信息來(lái)源：FreeBuf

第二季度相關(guān)數(shù)字 

根據(jù)KSN：

卡巴斯基實(shí)驗(yàn)室解決方案阻止了來(lái)自全球187個(gè)國(guó)家/地區(qū)的在線資源發(fā)起的962,947,023次攻擊。

網(wǎng)絡(luò)防病毒組件將351,913,075個(gè)唯一的URL識(shí)別為惡意URL。

記錄了215,762個(gè)用戶遭到的旨在通過(guò)在線訪問(wèn)銀行帳戶來(lái)竊取資金的惡意軟件感染。

記錄了158,921個(gè)唯一用戶遭到的勒索軟件攻擊。

文件防病毒產(chǎn)品記錄了192,053,604個(gè)不同的惡意和潛在有害的樣本。

卡巴斯基實(shí)驗(yàn)室移動(dòng)設(shè)備防護(hù)產(chǎn)品檢測(cè)到：

o   1,744,244個(gè)惡意安裝包

o   61,045個(gè)移動(dòng)銀行木馬安裝包

o   14,119個(gè)移動(dòng)勒索軟件木馬安裝包

移動(dòng)威脅

綜合統(tǒng)計(jì)

在2018年第二季度，卡巴斯基實(shí)驗(yàn)室檢測(cè)到1,744,244個(gè)惡意安裝包，比上一季度增加了421,666個(gè)。

檢測(cè)到的惡意安裝包數(shù)量，2017年第二季度 – 2018年第二季度

檢測(cè)到的惡意移動(dòng)app的類型分布

檢測(cè)到的惡意移動(dòng)app的類型分布，2018年第一季度

新近檢測(cè)到的惡意移動(dòng)app的類型分布，2018年第二季度

在2018年第二季度發(fā)現(xiàn)的所有威脅中，最大的份額屬于潛在有害的RiskTool app（ 55.3％）；與上一季度相比，它們的份額增加了6個(gè)百分點(diǎn)，RiskTool.AndroidOS.SMSreg 家族的成員對(duì)該指標(biāo)貢獻(xiàn)最大。

排名第二的是Trojan-Dropper威脅（13％），其份額下降了7個(gè)百分點(diǎn)。檢測(cè)到的大多數(shù)這種類型的文件來(lái)自Trojan-Dropper.AndroidOS.Piom和Trojan-Dropper.AndroidOS.Hqwar 。

廣告app的份額繼續(xù)下降了8％，占所有檢測(cè)到的威脅的 9％（上一季度是11％）。

在報(bào)告期間一個(gè)顯著的變化是，SMS木馬的份額從第一季度的4.5 ％增加到了第二季度的8.5％。

排名前20的移動(dòng)惡意軟件

請(qǐng)注意，此惡意軟件評(píng)級(jí)不包含潛在危險(xiǎn)或有害的程序，如RiskTool或Adware。

	樣本	%*
1	DangerousObject.Multi.Generic	70.04
2	Trojan.AndroidOS.Boogr.gsh	12.17
3	Trojan-Dropper.AndroidOS.Lezok.p	4.41
4	Trojan.AndroidOS.Agent.rx	4.11
5	Trojan.AndroidOS.Piom.toe	3.44
6	Trojan.AndroidOS.Triada.dl	3.15
7	Trojan.AndroidOS.Piom.tmi	2.71
8	Trojan.AndroidOS.Piom.sme	2.69
9	Trojan-Dropper.AndroidOS.Hqwar.i	2.54
10	Trojan-Downloader.AndroidOS.Agent.ga	2.42
11	Trojan-Dropper.AndroidOS.Agent.ii	2.25
12	Trojan-Dropper.AndroidOS.Hqwar.ba	1.80
13	Trojan.AndroidOS.Agent.pac	1.73
14	Trojan.AndroidOS.Dvmap.a	1.64
15	Trojan-Dropper.AndroidOS.Lezok.b	1.55
16	Trojan-Dropper.AndroidOS.Tiny.d	1.37
17	Trojan.AndroidOS.Agent.rt	1.29
18	Trojan.AndroidOS.Hiddapp.bn	1.26
19	Trojan.AndroidOS.Piom.rfw	1.20
20	Trojan-Dropper.AndroidOS.Lezok.t	1.19

 *遭相關(guān)惡意軟件攻擊的唯一用戶占所有被攻擊的卡巴斯基實(shí)驗(yàn)室移動(dòng)防病毒軟件的用戶的百分比。

和以前一樣，我們的TOP20中的第一名是DangerousObject.Multi.Generic（ 70.04％），它是我們通過(guò)云技術(shù)檢測(cè)到的惡意軟件。排在第二位的是Trojan.AndroidOS.Boogr.gsh（12.17％），它是我們通過(guò)機(jī)器學(xué)習(xí)識(shí)別為惡意軟件的文件。第三名是Dropper.AndroidOS.Lezok.p（4.41％），然后是只相差0.3個(gè)百分點(diǎn)的Trojan.AndroidOS.Agent.rx（4.11％），它是第一季度的第三名。

移動(dòng)威脅的地理分布

移動(dòng)惡意軟件感染的地理分布，2018年第二季度

遭移動(dòng)惡意軟件攻擊的用戶所占比例排名前10位的國(guó)家/地區(qū)：

	國(guó)家*	**％
1	孟加拉國(guó)	31.17
2	中國(guó)	31.07
3	伊朗	30.87
4	尼泊爾	30.74
5	尼日利亞	25.66
6	印度	25.04
7	印度尼西亞	24.05
8	科特迪瓦共和國(guó)	23.67
9	巴基斯坦	23.49
10	坦桑尼亞	22.38

*評(píng)級(jí)中排除了卡巴斯基實(shí)驗(yàn)室移動(dòng)防病毒軟件用戶數(shù)量相對(duì)較少的國(guó)家（10,000以下）。 
**該國(guó)家遭到攻擊的唯一用戶占該國(guó)家卡巴斯基實(shí)驗(yàn)室移動(dòng)防病毒軟件的所有用戶的比例。

