卡巴斯基 - 2018年Q3 IT威胁演变的统计分析

本报告中的统计数据是基于卡巴斯基用户自愿共享的检测数据。

一、第三季度相关数字

根据卡巴斯基安全网络（ KSN ）：

·         卡巴斯基安全解决方案共阻止了来自全球 203 个国家 / 地区的在线资源发起的 947,027,517 次攻击。

·         卡巴斯基的 Web 反病毒组件共识别出 246,695,333 个唯一恶意 URL 。

·         在 305,315 个用户的计算机上发现了针对在线银行账户的恶意软件感染

·         共有 259,867 个不同的用户遭到勒索软件攻击

·         我们的文件反病毒系统记录了 239,177,356 个不同的恶意或潜在有害的样本

·         卡巴斯基的移动安全解决方案共检测到：

o    1,305,015 个恶意安装包

o    55,101 个移动银行木马恶意安装包

o    13,075 个移动勒索软件木马安装包

二、移动威胁

2.1 、 Q3 相关事件

本季度最大的新闻或许是银行木马 Trojan-Banker.AndroidOS.Asacub 。该木马的恶意活动在 9 月份达到了顶峰，超过 25 万个不同的用户遭到攻击 – 这还只是安装了卡巴斯基产品的用户的统计数据。

2017 年到 2018 年遭到移动银行木马 Asacub 攻击的用户数量

到目前为止，在我们观察到的移动威胁之中，银行木马 Asacub 的攻击规模是最大的。该木马的版本号是连续的，这意味着同一个攻击者发起了这些攻击。统计所有受影响的用户的数量不太可能，但这种大规模的恶意活动至少需要感染上万的用户才能获利。

2.2 、移动威胁的统计分析

在 2018 年第三季度，卡巴斯基实验室共检测到 1,305,015 个恶意安装包，比上一季度减少了 439,229 个。

2017 Q3 –2018 Q3 ，恶意安装包的数量

2.2.1 、恶意移动 app 的类型分布

在 2018 年 Q3 检测到的所有威胁当中，潜在有害的灰色软件（ RiskTool ）的份额最大（ 52.05% ）；与上一季度相比，下降了 3.3 个百分点。 RiskTool.AndroidOS.SMSreg 家族的成员居功至伟。

2018 年 Q2-Q3 ，恶意移动 app 的类型分布

第二名是 Trojan-Dropper ，占 22.57% ，与上一季度相比增长了 9 个百分点。这类恶意文件大多属于 Trojan-Dropper.AndroidOS.Piom 、 Trojan-Dropper.AndroidOS.Wapnor 和 Trojan-Dropper.AndroidOS.Hqwar 家族。

广告 app 的份额继续下降，占 6.44% （ 2018 年 Q2 是 8.91% ）。

统计数据表明针对财务信息的移动威胁在 2018 年数量不断增长（移动银行木马在 Q1 的份额是 1.5% ，到了 Q3 增长到了 4.38% ）。

移动恶意软件 TOP 20

	Verdicts*	%**
1	DangerousObject.Multi.Generic	55.85
2	Trojan.AndroidOS.Boogr.gsh	11.39
3	Trojan-Banker.AndroidOS.Asacub.a	5.28
4	Trojan-Banker.AndroidOS.Asacub.snt	5.10
5	Trojan.AndroidOS.Piom.toe	3.23
6	Trojan.AndroidOS.Dvmap.a	3.12
7	Trojan.AndroidOS.Triada.dl	3.09
8	Trojan-Dropper.AndroidOS.Tiny.d	2.88
9	Trojan-Dropper.AndroidOS.Lezok.p	2.78
10	Trojan.AndroidOS.Agent.rt	2,74
11	Trojan-Banker.AndroidOS.Asacub.ci	2.62
12	Trojan-Banker.AndroidOS.Asacub.cg	2.51
13	Trojan-Banker.AndroidOS.Asacub.ce	2.29
14	Trojan-Dropper.AndroidOS.Agent.ii	1,77
15	Trojan-Dropper.AndroidOS.Hqwar.bb	1.75
16	Trojan.AndroidOS.Agent.pac	1.61
17	Trojan-Dropper.AndroidOS.Hqwar.ba	1.59
18	Exploit.AndroidOS.Lotoor.be	1.55
19	Trojan.AndroidOS.Piom.uwp	1.48
20	Trojan.AndroidOS.Piom.udo	1.36

