《2019上半年企業安全總結》出爐詳解企業網絡安全現狀

服務熱線：0512-55213186

新聞資訊

致力于幫助合作伙伴構建基于一通科技的業務實踐和解決方案

公司新聞行業資訊熱點推薦

作者：etonnet　來源：信息安全與通訊保密雜志社　日期：2019-8-30 9:19:06　人氣：3527

2019年6月，多家媒體報道，美國總統特朗普允許網絡司令部對伊朗的火箭及導彈發射系統發起攻擊。6月24日伊朗通信和信息技術部長穆罕默德·賈哈米發推特稱：“美方盡全力對伊朗發動網絡攻擊，但是失敗了。2018年伊朗的網絡防火墻阻止了3300萬次網絡攻擊。

在網絡安全風險高發的大背景下，我國于2016年出臺了《網絡安全法》，并在2019年5月發布了安全等級保護2.0(簡稱等保2.0)相關國家標準，將于2019年12月1日開始正式實施。等保2.0實現了對云計算、大數據、物聯網、移動互聯和工業控制信息系統等保護對象全覆蓋。這意味著企事業單位和政府機關等主體需要進一步加大對信息安全產品和服務的投入。近年來對企業安全影響最深遠的事件是以WannaCry為代表的勒索病毒爆發。一方面其打開“永恒之藍漏洞”這個近年最強的公開攻擊工具使用的潘多拉魔盒，另一方面也把勒索病毒這一形態推向了網絡安全攻防的最熱點。后續模仿者有利用“永恒之藍”傳播挖礦木馬，也有進一步集成多種攻擊武器，傳播勒索病毒索要贖金。GranCrab勒索病毒就是其中的佼佼者。2019年6月GandCrab勒索病毒運營方突然宣布將停止更新，同時透露了一個驚人的盈利數字：GandCrab病毒產業鏈收益高達20億美元。這一病毒的發展過程中，各類安全廠商和羅馬尼亞警方始終對其圍追堵截。羅馬尼亞警方和安全廠商Bitdefender通過攻破其服務器獲取密鑰的方式，面向受害者發布解密工具。但遺憾的是，仍有大量受害者感染該病毒并選擇了繳納贖金。在這個案例的“激勵”下，大量的黑產從業者會繼續開發和傳播勒索病毒牟利。綜上，對企業和政府機構而言，網絡安全建設絕不僅是滿足監管需求，而是切實的規避安全風險。一款病毒制造者獲利20億美元的背后，其同時造成的企業生產中斷，公共事務網站停擺等損失會遠遠超過這個數字。臺積電生產線感染WannaCry全線停擺綜合損失即高達1.7億美金。本文以騰訊安全御見威脅情報中心安全大數據為基礎，從終端安全、服務器安全、網站安全和郵件安全等緯度剖析2019年上半年企業用戶安全趨勢。

企業終端安全現狀

終端設備是企業的重要資產，包括員工使用的PC計算機，服務器(文件服務器、郵件服務器等)，此外還包括打印機、攝像頭等IoT設備。這些終端設備也成為了黑客攻擊的重要目標。本文第二章將從企業終端的安全性，脆弱性，及郵件安全三部分對企業終端資產所面臨的威脅進行分析。脆弱性主要分析終端設備容易被攻擊入侵的原因，包括高危漏洞沒有及時修復，開放的高危端口及企業員工安全意識等。安全性主要分析終端設備所面臨的安全威脅，包括上半年企業終端感染的主要病毒類型，企業染毒比例，及不同行業的感染病毒分布情況分析。

(一) 終端安全性分析

1. 企業終端病毒感染概況

根據騰訊安全御見威脅情報中心數據顯示，上半年每周平均約23%的企業發生過終端病毒木馬攻擊事件，其中風險類軟件感染占比最多（占40%），其次為后門遠控類木馬（占14%）。

企業終端風險中，感染風險軟件的仍排行第一，占比達到40%。部分終端失陷后，攻擊者植入遠控木馬（占14%），并利用其作為跳板，部署漏洞攻擊工具再次攻擊內網其它終端，最終植入挖礦木馬或者勒索病毒。另外，企業內文件共享等機制也使得感染型病毒持續占據10%左右的比例。風險軟件主要是指其行為在灰色地帶打擦邊球，如流氓推裝、刷量、彈騷擾廣告等，風險類軟件之所以會有如此高的感染量和其推廣傳播方式密切相關。和勒索病毒挖礦木馬等通過漏洞利用，暴力破解等“高難度”的攻擊傳播方式不一樣，風險軟件的推廣傳播更加明目張膽，比如購買通過搜索引擎關鍵字，捆綁正常軟件進行傳播。騰訊安全御見威脅情報中心曾披露某病毒團伙通過購買“flash player”等關鍵字，利用搜索引擎廣告推廣，中招用戶累計達數十萬之多（可參考：一款利用搜索引擎推廣的病毒下載器，推裝超30款軟件，已感染數十萬臺電腦）。此外，各軟件下載站的“高速下載器”、ghost系統站點、游戲外掛站點、破解工具等都是重要傳播渠道。這些渠道都有著較大且穩定的受眾群體，導致風險軟件成為終端安全的重災區。挖礦木馬同比提高近5%，幾乎成為當前流行黑產團伙的必備組件。隨著比特幣、門羅幣、以太坊幣等數字加密幣的持續升值，挖礦成了黑產變現的重要渠道。我們預計挖礦木馬占比仍將繼續上升。勒索病毒同比變化不大，但近年新的勒索病毒層出不窮，一旦攻擊成功危害極大。部分受害企業被迫交納“贖金”或“數據恢復費”，勒索病毒仍是當前企業需要重點防范的病毒類型。