在2018年第二季度，孟加拉國(guó)（31.17％）名列榜首。中國(guó)（31.07％）以微弱優(yōu)勢(shì)排名第二。伊朗（30.87％）和尼泊爾（30.74％）分別獲得第三和第四名。

本季度俄羅斯（8.34％）排名下降到了第38位，落后于中國(guó)臺(tái)灣（8.48％）和新加坡（8.46％）。

移動(dòng)銀行木馬

在報(bào)告期間內(nèi)，我們檢測(cè)到61,045個(gè)移動(dòng)銀行木馬的安裝包，是2018年第一季度的 3.2倍。最大的貢獻(xiàn)來(lái)自于Trojan-Banker.AndroidOS.Hqwar.jck – 這個(gè)木馬幾乎占了檢測(cè)到的新銀行木馬的一半。其次是Trojan-Banker.AndroidOS.Agent.dq                    ，約占5000個(gè)安裝包。

卡巴斯基實(shí)驗(yàn)室檢測(cè)到的移動(dòng)銀行木馬安裝包數(shù)量，2017年第二季度 – 2018年第二季度

十大移動(dòng)銀行木馬

	樣本	%*
1	Trojan-Banker.AndroidOS.Agent.dq	17.74
2	Trojan-Banker.AndroidOS.Svpeng.aj	13.22
3	Trojan-Banker.AndroidOS.Svpeng.q	8.56
4	Trojan-Banker.AndroidOS.Asacub.e	5.70
5	Trojan-Banker.AndroidOS.Agent.di	5.06
6	Trojan-Banker.AndroidOS.Asacub.bo	4.65
7	Trojan-Banker.AndroidOS.Faketoken.z	3.66
8	Trojan-Banker.AndroidOS.Asacub.bj	3.03
9	Trojan-Banker.AndroidOS.Hqwar.t	2.83
10	Trojan-Banker.AndroidOS.Asacub.ar	2.77

 *遭相關(guān)惡意軟件攻擊的唯一用戶占所有遭銀行木馬攻擊的卡巴斯基實(shí)驗(yàn)室移動(dòng)防病毒軟件用戶的百分比

第二季度最流行的移動(dòng)銀行木馬是Trojan-Banker.AndroidOS.Agent.dq（17.74％），緊隨其后的是Trojan-Banker.AndroidOS.Svpeng.aj（13.22％）。這兩個(gè)木馬使用網(wǎng)絡(luò)釣魚(yú)窗口來(lái)竊取用戶的銀行卡和網(wǎng)上銀行憑據(jù)信息。此外，它們還通過(guò)濫用短信服務(wù)（包括手機(jī)銀行）來(lái)竊取資金。流行的銀行惡意軟件 Trojan-Banker.AndroidOS.Svpeng.q（8.56％）在評(píng)級(jí)中排名第三，從第二季度的第二名下降一位。                         

移動(dòng)銀行威脅的地理分布，2018年第二季度

遭移動(dòng)銀行木馬攻擊的用戶比例排名前10的國(guó)家

	國(guó)家*	**％
1	美國(guó)	0.79
2	俄國(guó)	0.70
3	波蘭	0.28
4	中國(guó)	0.28
5	塔吉克斯坦	0.27
6	烏茲別克斯坦	0.23
7	烏克蘭	0.18
8	新加坡	0.16
9	摩爾多瓦	0.14
10	哈薩克斯坦	0.13

*評(píng)級(jí)中排除了卡巴斯基實(shí)驗(yàn)室移動(dòng)防病毒軟件用戶數(shù)量相對(duì)較少的國(guó)家（10,000以下）。 
**該國(guó)家遭移動(dòng)銀行木馬攻擊的唯一用戶占該國(guó)家卡巴斯基實(shí)驗(yàn)室移動(dòng)防病毒軟件所有用戶的百分比。

總體而言，評(píng)級(jí)與第一季度相比沒(méi)有太大變化：俄羅斯（0.70％）和美國(guó)（0.79％）交換了位置，但均保持在前三。

由于兩個(gè)木馬的活躍傳播，波蘭（0.28％）從第九位上升到第三位，這兩個(gè)木馬是Trojan-Banker.AndroidOS.Agent.cw和Trojan-Banker.AndroidOS.Marcher.w。后者于2017年11月首次被發(fā)現(xiàn)，它通過(guò)典型的銀行惡意軟件工具集：SMS攔截、網(wǎng)絡(luò)釣魚(yú)窗口和設(shè)備管理員權(quán)限來(lái)確保其在系統(tǒng)中的持久性。

移動(dòng)勒索軟件木馬

在2018年第二季度，我們檢測(cè)到14,119個(gè)移動(dòng)勒索軟件木馬的安裝包，比第一季度增加了一半。

卡巴斯基實(shí)驗(yàn)室檢測(cè)到的移動(dòng)勒索軟件木馬的安裝包數(shù)量，2017年第二季度- 2018年第二季度

	樣本	%*
1	Trojan-Ransom.AndroidOS.Zebt.a	26.71
2	Trojan-Ransom.AndroidOS.Svpeng.ag	19.15
3	Trojan-Ransom.AndroidOS.Fusob.h	15.48
4	Trojan-Ransom.AndroidOS.Svpeng.ae	5.99
5	Trojan-Ransom.AndroidOS.Egat.d	4.83
6	Trojan-Ransom.AndroidOS.Svpeng.snt	4.73
7	Trojan-Ransom.AndroidOS.Svpeng.ab	4.29
8	Trojan-Ransom.AndroidOS.Small.cm	3.32
9	Trojan-Ransom.AndroidOS.Small.as	2.61
10	Trojan-Ransom.AndroidOS.Small.cj	1.80

 *遭到相關(guān)惡意軟件攻擊的唯一用戶占所有遭到勒索軟件木馬攻擊的卡巴斯基實(shí)驗(yàn)室移動(dòng)防病毒軟件用戶的百分比

第二季度最流行的移動(dòng)勒索軟件是Trojan-Ransom.AndroidOS.Zebt.a（26.71％），超過(guò)四分之一的用戶遭到該惡意軟件的攻擊。其次是Trojan-Ransom.AndroidOS.Svpeng.ag（19.15％），領(lǐng)先于曾經(jīng)最流行的 Trojan-Ransom.AndroidOS.Fusob.h（15.48％）。

