《VirusTotal 2021 年度恶意软件趋势报告》

VirusTotal 是世界上最大的威胁观测点，自从 2004 年开始已经持续监测 17 年。目前，VirusTotal 已经积累 30亿+ 文件（包含解压缩子文件在内约为 500 亿个）、10亿+ 沙盒分析报告、50亿+ URL、40亿+ 域名、50亿+ 被动域名（Passive DNS）解析数据。提交来源遍布世界上 232 个国家/地区、社区月活跃用户超过 200 万。

如今，VirusTotal 每日日常分析 2百万+ 文件、6百万+ URL，已经接入 70+ 杀软引擎、90+ 网站检查引擎、15+ 沙盒与 20 余个 Crowdsourced、Yara、SIGMA、IDS 规则仓库，形成了世界上最大的公开威胁观测站点。

总体情况

VirusTotal 报告对潜在恶意样本的定义为 5 个及以上引擎检出。

年内首次发现的新恶意软件比例几乎没变，2020 年为 45.86%，2021 年为 46.12%。依据样本相似进行归类，从类别的角度也几乎差不多，2020 年为 0.43%，2021 年为 0.44%。

文件类型

由于其他文件类型的恶意软件增长，PE 类型恶意软件的比例有所下降。DLL 文件大幅增长，攻击者有可能正在将其作为 PE 文件的有力替代。
macOS 平台的 mach-o 恶意软件大幅度下降（97%），这是因为去年最流行的多态家族 EvilQuest 不再活跃。
相比 DOCX 文件，攻击者现在更加青睐 XLSX 文件，带有恶意宏代码的恶意 Excel 文件在快速增加。2021 年，Emotet、Qakbot、Dridex、Zloader 与 Trickbot 都开始使用 XLSX 文件进行攻击。二者都会使用 VBA，所以 VBA 类型出现了极大的增长。
ELF 文件整体增长了 146%，带有漏洞利用的 ELF 文件增加了 135%。
PowerShell 文件整体增长并不多（36%），但带有漏洞利用的 PowerShell 文件增长了 282%。

搜索频率

2021 年最后一个季度中搜索频率最多的样本，去掉风险软件和挖矿软件后的 TOP10 为：

勒索软件占了三席，勒索肆虐可见一斑。Danabot 与 Mirai 也各占了两席，传统的僵尸网络仍然是大问题。

漏洞利用

2021 年一共发现 57 个 0day 漏洞的在野利用，相比去年几乎翻番。2021 年使用漏洞利用的样本比 2020 年增加了 24%，如果包括 Exploit Kit 在内的话，这一比例会增加到 30%。

仍有很多已披露超过 5 年的漏洞被持续利用，及时的漏洞修复是十分必要的。

2021 年新发现的漏洞利用，其中部分趋势如下所示：

可见在 POC 公开发布后，通常会出现一波传播高峰，部分漏洞还存在协同被利用的情况。

2021 年 3 月，CVE-2021-26855 与 CVE-2021-27065 同步出现了峰值，因为这两个漏洞都是针对 Exchange Server 的，通常被攻击者一起利用。
2021 年 9 月，MSHTML 远程代码执行漏洞披露后，CVE-2021-40444 出现了传播高峰。
2021 年 11 月的传播高峰由 Windows Installer 权限提升漏洞（CVE-2021-41379）导致。
2021 年 12 月的传播高峰由 Log4j 漏洞（CVE-2021-44228）导致。尽管 Log4j 漏洞在 12 月才公开披露，但在全年排名中仍然名列前茅。

其中，Log4j 漏洞是 2021 年影响最大的漏洞之一，Mirai 与许多挖矿僵尸网络都对该漏洞青睐有加，全年检测结果如下所示：