2019年6月，多家媒體報(bào)道，美國(guó)總統(tǒng)特朗普允許網(wǎng)絡(luò)司令部對(duì)伊朗的火箭及導(dǎo)彈發(fā)射系統(tǒng)發(fā)起攻擊。6月24日伊朗通信和信息技術(shù)部長(zhǎng)穆罕默德·賈哈米發(fā)推特稱：“美方盡全力對(duì)伊朗發(fā)動(dòng)網(wǎng)絡(luò)攻擊，但是失敗了。2018年伊朗的網(wǎng)絡(luò)防火墻阻止了3300萬(wàn)次網(wǎng)絡(luò)攻擊。

        在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)高發(fā)的大背景下，我國(guó)于2016年出臺(tái)了《網(wǎng)絡(luò)安全法》，并在2019年5月發(fā)布了安全等級(jí)保護(hù)2.0(簡(jiǎn)稱等保2.0)相關(guān)國(guó)家標(biāo)準(zhǔn)，將于2019年12月1日開始正式實(shí)施。等保2.0實(shí)現(xiàn)了對(duì)云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對(duì)象全覆蓋。這意味著企事業(yè)單位和政府機(jī)關(guān)等主體需要進(jìn)一步加大對(duì)信息安全產(chǎn)品和服務(wù)的投入。近年來(lái)對(duì)企業(yè)安全影響最深遠(yuǎn)的事件是以WannaCry為代表的勒索病毒爆發(fā)。一方面其打開“永恒之藍(lán)漏洞”這個(gè)近年最強(qiáng)的公開攻擊工具使用的潘多拉魔盒，另一方面也把勒索病毒這一形態(tài)推向了網(wǎng)絡(luò)安全攻防的最熱點(diǎn)。后續(xù)模仿者有利用“永恒之藍(lán)”傳播挖礦木馬，也有進(jìn)一步集成多種攻擊武器，傳播勒索病毒索要贖金。GranCrab勒索病毒就是其中的佼佼者。2019年6月GandCrab勒索病毒運(yùn)營(yíng)方突然宣布將停止更新，同時(shí)透露了一個(gè)驚人的盈利數(shù)字：GandCrab病毒產(chǎn)業(yè)鏈?zhǔn)找娓哌_(dá)20億美元。這一病毒的發(fā)展過(guò)程中，各類安全廠商和羅馬尼亞警方始終對(duì)其圍追堵截。羅馬尼亞警方和安全廠商Bitdefender通過(guò)攻破其服務(wù)器獲取密鑰的方式，面向受害者發(fā)布解密工具。但遺憾的是，仍有大量受害者感染該病毒并選擇了繳納贖金。在這個(gè)案例的“激勵(lì)”下，大量的黑產(chǎn)從業(yè)者會(huì)繼續(xù)開發(fā)和傳播勒索病毒牟利。綜上，對(duì)企業(yè)和政府機(jī)構(gòu)而言，網(wǎng)絡(luò)安全建設(shè)絕不僅是滿足監(jiān)管需求，而是切實(shí)的規(guī)避安全風(fēng)險(xiǎn)。一款病毒制造者獲利20億美元的背后，其同時(shí)造成的企業(yè)生產(chǎn)中斷，公共事務(wù)網(wǎng)站停擺等損失會(huì)遠(yuǎn)遠(yuǎn)超過(guò)這個(gè)數(shù)字。臺(tái)積電生產(chǎn)線感染W(wǎng)annaCry全線停擺綜合損失即高達(dá)1.7億美金。本文以騰訊安全御見威脅情報(bào)中心安全大數(shù)據(jù)為基礎(chǔ)，從終端安全、服務(wù)器安全、網(wǎng)站安全和郵件安全等緯度剖析2019年上半年企業(yè)用戶安全趨勢(shì)。

        企業(yè)終端安全現(xiàn)狀

        終端設(shè)備是企業(yè)的重要資產(chǎn)，包括員工使用的PC計(jì)算機(jī)，服務(wù)器(文件服務(wù)器、郵件服務(wù)器等)，此外還包括打印機(jī)、攝像頭等IoT設(shè)備。這些終端設(shè)備也成為了黑客攻擊的重要目標(biāo)。本文第二章將從企業(yè)終端的安全性，脆弱性，及郵件安全三部分對(duì)企業(yè)終端資產(chǎn)所面臨的威脅進(jìn)行分析。脆弱性主要分析終端設(shè)備容易被攻擊入侵的原因，包括高危漏洞沒(méi)有及時(shí)修復(fù)，開放的高危端口及企業(yè)員工安全意識(shí)等。安全性主要分析終端設(shè)備所面臨的安全威脅，包括上半年企業(yè)終端感染的主要病毒類型，企業(yè)染毒比例，及不同行業(yè)的感染病毒分布情況分析。

       (一)  終端安全性分析

       1.  企業(yè)終端病毒感染概況

       根據(jù)騰訊安全御見威脅情報(bào)中心數(shù)據(jù)顯示，上半年每周平均約23%的企業(yè)發(fā)生過(guò)終端病毒木馬攻擊事件，其中風(fēng)險(xiǎn)類軟件感染占比最多（占40%），其次為后門遠(yuǎn)控類木馬（占14%）。

        企業(yè)終端風(fēng)險(xiǎn)中，感染風(fēng)險(xiǎn)軟件的仍排行第一，占比達(dá)到40%。部分終端失陷后，攻擊者植入遠(yuǎn)控木馬（占14%），并利用其作為跳板，部署漏洞攻擊工具再次攻擊內(nèi)網(wǎng)其它終端，最終植入挖礦木馬或者勒索病毒。另外，企業(yè)內(nèi)文件共享等機(jī)制也使得感染型病毒持續(xù)占據(jù)10%左右的比例。風(fēng)險(xiǎn)軟件主要是指其行為在灰色地帶打擦邊球，如流氓推裝、刷量、彈騷擾廣告等，風(fēng)險(xiǎn)類軟件之所以會(huì)有如此高的感染量和其推廣傳播方式密切相關(guān)。和勒索病毒挖礦木馬等通過(guò)漏洞利用，暴力破解等“高難度”的攻擊傳播方式不一樣，風(fēng)險(xiǎn)軟件的推廣傳播更加明目張膽，比如購(gòu)買通過(guò)搜索引擎關(guān)鍵字，捆綁正常軟件進(jìn)行傳播。騰訊安全御見威脅情報(bào)中心曾披露某病毒團(tuán)伙通過(guò)購(gòu)買“flash player”等關(guān)鍵字，利用搜索引擎廣告推廣，中招用戶累計(jì)達(dá)數(shù)十萬(wàn)之多（可參考：一款利用搜索引擎推廣的病毒下載器，推裝超30款軟件，已感染數(shù)十萬(wàn)臺(tái)電腦）。此外，各軟件下載站的“高速下載器”、ghost系統(tǒng)站點(diǎn)、游戲外掛站點(diǎn)、破解工具等都是重要傳播渠道。這些渠道都有著較大且穩(wěn)定的受眾群體，導(dǎo)致風(fēng)險(xiǎn)軟件成為終端安全的重災(zāi)區(qū)。挖礦木馬同比提高近5%，幾乎成為當(dāng)前流行黑產(chǎn)團(tuán)伙的必備組件。隨著比特幣、門羅幣、以太坊幣等數(shù)字加密幣的持續(xù)升值，挖礦成了黑產(chǎn)變現(xiàn)的重要渠道。我們預(yù)計(jì)挖礦木馬占比仍將繼續(xù)上升。勒索病毒同比變化不大，但近年新的勒索病毒層出不窮，一旦攻擊成功危害極大。部分受害企業(yè)被迫交納“贖金”或“數(shù)據(jù)恢 復(fù)費(fèi)”，勒索病毒仍是當(dāng)前企業(yè)需要重點(diǎn)防范的病毒類型。

        2.  不同行業(yè)感染病毒類型分布情況

        風(fēng)險(xiǎn)類軟件在各行業(yè)的染毒占比最高，此外后門遠(yuǎn)控類木馬在科技行業(yè)的染毒比例相對(duì)較高為26%，可能和科技行業(yè)中的間諜活動(dòng)更加頻繁相關(guān)。

       風(fēng)險(xiǎn)類軟件在教育，醫(yī)療等多個(gè)行業(yè)中的染毒比例都是最高的，而且往往都有感染量大的特點(diǎn)，主要原因是傳播渠道廣泛，包括下載器、ghost系統(tǒng)站點(diǎn)、游戲外掛站點(diǎn)、流氓軟件等，此外用戶對(duì)這類風(fēng)險(xiǎn)軟件的感知不是很明顯導(dǎo)致沒(méi)有及時(shí)殺毒清理。騰訊安全于2019年4月揪出年度最大病毒團(tuán)伙，高峰時(shí)控制上千萬(wàn)臺(tái)電腦，包括幽蟲、獨(dú)狼、雙槍、紫狐、貪狼等多個(gè)病毒木馬家族，這些木馬利用盜版Ghost系統(tǒng)、激活破解工具、熱門游戲外掛等渠道傳播，通過(guò)多種流行的黑色產(chǎn)業(yè)變現(xiàn)牟利：包括，云端控制下載更多木馬、強(qiáng)制安裝互聯(lián)網(wǎng)軟件、篡改鎖定用戶瀏覽器、刷量、挖礦等等。該病毒團(tuán)伙在2018年7-8月為活躍高峰，被該病毒團(tuán)伙控制的電腦仍在200-300萬(wàn)臺(tái)。

