欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

您當(dāng)前的位置是:  首頁(yè) > 資訊 > 國(guó)內(nèi) >
 首頁(yè) > 資訊 > 國(guó)內(nèi) >

PaloAlto Networks最新博文章:MyDoom病毒:2019依舊肆虐

2019-07-31 14:21:56   作者:Palo Alto Networks(派拓網(wǎng)絡(luò))威脅情報(bào)團(tuán)隊(duì)Unit 42   來源:CTI論壇   評(píng)論:0  點(diǎn)擊:


  最新博文全文如下:
  臭名昭著的MyDoon計(jì)算機(jī)蠕蟲,早在2004年便被首次發(fā)現(xiàn),其位列最具破壞性計(jì)算機(jī)病毒前十名,估計(jì)損失達(dá)380億美元。盡管已經(jīng)“風(fēng)光”不再,現(xiàn)在的MyDoom在整個(gè)網(wǎng)絡(luò)威脅環(huán)境中仍占有一席之地。比如距離現(xiàn)在最近的2017年,在Palo Alto Networks的雙月威脅報(bào)告中我們記錄了發(fā)生在歐洲、中東以及非洲地區(qū)的MyDoom活動(dòng)。
  在過去幾年中,MyDoom的生存保持相對(duì)穩(wěn)定,在我們看到的帶有惡意軟件附件的郵件當(dāng)中,平均約占1.1%。此外,我們每個(gè)月都記錄到有成千上萬個(gè)MyDoom樣本。大多數(shù)MyDoom郵件來自于在中國(guó)注冊(cè)的IP地址,其次是來自于美國(guó)。這些郵件在全世界范圍內(nèi)傳送,其目標(biāo)主要為高科技產(chǎn)業(yè)、批發(fā)及零售行業(yè)、醫(yī)療行業(yè)、教育以及制造業(yè)。
  本文跟蹤了近幾年MyDoom病毒的活動(dòng)情況,并聚焦2019年上半年的發(fā)展趨勢(shì)。
  MyDoom在2015-2018年的活動(dòng)情況
  MyDoom的傳播方法是通過使用SMTP (Simple Mail Transfer Protocol, 簡(jiǎn)單郵件傳輸協(xié)議)的電子郵件來擴(kuò)散。我們對(duì)兩組郵件進(jìn)行了對(duì)比,一組是帶有MyDoom附件的郵件,另外一組是包含其他任意類型惡意軟件附件的郵件,在2015至2018年的四年當(dāng)中,我們發(fā)現(xiàn)平均有1.1%的惡意郵件含有MyDoom。對(duì)于同一時(shí)期的個(gè)體惡意軟件樣本, MyDoom占全部個(gè)體惡意附件的21.4%。
  為什么MyDoom郵件比MyDoom附件的占比低如此之多?這是因?yàn)椋S多惡意郵件帶有同一惡意樣本并將其發(fā)送至成百上千個(gè)接受方。而MyDoom為多態(tài),我們發(fā)現(xiàn)它針對(duì)每個(gè)郵件都有不同的文件哈希。因此,盡管MyDoom郵件數(shù)量相對(duì)較少,但在樣本數(shù)量上與其他通過郵件來傳播的惡意樣本來比較是相對(duì)較高的。表1即為2015至2018年的統(tǒng)計(jì)數(shù)據(jù),
年度 MyDoom 郵件 含有惡意軟件的郵件總數(shù) MyDoom 郵件占比 MyDoom 樣本 惡意軟件樣本總數(shù) MyDoom 樣本占比
2015 574,674 27,599,631 2.1% 87,119 615,386 14.2%
2016 589,107 77,575,376 0.8% 142,659 960,517 14.9%
2017 309,978 79,599,864 0.4% 95,115 340,433 27.9%
2018 663,212 64,919,295 1.0% 150,075 528,306 28.4%
  表1:2015-2108年間的MyDoom統(tǒng)計(jì)數(shù)據(jù)
  圖1. 2015年MyDoom活躍水平
  圖2. 2016年MyDoom活躍水平
  圖3. 2017年MyDoom活躍水平
  圖4. 2018年MyDoom活躍水平
  MyDoom在2019年的活動(dòng)情況
  2019年上半年MyDoom的活躍程度,與2018年全年平均水平基本持平,僅在郵件和惡意軟件樣本占比方面略微高一點(diǎn)。見表2,
MyDoom 郵件 含有惡意軟件的郵件總數(shù) MyDoom 郵件占比 MyDoom 樣本 惡意軟件樣本總數(shù) MyDoom 樣本占比
2019年1月-6月 465,896 41,002,585 1.1% 92,932 302,820 30.1%
  表2, 2019年上半年MyDoom數(shù)據(jù)
  圖5. 2019年上半年MyDoom活躍水平