移動(dòng)勒索軟件木馬的地理分布，2018年第二季度

受移動(dòng)勒索軟件木馬攻擊的用戶所占比例排名前10位的國(guó)家

	國(guó)家*	**％
1	美國(guó)	0.49
2	意大利	0.28
3	哈薩克斯坦	0.26
4	比利時(shí)	0.22
5	波蘭	0.20
6	羅馬尼亞	0.18
7	中國(guó)	0.17
8	愛(ài)爾蘭	0.15
9	墨西哥	0.11
10	奧地利	0.09

*評(píng)級(jí)排除了卡巴斯基實(shí)驗(yàn)室的移動(dòng)防病毒軟件的用戶數(shù)量相對(duì)較少的國(guó)家/地區(qū)（少于10,000） 
**該國(guó)家受到移動(dòng)勒索軟件木馬攻擊的唯一用戶占該國(guó)家所有卡巴斯基實(shí)驗(yàn)室移動(dòng)防病毒軟件用戶的百分比

前十名中的第一名是美國(guó)（0.49％）；該國(guó)家最活躍的移動(dòng)勒索軟件家族是Trojan-Ransom.AndroidOS.Svpeng                    ：

	樣本	%*
1	Trojan-Ransom.AndroidOS.Svpeng.ag	53.53%
2	Trojan-Ransom.AndroidOS.Svpeng.ae	16.37%
3	Trojan-Ransom.AndroidOS.Svpeng.snt	11.49%
4	Trojan-Ransom.AndroidOS.Svpeng.ab	10.84%
5	Trojan-Ransom.AndroidOS.Fusob.h	5.62%
6	Trojan-Ransom.AndroidOS.Svpeng.z	4.57%
7	Trojan-Ransom.AndroidOS.Svpeng.san	4.29%
8	Trojan-Ransom.AndroidOS.Svpeng.ac	2.45%
9	Trojan-Ransom.AndroidOS.Svpeng.h	0.43%
10	Trojan-Ransom.AndroidOS.Zebt.a	0.37%

*美國(guó)受相關(guān)惡意軟件攻擊的唯一用戶占該國(guó)所有受勒索軟件木馬攻擊的卡巴斯基實(shí)驗(yàn)室移動(dòng)防病毒軟件用戶的百分比

意大利（0.28％）在受移動(dòng)勒索軟件攻擊的用戶比例的國(guó)家排名中位列第二。在這個(gè)國(guó)家大多數(shù)攻擊都是Trojan-Ransom.AndroidOS.Zebt.a 導(dǎo)致的。哈薩克斯坦位于第三名（0.26％），Trojan-Ransom.AndroidOS.Small.cm是那里最流行的移動(dòng)勒索軟件。

針對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊

從我們的蜜罐數(shù)據(jù)來(lái)看，暴力破解Telnet密碼是最常見(jiàn)的物聯(lián)網(wǎng)惡意軟件自我傳播方法。但是，最近針對(duì)其他服務(wù)（例如控制端口）的攻擊數(shù)量有所增加。這些端口被分配了用于通過(guò)路由器進(jìn)行遠(yuǎn)程控制的服務(wù) – 這一功能是ISP等所需要的。我們已經(jīng)觀察到通過(guò)端口8291和端口7547（TR-069協(xié)議）發(fā)起的針對(duì)IoT設(shè)備的攻擊嘗試。端口8291是MikrotikRouterOS的控制服務(wù)使用的端口。端口7547用于管理德國(guó)電信網(wǎng)絡(luò)中的設(shè)備。

在這兩個(gè)案例中，攻擊的性質(zhì)都比普通的暴力攻擊要復(fù)雜得多；確切地說(shuō)，它們涉及到漏洞利用。我們傾向于認(rèn)為，在以下兩個(gè)因素的支持下，此類攻擊的數(shù)量將在未來(lái)繼續(xù)增長(zhǎng)：

· 暴力破解Telnet密碼是一種低效率的策略，因?yàn)楣粽咧g存在激烈的競(jìng)爭(zhēng)。每隔幾秒鐘就會(huì)有暴力攻擊的嘗試；一旦成功，攻擊者就會(huì)阻止所有其他攻擊者通過(guò)Telnet訪問(wèn)。

· 每次重啟設(shè)備后，攻擊者都必須重新感染它，從而導(dǎo)致部分僵尸網(wǎng)絡(luò)丟失以及必須在一個(gè)充滿競(jìng)爭(zhēng)的環(huán)境中再次獲得它。

從另一方面來(lái)講，利用一個(gè)漏洞的首個(gè)攻擊者可以在最短的時(shí)間內(nèi)獲得大量設(shè)備的訪問(wèn)權(quán)限。

遭到攻擊的服務(wù)的受歡迎程度（按受攻擊的唯一設(shè)備的數(shù)量），2018年第二季度

Telnet攻擊

攻擊模式如下：攻擊者發(fā)現(xiàn)目標(biāo)設(shè)備，檢查Telnet端口是否打開(kāi)，并啟動(dòng)密碼暴力破解程序。由于許多物聯(lián)網(wǎng)設(shè)備制造商忽視了安全性（例如，他們?cè)谠O(shè)備上保留服務(wù)密碼并且不允許用戶定期更改它們），這種攻擊變得十分成功并且可能影響整個(gè)設(shè)備產(chǎn)線。受感染的設(shè)備開(kāi)始掃描新的網(wǎng)絡(luò)段并感染其中的新的類似設(shè)備或工作站。

通過(guò)Telnet攻擊感染的物聯(lián)網(wǎng)設(shè)備的地理分布，2018年第二季度

通過(guò)Telnet攻擊感染的物聯(lián)網(wǎng)設(shè)備所占比例排名前10位的國(guó)家/地區(qū)

	國(guó)家	％*
1	巴西	23.38
2	中國(guó)	17.22
3	日本	8.64
4	俄羅斯	7.22
5	美國(guó)	4.55
6	墨西哥	3.78
7	希臘	3.51
8	韓國(guó)	3.32
9	土耳其	2.61
10	印度	1.71