        3.  行業(yè)感染病毒對(duì)比

       教育科研行業(yè)成為病毒感染的重災(zāi)區(qū)，在主要的病毒類型遠(yuǎn)控、挖礦、勒索、感染型病毒中，教育科研行業(yè)的感染設(shè)備占比最高(接近或超過(guò)50%)。

      在統(tǒng)計(jì)中教育科研行業(yè)主要包括中小學(xué)，高校及科研機(jī)構(gòu)，在各類型病毒中其染毒比例最高，尤其是感染型病毒，其染毒比例高達(dá)58%，這和該行業(yè)頻繁的文檔傳送及移動(dòng)介質(zhì)頻繁使用交叉感染有關(guān)。除了教育科研行業(yè)，政府機(jī)關(guān)及高科技企業(yè)在各類型病毒中的染毒比例也較高，染毒占比在14%到22%之間。遠(yuǎn)控類木馬針對(duì)政府機(jī)關(guān)及高科技企業(yè)的攻擊活動(dòng)頻繁，攻擊成功后竊取機(jī)密文件等敏感信息。騰訊安全御見威脅情報(bào)中心2019年5月捕獲到一批針對(duì)政府和企業(yè)的攻擊事件，通過(guò)發(fā)送釣魚郵件，誘導(dǎo)用戶打開帶有惡意宏代碼的word格式附件，打開附件后下載運(yùn)行遠(yuǎn)控木馬家族NetWiredRC，木馬會(huì)竊取中毒電腦的機(jī)密信息上傳到控制者服務(wù)器。

         (二)  終端脆弱性分析

        漏洞利用及端口爆破是攻陷終端設(shè)備的重要手段，回顧2018年企業(yè)服務(wù)器的網(wǎng)絡(luò)安全事件，可以發(fā)現(xiàn)數(shù)據(jù)泄露事件高發(fā)。航空、醫(yī)療、保險(xiǎn)、電信、酒店、零售等行業(yè)均受影響。攻擊者利用爆破、漏洞等方式攻陷企業(yè)服務(wù)器。2019年全球利用企業(yè)服務(wù)器產(chǎn)品漏洞的攻擊依然未有放緩。簡(jiǎn)單的漏洞或缺乏簡(jiǎn)單的策略控制可能導(dǎo)致災(zāi)難性的后果，下面就常見的漏洞、攻擊方式、和端口開放情況對(duì)終端脆弱性做些歸納性的總結(jié)，希望對(duì)各企業(yè)服務(wù)器安全防范有所幫助。

        1.  企業(yè)終端漏洞修復(fù)情況

        系統(tǒng)高危漏洞往往會(huì)被黑客利用進(jìn)行入侵，但部分企業(yè)安全風(fēng)險(xiǎn)意識(shí)較為薄弱，據(jù)騰訊安全御見威脅情報(bào)中心數(shù)據(jù)顯示，截止6月底，仍有83%的企業(yè)終端上存在至少一個(gè)高危漏洞未修復(fù)。

       在主要的高危漏洞中,永恒之藍(lán)系列漏洞補(bǔ)丁安裝比例最高，“永恒之藍(lán)”最早于2017年被黑客組織影子經(jīng)紀(jì)人泄漏,隨后被大范圍傳播利用，其中影響最為廣泛的WannaCry勒索軟件利用該漏洞進(jìn)行蠕蟲式傳播一時(shí)間席卷全球。雖然該漏洞補(bǔ)丁安裝比例較高，但仍有不少機(jī)器仍未安裝補(bǔ)丁，騰訊安全御見威脅情報(bào)中心監(jiān)測(cè)到一款通過(guò)“驅(qū)動(dòng)人生”系列軟件升級(jí)通道傳播的木馬，僅2個(gè)小時(shí)受攻擊用戶就高達(dá)10萬(wàn)，就是利用“永恒之藍(lán)”高危漏洞進(jìn)行擴(kuò)散傳播。RDS(遠(yuǎn)程桌面服務(wù))漏洞(CVE-2019-0708)是今年五月份披露的高危漏洞，仍有大量機(jī)器沒(méi)修復(fù)該漏洞(42%),其危害程度不亞于永恒之藍(lán)系列漏洞，攻擊者通過(guò)利用此漏洞，可以在遠(yuǎn)程且未經(jīng)授權(quán)的情況下，直接獲取目標(biāo) Windows 服務(wù)器權(quán)限，遠(yuǎn)程執(zhí)行代碼。

        2.  常見服務(wù)器漏洞攻擊類型

        1) 系統(tǒng)組件類漏洞攻擊

        我們對(duì)暴露在公網(wǎng)的服務(wù)器做抽樣分析發(fā)現(xiàn)，常見的系統(tǒng)組件漏洞攻擊類型中，遠(yuǎn)程代碼執(zhí)行（RCE）、SQL注入、XSS攻擊類型比例最高。

        遠(yuǎn)程代碼執(zhí)行（RCE）漏洞是服務(wù)器上一種最嚴(yán)重的安全隱患，攻擊者可遠(yuǎn)程執(zhí)行任意命令、代碼，實(shí)現(xiàn)完全控制服務(wù)器主機(jī)。例如攻擊可通過(guò)Web應(yīng)用等漏洞,入侵或上傳WebShell，使用反向shell獲得對(duì)服務(wù)器的控制權(quán)。反向shell是攻擊者通過(guò)受害者出站連接來(lái)獲得對(duì)受害者控制的常用方法。這種方法經(jīng)常被使用，因?yàn)樗苋菀桌@過(guò)防火墻限制，與入站連接不同，通常防火墻允許出站連接。一旦攻擊者通過(guò)RCE獲得對(duì)主機(jī)的控制權(quán)便完全控制了整個(gè)服務(wù)器系統(tǒng)，甚至可通過(guò)橫向移動(dòng)，控制內(nèi)網(wǎng)其它主機(jī)、服務(wù)器。SQL注入（SQLi）是最早、最流行和最危險(xiǎn)的Web應(yīng)用程序漏洞，黑客攻擊者可以利用Web應(yīng)用程序?qū)?shù)據(jù)庫(kù)服務(wù)器（如MySQL，Microsoft SQL Server和Oracle）進(jìn)行不安全的SQL查詢。它利用了Web應(yīng)用程序中的漏洞，這通常這些漏洞是由于代碼錯(cuò)誤導(dǎo)致的。使用SQL注入，攻擊者可以將SQL命令發(fā)送到數(shù)據(jù)庫(kù)服務(wù)器，允許他們對(duì)數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的訪問(wèn)，在一些極端情況下甚至可控制整個(gè)運(yùn)行數(shù)據(jù)庫(kù)服務(wù)器的系統(tǒng)。SQLi也恰好是最容易理解的Web應(yīng)用程序漏洞之一，擁有數(shù)百種免費(fèi)的現(xiàn)成工具，使攻擊者可以更快，更輕松地利用SQL注入漏洞。通過(guò)SQL注入漏洞，攻擊者可以繞過(guò)Web應(yīng)用程序的身份驗(yàn)證和授權(quán)機(jī)制，檢索整個(gè)數(shù)據(jù)庫(kù)的內(nèi)容，泄取機(jī)密信息。甚至添加，修改和刪除該數(shù)據(jù)庫(kù)中的記錄，從而影響其數(shù)據(jù)完整性。由于SQL注入會(huì)影響使用SQL數(shù)據(jù)庫(kù)的Web應(yīng)用程序，因此幾乎每種類型的Web應(yīng)用程序都需要注意它。XSS(跨站腳本攻擊), 與大多數(shù)影響服務(wù)器端資源的漏洞不同，跨站點(diǎn)腳本（XSS）是Web應(yīng)用中出現(xiàn)的漏洞?？缯军c(diǎn)腳本通?？梢员徽J(rèn)為是主要通過(guò)使用JavaScript的應(yīng)用代碼注入。XSS有許多變形，攻擊者的目標(biāo)是讓受害者無(wú)意中執(zhí)行惡意注入的腳本，該腳本在受信任的Web應(yīng)用程序中運(yùn)行。利用XSS攻擊可以實(shí)現(xiàn)竊取敏感數(shù)據(jù)，甚至修改Web應(yīng)用程序的，誘導(dǎo)、騙取用戶向攻擊者提交敏感數(shù)據(jù)。