* 该排名并未包含任何潜在有害的程序，如灰色软件或广告软件
** 遭受该恶意软件攻击的唯一用户数占所有遭受攻击的卡巴斯基移动用户数量的比例

第一名又一次花落 DangerousObject.Multi.Generic （ 55.85% ）。

第二名是 Trojan.AndroidOS.Boogr.gsh （ 11.39% ）。

第三名和第四名都是移动银行木马 Asacub 家族的代表 – Trojan-Banker.AndroidOS.Asacub.a （ 5.28% ）和 Trojan-Banker.AndroidOS.Asacub.snt （ 5.10% ）。

2.2.2 、移动威胁的地理分布

2018 年 Q3 ，移动恶意软件的感染地图

遭到移动恶意软件攻击的用户比例较高的国家排名（ Top 10 ）：

	国家 *	%**
1	孟加拉	35.91
2	尼日利亚	28.54
3	伊朗	28.07
4	坦桑尼亚	28.03
5	中国	25.61
6	印度	25.25
7	巴基斯坦	25.08
8	印度尼西亚	25.02
9	菲律宾	23.07
10	阿尔及利亚	22.88

* 该排名不包括卡巴斯基移动反病毒软件用户相对较少的国家（少于 1 万）
** 该国家遭到攻击的唯一用户占该国家所有卡巴斯基移动反病毒软件用户的百分比

在 2018 年第三季度，孟加拉国（ 35.91% ）仍然是移动用户受攻击比例排行榜的榜首。尼日利亚（ 28.54% ）排在第二。第三和第四分别是伊朗（ 28.07% ）和坦桑尼亚（ 28.03% ）。

2.3 、移动银行木马

在报告期内，我们共检测到 55,101 个移动银行木马安装包，比 2018 年 Q2 减少了约 6000 个。

最大的贡献来自于银行木马 Trojan-Banker.AndroidOS.Hqwar.jck 家族 – 占检测到的所有银行木马的 35% 。其次是 Trojan-Banker.AndroidOS.Asacub ，占 29% 。

2017 Q3-2018 Q3 ，卡巴斯基检测到的移动银行木马安装包数量

	Verdicts	%*
1	Trojan-Banker.AndroidOS.Asacub.a	33.27
2	Trojan-Banker.AndroidOS.Asacub.snt	32.16
3	Trojan-Banker.AndroidOS.Asacub.ci	16.51
4	Trojan-Banker.AndroidOS.Asacub.cg	15.84
5	Trojan-Banker.AndroidOS.Asacub.ce	14.46
6	Trojan-Banker.AndroidOS.Asacub.cd	6.66
7	Trojan-Banker.AndroidOS.Svpeng.q	3.25
8	Trojan-Banker.AndroidOS.Asacub.cf	2.07
9	Trojan-Banker.AndroidOS.Asacub.bz	1.68
10	Trojan-Banker.AndroidOS.Asacub.bw	1.68

* 遭受该恶意软件攻击的唯一用户数占所有遭受银行木马攻击的卡巴斯基移动用户数量的比例

在 2018 年第三季度，移动银行木马的 TOP 10 几乎都是 Trojan-Banker.AndroidOS.Asacub 的变种（前十之中占了九席）。

2018 年 Q3 ，移动银行威胁的地理分布

遭到移动银行木马攻击的用户比例较高的国家排名（ Top 10 ）：

	国家 *	%**
1	俄罗斯	2.18
2	南非	2.16
3	马来西亚	0.53
4	乌克兰	0.41
5	澳大利亚	0.39
6	中国	0.35
7	韩国	0.33
8	塔吉克斯坦	0.30
9	美国	0.27
10	波兰	0.25