*每個(gè)特定國(guó)家/地區(qū)的受感染設(shè)備占所有遭到Telnet攻擊的物聯(lián)網(wǎng)設(shè)備的百分比

在第二季度，巴西（23.38％）在受感染設(shè)備的數(shù)量方面處于領(lǐng)先地位，同樣地，其在Telnet攻擊數(shù)量方面也處于領(lǐng)先地位。其次是小幅上漲的中國(guó)（17.22％），第三名則是日本（8.64％）。

在這些攻擊中，攻擊者最常將Backdoor.Linux.Mirai.c（15.97％）下載到受感染的設(shè)備。

在成功的Telnet攻擊中下載到受感染的IoT設(shè)備的十大惡意軟件

	樣本	%*
1	Backdoor.Linux.Mirai.c	15.97
2	Trojan-Downloader.Linux.Hajime.a	5.89
3	Trojan-Downloader.Linux.NyaDrop.b	3.34
4	Backdoor.Linux.Mirai.b	2.72
5	Backdoor.Linux.Mirai.ba	1.94
6	Trojan-Downloader.Shell.Agent.p	0.38
7	Trojan-Downloader.Shell.Agent.as	0.27
8	Backdoor.Linux.Mirai.n	0.27
9	Backdoor.Linux.Gafgyt.ba	0.24
10	Backdoor.Linux.Gafgyt.af	0.20

 *在成功的Telnet攻擊中每個(gè)特定惡意軟件程序下載到IoT設(shè)備的比例占此類攻擊中所有惡意軟件下載量的百分比

SSH攻擊

此類攻擊的發(fā)起類似于Telnet攻擊，唯一的區(qū)別是它們需要僵尸機(jī)器在其上安裝SSH客戶端以暴力破解登錄憑據(jù)。SSH協(xié)議是加密保護(hù)的，因此暴力破解密碼需要大量的計(jì)算資源。因此，來(lái)自物聯(lián)網(wǎng)設(shè)備的自我傳播效率低下，攻擊者往往是使用成熟的服務(wù)器來(lái)發(fā)起攻擊。SSH攻擊的成功取決于設(shè)備所有者或制造商的失誤；換句話說(shuō)，這又是制造商分配給整個(gè)設(shè)備產(chǎn)線的弱密碼或預(yù)設(shè)密碼導(dǎo)致的。

中國(guó)在物聯(lián)網(wǎng)設(shè)備受SSH攻擊方面處于領(lǐng)先地位。此外，中國(guó)在受Telnet攻擊方面排名第二。

通過(guò)SSH攻擊感染的物聯(lián)網(wǎng)設(shè)備的地理分布，2018年第二季度

通過(guò)SSH攻擊感染的物聯(lián)網(wǎng)設(shè)備所占比例排名前10位的國(guó)家

	國(guó)家	％*
1	中國(guó)	15.77％
2	越南	11.38％
3	美國(guó)	9.78％
4	法國(guó)	5.45％
5	俄羅斯	4.53％
6	巴西	4.22％
7	德國(guó)	4.01％
8	韓國(guó)	3.39％
9	印度	2.86％
10	羅馬尼亞	2.23％

*每個(gè)國(guó)家/地區(qū)受感染設(shè)備的比例占所有遭到SSH攻擊的受感染IoT設(shè)備的百分比

金融行業(yè)面臨的在線威脅

第二季度相關(guān)事件

新銀行木馬DanaBot

DanaBot木馬于5月被發(fā)現(xiàn)。它具有模塊化結(jié)構(gòu)，能夠加載額外的模塊以攔截流量、竊取密碼和加密貨幣錢包等 – 通常是此類威脅的標(biāo)準(zhǔn)功能集。該木馬通過(guò)包含惡意office文檔的垃圾郵件傳播，此文檔隨后用于加載木馬的主體。DanaBot 最初主要針對(duì)澳大利亞的用戶和金融機(jī)構(gòu)，但是在4月初，我們注意到它已經(jīng)變得積極針對(duì)波蘭的金融機(jī)構(gòu)。

獨(dú)特的BackSwap技術(shù)

銀行木馬BackSwap變得更加有趣。大多數(shù)類似的威脅，包括Zeus、Cridex 和Dyreza在內(nèi)，都是通過(guò)攔截用戶的流量，將惡意腳本注入受害者訪問(wèn)的銀行頁(yè)面或?qū)⑵渲囟ㄏ虻结烎~(yú)網(wǎng)站。相比之下，BackSwap使用了一種創(chuàng)新的技術(shù)來(lái)注入惡意腳本：利用WinAPI。它通過(guò)模擬敲擊鍵盤(pán)以在瀏覽器中打開(kāi)開(kāi)發(fā)者控制臺(tái)，然后使用此控制臺(tái)將惡意腳本注入網(wǎng)頁(yè)。在BackSwap的后續(xù)版本中，它使用JavaScript 代碼通過(guò)地址欄注入惡意腳本。

Carbanak團(tuán)伙頭目被逮捕

3月26日，歐洲刑警組織宣布逮捕Carbanak 和CobaltGoblin背后的網(wǎng)絡(luò)犯罪團(tuán)伙的頭目。這是由西班牙皇家警察、歐洲刑警組織、聯(lián)邦調(diào)查局以及羅馬尼亞、摩爾多瓦、白俄羅斯和中國(guó)臺(tái)灣當(dāng)局以及私人信息安全公司之間的聯(lián)合行動(dòng)。預(yù)計(jì)該頭目的被捕將減少該組織的活動(dòng)，但最近的數(shù)據(jù)顯示，該組織的活動(dòng)沒(méi)有發(fā)生明顯的下降。在 5月和6月，我們發(fā)現(xiàn)了針對(duì)東歐銀行和加工公司的多起針對(duì)性網(wǎng)絡(luò)釣魚(yú)攻擊浪潮。Carbanak 發(fā)出的釣魚(yú)郵件偽裝成信譽(yù)良好的反惡意軟件供應(yīng)商、歐洲中央銀行和其他組織的支持熱線。這些電子郵件包含利用CVE-2017-11882和CVE-2017-8570 漏洞的文件附件。

