MalwareBenchMark借助“軟件基因”技術，自研平臺，匯聚智力和數據，持續關注各類安全事件和惡意軟件。

在送走2017迎來2018之際，MalwareBenchMark借助大數據分析，從傳播范圍、技術變化和威脅程度等視角分析了2017年多個領域最具“影響力”的惡意軟件。

0X01 APT武器：持續升級的APT28工具系列

APT武器領域的惡意軟件2017的整體態勢是技術升級更加快速多樣，對抗強度加劇。在APT領域2017與2016變化不大，最為風光的仍屬來自俄羅斯的APT組織，APT28&APT29。

其中APT29利用了“端口前置”，利用Tor隱蔽通信行為;而APT28的sednit利用了賽門鐵克的合法證書;Turlar家族則升級到了2.0，專注外交領域的攻擊。

APT領域的對抗正呈現快速升級的狀態，APT28工具的X-Agent后門年底全面升級，并由Sedkit漏洞利用工具包轉為DealersChoice平臺。

0X02 工控系統：繼Stuxnet之后最大威脅的Industroyer

工控系統作為國家關鍵基礎設施的重要組成，其安全問題廣為關注，2017年的特點是源于地緣政治因素，針對電力和能源基礎設施的攻擊最為突出。

2017年6月份發現的Industroyer惡意代碼家族能夠直接控制變電中的電路開關和繼電器，該惡意代碼在設計上不忘借鑒了blackenergy的磁盤擦除功能。Eset將其稱之為繼Stuxnet之后的最大威脅。

12月份又出現了針對安全儀表系統(SIS)的攻擊代碼Triton，該儀表系統在天然氣和石油生產中廣泛使用。

卡巴斯基在2018年工控系統安全預測中指出，將會有更多的攻擊事件涉及到工業網絡的間諜活動和利用工業自動化系統組建的漏洞的惡意代碼。

0X03 物聯網：持續“擴張”的Mirai家族

物聯網領域2017年惡意軟件特點可以用“擴張”一詞總結。自從Mirai開放源代碼以來，其家族無疑是物聯網領域最為“閃耀”的明星~!開源模式極大地激發了黑客們的“創造”熱情，其各類變種層出不窮，感染規模不斷擴大。

技術層面上，主要是由針對telnet端口的弱口令掃描、擴展到了ssh端口、同時增加了多種漏洞的利用。可以預見由于WAP2協議漏洞的出現，wifi體系已經極不安全，而這對物聯網惡意軟件來說是“極大利好”。

2017年與Mirai相關的知名惡意軟件包括：Rowdy、IoTroops、Satori等。這些惡意軟件以mirai的源代碼為本體，經過不斷的變異改進，已經從傳統的Linux平臺演變到了Windows平臺，利用的端口也在不斷變化，從傳統的弱口令攻擊轉變到了弱口令和漏洞利用的綜合攻擊方式，同時感染設備范圍由網絡攝像機、家庭路由，正向有線電視機頂盒等領域“擴張”。

上述多個變種感染的設備已經超過百萬，攻擊方式快速且豐富的衍變，注定2018年在工控物聯網領域不會風平浪靜!

0X04 銀行/金融：在線銷售的CutletMaker

2017金融領域惡意軟件肆孽，針對SWIFT的攻擊沒有消沉反而日益盛行、多個國家和地區的ATM遭虐、POS機惡意軟件風靡、針對個人移動終端及支付的惡意軟件變種繁多… …總結一下就是異常“活躍”，畢竟直接產生經濟效益啊~!

