MalwareBenchMark借助“软件基因”技术，自研平台，汇聚智力和数据，持续关注各类安全事件和恶意软件。

在送走2017迎来2018之际，MalwareBenchMark借助大数据分析，从传播范围、技术变化和威胁程度等视角分析了2017年多个领域最具“影响力”的恶意软件。

0X01 APT武器：持续升级的APT28工具系列

APT武器领域的恶意软件2017的整体态势是技术升级更加快速多样，对抗强度加剧。在APT领域2017与2016变化不大，最为风光的仍属来自俄罗斯的APT组织，APT28&APT29。

其中APT29利用了“端口前置”，利用Tor隐蔽通信行为；而APT28的sednit利用了赛门铁克的合法证书；Turlar家族则升级到了2.0，专注外交领域的攻击。

APT领域的对抗正呈现快速升级的状态，APT28工具的X-Agent后门年底全面升级，并由Sedkit漏洞利用工具包转为DealersChoice平台。

展开全文

0X02 工控系统：继Stuxnet之后最大威胁的Industroyer

工控系统作为国家关键基础设施的重要组成，其安全问题广为关注，2017年的特点是源于地缘政治因素，针对电力和能源基础设施的攻击最为突出。

2017年6月份发现的Industroyer恶意代码家族能够直接控制变电中的电路开关和继电器，该恶意代码在设计上不忘借鉴了blackenergy的磁盘擦除功能。Eset将其称之为继Stuxnet之后的最大威胁。

12月份又出现了针对安全仪表系统（SIS）的攻击代码Triton，该仪表系统在天然气和石油生产中广泛使用。

卡巴斯基在2018年工控系统安全预测中指出，将会有更多的攻击事件涉及到工业网络的间谍活动和利用工业自动化系统组建的漏洞的恶意代码。

0X03 物联网：持续“扩张”的Mirai家族

物联网领域2017年恶意软件特点可以用“扩张”一词总结。自从Mirai开放源代码以来，其家族无疑是物联网领域最为“闪耀”的明星~！开源模式极大地激发了黑客们的“创造”热情，其各类变种层出不穷，感染规模不断扩大。

技术层面上，主要是由针对telnet端口的弱口令扫描、扩展到了ssh端口、同时增加了多种漏洞的利用。可以预见由于WAP2协议漏洞的出现，wifi体系已经极不安全，而这对物联网恶意软件来说是“极大利好”。

2017年与Mirai相关的知名恶意软件包括：Rowdy、IoTroops、Satori等。这些恶意软件以mirai的源代码为本体，经过不断的变异改进，已经从传统的Linux平台演变到了Windows平台，利用的端口也在不断变化，从传统的弱口令攻击转变到了弱口令和漏洞利用的综合攻击方式，同时感染设备范围由网络摄像机、家庭路由，正向有线电视机顶盒等领域“扩张”。

上述多个变种感染的设备已经超过百万，攻击方式快速且丰富的衍变，注定2018年在工控物联网领域不会风平浪静！

0X04 银行/金融：在线销售的CutletMaker

2017金融领域恶意软件肆孽，针对SWIFT的攻击没有消沉反而日益盛行、多个国家和地区的ATM遭虐、POS机恶意软件风靡、针对个人移动终端及支付的恶意软件变种繁多… …总结一下就是异常“活跃”，毕竟直接产生经济效益啊~!

值得关注的是针对金融领域的恶意软件不再仅仅由来自“黑产”的链条产生了，有国家政治背景和诉求的组织也加入了进来，就连CIA也被曝光具有监控SWIFT的工具……这里S认为公开在暗网出售针对金融领域的恶意软件影响更为“恶劣”，有可能极大降低网络攻击的门槛。

CutletMaker的软件于2017年5月开始在AlphaBay暗网市场上销售，因为美国有关机构在7月中旬关闭了AlphaBay，软件经营方现新建了一个独立网站专门销售该软件。