  不止一個(gè)月里有574個(gè)MyDoom樣本出現(xiàn),因此下表3中的MyDoom惡意軟件樣本總數(shù)與上一表中整個(gè)六個(gè)月期間的MyDoom樣本總數(shù)不同。  
月份 MyDoom 郵件 MyDoom惡意軟件樣本
2019年一月 54,371 14,441
2019年二月 47,748 11,566
2019年三月 80,537 18,789
2019年四月 92,049 17,278
2019年五月 113,037 15,586
2019年六月 78,154 15,846
  表3, 2019年上半年各個(gè)月MyDoom數(shù)據(jù)
  圖6. 圖表顯示2019年1月至6月間的MyDoom活躍水平
  那么這些郵件來自于何處?在2019上半年中我們發(fā)現(xiàn)IP地址排在前十名的國(guó)家和地區(qū)包括,
  • 中國(guó)大陸: 349,454 封郵件
  • 美國(guó): 18,590 封郵件
  • 英國(guó): 10,151 封郵件
  • 越南: 4,426 封郵件
  • 韓國(guó): 2,575 封郵件
  • 西班牙: 2,154 封郵件
  • 俄羅斯: 1,007 封郵件
  • 印度: 657 封郵件
  • 臺(tái)灣地區(qū): 536 封郵件
  • 哈薩克斯坦: 388 封郵件
  圖7. 2019年上半年MyDoom郵件出現(xiàn)的國(guó)家/地區(qū)
  目標(biāo)國(guó)家比來源國(guó)家更加多樣且分布均勻,排在前十名的國(guó)家和地區(qū)分別是,
  • 中國(guó)大陸: 72,713 封郵件
  • 美國(guó): 56,135 封郵件
  • 臺(tái)灣地區(qū): 5,628 封郵件
  • 德國(guó): 5,503 封郵件
  • 日本: 5,105 封郵件
  • 新加坡: 3,097 封郵件
  • 韓國(guó): 1,892 封郵件
  • 羅馬尼亞: 1,651 封郵件
  • 澳大利亞: 1,295 封郵件
  • 英國(guó): 1,187 封郵件
  圖8. 2019年上半年MyDoom郵件發(fā)送的目標(biāo)國(guó)家和地區(qū)
  那么,在這期間排在前十位最容易受到攻擊的行業(yè)是,
  • 高科技: 212,641封郵件
  • 批發(fā)零售:84,996 封郵件
  • 醫(yī)療: 49,782 封郵件
  • 教育: 37,961 封郵件
  • 制造: 32,429 封郵件
  • 專業(yè)及法律服務(wù): 19,401 封郵件
  • 電信: 4,125 封郵件
  • 金融: 2,259 封郵件
  • 運(yùn)輸及物流: 1,595 封郵件
  • 保險(xiǎn): 796 封郵件
  當(dāng)然以上結(jié)果很容易受到客戶規(guī)模的影響。但是,這一數(shù)據(jù)顯示中國(guó)和美國(guó)既是多數(shù)MyDoom的來源國(guó),也是這一病毒的目標(biāo)國(guó)。
  MyDoom的特征
  多年以來,MyDoon的傳播有著相同的特征。2019年2月,人工智能和網(wǎng)絡(luò)安全公司Cylance對(duì)MyDoom采樣進(jìn)行了分析,發(fā)現(xiàn)現(xiàn)在的MyDoom樣本都有著類似的特征。通常情況下,郵件發(fā)送MyDoom病毒,會(huì)偽裝成郵件發(fā)送失敗后返回的報(bào)告,郵件標(biāo)題為,
  • 發(fā)送失敗
  • 郵件發(fā)送報(bào)告
  • 郵件系統(tǒng)錯(cuò)誤 - 郵件返回
  • 郵件可能無法收到
  • 郵件返回:數(shù)據(jù)格式錯(cuò)誤
  • 郵件返回:詳細(xì)信息參考記錄
  另外,我們還經(jīng)?吹組yDoom郵件的標(biāo)題字母排列混亂,有些標(biāo)題還會(huì)呈現(xiàn)出以下這種形式,
  • Click me baby, one more time
  • hello
  • Hi
  • say helo to my litl friend
  以下圖9、圖10和圖11,來自于2019年7月 MyDoom 郵件樣本的截屏,
  圖9. 2019年7月的一份MyDoom郵件樣本 (1)
  圖10. 2019年7月的一份MyDoom郵件樣本 (2)
  圖11. 2019年7月的一份MyDoom郵件樣本 (3)
  這些MyDoom郵件的附件都是可執(zhí)行文件,或者是壓縮包中含有可執(zhí)行文件。MyDoom惡意軟件可將Windows 主機(jī)感染為惡意軟件自動(dòng)發(fā)送機(jī)器人,然后將MyDoom郵件發(fā)送至不同郵件地址,即使受感染的Windows主機(jī)沒有郵件客戶端,也將發(fā)送惡意郵件。此外,MyDoom的另外一個(gè)特征,是試圖通過TCP接口1042來連接多個(gè)不同IP地址。