值得關注的是針對金融領域的惡意軟件不再僅僅由來自“黑產”的鏈條產生了，有國家政治背景和訴求的組織也加入了進來，就連CIA也被曝光具有監控SWIFT的工具……這里S認為公開在暗網出售針對金融領域的惡意軟件影響更為“惡劣”，有可能極大降低網絡攻擊的門檻。

CutletMaker的軟件于2017年5月開始在AlphaBay暗網市場上銷售，因為美國有關機構在7月中旬關閉了AlphaBay，軟件經營方現新建了一個獨立網站專門銷售該軟件。

該新網站名為ATMjackpot，出售的正是同種ATM惡意軟件，但有少許修改。軟件經營者聲稱，Cutlet Maker對所有Wincor Nixdorf的ATM機均有效，僅需要訪問ATM機的USB端口即可。

根據廣告，工具包整體打包售價 5000 美元，使用手冊相當詳細，包括作案需要的軟件設備、可攻擊的ATM機型，以及軟件操作方法和偷竊小技巧，還附有操作演示視頻。

ATM惡意軟件在暗網出售

0X05 犯罪勒索：占領半壁江山的WannaCry

網絡犯罪在美、中、英等國家已經成為第一大犯罪類型了，而勒索軟件是其中重要的手段之一，2017年勒索軟件的特點是“模式創新”。無容置疑，2017最具影響力的勒索軟件當屬WannaCry了，它在2017年著實折騰了我們一把(呵呵)!

關于WannaCry多講了，大家聽得太多了。但在WannaCry之前，勒索軟件Cerber一直穩居勒索類惡意代碼的頭把交椅，自從WannaCry利用“永恒之藍”漏洞沖擊了整個地球互聯網之后，WannaCry在全部勒索軟件中占到了半壁江山。

2017值得關注的是：勒索軟件目前成為了暗網上最大的交易項目，并“創新模式”出現了定制化的服務，甚至某些勒索軟件出現了類似于傳銷的營銷模式，一個人被勒索之后，只要講勒索軟件轉發到10個以上的微信群或社區群，就能解密自己的系統。

在2018年這種趨勢會更加明顯，醫療保健、政府和關鍵基礎設施、教育行業仍可能將是被勒索的重災區。

0X06 移動終端：安卓終端排名第一的Rootnik

移動終端始終是惡意軟件鐘情的場所，畢竟移動終端的網絡用戶已經超過了傳統PC網民，同時，移動終端承載了太多的“關鍵”應用，例如我們常用的“支付寶”，嘻嘻。

而在移動端安卓無疑是重災區。2017年的安卓惡意代碼比2016年增加了17.6%。其中Rootnik是最流行的惡意軟件家族，POrnclk占第二位，其余的是Axent、Slocker和Dloader。

有意思的是GooglePlay上的很多應用程序被Rootnik綁定，該家族在9月下旬也被發現利用了DirtyCowLinux漏洞。

安卓手機供應鏈安全值得擔憂，38部手機被爆預裝惡意軟件

0X07 劫持與廣告：造成史上最大規模感染的FireBall

受到黑產的豐厚利益回報，劫持軟件與非法廣告一直是惡意軟件的一個熱門領域，但2017讓人大吃一驚的是出現了 "歷史上最大規模的惡意軟件感染" FireBall。而這個感染主機最多的惡意軟件竟然出自國人之手。FireBall據稱已感染全球超過2.5億臺計算機，完全有能力 "引發全球災難"。

FireBall可以控制互聯網瀏覽器, 監視受害者的 web 使用, 并可能竊取個人文件。FireBall 與擁有3億客戶聲稱提供數字營銷和游戲應用程序的中國公司Rafotech(卿燁科技http://www.rafotech.com/)相關。

FireBall行同 "瀏覽器-劫持", 它通過捆綁看似合法的軟件工作。該軟件將操縱受害者的瀏覽器, 改變搜索引擎, 并挖出用戶數據。它有能力運行代碼、下載文件、安裝 plug-ins、更改計算機配置、監視用戶, 甚至充當高效的惡意軟件下載器。