        2) 配置類漏洞攻擊

        2019年全球利用企業(yè)服務(wù)器產(chǎn)品漏洞的攻擊依然未有放緩，數(shù)據(jù)泄露事件高發(fā)。航空、醫(yī)療、保險(xiǎn)、電信、酒店、零售等行業(yè)均受影響。攻擊者利用爆破、漏洞攻擊等方式攻陷企業(yè)服務(wù)器，簡(jiǎn)單的漏洞或缺乏簡(jiǎn)單的控制可能導(dǎo)致災(zāi)難性的后果，而實(shí)際上許多通過(guò)黑客攻擊和惡意軟件進(jìn)行的入侵是可以預(yù)防的。下面就常見的漏洞、和攻擊方式做些歸納性的總結(jié)。暴力破解(Brute Force), 是企圖破解用戶名、密碼。通過(guò)查找隱藏的網(wǎng)頁(yè)，或者使用試錯(cuò)等方法找到用于加密的密鑰。我們這里說(shuō)的爆破登錄也屬于暴力破解，簡(jiǎn)單來(lái)說(shuō)就是用大量的身份認(rèn)證信息來(lái)不斷嘗試登錄目標(biāo)系統(tǒng)，找到正確的登錄信息（賬號(hào)與密碼）。一般黑客攻擊者會(huì)采用工具進(jìn)行爆破，利用字典（含有大量登錄信息）批量爆破。常用的爆破工具有Burpsuite、Hydra等。暴力破解這是一種比較古老的攻擊方法，但它仍然有效并且受到黑客的歡迎。根據(jù)密碼的長(zhǎng)度和復(fù)雜程度，破解密碼可能需要幾秒到幾年的時(shí)間，但事實(shí)上黑客通過(guò)弱口令字典和一些已泄露的用戶賬戶資料字典，可能僅需幾秒便可以完成對(duì)一個(gè)服務(wù)器的爆破登錄。對(duì)企業(yè)來(lái)說(shuō)，黑客通常通過(guò)RDP、SSH等協(xié)議爆破登錄到服務(wù)器，下面是我們對(duì)部分已檢測(cè)到攻擊的服務(wù)器做抽樣分析得到黑客常用于爆破登錄的協(xié)議統(tǒng)計(jì)。發(fā)現(xiàn)針對(duì)外網(wǎng)目標(biāo)進(jìn)行RDP、SMTP、SMB協(xié)議爆破攻擊最為常見。

        黑客成功入侵局域網(wǎng)之后對(duì)內(nèi)的爆破攻擊，使用的協(xié)議與外網(wǎng)有較大不同，SMB攻擊最為常見，其次是遠(yuǎn)程桌面連接爆破和SSH爆破。

       弱口令(Weak Password)，如果說(shuō)系統(tǒng)和一些應(yīng)用組件存在的漏洞是代碼錯(cuò)誤造成的，那弱口令漏洞則是使用者人為創(chuàng)造的漏洞。弱口令一般是指很容易被人類和計(jì)算機(jī)(暴力破解工具)猜測(cè)到的口令。人們經(jīng)常使用明顯的密碼，如他們的孩子的名字或他們的家庭號(hào)碼或者使用一些簡(jiǎn)單是字母、數(shù)字組合如“123”、“abc”，作為重要應(yīng)用、系統(tǒng)的登錄口令，以避免忘記。然而，密碼越簡(jiǎn)單越有規(guī)律，就越容易被檢測(cè)用于爆破登錄。黑客利用弱口令字典，使用爆破工具，數(shù)秒甚至數(shù)毫秒便可以完成一次對(duì)服務(wù)器的入侵。在企業(yè)網(wǎng)絡(luò)安全中，因?yàn)橐恍┦褂玫牟划?dāng)服務(wù)器會(huì)存在弱口令漏洞而被入侵，所以說(shuō)“人才是最大的漏洞”。根據(jù)騰訊安全御見威脅情報(bào)中心檢測(cè)，黑客最常用來(lái)進(jìn)行弱口令爆破的密碼如下。

        3.  2019上半年熱門高危漏洞

        WebLogic反序列化高危漏洞

         CNVD-C-2019-48814(CVE-2019-2725), 2019年 4月17日國(guó)家信息安全漏洞共享平臺(tái)（CNVD）公開了Oracle Weblogic反序列化遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-C-2019-48814）,攻擊者可以發(fā)送精心構(gòu)造的惡意 HTTP 請(qǐng)求，利用該漏洞，未經(jīng)授權(quán)便可獲得服務(wù)器權(quán)限，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。而當(dāng)時(shí)官方補(bǔ)丁尚未發(fā)布，漏洞處于0day狀態(tài)，并且POC已在野公開。直到4月26日Oracle官方緊急發(fā)布修復(fù)補(bǔ)丁，并且該漏洞被定為 CVE-2019-2725。在此期間騰訊安全御見威脅情報(bào)中心已捕獲多起利用CVE-2019-2725漏洞傳播勒索病毒事件。漏洞影響版本：Oracle WebLogic Server 10.*，OracleWebLogicServer 12.1.3CVE-2019-2729：對(duì)CVE-2019-2725漏洞補(bǔ)丁的繞過(guò)，和CVE-2019-2725一樣，都是圍繞著 XMLDecoder 的補(bǔ)丁與補(bǔ)丁的繞過(guò)，攻擊者可以發(fā)送精心構(gòu)造的惡意 HTTP 請(qǐng)求，利用該漏洞，未經(jīng)授權(quán)便可獲得服務(wù)器權(quán)限，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。漏洞影響版本：Oracle WebLogic 10.3.6，Oracle WebLogicServer12.1.3，Oracle WebLogic Server 12.2.1.3Exim遠(yuǎn)程命令執(zhí)行漏洞CVE-2019-10149（2019.5）：安全研究人員在Exim郵件服務(wù)器最新改動(dòng)進(jìn)行代碼審計(jì)過(guò)程中發(fā)現(xiàn)Exim存在一個(gè)遠(yuǎn)程命令執(zhí)行，漏洞編號(hào)為CVE-2019-10149攻擊者可以以root權(quán)限使用execv()來(lái)執(zhí)行任意命令，遠(yuǎn)程利用該漏洞，遠(yuǎn)程攻擊者需要與存在漏洞的服務(wù)器建立7天的連接（每隔幾分鐘發(fā)送1個(gè)字節(jié)）漏洞影響版本：Exim Version >= 4.87，Exim Version<=4.91

         微軟遠(yuǎn)程桌面服務(wù)漏洞(BlueKeep)

        CVE-2019-0708（2019.5）：5月14日微軟官方發(fā)布安全補(bǔ)丁，修復(fù)了Windows遠(yuǎn)程桌面服務(wù)的遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞影響了Windows XP，Windows7，Windows2003，Windows2008，Windows2008R2 等在內(nèi)的常用Windows桌面以及服務(wù)器操作系統(tǒng)。此漏洞是預(yù)身份驗(yàn)證，無(wú)需用戶交互。其危害程度不亞于CVE-2017-0143EternalBlue，當(dāng)未經(jīng)身份驗(yàn)證的攻擊者使用RDP（常見端口3389）連接到目標(biāo)系統(tǒng)并發(fā)送特制請(qǐng)求時(shí)，可以在目標(biāo)系統(tǒng)上執(zhí)行任意命令。甚至傳播惡意蠕蟲，感染內(nèi)網(wǎng)其他機(jī)器。類似于2017年爆發(fā)的WannaCry等惡意勒索軟件病毒。雖然具體利用細(xì)節(jié)沒(méi)有公布，但BlueKeep漏洞公布不久便有POC在暗網(wǎng)交易。各大安全廠商也和黑客攻擊者展開了時(shí)間賽跑，一方面安全廠商積極推送修復(fù)補(bǔ)丁，并嘗試重現(xiàn)利用。騰訊御界威脅情報(bào)中心也在第一時(shí)間重現(xiàn)了利用，并推出了修復(fù)、攔截攻擊方案。漏洞影響版本：Windows XP，Windows7，Windows2003，Windows2008，Windows2008R2

        Windows NTLM認(rèn)證漏洞CVE-2019-1040（2019.6）

        6月12日，微軟官方在6月的補(bǔ)丁日中發(fā)布了漏洞 CVE-2019-1040的安全補(bǔ)丁, 漏洞存在于Windows大部分版本中，攻擊者可以利用該漏洞繞過(guò)NTLM MIC的防護(hù)機(jī)制，通過(guò)修改已經(jīng)協(xié)商簽名的身份驗(yàn)證流量，然后中繼到另外一臺(tái)服務(wù)器，同時(shí)完全刪除簽名要求。該攻擊方式可使攻擊者在僅有一個(gè)普通域賬號(hào)的情況下，遠(yuǎn)程控制域中任意機(jī)器（包括域控服務(wù)器），影響非常嚴(yán)重。漏洞影響版本：Windows7，Windows 8.1，Windows10，Windows2008，Windows2008R2，Windows Server 2012，Windows Server 2012R2，Windows Server 2016，Windows Server 

        2019國(guó)產(chǎn)辦公/郵箱系統(tǒng)漏洞

        2019上半年，除了上面提到的常見的系統(tǒng)應(yīng)用外，國(guó)內(nèi)一些常用的辦公、郵件等系統(tǒng)也被爆出高危漏洞，影響較大。

        1）Coremail配置信息泄露漏洞

        CNVD-2019-16798，2019.5，由于Coremail郵件系統(tǒng)的mailsms模塊參數(shù)大小寫敏感存在缺陷，使得攻擊者利用該漏洞，在未授權(quán)的情況下，通過(guò)遠(yuǎn)程訪問(wèn)URL地址獲取Coremail服務(wù)器的系統(tǒng)配置文件，造成數(shù)據(jù)庫(kù)連接參數(shù)等系統(tǒng)敏感配置信息泄露。漏洞影響版本：Coremail XT 3.0.1至XT 5.0.9版本

