Intel Security 近日公布了《邁克菲實(shí)驗(yàn)室威脅報(bào)告》（2016年3月刊），報(bào)告評(píng)估了500位網(wǎng)絡(luò)安全專業(yè)人士對(duì)于共享網(wǎng)絡(luò)威脅情報(bào)(CTI)的看法，探討了 Adwind 遠(yuǎn)程管理工具 (RAT) 的內(nèi)部工作機(jī)理，并詳細(xì)介紹了勒索軟件、移動(dòng)惡意軟件和整體惡意軟件在 2015 年第四季度的爆發(fā)情況。

2015 年，Intel Security采訪了500位來自北美、亞太和歐洲各個(gè)領(lǐng)域的安全專業(yè)人士，以評(píng)估他們對(duì)于 CTI 的認(rèn)知和CTI 對(duì)企業(yè)安全的認(rèn)知價(jià)值，并找出阻礙在安全戰(zhàn)略中更有效地實(shí)施CTI的因素。受訪者提供了有關(guān)企業(yè)的CTI使用現(xiàn)狀和潛在機(jī)會(huì)的寶貴信息。

·價(jià)值認(rèn)知和采納：在表示使用共享的威脅情報(bào)的受訪者（占 42%）中，有 97% 的受訪者認(rèn)為使用共享的威脅情報(bào)有助于為公司提供更有效的保護(hù)。在這些受訪者中，有 59% 的受訪者認(rèn)為這種共享方式對(duì)于公司“非常有價(jià)值”，有 38% 的受訪者認(rèn)為“有一定的價(jià)值”。

·特定于行業(yè)的威脅情報(bào)：91% 的受訪者（接近全體）表示對(duì)特定于行業(yè)的網(wǎng)絡(luò)威脅情報(bào)感興趣，其中 54% 的受訪者表示“非常感興趣”，37% 的受訪者表示“有一定的興趣”。金融服務(wù)和關(guān)鍵基礎(chǔ)設(shè)施等行業(yè)從特定于行業(yè)的 CTI 受益最多，因?yàn)檫~克菲實(shí)驗(yàn)室通過監(jiān)測(cè)發(fā)現(xiàn)這兩個(gè)任務(wù)關(guān)鍵性行業(yè)遭受的威脅具有高度針對(duì)性。

·共享意愿：63% 的受訪者表示，如果能夠確保在安全的私有平臺(tái)中共享信息，那么他們除了愿意接收共享的 CTI外，可能還愿意提供自己的數(shù)據(jù)。但是，大家對(duì)于共享自己的信息卻表現(xiàn)出不同程度的熱情，其中 24% 的受訪者表示“非常愿意”，39% 的受訪者則表示“有點(diǎn)愿意”。

·共享數(shù)據(jù)的類型：當(dāng)詢問受訪者想要共享的數(shù)據(jù)類型時(shí)，受訪者回復(fù)比率最高的是惡意軟件行為 (72%)，其次是 URL 信譽(yù) (58%)、外部 IP 地址信譽(yù) (54%)、證書信譽(yù) (43%) 和文件信譽(yù) (37%)。

·實(shí)施 CTI 的阻礙：當(dāng)詢問受訪者為什么未在企業(yè)內(nèi)實(shí)施共享的 CTI 時(shí)，54% 的受訪者表示原因在于公司政策，其次是行業(yè)規(guī)范 (24%)。其余沒有共享數(shù)據(jù)的受訪者表示，雖然對(duì) CTI 感興趣，但需要了解更多的信息 (24%)，或者擔(dān)心共享的數(shù)據(jù)會(huì)被用于追溯到其公司或個(gè)人(21%)。這些發(fā)現(xiàn)說明他們對(duì)于適用于行業(yè)的各種 CTI 集成選項(xiàng)不了解或缺乏使用經(jīng)驗(yàn)，以及對(duì)共享 CTI 的法律規(guī)范缺乏了解。

“根據(jù)對(duì)網(wǎng)絡(luò)犯罪分子的行為分析，CTI 共享將成為重要的工具，可以使網(wǎng)絡(luò)安全的“天平”向有利于防御者的方向傾斜，”Intel Security 的邁克菲實(shí)驗(yàn)室的副總裁Vincent Weafer 表示，“但是，我們的調(diào)查顯示，高價(jià)值的 CTI 在充分實(shí)現(xiàn)其潛能之前必須先克服諸多障礙，例如公司政策、規(guī)范約束、歸屬風(fēng)險(xiǎn)、信任以及對(duì)實(shí)施知識(shí)的缺乏了解。”

