【清静报告】ProofPoint 2018 Q3 季度威胁报告

宣布时间 2018-11-27
一、摘要

Proofpoint的季度威胁报告主要研究了客户群体及普遍的威胁情形中的威胁趋势和要害要素。Proofpoint每一天都要剖析凌驾50亿封电子邮件、数亿个社交媒体帖子和凌驾2.5亿个恶意软件样本,为全球多个企业提供掩护。对这些电子邮件、社交媒体和重大网络威胁的研究使得Proofpoint对目今的网络攻击战略、工具和目的具有奇异的看法。


本报告旨在提供有助于应对目今威胁、展望新威胁以及管理清静实践的威胁情报。除此之外,本报告还建议了企业应该接纳的防护步伐。


二、报告要点


要害信息:在第三季度,从银行木马到社交工程攻击,犯法分子都变得越发活跃。


以下是2018年第三季度的主要威胁趋势。


2.1、电子邮件威胁


银行木马、downloader(下载器)和stealer(凭证窃取程序)组成了恶意payload(有用荷载)的94%。在通过电子邮件分发的payload中,勒索软件下滑至少于1%,远控木马(RAT)则增添至4%(比上一季度增添了一倍)。


电子邮件中的恶意软件分发机制依旧主要是URL。恶意URL的数目足足是恶意附件文档的370%。不过,许多的恶意URL照旧指向了包括恶意宏的文档。


虽然新闻头条经常是新恶意软件,但2018年Q2至Q3时代针对企业凭证的垂纶邮件攻击增添了凌驾300%。


平均每个企业遭到的垂纶邮件攻击比2017年Q3增添77%。虽然企业遭到攻击的频率和目的个体的数目继续增添,但随着攻击者更多地使用着名企业(服务)的名声,遭到攻击者冒充的企业(服务)数目显著下降。


2.2、网络威胁


网络威胁的模式泛起了很大的转变,主要从EK转移至社交工程攻击。Q3中虚伪反病毒产品和虚伪插件的数目险些是Q2的两倍,是Q1的20倍。


基于Coinhive的恶意挖矿攻击在Q2和Q3时代坚持稳固,其数字差未几是Q1的6倍。

只管8月份NeutrinoEK的攻击运动泛起了一个小热潮,EK运动的整体趋势仍维持在2016年峰值的较低水平。剩余的这些运动中,Neutrino和RIG EK占有了本季度EK总流量的85%。

2.3、社交媒体威胁


社交媒体平台仍然在继续起劲攻击垂纶链接,与2017年Q3相比垂纶链接的数目镌汰了90%。



社交媒体客服诈骗运动,又被称为“angler phishing”,在9月份抵达了历史最高水平。与2017年Q3相比,这种类型的垂纶攻击增添了486%。



三、电子邮件威胁趋势


要害信息:银行木马领跑,Downloader越发隐匿,垂纶攻击爆炸式增添。2018年Q2至Q3时代针对企业凭证的垂纶攻击增添了凌驾300%。

电子邮件仍然是垂纶攻击和恶意软件撒播的最佳攻击前言。电子邮件诓骗(也被称为BEC攻击)继续快速增添,同时攻击者更多地接纳跨类型的工具和手艺以更好地使用种种误差。

我们经常在电子邮件中视察到犯法分子对使用恶意URL照旧恶意附件摇晃未必。如图1和图2所示,在整个2018年,犯法分子更偏幸URL。在Q3,恶意URL是恶意附件的370%。但值得注重的是,许多恶意URL最终照旧用来分发包括恶意宏的文档。

9月份恶意URL泛起了一连的岑岭,同时恶意附件的比例也在增添。总体而言,9月份的恶意邮件数目凌驾了整个Q1的恶意邮件数目。

尊龙凯时 - 人生就是搏!


图1:2018年7月-9月,电子邮件攻击类型的逐日漫衍

 
虽然9月份的增添事实是一个趋势照旧季节性的岑岭,或者只是一个异常情形尚有待视察,图2显示出整个2018年恶意URL和恶意附件的一个趋势转变。平均而言,恶意URL或许是恶意附件的380%。

尊龙凯时 - 人生就是搏!


