前言
一、国家与企业共同推动网络安全发展,网络环境逐渐变好
2018年无论PC端还是手机端,木马病毒数量均呈现下降趋势,这是国家与企业共同推动网络安全发展的成果,而经过国家与企业共同的努力,不仅让前端网络用户用网环境越来越好,也让有组织的网络黑客团伙逐渐减少。
从2018年3月的全国两会相关政协委员与代表们为互联网安全发展发声,到4月全国网络安全和信息化工作会议国家主席、中央网络安全和信息化委员会主任习近平出席会议并发表重要讲话,再到9月以“网络安全为人民,网络安全靠人民”为主题的2018年国家网络安全宣传周都无不表明国家对互联网安全发展的重视。
”我国是网络大国却不是网络强国“,”没有网络安全就没有国家安全“,树立正确的网络安全观,加强信息基础设施网络安全防护,严厉打击网络黑客等目标不仅让安全企业积极参与进来帮助国家打击黑产,解决网络安全问题,还展示了大国应有的网络安全实力。2018年全国范围内的各类网络安全会议数十场,大小安全企业积极参加会议,讨论网络安全发展走向,解决网络安全实施中的问题。
“网络空间的竞争,归根结底是人才竞争,建设网络强国,需要优秀的人才队伍。”腾讯安全不仅解决网络用户的用网安全,还在积极推动网络安全人才培养。5月,腾讯安全学院正式揭牌成立。腾讯安全学院将通过搭建内部人才培养体系、校企合作体系及生态赋能合作体系,建设安全人才发展与交流平台。希望通过腾讯安全学院,能够为行业、国家培养、挖掘出更多的网络安全人才。
二、仍有企业、机构网络安全意识不足,给黑客可乘之机
虽然在2018年网络安全环境呈现好转趋势,通过持续对网络黑产的打击,木马病毒数量在逐渐减少,但针对企业的网络攻击还在持续发生,而企业一旦被攻破,损失往往是不可估量的。
随着国家对网络安全的重视,越来越多的企业也开始重视自身的网络安全,通过购买使用安全厂商的安全产品来加强自身企业网络安全设施防护,增强员工网络安全意识培训等。但仍有小部分政府、企业的服务器未做到安全防护,导致服务器入侵等案件发生。
2018年在政府、医院、企业中均有发生过服务器被入侵并植入木马案件发生。2018年在全国有多家医院遭勒索病毒攻击导致患者无法就医的事情发生,也有医院服务器被植入挖矿木马导致系统变慢、瘫痪的情况。而9月山东省部分地区国土资源局遭受勒索病毒攻击,导致无法办理相关业务最终被迫发布暂停办理公告。更有企业被入侵,导致用户数据被盗、用户隐私泄露的案件发生。
很多案件发生在企业、机构的内网中,大多数企业、机构的IT部门认为内部网络相对比较安全,因此内部网络安全防护工作不到位才给了木马病毒可乘之机,内部网络不等于安全,同样需要及时更新防病毒软件,更新系统补丁。
这里提醒企业、机构一定要提高网络安全意识,将网络安全工作做到位。
三、关于腾讯反病毒实验室
腾讯反病毒实验室作为耕耘在网络安全反病毒第一战线上的一员,有责任主动担负保障国家、民众互联网安全的社会责任。
腾讯反病毒实验室成立于2010年,始终致力于互联网安全防护、计算机与移动端恶意软件检测查杀、网络威胁情报预警等工作。通过“自研引擎能力、安全事件运营、哈勃分析平台”的“三剑合璧”,对”安全查杀能力、漏洞监测能力及病毒样本分析“提供了全面、系统、一体化的产品运营式的标准化防护,为腾讯安全实力进一步提供了强大技术支撑,也为网民构建了安全的上网环境。
实验室拥有专业的反病毒团队,在自主反病毒引擎TAV研发上深耕多年,拥有多项自主知识产权病毒检测专利。在AV-C、AV-TEST等国际安全评测中反超国际老牌杀毒软件,多次取得大满贯的成绩,这也表明中国自主研发的杀毒引擎已经达到了世界先进水平。
