资讯
主页 > 权威报告> 正文

哈勃分析系统2016年威胁情报安全报告

发表时间:2017-01-20



 

  

腾讯反病毒实验室  哈勃分析系统

威胁情报态势报告  ——年终总结

 

报告编号:2016第7期

发布时间:2017年1月









目    录


一、 报告概述

    1. 关于我们

    2. 关于本报告

二、 木马态势概述

    1. 敲诈者类木马概述

        1.1 敲诈者木马趋势

        1.2 敲诈者木马区别于普通木马的特性

        1.3 新增敲诈者木马家族

    2. 热点事件木马概述

        2.1 色播类木马爆发

        2.2 广告类木马趋势

        2.3 Fake类木马危害性变大

    3. 脚本病毒概述

        3.1 宏病毒

        3.2 HTA木马

        3.3 CHM木马

        3.4 Java Applet木马

三、 总结与建议 



一、报告概述

威胁情报,指的是对计算机系统(包括但不限于大型机、服务站、个人电脑、手机等移动设备、嵌入式设备等)中,可能对使用者产生威胁的程序、数据、流量等,进行感知、识别、提取、汇总后归纳而成的情报。

随着恶意产业的不断发展,在传统的基于恶意代码和特征的打击方式之外,基于威胁情报的恶意威胁检测和防御的方法正在兴起,并成为近几年的热门方向。

在这个背景下,腾讯反病毒实验室哈勃分析系统推出“威胁情报态势报告”系列报告,目的是在安全行业内交流我们对于威胁情报的认识,分享我们对于威胁情报的利用方法,同时曝光恶意木马作恶手法和恶意产业资源,携手各安全厂商共同开展打击。

1.关于我们

腾讯反病毒实验室是腾讯旗下的安全特色团队,从“自研引擎能力、哈勃分析系统、APT前沿技术分析”等多个角度入手,通过建立“安全查杀能力、热点快速响应能力及病毒样本分析”等全面、系统、一体化的防护措施,为腾讯安全实力进一步提供了强大技术支撑。独立开发的杀毒引擎以及云引擎已经获得了VB100AV-C、西海岸、AV-TEST等多家国际著名评测机构认证,并且已被用于腾讯电脑管家和手机管家等安全产品之中。

哈勃分析系统是腾讯反病毒实验室依托多年技术积累自主研发的一套样本安全检测系统,支持对Windows程序、安卓应用、文档、脚本等文件类型的分析检测。哈勃系统采用虚拟运行环境,在该环境中使用行为激发系统诱使样本运行出与真实环境一致的动态行为,并且对其执行过程进行完整捕获。通过重点监控其中的高可疑异常行为,同时结合行为判定、静态特征判定、大数据学习引擎判定等多种手段,哈勃系统可以有效地识别出恶意样本。哈勃分析系统拥有调度灵活的大规模分析集群,实现了千万级的样本日吞吐量,可以对海量样本进行高效的筛选和识别。

2.关于本报告

本报告是哈勃分析系统发布的第7期威胁情报态势报告,子主题是“年终总结”。

依托于海量样本吞吐处理能力,哈勃分析系统当前每日会对真实环境中捕获到的大量样本进行自动化分析,并且根据样本的动态行为特点,对恶意样本进行筛选、判定和分类。对于同一家族的恶意样本而言,其在虚拟环境中运行时表现出的动态行为会存在比较高的一致性和趋同性,因此动态行为是对这些样本进行类别、家族划分的一个重要且有效的手段。

哈勃分析系统在2016全年系统自动捕获的样本威胁情报中,整理并挑选了一些真实环境中出现比较频繁、影响范围比较广泛的木马,并对它们的动态行为进行了总结和分析。

二、木马态势概述

1.敲诈者类木马概述

2016年最具危害性的木马之一无疑是敲诈者木马,敲诈者木马会利用更改用户密码、加密用户文件、锁屏等技术手段,勒索用户缴纳赎金。

1.1 敲诈者木马趋势

2016年哈勃分析系统捕获到的敲诈者木马数量变化可以看出,在利益的驱使下,敲诈者木马呈现出不断增长的态势。


图1. 敲诈者木马变化趋势

哈勃分析系统对新爆发的敲诈者木马进行持续关注,并对高热度的新型敲诈者木马进行播报预警。

图2. 哈勃分析系统对敲诈者木马预警

1.2 敲诈者木马区别于普通木马的特性

总结敲诈者木马的特点,可以发现以下几点共性。

通过邮件的方式,使用大量的非PE载体进行传播。

使用成熟的、高强度的加密算法,对受害者电脑上的文件进行加密操作后,删除原文件。

破坏文件恢复的一些途径,例如禁用Windows系统的备份和还原机制,或者在删除文件之前向其中写入无意义数据。

展示的赎金支付说明指向暗网中的页面。

要求受害者使用比特币支付赎金。


1.3 新增敲诈者木马家族

Locky敲诈者

Locky20162月被捕获到的一类敲诈木马。根据版本的不同,Locky会采用不同的传播载体,一开始依然是使用Office宏执行下载代码,后期的版本会使用jswsf等多种类型的脚本文件。同时,被加密的文件也会被添加.locky.zepto.odin.thor等多种不同的扩展名。