2. 不同行業感染病毒類型分布情況

風險類軟件在各行業的染毒占比最高，此外后門遠控類木馬在科技行業的染毒比例相對較高為26%，可能和科技行業中的間諜活動更加頻繁相關。

風險類軟件在教育，醫療等多個行業中的染毒比例都是最高的，而且往往都有感染量大的特點，主要原因是傳播渠道廣泛，包括下載器、ghost系統站點、游戲外掛站點、流氓軟件等，此外用戶對這類風險軟件的感知不是很明顯導致沒有及時殺毒清理。騰訊安全于2019年4月揪出年度最大病毒團伙，高峰時控制上千萬臺電腦，包括幽蟲、獨狼、雙槍、紫狐、貪狼等多個病毒木馬家族，這些木馬利用盜版Ghost系統、激活破解工具、熱門游戲外掛等渠道傳播，通過多種流行的黑色產業變現牟利：包括，云端控制下載更多木馬、強制安裝互聯網軟件、篡改鎖定用戶瀏覽器、刷量、挖礦等等。該病毒團伙在2018年7-8月為活躍高峰，被該病毒團伙控制的電腦仍在200-300萬臺。

3. 行業感染病毒對比

教育科研行業成為病毒感染的重災區，在主要的病毒類型遠控、挖礦、勒索、感染型病毒中，教育科研行業的感染設備占比最高(接近或超過50%)。

在統計中教育科研行業主要包括中小學，高校及科研機構，在各類型病毒中其染毒比例最高，尤其是感染型病毒，其染毒比例高達58%，這和該行業頻繁的文檔傳送及移動介質頻繁使用交叉感染有關。除了教育科研行業，政府機關及高科技企業在各類型病毒中的染毒比例也較高，染毒占比在14%到22%之間。遠控類木馬針對政府機關及高科技企業的攻擊活動頻繁，攻擊成功后竊取機密文件等敏感信息。騰訊安全御見威脅情報中心2019年5月捕獲到一批針對政府和企業的攻擊事件，通過發送釣魚郵件，誘導用戶打開帶有惡意宏代碼的word格式附件，打開附件后下載運行遠控木馬家族NetWiredRC，木馬會竊取中毒電腦的機密信息上傳到控制者服務器。

(二) 終端脆弱性分析

漏洞利用及端口爆破是攻陷終端設備的重要手段，回顧2018年企業服務器的網絡安全事件，可以發現數據泄露事件高發。航空、醫療、保險、電信、酒店、零售等行業均受影響。攻擊者利用爆破、漏洞等方式攻陷企業服務器。2019年全球利用企業服務器產品漏洞的攻擊依然未有放緩。簡單的漏洞或缺乏簡單的策略控制可能導致災難性的后果，下面就常見的漏洞、攻擊方式、和端口開放情況對終端脆弱性做些歸納性的總結，希望對各企業服務器安全防范有所幫助。

1. 企業終端漏洞修復情況

系統高危漏洞往往會被黑客利用進行入侵，但部分企業安全風險意識較為薄弱，據騰訊安全御見威脅情報中心數據顯示，截止6月底，仍有83%的企業終端上存在至少一個高危漏洞未修復。

在主要的高危漏洞中,永恒之藍系列漏洞補丁安裝比例最高，“永恒之藍”最早于2017年被黑客組織影子經紀人泄漏,隨后被大范圍傳播利用，其中影響最為廣泛的WannaCry勒索軟件利用該漏洞進行蠕蟲式傳播一時間席卷全球。雖然該漏洞補丁安裝比例較高，但仍有不少機器仍未安裝補丁，騰訊安全御見威脅情報中心監測到一款通過“驅動人生”系列軟件升級通道傳播的木馬，僅2個小時受攻擊用戶就高達10萬，就是利用“永恒之藍”高危漏洞進行擴散傳播。RDS(遠程桌面服務)漏洞(CVE-2019-0708)是今年五月份披露的高危漏洞，仍有大量機器沒修復該漏洞(42%),其危害程度不亞于永恒之藍系列漏洞，攻擊者通過利用此漏洞，可以在遠程且未經授權的情況下，直接獲取目標 Windows 服務器權限，遠程執行代碼。

