卡巴斯基:Mac OS 用户网络威胁调查报告

作者:深信服科技股份有限公司广州办事处 | 国际 2019/09/17 14:41:29 399
文章来源:https://www.4hou.com/info/industry/20316.html

介绍

    几十年来人们一直有一种观念,认为macOS操作系统几乎没有任何网络威胁,或至少没有严重的威胁。MacBook和iMac的用户在对自身安全性上的信心程度堪比Linux用户,我们必须承认,这种观念在一定程度上是正确的——与基于windows的系统相比,针对macOS的威胁要少得多。不过,造成这种情况的主要原因是用户数量上的差距较大:运行Windows的电脑比运行macOS的电脑多得多,随着后者用户数量的不断攀升,这种情况可能会发生变化。近些年来,尽管苹果公司也在做出种种努力,但针对苹果设备的威胁还是在不断增长。

    本报告的数据基于卡巴斯基实验室网络云基础架构的统计信息,来源于对卡巴斯基用户的真实攻击案例。

类别

网络钓鱼

· 在2019年上半年,我们检测到近600万次针对macOS用户的钓鱼攻击事件,其中11.80%的目标用户是企业用户。

· 遭受此类攻击比例最高的三个国家分别是是巴西(30.87%)、印度(22.08%)和法国(22.02%)。

· 以苹果官方名义进行网络钓鱼的攻击事件每年增长30-40%。2018年,此类袭击事件接近150万起。截至今年6月,2019年网络钓鱼攻击次数已超过160万次,同比增长9%。

恶意或潜在恶意软件

· 从2012年到2017年,经历过恶意或潜在恶意程序攻击的macOS用户数量呈现逐年增长趋势,每年约有25.5万名用户受到攻击;然而从2018年开始,受攻击用户的数量开始走低,到2019年上半年,这一数字仅为8.7万。

· 自2012年以来,通过恶意或潜在恶意程序对macOS用户发起的攻击事件每年都在增加,2018年超过了400万次;而在2019年上半年,我们登记在案的此类攻击有180万起。

· 2019年针对macOS的绝大多数威胁都属于广告软件的范畴,至于恶意软件威胁,伪装成Adobe Flash Player或更新的Shlayer则是最普遍的。

· 有近四分之一受到过此类攻击的客户生活在美国。

数据和趋势

一、针对Mac用户的网络钓鱼

    我们收集了从2015年开始到现在针对macOS用户的网络钓鱼威胁的详细统计数据。数据表明,对macOS用户的网络钓鱼攻击事件呈现快速增长趋势,2015年这个数字是85.2万,2016年增长了86%,超过150万次,而2017年则猛增至400万次,到了2018年则超过730万。通过下图我们可以看到,仅在2019年上半年,就发生了5,932,195次攻击,这意味着如果目前的趋势继续下去,到年底攻击次数可能超过1600万次。

卡巴斯基:Mac OS 用户网络威胁调查报告

图1:2015-2019年,针对macOS用户的网络钓鱼事件的增长趋势

    在2019年上半年遭遇网络钓鱼攻击的企业macOS用户所占比例达到11.80%,与2018年同期的10.25%相比,这一比例略有上升。

1. 网络钓鱼页面主题

    为了了解网络钓鱼页面的伪装样式,我们分析了最常见的几类钓鱼攻击,以及受攻击用户的地理位置,并将结果与2018年同期的数据进行了比较。

2019年和2018年,网络钓鱼页面最常模仿的是银行服务(2019年为39.95%,2018年为29.68%),第二类是一些比较受欢迎的全球互联网门户网站(2019年为21.31%,2018年为27.04%),社交网络在2019年排名第三(12.3%),网购页面则在今年从第三掉到第四的位置(2018年为10.75%)。

卡巴斯基:Mac OS 用户网络威胁调查报告

表1:2018年上半年和2019年上半年,网络钓鱼页面主要类型占比

2. 地理分布

    在2019年上半年针对macOS用户的网络钓鱼攻击中,巴西(30.87%)、印度(22.09%)和法国(22.02%)所占比例最大,这一结果与2018年的相同。唯一的区别在于受到攻击的用户比例:卡巴斯基解决方案在巴西阻止了针对Mac用户四分之一的攻击(26.02%),在法国和印度分别是五分之一(20.86%和17.70%)。