一、PC安全方面
腾讯电脑管家英文版连续通过VB100, ICSA等认证测试,不仅2017年以来在赛可达测试连续获得第一的成绩,更是在AV-C 2018年国际评测中作为国内唯一参测产品,5项测试A+评级,比肩卡巴斯基,比特梵德,小红伞国际知名厂商。
二、移动安全方面
在移动威胁检测能力方面,腾讯手机管家则在2016年以来AV-Test国际评测中,连续17次满分13分通过,国内独树一帜。
三、动态检测方面
反病毒实验室哈勃动态分析系统为网民提供了未知文件动态检测能力,实时帮助网民检测、分析可疑文件。
四、威胁情报方面
反病毒实验建立了威胁情报监控平台,可实时监控、探测、挖掘互联网安全威胁情报,及时向社会公众报告网络安全风险,可在腾讯电脑管家官方网站“安全舆情”中获取最新信息,也可以关注腾讯反病毒实验室公众号获取最新信息资讯。
第一章 PC端恶意程序
一、恶意程序拦截量与中毒机器量
(一)恶意程序拦截量
根据腾讯反病毒实验室统计数据显示,截止到2018年年底,PC端总计已拦截病毒14.86亿次,平均每月拦截木马病毒约1.24亿次。
2018年整年病毒拦截次数呈现波浪式下降趋势,1月为本年度病毒拦截量最高月,达到了1.76亿次,12月为本年度病毒拦截量最低月,拦截量为0.93亿次。具体数值如:图 1。
图 1
通过季度病毒拦截量数据可以看到,2018年整体病毒传播情况得到有效果控制,病毒活跃度正在逐步收敛。具体数值如:图 2。
图 2
2018年年度拦截病毒次数相较于2017年同比下降了25.34%,但依旧超过2015与2016年年度病毒拦截量。从数据上可以看到,2015至2017年病毒拦截次数持续增长,甚至出现翻倍,2018年首次出现回落,这不仅仅是网络安全厂商联合打击的效果,更是中国政府出台网络安全法,坚决、持续的打击、摧毁网络黑产团伙有关,预计后续病毒数量会呈现波浪式下降趋势,网络黑客也会从广撒网转变成定点、精准攻击。具体数值如:图 3。
图 3
(二)中毒机器量
截止到2018年年底,PC端年度总计发现3.5亿次用户机器中木马病毒,平均每月为2,920万中毒机器进行病毒查杀,本年度2月份中毒机器次数最低,约为2,616万次,1月份中毒机器次数最高,约为3,419万次。具体数值如图 4。
图 4
2018年中毒机器次数呈现小幅下降,但降幅逐渐缩小。这已是从2017年Q3季度以来连续5个季度中毒机器次数下降,说明前端用户用网环境逐渐变好。具体数值如图 5。
图 5
2018年相较于2017年年度中毒机器数量同比下降23.85%。在经过2017年病毒传播爆发的一年后,重新回归至2015、2016年平均水平,随着政府、企业等越来越多的人和机构意识到网络安全的重要性,预计后续中毒机器会继续呈现下降趋势。具体数值如:图 6。
图 6
二、恶意程序详细分类
(一)恶意程序种类及量级上的分类
2018年年度根据获取到的病毒样本分析,从病毒种类上,木马类占总体数量的55.92%,全年始终是第一大种类病毒,每月只会出现小幅波动。Adware类(广告软件、强制安装、收集用户隐私、弹垃圾信息等)为第二大病毒类,占总体数量的34.90%,始终排在第二位。后门类为第三大病毒类,占总体数量的6.58%。
通过统计的数据可以看出,2018年整年度每季度病毒种类及排名没有变化,仅在数量占比上有所差别,均属正常波动范围。PE感染型病毒类在每季度都呈现下降趋势,虽然下降数值非常小,但可以说明PE感染型病毒已经越来越少,逐步走出主流黑客攻击方式。具体数值如图 7。