Locky在使用AESRSA对文件进行加密后,会根据操作系统语言的不同,向服务器请求不同语言的敲诈文本并进行展示。值得注意的是,在Locky的敲诈界面上,很快出现了繁体中文和简体中文的敲诈内容。

 

图3. Locky敲诈者木马

Petya敲诈者

Petya木马在20163月被安全厂商捕获。与其它敲诈木马不同的是,此木马首先修改系统MBR引导扇区,强制重启后执行引导扇区中的恶意代码,加密硬盘数据后显示敲诈信息,是第一个将敲诈和修改MBR合二为一的恶意木马。

 

图4. Petya敲诈者木马

早期的Petya木马在算法的使用上有一些问题,可用的密钥的复杂度偏低,导致可以通过暴力破解的办法枚举并找到密钥,并还原被加密的磁盘。在后期的几次更新之后,新的Petya木马已经修补了算法使用上的漏洞。同时,更新后的Petya还可以对整个磁盘和单个文件进行加密。

针对该早期版本的缺陷,哈勃分析系统推出了https://habo.qq.com/tool/detail/petya破解工具的离线版,可以帮助用户解密被该版本加密的文件。

HadesLocker敲诈者

HadesLocker10月份新爆发的一个敲诈者木马,HadesLocker会加密用户特定后缀名的文件,包括本地驱动器和网络驱动器,加密后文件后缀为.~HL外加5个随机字符。在支付赎金的网站上,木马作者将其命名为HadesLocker

 

图5. HadesLocker敲诈者木马

HadesLocker是由C#语言编写的新的敲诈勒索木马,与之前发现的C#语言编写的木马不一样的是,之前出现的C#语言编写的木马只是简单地调用了一些C#库来辅助开发,而HadesLocker增加了多层嵌套解密、动态反射调用等复杂手段,外加多种混淆技术。

2.热点事件木马概述

哈勃分析系统持续追踪并预警了2016年全年的热点事件,按时间发生顺序可整理如下。

图6. 哈勃分析系统对热点事件预警

2.1 色播类木马爆发

2016年,色播类木马数量保持着有增无减的态势,并在2016年下半年集中爆发。

 

图7. 色播类木马变化趋势

色播类木马通常在引诱用户安装后,会自动或诱导用户发送SP扣费短信、安装推广应用,给用户带来财产上的损失。

 

图8. 色播类木马分类

经统计,色播类木马最常用的图标、应用名和包名分别如下所示。可以看到,色播类木马通常使用色情类图片和应用名来吸引、诱导用户下载安装:

 

图9. 色播类木马最常用的图标

 

图10. 色播类木马最常见的应用名

 

图11. 色播类木马最常见的包名

2.2  广告类木马趋势

2016年,广告类木马在安卓端呈现出增长的态势,在电脑端则呈现出下降的趋势。但我们仍然不能忽视广告类木马带来的危害,因为在安卓端该类木马花样翻新,对自身进行加固保护,已插件形式实现多个广告,使得广告形式多样化且不易暴露,在移动端给用户带来的干扰和流量的损耗更加明显。哈勃分析系统在3月份对广告类木马进行了播报预警。

 

图12. 广告类木马变化趋势

2.3 Fake类木马危害性变大

Fake类木马的主要特征是伪装成正规软件诱导用户安装,偷窃用户隐私或安装推广应用。由于Fake类木马披着正规软件的外套,用户很容易忽视其危害性。

 

图13. Fake类木马变化趋势

Fake类木马除了伪装成知名软件外,还会伪装成热门影视资源诱惑用用户安装。哈勃分析系统在2016年发出过多次Fake类木马的预警,比如伪装成招商银行客户端、PokemonGo等正规软件的木马,以及伪装《青云志》、《如果蜗牛有爱情》等热播剧资源的木马。

 

图14. 伪装成PokemonGo的木马

3.脚本病毒概述

脚本病毒是由脚本语言编写的病毒程序,比如Office宏、JavaScriptVbSript等。2016年最具危害性的敲诈者木马大多也通过脚本进行传播,脚本病毒的危害性不容小觑。