勒索軟件木馬使用Doppelg?nging技術(shù)

卡巴斯基實(shí)驗(yàn)室的專家檢測(cè)到了勒索軟件 TrojanSynAck使用ProcessDoppelg?nging技術(shù)的案例。該惡意軟件的作者使用這種復(fù)雜的技術(shù)使其更加隱蔽，并使安全解決方案的檢測(cè)變得更加困難。這是第一個(gè)將該技術(shù)用于勒索軟件木馬的案例。

另一個(gè)引人注目的事件是加密類惡意軟件Purga（又名Globe）的傳播活動(dòng)，在此期間，這個(gè)惡意軟件與包括一個(gè)銀行木馬在內(nèi)的其他惡意軟件一起被加載到感染了木馬Dimnie的計(jì)算機(jī)上。

關(guān)于金融威脅的綜合統(tǒng)計(jì)

這些統(tǒng)計(jì)數(shù)據(jù)是基于從同意提供統(tǒng)計(jì)數(shù)據(jù)的用戶那里收到的卡巴斯基實(shí)驗(yàn)室產(chǎn)品檢測(cè)到的樣本數(shù)據(jù)。

在2018年第二季度，卡巴斯基實(shí)驗(yàn)室解決方案幫助215,762個(gè)用戶阻止了一個(gè)或多個(gè)試圖從銀行賬戶竊取資金的惡意軟件的企圖。

遭金融惡意軟件攻擊的唯一用戶的數(shù)量，2018年第二季度

攻擊的地理分布

銀行惡意軟件攻擊的地理分布，2018年第二季度

按遭到攻擊的用戶比例排名前10位的國(guó)家/地區(qū)

	國(guó)家*	遭到攻擊的用戶比例%**
1	德國(guó)	2.7％
2	喀麥隆	1.8％
3	保加利亞	1.7％
4	希臘	1.6％
5	阿拉伯聯(lián)合酋長(zhǎng)國(guó)	1.4％
6	中國(guó)	1.3％
7	印度尼西亞	1.3％
8	利比亞	1.3％
9	多哥	1.3％
10	黎巴嫩	1.2％

這些統(tǒng)計(jì)數(shù)據(jù)是基于從同意提供統(tǒng)計(jì)數(shù)據(jù)的卡巴斯基實(shí)驗(yàn)室產(chǎn)品用戶收到的防病毒產(chǎn)品的檢測(cè)數(shù)據(jù)。

*不包括卡巴斯基實(shí)驗(yàn)室產(chǎn)品的用戶相對(duì)較少的國(guó)家（10,000以下）。 
**其計(jì)算機(jī)遭到銀行木馬或ATM/ PoS惡意軟件攻擊的卡巴斯基實(shí)驗(yàn)室唯一用戶占該國(guó)家卡巴斯基實(shí)驗(yàn)室產(chǎn)品所有唯一用戶的百分比。

十大銀行惡意軟件家族

	名稱	樣本*	遭到攻擊的用戶比例%**
1	Nymaim	Trojan.Win32. Nymaim	27.0%
2	Zbot	Trojan.Win32. Zbot	26.1%
3	SpyEye	Backdoor.Win32. SpyEye	15.5%
4	Emotet	Backdoor.Win32. Emotet	5.3%
5	Caphaw	Backdoor.Win32. Caphaw	4.7%
6	Neurevt	Trojan.Win32. Neurevt	4.7%
7	NeutrinoPOS	Trojan-Banker.Win32.NeutrinoPOS	3.3%
8	Gozi	Trojan.Win32. Gozi	2.0%
9	Shiz	Backdoor.Win32. Shiz	1.5%
10	ZAccess	Backdoor.Win32. ZAccess	1.3%

*這些統(tǒng)計(jì)數(shù)據(jù)是基于從同意提供統(tǒng)計(jì)數(shù)據(jù)的卡巴斯基實(shí)驗(yàn)室產(chǎn)品用戶收到的卡巴斯基產(chǎn)品的檢測(cè)樣本。 
**受此惡意軟件攻擊的唯一用戶占所有受金融惡意軟件攻擊的用戶的百分比。

在2018年第二季度，TOP10的整體構(gòu)成保持不變，但排名發(fā)生了一些變化。在交換位置后， Trojan.Win32.Zbot（26.1％）和Trojan.Win32.Nymaim（27％）依舊保持領(lǐng)先。銀行木馬Emotet的攻擊活動(dòng)增加，因此受攻擊用戶的比例從2.4％增加到5.3％。反之，Caphaw的攻擊活動(dòng)從第一季度的15.2％大幅縮減至4.7％，在評(píng)級(jí)中排名第五。

加密類惡意軟件

新變體的數(shù)量

在第二季度，我們檢測(cè)到7,620個(gè)新的加密類惡意軟件變體。這比第一季度要高，但仍遠(yuǎn)低于去年的數(shù)字。

加密類惡意軟件新變體的數(shù)量，2017年第二季度- 2018年第二季度

遭到加密木馬攻擊的用戶數(shù)量

在2018年第二季度，卡巴斯基實(shí)驗(yàn)室的產(chǎn)品幫助158,921個(gè)唯一用戶阻止了其計(jì)算機(jī)上的加密類惡意軟件攻擊。我們的統(tǒng)計(jì)數(shù)據(jù)顯示，第二季度網(wǎng)絡(luò)犯罪分子的活動(dòng)與第一季度相比和環(huán)比均有所下降。

遭到加密木馬攻擊的唯一用戶數(shù)，2018年第二季度

攻擊的地理分布

遭到加密木馬攻擊的前十大國(guó)家

	國(guó)家*	遭到加密木馬攻擊的用戶比例%**
1	埃塞俄比亞	2.49
2	烏茲別克斯坦	1.24
3	越南	1.21
4	巴基斯坦	1.14
5	印度尼西亞	1.09
6	中國(guó)	1.04
7	委內(nèi)瑞拉	0.72
8	阿塞拜疆	0.71
9	孟加拉國(guó)	0.70
10	蒙古	0.64