图 7(病毒种类上划分)
从病毒样本的数量上来划分,可以看到图 8中排在第一位是木马类,占了恶意程序总量的43.64%,2018年每季度木马类都会出现10%左右的较大波动。排在第二位的是Adware型病毒,占总体数量的26.12%,每季度都会出现约15%左右的较大波动。大范围波动说明某些黑客团伙会在某个季度集中投放木马、Adware病毒,持续一段时间后便会结束攻击。排在第三位的是PE感染型病毒,占总体数据是19.16%,虽然种类上每季度在小幅下降,但量级上依然排名靠前,虽然新种类的PE感染型病毒出现的越来越少,但老种类的病毒依然活跃在网络上。具体数值如图 8。
图 8(样本量级上划分)
(二)木马类的详细分类
在第一大病毒类木马类中,可以详细划分为多种类型的木马病毒。有下载其他有害软件的程序,勒索软件,释放有害软件的程序,盗取个人信息,银行盗号诈骗,社交软件工具盗号,虚假反病毒软件,DDoS攻击软件,游戏盗号软件,以及流量点击等有害程序。
2018年平均每季度排名第一位的是下载类木马,占全部种类的32.65%,每季度波动并不太大,始终占据木马种类第一位。
排在第二位的是银行盗号诈骗类病毒,占全部种类的12.74%,每季度会出现排名变化,但综合年度排名占据第二位,说明网络银行盗号类病毒依旧是黑客的钟爱。具体数值如图 9。
图 9(木马种类上划分)
木马病毒种类多说明病毒可能来自很多个不同的作恶团伙,但从木马拦截量上可以看出哪一些木马病毒最为活跃。从木马病毒样本的数量上来划分,可以看到图 10中排在第一位是Dropper类木马病毒(释放有害文件木马),占全部拦截量的37.91%,2018年第一季度此类病毒曾下降至23%,但在此后的三个季度重新回归至35%以上。
排在第二位的是勒索类病毒,占全部拦截量的27.75%。勒索类病毒在2018年依旧十分活跃。从木马种类分布与木马拦截量分布两张数据图的对比可以看到,Dropper类虽然在病毒种类上没有下载类种类多,但在数量级上远远超过了下载类,这说明此类木马传播的最广泛,数量最多,受害的用户也最多。具体数值如图 10。
图 10(木马量级上划分)
(三)PE感染型病毒分类
从监测到的数据上来看,感染型病毒类别变化不大。感染型病毒种类上并不太多,但在用户侧仍然十分活跃,2018年根据每季度数据统计,感染型病毒排名变化十分频繁,这与此类病毒本身传播特征有关。
在感染型病毒中,年度平均拦截量排在第一位的是Virut病毒,占全部感染型病毒的23.29%,此类病毒在本年度排名活跃在前四位,排名会随着其他病毒的猛增或骤减而波动。具体数据如图 11。
图 11
由于感染型病毒不同于普通的木马病毒,感染型病毒会通过修改宿主程序代码的方式将恶意代码寄生在宿主进程中运行,而每个文件被感染后的哈希(Hash,文件内数据的”信息摘要“)值都会变化,因此,被感染型病毒感染后的文件是无法进行”云查杀“的。
因此,杀毒引擎能否修复被感染的文件,体现了反病毒引擎对感染型病毒修复的能力。目前腾讯反病毒实验室的自研TAV反病毒引擎可以查杀并修复国际、国内流行的各类感染型病毒。
(四)非PE病毒分类
根据收集的非PE病毒样本统计,从非PE病毒文件类型上来看,2018年年度非PE病毒平均拦截量排在第一位的是VBS类病毒,占全部病毒的50.65%,但从季度数据上来看,此病毒已经从第一季度的63.34%下降至第四季度的38.70%。每季度均有下降,说明此类病毒开始呈现收敛趋势,此类病毒排名第一位,也是因为此类VBS病毒会感染HTML网页并插入VBS脚本代码,而VBS代码中包含了一个完整的可执行文件病毒,一旦HTML网页被执行后,便会执行这段恶意的VBS代码,释放出一个恶意的可执行文件并加载运行,正是这种感染特性,让此类病毒始终排行在第一位。
