Intel Security 近日公布了《迈克菲实验室威胁报告》(2016年3月刊),报告评估了500位网络安全专业人士对于共享网络威胁情报(CTI)的看法,探讨了 Adwind 远程管理工具 (RAT) 的内部工作机理,并详细介绍了勒索软件、移动恶意软件和整体恶意软件在 2015 年第四季度的爆发情况。
2015 年,Intel Security采访了500位来自北美、亚太和欧洲各个领域的安全专业人士,以评估他们对于 CTI 的认知和CTI 对企业安全的认知价值,并找出阻碍在安全战略中更有效地实施CTI的因素。受访者提供了有关企业的CTI使用现状和潜在机会的宝贵信息。
·价值认知和采纳:在表示使用共享的威胁情报的受访者(占 42%)中,有 97% 的受访者认为使用共享的威胁情报有助于为公司提供更有效的保护。在这些受访者中,有 59% 的受访者认为这种共享方式对于公司“非常有价值”,有 38% 的受访者认为“有一定的价值”。
·特定于行业的威胁情报:91% 的受访者(接近全体)表示对特定于行业的网络威胁情报感兴趣,其中 54% 的受访者表示“非常感兴趣”,37% 的受访者表示“有一定的兴趣”。金融服务和关键基础设施等行业从特定于行业的 CTI 受益最多,因为迈克菲实验室通过监测发现这两个任务关键性行业遭受的威胁具有高度针对性。
·共享意愿:63% 的受访者表示,如果能够确保在安全的私有平台中共享信息,那么他们除了愿意接收共享的 CTI外,可能还愿意提供自己的数据。但是,大家对于共享自己的信息却表现出不同程度的热情,其中 24% 的受访者表示“非常愿意”,39% 的受访者则表示“有点愿意”。
·共享数据的类型:当询问受访者想要共享的数据类型时,受访者回复比率最高的是恶意软件行为 (72%),其次是 URL 信誉 (58%)、外部 IP 地址信誉 (54%)、证书信誉 (43%) 和文件信誉 (37%)。
·实施 CTI 的阻碍:当询问受访者为什么未在企业内实施共享的 CTI 时,54% 的受访者表示原因在于公司政策,其次是行业规范 (24%)。其余没有共享数据的受访者表示,虽然对 CTI 感兴趣,但需要了解更多的信息 (24%),或者担心共享的数据会被用于追溯到其公司或个人(21%)。这些发现说明他们对于适用于行业的各种 CTI 集成选项不了解或缺乏使用经验,以及对共享 CTI 的法律规范缺乏了解。
“根据对网络犯罪分子的行为分析,CTI 共享将成为重要的工具,可以使网络安全的“天平”向有利于防御者的方向倾斜,”Intel Security 的迈克菲实验室的副总裁Vincent Weafer 表示,“但是,我们的调查显示,高价值的 CTI 在充分实现其潜能之前必须先克服诸多障碍,例如公司政策、规范约束、归属风险、信任以及对实施知识的缺乏了解。”
本季度的报告还评估了 Adwind 远程管理工具 (RAT),这是一个基于 Java 的“后门”木马程序,专门攻击各种支持 Java 文件的平台。通常,Adwind 会以垃圾邮件的方式传播,它在邮件中添加暗藏恶意软件的电子邮件附件、被攻陷的Web 页面和“强制下载”内容。迈克菲实验室报告揭示了 .jar 文件样本的快速增长,这些文件被迈克菲实验室研究人员识别为Adwind,在 2015 年第四季度达到 7295 例,比 2015 年第一季度的 1388 例激增 426%。
2015 年第四季度威胁统计
·勒索软件再次加速增长:新勒索软件在年中略有下降后,又重回高速增长趋势,2015 年第四季度比上一季度增长 26%。开源勒索软件代码和“勒索软件即服务”使得网络攻击变得更加容易,Teslacrypt 和 CryptoWall 3 活动不断扩大它们的攻击范围,而且勒索软件活动继续成功地勒索到财物。在 2015 年 10 月对 CryptoWall 3 勒索软件的分析中,迈克菲实验室的研究人员指出,仅仅一个勒索软件活动的运营,就导致受害者支付了 3.25 亿美元的赎金,由此可以窥见此类勒索软件活动的经济规模。
·移动恶意软件激增:新移动恶意软件样本在 2015 年第四季度比上一季度增长了 72%,恶意软件编写者编写新恶意软件的速度似乎比以往更快。
·Rootkit 恶意软件已穷途末路:Rootkit 恶意软件样本在第四季度显著减少,延续了此类攻击一直以来的下降趋势。对于从 2011 年第三季度持续到现在的下降趋势,迈克菲认为部分原因在于越来越多的客户使用配有 64 位 Intel 处理器的 64 位 Microsoft Windows。这些包含内核补丁保护和安全引导*功能的技术,有助于防御类似 rootkit 恶意软件的威胁。
·恶意软件反弹:新恶意软件样本的总数经过三个季度的下滑后,在第四季度又重新回升,共发现 4200 万例新的恶意哈希,比第三季度增长 10%,并且是迈克菲实验室有记录以来的第二高数量。其中,第四季度增长的恶意软件中包含 230 万例新移动恶意软件样本,比第三季度增长 100 万例。
·恶意签名二进制文件减少:新的恶意签名二进制文件的数量去年各季度均有所下降,2015 年第四季度达到自 2013 年第二季度以来的最低水平。迈克菲实验室认为,这一现象应部分归因于在黑市有重要地位的旧证书逐渐失效,或者因为公司迁移到更强大的哈希功能而吊销了旧证书。同样,类似 Smart Screen(Microsoft Internet Explorer 的一项功能,但正在集成到 Windows 的其他组件中)的技术要求额外的信任测试,阻碍了恶意软件编写者对恶意二进制文件进行签名。