        2）致遠(yuǎn) OA A8 遠(yuǎn)程Getshell漏洞

        2019.6,致遠(yuǎn)互聯(lián)旗下產(chǎn)品致遠(yuǎn)OA A8辦公自動(dòng)化軟件被發(fā)現(xiàn)存在遠(yuǎn)程Getshell漏洞。致遠(yuǎn)互聯(lián)是中國(guó)協(xié)同管理軟件及云服務(wù)的廠商，致遠(yuǎn)OA A8 是一款流行的協(xié)同管理軟件，很多大型企業(yè)都有應(yīng)用。致遠(yuǎn)A8系統(tǒng)，被發(fā)現(xiàn)存在遠(yuǎn)程任意文件上傳文件上傳漏洞，攻擊者上傳精心構(gòu)造的惡意文件，成功利用漏洞后可造成Getshell。漏洞細(xì)節(jié)已被公開，并且已經(jīng)被在野利用。漏洞影響版本：A8+V7.0SP3、A8+ V6.1 SP2

        4.  企業(yè)端口開放情況

        企業(yè)在網(wǎng)絡(luò)空間的基礎(chǔ)設(shè)施包含網(wǎng)站服務(wù)器以及運(yùn)行在服務(wù)器上的各種應(yīng)用、服務(wù)，承載了包括網(wǎng)站、電子郵件、文件傳輸?shù)雀鞣N網(wǎng)絡(luò)通信功能。他們?cè)诨ヂ?lián)網(wǎng)上的機(jī)器語(yǔ)言表現(xiàn)形式是以基于TCP和UDP的各種端口的網(wǎng)絡(luò)通信。

       5.  高危端口開放情況

        我們將黑客攻擊頻次較高的常用端口劃為高危端口，并抽樣對(duì)Web服務(wù)器等互聯(lián)網(wǎng)空間資產(chǎn)做了空間測(cè)繪，發(fā)現(xiàn)仍有33%的資產(chǎn)開放著這些高危端口，存在較高的安全隱患。

        除了22、1900等端口，還有較大比重的郵件服務(wù)、數(shù)據(jù)庫(kù)服務(wù)等端口暴露在公網(wǎng)上。

       22端口是Linux平臺(tái)默認(rèn)的SSH遠(yuǎn)程連接服務(wù)端口， 而3389 是Windows默認(rèn)的遠(yuǎn)程桌面的服務(wù)（RDP, Remote Desktop Protocol）端口，通過(guò)SSH、RDP遠(yuǎn)程連接是非常方便的對(duì)服務(wù)器的操作方式，所以很多服務(wù)器管理員都會(huì)開啟22、3389端口遠(yuǎn)程桌面服務(wù)。因而很多黑客攻擊者很喜歡對(duì)22、3389端口嘗試入侵，例如通過(guò)爆破，如果服務(wù)器存在弱密碼登錄的，很容易就被爆破成功，進(jìn)而服務(wù)器被黑客控制。7001端口是WebLogic的默認(rèn)端口，WebLogic近期被爆出多個(gè)可被遠(yuǎn)程攻擊的高危漏洞，如果漏洞未能及時(shí)修復(fù)，則不排除有遠(yuǎn)程攻擊的可能。1900 UDP端口 源于SSDP Discovery Service服務(wù)。通過(guò)使用SSDP協(xié)議對(duì)端口1900進(jìn)行掃描可以發(fā)現(xiàn)UPnP（即插即用協(xié)議）設(shè)備，攻擊者可以利用這些設(shè)備發(fā)動(dòng)DDoS攻擊，制造出大量流量，可導(dǎo)致目標(biāo)企業(yè)的網(wǎng)站和網(wǎng)絡(luò)癱瘓。根據(jù)測(cè)繪結(jié)果分析，仍有部分服務(wù)器資產(chǎn)開放了445端口。如果這些服務(wù)器沒(méi)有打上相應(yīng)的補(bǔ)丁，那么仍然存在被勒索病毒攻擊的風(fēng)險(xiǎn)。即便是打上了補(bǔ)丁，也仍然需要面對(duì)勒索病毒變種的攻擊。

        (三)  郵件安全 

        一封電子郵件從廣義上來(lái)看，可以被分類為“正常郵件”與“非正常郵件”。我們?cè)凇班]件安全”這部分，將“非正常郵件”分為“垃圾郵件”與“惡意郵件”兩大類，且由于“惡意郵件”對(duì)企業(yè)用戶的危害程度更大，因此我們重點(diǎn)通過(guò)案例總結(jié)2019上半年中的惡意郵件的影響情況。

        1.  郵件安全趨勢(shì)

         1) 垃圾郵件

        根據(jù)友商卡巴斯基公開報(bào)告數(shù)據(jù)，在2019年第一季度全球郵件通信中的垃圾郵件占比超過(guò)55.97%，與2018年第四季度基本持平。其中3月份的垃圾郵件占比最高，達(dá)到56.33%。

        為了對(duì)抗各類郵箱反過(guò)濾機(jī)制，垃圾郵件無(wú)縫不入，從廣撒網(wǎng)式分發(fā)到精準(zhǔn)發(fā)送，如下 “代開發(fā)票”垃圾郵件就通過(guò)濫用VMware官方賬號(hào)綁定修改機(jī)制以達(dá)到繞過(guò)郵箱過(guò)濾機(jī)制效果。

         2) 惡意郵件

        從惡意行為的角度來(lái)看，惡意郵件可以分為如下幾種：騙回復(fù)敏感信息；騙打開釣魚頁(yè)面鏈接；騙打開帶毒附件。企業(yè)用戶日常容易遇到后兩種案例，典型代表如帶惡意附件的魚叉郵件。魚叉郵件是一種針對(duì)特定人員或特定公司的員工進(jìn)行定向傳播攻擊。網(wǎng)絡(luò)犯罪分子首先會(huì)精心收集目標(biāo)對(duì)象的信息，使“誘餌”更具誘惑力。然后結(jié)合目標(biāo)對(duì)象信息，制作相應(yīng)主題的郵件和內(nèi)容，騙取目標(biāo)運(yùn)行惡意附件。根據(jù)友商卡巴斯基公開報(bào)告數(shù)據(jù)，目前在全球的郵件流量中排名前十的惡意軟件家族如下（2019Q1）：

       從攻擊手段來(lái)看，有5類是通過(guò)直接投遞病毒實(shí)體文件進(jìn)行攻擊，4類通過(guò)office文檔進(jìn)行攻擊，1類通過(guò)PDF文檔釣魚攻擊。其中最值得關(guān)注的仍然是office類攻擊（office漏洞或者宏），缺乏安全知識(shí)的用戶較容易忽略安裝office補(bǔ)丁，或者輕易允許宏代碼運(yùn)行。從國(guó)內(nèi)觀察郵件安全情況，騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)每日捕獲到的魚叉郵件多為“訂單類與支付類”，訂單類主題關(guān)鍵字涉及“訂單”、“采購(gòu)單”、“Purchase Order”、“RequestFor Quotation”等；支付類主題關(guān)鍵字涉及有“Invoice（發(fā)票）”、“Payment”、“Balance Payment Receipts”等，并且此兩類郵件的內(nèi)容通常與主題相符合以誘導(dǎo)用戶點(diǎn)擊惡意附件。如下圖與“訂單”相關(guān)的郵件，通過(guò)將帶有惡意宏代碼的word文檔偽裝為附件“訂單列表”，誘使用戶打開文檔并觸發(fā)惡意宏代碼或者漏洞執(zhí)行，最終實(shí)現(xiàn)投放“NetWiredRC”遠(yuǎn)控木馬。

       還有一類也很常見的就是無(wú)主題郵件，此類郵件缺少主題甚至正文，只攜帶惡意附件，

       主要原因有兩方面：

      ·  a.  縮短魚叉郵件制作時(shí)間；

      ·  b.  為了方便群發(fā)郵件，每個(gè)群體都會(huì)有其特點(diǎn)，不易找到共同點(diǎn)。

       在2017年爆發(fā)了WannaCry（永恒之藍(lán)）勒索病毒后，很多變形后的勒索軟件就是通過(guò)空白主題的郵件進(jìn)行廣泛傳播的。

        2.  郵件安全案例

        魚叉郵件主要以投遞“竊密”、“遠(yuǎn)控”木馬為目的，近年來(lái)為了快速變現(xiàn)而投遞勒索病毒的趨勢(shì)也開始變多。2019年上半年，騰訊安全等共發(fā)布18次關(guān)于郵件安全的告警，其中騰訊安全御見威脅情報(bào)中心發(fā)布了16例有關(guān)惡意郵件的分析報(bào)告。從危害行為來(lái)看，以勒索為目的的惡意郵件有10例，包含8個(gè)主流勒索軟件家族；以遠(yuǎn)控竊密為目的的惡意郵件有8例。從攻擊手段來(lái)看，使用群發(fā)魚叉郵件有8例，使用定制魚叉郵件3例，利用office宏代碼下載惡意本體有5例，使用軟件的組件漏洞進(jìn)行攻擊的有2例。最受攻擊者青睞的office漏洞CVE-2017-11882利用office軟件的公式編輯器漏洞CVE-2017-11882實(shí)現(xiàn)隱秘遠(yuǎn)程下載的惡意郵件是十分常見的。用戶容易誤以為文檔中不會(huì)有惡意代碼。更重要的是，由于郵件來(lái)源和內(nèi)容往往被高度偽裝，用戶很容易放下防備心打開文檔，進(jìn)而導(dǎo)致釋放病毒。雖然該漏洞的補(bǔ)丁早在2017年11月公布提供修復(fù)，但實(shí)際上Office安全漏洞的修復(fù)率比系統(tǒng)補(bǔ)丁修復(fù)率要低得多，因此公式編輯器漏洞高成功率也是被廣泛利用的主要原因。2019年3月,騰訊安全御見威脅情報(bào)中心再次捕獲到針對(duì)外貿(mào)行業(yè)的攻擊樣本。攻擊者將惡意word文檔作為附件，向外貿(mào)從業(yè)人員發(fā)送“報(bào)價(jià)單”等相關(guān)主題的魚叉郵件，受害者一旦打開附件，惡意word文檔便會(huì)利用CVE-2017-11882漏洞執(zhí)行惡意代碼，并釋放fareit等竊密木馬。釋放的竊密木馬會(huì)竊取中毒電腦敏感信息，包括用戶名密碼、應(yīng)用程序列表、郵件信息、FTP類工具軟件的登錄憑證、多款主流瀏覽器的登錄憑證。