图2:今年度阻止9月恶意URL和恶意附件数目的逐日漫衍

 
无论交付方法是哪一种 – 恶意附件照旧URL –Q3的payloads仍然保存着多样性,不管是大型照旧小型恶意运动,都可以看到银行木马、凭证窃取木马、恶意软件下载器等的身影(如图3所示)。勒索软件与Q2相比下降了10个百分点,只占恶意邮件的1%。远控木马(RATs)与Q2相比则险些增添了一倍。只管RAT也只占恶意邮件总量的4%,但攻击者仍继续保存着对RAT的偏幸。RAT在Q1中只占了恶意邮件总量的1%,在Q2中也只占了2%。


RAT和银行木马的增添和“打砸抢掠”的勒索软件的下滑批注一种向高投资高回报的恶意运动一连转变的趋势。攻击者期待着从自己在时间和精神上的投入中获得高额的回报,并且偏向于使用相对“清静”的恶意软件来监控和管理受熏染的主机。这种转变还与加密钱币的新羁系规则/清静步伐的引入有关。加密钱币蓬勃生长的价值曾在2016年和2017年推动了勒索软件恶意运动的生长。

尊龙凯时 - 人生就是搏!

图3:2018年Q3,电子邮件中恶意软件payload的种别漫衍


纵观2018年各季度的情形,RAT一连增添,勒索软件在Q2短暂苏醒之后又靠近消逝,但在这些趋势之外,我们还发明了一些别的趋势(如图4所示)。好比说,在银行木马Q1猖獗飙升之后,恶意软件家族的整体趋势就再也没有向任何家族偏斜了。Downloaders和stealers稍稍填补了勒索软件的下降和银行木马的小波动。


别的,由于泛起了新的DOWNLOADERS和stealers,使得payloads的多样性继续增添,被归为“其它”类别的恶意软件的比例下降了。攻击者继续牢靠了着名恶意软件家族的职位。

尊龙凯时 - 人生就是搏!


图4:2018年前三季度恶意软件的种别漫衍


与针对企业凭证的stealer恶意运动一样,针对企业凭证的垂纶邮件在Q2和Q3之间也有增添。如图5所示,企业凭证垂纶在Q3和Q2之间增添了凌驾300%。同其它的趋势一样,这也可能只是季节性的。

尊龙凯时 - 人生就是搏!


图5:自2018年4月以来针对企业凭证的垂纶邮件数目
 
3.1、银行木马


要害信息:Panda和Emotet占有主导职位。银行木马占所有恶意payload的46%;其中,90%都是Emotet和Panda。


与2016年和2017年的勒索软件运动一样,只管银行木马和攻击者的数目仍有许多,但一小部分攻击者主导了大部分的恶意运动。举例而言,攻击者TA542险些天天都在一连一直地举行大宗EMOTET恶意运动。PandaBanker(又叫Zeus Panda)则主要是攻击者TA511和TA544举行撒播。虽然也有其他攻击者在撒播Panda Banker,但这两个攻击者认真了大部分Panda的大规模恶意邮件运动。


如图6所示,整体而言,在Q3携带银行木马的恶意邮件数目曾上升趋势。

尊龙凯时 - 人生就是搏!

图6:2018年Q3,携带银行木马的恶意邮件数目

如上所述,PandaBanker和Emotet抢夺了URLZone、Ursnif以及THE TRICK的市场份额,占有了银行木马的大部分恶意运动(如图7所示)。在Q2, Panda和Emotet占银行木马恶意运动的77%,到了Q3,这一数字酿成了90%。

尊龙凯时 - 人生就是搏!


图7:2018年Q3,电子邮件中银行木马家族的漫衍

 
3.2、勒索软件


要害信息:用于分发勒索软件的电子邮件数目比Q2下降了10个百分点,仅占恶意邮件总量的1%。


在主导了2016年的大部分时间和2017年之后,勒索软件在2018年Q1险些销声匿迹。在Q2,勒索软件又有所苏醒,虽然比2017年的运动水平要低得多。然而,这种短暂的苏醒似乎只是犯法分子的“试水”,由于勒索软件垃圾邮件的数目从Q2之后又下降了10个百分点。这意味着犯法分子并没有从试水中获得足够的回报。

唯一的破例似乎是勒索软件GANDCRAB和Hermes,这俩似乎都在Q3无意有运动保存(如图8所示)。

尊龙凯时 - 人生就是搏!

