2016年12月13日--Intel Security今天发布了《迈克菲实验室威胁报告:2016年12月》。该报告深入剖析了企业对安全运营中心(SOC)的运用;详细介绍了勒索软件在2016年的主要发展;并阐释了攻击者如何通过木马感染合法代码,并充分利用这一合法性尽可能隐藏自己,从而创建难以检测到的恶意软件。12月的报告还详细介绍了2016年第三季度勒索软件、移动恶意软件、宏恶意软件、Mac OS恶意软件及其它威胁的增长。
Intel Security迈克菲实验室副总裁Vincent Weafer表示:“安全行业面临的一个难题是识别代码的恶意行为。这些代码设计得像合法软件一样,具有较低的误报率。一段代码看起来越真实,就越有可能被忽视。2016年,由于沙盒能识别到越来越多的恶意软件,要求需要隐藏恶意活动才能达到目的,从而推动合法应用的‘木马化’。这种发展为企业的安全运营中心带来了更大的工作量——要想成功防御威胁,需要迅速检测、追捕并摧毁正在发生的攻击。”
2016年安全运营中心的现状
2016年年中,Intel Security委托展开了一项基本调查,以期更深入地了解企业使用SOC的方式、这些方式如何随着时间的推移而改变,以及未来的发展。这份调查对来自多个地区、行业以及规模的企业中近400位安全从业者进行了采访,收集了关于2016年SOC情况的宝贵信息:
• 警报过载。平均来看,企业机构无法充分调查25%的安全警报,这一比例对不同国家或规模的公司而言并没有显著差异。
• 鉴别分类是难题。尽管大多数受访者承认被安全警报淹没,但高达93%的受访者无法对所有潜在威胁进行鉴别分类。
• 安全事件呈上升趋势。无论是从攻击频率的增加还是监测功能提高来看,67%的受访者反映说,安全事件在上升。
• 上升的原因。在报告安全事件上升的受访者中,57%的人反映说,他们受到更频繁的攻击,而73%的人则认为,他们发现攻击的能力提高了。
• 威胁信号。绝大多数企业机构最常见的威胁检测信号(64%)来自传统安全控制点,例如防恶意软件、防火墙以及入侵防御系统。
• 前瞻vs.被动。绝大多数受访者声称,他们正朝着前瞻、优化的安全运营的目标前进,但是26%的受访者仍然采用被动模式,采用临时的安全运营、威胁追踪和事件响应方式。
• 对手。2015年,超过三分之二(68%)的调查是针对具体实体进行的,包括有针对性的外部攻击和内部威胁。
• 调查原因。受访者反映,一般恶意软件在导致安全调查的事件列表中排在首位(30%),其次是针对性恶意软件攻击(17%),接下来是网络攻击(15%)、意外内部事件导致的潜在威胁或数据丢失(12%)、恶意内部威胁(10%)、针对国家的直接攻击(7%),以及针对国家的间接或黑客行为主义者攻击(7%)。
调查受访者表示,SOC增长和投资的首要任务是提高应对已确认攻击的能力,包括协调、修复、消除、学习以及防止重蹈覆辙。
欲了解更多关于迈克菲实验室对SOC现状调查研究的信息,详见你是否需要提升安全运营中心?
“木马化”合法软件的兴起
这份报告还详细介绍了攻击者把木马放在普遍接受的代码中,以期掩盖其恶意企图的诸多方式。迈克菲实验室发现了实现这一目标的多种方式:
• 当可执行文件下载时,通过“中间人(MITM)攻击”,对这些传输中的可执行文件打补丁。
• 利用绑定或合并攻击,把“干净”和“被污染”的文件捆绑到一起。
• 通过补丁包修改可执行文件,无缝维持应用正常使用。
• 通过解释、开源或反编译的代码来修改。
• 污染主源代码,尤其是重新分发库中的源代码。
2016年:勒索软件之年?
直到第三季度结束,今年新勒索软件样本的数量总计为3,860,603,总勒索软件样本自年初以来增长80%。2016年,除了数量的激增,勒索软件还表现出显著的技术进步,其中包括加密部分或完整磁盘、加密合法应用所使用的网站、防沙盒、用来交付勒索软件的更复杂的攻击工具,以及开发出更多服务形式的勒索软件。
Weafer表示:“去年,我们预测2015年勒索软件的激增将延续到2016年。2016年可能确实会成为‘勒索软件之年’——勒索软件攻击数量的激增,出现了一些引起媒体广泛关注的高调攻击,以及这类攻击中的显著技术进步。另一方面,安全行业与执法机构之间更紧密的合作、行业竞争对手之间的建设性协作已经开始在抗击网络犯罪的过程中显现出成果。因此,我们预测,勒索软件攻击的增长将在2017年放缓。”
2016年第三季度威胁活动
2016年第三季度,迈克菲实验室的全球威胁情报网络记录到了勒索软件、移动恶意软件和宏恶意软件的显著激增:
• 勒索软件。2016年第三季度,勒索软件总数增长18%,比年初增长80%
• Mac OS恶意软件。第三季度,新Mac OS恶意软件暴涨637%,但这一增长主要是因为一个广告恶意软件系列——Bundlore。与其它平台相比,Mac OS恶意软件总数仍然相当低。
• 新恶意软件。第三季度,新的恶意软件数量增长速度下降了21%。
• 移动恶意软件。我们在第三季度记录了超过200万个新的移动恶意软件威胁。第三季度,非洲和亚洲的感染率都下降了1.5%,而澳大利亚则增长了2%。
• 宏恶意软件。第二季度首次出现的新微软Office(主要是Word)宏恶意软件持续增长。
• 垃圾邮件僵尸网络。Necurs僵尸网络的数量几乎是第二季度的7倍,成为第三季度数量最多的垃圾邮件僵尸网络。我们还测算出,Kelihos的垃圾邮件数量急剧下降,这是2016年我们观察到的季度数量首次下降的情况。
• 全球僵尸网络蔓延。交付蠕虫病毒和下载程序的Wapomi仍然在第三季度排在第一位,与第二季度的45%相比有所下降。由僵尸网络提供的CryptXXX勒索软件升至第二位;而在上一季度其流量仅占2%。
关于迈克菲实验室
迈克菲实验室是Intel Security事业部旗下的威胁研究部门,也是全球领先的威胁研究、威胁情报以及网络安全思想领袖来源之一。迈克菲实验室的研究团队收集来自关键性威胁载体(文件、web、消息和网络)上的数百万传感器的数据。随后对这些跨载体的威胁进行关联分析,并通过基于云的迈克菲全球威胁智能感知系统为紧密集成的迈克菲终端、内容和网络安全产品提供实时威胁情报。迈克菲实验室还开发核心威胁检测技术——例如应用剖析和灰名单管理——这些技术被纳入业界最广泛的安全产品组合中。
关于Intel Security
McAfee(迈克菲)现已成为 Intel Security 的一部分。借助其安全互联战略、创新的硬件增强型安全技术以及独一无二的全球威胁智能感知系统 (GTI),Intel Security 为全球各地的企业和个人用户提供前瞻性且经实践验证的解决方案和服务,保护他们系统、网络和移动设备的安全。Intel Security 将来自迈克菲的专业安全经验和技术与英特尔的创新和经实践验证的高性能融合在一起,使安全成为每一个基础架构、每一款计算平台所必不可少的一份子。Intel Security 的使命就是使每一个人都能够在数字世界里安全无忧地生活和工作。www.intelsecurity.com www.mcafee.com/cn。