       總收入20億美金的Gandcrab勒索病毒2019年3月13日，騰訊安全御見威脅情報(bào)中心檢測(cè)到，不法分子正使用GandCrab5.2勒索病毒對(duì)我國(guó)部分政府部門工作人員進(jìn)行魚叉郵件攻擊，使用的郵件主題名為“你必須在3月11日下午3點(diǎn)向警察局報(bào)到！”，該病毒由于使用RSA+Salsa20加密方式，無(wú)私鑰常規(guī)情況下難以解密。

         (一)  失陷攻擊簡(jiǎn)述

         迄今為止，絕大多數(shù)企業(yè)都還是以防火墻為基礎(chǔ)劃分出企業(yè)內(nèi)網(wǎng)和公眾網(wǎng)絡(luò)的邊界，并基于此構(gòu)建安全體系。企業(yè)內(nèi)網(wǎng)被認(rèn)為是可信區(qū)間，為了便于開展日常工作，通常都不會(huì)對(duì)員工在內(nèi)網(wǎng)中訪問(wèn)各種資源設(shè)置嚴(yán)格限制。因此，當(dāng)病毒突破外圍防火墻進(jìn)入內(nèi)網(wǎng)環(huán)境之后，將會(huì)在內(nèi)網(wǎng)肆意擴(kuò)散。病毒為了讓其自身惡意行為實(shí)現(xiàn)效益最大化，首先會(huì)通過(guò)開機(jī)啟動(dòng)實(shí)現(xiàn)常駐于用戶系統(tǒng)，然后會(huì)嘗試內(nèi)網(wǎng)橫向傳播。接下來(lái)我們從“內(nèi)網(wǎng)傳播”與“持久化駐留方式”兩個(gè)維度總結(jié)今年上半年企業(yè)終端受攻擊情況。

         (二)  失陷攻擊的橫向擴(kuò)散與常駐

        1.  內(nèi)網(wǎng)傳播

        1) 漏洞利用

        從針對(duì)系統(tǒng)組件的漏洞攻擊情況來(lái)看，今年上半年事件頻發(fā)的內(nèi)網(wǎng)病毒傳播事件最熱門的仍然是利用內(nèi)網(wǎng)SMB共享服務(wù)漏洞進(jìn)行傳播的“永恒之藍(lán)漏洞”，而利用該漏洞進(jìn)行廣泛傳播的最為臭名昭著的病毒當(dāng)屬“永恒之藍(lán)下載器”挖礦病毒。該病毒從2018年12月14日開始至今已經(jīng)更新迭代超過(guò)15個(gè)版本，持續(xù)更新內(nèi)網(wǎng)橫向傳播攻擊方法。從應(yīng)急響應(yīng)現(xiàn)場(chǎng)中我們發(fā)現(xiàn)絕大多數(shù)是由于沒(méi)能補(bǔ)上“永恒之藍(lán)漏洞”而導(dǎo)致被反復(fù)攻陷。

        2) 弱口令爆破攻擊

        弱密碼爆破攻擊在入侵內(nèi)網(wǎng)以及作為橫向擴(kuò)散的手段都具有奇效。我們對(duì)部分已檢測(cè)的服務(wù)器做抽樣分析發(fā)現(xiàn)，弱密碼爆破攻擊集中發(fā)生在工作時(shí)間之外（早上9點(diǎn)之前，晚上6點(diǎn)之后），如下圖所示。

        3) 文件共享

        從應(yīng)急響應(yīng)現(xiàn)場(chǎng)中我們發(fā)現(xiàn)，文件共享目錄、可移動(dòng)介質(zhì)仍然是蠕蟲病毒、感染型病毒、office文檔病毒在內(nèi)網(wǎng)傳播的感染重災(zāi)區(qū)。這三類病毒一般都以竊取敏感信息為主要目的。蠕蟲具備自復(fù)制能力，可以將自身偽裝為正常文件誘導(dǎo)用戶，在不經(jīng)意間便觸發(fā)感染所有可訪問(wèn)的可移動(dòng)介質(zhì)與文件共享目錄。感染型病毒雖然不具備自復(fù)制能力，但會(huì)感染所有可執(zhí)行程序，但同樣能通過(guò)文件共享進(jìn)行傳播。而office文檔病毒一般會(huì)通過(guò)感染Normal模板或者加載項(xiàng)進(jìn)而感染每一個(gè)office文檔，如果該文檔通過(guò)可移動(dòng)介質(zhì)與文件共享目錄進(jìn)行分享，則會(huì)導(dǎo)致橫向傳播。

        2.  持久化駐留方式

        1) 常駐于注冊(cè)表相關(guān)啟動(dòng)位置或啟動(dòng)文件夾

         常駐于這兩個(gè)位置是最為簡(jiǎn)單方便的，但是也是最容易被攔截查殺的。因此病毒為了實(shí)現(xiàn)簡(jiǎn)單方便的常駐且能達(dá)到避免查殺的效果，通常會(huì)從免殺角度進(jìn)一步對(duì)病毒進(jìn)行優(yōu)化，包括但不限于加殼混淆、增肥對(duì)抗等。從每日攔截的寫入/執(zhí)行數(shù)據(jù)來(lái)看，被寫入啟動(dòng)項(xiàng)的惡意腳本類型文件的占比最高，其次是惡意可執(zhí)行文件，這兩種類型的文件格式大部分都進(jìn)行了混淆增肥對(duì)抗。在惡意腳本類型文件中，最常用的腳本格式是VBS（占比為38.3%），如下圖所示。

        2) 常駐于任務(wù)計(jì)劃

         通過(guò)將自身寫入任務(wù)計(jì)劃實(shí)現(xiàn)常駐，相對(duì)于注冊(cè)表與啟動(dòng)文件夾要更為隱蔽和靈活。而相對(duì)于病毒本體的常駐，利用系統(tǒng)白文件實(shí)現(xiàn)遠(yuǎn)程下載的方式更為靈活隱蔽。白利用遠(yuǎn)程下載的技巧常被利用于任務(wù)計(jì)劃中。今年上半年最常利用任務(wù)計(jì)劃實(shí)現(xiàn)常駐的病毒家族是“永恒之藍(lán)下載器”，也被稱作“DtlMiner”，占比達(dá)78.68%，具體如下圖所示。

       被惡意利用的系統(tǒng)組件數(shù)量占比如下圖所示，PowerShell利用占比最高，達(dá)84.2%

      “永恒之藍(lán)下載器”在更新迭代的多個(gè)版本中，曾多次對(duì)抗殺軟，以躲避殺軟對(duì)其任務(wù)計(jì)劃項(xiàng)的攔截與查殺。例如，在對(duì)抗殺軟攔截層面，迭代為以“/xml”參數(shù)完成任務(wù)計(jì)劃配置的加載，在對(duì)抗殺軟查殺層面，迭代為對(duì)特征字符串的切分拼接。除此之外，由于Windows平臺(tái)下的系統(tǒng)組件的容錯(cuò)性較高，比如Regsvr32、PowerShell等，一些病毒從容錯(cuò)性的角度對(duì)執(zhí)行的Regsvr32、PowerShell命令進(jìn)行免殺處理。隨著相關(guān)系統(tǒng)組件的更新迭代，如果其容錯(cuò)性再提高，則可能會(huì)出現(xiàn)更多針對(duì)其容錯(cuò)性的復(fù)合利用。

        3) 常駐于WMI類屬性

        這種啟動(dòng)方式要比上述的幾個(gè)啟動(dòng)位置更加隱蔽，從我們監(jiān)測(cè)到的數(shù)據(jù)里有接近23%的WMI類屬性被寫入了惡意腳本、被編碼過(guò)的可執(zhí)行程序與shellcode，其中就包含了臭名昭著的WannaMine和MyKings病毒家族的惡意代碼。從目前收集的數(shù)據(jù)來(lái)看，WMI類屬性的濫用主要被用于惡意推廣，包括桌面惡意推廣快捷方式（占43.7%），具體數(shù)據(jù)如下圖所示。