* 该排名不包括卡巴斯基移动反病毒软件用户相对较少的国家（少于 1 万） ** 该国家遭到移动银行木马攻击的唯一用户数占该国家所有卡巴斯基移动反病毒软件用户的百分比

在 2018 年第三季度，由于银行木马 Asacub 的活跃，俄罗斯排在遭受银行木马攻击的移动用户比例 Top 10 国家的榜首。上一季度的第一名 USA 本季度掉到了第九（ 0.27% ）。本季度的第二和第三分别是南非（ 2.16% ）和马来西亚（ 0.53% ）。

2.4 、移动勒索软件木马

在 2018 年第三季度，我们共检测到  13,075 个移动勒索软件木马安装包，比第二季度减少了 1044 个。

2017 Q3-2018 Q3 ，卡巴斯基实验室检测到的移动勒索软件木马安装包的数量  

	Verdicts	%*
1	Trojan-Ransom.AndroidOS.Svpeng.ag	47.79
2	Trojan-Ransom.AndroidOS.Svpeng.ah	26.55
3	Trojan-Ransom.AndroidOS.Zebt.a	6.71
4	Trojan-Ransom.AndroidOS.Fusob.h	6.23
5	Trojan-Ransom.AndroidOS.Rkor.g	5.50
6	Trojan-Ransom.AndroidOS.Svpeng.snt	3.38
7	Trojan-Ransom.AndroidOS.Svpeng.ab	2.15
8	Trojan-Ransom.AndroidOS.Egat.d	1.94
9	Trojan-Ransom.AndroidOS.Small.as	1.43
10	Trojan-Ransom.AndroidOS.Small.cj	1.23

* 遭受该恶意软件攻击的唯一用户数占所有遭受勒索软件木马攻击的卡巴斯基移动用户数量的比例

在 2018 年第三季度，传播最广泛的移动勒索软件是 Svpeng 家族 – Trojan-Ransom.AndroidOS.Svpeng.ag （ 47.79% ）和 Trojan-Ransom.AndroidOS.Svpeng.ah （ 26.55% ）。这两个代表加起来占本季度所有移动勒索软件木马攻击的四分之三。一度很流行的 Zebt 家族和 Fusob 家族现在大幅下降，掉到了第三和第四，分别是 Trojan-Ransom.AndroidOS.Zebt.a （ 6.71% ）和 Trojan-Ransom.AndroidOS.Fusob.h （ 6.23% ）。

2018 年 Q3 ，移动勒索软件木马的地理分布

遭到移动勒索软件木马攻击的用户比例较高的国家排名（ Top 10 ）：

	国家 *	%**
1	美国	1.73
2	哈萨克斯坦	0.36
3	中国	0.14
4	意大利	0.12
5	伊朗	0.11
6	比利时	0.10
7	瑞士	0.09
8	波兰	0.09
9	墨西哥	0.09
10	罗马尼亚	0.08

* 该排名不包括卡巴斯基移动反病毒软件用户相对较少的国家（少于 1 万） ** 该国家遭到移动勒索软件木马攻击的唯一用户数占该国家所有卡巴斯基移动反病毒软件用户的百分比

与第二季度一样，第一名是美国（ 1.73% ）。哈萨克斯坦上升了一位，排在第二（ 0.6% ）。中国从第七名上升至第三名（ 0.14% ）。

三、IoT威胁

在本季度的报告中，我们决定只分析 Telnet 攻击的统计数据。原因如下表所示， Telnet 攻击占据了绝大多数的恶意软件类型，并且是最为频繁的攻击类型。

Telnet	99,4%
SSH	0,6%

2018 年 Q3 ，遭到攻击的服务分布（基于遭到攻击的不同 IP 地址的数量进行统计）

3.1 、 Telnet 攻击

2018 年 Q3 ，遭到攻击的设备 IP 地址的地理分布（基于卡巴斯基的蜜罐数据）

攻击来源国家的 Top 10 （基于卡巴斯基的蜜罐数据）：

	国家 / 地区	%*
1	中国	27.15%
2	巴西	10.57%
3	俄罗斯	7.87%
4	埃及	7.43%
5	美国	4.47%
6	韩国	3.57%
7	印度	2.59%
8	中国台湾	2.17%
9	土耳其	1.82%
10	意大利	1.75%

