一、概述 在2016年，網(wǎng)絡攻擊給世界帶來了重大影響，甚至成為美國大選中的一個關鍵因素。

在這方面，2016年你可以看到每一個人、甚至是從來沒有登錄過網(wǎng)站的人都受到了網(wǎng)絡攻擊和黑客行為的影響。

二、報告研究基礎 我們的報告以下面的數(shù)據(jù)為基礎：

幾乎十億惡意軟件的檢測/發(fā)生。

2016年6月到11月期間的數(shù)據(jù)。

近1億個Windows和Android設備。

超過200個國家。

來源于企業(yè)和消費者環(huán)境。

我們的報告關注六類威脅：勒索軟件、廣告欺詐惡意軟件、Android惡意軟件、僵尸網(wǎng)絡、銀行木馬和惡意廣告軟件。

此外，我們使用的數(shù)據(jù)不僅包括感染數(shù)據(jù)，還包含來自我們自己內(nèi)部蜜罐的數(shù)據(jù)和收集的數(shù)據(jù)，這些都有利于識別惡意軟件的傳播。

三個關鍵點：

勒索軟件占據(jù)了新聞頭條，并且成為了攻擊商業(yè)活動最受歡迎的攻擊方法。

有時候檢測到的以Kovter為首的廣告欺詐惡意軟件比勒索軟件還要多，對消費者和企業(yè)構成巨大威脅。

僵尸網(wǎng)絡感染并招募了物聯(lián)網(wǎng)設備，發(fā)動了大規(guī)模DDoS攻擊。

三、勒索軟件上升到威脅首位，重點針對商業(yè)活動 在2016年，勒索軟件搶占了新聞頭條，并有很好的理由。

盡管傳統(tǒng)惡意軟件，如銀行木馬、間諜軟件、和鍵盤記錄的網(wǎng)絡犯罪，在將受害者的錢接收到銀行帳戶之前，需要監(jiān)控多個步驟，而勒索軟件使這個步驟簡化了很多，可以看作是自動化處理。

腳本小子甚至可以購買勒索軟件工具包，被稱為“勒索軟件即服務(RaaS)”，它可以將所有復雜的障礙從數(shù)字盜竊中去除。

僅在2016年第四季度，我們就編目了近400個勒索軟件的變種，大部分是一些新犯罪團體為了獲得利潤而創(chuàng)建的。

勒索軟件的趨勢不是新的，然而，正如我們已經(jīng)看到的，它的傳播在過去兩年有很大增長，并觀察到特定的惡意軟件家族上升到了網(wǎng)絡犯罪交易的首位。

勒索軟件的傳播從2016年1月到2016年11月增長了267%。

這個威脅景觀占據(jù)了前所未有的統(tǒng)治地位，這是以前從來沒有見到過的。

1. 受勒索軟件影響最多的前十個國家 上圖是受勒索軟件最多的前十個國家，美國是檢測到勒索軟件最多的國家，這一點不必驚訝。

來自世界各地和東歐的許多團體都以美國為目標，這不僅是因為美國民眾對技術有廣泛的可及性，還因為他們支付贖金的方式，以及他們的意識形態(tài)觀點。

有一個國家似乎從這個名單上消失了，這就是俄羅斯，因為俄羅斯公民牢牢掌握了計算機的安全，而且，有一個現(xiàn)象就是俄羅斯勒索軟件開發(fā)者可能很少攻擊他們自己人。

2. 勒索軟件在各大洲的分布3. 2016年最流行的勒索軟件家族 2016年，在勒索軟件游戲中有三個主要玩家。

其中的一個已經(jīng)退出了比賽，其它兩個還在繼續(xù)爭奪統(tǒng)治地位。

它們是：TeslaCrypt、Locky、Cerber。

在下表中，你能看到2016年其它一些突出的勒索軟件家族。

在2016年初，TeslaCrypt曾大規(guī)模傳播，但是在5月份TeslaCrypt被關閉了，并為所有受害者釋放出了解密密鑰。

當TeslaCrypt被關閉后，它創(chuàng)造的真空期很快被其它兩個家族占據(jù)了，它們是Locky和Cerber。

它們幾乎占滿了整個2016年第三季度和第四季度，不過在3月和5月時，它們的傳播水平已經(jīng)幾乎和TeslaCrypt一樣了。

檢測到勒索軟件的不同、即使是在高發(fā)區(qū)