*不包括卡巴斯基實(shí)驗(yàn)室用戶相對(duì)較少的國(guó)家/地區(qū)（50,000以下）。 
**其計(jì)算機(jī)遭到加密木馬攻擊的唯一用戶占該國(guó)家卡巴斯基實(shí)驗(yàn)室產(chǎn)品所有唯一用戶的百分比。

第二季度的TOP10國(guó)家列表幾乎與第一季度相同。然而，還是有一些排名變化：埃塞俄比亞（2.49％）使得烏茲別克斯坦（1.24％）從第一位下降到第二位，而巴基斯坦（1.14％）上升到第四位。越南（1.21％）保持第三位，印度尼西亞（1.09％）繼續(xù)排名第五。

十大最廣泛傳播的加密木馬家族

	名稱*	樣本	遭到攻擊的用戶比例%**
1	WannaCry	Trojan-Ransom.Win32.Wanna	53.92
2	GandCrab	Trojan-Ransom.Win32.GandCrypt	4.92
3	PolyRansom/VirLock	Virus.Win32.PolyRansom	3.81
4	Shade	Trojan-Ransom.Win32.Shade	2.40
5	Crysis	Trojan-Ransom.Win32.Crusis	2.13
6	Cerber	Trojan-Ransom.Win32.Zerber	2.09
7	(generic verdict)	Trojan-Ransom.Win32.Gen	2.02
8	Locky	Trojan-Ransom.Win32.Locky	1.49
9	Purgen/GlobeImposter	Trojan-Ransom.Win32.Purgen	1.36
10	Cryakl	Trojan-Ransom.Win32.Cryakl	1.04

*統(tǒng)計(jì)數(shù)據(jù)是基于卡巴斯基實(shí)驗(yàn)室產(chǎn)品的檢測(cè)樣本。這些信息由同意提供統(tǒng)計(jì)數(shù)據(jù)的卡巴斯基實(shí)驗(yàn)室產(chǎn)品的用戶提供。 
**遭特定加密木馬家族攻擊的卡巴斯基實(shí)驗(yàn)室唯一用戶占所有遭加密木馬攻擊的用戶的百分比。

WannaCry進(jìn)一步擴(kuò)大了其家族的領(lǐng)先優(yōu)勢(shì)，其份額從第一季度的38.33％上升至53.92 ％。與此同時(shí)，GandCrab（4.92％，在2018 年第一季度剛剛出現(xiàn)）背后的網(wǎng)絡(luò)犯罪分子在傳播方面投入了大量精力，一路上升到第二位，取代了多態(tài)蠕蟲(chóng)PolyRansom（3.81％）。榜單中的其余位置，就像在Q1中一樣，被熟悉的加密木馬Shade、Crysis、Purgen、Cryakl等所占據(jù)。

惡意挖礦軟件

正如我們?cè)凇?016 – 2018年勒索軟件和惡意挖礦軟件趨勢(shì)報(bào)告》中報(bào)告的，勒索軟件正在逐漸下降，而加密貨幣礦工正在開(kāi)始取而代之。因此，今年我們開(kāi)始決定發(fā)布有關(guān)威脅類型狀況的季度報(bào)告。同時(shí)，我們開(kāi)始使用更廣泛的樣本作為收集礦工統(tǒng)計(jì)數(shù)據(jù)的基礎(chǔ)，因此第二季度的統(tǒng)計(jì)數(shù)據(jù)可能與我們?cè)缙诔霭嫖锏臄?shù)據(jù)并不一致。它包括了我們檢測(cè)為木馬的隱匿礦工以及發(fā)布在                        “非病毒的灰色軟件”中的礦工。

新變體的數(shù)量

在2018年第二季度，卡巴斯基實(shí)驗(yàn)室解決方案檢測(cè)到了13,948個(gè)新的礦工變體。

新礦工變體的數(shù)量，2018年第二季度

遭到惡意挖礦軟件攻擊的用戶數(shù)量

在第二季度，我們?cè)谌?,244,581名卡巴斯基實(shí)驗(yàn)室用戶的計(jì)算機(jī)上檢測(cè)到涉及挖礦程序的攻擊。

遭惡意挖礦軟件攻擊的唯一用戶數(shù)量，2018年第二季度

在4月和5月，遭到攻擊的用戶數(shù)量大致相等，而在6月份，加密礦工的攻擊活動(dòng)略有減少。

攻擊的地理分布

惡意挖礦攻擊的地理分布，2018年第二季度

按遭到攻擊的用戶比例排名前10位的國(guó)家/地區(qū)

	國(guó)家*	遭到攻擊的用戶比例%**
1	埃塞俄比亞	17.84
2	阿富汗	16.21
3	烏茲別克斯坦	14.18
4	哈薩克斯坦	11.40
5	白俄羅斯	10.47
6	印度尼西亞	10.33
7	莫桑比克	9.92
8	越南	9.13
9	蒙古	9.01
10	烏克蘭	8.58

*不包括卡巴斯基實(shí)驗(yàn)室產(chǎn)品用戶相對(duì)較少的國(guó)家（50,000以下）。 
**其計(jì)算機(jī)遭到惡意挖礦軟件攻擊的卡巴斯基實(shí)驗(yàn)室唯一用戶占該國(guó)家所有卡巴斯基實(shí)驗(yàn)室產(chǎn)品唯一用戶的百分比。

易被網(wǎng)絡(luò)犯罪分子利用的脆弱應(yīng)用程序

在2018年第二季度，我們?cè)俅斡^察到最常遭到攻擊的平臺(tái)分布上的一些重大變化。Microsoft Office 漏洞利用的比例（67%）相比第一季度增加了一倍，如果與2017年的平均值相比，則是四倍。這種急劇增長(zhǎng)主要是由于包含漏洞利用（CVE-2017-11882）的垃圾郵件的大規(guī)模傳播導(dǎo)致的。存在于舊版本的公式編輯器組件中的該棧溢出漏洞影響了過(guò)去18年來(lái)發(fā)布的每一個(gè)Office                            版本。該漏洞利用可在Office軟件包和Windows的所有可能組合中穩(wěn)定生效。另一方面，它還允許攻擊者使用各種混淆技術(shù)來(lái)繞過(guò)保護(hù)措施。這兩個(gè)因素使得該漏洞利用成為第二季度網(wǎng)絡(luò)犯罪分子手中最受歡迎的工具。其他 Office漏洞利用的比例與第一季度相比則沒(méi)有發(fā)生大的變化。