该新网站名为ATMjackpot，出售的正是同种ATM恶意软件，但有少许修改。软件经营者声称，Cutlet Maker对所有Wincor Nixdorf的ATM机均有效，仅需要访问ATM机的USB端口即可。

根据广告，工具包整体打包售价 5000 美元，使用手册相当详细，包括作案需要的软件设备、可攻击的ATM机型，以及软件操作方法和偷窃小技巧，还附有操作演示视频。

ATM恶意软件在暗网出售

0X05 犯罪勒索：占领半壁江山的WannaCry

网络犯罪在美、中、英等国家已经成为第一大犯罪类型了，而勒索软件是其中重要的手段之一，2017年勒索软件的特点是“模式创新”。无容置疑，2017最具影响力的勒索软件当属WannaCry了，它在2017年着实折腾了我们一把（呵呵）！

关于WannaCry多讲了，大家听得太多了。但在WannaCry之前，勒索软件Cerber一直稳居勒索类恶意代码的头把交椅，自从WannaCry利用“永恒之蓝”漏洞冲击了整个地球互联网之后，WannaCry在全部勒索软件中占到了半壁江山。

2017值得关注的是：勒索软件目前成为了暗网上最大的交易项目，并“创新模式”出现了定制化的服务，甚至某些勒索软件出现了类似于传销的营销模式，一个人被勒索之后，只要讲勒索软件转发到10个以上的微信群或社区群，就能解密自己的系统。

在2018年这种趋势会更加明显，医疗保健、政府和关键基础设施、教育行业仍可能将是被勒索的重灾区。

0X06 移动终端：安卓终端排名第一的Rootnik

移动终端始终是恶意软件钟情的场所，毕竟移动终端的网络用户已经超过了传统PC网民，同时，移动终端承载了太多的“关键”应用，例如我们常用的“支付宝”，嘻嘻。

而在移动端安卓无疑是重灾区。2017年的安卓恶意代码比2016年增加了17.6%。其中Rootnik是最流行的恶意软件家族，POrnclk占第二位，其余的是Axent、Slocker和Dloader。

有意思的是GooglePlay上的很多应用程序被Rootnik绑定，该家族在9月下旬也被发现利用了DirtyCowLinux漏洞。

安卓手机供应链安全值得担忧，38部手机被爆预装恶意软件

0X07 劫持与广告：造成史上最大规模感染的FireBall

受到黑产的丰厚利益回报，劫持软件与非法广告一直是恶意软件的一个热门领域，但2017让人大吃一惊的是出现了"历史上最大规模的恶意软件感染" FireBall。而这个感染主机最多的恶意软件竟然出自国人之手。FireBall据称已感染全球超过2.5亿台计算机，完全有能力 "引发全球灾难"。

FireBall可以控制互联网浏览器, 监视受害者的 web 使用, 并可能窃取个人文件。FireBall 与拥有3亿客户声称提供数字营销和游戏应用程序的中国公司Rafotech（卿烨科技http://www.rafotech.com/）相关。

FireBall行同 "浏览器-劫持",它通过捆绑看似合法的软件工作。该软件将操纵受害者的浏览器, 改变搜索引擎, 并挖出用户数据。它有能力运行代码、下载文件、安装 plug-ins、更改计算机配置、监视用户, 甚至充当高效的恶意软件下载器。

已经观察到2530万的感染在印度 (10.1%), 2410万在巴西 (9.6%), 1610万在墨西哥 (6.4%), 和1310万在印度尼西亚 (5.2%)。在美国它感染了550万设备 (2.2%)。全球20% 的企业网络可能受到影响。

史上最大的感染事件：国产FireBall感染2.5亿台计算机能引发'全球灾难'

0X08 Windows & office：被滥用的NSA工具DoublePulsar

MS的windows和office一直是遭受恶意软件威胁的主要对象，2017也是如此。从window UAC绕过到def漏洞、从office老版本到365，都是恶意软件关注的目标。CIA和NSA相关漏洞及利用工具的曝光促进了这个领域的恶意软件繁衍。