  圖12. 2019年7月15日來自某受MyDoom感染主機(jī)的郵件流量
  圖13. 某個(gè)受MyDoom感染的主機(jī)試圖通過TCP端口1042進(jìn)行連接
  在某個(gè)Windows 7主機(jī),MyDoom自我復(fù)制后并放置于路徑AppData\Local\Temp directory as lsass.exe, 但在Windows注冊(cè)表中惡意軟件是無法持續(xù)的。在某個(gè)Windows XP主機(jī)中,MyDoom可執(zhí)行文件自我復(fù)制并放置于路徑C:\Windows\lsass.exe下,通過HKEY_LOCAL_MACHINE路徑下的注冊(cè)表以及SOFTWARE\Microsoft\Windows\CurrentVersion\Run路徑下一個(gè)名為Traybar的數(shù)據(jù)倉(cāng)庫(kù)工具來實(shí)現(xiàn),如圖14所示,
  圖14:MyDoom在某個(gè)Window XP主機(jī)上的持續(xù)性
  結(jié)論
  盡管早在2004年便被發(fā)現(xiàn),MyDoom在今天仍然活躍,這足以證明其初始破壞性該有多么強(qiáng)大。多年來,仍有大量的基礎(chǔ)設(shè)施受到感染,我們?cè)诮裉斓耐{環(huán)境中仍能繼續(xù)看到MyDoom的存在。此外,盡管在惡意郵件當(dāng)中含有MyDoom病毒的比例相對(duì)較小,但這一病毒始終存在。
  基于對(duì)我們所掌握數(shù)據(jù)的分析,大多數(shù)受到MyDoom感染的基礎(chǔ)設(shè)施其IP地址大多來自中國(guó),而美國(guó)則緊跟其后。盡管MyDoom病毒全球傳播并指向多個(gè)國(guó)家,但中國(guó)和美國(guó)仍然是兩個(gè)主要接收MyDoom郵件的國(guó)家。高科技產(chǎn)業(yè)是其最大攻擊目標(biāo)。
  Palo Alto Networks(派拓網(wǎng)絡(luò))的Threat Prevention Platform可輕松檢測(cè)到該惡意軟件,從而有效保護(hù)客戶免受MyDoom影響。同時(shí),AutoFocus用戶可借助MyDoom標(biāo)簽來追蹤MyDoom意圖。
  入侵指標(biāo)
  MyDoom EXE Samples from July 2019  自2019年7月以來的MyDoom可執(zhí)行文件樣本
  1b46afe1779e897e6b9f3714e9276ccb7a4cef6865eb6a4172f0dd1ce1a46b42
  48cf912217c1b5ef59063c7bdb93b54b9a91bb6920b63a461f8ac7fcff43e205
  50dfd9af6953fd1eba41ee694fe26782ad4c2d2294030af2d48efcbcbfe09e11
  6a9c46d96f001a1a3cc47d166d6c0aabc26a5cf25610cef51d2b834526c6b596
  9e4c6410ab9eda9a3d3cbf23c58215f3bc8d3e66ad55e40b4e30eb785e191bf8
  關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
  作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò))一直以不斷挑戰(zhàn)網(wǎng)絡(luò)安全現(xiàn)狀而著稱。我們的使命就是通過有效防御網(wǎng)絡(luò)攻擊來保護(hù)數(shù)字時(shí)代的生活方式,我們有幸能夠參與其中,為成千上萬家企業(yè)以及他們的客戶保駕護(hù)航。我們的獨(dú)具開創(chuàng)性的Security Operating Platform,通過持續(xù)創(chuàng)新為客戶的數(shù)字化轉(zhuǎn)型戰(zhàn)略提供支持。Palo Alto Networks(派拓網(wǎng)絡(luò))掌握安全、自動(dòng)化以及數(shù)據(jù)分析領(lǐng)域的最新技術(shù)突破。通過提供最真實(shí)的平臺(tái),并聯(lián)合志同道合的變革企業(yè),我們共同推動(dòng)生態(tài)系統(tǒng)的不斷成長(zhǎng),并以此為基礎(chǔ)為業(yè)界提供卓有成效且獨(dú)具創(chuàng)新性的跨云端、網(wǎng)絡(luò)和移動(dòng)設(shè)備的網(wǎng)絡(luò)安全解決方案。
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

專題

CTI論壇會(huì)員企業(yè)