        (三)  供應(yīng)鏈攻擊

        供應(yīng)鏈?zhǔn)巧婕吧a(chǎn)、分配、處理、維護(hù)貨物的活動(dòng)系統(tǒng)，以便將資源從供應(yīng)商轉(zhuǎn)移到最終消費(fèi)者手中。在互聯(lián)網(wǎng)行業(yè)中，該供應(yīng)鏈環(huán)節(jié)也完全適用。一個(gè)軟件從供應(yīng)商到消費(fèi)者使用，會(huì)經(jīng)歷開發(fā)、分發(fā)安裝、使用、更新的環(huán)節(jié)，而供應(yīng)鏈攻擊則是黑客通過(guò)攻擊各環(huán)節(jié)的漏洞，植入惡意病毒木馬，利用正常軟件的正常分發(fā)渠道達(dá)到傳播木馬的目的。由于供應(yīng)鏈攻擊對(duì)于被攻擊者而言沒(méi)有任何感知，因此一直被黑客所青睞。以往供應(yīng)鏈攻擊往往多見于APT（高級(jí)持續(xù)性威脅）攻擊，而在近幾年，供應(yīng)鏈攻擊趨勢(shì)開始有穩(wěn)定增長(zhǎng)，攻擊事件層出不窮，日常網(wǎng)絡(luò)攻擊中越來(lái)越多的見到供應(yīng)鏈攻擊的手段。

        在2018年年度企業(yè)安全總結(jié)報(bào)告中，騰訊安全御見威脅情報(bào)中心預(yù)測(cè)針對(duì)軟件供應(yīng)鏈的攻擊會(huì)更加頻繁。在2019上半年，以“永恒之藍(lán)”木馬下載器為典型的供應(yīng)鏈攻擊“大展身手”，盡管爆發(fā)了有半年之多，但是如今依然有不少企業(yè)深受其害。

         1. “永恒之藍(lán)”木馬下載器案例

         2018年12月14日下午約17點(diǎn)，騰訊安全御見威脅情報(bào)中心監(jiān)測(cè)到一款通過(guò)“驅(qū)動(dòng)人生”系列軟件升級(jí)通道傳播的永恒之藍(lán)木馬下載器突然爆發(fā)，僅2個(gè)小時(shí)受攻擊用戶就高達(dá)10萬(wàn)，當(dāng)天騰訊安全御見情報(bào)中心全國(guó)首發(fā)預(yù)警。該病毒會(huì)通過(guò)云控下發(fā)惡意代碼，包括收集用戶信息、挖礦等，同時(shí)利用“永恒之藍(lán)”高危漏洞進(jìn)行擴(kuò)散。

        但14日的爆發(fā)僅僅是個(gè)開始，盡管驅(qū)動(dòng)人生公司第一時(shí)間將受到木馬影響的升級(jí)通道進(jìn)行了緊急關(guān)閉，但永恒之藍(lán)木馬下載器的幕后控制者并沒(méi)有就此放棄行動(dòng)，而是借助其已經(jīng)感染的機(jī)器進(jìn)行持續(xù)攻擊：包括通過(guò)云控指令下發(fā)挖礦模塊，在中招機(jī)器安裝多個(gè)服務(wù)以及通過(guò)添加計(jì)劃任務(wù)獲得持續(xù)執(zhí)行的機(jī)會(huì)，后續(xù)版本在攻擊模塊新增SMB爆破、遠(yuǎn)程執(zhí)行工具psexec攻擊、利用Powershell版mimikatz獲取密碼，以增強(qiáng)其擴(kuò)散傳播能力。根據(jù)騰訊安全御見威脅情報(bào)中心監(jiān)測(cè)，僅2019年上半年就變種十余次，是影響范圍最大的攻擊之一。在下半年或許有更頻繁的更新、攻擊。

         2. “CAXA數(shù)碼大方”畫圖軟件案例

        2019年4月，騰訊安全御見威脅情報(bào)中心檢測(cè)到，有多個(gè)“CAXA數(shù)碼大方”組件均在被ramnit家族感染型病毒感染之后簽署上了官方有效的數(shù)字簽名，被感染的組件具有正常的數(shù)字簽名信息以及與官方包發(fā)布的一致的證書指紋。

         企業(yè)終端失陷危害分析

         端設(shè)備感染病毒失陷后會(huì)對(duì)企業(yè)造成不同程度的危害,常見的危害如敲詐勒索，挖礦占用系統(tǒng)資源，信息竊密，失陷設(shè)備被植入后門變成肉雞等。其中企業(yè)客戶感知最明顯的為勒索病毒，感染后會(huì)加密或刪除重要資料文件后進(jìn)行敲詐勒索，有時(shí)即使交付贖金也不一定可以解密，對(duì)企業(yè)造成重大損失。隨著數(shù)字貨幣的興起，感染挖礦木馬的設(shè)備也越來(lái)越多，挖礦類病毒木馬會(huì)占用系統(tǒng)大量資源，造成系統(tǒng)運(yùn)行卡慢等。除了挖礦、勒索、信息竊密，有些危害難以被受害者察覺(jué)，如被植入后門，風(fēng)險(xiǎn)流氓軟件主頁(yè)劫持，靜默刷量等，但這些風(fēng)險(xiǎn)的存在對(duì)設(shè)備安全存在巨大的安全隱患，企業(yè)管理人員不可輕視。

         (一)  敲詐勒索

         2019上半年中，勒索病毒依然是破壞力最強(qiáng)影響面最廣的一類惡意程序，通過(guò)恐嚇、綁架用戶文件或破壞用戶計(jì)算機(jī)等方式，向用戶勒索數(shù)字貨幣。在19年上半年累計(jì)感染攻擊數(shù)超250w，其中以2019年1月份最為活躍，2月到6月整體較為平穩(wěn)，近期略有上升趨勢(shì)。

最為活躍的仍是GandCrab勒索病毒家族，在歐洲警方和安全廠商的多次打擊并接管其服務(wù)器后，GandCrab于6月1日宣布停止后續(xù)更新。但在利益的驅(qū)使下， Sodinokibi勒索病毒很快接管GandCrab的傳播渠道，呈后來(lái)居上之勢(shì)。

重大案例情報(bào)：

·   2019年1月，騰訊安全御見威脅情報(bào)中心檢測(cè)到charm勒索病毒在國(guó)內(nèi)開始活躍，該勒索病毒攻擊目標(biāo)主要為企業(yè)Windows服務(wù)器

·  2019年2月，騰訊安全御見威脅情報(bào)中心檢測(cè)到新型勒索病毒Clop在國(guó)內(nèi)開始傳播，國(guó)內(nèi)某企業(yè)被攻擊后造成大面積感染，由于該病毒暫無(wú)有效的解密工具，致使受害企業(yè)大量數(shù)據(jù)被加密而損失嚴(yán)重。

·  2019年2月，騰訊安全御見威脅情報(bào)中心接到山東某企業(yè)反饋，該公司電腦被Aurora勒索病毒加密。

·  2019年4月，騰訊安全御見威脅情報(bào)中心檢測(cè)發(fā)現(xiàn)，勒索病毒Mr.Dec家族新變種出現(xiàn)，該勒索病毒主要通過(guò)垃圾郵件傳播。

·  2019年4月，騰訊安全御見威脅情報(bào)中心檢測(cè)到，Stop勒索病毒變種（后綴.raldug）在國(guó)內(nèi)有部分感染，并且有活躍趨勢(shì)。該勒索病毒在國(guó)內(nèi)主要通過(guò)軟件捆綁、垃圾郵件等方式進(jìn)行傳播。

·  2019年5月，騰訊安全御見威脅情報(bào)中心檢測(cè)到國(guó)內(nèi)發(fā)生大量借助釣魚郵件方式傳播的sodinokibi勒索攻擊。該勒索病毒不光使用Web相關(guān)漏洞傳播，還會(huì)偽裝成稅務(wù)單位、私發(fā)機(jī)構(gòu)，使用釣魚欺詐郵件來(lái)傳播。

·  2019年5月，騰訊安全御見威脅情報(bào)中心檢測(cè)發(fā)現(xiàn)，JSWorm勒索病毒JURASIK變種在國(guó)內(nèi)傳播，該勒索病毒會(huì)加密企業(yè)數(shù)據(jù)庫(kù)數(shù)據(jù)。

·  2019年5月，美國(guó)海港城市、巴爾的摩市政府大約1萬(wàn)臺(tái)電腦被勒索病毒入侵，導(dǎo)致所有政府雇員無(wú)法登陸電子郵件系統(tǒng)，房地產(chǎn)交易無(wú)法完成，市政府陷入癱瘓一個(gè)多月。

·  2019年6月1日，最流行的勒索病毒之一GandCrab運(yùn)營(yíng)團(tuán)隊(duì)表示GandCrab勒索病毒將停止更新。

·  2019年6月，騰訊安全御見威脅情報(bào)中心檢測(cè)發(fā)現(xiàn)，新型勒索病毒Maze在國(guó)內(nèi)造成部分感染。該勒索病毒擅長(zhǎng)使用Fallout EK漏洞利用工具，通過(guò)網(wǎng)頁(yè)掛馬等方式傳播。

·  2019年6月，世界上最大的飛機(jī)零部件供應(yīng)商之一ASCO遭遇勒索病毒攻擊，造成了四個(gè)國(guó)家的工廠停產(chǎn)。

         (二)  挖礦木馬

挖礦木馬通過(guò)占用計(jì)算機(jī)大量資源，用于數(shù)字加密貨幣的挖掘。隨著挖礦產(chǎn)幣效率的降低，在2019年上半年挖礦木馬的傳播趨勢(shì)也逐漸下降。但是近來(lái)數(shù)字貨幣價(jià)值暴漲，或許會(huì)直接導(dǎo)致挖礦木馬的新一輪爆發(fā)。

