开学日即将到来，新一轮网络威胁攻击正在酝酿

威胁与攻击汇总小节 截至八月第二周

恭喜有娃的读者们！暑假快要结束了。世界各地的孩子们正准备返回学校。

随之而来将是成千上万的全新智能手机和笔记本电脑连接到校园网络。本周的统计数字继续反映了之前数周所见证的趋势....随着孩子们和年轻人重返课堂，我们很可能会检测到恶意软件的集中大量爆发。

我们的预期表明，您看到针对Microsoft Office文件的网络威胁、恶意Javascript、以及通过从Bittorrent等来源获得的盗版或被盗软件传播的恶意软件数量急剧上升。我们还有可能在未来数周内看到Android恶意软件引发的大规模攻击。

花几分钟向学生和教职员工简短介绍这些类型的威胁可能带来的风险，这样可以阻止网络攻击大规模爆发，以免造成重大损失。

恶意软件活动

• Locky攻击活动瞄准办公环境

据另一家知名网络安全供应商报道，本周他们发现基于Microsoft Word的‘宏’病毒正被用于传播Locky勒索软件。本简报的定期读者应该知道这种现象已经持续了很长一段时间。FortiGuard Labs 连续数周一直在监控基于Office的Locky勒索软件传播情况。我们希望继续进行监控，因为Office很容易成为网络罪犯的攻击目标。向您的员工和同事讲解盲目信任基于‘宏’的Office内容可能导致的风险：可能正是您的建议阻止了勒索软件在您的环境内部获得落脚点。

• Nemucod变体攻击减速

Nemucod很长时间以来一直在不断改头换面，最近几个月有充分的理由让人相信它会出现在排行榜前列。三种Nemucod变体本周确实出现在排行榜前十之列，但是这三种变体的攻击次数均不及我们见过的Agent变体的10%。据称网络罪犯发现收益萎缩之后已经转换了攻击向量。话虽如此，到发稿时为止我们的系统检测到的Nemucod攻击次数远高于预期的平均值。准确的说法是：我们将在未来数周内看到Nemucod强势回归。

• Android恶意软件突然涌现

在这个勒索软件攻击肆意横行的时代，我们通常不会看到大量的Android恶意软件。本周我们发现一款Android恶意软件变体，Android/Qysly.S!tr，只是与排行榜前五的位置擦肩而过。Qysly作为一种木马程序可以完成很多任务（根据其变体而定）：可能记录您的键盘敲击情况、盗用您的凭证、发送文本信息、以及暗中拨打吸费电话。

应用程序漏洞/入侵防护系统（IPS）

• Netis路由器后门漏洞探测次数大幅减少

上周我们曾经检测到约30亿次的攻击事件，而本周似乎已经大幅下降，只有不到10亿次的攻击试图寻找存在漏洞的Netis设备。我们经常发现扫描工具利用偷来的基于云的凭证（例如 AWS）对IP地址范围进行大规模扫描—可能这些使用AWS等服务的自动扫描工具已经开始被压制。正如我们前面提到的，攻击者可能在未来几年里继续扫描网络，查找存在此类后门漏洞的设备并将其转化为僵尸网络阵营中的成员。我们怀疑此次巨量的扫描活动将在未来数周内开始减弱为少量但稳定的后台活动。

• Bash RCE激增

我们在上周末检测到Bash.Function.Definitions.Remote.Code.Execution攻击次数激增了10倍，虽然这样的规模比起排行榜中的其他攻击类型有点小。该IPS签名已发布，用于解决Bash中的CVE-2014-6271漏洞，Bash是Unix和类似于Unix系统中安装最多的实用程序之一。

网页过滤

• Bayrob C&C槽洞化

“槽洞”是网络安全公司和/或执法机构采用的一种技巧，可以将恶意站点的流量重新定向到一个处于“善意”拥有者控制下的网站。我们检测到W32/Bayrob使用网站christinecristiansen.net作为C&C服务器。该网站在最近几个月内被另一家网络安全供应商接管，但事情没有结束--我们仍然发现到该站点的连接尝试，尤其七月下旬的尝试次数激增。我们发现每天有多达30,000次的连接尝试。

• Vawtrak DGA域名出现

FortiGuard Labs认定网站ubmfotihexo.ru作为域名生成算法（DGA）站点在八月上旬被Vawtrak利用。我们检测到此类活动次数急速增加，然后在几天之内很快下降到几乎为零。恶意软件/机器人程序作者极其快速地在许多域名之间翻腾，希望比防病毒供应商和其他网络安全公司领先一步。URL过滤应该仅仅作为深度安全战略中的一种防御措施，因为恶意软件作者通常会在攻击抵达您的基础设施之前就已经转移到一个或一组新的域。