图8:2018年Q3携带勒索软件的垃圾邮件数目


3.3、Downloader和Stealer


要害信息:Downloader和Stealer填补了勒索软件的空缺。



Proofpoint研究职员在Q3发明了3个新的Downloader,它们都切条约一个趋势:用于初始侦探阶段的小型、隐秘的恶意软件。Downloader和Stealer在Q3占所有恶意payload的48%,相比之下2017年Q3这一数字只是11%,其时勒索软件占所有恶意payload的64%(其中大部分都是TA505的Locky和GlobeImposter恶意分发运动)。

Marap、Advisorsbot以及Cobint都代表了一种不再是简单恶意软件家族(如勒索软件和银行木马)主宰时势的趋势。图9中显示了在Q3 downloader和stealer的邮件数目的逐日漫衍。Stealer代表了另一种主要是恒久、一连的熏染的恶意软件攻击,它的曲线经常与downloader的曲线重合。

尊龙凯时 - 人生就是搏!

图9:2018年Q3,用于分发downloader和stealer的恶意邮件数目
 
攻击者 – 不管是AdvisorsBot背后的新玩家,照旧一直保存的TA505和Cobalt Group等老玩家 –都越来越多地使用隐匿的downloader举行初始的熏染,随后仅在感兴趣的系统上下载其它的恶意软件。随着防御步伐的周全刷新,攻击者不得不举行立异以追求在恶意软件和攻击向量投资上的更高回报。这种熏染要领切合“追随款子”的主旨。凭证我们的视察,这也是攻击者试图提高其效率的最新趋势。


3.4、电子邮件诓骗威胁


要害信息:攻击者继续使用已有的手艺。凌驾一半的公司发明他们的域名被犯法分子模拟,用以提倡针对公司员工的垂纶攻击。


电子邮件诓骗继续成为一个商业难题。在Q3平均每个企业遭到凌驾36个此类攻击,与2017年Q3相比增添了77%。虽然我们发明少数行业(如制药和修建)在Q3显着遭到更多的电子邮件诓骗攻击,但企业规模仍然与攻击爆发率无关。整体而言,供应链的重漂后反而是遭到电子邮件诓骗攻击的概率的一个很好的指标。

尊龙凯时 - 人生就是搏!

图10:差别行业中的电子邮件诓骗攻击趋势

除了各行业的攻击趋势转变之外,Q3中还泛起了一些其它的值得注重的转变。首先,我们发明攻击者在诓骗邮件的语言中转达了更大的紧迫感 – 要求限时响应,并且忠言员工延迟的效果。其次,虽然仅占总量的一小部分,但本季度我们视察到与薪资单有关的诓骗邮件增添了549%。数百家企业遭到邮件主题为“薪资单更新”的诓骗攻击。虽然Q2以相关文档为主题的诓骗邮件的岑岭已被证实是一个无意事务,但以薪资单为主题的诓骗邮件的飙升提醒了我们:邮件主题的转变并纷歧定与特定的事务(例如税务单、财年竣事)相关。

尊龙凯时 - 人生就是搏!

图11:2017年Q3至2018年Q3,BEC攻击中邮件主题的转变趋势
 
与Q2相比,伪装身份举行诓骗的BEC攻击镌汰了68%(如图12所示)。在Q3,一个BEC攻击者平均伪装成5个身份举行诓骗,这与2017年整年的平均水平差未几。鉴于攻击的数目增添了但伪装的身份数目下降了,我们以为2018年上半年攻击者主要是在举行实验,伪装成差别的员工和合作伙伴。攻击者接纳的战略是要最大地包管伪装身份的可靠性。别的,凌驾一半的企业发明他们的域名被攻击者模拟了,用于提倡针对企业员工的垂纶攻击,并使得对企业员工不熟悉的外部合作伙伴更易受骗。

虽然伪装身份的数目下降了,但本季度每次攻击的平均目的数为27人,与Q2相比差未几,并且同比增添了96%。

尊龙凯时 - 人生就是搏!