* 每个国家 / 地区的受感染设备占全球用于发起 Telnet 攻击的 IoT 设备数量的百分比

根据卡巴斯基实验室的蜜罐数据， 2018 年第三季度攻击来源国家排行榜（基于唯一 IP 地址的数量统计）的第一名是中国（ 23.15% ）。第二季度的冠军巴西本季度排在第二（ 10.57% ）。第三名是俄罗斯（ 7.87% ）。

在 Telnet 攻击中最常被下载的恶意软件是 Downloader.Linux.NyaDrop.b （ 62.24% ）。该恶意软件相当令人印象深刻，它包含一段 shell code ，可以从刚刚的攻击来源计算机上下载其它恶意软件，而且不调用任何其它工具 – 它所有的行为都通过系统调用进行。换句话说， NyaDrop 就是那种全能士兵，它可以无视环境自行完成任务。

下载 NyaDrop 最多的是木马家族 Backdoor.Linux.Hajime ，因为 Hajime 可以将 NyaDrop 当作一个十分好使的自我传播手段。该流程十分有意思：

1.    成功感染设备后， Hajime 会扫描网络，以期发现新的受害者。

2.    一旦发现合适的目标，就会向该设备下载一个轻量级 NyaDrop （只有 480 个字节）

3.    NyaDrop 再回头联系感染源，慢慢下载 Hajime （这货比较大）

所有的步骤都是必须的，因为虽然通过 Telnet 执行命令不难，但通过 Telnet 下载文件却是一个相当大的挑战。例如，下面是创建 NyaDrop 文件时的命令：

echo -ne "x7fx45x4cx46x01x01x01x00x00

可以通过这种方式发送 480 个字节，但显然发送 60KB 的内容有些困难。

在 Telnet 攻击中下载最多的恶意软件（ Top 10 ）：

	Verdicts	%*
1	Trojan-Downloader.Linux.NyaDrop.b	62.24%
2	Backdoor.Linux.Mirai.ba	16.31%
3	Backdoor.Linux.Mirai.b	12.01%
4	Trojan-Downloader.Shell.Agent.p	1.53%
5	Backdoor.Linux.Mirai.c	1.33%
6	Backdoor.Linux.Gafgyt.ay	1.15%
7	Backdoor.Linux.Mirai.au	0.83%
8	Backdoor.Linux.Gafgyt.bj	0.61%
9	Trojan-Downloader.Linux.Mirai.d	0.51%
10	Backdoor.Linux.Mirai.bj	0.37%

* Telnet 攻击中下载至 IoT 设备上的每一种恶意软件的占比

该排名与上一季度变化不大： Top 10 中的五个席位都被 Mirai 的不同变体所占据。看起来迄今为止 Mirai 仍然是传播最为广泛的 IoT 恶意软件。

四、金融威胁

4.1 、 Q3 相关事件

Q2 发现的新银行木马 DanaBot 在 Q3 继续迅猛发展。新变体不仅包含新的 C&C 通信协议，而且扩大了攻击目标列表。该木马在 Q2 主要针对澳大利亚和波兰，但在 Q3 开始针对奥地利、德国和意大利的企业。

简要回顾一下， DanaBot 具有模块化的结构，可以加载许多模块，包括用于拦截流量和窃取密码以及加密货币钱包的模块等。该木马主要通过包含恶意 office 文档的垃圾邮件传播。

4.2 、金融威胁的统计分析

在 2018 年第三季度，卡巴斯基安全解决方案共帮助 305,315 个用户阻止了针对在线银行账户的恶意软件感染企图。

2018 年 Q3 ，遭到金融恶意软件攻击的唯一用户数量

4.2.1 、攻击的地理分布

为了评估和比较全球范围内的银行木马和 ATM/POS 恶意软件的感染风险，我们统计了报告期内各个国家遭到此类威胁攻击的卡巴斯基用户占该国家所有卡巴斯基用户的比例。