在企業(yè)環(huán)境中檢測到的勒索軟件有81%發(fā)生在北美洲。

在家庭/消費者環(huán)境檢測到的勒索軟件有51%發(fā)生在歐洲。

勒索軟件網(wǎng)絡犯罪份子將他們的努力集中在了商業(yè)活動中，特別是北美企業(yè)，毫無疑問，他們可能意識到這些公司可以損失的東西很多、并且有很多支付資源。

在全球范圍內(nèi)，在12.3%的企業(yè)交易活動中探測到了勒索軟件，但是在消費者端，只有1.8%。

四、廣告欺詐惡意軟件嚴重攻擊著美國人 盡管在2016年勒索軟件占據(jù)著統(tǒng)治地位，但是廣告欺詐惡意軟件的表現(xiàn)也很突出。

實際上，探測到的廣告欺詐惡意軟件，尤其是Kovter惡意軟件，在夏天的幾個月里能媲美勒索軟件。

1. 發(fā)現(xiàn)廣告欺詐的前10個國家2. 近看Kovter廣告欺詐惡意軟件 Kovter是目前發(fā)現(xiàn)的最先進的惡意軟件家族。

它包含了復雜的功能，如文件不用落盤，擁有只創(chuàng)建一個注冊表鍵值就可以感染系統(tǒng)的能力，這讓很多反病毒產(chǎn)品很難探測到它。

另外，Kovter采用rootkit功能來進一步隱藏自身的存在，并會積極的識別和關閉安全解決方案。

盡管Kovter不是新的，它第一次出現(xiàn)是在2015年，一直被用作其他惡意軟件家族的下載者，一個負責偷取個人信息的工具，一個用于獲得系統(tǒng)訪問權的后門。

然而在2016年，我們觀察到它開始被用作廣告欺詐惡意軟件，這種惡意軟件可以被用于劫持系統(tǒng)，并使用它去訪問網(wǎng)站、點擊廣告，這是為了在廣告競價活動(被稱為點擊劫持)中創(chuàng)造更多的點擊量。

除了以這樣的方式運用這種惡意軟件外，在2016年Kovter的傳播也發(fā)生了變化，Kovter以前主要是通過驅動器漏洞和利用工具包來傳播，現(xiàn)在也看到了它使用大量的惡意釣魚郵件。

這種傳播方法的變化，結合Kovter的傳播者更喜歡將美國人作為目標這個事實，使Kovter在2016年成為了美國人面對的最大威脅之一，同時Kovter攻擊美國人比其它任何人都多，占到了68.64%。

3. 各國檢測到的Kovter分布 Kovter在方法和傳播上的改變是有意義的，因為它反應了勒索軟件的增長趨勢：Kovter和勒索軟件兩者都為攻擊者提供了直接的利潤來源，從而不用靠給其它罪犯出售密碼庫、信用卡信息、及社交媒體帳戶來獲得利潤。

這種攻擊可以向受害人要求報酬，用于恢復他們的重要文件。

或利用受害人去欺詐廣告業(yè)，從而可以在較少的努力下得到更多的利潤。

五、僵尸網(wǎng)絡利用物聯(lián)網(wǎng)設備制造大破壞 僵尸網(wǎng)絡在過去10年里是部署惡意軟件最常用的機制之一。

這些年我們看到僵尸網(wǎng)絡采用了一個新的戰(zhàn)術：攻擊、感染和雇傭物聯(lián)網(wǎng)絡設備成為僵尸網(wǎng)絡的一部分，如聯(lián)接到互聯(lián)網(wǎng)的恒溫調(diào)節(jié)器、或家用安全攝像機。