2. 常見服務器漏洞攻擊類型

1) 系統組件類漏洞攻擊

我們對暴露在公網的服務器做抽樣分析發現，常見的系統組件漏洞攻擊類型中，遠程代碼執行（RCE）、SQL注入、XSS攻擊類型比例最高。

遠程代碼執行（RCE）漏洞是服務器上一種最嚴重的安全隱患，攻擊者可遠程執行任意命令、代碼，實現完全控制服務器主機。例如攻擊可通過Web應用等漏洞,入侵或上傳WebShell，使用反向shell獲得對服務器的控制權。反向shell是攻擊者通過受害者出站連接來獲得對受害者控制的常用方法。這種方法經常被使用，因為它很容易繞過防火墻限制，與入站連接不同，通常防火墻允許出站連接。一旦攻擊者通過RCE獲得對主機的控制權便完全控制了整個服務器系統，甚至可通過橫向移動，控制內網其它主機、服務器。SQL注入（SQLi）是最早、最流行和最危險的Web應用程序漏洞，黑客攻擊者可以利用Web應用程序對數據庫服務器（如MySQL，Microsoft SQL Server和Oracle）進行不安全的SQL查詢。它利用了Web應用程序中的漏洞，這通常這些漏洞是由于代碼錯誤導致的。使用SQL注入，攻擊者可以將SQL命令發送到數據庫服務器，允許他們對數據進行未經授權的訪問，在一些極端情況下甚至可控制整個運行數據庫服務器的系統。SQLi也恰好是最容易理解的Web應用程序漏洞之一，擁有數百種免費的現成工具，使攻擊者可以更快，更輕松地利用SQL注入漏洞。通過SQL注入漏洞，攻擊者可以繞過Web應用程序的身份驗證和授權機制，檢索整個數據庫的內容，泄取機密信息。甚至添加，修改和刪除該數據庫中的記錄，從而影響其數據完整性。由于SQL注入會影響使用SQL數據庫的Web應用程序，因此幾乎每種類型的Web應用程序都需要注意它。XSS(跨站腳本攻擊), 與大多數影響服務器端資源的漏洞不同，跨站點腳本（XSS）是Web應用中出現的漏洞。跨站點腳本通常可以被認為是主要通過使用JavaScript的應用代碼注入。XSS有許多變形，攻擊者的目標是讓受害者無意中執行惡意注入的腳本，該腳本在受信任的Web應用程序中運行。利用XSS攻擊可以實現竊取敏感數據，甚至修改Web應用程序的，誘導、騙取用戶向攻擊者提交敏感數據。

2) 配置類漏洞攻擊

2019年全球利用企業服務器產品漏洞的攻擊依然未有放緩，數據泄露事件高發。航空、醫療、保險、電信、酒店、零售等行業均受影響。攻擊者利用爆破、漏洞攻擊等方式攻陷企業服務器，簡單的漏洞或缺乏簡單的控制可能導致災難性的后果，而實際上許多通過黑客攻擊和惡意軟件進行的入侵是可以預防的。下面就常見的漏洞、和攻擊方式做些歸納性的總結。暴力破解(Brute Force), 是企圖破解用戶名、密碼。通過查找隱藏的網頁，或者使用試錯等方法找到用于加密的密鑰。我們這里說的爆破登錄也屬于暴力破解，簡單來說就是用大量的身份認證信息來不斷嘗試登錄目標系統，找到正確的登錄信息（賬號與密碼）。一般黑客攻擊者會采用工具進行爆破，利用字典（含有大量登錄信息）批量爆破。常用的爆破工具有Burpsuite、Hydra等。暴力破解這是一種比較古老的攻擊方法，但它仍然有效并且受到黑客的歡迎。根據密碼的長度和復雜程度，破解密碼可能需要幾秒到幾年的時間，但事實上黑客通過弱口令字典和一些已泄露的用戶賬戶資料字典，可能僅需幾秒便可以完成對一個服務器的爆破登錄。對企業來說，黑客通常通過RDP、SSH等協議爆破登錄到服務器，下面是我們對部分已檢測到攻擊的服務器做抽樣分析得到黑客常用于爆破登錄的協議統計。發現針對外網目標進行RDP、SMTP、SMB協議爆破攻擊最為常見。

黑客成功入侵局域網之后對內的爆破攻擊，使用的協議與外網有較大不同，SMB攻擊最為常見，其次是遠程桌面連接爆破和SSH爆破。

弱口令(Weak Password)，如果說系統和一些應用組件存在的漏洞是代碼錯誤造成的，那弱口令漏洞則是使用者人為創造的漏洞。弱口令一般是指很容易被人類和計算機(暴力破解工具)猜測到的口令。人們經常使用明顯的密碼，如他們的孩子的名字或他們的家庭號碼或者使用一些簡單是字母、數字組合如“123”、“abc”，作為重要應用、系統的登錄口令，以避免忘記。然而，密碼越簡單越有規律，就越容易被檢測用于爆破登錄。黑客利用弱口令字典，使用爆破工具，數秒甚至數毫秒便可以完成一次對服務器的入侵。在企業網絡安全中，因為一些使用的不當服務器會存在弱口令漏洞而被入侵，所以說“人才是最大的漏洞”。根據騰訊安全御見威脅情報中心檢測，黑客最常用來進行弱口令爆破的密碼如下。

3. 2019上半年熱門高危漏洞

WebLogic反序列化高危漏洞

CNVD-C-2019-48814(CVE-2019-2725), 2019年 4月17日國家信息安全漏洞共享平臺（CNVD）公開了Oracle Weblogic反序列化遠程代碼執行漏洞（CNVD-C-2019-48814）,攻擊者可以發送精心構造的惡意 HTTP 請求，利用該漏洞，未經授權便可獲得服務器權限，實現遠程代碼執行。而當時官方補丁尚未發布，漏洞處于0day狀態，并且POC已在野公開。直到4月26日Oracle官方緊急發布修復補丁，并且該漏洞被定為 CVE-2019-2725。在此期間騰訊安全御見威脅情報中心已捕獲多起利用CVE-2019-2725漏洞傳播勒索病毒事件。漏洞影響版本：Oracle WebLogic Server 10.*，OracleWebLogicServer 12.1.3CVE-2019-2729：對CVE-2019-2725漏洞補丁的繞過，和CVE-2019-2725一樣，都是圍繞著 XMLDecoder 的補丁與補丁的繞過，攻擊者可以發送精心構造的惡意 HTTP 請求，利用該漏洞，未經授權便可獲得服務器權限，實現遠程代碼執行。漏洞影響版本：Oracle WebLogic 10.3.6，Oracle WebLogicServer12.1.3，Oracle WebLogic Server 12.2.1.3Exim遠程命令執行漏洞CVE-2019-10149（2019.5）：安全研究人員在Exim郵件服務器最新改動進行代碼審計過程中發現Exim存在一個遠程命令執行，漏洞編號為CVE-2019-10149攻擊者可以以root權限使用execv()來執行任意命令，遠程利用該漏洞，遠程攻擊者需要與存在漏洞的服務器建立7天的連接（每隔幾分鐘發送1個字節）漏洞影響版本：Exim Version >= 4.87，Exim Version<=4.91