2018 年 Q3 ，银行恶意软件攻击的地理分布

遭到银行恶意软件攻击的用户比例较高的国家排名（ Top 10 ）：

	国家 *	%**
1	德国	3.0
2	韩国	2.8
3	希腊	2.3
4	马来西亚	2.1
5	塞尔维亚	2.0
6	阿联酋	1.9
7	葡萄牙	1.9
8	立陶宛	1.9
9	印度尼西亚	1.8
10	柬埔寨	1.8

* 该排名不包括卡巴斯基用户相对较少的国家（少于 1 万） ** 该国家遭到银行恶意软件攻击的唯一用户数占该国家所有卡巴斯基用户的百分比

银行恶意软件家族排名（ Top 10 ）：

	Name	Verdicts	%*
1	Zbot	Trojan.Win32.Zbot	25.8
2	Nymaim	Trojan.Win32.Nymaim	18.4
3	SpyEye	Backdoor.Win32.SpyEye	18.1
4	RTM	Trojan-Banker.Win32.RTM	9.2
5	Emotet	Backdoor.Win32.Emotet	5.9
6	Neurevt	Trojan.Win32.Neurevt	4.7
7	Tinba	Trojan-Banker.Win32.Tinba	2.8
8	NeutrinoPOS	Trojan-Banker.Win32.NeutrinoPOS	2.4
9	Gozi	Trojan.Win32. Gozi	1.6
10	Trickster	Trojan.Win32.Trickster	1.4

* 遭受该恶意软件攻击的唯一用户数占所有遭受银行威胁攻击的卡巴斯基用户数量的比例

在 2018 年第三季度，本 Top 10 列表中出现了三个新面孔： Trojan.Win32.Trickster （ 1.4% ）、 Trojan-Banker.Win32.Tinba （ 2.8% ）和 Trojan-Banker.Win32.RTM （ 9.2% ）。其中后者因为 7 月中旬的大规模垃圾邮件活动排在第四名。

总体而言， Top 3 没什么变化，唯一的变化是 Trojan.Win32.Nymaim 从第二季度的 27% 掉到第三季度的 18.4% ，从第一名掉至第二名。

五、勒索软件（加密类木马）

5.1 、 Q3 相关事件

7 月初，卡巴斯基安全专家发现属于臭名昭著的 Rakhni 木马的一个不同寻常的新变体。不同于以往的案例，该变体引人注意的是它现在用于分发 恶意矿工 而不是勒索软件。

8 月份出现了另一个不寻常的勒索软件 KeyPass 。 KeyPass 的作者似乎为所有可能的感染场景都做好了准备 – 不管是垃圾邮件，还是漏洞利用 工具 包（ EK ），或者是针对目标系统的暴力密码破解攻击。 KeyPass 木马不仅可以运行在隐藏模式下，还可以运行在 GUI 模式下，以便攻击者可以配置加密参数。

在这一时期内，执法机构也在继续他们惯常的勒索软件对抗战争。在数年的调查之后，两名荷兰的犯罪人员因散播勒索软件 CoinVault 被判 有罪 。

5.2 、统计分析

5.2.1 、新变体的数量

第三季度新勒索软件变体的数量明显要比第二季度要少，与第一季度的数字接近。

2017 Q4-2018 Q3 ，新勒索软件变体的数量

5.2.2 、遭勒索软件攻击的用户数量

在 2018 年第三季度，卡巴斯基产品共保护了 259,867 名用户免遭勒索软件攻击。这一数字不仅与第二季度相比有所增长，而且在第三季度本身也是逐月增长的。在 9 月份我们观察到勒索软件感染企图的一个显著增长，这可能与夏季假期的结束有关。