卡巴斯基:Mac OS 用户网络威胁调查报告

表2:2018年上半年和2019年上半年,网络钓鱼攻击地理位置分布占比

3. 伪造苹果公司身份的垃圾邮件和网络钓鱼攻击

    在macOS用户面临的网络钓鱼攻击中,我们会单独关注某一类伪装成苹果官方身份的攻击。2016年,这些伪装还相对较少(75.5万次),但在2017年,这一数字增长了近40%,超过100万,一年后几乎达到150万。我们完全有理由相信,2019年将创造一个新的纪录,因为仅在今年上半年,就有160多万起攻击事件的产生,这意味着到今年年底,相较去年至少会出现两倍的增长。

卡巴斯基:Mac OS 用户网络威胁调查报告

图2:2016-2019,伪装成苹果官方的网络钓鱼攻击次数

下图是模仿苹果官方网站的钓鱼页面示例。自然,这些钓鱼攻击最常见的目的是窃取用户的苹果id。

卡巴斯基:Mac OS 用户网络威胁调查报告卡巴斯基:Mac OS 用户网络威胁调查报告

图3:仿苹果官方网站的钓鱼网页

这些网站的链接通常通过电子邮件发送,内容是收件人受到威胁,他们的帐户将被锁定,除非点击该链接并登录以确认其个人资料中指定的信息。

卡巴斯基:Mac OS 用户网络威胁调查报告

卡巴斯基:Mac OS 用户网络威胁调查报告

图4:钓鱼电子邮件示例

    另一类邮件则是感谢用户在App Store购买Apple设备或应用程序的消息,邀请客户点击钓鱼页面的链接来了解有关产品的更多信息(或取消购买)。 受害者需要输入他们的Apple ID登录名和密码,当然,这些密码将被发送给攻击者。

4. 伪造恶意软件检测页面

    还有一种类型是伪造恶意软件感染检测通知页面,这些页面的设计各不相同,其中一些是非常高质量的,忠实地复制了苹果官方网站的设计,通过诱导用户安装“杀毒软件”来让用户感染上真正的恶意软件。

卡巴斯基:Mac OS 用户网络威胁调查报告

图5:钓鱼网页,伪造成恶意软件检测页面

二、恶意或潜在恶意程序

    在撰写本文时,我们的数据库中包含了206,759个针对macOS的恶意或潜在恶意程序,每年的增长情况如下图所示。

卡巴斯基:Mac OS 用户网络威胁调查报告

图6:2004-2019年针对macOS的恶意或潜在恶意程序

    从图中可以看出,截至2011年,每年检测到的恶意文件数量还算是微不足道的,但随后情况发生了变化:从2012年开始,文件数量开始逐年增加一倍。然而到了今年情况又有所变化,在2019年上半年,仅检测到38,677个恶意或潜在恶意程序,这意味着今年的增幅可能不会超过去年。

    为了确定近年来受恶意软件攻击的macOS用户数量的变化,我们检查了从2012年(数据首次系统化的时间)到现在的统计数据。与上图中的情况非常相似,您可以看到2012年至2017年间遭受攻击的用户数量急剧增加。

卡巴斯基:Mac OS 用户网络威胁调查报告

图7:2012年至2019年6月,受恶意软件攻击的macOS用户数量

下图粗略估计了恶意或潜在恶意软件对macOS用户每年的攻击次数。

卡巴斯基:Mac OS 用户网络威胁调查报告

图8:2012年至2019年6月,恶意或潜在恶意软件对macOS用户的攻击次数

上图清楚地显示2018年发生的攻击次数增加,而2019年的数据(前5个月的1,820,578次攻击)表明今年的攻击次数将降低。

1. 地理分布

    为了了解macOS威胁的地理分布,并确定现在更有可能受到恶意软件攻击的区域,我们根据受攻击的唯一用户的比例编制了国家/地区的比例。下表是2018、2019年上半年各国家/地区的受攻击比例。

卡巴斯基:Mac OS 用户网络威胁调查报告

    2018年至2019年前三个国家保持不变:美国排名第一(24.4%),德国排名第二(14.6%),法国排名第三(12.4%)。

2019年威胁情况

    以下是我们在2019年上半年观察到的macOS的前十大威胁:

卡巴斯基:Mac OS 用户网络威胁调查报告

    除了首次出现的Shlayer木马(稍后说明),前十名中的其余部分都是广告软件,广告软件的目标是在系统通知、网页横幅、搜索结果页面、浏览器等中挂上广告污染你的眼球。虽然不会主动伤害用户,但不会在用户使用时带来良好的体验。