2016年最受關注的僵尸網(wǎng)絡被稱為Mirai，一個開源的惡意軟件，它能感染設備，并從一個命令和控制服務器上獲取命令。

在9月下旬，使用Mirai僵尸網(wǎng)絡的大規(guī)模攻擊行動入侵了很多物聯(lián)網(wǎng)設備和家用路由器，所有受感染的設備都從一個單一的源接收命令，當僵尸網(wǎng)絡軍隊集結完畢后，攻擊者使用分布式拒絕服務攻擊打倒了幾個著名的網(wǎng)站。

一個月后，Mirai攻擊了互聯(lián)網(wǎng)的一個骨干區(qū)域，Dyn，并且這種做法阻止了數(shù)以百萬計的用戶訪問熱門網(wǎng)站，如Twitter、Reddit、和Netfpx。

Mirai在功能上不僅能掃描連接到互聯(lián)網(wǎng)的設備，還能使用一個內(nèi)部的用戶名和密碼數(shù)據(jù)庫，去獲得設備的訪問權，這是Mirai的一個重要功能。

在Mirai進入設備并感染它后，Mirai根據(jù)操作者的命令，可以向任何目標發(fā)動DDoS攻擊。

我們看到起源于流行僵尸網(wǎng)絡家族的變種在亞洲和歐洲在增加。

例如，Kephos僵尸網(wǎng)絡在七月份增加了785%，到了十月份增加到960%。

IRCBot僵尸網(wǎng)絡在八月份增加了667%。

Qbog僵尸網(wǎng)絡在十一月份增加了261%。

1. 分布在各大洲的僵尸網(wǎng)絡 上圖為僵尸網(wǎng)絡在各大洲的分布狀況，亞洲的僵尸網(wǎng)絡占到了61.15%，其次是歐洲，占到14.97%。

德國處理了大量的僵尸網(wǎng)絡問題，從2015年到2016年，在該國檢測到的僵尸網(wǎng)絡數(shù)量增加了550%。

2. 網(wǎng)絡罪犯改變了惡意軟件傳播策略 2016年，在釣魚郵件中使用腳本附件是惡意軟件傳播方法的最大改變之一。

這些腳本通常駐留在壓縮文件中，一旦打開并觸發(fā)了它們，它們會訪問遠程服務器，并在系統(tǒng)中下載和安裝惡意軟件。

另一個在2016年又流行的方式是使用包含宏腳本的Office文檔(.docx,.xlsx,等等)，一旦用戶打開文件并啟用宏后，惡意軟件就會被執(zhí)行。

通常會使用社會工程學策略，攻擊者會哄騙用戶啟用宏功能，惡意宏在系統(tǒng)中會下載并運行惡意軟件。

建立在原有感染方法之上，攻擊者通過發(fā)送受保護的ZIP文件和Office文件來增加復雜性，并在釣魚郵件中包含解壓密碼。

這增加了攻擊的合理性，同時，這也是一種有效的對抗電子郵件自動分析的方法，包括蜜罐和沙箱。

在6月份，通過利用工具包，使用宏腳本的數(shù)量增加很多。

這是因為Angler利用工具包，一個2015年到2016年初的主要的利用工具包，后來它的服務被關閉了。

然而，RIG利用工具包迅速代替了Angler的位置，并且在2017年我們可能會看到更多。

六、Android惡意軟件變得更聰明 在過去幾年里，手機威脅景觀并沒有改變很多。

Android惡意軟件創(chuàng)造者主要是在追趕現(xiàn)代Windows桌面惡意軟件的功能，當這些功能涉及到Android操作系統(tǒng)時，可能比較困難。