排在第二位的是JS类病毒,占全部病毒的23.21%,此类病毒本年度每季度均在20%上下波动,始终占据第二位的排名。具体数据如图 12。
图 12
三、中毒用户地域分布
根据2018年中毒PC数量统计,从城市分布来看每季度城市排名变化不是特别大,依旧是互联网较为发达的城市用户中毒情况较多,年度平均排名TOP10的城市依次是:深圳市、广州市、武汉市、北京市、重庆市、成都市、上海市、济南市、杭州市、东莞市。而苏州市、长沙市均曾排进前十。
全国2018年平均拦截病毒排名第一的城市为深圳市,占全部拦截量的4.48%,深圳市在第一季度拦截量为3.50%,而后三个季度始终在4.5%以上。第二名为广州市,拦截量占全部拦截量的3.92%。第三名为武汉市,拦截量占全部拦截量的3.37%。具体数据如图 13。
图 13
从省级地域分布数据来看,2018年恶意软件拦截地域年度平均分布排在全国第一省的是广东省,占全部拦截量的13.92%,广东省每季度拦截病毒量均超过13.2%,第三季度达到14.43%峰会,随后第四季度回调至14.18%。河南省、山东省、江苏省、浙江省、四川省始终占据排名前六位,未曾出现排名变化,仅是每季度占比稍有不同。具体数据如图 14。
图 14
四、PC端敲诈勒索病毒详情
敲诈勒索病毒是以敲诈勒索钱财为目的,使得感染该木马的计算机用户系统中的指定数据文件被恶意加密,造成用户数据丢失。目前,由国外传进国内的敲诈勒索病毒大多需要支付比特币赎金才能进行解密,由于比特币完全匿名流通,目前技术手段无法追踪敲诈勒索病毒背后的幕后操纵者,这也使得敲诈勒索病毒从2013年后呈现爆发式增长。
(一)敲诈勒索病毒拦截量
根据相关数据分析显示,通过图 15可以看到,2018年年度敲诈类病毒拦截量最大的是Blocker,此类敲诈病毒占了所有敲诈类病毒的74.40%,此病毒在2018年前三个季度快速增长后在第四季度出现下降。排名第二位的是Wanna,占所有敲诈类病毒的6.93%。具体数据如图 15。
图 15
五、漏洞相关病毒详情
(一)漏洞病毒分类详情
统计2018年漏洞病毒样本主要分布在Windows、Linux、Android平台上,这3种平台上的漏洞病毒样本占了全部漏洞病毒样本的绝大多数。通过对获取到的漏洞类型样本统计,可以看到Windows平台占比最多,其中非PE类型的漏洞样本达到78.05%,PE类型漏洞样本达到17.74%,Windows平台漏洞样本总量可达到所有平台全部漏洞样本总量的95.79%。Linux平台漏洞占比为2.19%,Android平台漏洞占比为1.99%。具体数值如图 16。
图 16
根据2018年每季度数据进行对比可以看出,Windows平台上的非PE类型的漏洞样本持续增长,从年初的71.43%增长至年底的86.62%,而Windows平台上的PE类型的漏洞样本在持续下降,从年初的24.70%下降至年底的9.53%。Linux平台与Android平台数据均有所波动。具体数值如图 17。
图 17
(二)Linux平台漏洞病毒详情
在Linux平台上,2018年每季度平均排名第一的漏洞攻击样本名为Exploit.Linux.Lotoor,占全部样本中的62.15%,每季度实际占比均超过50%,这类样本实际上是利用Linux漏洞进行权限提升,以便黑客得到更高的系统权限,执行其他恶意操作。具体数值如图 18。