微軟遠程桌面服務漏洞(BlueKeep)

CVE-2019-0708（2019.5）：5月14日微軟官方發布安全補丁，修復了Windows遠程桌面服務的遠程代碼執行漏洞，該漏洞影響了Windows XP，Windows7，Windows2003，Windows2008，Windows2008R2 等在內的常用Windows桌面以及服務器操作系統。此漏洞是預身份驗證，無需用戶交互。其危害程度不亞于CVE-2017-0143EternalBlue，當未經身份驗證的攻擊者使用RDP（常見端口3389）連接到目標系統并發送特制請求時，可以在目標系統上執行任意命令。甚至傳播惡意蠕蟲，感染內網其他機器。類似于2017年爆發的WannaCry等惡意勒索軟件病毒。雖然具體利用細節沒有公布，但BlueKeep漏洞公布不久便有POC在暗網交易。各大安全廠商也和黑客攻擊者展開了時間賽跑，一方面安全廠商積極推送修復補丁，并嘗試重現利用。騰訊御界威脅情報中心也在第一時間重現了利用，并推出了修復、攔截攻擊方案。漏洞影響版本：Windows XP，Windows7，Windows2003，Windows2008，Windows2008R2

Windows NTLM認證漏洞CVE-2019-1040（2019.6）

6月12日，微軟官方在6月的補丁日中發布了漏洞 CVE-2019-1040的安全補丁, 漏洞存在于Windows大部分版本中，攻擊者可以利用該漏洞繞過NTLM MIC的防護機制，通過修改已經協商簽名的身份驗證流量，然后中繼到另外一臺服務器，同時完全刪除簽名要求。該攻擊方式可使攻擊者在僅有一個普通域賬號的情況下，遠程控制域中任意機器（包括域控服務器），影響非常嚴重。漏洞影響版本：Windows7，Windows 8.1，Windows10，Windows2008，Windows2008R2，Windows Server 2012，Windows Server 2012R2，Windows Server 2016，Windows Server

2019國產辦公/郵箱系統漏洞

2019上半年，除了上面提到的常見的系統應用外，國內一些常用的辦公、郵件等系統也被爆出高危漏洞，影響較大。

1）Coremail配置信息泄露漏洞

CNVD-2019-16798，2019.5，由于Coremail郵件系統的mailsms模塊參數大小寫敏感存在缺陷，使得攻擊者利用該漏洞，在未授權的情況下，通過遠程訪問URL地址獲取Coremail服務器的系統配置文件，造成數據庫連接參數等系統敏感配置信息泄露。漏洞影響版本：Coremail XT 3.0.1至XT 5.0.9版本

2）致遠 OA A8 遠程Getshell漏洞

2019.6,致遠互聯旗下產品致遠OA A8辦公自動化軟件被發現存在遠程Getshell漏洞。致遠互聯是中國協同管理軟件及云服務的廠商，致遠OA A8 是一款流行的協同管理軟件，很多大型企業都有應用。致遠A8系統，被發現存在遠程任意文件上傳文件上傳漏洞，攻擊者上傳精心構造的惡意文件，成功利用漏洞后可造成Getshell。漏洞細節已被公開，并且已經被在野利用。漏洞影響版本：A8+V7.0SP3、A8+ V6.1 SP2

4. 企業端口開放情況

企業在網絡空間的基礎設施包含網站服務器以及運行在服務器上的各種應用、服務，承載了包括網站、電子郵件、文件傳輸等各種網絡通信功能。他們在互聯網上的機器語言表現形式是以基于TCP和UDP的各種端口的網絡通信。

5. 高危端口開放情況

我們將黑客攻擊頻次較高的常用端口劃為高危端口，并抽樣對Web服務器等互聯網空間資產做了空間測繪，發現仍有33%的資產開放著這些高危端口，存在較高的安全隱患。

除了22、1900等端口，還有較大比重的郵件服務、數據庫服務等端口暴露在公網上。

22端口是Linux平臺默認的SSH遠程連接服務端口，而3389 是Windows默認的遠程桌面的服務（RDP, Remote Desktop Protocol）端口，通過SSH、RDP遠程連接是非常方便的對服務器的操作方式，所以很多服務器管理員都會開啟22、3389端口遠程桌面服務。因而很多黑客攻擊者很喜歡對22、3389端口嘗試入侵，例如通過爆破，如果服務器存在弱密碼登錄的，很容易就被爆破成功，進而服務器被黑客控制。7001端口是WebLogic的默認端口，WebLogic近期被爆出多個可被遠程攻擊的高危漏洞，如果漏洞未能及時修復，則不排除有遠程攻擊的可能。1900 UDP端口源于SSDP Discovery Service服務。通過使用SSDP協議對端口1900進行掃描可以發現UPnP（即插即用協議）設備，攻擊者可以利用這些設備發動DDoS攻擊，制造出大量流量，可導致目標企業的網站和網絡癱瘓。根據測繪結果分析，仍有部分服務器資產開放了445端口。如果這些服務器沒有打上相應的補丁，那么仍然存在被勒索病毒攻擊的風險。即便是打上了補丁，也仍然需要面對勒索病毒變種的攻擊。

