威胁情报态势报告-哈勃-腾讯.PDFVIP

腾讯反病毒实验室 哈勃分析系统 威胁情报态势报告 ——年终总结 报告编号：2016 第 7 期 发布时间：2017 年 1 月 目录 一、 报告概述 1 1． 关于我们 1 2． 关于本报告 1 二、 木马数据概述2 1． 敲诈者类木马概述2 1.1 敲诈者木马趋势2 1.2 敲诈者木马区别于普通木马的特性3 1.3 新增敲诈者木马家族3 2． 热点事件木马概述5 2.1 色播类木马爆发6 2.2 广告类木马趋势8 2.3 Fake 类木马危害性变大8 3． 脚本病毒概述9 3.1 宏病毒 10 3.2 HTA 木马 10 3.3 CHM 木马 11 3.4 Java Applet 木马 11 三、 总结与建议 12 一、报告概述 威胁情报，指的是对计算机系统（包括但不限于大型机、服务站、个人电脑、手机等移 动设备、嵌入式设备等）中，可能对使用者产生威胁的程序、数据、流量等，进行感知、识 别、提取、汇总后归纳而成的情报。 随着恶意产业的不断发展，在传统的基于恶意代码和特征的打击方式之外，基于威胁情 报的恶意威胁检测和防御的方法正在兴起，并成为近几年的热门方向。 在这个背景下，腾讯反病毒实验室哈勃分析系统推出“威胁情报态势报告”系列报告， 目的是在安全行业内交流我们对于威胁情报的认识，分享我们对于威胁情报的利用方法，同 时曝光恶意木马作恶手法和恶意产业资源，携手各安全厂商共同开展打击。 1．关于我们 腾讯反病毒实验室是腾讯旗下的安全特色团队，从“自研引擎能力、哈勃分析系统、 APT 前沿技术分析”等多个角度入手，通过建立“安全查杀能力、热点快速响应能力及病 毒样本分析”等全面、系统、一体化的防护措施，为腾讯安全实力进一步提供了强大技术支 撑。独立开发的杀毒引擎以及云引擎已经获得了VB100 、AV-C、西海岸、AV-TEST 等多家 国际著名评测机构认证，并且已被用于腾讯电脑管家和手机管家等安全产品之中。 哈勃分析系统是腾讯反病毒实验室依托多年技术积累自主研发的一套样本安全检测系 统，支持对Windows 程序、安卓应用、文档、脚本等文件类型的分析检测。哈勃系统采用 虚拟运行环境，在该环境中使用行为激发系统诱使样本运行出与真实环境一致的动态行为， 并且对其执行过程进行完整捕获。通过重点监控其中的高可疑异常行为，同时结合行为判定、 静态特征判定、大数据学习引擎判定等多种手段，哈勃系统可以有效地识别出恶意样本。哈 勃分析系统拥有调度灵活的大规模分析集群，实现了千万级的样本日吞吐量，可以对海量样 本进行高效的筛选和识别。 2．关于本报告 本报告是哈勃分析系统发布的第7 期威胁情报态势报告，子主题是“年终总结”。 依托于海量样本吞吐处理能力，哈勃分析系统当前每日会对真实环境中捕获到的大量样 本进行自动化分析，并且根据样本的动态行为特点，对恶意样本进行筛选、判定和分类。对 于同一家族的恶意样本而言，其在虚拟环境中运行时表现出的动态行为会存在比较高的一致 性和趋同性，因此动态行为是对这些样本进行类别、家族划分的一个重要且有效的手段。 哈勃分析系统在2016 全年系统自动捕获的样本威胁情报中，整理并挑选了一些真实环 境中出现比较频繁、影响范围比较广泛的木马，并对它们的动态行为进行了总结和分析。 1 二、木马数据概述 1．敲诈者类木马概述 2016 年最具危害性的木马之一无疑是敲诈者木马，敲诈者木马会利用