图12:平均伪装身份数目清静均目的用户数目

最后,虽然电子邮件诓骗仍然是高度针对性的诈骗攻击,但吸收到凌驾50封BEC邮件的企业的比例同比险些翻番,从11%增添到20%。总而言之,攻击者愿意在企业员工身上破费时间,以增大乐成使用人为因素的机会。


四、网络威胁趋势

要害信息:社交工程攻击仍然占有主导职位。与Q2相比,社交工程网络威胁增添了233%。

虽然我们视察到低水平的EK攻击运动仍在继续,如Q2所述,社交工程攻击则是一种更为普遍的威胁。这种类型的攻击经常通过虚伪的杀毒软件通知、虚伪的软件更新等向用户提供恶意软件、垂纶登录页面等。在Q1和Q2之间,我们的IDS网络视察到社交工程攻击增添了9倍。如图13所示,社交工程攻击在Q3继续增添,比Q2又增添了233%。

尊龙凯时 - 人生就是搏!

图13:社交工程攻击的增添

Coinhive是一种在用户会见网页时使用会见者的CPU举行挖矿的JS代码,它可以由网站管理员正外地装置在网站上,也可以由攻击者通过不法入侵装置在别人的网站上。Coinhive相关运动在2018年Q2末尾曾现爆炸式的增添,意味着大大都此类运动都是不法的恶意挖矿攻击。只管6月末尾的岑岭趋势没有一连,但Coinhive的整体运动水平在Q3仍然坚持着向上的趋势(如图14所示)。

尊龙凯时 - 人生就是搏!

图14:2018年H1,Coinhive运动的整体趋势
 
只管8月份Neutrino EK的攻击运动泛起了一个小热潮,EK运动的整体趋势仍维持在2016年峰值的较低水平。剩余的这些运动中,Neutrino和RIG EK占有了本季度EK总流量的85%。


五、社交媒体威胁

要害信息:与2017年Q3相比,社交媒体上的客服诓骗攻击增添了486%。

社交媒体仍然是诓骗攻击和信息偷窃攻击的主要攻击向量。虽然平台自己一直在起劲完善它们的自动化掩护步伐,但社交媒体上的客服诓骗仍然是消耗者和商家面临的重大挑战。

去年,我们视察到社交媒体客服诓骗攻击(也被称为AnglerPhishing)与垂纶链接之间的一个一连性的倒挂关系。社交媒体通常善于攻击垂纶链接,本季度垂纶链接的数目与2017年Q3同比镌汰了90%。然而,如图15所示,Angler Phishing – 攻击者在社交媒体上介入消耗者和商家之间的对话 –在9月份抵达了历史峰值。8月份的下滑可能只是一个季节性的影响,本季度这种类型的攻击与去年同期相比增添了486%。

尊龙凯时 - 人生就是搏!

图15:客服诓骗垂纶的数目增添


 

六、建议


本报告为您的网络清静战略提供了威胁趋势转变的洞见。下面我们为您提出了怎样掩护您的企业和品牌的建议:


假定用户一定会点击谁人链接。社交工程是越来越盛行的电子邮件攻击方法,犯法分子也没有停下寻找使用人性弱点的新方法的脚步。您应该使用清静解决计划来发明和隔离针对公司员工的入站电子邮件威胁和针对客户的出站威胁。


构建可靠的邮件诓骗防护。高针对性、低容量的诓骗邮件通常基础不携带payload,使得它们难以被检测出来。您应该投资于具有动态分类功效的清静解决计划,便于定制隔离和禁用战略。

掩护您的品牌声誉和客户。攻击那些通过社交媒体、电子邮件以及移动平台针对您的客户的攻击运动 – 特殊是那些拖累品牌声誉的诓骗性客服账户。您应该使用综合性社交媒体清静解决计划,扫描所有的社交网络,报告发明的诓骗运动。

与威胁情报厂商合作。小型的、针对性的攻击需要重大的威胁情报。您应该使用静态手艺与动态手艺相团结的清静解决计划,该解决计划可以检测到新的攻击工具、战略和目的– 并从中罗致履历。