卡巴斯基:Mac OS 用户网络威胁调查报告

图8:安装的某些广告软件示例

    具体来说,AdWare.OSX.Bnodlero家族更喜欢使用浏览器:此软件会安装广告拓展,并更改默认搜索引擎和主页,此外还可以下载和安装额外的广告软件。

    AdWare.OSX.Pirrit家族中的一些要更进一步,除了上述功能,还会在计算机上安装代理服务器以拦截来自浏览器的流量。Agent.b家族与之非常相似。当不忙于下载,解压和启动文件时,Agent.b会将带有广告的JS代码注入网页中。

    还有AdWare.OSX.Cimpli家族。乍一看它与其他广告软件没有什么不同,但是它的表现得更加狡猾,并且如果它们在macOS中检测到有安全解决方案的话,则会转成不活动状态。

卡巴斯基:Mac OS 用户网络威胁调查报告

图9:AdWare.OSX.Cimpli样本转成不活动状态

    当用户卸载安全产品后,AdWare.OSX.Cimpli又会醒来开始工作。

    Trojan-Downloader.OSX.Shlayer系列则是下载和安装各种广告软件,主要都是来自Bnodlero家族(这也是Bnodlero排名第二的原因之一)。Shlayer分布广泛,如果你搜索可以免费观看或下载流行电影电视剧的网站,那么排名前几的搜索结果中都很可能要求你更新Flash Player后才能查看内容,这些更新中就包含了Shlayer。

卡巴斯基:Mac OS 用户网络威胁调查报告

图10:此页的链接带有Shlayer

    请注意,这种在查询的搜索结果中将链接推送到恶意页面的技术也被其他恶意软件的分发者使用。不久前就有不少《权力的游戏》和其他热门电视剧粉丝遭受过这种攻击。

卡巴斯基:Mac OS 用户网络威胁调查报告

图11:诱导用户更新Flash Player来下载恶意软件

    从技术角度来看,Shlayer并不特别。它的主要可执行文件是一个Bash脚本,只包含四行代码。它所做的就是解密并运行它带来的另一个文件,然后下载,解密和执行另一个文件。最后,此恶意软件会嵌套安装了几个广告软件,将它们隐藏,并在启动时注册运行。

卡巴斯基:Mac OS 用户网络威胁调查报告

图12:Shlayer木马的主要可执行文件只是嵌套的外层

    我们在今年上半年遇到的另外两个恶意软件系列是Trojan.OSX.Spynion和Trojan-Downloader.OSX.Vidsler。两者都远不像Shlayer那样受欢迎,只有不到百分之一的用户遇到过。然而,它们每个都有各自欺骗用户的方法,两者都值得关注。

    Trojan.OSX.Spynion木马与几个免费的macOS应用程序一起发布,主要来自MacUpdate,VersionTracker和Softpedia等网站。当应用程序安装在受害者的计算机上时,会下载并安装恶意组件。Spynion的主要目标是监控网络上的用户活动,并将截获的机密数据传输到攻击者的服务器。该木马还具有后门功能,即它允许攻击者远程连接到用户的macOS。

    Trojan-Downloader.OSX.Vidsler是通过横幅广告链接发布的,这次是要求用户更新视频编解码器或下载新版本的视频播放器。在功能方面,Vidsler与Shlayer类似:下载、安装和运行其他软件(通常来自FkCodec AdWare家族)。

    最后,我们本应该要指出几个危险程度最高的木马。比如Trojan-Ransom.OSX.KeRanger勒索软件木马能加密驱动器上的所有用户文件,并要求赎金来解密,众所周知,该恶意软件是通过Transmission torrent客户端的官方网站发布的;另一个例子是Trojan-Spy.OSX.Ventir木马,它具有复杂的模块化架构,不仅包含远程访问受害者macOS的后门,还包含一个键盘记录器。幸运的是,它们在野都并不常见。

MacOS和有针对性的攻击

    关于macOS威胁的统计数据提供了相当有说服力的证据,说明这个操作系统的完全安全性不过如此。而且在过去的几年里,我们至少8次看到了专门为MacBook、iPhone或其他苹果设备设计的恶意软件。

    由于Apple的防病毒软件政策的性质,卡巴斯基产品线不包含iOS安全解决方案。我们也没有关于此操作系统的威胁的统计信息。但是,除了针对Android的恶意软件,卡巴斯基的研究人员也遇到了针对iOS的恶意植入。

    接下来,我们将概述在2018年和2019年间,针对macOS和iOS平台的一些值得注意的攻击。

· 适用于iOS的Skygofree植入程序(2018年1月)

我们在发现Skygofree Android植入后不久也发现了其iOS植入程序,是在对Skygofree基础设施进行分析后发现的,由iOS的几个配置文件(MobileConfig)组成,用于在MDM服务器上注册设备。