2018 年 Q3 ，遭到勒索软件攻击的唯一用户数量

5.2.3 、攻击的地理分布

2018 年 Q3 ，勒索软件攻击的地理分布

遭到勒索软件攻击的用户比例较高的国家排名（ Top 10 ）：

	国家 *	%**
1	孟加拉	5.80
2	乌兹别克斯坦	3.77
3	尼泊尔	2.18
4	巴基斯坦	1.41
5	印度	1.27
6	印度尼西亚	1.21
7	越南	1.20
8	莫桑比克	1.06
9	中国	1.05
10	哈萨克斯坦	0.84

* 该排名不包括卡巴斯基用户相对较少的国家（少于 5 万） ** 该国家遭到勒索软件攻击的唯一用户数占该国家所有卡巴斯基用户的百分比

亚洲国家占据了该排名中的大多数席位。孟加拉国领跑（ 5.8% ），乌兹别克斯坦紧随其后（ 3.77% ），新面孔尼泊尔排在第三（ 2.18% ）。巴基斯坦（ 1.41% ）排在第四，中国（ 1.05% ）则从第六掉到第九，同时越南（ 1.20% ）也从第三掉到第七。

传播最广泛的勒索软件家族（ Top 10 ）：

	Name	Verdicts	%*
1	WannaCry	Trojan-Ransom.Win32.Wanna	28.72%
2	(generic verdict)	Trojan-Ransom.Win32.Phny	13.70%
3	GandCrab	Trojan-Ransom.Win32.GandCrypt	12.31%
4	Cryakl	Trojan-Ransom.Win32.Cryakl	9.30%
5	(generic verdict)	Trojan-Ransom.Win32.Gen	2.99%
6	(generic verdict)	Trojan-Ransom.Win32.Cryptor	2.58%
7	PolyRansom/VirLock	Virus.Win32.PolyRansom	2.33%
8	Shade	Trojan-Ransom.Win32.Shade	1,99%
9	Crysis	Trojan-Ransom.Win32.Crusis	1.70%
10	(generic verdict)	Trojan-Ransom.Win32.Encoder	1.70%

* 遭受该勒索软件家族攻击的唯一用户数占所有遭受勒索软件攻击的卡巴斯基用户数量的比例

前十名中出现了越来越多的通用样本特征（ generic verdict ），这是卡巴斯基智能情报系统自动检测的结果。 WannaCry （ 28.72% ）仍旧领跑。 GandCrab （ 12.31% ）也仍占有一席之地，本季度该勒索软件出现了两个新的版本。 Top 10 中的旧面孔还包括 PolyRansom 、 Cryakl 、 Shade 和 Crysis 。而 Cerber 和 Purgen 则掉出了本季度的前十名。

六、恶意矿工

正如我们在报告《 2016 ～ 2018 勒索软件和恶意矿工的威胁景观 》中描述的那样，勒索软件渐渐下滑，而恶意矿工正在取代它的位置。因此今年开始我们决定在季度报告中分析此类威胁（恶意矿工）的现状。同时，我们开始使用更广泛的 verdicts 来统计恶意矿工的数据，因此今年的季度报告中的数据可能与早期的报告并不一致。

6.1 、统计分析

6.1.1 、新变体的数量

在 2018 年第三季度，卡巴斯基安全解决方案共检测到 31,991 个新恶意矿工变体。

2018 年 Q3 ，新恶意矿工变体的数量

6.1.2 、遭恶意矿工攻击的用户数量

第三季度卡巴斯基产品共在全球 1,787,994 名用户的计算机中检测到恶意挖矿软件。

2018 年 Q3 ，遭到恶意矿工攻击的唯一用户数量

2018 年 9 月恶意矿工的攻击数量与 6 月份差不多，但第三季度的整体趋势是下降的。

6.1.3 、攻击的地理分布

2018 年 Q3 ，恶意矿工攻击的地理分布

遭到恶意矿工攻击的用户比例较高的国家排名（ Top 10 ）：

	国家 *	%**
1	阿富汗	16.85%
2	乌兹别克斯坦	14.23%
3	哈萨克斯坦	10.17%
4	白俄罗斯	9.73%
5	越南	8.96%
6	印度尼西亚	8.80%
7	莫桑比克	8.50%
8	乌克兰	7.60%
9	坦桑尼亚	7.51%
10	阿塞拜疆	7.13%

