15
一、PC端敲诈勒索病毒详情
敲诈勒索病毒是以敲诈勒索钱财为目的,使得感染该木马的计算机用户系统中的指定数据文件被恶意加密,造成用户数据丢失。目前,由国外传进国内的敲诈勒索病毒大多需要支付比特币赎金才能进行解密,由于比特币完全匿名流通,目前技术手段无法追踪敲诈勒索病毒背后的幕后操纵者,这也使得敲诈勒索病毒从2013年后呈现爆发式增长。
(一)敲诈勒索病毒拦截量
根据相关数据分析显示,通过图 16可以看到,本季度敲诈类病毒拦截量最大的依然是Blocker,此类敲诈病毒占了所有敲诈类病毒的78.91%,相比Q2季度小幅上涨,已多季度连续上涨。排名第二位的是GandCrypt,占所有敲诈类病毒的7.50%,相比Q2季度小幅上涨。具体数据如图 16。
图 16
一、漏洞相关病毒详情
(一)漏洞病毒分类详情
统计漏洞病毒样本主要分布在Windows、Linux、Android平台上,这3种平台上的漏洞病毒样本占了全部漏洞病毒样本的绝大多数。通过对获取到的漏洞类型样本统计,可以看到Windows平台占比最多,其中非PE类型的漏洞样本达到77.21%,相比Q2季度小幅上升。PE类型漏洞样本达到18.33%,相比Q2季度基本持平。Windows平台漏洞样本总量可达到所有平台全部漏洞样本总量的95.54%,相比Q2季度基本持平。Linux平台漏洞占比为2.38%,Android平台漏洞占比为2.08%。具体数值如图 17。
图 17
(二)Linux平台漏洞病毒详情
在Linux平台上,排名第一的漏洞攻击样本名为Exploit.Linux.Lotoor,占全部样本中的60.48%,相比Q2季度大幅下降,这类样本实际上是利用Linux漏洞进行权限提升,以便黑客得到更高的系统权限,执行其他恶意操作。具体数值如图 18。
图 18
(三)Android平台漏洞病毒详情
在Android平台上,排名第一的漏洞攻击样本名为Exploit.AndroidOS.Lotoor,占全部样本中的87.67%,相比Q2季度略微上涨,此类名字与Linux平台上的名字相同,功能同样也是为了提升病毒的系统权限。具体数值如图 19。
图 19
(四)Windows平台漏洞病毒详情
在收集到的Windows平台漏洞样本中,非PE类型漏洞病毒量级最大,而在非PE类型漏洞病毒样本中,可以分为多种类型的文件,其中,排名第一位的是OLE类,此类通常为复合文档,以office文档居多,占全部非PE漏洞病毒的56.75%,相比Q2季度小幅下降。排名第二位的是JS类,占全部非PE漏洞病毒的33.72%,相比Q2季度小幅上涨。排名第三位的是SWF类,通常是指Adobe的Flash漏洞,占全部非PE漏洞病毒的4.65%,相比Q2季度几乎没有太大变化。具体数值如图 20。
图 20
Windows平台上的PE类型漏洞样本达到18.33%,在这部分漏洞样本中以排名第一位的名为MS04-028,占全部漏洞样本的25.67%,相比Q2季度继续小幅上涨,此漏洞是较老的漏洞,但根据收集到的样本分析,依旧十分活跃。具体数值如图 21。
第二章 Android端恶意程序
一、恶意程序检测量
2018年Q3统计Android样本数据显示,截止9月底本年度总计已检测Android病毒样本量509万多个,平均每月检测Android病毒样本56.5万多个。通过数据可以看到Android病毒样本Q3季度相比Q2季度有所下降。具体数值如:图 27。
图 27
二、恶意程序详细分类
(一)恶意程序种类及量级上的分类
根据2018年Q3季度获取到的Android病毒样本分析,从病毒种类上来看整体排名上来看发生了略微调整,排名第一位的仍然是PUA类(灰色软件),占总体病毒量的52.87%,相比Q2季度小幅下降,打破此类病毒量连续多季度上涨趋势。SMS类为第二大病毒种类,占总体数量的20.00%,相比Q2度上涨小幅上涨,已连续3季度上涨。Spy类为第三大病毒种类,占总体数量的5.91%,相比Q2季度小幅上涨。具体数值如图 28。
图 28(病毒种类上划分)
从Android病毒样本的数量级上来划分,可以看到排在第一位的仍然是PUA,占全部Android病毒数量的56.14%,相比Q2季度小幅下降,打破流氓PUA病毒多季度持续上涨趋势。排在第二位的Dropper占全部Android病毒数量的22.80%,相比Q2季度小幅上涨,此Dropper类病毒主要行为是伪装成其他正常软件,释放出其他流氓软件在后台静默安装,会导致用户Android机上被安装多种推广软件。排在第三位的是SMS类病毒,占全部Android病毒数量的8.19%,相比Q2季度小幅下降。具体数据如图 29。