已經觀察到2530萬的感染在印度 (10.1%), 2410萬在巴西 (9.6%), 1610萬在墨西哥 (6.4%), 和1310萬在印度尼西亞 (5.2%)。在美國它感染了550萬設備 (2.2%)。全球20% 的企業網絡可能受到影響。

史上最大的感染事件：國產FireBall感染2.5億臺計算機能引發'全球災難'

0X08 Windows & office：被濫用的NSA工具DoublePulsar

MS的windows和office一直是遭受惡意軟件威脅的主要對象，2017也是如此。從window UAC繞過到def漏洞、從office老版本到365，都是惡意軟件關注的目標。CIA和NSA相關漏洞及利用工具的曝光促進了這個領域的惡意軟件繁衍。

2017年很有意思的是，CVE-2012-0158雖然不是最常用的Offce 漏洞，但是卻被一些人稱為“不會死的漏洞“，從2012年披露至今，仍然被大量的使用。2017年，最受攻擊者喜歡的漏洞是CVE-2017-0199，而CVE-2017-0199安全漏洞在Microsoft Offce的多個版本中可以利用。

但談到惡意軟件則是CIA和NSA曝光工具中的一系列最為突出，其中DoublePulsar，是由Shadow Brokers泄露的NSA黑客工具之一，現在該工具已被普通黑客使用，在全世界感染了超過36000臺設備。外媒Hacker News報道，Below0Day掃描結果顯示，全球有5561708臺Windows系統(SMB服務)445端口暴露于互聯網中，已確認有30625主機設備感染了惡意軟件。目前被感染的主機設備絕大多數位于美國地區，其次為英國、中國臺灣和韓國。

0X09 惡意郵件：造成30億美元損失的尼日利亞釣魚

2017年惡意郵件的盛行依舊，Phishme的數據顯示，90%的網絡攻擊開始于釣魚郵件。這個領域2017年度的趨勢是勒索和欺詐軟件正被垃圾郵件打包傳播，同時正向關鍵基礎設施領域拓展威脅。

2017年出現的“尼日利亞釣魚”不得不提，近三年來“尼日利亞釣魚”造成的商業損失高達30億美元，該釣魚方式通過劫持真正的企業賬戶，監控金融交易，并對交易重定向。最關鍵的是該釣魚郵件影響針對了全球22143多家機構，涉及到冶金、建筑、運輸的各個行業，之所以能夠發起這么大規模的攻擊，就是因為當前發動釣魚攻擊的成本已經非常低。

0X10 無文件/腳本惡意軟件：被用于挖礦的NSA 漏洞利用工具Zealot

2017年突出的是無文件駐留和腳本類惡意軟件呈現爆發態勢，從PowerShell到AutoIt各類腳本惡意軟件突發，這對傳統的安全防御技術提出了全新的挑戰。

據Carbon Black的2017年威脅報告顯示，無文件惡意軟件攻擊占今年所有攻擊的52%，首次超過基于惡意軟件的攻擊。無文件惡意軟件攻擊(也稱為非惡意軟件攻擊)允許網絡犯罪分子跳過部署基于惡意軟件的攻擊所需的步驟。

2017年12月，F5 Networks 發現了一項利用 NSA 漏洞大量入侵 Linux 和Windows 服務器同時植入惡意軟件“ Zealot ”來挖掘 Monero 加密貨幣的攻擊行動。

黑客組織使用兩個漏洞掃描互聯網上的特定服務器：一個是用于 Apache Struts(CVE-2017-5638 — RCE 遠程代碼執行漏洞)，另一個則是用于DotNetNuke ASP.NET CMS( CVE-2017-9822 — DotNetNuke 任意代碼執行漏洞)。

黑客組織使用 PowerShell 下載并安裝最后一階段的惡意軟件，該惡意軟件在攻擊行動中充當Monero 礦工的角色。而在 Linux 上，黑客組織則通過從 EmpireProject 后期開發框架中獲取的 Python 腳本感染系統，并且也會安裝同一個 Monero 礦工。