第二季度KSN的統(tǒng)計(jì)數(shù)據(jù)還顯示，越來(lái)越多的AdobeFlash漏洞通過(guò)MicrosoftOffice被利用。盡管Adobe和微軟努力阻止對(duì)FlashPlayer 的漏洞利用，但新的零日漏洞CVE-2018-5002在第二季度被發(fā)現(xiàn)。該漏洞利用通過(guò)XLSX文件傳播，并使用了一個(gè)鮮為人知的技術(shù)來(lái)遠(yuǎn)程下載漏洞利用而不是直接在文件中包含該漏洞利用。與其他多種文件格式一樣，SWF文件以O(shè)LE對(duì)象的格式在Office文檔中呈現(xiàn)。該OLE對(duì)象包含實(shí)際的文件和屬性列表，其中一個(gè)屬性指向SWF文件的路徑。漏洞利用中的OLE對(duì)象并沒(méi)有包含SWF文件，但只包含了一個(gè)屬性的列表，包括指向SWF文件的web鏈接，這會(huì)強(qiáng)制Office 從該遠(yuǎn)程鏈接中下載缺失的文件。

網(wǎng)絡(luò)犯罪分子使用的漏洞利用針對(duì)的應(yīng)用程序的類型分布，2018年第二季度

在2018年3月下旬，在                    VirusTotal上檢測(cè)到一個(gè)包含兩個(gè)零日漏洞的PDF文檔：                        CVE-2018-4990和CVE-2018-8120                        。前者允許通過(guò)利用AcrobatReader中的JPEG2000格式圖像處理器中的軟件錯(cuò)誤從                            JavaScript執(zhí)行shellcode。后者存在于win32k                                函數(shù)SetImeInfoEx中                                    ，用于進(jìn)一步提權(quán)到SYSTEM級(jí)別，并使該P(yáng)DF閱讀器能夠逃離沙箱。對(duì)該文檔的分析和我們的統(tǒng)計(jì)數(shù)據(jù)顯示，在上傳到                                        VirusTotal時(shí)，此漏洞利用尚處于開(kāi)發(fā)階段，并未用于野外攻擊。

4月下旬，卡巴斯基實(shí)驗(yàn)室專家利用沙箱在InternetExplorer中發(fā)現(xiàn)了零日漏洞                    CVE-2018-8174，并向微軟報(bào)告。對(duì)此漏洞的利用使用了與CVE-2017-0199                    相關(guān)聯(lián)的技術(shù)（通過(guò)特制的OLE對(duì)象從遠(yuǎn)程源啟動(dòng)HTA腳本），以便在MicrosoftOffice                        的幫助下利用易受攻擊的InternetExplorer組件。我們觀察到漏洞利用程序包的創(chuàng)建者已經(jīng)集成了這個(gè)漏洞并通過(guò)網(wǎng)站和包含惡意文檔的電子郵件主動(dòng)分發(fā)該漏洞利用。

還是在第二季度，我們觀察到網(wǎng)絡(luò)攻擊的數(shù)量不斷增長(zhǎng)。利用MS17-010漏洞利用的攻擊嘗試越來(lái)越多；它構(gòu)成了我們檢測(cè)到的網(wǎng)絡(luò)攻擊的大多數(shù)。

通過(guò)網(wǎng)絡(luò)資源發(fā)起的攻擊

本章中的統(tǒng)計(jì)信息是基于Web反病毒產(chǎn)品，它可以在惡意對(duì)象從惡意/受感染的網(wǎng)頁(yè)下載時(shí)保護(hù)用戶。惡意網(wǎng)站是由網(wǎng)絡(luò)犯罪分子專門創(chuàng)建的；包含用戶創(chuàng)建內(nèi)容的Web資源（例如論壇）以及被黑客入侵的合法資源可能會(huì)被感染。

在線資源被植入惡意軟件的排名前十大的國(guó)家/地區(qū)

以下統(tǒng)計(jì)信息是基于攻擊中使用的在線資源（包含惡意重定向的網(wǎng)頁(yè)、包含漏洞利用以及惡意軟件的網(wǎng)站、僵尸網(wǎng)絡(luò)C&C服務(wù)器，等等）的物理位置，這些攻擊被我們的防病毒組件所阻止。任何唯一的主機(jī)都可能是一個(gè)或多個(gè)網(wǎng)絡(luò)攻擊的來(lái)源。為了確定網(wǎng)絡(luò)攻擊來(lái)源的地理分布，我們將其域名與其實(shí)際域IP地址進(jìn)行匹配，然后建立一個(gè)特定IP的地理位置庫(kù)（GEOIP）。

在2018年第二季度，卡巴斯基實(shí)驗(yàn)室解決方案阻止了來(lái)自全球187個(gè)國(guó)家的網(wǎng)絡(luò)資源發(fā)起的962,947,023次攻擊。網(wǎng)絡(luò)防病毒組件將351,913,075個(gè)唯一URL識(shí)別為惡意URL。

網(wǎng)絡(luò)攻擊來(lái)源的國(guó)家分布，2018年第二季度

在第二季度，網(wǎng)絡(luò)攻擊來(lái)源國(guó)家排名的前四名保持不變。美國(guó)（45.87％）是大多數(shù)網(wǎng)絡(luò)攻擊來(lái)源的所在地。荷蘭（25.74                    ％）排名第二，德國(guó)（5.33％）排名第三。第五名發(fā)生了變化：俄羅斯（1.98％）取代了英國(guó)，盡管其份額下降了                        0.55個(gè)百分點(diǎn)

用戶面臨在線感染風(fēng)險(xiǎn)最大的國(guó)家/地區(qū)