 ·  2019年1月，騰訊安全御見威脅情報(bào)中心檢測(cè)到針對(duì)phpStudy網(wǎng)站服務(wù)器進(jìn)行批量入侵的挖礦木馬。攻擊者對(duì)互聯(lián)網(wǎng)上的服務(wù)器進(jìn)行批量掃描，發(fā)現(xiàn)易受攻擊的phpStudy系統(tǒng)后，利用用戶在安裝時(shí)未進(jìn)行修改的MySQL弱密碼進(jìn)行登錄，并進(jìn)一步植入WebShell，然后通過(guò)Shell下載挖礦木馬挖門羅幣。

·  2019年3月，騰訊安全御見威脅情報(bào)中心發(fā)現(xiàn)新型挖礦木馬“匿影”。該木馬自帶NSA全套武器庫(kù)，對(duì)企業(yè)內(nèi)網(wǎng)安全威脅極大。

·  2019年3月，騰訊安全御見威脅情報(bào)中心發(fā)現(xiàn)針對(duì)MySql服務(wù)器進(jìn)行掃描爆破的挖礦木馬攻擊。

·  2019年4月，騰訊安全御見威脅情報(bào)中心發(fā)現(xiàn)WannaMine采用“無(wú)文件”攻擊組成挖礦僵尸網(wǎng)絡(luò)，攻擊時(shí)執(zhí)行遠(yuǎn)程Powershell代碼，全程無(wú)文件落地。

·  2019年4月，騰訊安全御見威脅情報(bào)中心檢測(cè)到“Blouiroet”挖礦木馬復(fù)蘇。該木馬會(huì)首先結(jié)束所有其他挖礦木馬進(jìn)程，獨(dú)占系統(tǒng)資源運(yùn)營(yíng)門羅幣挖礦程序。

·  2019年5月，騰訊安全御見威脅情報(bào)中心捕獲到新的挖礦木馬家族NSAMsdMiner，該木馬使用NSA武器的永恒之藍(lán)、永恒浪漫、永恒冠軍、雙脈沖星4個(gè)工具進(jìn)行攻擊傳播。

·  2019年6月，騰訊安全御見威脅情報(bào)中心捕獲到一個(gè)利用多種方式在內(nèi)網(wǎng)攻擊傳播的挖礦木馬SpreadMiner。該木馬會(huì)利用永恒之藍(lán)漏洞（MS17-010）攻擊內(nèi)網(wǎng)；利用Lnk漏洞（CVE-2017-8464）通過(guò)共享木馬和移動(dòng)存儲(chǔ)設(shè)備感染傳播；同時(shí)還對(duì)MS SQL服務(wù)器進(jìn)行弱口令爆破攻擊。

        (三)  信息竊密

        信息竊密類木馬其主要目的是獲取機(jī)器上的機(jī)密敏感信息，科研機(jī)構(gòu)、高校、高科技企業(yè)及政府機(jī)關(guān)等最易受到這類木馬攻擊，竊取的信息包括失陷機(jī)器相關(guān)信息(MAC及IP地址，操作系統(tǒng)版本等)，個(gè)人或企業(yè)信息(如企業(yè)員工聯(lián)系方式，企業(yè)郵箱等)，重要機(jī)密文件等等。2019年上半年典型的信息竊密類安全事件如下：

·  騰訊安全御見威脅情報(bào)中心于今年五月截獲一竊密團(tuán)伙利用Office漏洞植入竊密木馬，瞄準(zhǔn)企業(yè)機(jī)密信息，備用病毒超60個(gè)。

·  迅銷集團(tuán)旗下日本電商網(wǎng)站賬戶遭黑客攻擊，旗下品牌優(yōu)衣庫(kù)、GU銷售網(wǎng)站逾46萬(wàn)名客戶個(gè)人信息遭未授權(quán)訪問(wèn)，造成信息泄露。

·  Capital One數(shù)據(jù)泄漏事件，Capital One表示黑客獲得了包括信用評(píng)分和銀行賬戶余額在內(nèi)的信息，以及約14萬(wàn)名客戶的社會(huì)安全號(hào)碼，據(jù)Capital One統(tǒng)計(jì)，數(shù)據(jù)泄露影響了全美約1億人和加拿大約600萬(wàn)人。

·  騰訊安全御見截獲一病毒團(tuán)伙，病毒攻克1691臺(tái)服務(wù)器，超3300萬(wàn)個(gè)郵箱密碼泄漏，包括Yahoo、Google、AOL、微軟在內(nèi)的郵箱服務(wù)均在被攻擊之列。

·  騰訊御界捕獲到一批針對(duì)政府和企業(yè)的釣魚郵件攻擊，攻擊者假冒某知名快遞公司郵箱給客戶發(fā)送電子發(fā)票，通過(guò)偽造郵件中的危險(xiǎn)附件和鏈接將目標(biāo)誘騙到釣魚網(wǎng)站，騙取企業(yè)帳號(hào)密碼。

        (四 )  刷量推廣     

        部分病毒木馬感染機(jī)器后，主要是通過(guò)刷量，主頁(yè)鎖定，軟件推裝獲利，直接危害雖然沒(méi)有敲詐勒索，信息竊密那么大，但風(fēng)險(xiǎn)木馬的存在對(duì)中招設(shè)備有著巨大的安全隱患，風(fēng)險(xiǎn)軟件內(nèi)嵌的廣告頁(yè)常因漏洞或人為因素植入掛馬代碼。此外，強(qiáng)制鎖定主頁(yè)，流氓推裝等行為也給用戶帶來(lái)很大的困擾。這類病毒木馬通過(guò)下載器、ghost系統(tǒng)、游戲外掛、流氓軟件等互相傳播，因此有感染量巨大的特點(diǎn)。2019年4月份騰訊安全就披露了一特大病毒團(tuán)伙，高峰時(shí)感染機(jī)器設(shè)備超千萬(wàn)臺(tái)。2019年上半年典型的刷量推廣類安全事件如下：

·  騰訊安全御見威脅情報(bào)中心發(fā)現(xiàn)一病毒團(tuán)伙通過(guò)偽裝多款知名軟件的官方下載站傳播病毒下載器，傳播渠道是通過(guò)購(gòu)買搜索引擎廣告來(lái)獲得流量，被病毒團(tuán)伙使用的關(guān)鍵字包括谷歌瀏覽器、flash player等知名軟件,靜默推裝超過(guò)30款軟件，此外還會(huì)通過(guò)鎖定瀏覽器主頁(yè)及添加網(wǎng)址收藏夾等獲得收益。每天中招下載的用戶近萬(wàn)，累計(jì)已有數(shù)十萬(wàn)用戶電腦被感染。

·  騰訊安全揪出年度最大病毒團(tuán)伙，高峰時(shí)控制近4000萬(wàn)臺(tái)電腦，包括幽蟲、獨(dú)狼、雙槍、紫狐、貪狼等多個(gè)病毒木馬家族，這些木馬利用盜版Ghost系統(tǒng)、激活破解工具、熱門游戲外掛等渠道傳播，通過(guò)多種流行的黑色產(chǎn)業(yè)變現(xiàn)牟利：包括，云端控制下載更多木馬、強(qiáng)制安裝互聯(lián)網(wǎng)軟件、篡改鎖定用戶瀏覽器、刷量、挖礦等等。

·  該病毒團(tuán)伙在2018年7-8月為活躍高峰，當(dāng)時(shí)被感染的電腦在3000萬(wàn)-4000萬(wàn)臺(tái)之間。至當(dāng)期報(bào)告發(fā)布時(shí)，被該病毒團(tuán)伙控制的電腦仍在200-300萬(wàn)臺(tái)。

·  獨(dú)狼木馬家族已被騰訊電腦管家多次披露，今年上半年持續(xù)活躍，除了主頁(yè)鎖定，還推裝廣告彈窗木馬進(jìn)程，自動(dòng)彈出“最熱搜”等廣告彈窗，即使把廣告進(jìn)程文件刪除了也會(huì)被反復(fù)釋放。

         (五)  肉雞后門

        攻擊者攻陷一臺(tái)主機(jī)獲得其控制權(quán)后，往往會(huì)在主機(jī)上植入后門，安裝木馬程序，以便下一次入侵時(shí)使用。后門木馬會(huì)長(zhǎng)期駐留在受害機(jī)器上，接受遠(yuǎn)控指令執(zhí)行定期更新，遠(yuǎn)程下載執(zhí)行，鍵盤監(jiān)控，文件竊取上傳等功能。此外，隨著IoT物聯(lián)網(wǎng)設(shè)備的增加，針對(duì)IoT設(shè)備的攻擊也越來(lái)越頻繁，攻擊成功后植入后門，組建僵尸網(wǎng)絡(luò)，挖礦，DDoS攻擊等進(jìn)行獲利。2019年上半年典型的肉雞后門類安全攻擊事件如下：

·  2019年7月份捕獲一利用Avtech攝像監(jiān)控等IoT設(shè)備漏洞（CNVD-2016-08737）進(jìn)行入侵的攻擊事件。攻擊者利用AVTECH DVR設(shè)備中的命令注入漏洞實(shí)現(xiàn)遠(yuǎn)程sh腳本下載執(zhí)行，最后植入bot后門, 發(fā)起DDoS網(wǎng)絡(luò)攻擊活動(dòng)。全球約有160多萬(wàn)Avtech設(shè)備，這些智能攝像頭設(shè)備、DVR設(shè)備均存在被漏洞攻擊的風(fēng)險(xiǎn)。