* 该排名不包括卡巴斯基用户相对较少的国家（少于 5 万） ** 该国家遭到恶意矿工攻击的唯一用户数占该国家所有卡巴斯基用户的百分比

七、常见攻击平台

常见攻击平台的分布与第二季度相比没什么变化。微软 Office 应用（ 70% ）仍然是遭到最多攻击的平台  – 是浏览器（排名第二的攻击平台）的 5 倍。

尽管距离 Office 公式编辑器漏洞（ CVE-2017-11882 和 CVE-2018-0802 ）的修复已经过去了很长一段时间，但这两个漏洞的 exploits 仍然是恶意垃圾邮件中最流行的选择。

针对 VBS 脚本引擎中的漏洞   CVE-2018-8373 的 exploit 也在野外被发现（该漏洞影响了 IE9 ～ 11 ，并于 8 月底被修复）。但犯罪分子对该漏洞的使用并不多，这可能是因为 IE 本身就不怎么流行，而且在最新的 Win 10 中 VBS 脚本默认一直是禁用的。

2018 年 Q3 ，犯罪分子使用的 exploits 的分布（按攻击平台进行划分）

第三季度还出现了两个非典型 0day –  CVE-2018-8414 和 CVE-2018-8440 。这两个漏洞特殊的地方在于，漏洞细节和 PoC 文件在官方补丁发布之前就向公众披露了。

关于 CVE-2018-8414 ，一篇详细地描述了如何利用 SettingContent-ms 文件来在 Windows 上执行任意代码的文章早在 6 月份就向公众发布了。一个月之后，在第三季度该漏洞的修复补丁才姗姗来迟（犯罪分子早已在积极利用该漏洞）。刚开始时，研究人员是将该漏洞报告给微软的，但微软认为这不是一个漏洞，不需要发布修复补丁。但随着犯罪分子开始积极利用这种文件分发恶意 payload ，微软才重新考虑并在 7 月 14 日发布了修复补丁。根据 KSN 的统计数据， SettingContent-ms 文件在犯罪分子之中并不是很流行，在修复补丁发布后，基本上就停止使用了。

另一个有意思的案例是 CVE-2018-8440 。和上面的情况一样，研究人员故意发布了用于重现该漏洞的所有信息，然后攻击者就开始利用该漏洞。CVE-2018-8440是一个提权漏洞，可允许攻击者提升至最高权限级别 – System 。该漏洞与 Windows 处理计划任务程序中的高级本地过程调用（ ALPC ）有关。 ALPC 中的漏洞使得攻击者可以将任意访问控制列表（ DACL ）修改成普通权限即可访问。利用该漏洞使得普通用户可以修改任意系统文件的访问权限。

八、在线威胁

本小节中的统计数据是基于卡巴斯基的 Web 反病毒系统收集的数据。该系统可在计算机从恶意 / 被感染的网页上下载恶意文件时保护用户。这些恶意网站可能是由犯罪分子创建的网站，或是受感染的 web 资源（例如包含用户自创建内容的论坛等）以及被入侵的合法资源。

8.1 、在线威胁的来源国家分布

以下统计数据是基于攻击中使用的在线资源的物理位置，这些在线资源可能包括：包含恶意重定向的网页、包含漏洞利用以及恶意软件的网站、僵尸网络 C&C 服务器等。一个主机可能是一个或多个网络攻击的威胁来源。为了确定网络攻击来源的地理分布，我们将其域名与真实 IP 地址进行配对，然后建立了 IP- 地理位置信息库（ GEOIP ）。

在 2018 年第三季度，卡巴斯基安全解决方案共阻止了全球 203 个国家的在线资源发起的  947,027,517 次攻击。我们的 Web 反病毒组件共识别出 246,695,333 个唯一恶意 URL 。