2017年很有意思的是，CVE-2012-0158虽然不是最常用的Offce 漏洞，但是却被一些人称为“不会死的漏洞“，从2012年披露至今，仍然被大量的使用。2017年，最受攻击者喜欢的漏洞是CVE-2017-0199，而CVE-2017-0199安全漏洞在Microsoft Offce的多个版本中可以利用。

但谈到恶意软件则是CIA和NSA曝光工具中的一系列最为突出，其中DoublePulsar，是由Shadow Brokers泄露的NSA黑客工具之一，现在该工具已被普通黑客使用，在全世界感染了超过36000台设备。外媒Hacker News报道，Below0Day扫描结果显示，全球有5561708台Windows系统（SMB服务）445端口暴露于互联网中，已确认有30625主机设备感染了恶意软件。目前被感染的主机设备绝大多数位于美国地区，其次为英国、中国台湾和韩国。

0X09 恶意邮件：造成30亿美元损失的尼日利亚钓鱼

2017年恶意邮件的盛行依旧，Phishme的数据显示，90%的网络攻击开始于钓鱼邮件。这个领域2017年度的趋势是勒索和欺诈软件正被垃圾邮件打包传播，同时正向关键基础设施领域拓展威胁。

2017年出现的“尼日利亚钓鱼”不得不提，近三年来“尼日利亚钓鱼”造成的商业损失高达30亿美元，该钓鱼方式通过劫持真正的企业账户，监控金融交易，并对交易重定向。最关键的是该钓鱼邮件影响针对了全球22143多家机构，涉及到冶金、建筑、运输的各个行业，之所以能够发起这么大规模的攻击，就是因为当前发动钓鱼攻击的成本已经非常低。

0X10 无文件/脚本恶意软件：被用于挖矿的NSA 漏洞利用工具Zealot

2017年突出的是无文件驻留和脚本类恶意软件呈现爆发态势，从PowerShell到AutoIt各类脚本恶意软件突发，这对传统的安全防御技术提出了全新的挑战。

据Carbon Black的2017年威胁报告显示，无文件恶意软件攻击占今年所有攻击的52％，首次超过基于恶意软件的攻击。无文件恶意软件攻击（也称为非恶意软件攻击）允许网络犯罪分子跳过部署基于恶意软件的攻击所需的步骤。

2017年12月，F5 Networks 发现了一项利用 NSA 漏洞大量入侵 Linux 和Windows 服务器同时植入恶意软件“ Zealot ”来挖掘 Monero 加密货币的攻击行动。

黑客组织使用两个漏洞扫描互联网上的特定服务器：一个是用于 Apache Struts（CVE-2017-5638 — RCE 远程代码执行漏洞），另一个则是用于DotNetNuke ASP.NET CMS（ CVE-2017-9822 — DotNetNuke 任意代码执行漏洞）。

黑客组织使用 PowerShell 下载并安装最后一阶段的恶意软件，该恶意软件在攻击行动中充当Monero 矿工的角色。而在 Linux 上，黑客组织则通过从 EmpireProject 后期开发框架中获取的 Python 脚本感染系统，并且也会安装同一个 Monero 矿工。

2017恶意软件领域大事儿不断，很多事件值得关注，但由于篇幅原因，深入阅读可以点击查看订阅号历史文章。

以杀软为代表的传统安全技术不是越来越智能，而是越来越“迷糊”了，请看：

为啥“Hello World"被7家智能杀软引擎报恶意？

受数字货币价值不断攀升的刺激，以Coinhive等为代表的各类用于挖矿的恶意软件层出不穷，全球各大机构先后成为受害者，请看：

慎防挖矿恶意软件，世界最大石油管道公司中招

DDoS事件仍然频发，针对我国某机构的DDoS攻击竟然长达创记录的200多小时，请看：

卡巴称：中国出现超记录的DDoS攻击持续长达227小时

勒索犯罪分子花招层出，针对数字媒体的版权勒索，可能会“挖掘”出勒索界的一大“金矿”，请看：

HBO惨遭“版权勒索”，权利的游戏数据被窃

……