图 18
(三)Android平台漏洞病毒详情
在Android平台上,2018年每季度平均排名第一的漏洞攻击样本名为Exploit.AndroidOS.Lotoor,占全部样本中的86.32%,此类在本年的每个季度都在持续增长,从年初的82.99%到年底的87.93%增长了4.94%。此类名字与Linux平台上的名字相同,功能同样也是为了提升病毒的系统权限。具体数值如图 19。
图 19
(四)Windows平台漏洞病毒详情
2018年在收集到的Windows平台漏洞样本中,非PE类型漏洞病毒量级最大,而在非PE类型漏洞病毒样本中,可以分为多种类型的文件,其中,排名第一位的是OLE类,此类通常为复合文档,以office文档居多,占全部非PE漏洞病毒的59.22%,此类在2018年的四个季度里波动较大,这或许与黑客攻击行为有关,黑客会选择在不同季度利用几个较大型的僵尸网络发起相关攻击。排名第二位的是JS类,占全部非PE漏洞病毒的31.35%,此类每季度在10%左右范围波动。排名第三位的是SWF类,通常是指Adobe的Flash漏洞,占全部非PE漏洞病毒的4.41%。具体数值如图 20。
图 20
第二章 Android端恶意程序
一、恶意程序检测量
根据2018年统计的Android样本数据显示,截止2018年年底本年度总计已检测Android病毒样本量660万多个,平均每月检测Android病毒样本55万多个。Android样本全年整体呈现下降趋势,一月为本年度病毒检测量最高月,约74万个,12月为最低月,约36万个。具体数值如:图 21。
图 21
二、恶意程序详细分类
(一)恶意程序种类及量级上的分类
根据2018年整年获取到的Android病毒样本分析,从病毒种类上来看排名第一位的始终是PUA类(灰色软件),占总体病毒量的53.74%,此类在2018年每季度均在50%占比浮动。SMS类为第二大病毒种类,占总体数量的18.59%。Spy类为第三大病毒种类,占总体数量的5.91%。Dropper类为第四大病毒种类,占总体数量的3.72%。这四类在2018年每个季度的统计中均排在前四位,并且排名未发生变化。具体数值如图 22。
图 22(病毒种类上划分)
从Android病毒样本的数量级上来划分,可以看到排在第一位的仍然是PUA,占全部Android病毒数量的56.82%,此类全年在小幅波动中持续增长。排在第二位的Dropper占全部Android病毒数量的20.22%,此类全年每季度持续下降,此Dropper类病毒主要行为是伪装成其他正常软件,释放出其他流氓软件在后台静默安装,会导致用户Android机上被安装多种推广软件。排在第三位的是SMS类病毒,占全部Android病毒数量的6.85%。具体数据如图 23。
图 23(病毒量级上划分)
总结
根据2018年统计的病毒样本数据显示,2018年无论PC端还是手机端,整体病毒传播情况得到有效果控制,木马病毒数量均呈现下降趋势,病毒活跃度正在逐步收敛。取得这样的成果不仅仅是网络安全厂商联合打击的效果,更是中国政府出台网络安全法,坚决、持续的打击摧毁网络黑产团伙有关,正是有组织有规模的黑产团伙逐渐减少,才使得大规模大批量制作、投放木马病毒事件减少。
随着国家对网络安全不断的引导与宣传,越来越多的用户、企业开始重视自身的网络安全,网络安全意识不断提高,因此,预计2019年木马病毒与中毒用户数量会继续呈现下降趋势,网络安全形势愈加转好。