· Sofacy XAgent(2018年3月)

Sofacy是最专业的网络间谍组织之一,该组织使用的工具之一是XAgent,它是一组共享公共代码库的恶意软件,每个样本都经过单独修改以感染特定的操作系统,包括macOS和iOS。但是,最新检测到的iOS恶意软件版本可追溯到2014年底和2015年初。这可能意味着网络犯罪分子(至少暂时)对iPhone和iPad失去了兴趣。

· Bahamut相关植入程序,适用于iOS和Windows(2018年7月)

在研究Skygofree的iOS版本时发现的,它利用Intrepidus团队对苹果MDM系统的研究结果来攻击iOS设备。我们已经发现了几台可能属于Bahamut组织的服务器,自2017年以来一直处于活动状态。

· AppleJeus行动(2018年8月)

在调查Lazarus组织对加密货币兑换服务的攻击时,我们发现攻击者通过链接到恶意macOS加密货币交易应用程序向潜在受害者发送消息。

· ThreatNeedle和Manuscrypt(2018年10月)

在2018年,我们还发现Lazarus组织专门使用的另一种恶意软件——Manuscrypt。此恶意软件与之前的行动中的样本明显不同,因此我们给它们一个新名称:ThreatNeedle。

· Windtail(2018年12月)

Dark Matter在2018年8月发布了关于Windshift组织的调查结果后不久,我们对该组织进行了自己的调查,注意到了一个名为Windtail的macOS恶意软件。

· 来自Lazarus的新macOS恶意软件(2019年1月)

AppleJeus运营六个月后,我们发现新的Lazarus活动表现出类似的特征:金融行业的公司遭到重创,并且在攻击期间再次使用了以前未知的macOS恶意软件。

· 来自FinSpy的新iOS植入版本(2019年中)

2018年底,我们在野发现了一个新版本的FinSpy iOS植入程序,由著名的间谍软件开发商FinSpy Mobile开发。

结论

        MacOS恶意软件从2004年发展至今已经超过数十万种,然而爆炸式增长的时代似乎已经过去,网络犯罪活动也在减少。与Windows用户相比,macbook和iMacs的用户从未被认为是优先攻击目标,因为Windows用户的数量要多得多,攻击后者总是更有利可图。此外,Windows存在大量已知和不太知名的漏洞,再加上Windows用户往往不定期安装更新,使得网络罪犯更容易、更方便地感染Windows系统。

虽然MacBook和iMac用户收到的广告越来越烦人,但在大多数情况下,广告相对无害。相比之下,为macOS创建完整的恶意软件则要复杂得多,成本也高得多。造成这种情况的原因是潜在受害者较少以及苹果公司为保护其客户所做的努力。

    网络钓鱼和利用社交软件诈骗现在也在上升,是另一个低成本威胁的例子。攻击者主要针对用户的Apple id, id是用户访问苹果设备的关键,而且相对容易变现。攻击者可以卖给其他人。也许这类数据的盗窃现在是macOS用户面临的最危险的威胁,此外,我们的统计数据显示,这种类型的攻击很可能在不久的将来上升。

    另一种极其危险(但也是极其罕见)的威胁是针对macOS和iOS用户(主要是业务用户)的目标攻击。一些知名的网络犯罪组织目前正在为这些操作系统开发恶意软件,但随机用户成为此类程序目标的可能性极小。然而,如果你在一家金融机构工作,比如银行,而你的MacBook或iPhone是公司设备,那么你成为目标的几率就会大大增加。在这种情况下,我们建议您寻找一个可靠的安全解决方案。我们预计在2019年至2020年间,针对macOS和iOS设备的针对性攻击数量将会增加。

为确保您的设备在MacOS上安全,卡巴斯基建议:

尽量保持macOS和所有应用程序的最新状态;

仅使用合法软件,从官方网页下载或从Mac App Store安装;

开始使用可靠的安全解决方案,如卡巴斯基互联网安全解决方案,可在Mac以及PC和移动设备上提供高级保护;

仅从Appstore等官方资源下载并安装应用程序;

如果您需要访问iCloud,例如在丢失时找到您的手机,请仅使用官方网站。

为降低企业MacOS用户的风险,卡巴斯基建议公司采取以下措施:

为员工实施安全意识培训,解释如何识别和避免潜在的恶意应用程序或文件。例如,员工不应从不受信任或未知来源下载和启动任何应用程序或程序;

使用专门针对MacOS和iOS保护的安全产品。

推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室