(三) 郵件安全

一封電子郵件從廣義上來看，可以被分類為“正常郵件”與“非正常郵件”。我們在“郵件安全”這部分，將“非正常郵件”分為“垃圾郵件”與“惡意郵件”兩大類，且由于“惡意郵件”對企業用戶的危害程度更大，因此我們重點通過案例總結2019上半年中的惡意郵件的影響情況。

1. 郵件安全趨勢

1) 垃圾郵件

根據友商卡巴斯基公開報告數據，在2019年第一季度全球郵件通信中的垃圾郵件占比超過55.97%，與2018年第四季度基本持平。其中3月份的垃圾郵件占比最高，達到56.33%。

為了對抗各類郵箱反過濾機制，垃圾郵件無縫不入，從廣撒網式分發到精準發送，如下 “代開發票”垃圾郵件就通過濫用VMware官方賬號綁定修改機制以達到繞過郵箱過濾機制效果。

2) 惡意郵件

從惡意行為的角度來看，惡意郵件可以分為如下幾種：騙回復敏感信息；騙打開釣魚頁面鏈接；騙打開帶毒附件。企業用戶日常容易遇到后兩種案例，典型代表如帶惡意附件的魚叉郵件。魚叉郵件是一種針對特定人員或特定公司的員工進行定向傳播攻擊。網絡犯罪分子首先會精心收集目標對象的信息，使“誘餌”更具誘惑力。然后結合目標對象信息，制作相應主題的郵件和內容，騙取目標運行惡意附件。根據友商卡巴斯基公開報告數據，目前在全球的郵件流量中排名前十的惡意軟件家族如下（2019Q1）：

從攻擊手段來看，有5類是通過直接投遞病毒實體文件進行攻擊，4類通過office文檔進行攻擊，1類通過PDF文檔釣魚攻擊。其中最值得關注的仍然是office類攻擊（office漏洞或者宏），缺乏安全知識的用戶較容易忽略安裝office補丁，或者輕易允許宏代碼運行。從國內觀察郵件安全情況，騰訊御界高級威脅檢測系統每日捕獲到的魚叉郵件多為“訂單類與支付類”，訂單類主題關鍵字涉及“訂單”、“采購單”、“Purchase Order”、“RequestFor Quotation”等；支付類主題關鍵字涉及有“Invoice（發票）”、“Payment”、“Balance Payment Receipts”等，并且此兩類郵件的內容通常與主題相符合以誘導用戶點擊惡意附件。如下圖與“訂單”相關的郵件，通過將帶有惡意宏代碼的word文檔偽裝為附件“訂單列表”，誘使用戶打開文檔并觸發惡意宏代碼或者漏洞執行，最終實現投放“NetWiredRC”遠控木馬。

還有一類也很常見的就是無主題郵件，此類郵件缺少主題甚至正文，只攜帶惡意附件，

主要原因有兩方面：

· a. 縮短魚叉郵件制作時間；

· b. 為了方便群發郵件，每個群體都會有其特點，不易找到共同點。

在2017年爆發了WannaCry（永恒之藍）勒索病毒后，很多變形后的勒索軟件就是通過空白主題的郵件進行廣泛傳播的。

2. 郵件安全案例

魚叉郵件主要以投遞“竊密”、“遠控”木馬為目的，近年來為了快速變現而投遞勒索病毒的趨勢也開始變多。2019年上半年，騰訊安全等共發布18次關于郵件安全的告警，其中騰訊安全御見威脅情報中心發布了16例有關惡意郵件的分析報告。從危害行為來看，以勒索為目的的惡意郵件有10例，包含8個主流勒索軟件家族；以遠控竊密為目的的惡意郵件有8例。從攻擊手段來看，使用群發魚叉郵件有8例，使用定制魚叉郵件3例，利用office宏代碼下載惡意本體有5例，使用軟件的組件漏洞進行攻擊的有2例。最受攻擊者青睞的office漏洞CVE-2017-11882利用office軟件的公式編輯器漏洞CVE-2017-11882實現隱秘遠程下載的惡意郵件是十分常見的。用戶容易誤以為文檔中不會有惡意代碼。更重要的是，由于郵件來源和內容往往被高度偽裝，用戶很容易放下防備心打開文檔，進而導致釋放病毒。雖然該漏洞的補丁早在2017年11月公布提供修復，但實際上Office安全漏洞的修復率比系統補丁修復率要低得多，因此公式編輯器漏洞高成功率也是被廣泛利用的主要原因。2019年3月,騰訊安全御見威脅情報中心再次捕獲到針對外貿行業的攻擊樣本。攻擊者將惡意word文檔作為附件，向外貿從業人員發送“報價單”等相關主題的魚叉郵件，受害者一旦打開附件，惡意word文檔便會利用CVE-2017-11882漏洞執行惡意代碼，并釋放fareit等竊密木馬。釋放的竊密木馬會竊取中毒電腦敏感信息，包括用戶名密碼、應用程序列表、郵件信息、FTP類工具軟件的登錄憑證、多款主流瀏覽器的登錄憑證。

總收入20億美金的Gandcrab勒索病毒2019年3月13日，騰訊安全御見威脅情報中心檢測到，不法分子正使用GandCrab5.2勒索病毒對我國部分政府部門工作人員進行魚叉郵件攻擊，使用的郵件主題名為“你必須在3月11日下午3點向警察局報到！”，該病毒由于使用RSA+Salsa20加密方式，無私鑰常規情況下難以解密。