本季度的報(bào)告還評(píng)估了 Adwind 遠(yuǎn)程管理工具 (RAT)，這是一個(gè)基于 Java 的“后門”木馬程序，專門攻擊各種支持 Java 文件的平臺(tái)。通常，Adwind 會(huì)以垃圾郵件的方式傳播，它在郵件中添加暗藏惡意軟件的電子郵件附件、被攻陷的Web 頁(yè)面和“強(qiáng)制下載”內(nèi)容。邁克菲實(shí)驗(yàn)室報(bào)告揭示了 .jar 文件樣本的快速增長(zhǎng)，這些文件被邁克菲實(shí)驗(yàn)室研究人員識(shí)別為Adwind，在 2015 年第四季度達(dá)到 7295 例，比 2015 年第一季度的 1388 例激增 426%。

2015 年第四季度威脅統(tǒng)計(jì)

·勒索軟件再次加速增長(zhǎng)：新勒索軟件在年中略有下降后，又重回高速增長(zhǎng)趨勢(shì)，2015 年第四季度比上一季度增長(zhǎng) 26%。開源勒索軟件代碼和“勒索軟件即服務(wù)”使得網(wǎng)絡(luò)攻擊變得更加容易，Teslacrypt 和 CryptoWall 3 活動(dòng)不斷擴(kuò)大它們的攻擊范圍，而且勒索軟件活動(dòng)繼續(xù)成功地勒索到財(cái)物。在 2015 年 10 月對(duì) CryptoWall 3 勒索軟件的分析中，邁克菲實(shí)驗(yàn)室的研究人員指出，僅僅一個(gè)勒索軟件活動(dòng)的運(yùn)營(yíng)，就導(dǎo)致受害者支付了 3.25 億美元的贖金，由此可以窺見此類勒索軟件活動(dòng)的經(jīng)濟(jì)規(guī)模。

·移動(dòng)惡意軟件激增：新移動(dòng)惡意軟件樣本在 2015 年第四季度比上一季度增長(zhǎng)了 72%，惡意軟件編寫者編寫新惡意軟件的速度似乎比以往更快。

·Rootkit 惡意軟件已窮途末路：Rootkit 惡意軟件樣本在第四季度顯著減少，延續(xù)了此類攻擊一直以來的下降趨勢(shì)。對(duì)于從 2011 年第三季度持續(xù)到現(xiàn)在的下降趨勢(shì)，邁克菲認(rèn)為部分原因在于越來越多的客戶使用配有 64 位 Intel 處理器的 64 位 Microsoft Windows。這些包含內(nèi)核補(bǔ)丁保護(hù)和安全引導(dǎo)*功能的技術(shù)，有助于防御類似 rootkit 惡意軟件的威脅。

·惡意軟件反彈：新惡意軟件樣本的總數(shù)經(jīng)過三個(gè)季度的下滑后，在第四季度又重新回升，共發(fā)現(xiàn) 4200 萬(wàn)例新的惡意哈希，比第三季度增長(zhǎng) 10%，并且是邁克菲實(shí)驗(yàn)室有記錄以來的第二高數(shù)量。其中，第四季度增長(zhǎng)的惡意軟件中包含 230 萬(wàn)例新移動(dòng)惡意軟件樣本，比第三季度增長(zhǎng) 100 萬(wàn)例。

·惡意簽名二進(jìn)制文件減少：新的惡意簽名二進(jìn)制文件的數(shù)量去年各季度均有所下降，2015 年第四季度達(dá)到自 2013 年第二季度以來的最低水平。邁克菲實(shí)驗(yàn)室認(rèn)為，這一現(xiàn)象應(yīng)部分歸因于在黑市有重要地位的舊證書逐漸失效，或者因?yàn)楣具w移到更強(qiáng)大的哈希功能而吊銷了舊證書。同樣，類似 Smart Screen（Microsoft Internet Explorer 的一項(xiàng)功能，但正在集成到 Windows 的其他組件中）的技術(shù)要求額外的信任測(cè)試，阻礙了惡意軟件編寫者對(duì)惡意二進(jìn)制文件進(jìn)行簽名。