*不包括卡巴斯基实验室产品用户相对较少的国家(50,000以下)。
**其计算机遭到恶意挖矿软件攻击的卡巴斯基实验室唯一用户占该国家所有卡巴斯基实验室产品唯一用户的百分比。
在2018年第二季度,我们再次观察到最常遭到攻击的平台分布上的一些重大变化。Microsoft Office 漏洞利用的比例(67%)相比第一季度增加了一倍,如果与2017年的平均值相比,则是四倍。这种急剧增长主要是由于包含漏洞利用(CVE-2017-11882)的垃圾邮件的大规模传播导致的。存在于旧版本的公式编辑器组件中的该栈溢出漏洞影响了过去18年来发布的每一个Office 版本。该漏洞利用可在Office软件包和Windows的所有可能组合中稳定生效。另一方面,它还允许攻击者使用各种混淆技术来绕过保护措施。这两个因素使得该漏洞利用成为第二季度网络犯罪分子手中最受欢迎的工具。其他 Office漏洞利用的比例与第一季度相比则没有发生大的变化。
第二季度KSN的统计数据还显示,越来越多的AdobeFlash漏洞通过MicrosoftOffice被利用。尽管Adobe和微软努力阻止对FlashPlayer 的漏洞利用,但新的零日漏洞CVE-2018-5002在第二季度被发现。该漏洞利用通过XLSX文件传播,并使用了一个鲜为人知的技术来远程下载漏洞利用而不是直接在文件中包含该漏洞利用。与其他多种文件格式一样,SWF文件以OLE对象的格式在Office文档中呈现。该OLE对象包含实际的文件和属性列表,其中一个属性指向SWF文件的路径。漏洞利用中的OLE对象并没有包含SWF文件,但只包含了一个属性的列表,包括指向SWF文件的web链接,这会强制Office 从该远程链接中下载缺失的文件。
网络犯罪分子使用的漏洞利用针对的应用程序的类型分布,2018年第二季度
在2018年3月下旬,在 VirusTotal上检测到一个包含两个零日漏洞的PDF文档: CVE-2018-4990和CVE-2018-8120 。前者允许通过利用AcrobatReader中的JPEG2000格式图像处理器中的软件错误从 JavaScript执行shellcode。后者存在于win32k 函数SetImeInfoEx中 ,用于进一步提权到SYSTEM级别,并使该PDF阅读器能够逃离沙箱。对该文档的分析和我们的统计数据显示,在上传到 VirusTotal时,此漏洞利用尚处于开发阶段,并未用于野外攻击。
4月下旬,卡巴斯基实验室专家利用沙箱在InternetExplorer中发现了零日漏洞 CVE-2018-8174,并向微软报告。对此漏洞的利用使用了与CVE-2017-0199 相关联的技术(通过特制的OLE对象从远程源启动HTA脚本),以便在MicrosoftOffice 的帮助下利用易受攻击的InternetExplorer组件。我们观察到漏洞利用程序包的创建者已经集成了这个漏洞并通过网站和包含恶意文档的电子邮件主动分发该漏洞利用。
还是在第二季度,我们观察到网络攻击的数量不断增长。利用MS17-010漏洞利用的攻击尝试越来越多;它构成了我们检测到的网络攻击的大多数。
通过网络资源发起的攻击本章中的统计信息是基于Web反病毒产品,它可以在恶意对象从恶意/受感染的网页下载时保护用户。恶意网站是由网络犯罪分子专门创建的;包含用户创建内容的Web资源(例如论坛)以及被黑客入侵的合法资源可能会被感染。
在线资源被植入恶意软件的排名前十大的国家/地区以下统计信息是基于攻击中使用的在线资源(包含恶意重定向的网页、包含漏洞利用以及恶意软件的网站、僵尸网络C&C服务器,等等)的物理位置,这些攻击被我们的防病毒组件所阻止。任何唯一的主机都可能是一个或多个网络攻击的来源。为了确定网络攻击来源的地理分布,我们将其域名与其实际域IP地址进行匹配,然后建立一个特定IP的地理位置库(GEOIP)。