(一) 失陷攻擊簡述

迄今為止，絕大多數企業都還是以防火墻為基礎劃分出企業內網和公眾網絡的邊界，并基于此構建安全體系。企業內網被認為是可信區間，為了便于開展日常工作，通常都不會對員工在內網中訪問各種資源設置嚴格限制。因此，當病毒突破外圍防火墻進入內網環境之后，將會在內網肆意擴散。病毒為了讓其自身惡意行為實現效益最大化，首先會通過開機啟動實現常駐于用戶系統，然后會嘗試內網橫向傳播。接下來我們從“內網傳播”與“持久化駐留方式”兩個維度總結今年上半年企業終端受攻擊情況。

(二) 失陷攻擊的橫向擴散與常駐

1. 內網傳播

1) 漏洞利用

從針對系統組件的漏洞攻擊情況來看，今年上半年事件頻發的內網病毒傳播事件最熱門的仍然是利用內網SMB共享服務漏洞進行傳播的“永恒之藍漏洞”，而利用該漏洞進行廣泛傳播的最為臭名昭著的病毒當屬“永恒之藍下載器”挖礦病毒。該病毒從2018年12月14日開始至今已經更新迭代超過15個版本，持續更新內網橫向傳播攻擊方法。從應急響應現場中我們發現絕大多數是由于沒能補上“永恒之藍漏洞”而導致被反復攻陷。

2) 弱口令爆破攻擊

弱密碼爆破攻擊在入侵內網以及作為橫向擴散的手段都具有奇效。我們對部分已檢測的服務器做抽樣分析發現，弱密碼爆破攻擊集中發生在工作時間之外（早上9點之前，晚上6點之后），如下圖所示。

3) 文件共享

從應急響應現場中我們發現，文件共享目錄、可移動介質仍然是蠕蟲病毒、感染型病毒、office文檔病毒在內網傳播的感染重災區。這三類病毒一般都以竊取敏感信息為主要目的。蠕蟲具備自復制能力，可以將自身偽裝為正常文件誘導用戶，在不經意間便觸發感染所有可訪問的可移動介質與文件共享目錄。感染型病毒雖然不具備自復制能力，但會感染所有可執行程序，但同樣能通過文件共享進行傳播。而office文檔病毒一般會通過感染Normal模板或者加載項進而感染每一個office文檔，如果該文檔通過可移動介質與文件共享目錄進行分享，則會導致橫向傳播。

2. 持久化駐留方式

1) 常駐于注冊表相關啟動位置或啟動文件夾

常駐于這兩個位置是最為簡單方便的，但是也是最容易被攔截查殺的。因此病毒為了實現簡單方便的常駐且能達到避免查殺的效果，通常會從免殺角度進一步對病毒進行優化，包括但不限于加殼混淆、增肥對抗等。從每日攔截的寫入/執行數據來看，被寫入啟動項的惡意腳本類型文件的占比最高，其次是惡意可執行文件，這兩種類型的文件格式大部分都進行了混淆增肥對抗。在惡意腳本類型文件中，最常用的腳本格式是VBS（占比為38.3%），如下圖所示。

2) 常駐于任務計劃

通過將自身寫入任務計劃實現常駐，相對于注冊表與啟動文件夾要更為隱蔽和靈活。而相對于病毒本體的常駐，利用系統白文件實現遠程下載的方式更為靈活隱蔽。白利用遠程下載的技巧常被利用于任務計劃中。今年上半年最常利用任務計劃實現常駐的病毒家族是“永恒之藍下載器”，也被稱作“DtlMiner”，占比達78.68%，具體如下圖所示。

被惡意利用的系統組件數量占比如下圖所示，PowerShell利用占比最高，達84.2%

“永恒之藍下載器”在更新迭代的多個版本中，曾多次對抗殺軟，以躲避殺軟對其任務計劃項的攔截與查殺。例如，在對抗殺軟攔截層面，迭代為以“/xml”參數完成任務計劃配置的加載，在對抗殺軟查殺層面，迭代為對特征字符串的切分拼接。除此之外，由于Windows平臺下的系統組件的容錯性較高，比如Regsvr32、PowerShell等，一些病毒從容錯性的角度對執行的Regsvr32、PowerShell命令進行免殺處理。隨著相關系統組件的更新迭代，如果其容錯性再提高，則可能會出現更多針對其容錯性的復合利用。

3) 常駐于WMI類屬性

這種啟動方式要比上述的幾個啟動位置更加隱蔽，從我們監測到的數據里有接近23%的WMI類屬性被寫入了惡意腳本、被編碼過的可執行程序與shellcode，其中就包含了臭名昭著的WannaMine和MyKings病毒家族的惡意代碼。從目前收集的數據來看，WMI類屬性的濫用主要被用于惡意推廣，包括桌面惡意推廣快捷方式（占43.7%），具體數據如下圖所示。

(三) 供應鏈攻擊

供應鏈是涉及生產、分配、處理、維護貨物的活動系統，以便將資源從供應商轉移到最終消費者手中。在互聯網行業中，該供應鏈環節也完全適用。一個軟件從供應商到消費者使用，會經歷開發、分發安裝、使用、更新的環節，而供應鏈攻擊則是黑客通過攻擊各環節的漏洞，植入惡意病毒木馬，利用正常軟件的正常分發渠道達到傳播木馬的目的。由于供應鏈攻擊對于被攻擊者而言沒有任何感知，因此一直被黑客所青睞。以往供應鏈攻擊往往多見于APT（高級持續性威脅）攻擊，而在近幾年，供應鏈攻擊趨勢開始有穩定增長，攻擊事件層出不窮，日常網絡攻擊中越來越多的見到供應鏈攻擊的手段。