2018 年 Q3 ，网络攻击来源的国家分布

在第三季度，美国（ 52.81% ）是 web 攻击来源最多的国家。整体上来看，前四名与第二季度没有变化：美国后面分别是荷兰（ 16.26% ）、德国（ 6.94% ）和法国（ 4.4% ）。

8.2 、在线威胁的目标国家分布（用户风险最大的国家）

为了评估不同国家 / 地区的用户面临的在线感染风险，我们计算了每个国家 / 地区的卡巴斯基用户的计算机在本季度触发 Web 反病毒组件的百分比。这些数据表明了不同国家 / 地区的计算机面临的风险大小。

此排名仅包含属于恶意软件类别的攻击，不包含潜在危险 / 有害的软件的检测数据（比如说灰色软件、广告软件）。

	国家 *	%**
1	委内瑞拉	35.88
2	阿尔巴尼亚	32.48
3	阿尔及利亚	32.41
4	白俄罗斯	31.08
5	亚美尼亚	29.16
6	乌克兰	28.67
7	摩尔多瓦	28.64
8	阿塞拜疆	26.67
9	吉尔吉斯斯坦	25.80
10	塞尔维亚	25.38
11	毛里塔尼亚	24.89
12	印度尼西亚	24.68
13	罗马尼亚	24.56
14	卡塔尔	23.99
15	哈萨克斯坦	23.93
16	菲律宾	23.84
17	立陶宛	23.70
18	吉布提	23.70
19	拉脱维亚	23.09
20	洪都拉斯	22.97

* 该排名不包括卡巴斯基用户相对较少的国家（少于 1 万） ** 该国家遭到恶意软件类别的攻击的唯一用户数占该国家所有卡巴斯基用户的百分比

平均而言，全球 18.92% 的互联网用户至少遭到一次恶意软件类别的网络攻击。

2018 年 Q3 ，恶意网络攻击的地理分布

九、本地威胁

关于用户计算机遭到的本地感染的统计数据是一个非常重要的指标：它能反映出通过被感染的文件、可移动媒体或加密文件（例如复杂的安装程序或加密文件中包含的恶意程序）入侵计算机的威胁。

本小节中的数据是基于对硬盘上的文件还有可移动媒体的反病毒扫描结果的统计分析。这些可移动媒体可能包括 U 盘、存储卡、手机和移动硬盘等。

在 2018 年第三季度，卡巴斯基的文件反病毒系统共检测到 239,177,356 个不同的潜在有害 / 恶意样本。

9.1 、本地威胁的目标国家分布（用户风险最大的国家）

对于每个国家 / 地区，我们计算了在报告期内触发了文件反病毒系统的卡巴斯基用户的百分比。这些数据反映出该国家 / 地区的个人计算机遭受感染的风险程度。

此排名仅包含属于恶意软件类别的攻击，不包含卡巴斯基文件反病毒系统检测到的潜在危险 / 有害的程序，如灰色软件和广告软件。

	国家 *	%**
1	乌兹别克斯坦	54.93
2	阿富汗	54.15
3	也门	52.12
4	土库曼斯坦	49.61
5	塔吉克斯坦	49.05
6	老挝	47.93
7	叙利亚	47.45
8	越南	46.07
9	孟加拉	45.93
10	苏丹	45.30
11	埃塞俄比亚	45.17
12	缅甸	44.61
13	莫桑比克	42.65
14	吉尔吉斯斯坦	42.38
15	伊拉克	42.25
16	卢旺达	42.06
17	阿尔及利亚	41.95
18	喀麦隆	40.98
19	马拉维	40.70
20	白俄罗斯	40.66

* 该排名不包括卡巴斯基用户相对较少的国家（少于 1 万） ** 该国家遭到恶意软件类别的攻击的唯一用户数占该国家所有卡巴斯基用户的百分比

2018 年 Q3 ，恶意本地攻击的地理分布

平均而言，全球 22.53% 的计算机在第三季度遭到至少一次恶意软件类别的本地攻击。