由于脚本语言的易用性、变形性,使得通过静态特征识别脚本病毒的效率非常低下,哈勃分析系统通过动态运行脚本文件,监控其动态行为,可以很好的对加密、混淆、变形的脚本病毒进行识别。下图为2016年哈勃分析系统对各类脚本病毒的播报预警和捕获到脚本病毒的分类。

图15. 哈勃分析系统对脚本类木马进行预警

 

图16. 脚本类木马分类


3.1 宏病毒

2016年,伴随着勒索类木马的流行,作为其传播载体的宏病毒再次受到了广泛的关注。宏病毒通常是寄存在Office文档中,当文档被打开时,会执行寄存在其中的宏代码,下载并执行恶意payload

宏病毒可以通过电子邮件进行APT攻击或网络钓鱼,因此得到了越来越多黑客的青睐,用来传播敲诈者木马,与此同时,这个手法也开始被传统木马所借鉴,比如哈勃分析系统捕获并分析的盗神木马就假称媒体插件未加载,要求用户开启宏以查看内容。

 

图17. 盗神宏病毒

3.2  HTA木马

HTA为HTML-Application的缩写,可由HTML编写,可以方便的嵌入IE所支持的脚本语言,比如VBScript、JScript等。HTA是一个独立的桌面应用程序,可双击运行。一个HTA文件运行时可以不受浏览器安全模型的限制,它可以作为完全受信任的应用程序来执行,权限比普通网页大的多,HTA可能会成为今后使用更灵活的、有效逃避杀软的技术趋势。哈勃分析系统在2016年捕获到了一类利用HTA脚本进行传播的敲诈者木马,并及时对该利用手段就行了预警

 

图18. HTA木马

3.3  CHM木马

CHM文件全名为编译的HTML帮助文件(Microsoft Compiled HTML Help),是微软提供的一种帮助文件格式。它将HTML文件,图片,音频等文件编译到一个文件中,对于导航和索引的良好支持使之常被用于帮助文件以及电子书的载体。Windows操作系统内置的Html Help Workshop提供了制作与编译CHM文件的工具集合。

CHM文件支持与javascriptvbsActiveX等其他语言组件之间的交互,同时,由于CHM文件在默认情况下是使用Windows内置的hh.exe打开,此程序并没有浏览器那样级别的安全保护和沙盒限制措施,导致CHM文件中内置的脚本有可能对操作系统进行直接的操作。

尽管以CHM方式传播的木马并非一种新的技术手段,但是基于CHM的木马有着技术门槛低,制作简单,以及传播便利的优点,仍然被很多不法分子所使用。

 

图19. 哈勃分析系统捕获的CHM木马

3.4  Java Applet木马

Java Applet是一种在Web环境下,运行于客户端的Java程序组件。Applet必须运行雨某个特定的容器,这个容器可以是浏览器本身,所以 Java Applet木马通过嵌入到HTML网页中即可进行传播,传播方式更为简洁。由于其良好的跨平台特性,可以针对不同的系统,释放不同类型的可执行文本件,传播广度也更大。

    哈勃分析系统捕获并分析了一类Java Applet木马,该木马通过判断当前系统是windows还是mac,选择释放不同的可执行文件,用于窃取用户电脑上    浏览器保存的帐号密码、邮件、视频以及各类语音交互软件的音频内容等。正是由于该木马窃取的信息种类如此的之多,哈勃分析系统命名该类木马为窃听狂魔

 

图20. 窃听狂魔木马

三、总结与建议

通过对2016年全年捕获的威胁情报信息进行分析和统计,可以发现:敲诈者木马继续保持着上升的态势,脚本类木马在与敲诈者木马结合后,其危害性更加严重;色播类木马继续保持高位态势;而广告类木马则在电脑端和android端出现了不同的发展趋势;Fake类木马每每伴随着热点事件进行传播,传播性和危害性不容小觑。

腾讯反病毒实验室哈勃分析系统建议用户:

1. 始终从正规应用分发网站或官方网站下载和使用安卓应用,不要轻信小型网站、网盘分享的文件,也不要轻信群、论坛等社交渠道推荐的应用;

2. 在搜索工具的时候要提高警惕,慎重使用,尽量不要下载试用各类非法或者不正规的应用,避免恶意程序借助其名义进行传播。

3. 对于不放心的应用,可以使用哈勃分析系统(https://habo.qq.com)对其进行检测,及时发现风险;

 

图21. 哈勃分析系统首页

4. 安装并使用安全类软件,例如腾讯电脑管家,并随时留意保持其处于可用状态,例如开启必要的安全防御措施、及时更新版本等。腾讯电脑管家是腾讯公司推出的免费安全管理软件,能有效预防和解决计算机上常见的安全风险,并帮助用户解决各种电脑“疑难杂症”、优化系统和网络环境,是中国综合能力最强、最稳定的安全软件。

 

图22. 腾讯电脑管家


资讯排行