在2018年年度企業安全總結報告中，騰訊安全御見威脅情報中心預測針對軟件供應鏈的攻擊會更加頻繁。在2019上半年，以“永恒之藍”木馬下載器為典型的供應鏈攻擊“大展身手”，盡管爆發了有半年之多，但是如今依然有不少企業深受其害。

1. “永恒之藍”木馬下載器案例

2018年12月14日下午約17點，騰訊安全御見威脅情報中心監測到一款通過“驅動人生”系列軟件升級通道傳播的永恒之藍木馬下載器突然爆發，僅2個小時受攻擊用戶就高達10萬，當天騰訊安全御見情報中心全國首發預警。該病毒會通過云控下發惡意代碼，包括收集用戶信息、挖礦等，同時利用“永恒之藍”高危漏洞進行擴散。

但14日的爆發僅僅是個開始，盡管驅動人生公司第一時間將受到木馬影響的升級通道進行了緊急關閉，但永恒之藍木馬下載器的幕后控制者并沒有就此放棄行動，而是借助其已經感染的機器進行持續攻擊：包括通過云控指令下發挖礦模塊，在中招機器安裝多個服務以及通過添加計劃任務獲得持續執行的機會，后續版本在攻擊模塊新增SMB爆破、遠程執行工具psexec攻擊、利用Powershell版mimikatz獲取密碼，以增強其擴散傳播能力。根據騰訊安全御見威脅情報中心監測，僅2019年上半年就變種十余次，是影響范圍最大的攻擊之一。在下半年或許有更頻繁的更新、攻擊。

2. “CAXA數碼大方”畫圖軟件案例

2019年4月，騰訊安全御見威脅情報中心檢測到，有多個“CAXA數碼大方”組件均在被ramnit家族感染型病毒感染之后簽署上了官方有效的數字簽名，被感染的組件具有正常的數字簽名信息以及與官方包發布的一致的證書指紋。

企業終端失陷危害分析

端設備感染病毒失陷后會對企業造成不同程度的危害,常見的危害如敲詐勒索，挖礦占用系統資源，信息竊密，失陷設備被植入后門變成肉雞等。其中企業客戶感知最明顯的為勒索病毒，感染后會加密或刪除重要資料文件后進行敲詐勒索，有時即使交付贖金也不一定可以解密，對企業造成重大損失。隨著數字貨幣的興起，感染挖礦木馬的設備也越來越多，挖礦類病毒木馬會占用系統大量資源，造成系統運行卡慢等。除了挖礦、勒索、信息竊密，有些危害難以被受害者察覺，如被植入后門，風險流氓軟件主頁劫持，靜默刷量等，但這些風險的存在對設備安全存在巨大的安全隱患，企業管理人員不可輕視。

(一) 敲詐勒索

2019上半年中，勒索病毒依然是破壞力最強影響面最廣的一類惡意程序，通過恐嚇、綁架用戶文件或破壞用戶計算機等方式，向用戶勒索數字貨幣。在19年上半年累計感染攻擊數超250w，其中以2019年1月份最為活躍，2月到6月整體較為平穩，近期略有上升趨勢。

最為活躍的仍是GandCrab勒索病毒家族，在歐洲警方和安全廠商的多次打擊并接管其服務器后，GandCrab于6月1日宣布停止后續更新。但在利益的驅使下， Sodinokibi勒索病毒很快接管GandCrab的傳播渠道，呈后來居上之勢。

重大案例情報：

· 2019年1月，騰訊安全御見威脅情報中心檢測到charm勒索病毒在國內開始活躍，該勒索病毒攻擊目標主要為企業Windows服務器

· 2019年2月，騰訊安全御見威脅情報中心檢測到新型勒索病毒Clop在國內開始傳播，國內某企業被攻擊后造成大面積感染，由于該病毒暫無有效的解密工具，致使受害企業大量數據被加密而損失嚴重。

· 2019年2月，騰訊安全御見威脅情報中心接到山東某企業反饋，該公司電腦被Aurora勒索病毒加密。

· 2019年4月，騰訊安全御見威脅情報中心檢測發現，勒索病毒Mr.Dec家族新變種出現，該勒索病毒主要通過垃圾郵件傳播。

· 2019年4月，騰訊安全御見威脅情報中心檢測到，Stop勒索病毒變種（后綴.raldug）在國內有部分感染，并且有活躍趨勢。該勒索病毒在國內主要通過軟件捆綁、垃圾郵件等方式進行傳播。

· 2019年5月，騰訊安全御見威脅情報中心檢測到國內發生大量借助釣魚郵件方式傳播的sodinokibi勒索攻擊。該勒索病毒不光使用Web相關漏洞傳播，還會偽裝成稅務單位、私發機構，使用釣魚欺詐郵件來傳播。

· 2019年5月，騰訊安全御見威脅情報中心檢測發現，JSWorm勒索病毒JURASIK變種在國內傳播，該勒索病毒會加密企業數據庫數據。

· 2019年5月，美國海港城市、巴爾的摩市政府大約1萬臺電腦被勒索病毒入侵，導致所有政府雇員無法登陸電子郵件系統，房地產交易無法完成，市政府陷入癱瘓一個多月。

· 2019年6月1日，最流行的勒索病毒之一GandCrab運營團隊表示GandCrab勒索病毒將停止更新。

· 2019年6月，騰訊安全御見威脅情報中心檢測發現，新型勒索病毒Maze在國內造成部分感染。該勒索病毒擅長使用Fallout EK漏洞利用工具，通過網頁掛馬等方式傳播。

