《VirusTotal 2021 年度恶意软件趋势报告》

VirusTotal 是世界上最大的威胁观测点，自从 2004 年开始已经持续监测 17 年。目前，VirusTotal 已经积累 30亿+ 文件（包含解压缩子文件在内约为 500 亿个）、10亿+ 沙盒分析报告、50亿+ URL、40亿+ 域名、50亿+ 被动域名（Passive DNS）解析数据。提交来源遍布世界上 232 个国家/地区、社区月活跃用户超过 200 万。

如今，VirusTotal 每日日常分析 2百万+ 文件、6百万+ URL，已经接入 70+ 杀软引擎、90+ 网站检查引擎、15+ 沙盒与 20 余个 Crowdsourced、Yara、SIGMA、IDS 规则仓库，形成了世界上最大的公开威胁观测站点。

总体情况

VirusTotal 报告对潜在恶意样本的定义为 5 个及以上引擎检出。

年内首次发现的新恶意软件比例几乎没变，2020 年为 45.86%，2021 年为 46.12%。依据样本相似进行归类，从类别的角度也几乎差不多，2020 年为 0.43%，2021 年为 0.44%。

文件类型

• 由于其他文件类型的恶意软件增长，PE 类型恶意软件的比例有所下降。DLL 文件大幅增长，攻击者有可能正在将其作为 PE 文件的有力替代。

• macOS 平台的 mach-o 恶意软件大幅度下降（97%），这是因为去年最流行的多态家族 EvilQuest 不再活跃。

• 相比 DOCX 文件，攻击者现在更加青睐 XLSX 文件，带有恶意宏代码的恶意 Excel 文件在快速增加。2021 年，Emotet、Qakbot、Dridex、Zloader 与 Trickbot 都开始使用 XLSX 文件进行攻击。二者都会使用 VBA，所以 VBA 类型出现了极大的增长。

• ELF 文件整体增长了 146%，带有漏洞利用的 ELF 文件增加了 135%。

• PowerShell 文件整体增长并不多（36%），但带有漏洞利用的 PowerShell 文件增长了 282%。

搜索频率

2021 年最后一个季度中搜索频率最多的样本，去掉风险软件和挖矿软件后的 TOP10 为：

勒索软件占了三席，勒索肆虐可见一斑。Danabot 与 Mirai 也各占了两席，传统的僵尸网络仍然是大问题。

漏洞利用

2021 年一共发现 57 个 0day 漏洞的在野利用，相比去年几乎翻番。2021 年使用漏洞利用的样本比 2020 年增加了 24%，如果包括 Exploit Kit 在内的话，这一比例会增加到 30%。

仍有很多已披露超过 5 年的漏洞被持续利用，及时的漏洞修复是十分必要的。

2021 年新发现的漏洞利用，其中部分趋势如下所示：

可见在 POC 公开发布后，通常会出现一波传播高峰，部分漏洞还存在协同被利用的情况。

• 2021 年 3 月，CVE-2021-26855 与 CVE-2021-27065 同步出现了峰值，因为这两个漏洞都是针对 Exchange Server 的，通常被攻击者一起利用。

• 2021 年 9 月，MSHTML 远程代码执行漏洞披露后，CVE-2021-40444 出现了传播高峰。

• 2021 年 11 月的传播高峰由 Windows Installer 权限提升漏洞（CVE-2021-41379）导致。

• 2021 年 12 月的传播高峰由 Log4j 漏洞（CVE-2021-44228）导致。尽管 Log4j 漏洞在 12 月才公开披露，但在全年排名中仍然名列前茅。

其中，Log4j 漏洞是 2021 年影响最大的漏洞之一，Mirai 与许多挖矿僵尸网络都对该漏洞青睐有加，全年检测结果如下所示：

注：有很多将 Log4j 源代码检测为漏洞利用的误报，不代表在野早就出现了相关的攻击利用样本

攻击者利用漏洞的速度变得更快了，部分常见漏洞从发布到被利用的时间差如下所示：

多个漏洞都在漏洞披露之前就被利用了。在 2020 年，漏洞从披露到利用平均需要 93 天。到了 2021 年，从披露到利用平均只需要 0 天即可。

在野分发

尽管在野分发的恶意软件样本总量相比去年只是略有增加，但 Dropper 的使用增加了 37%，并且在野分发恶意软件的 URL 却增加了 20%。这意味着通过这种方法分发的恶意软件变得更多，合法的云存储和文件共享服务的日渐普及也促成这种场景下的滥用。

用于恶意软件分发的 TOP 10 URL 如下所示：

其中部分 URL 是长期稳定分发恶意软件，部分 URL 会根据攻击行动的差异存在波动。

根据域名进行合并统计的话：

不同时间都会有不同的攻击者、攻击行动非常活跃，其中逐渐走强的 discordapp 值得注意。

攻击工具

Cobalt Strike

Cobalt Strike 是攻击者最喜欢的工具之一，在 2021 年样本量增加了 155%，尤其在第一季度创下了峰值记录。

用户对 Cobalt Strike 样本的查询量比较稳定，说明 Cobalt Strike 其实一直在被攻击者持续使用。

Meterpreter

2021 年 Meterpreter 的样本量相比 2020 年总体平稳，但是首次发现的新样本减少了 23%。

Mimikatz

与 Meterpreter 类似，Mimikatz 的首次发现新样本数量也减少了 75.5%。不过相对其他恶意软件而言，Mimikatz 的新样本也并不那么重要。

在 2021 年的 3-4 月，用户对 Mimikatz 的查询频度升至最高。

恶意家族

Dridex、Gozi 家族快速发展，样本量相比去年分别增长了 1306% 与 37%。

Emotet、Qakbot 与 Somokeloader 则出现了大幅下降，分别下降了 66%、76% 与 73%。

Dridex

Dridex 作为一个经久不衰的恶意软件家族。

在传播高峰过后，也迎来了用户查询的高峰：

远控木马

而 Async RAT 与 Flyagent 分别增长了 139% 与 118%，Padodor/Berbew 与去年相比，样本量增加了 2111%。

此外，DCRat、SystemBC 与 Blackshades RAT 的 Yara 规则命中的样本数量增长也非常显著。

以下远控木马家族的数量大幅下降，Gravity RAT 下降了 99%，几乎消失。

按照样本总数排名，TOP5 的 RAT 家族为：

总结

从防御的角度来说，漏洞的及时修复对每个组织来说都是至关重要的，不要因为存在老旧漏洞而被轻松入侵。监控恶意软件家族的传播对集中精力做出优先防御也是至关重要的，每个组织的精力都是有限的，将有限的精力投入到更为重要的地方上，尽量要发挥最大的防御效果。

从狩猎的角度来说，近二十年的数据积累，如此海量的样本数据，VirusTotal 可能仍然是全球样本狩猎的首选。首先将数据积累下来，今日的 VirusTotal 也非一日之功。再通过深入的处理与分析，让数据体现出应有的价值并且发挥更大的价值。

最后额外介绍一下此前写过的一篇介绍各种可用于进行样本狩猎的哈希函数的文章，例如 ssdeep、imphash、richhash、tlsh 等，其中很多也都在 VirusTotal 上被使用，对样本狩猎感兴趣的读者可以进一步拓展阅读。

介绍有关样本狩猎的哈希函数

Avenger，公众号：威胁棱镜狩猎样本的哈希游戏

原文始发于微信公众号（威胁棱镜）：《VirusTotal 2021 年度恶意软件趋势报告》