為了評(píng)估不同國(guó)家/地區(qū)的用戶面臨的在線感染風(fēng)險(xiǎn)，我們計(jì)算了每個(gè)國(guó)家/地區(qū)的卡巴斯基實(shí)驗(yàn)室用戶的計(jì)算機(jī)在本季度觸發(fā)Web防病毒組件的百分比。由此產(chǎn)生的數(shù)據(jù)代表了計(jì)算機(jī)在不同的國(guó)家運(yùn)行所面臨的風(fēng)險(xiǎn)指標(biāo)。

此評(píng)級(jí)僅涵蓋屬于惡意軟件類型的惡意程序的攻擊；不包括針對(duì)潛在的危險(xiǎn)或有害程序（如灰色軟件或廣告軟件）的Web防病毒檢測(cè)數(shù)據(jù)。

	國(guó)家*	遭到攻擊的用戶比例**
1	白俄羅斯	33.49
2	阿爾巴尼亞	30.27
3	阿爾及利亞	30.08
4	亞美尼亞	29.98
5	烏克蘭	29.68
6	摩爾多瓦	29.49
7	委內(nèi)瑞拉	29.12
8	希臘	29.11
9	吉爾吉斯斯坦	27.25
10	哈薩克斯坦	26.97
11	俄羅斯	26.93
12	烏茲別克斯坦	26.30
13	阿塞拜疆	26.12
14	塞爾維亞	25.23
15	卡塔爾	24.51
16	拉脫維亞	24.40
17	越南	24.03
18	格魯吉亞	23.87
19	菲律賓	23.85
20	羅馬尼亞	23.55

*這些統(tǒng)計(jì)數(shù)據(jù)是基于Web防病毒模塊返回的檢測(cè)結(jié)果，這些檢測(cè)結(jié)果是從同意提供統(tǒng)計(jì)數(shù)據(jù)的卡巴斯基實(shí)驗(yàn)室產(chǎn)品用戶處收到的。 
不包括卡巴斯基實(shí)驗(yàn)室用戶相對(duì)較少的國(guó)家/地區(qū)（10,000以下）。 
**惡意軟件類的攻擊所針對(duì)的唯一用戶占該國(guó)家卡巴斯基實(shí)驗(yàn)室產(chǎn)品所有唯一用戶的百分比。

惡意網(wǎng)絡(luò)攻擊的地理分布（受攻擊用戶的百分比），2018年第二季度

平均而言，全球有19.59％的互聯(lián)網(wǎng)用戶的計(jì)算機(jī)至少經(jīng)歷過(guò)一次惡意軟件類的網(wǎng)絡(luò)攻擊。

本地威脅

用戶計(jì)算機(jī)的本地感染統(tǒng)計(jì)數(shù)據(jù)是一個(gè)非常重要的指標(biāo)：它們反映了通過(guò)被感染文件、可移動(dòng)媒介或最初以加密格式進(jìn)入計(jì)算機(jī)的文件（例如集成在復(fù)雜安裝程序、加密文件等中的程序）侵入計(jì)算機(jī)系統(tǒng)的威脅。

本節(jié)中的數(shù)據(jù)是基于防病毒組件對(duì)硬盤(pán)驅(qū)動(dòng)器上的文件的掃描結(jié)果，以及對(duì)可移動(dòng)存儲(chǔ)介質(zhì)的掃描結(jié)果的分析統(tǒng)計(jì)。

在2018年第二季度，我們的文件防病毒組件檢測(cè)到192,053,604個(gè)惡意和潛在有害的對(duì)象。

用戶面臨本地感染風(fēng)險(xiǎn)最高的國(guó)家/地區(qū)

對(duì)于每個(gè)國(guó)家/地區(qū)，我們計(jì)算了在報(bào)告期間觸發(fā)了計(jì)算機(jī)文件防病毒組件的卡巴斯基實(shí)驗(yàn)室產(chǎn)品用戶的百分比。這些統(tǒng)計(jì)數(shù)據(jù)反映了不同國(guó)家的個(gè)人計(jì)算機(jī)感染程度。

此評(píng)級(jí)僅涵蓋屬于惡意軟件類型的攻擊。它不包括文件防病毒組件檢測(cè)到的潛在危險(xiǎn)或有害程序，如灰色軟件或廣告軟件。

	國(guó)家*	遭到攻擊的用戶比例**
1	烏茲別克斯坦	51.01
2	阿富汗	49.57
3	塔吉克斯坦	46.21
4	也門	45.52
5	埃塞俄比亞	43.64
6	土庫(kù)曼斯坦	43.52
7	越南	42.56
8	吉爾吉斯斯坦	41.34
9	盧旺達(dá)	40.88
10	蒙古	40.71
11	阿爾及利亞	40.25
12	老撾	40.18
13	敘利亞	39.82
14	喀麥隆	38.83
15	莫桑比克	38.24
16	孟加拉國(guó)	37.57
17	蘇丹	37.31
18	尼泊爾	37.02
19	贊比亞	36.60
20	吉布提	36.35

*這些統(tǒng)計(jì)數(shù)據(jù)是基于OAS和ODS防病毒模塊從同意提供統(tǒng)計(jì)數(shù)據(jù)的卡巴斯基實(shí)驗(yàn)室產(chǎn)品用戶處收到的返回的檢測(cè)數(shù)據(jù)。這些數(shù)據(jù)包括對(duì)位于用戶計(jì)算機(jī)上或連接到計(jì)算機(jī)的可移動(dòng)介質(zhì)，例如閃存驅(qū)動(dòng)器、相機(jī)和電話存儲(chǔ)卡或外部硬盤(pán)驅(qū)動(dòng)器上的惡意程序的檢測(cè)結(jié)果。 
不包括卡巴斯基實(shí)驗(yàn)室用戶相對(duì)較少的國(guó)家/地區(qū)（10,000以下）。 
**在其計(jì)算機(jī)上阻止了惡意軟件類本地威脅的唯一用戶占該國(guó)家卡巴斯基實(shí)驗(yàn)室產(chǎn)品的所有唯一用戶的百分比。

惡意本地攻擊的地理分布（按受攻擊用戶的百分比進(jìn)行歸類），2018年第二季度

平均而言，全球19.58％的計(jì)算機(jī)在第二季度經(jīng)歷過(guò)至少一個(gè)惡意軟件類的本地威脅。