·  2019年7月騰訊安全御見威脅情報(bào)中心監(jiān)測(cè)到“Agwl”團(tuán)伙在入侵行動(dòng)中將Linux系統(tǒng)納入攻擊范圍，攻擊成功后植入挖礦以及遠(yuǎn)控木馬。

·  2019年4月，騰訊安全御見威脅情報(bào)中心檢測(cè)到一款Office激活工具被捆綁傳播遠(yuǎn)程控制木馬，黑客將惡意代碼和正常的激活程序打包在資源文件中，木馬會(huì)搜集敏感信息上傳并對(duì)電腦進(jìn)行遠(yuǎn)程控制。

         企業(yè)終端威脅預(yù)測(cè)

         1. 勒索病毒持續(xù)影響

         隨著挖礦等新型“黑產(chǎn)”的興起，網(wǎng)絡(luò)犯罪分子的注意力也逐漸從勒索病毒轉(zhuǎn)移到其他“黑產(chǎn)”事業(yè)。2016-2018年期間，勒索病毒的活躍度持續(xù)下降。但防范勒索病毒的攻擊，依然是企業(yè)終端安全的重要事項(xiàng)。我們觀察到，勒索病毒的攻擊目標(biāo)從攻擊個(gè)人用戶，逐漸轉(zhuǎn)變?yōu)楣羰侄胃?、針?duì)性更強(qiáng)，以攻擊企業(yè)用戶為主。2019年勒索病毒的活躍度逐漸平穩(wěn)，但近期有上升趨勢(shì)。隨著GandCrab宣布停運(yùn)，新秀Sodinokibi開始大量接替GandCrab原有的病毒傳播渠道，技術(shù)專家一度懷疑GandCrab勒索病毒停止傳播只是障眼法，該犯罪團(tuán)伙可能改頭換面，繼續(xù)經(jīng)營(yíng)新的勒索病毒。同時(shí)我們還觀測(cè)到，Ryuk家族的勒索病毒活躍度逐漸升高，有進(jìn)一步大規(guī)模擴(kuò)散的趨勢(shì)。勒索病毒家族不斷的新出，可以預(yù)見在未來(lái)相當(dāng)長(zhǎng)一段時(shí)間內(nèi)，勒索病毒破壞活動(dòng)依然持續(xù)，企業(yè)對(duì)勒索病毒的防范依然不可松懈。

        2.  BlueKeep為代表的漏洞逐漸武器化，對(duì)企業(yè)影響深遠(yuǎn)

        安全研究員發(fā)現(xiàn)微軟的遠(yuǎn)程桌面服務(wù)中存在一個(gè)名為BlueKeep的漏洞（CVE-2019-0708），攻擊者可無(wú)需與用戶端交互，即可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，進(jìn)而獲得系統(tǒng)控制權(quán)。利用此漏洞的惡意軟件可能從易受攻擊的計(jì)算機(jī)之間互相傳播，與2017年蔓延全球的WannaCry惡意軟件類似。近期BlueKeep 漏洞利用工具，開始被公開售賣。7.24日美國(guó)公司Immunity，一家專業(yè)出售商業(yè)化滲透測(cè)試套件的公司，開始在推特上公開叫賣，出售其商業(yè)漏洞利用工具（Canvas），其中便包含BlueKeep的漏洞利用。雖然Canvas 價(jià)格高昂，但對(duì)黑客來(lái)說(shuō)，破解其授權(quán)并非難事，一旦新版工具泄露出來(lái)，或許將會(huì)對(duì)企業(yè)造成類似WannaCry的破壞力。

        3.  5G時(shí)代即將到來(lái)，將進(jìn)一步擴(kuò)大網(wǎng)絡(luò)攻擊范圍

        在2018年5G 網(wǎng)絡(luò)基礎(chǔ)已陸續(xù)開始部署，2019年6月，中國(guó)5G商用牌照正式發(fā)放，標(biāo)志著中國(guó)正式進(jìn)入5G商用元年，5G將迎來(lái)加速發(fā)展。一方面，越來(lái)越多的設(shè)備將接入物聯(lián)網(wǎng)，更多的設(shè)備可能受到攻擊。近年來(lái)，大量的僵尸網(wǎng)絡(luò)感染物聯(lián)網(wǎng)，典型的有Gafgtyt僵尸網(wǎng)絡(luò)，通過(guò)感染大量的物聯(lián)網(wǎng)設(shè)備構(gòu)成的僵尸網(wǎng)絡(luò)，通常可發(fā)起DDoS等攻擊，隨著更多的設(shè)備接入物聯(lián)網(wǎng)，此類僵尸網(wǎng)絡(luò)的攻擊方式可能會(huì)發(fā)生改變，如變成竊取個(gè)人、企業(yè)的隱私、機(jī)密等，危害行將進(jìn)一步擴(kuò)大。另一方面5G時(shí)代的到來(lái)，更多的本地應(yīng)用將可放到云上，雖然云計(jì)算可以幫助我們簡(jiǎn)化本地領(lǐng)域的安全問(wèn)題，但隨著個(gè)人、企業(yè)更多的業(yè)務(wù)都放到云上，黑客也將把更多注意放到云上，云安全也應(yīng)引起廣大企業(yè)的重視。 

        企業(yè)安全威脅防護(hù)建議

        (一)  企業(yè)服務(wù)器端

       企業(yè)常見的服務(wù)器包括包括郵件服務(wù)器、DNS服務(wù)器、VPN服務(wù)器，這些基礎(chǔ)設(shè)施的安全性往往會(huì)影響到企業(yè)重要業(yè)務(wù)。例如攻擊者可通過(guò)賬號(hào)爆破、弱口令密碼登錄、DoS攻擊、系統(tǒng)配置漏洞等方式入侵。企業(yè)服務(wù)器常見的安全防護(hù)方案，是防火墻、IDS、IPS、殺毒軟件等防護(hù)產(chǎn)品，對(duì)風(fēng)險(xiǎn)流量、郵件、文件告警、攔截過(guò)濾，同時(shí)要注意排查是否存在弱口令登錄漏洞等系統(tǒng)配置漏洞。推薦企業(yè)用戶使用騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)，御界高級(jí)威脅檢測(cè)系統(tǒng)，基于騰訊反病毒實(shí)驗(yàn)室的安全能力、依托騰訊在云和端的海量數(shù)據(jù)，研發(fā)出的獨(dú)特威脅情報(bào)和惡意檢測(cè)模型系統(tǒng)。通過(guò)對(duì)企業(yè)網(wǎng)絡(luò)出入網(wǎng)絡(luò)流量的智能分析，從中發(fā)現(xiàn)黑客入侵或病毒木馬連接內(nèi)網(wǎng)的線索。

        (二)  企業(yè)客戶端

        企業(yè)應(yīng)部署客戶端防病毒軟件，讓企業(yè)網(wǎng)絡(luò)的所有節(jié)點(diǎn)都具有最新的病毒防范能力。推薦使用騰訊御點(diǎn)終端安全管理系統(tǒng)，管理員可以掌控全網(wǎng)的安全動(dòng)態(tài)，及時(shí)發(fā)現(xiàn)和清除病毒威脅。

       1. 漏洞修補(bǔ)

       企業(yè)所有終端節(jié)點(diǎn)：包括服務(wù)器和客戶端都應(yīng)及時(shí)安裝操作系統(tǒng)和主要應(yīng)用軟件的安全補(bǔ)丁，減少病毒木馬利用系統(tǒng)漏洞入侵的可能性。企業(yè)內(nèi)網(wǎng)使用騰訊御點(diǎn)終端威脅管理系統(tǒng)可以全網(wǎng)統(tǒng)一安裝系統(tǒng)補(bǔ)丁，提升客戶端的安全性。

       2. 使用更高版本的操作系統(tǒng)，新版本操作系統(tǒng)的攻擊門檻較高

       比如將內(nèi)網(wǎng)終端系統(tǒng)升級(jí)到最新的Windows 10，普通攻擊者攻擊得逞的可能性會(huì)降低。

       3. 加強(qiáng)員工網(wǎng)絡(luò)安全防護(hù)意識(shí)，包括不限于：

       a.  不要輕易下載不明軟件程序

       b.  不要輕易打開不明郵件夾帶的可疑附件

       c.  及時(shí)備份重要的數(shù)據(jù)文件

       d.  其它

       4. 其它必要措施：

       a.  關(guān)閉不必要的端口，如：445、135，139等，對(duì)3389，5900等端口可進(jìn)行白名單配置，只允許白名單內(nèi)的IP連接登陸。

      b.  關(guān)閉不必要的文件共享，如有需要，請(qǐng)使用ACL和強(qiáng)密碼保護(hù)來(lái)限制訪問(wèn)權(quán)限，禁用對(duì)共享文件夾的匿名訪問(wèn)。

      c.  采用高強(qiáng)度的密碼，避免使用弱口令，并定期更換。

      d.  對(duì)沒(méi)有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問(wèn)設(shè)置相應(yīng)控制，避免可連外網(wǎng)服務(wù)器被攻擊后作為跳板進(jìn)一步攻擊其他服務(wù)器。