然而在2016年，一個值得注意的趨勢是使用隨機化的惡意軟件作者增加了，這可以被用于逃避手機安全引擎的探測。

這導致了被檢測到的Android惡意軟件增加了很多。

分布在各國的Android惡意軟件 有趣的是，巴西，印度尼西亞，菲律賓和墨西哥是檢測到Android惡意軟件前10位的國家。

在發(fā)展中國家檢測到很多流行的Android惡意軟件，主要是因為在這些國家廣泛使用了不安全的第三方應用商店。

七、惡意軟件攻擊在國家和地理上的差異 我們的數(shù)據(jù)顯示，在不同區(qū)域使用的攻擊方法和惡意軟件有所不同。

針對美國和歐洲的攻擊是高度分化的。

在美國探測到了大多數(shù)類型的惡意軟件，并且探測到的每一個類威脅總量都要領先于其它所有國家，除了銀行木馬類型，這一類型的攻擊在土耳其是最多的。

在本報告關注的惡意軟件類型中，歐洲是惡意軟件纏身最深的大陸，歐洲的感染量比北美洲多了20%，比大洋洲更是高了17倍。

1.在勒索軟件方面，歐洲領先于所有其它大陸：有49%的勒索軟件是在基于歐洲的設備中探測到的。

2.在Android惡意軟件方面，有31%的Android惡意軟件是在基于歐洲的設備中探測到的。

3.在惡意廣告軟件方面：有37%的惡意廣告軟件是在基于歐洲的設備中探測到的。

歐洲的惡意軟件將目光投向法國、英國、和西班牙 在歐洲被惡意軟件攻擊最多的國家是法國、英國、和西班牙。

針對英國的惡意軟件總量僅次于法國。

在我們6個月的研究期內(nèi)，我們看到英國的事件幾乎是俄羅斯的兩倍。

德國受勒索軟件的影響排在第二位，排在美國后面。

一個接受的理論是：惡意軟件作者在廣泛傳播他們的成品前，會先將德國作為了一個試驗場。

同時，俄羅斯受勒索軟件的影響是不均衡的(和其它國家相比，勒索軟件對俄羅斯的影響較小)，但俄羅斯卻是銀行木馬的熱門目標。

八、2017預測1. 勒索軟件 在2016年年末，主要的勒索軟件占據(jù)了重要的舞臺，我們不太可能看到很多新的先進的勒索軟件家族在Cerber和Locky的成熟和大規(guī)模滲透下進入市場。

其中的許多將利用勒索軟件的流行在網(wǎng)絡犯罪中迅速發(fā)展。

這種趨勢從2016年開始還將斷續(xù)延續(xù)。

在2016年后六個月里探測到的勒索軟件變種中，有60%從出現(xiàn)到現(xiàn)在還不到一年，這進一步說明了一個事實：今天存在的大多數(shù)勒索軟件是由新手開發(fā)的，并帶到了勒索軟件行業(yè)中。

我們可能會看到更多的變種，它們會修改受害計算機的主引導記錄(MBR)。

MBR是系統(tǒng)能將自己引導到操作系統(tǒng)狀態(tài)的關鍵組件，一旦被修改，系統(tǒng)將會被引導到惡意軟件設置的一個鎖屏狀態(tài)，并要求贖金用于解密文件，及恢復主操作系統(tǒng)的訪問權。

此功能的添加將受害者的選項減少到只有兩個：要么支付贖金，要么把系統(tǒng)徹底擦干凈。

2. 惡意軟件傳播 多年來，我們觀察到在惡意軟件的傳播方式中最穩(wěn)定的只有一個：通過電子郵件傳播。

網(wǎng)絡釣魚攻擊，包含惡意附件，這種方法在2016年下半年有一個很大的反彈。

然而，我們預測在不久的將來，利用工具包(特別是RIG)有可能會再一次成為標準的惡意軟件傳播方式。

由于源于釣魚郵件的下載者和安裝惡意軟件會有新的發(fā)展，以及使用包含宏腳本的Office文檔，在未來我們不會看到釣魚攻擊方法會消失，這種攻擊方法在今年剩下的時間里，將繼續(xù)維持在穩(wěn)定的水平，并可能會變得復雜。

3. 物聯(lián)網(wǎng) 利用物聯(lián)網(wǎng)設備的新網(wǎng)絡攻擊在激增，加上對物聯(lián)網(wǎng)產(chǎn)業(yè)安全的關注不足，導致像Mirai的僵尸網(wǎng)絡有能力攻擊互聯(lián)網(wǎng)的骨干區(qū)域。

不論物聯(lián)網(wǎng)產(chǎn)業(yè)決定做什么---未雨綢繆或完全忽視安全---2017年新的物聯(lián)網(wǎng)攻擊策略大門已經(jīng)被類似于Mirai的惡意軟件打開。