· 2019年6月，世界上最大的飛機零部件供應商之一ASCO遭遇勒索病毒攻擊，造成了四個國家的工廠停產。

(二) 挖礦木馬

挖礦木馬通過占用計算機大量資源，用于數字加密貨幣的挖掘。隨著挖礦產幣效率的降低，在2019年上半年挖礦木馬的傳播趨勢也逐漸下降。但是近來數字貨幣價值暴漲，或許會直接導致挖礦木馬的新一輪爆發。

· 2019年1月，騰訊安全御見威脅情報中心檢測到針對phpStudy網站服務器進行批量入侵的挖礦木馬。攻擊者對互聯網上的服務器進行批量掃描，發現易受攻擊的phpStudy系統后，利用用戶在安裝時未進行修改的MySQL弱密碼進行登錄，并進一步植入WebShell，然后通過Shell下載挖礦木馬挖門羅幣。

· 2019年3月，騰訊安全御見威脅情報中心發現新型挖礦木馬“匿影”。該木馬自帶NSA全套武器庫，對企業內網安全威脅極大。

· 2019年3月，騰訊安全御見威脅情報中心發現針對MySql服務器進行掃描爆破的挖礦木馬攻擊。

· 2019年4月，騰訊安全御見威脅情報中心發現WannaMine采用“無文件”攻擊組成挖礦僵尸網絡，攻擊時執行遠程Powershell代碼，全程無文件落地。

· 2019年4月，騰訊安全御見威脅情報中心檢測到“Blouiroet”挖礦木馬復蘇。該木馬會首先結束所有其他挖礦木馬進程，獨占系統資源運營門羅幣挖礦程序。

· 2019年5月，騰訊安全御見威脅情報中心捕獲到新的挖礦木馬家族NSAMsdMiner，該木馬使用NSA武器的永恒之藍、永恒浪漫、永恒冠軍、雙脈沖星4個工具進行攻擊傳播。

· 2019年6月，騰訊安全御見威脅情報中心捕獲到一個利用多種方式在內網攻擊傳播的挖礦木馬SpreadMiner。該木馬會利用永恒之藍漏洞（MS17-010）攻擊內網；利用Lnk漏洞（CVE-2017-8464）通過共享木馬和移動存儲設備感染傳播；同時還對MS SQL服務器進行弱口令爆破攻擊。

(三) 信息竊密

信息竊密類木馬其主要目的是獲取機器上的機密敏感信息，科研機構、高校、高科技企業及政府機關等最易受到這類木馬攻擊，竊取的信息包括失陷機器相關信息(MAC及IP地址，操作系統版本等)，個人或企業信息(如企業員工聯系方式，企業郵箱等)，重要機密文件等等。2019年上半年典型的信息竊密類安全事件如下：

· 騰訊安全御見威脅情報中心于今年五月截獲一竊密團伙利用Office漏洞植入竊密木馬，瞄準企業機密信息，備用病毒超60個。

· 迅銷集團旗下日本電商網站賬戶遭黑客攻擊，旗下品牌優衣庫、GU銷售網站逾46萬名客戶個人信息遭未授權訪問，造成信息泄露。

· Capital One數據泄漏事件，Capital One表示黑客獲得了包括信用評分和銀行賬戶余額在內的信息，以及約14萬名客戶的社會安全號碼，據Capital One統計，數據泄露影響了全美約1億人和加拿大約600萬人。

· 騰訊安全御見截獲一病毒團伙，病毒攻克1691臺服務器，超3300萬個郵箱密碼泄漏，包括Yahoo、Google、AOL、微軟在內的郵箱服務均在被攻擊之列。

· 騰訊御界捕獲到一批針對政府和企業的釣魚郵件攻擊，攻擊者假冒某知名快遞公司郵箱給客戶發送電子發票，通過偽造郵件中的危險附件和鏈接將目標誘騙到釣魚網站，騙取企業帳號密碼。

(四 ) 刷量推廣

部分病毒木馬感染機器后，主要是通過刷量，主頁鎖定，軟件推裝獲利，直接危害雖然沒有敲詐勒索，信息竊密那么大，但風險木馬的存在對中招設備有著巨大的安全隱患，風險軟件內嵌的廣告頁常因漏洞或人為因素植入掛馬代碼。此外，強制鎖定主頁，流氓推裝等行為也給用戶帶來很大的困擾。這類病毒木馬通過下載器、ghost系統、游戲外掛、流氓軟件等互相傳播，因此有感染量巨大的特點。2019年4月份騰訊安全就披露了一特大病毒團伙，高峰時感染機器設備超千萬臺。2019年上半年典型的刷量推廣類安全事件如下：

· 騰訊安全御見威脅情報中心發現一病毒團伙通過偽裝多款知名軟件的官方下載站傳播病毒下載器，傳播渠道是通過購買搜索引擎廣告來獲得流量，被病毒團伙使用的關鍵字包括谷歌瀏覽器、flash player等知名軟件,靜默推裝超過30款軟件，此外還會通過鎖定瀏覽器主頁及添加網址收藏夾等獲得收益。每天中招下載的用戶近萬，累計已有數十萬用戶電腦被感染。

· 騰訊安全揪出年度最大病毒團伙，高峰時控制近4000萬臺電腦，包括幽蟲、獨狼、雙槍、紫狐、貪狼等多個病毒木馬家族，這些木馬利用盜版Ghost系統、激活破解工具、熱門游戲外掛等渠道傳播，通過多種流行的黑色產業變現牟利：包括，云端控制下載更多木馬、強制安裝互聯網軟件、篡改鎖定用戶瀏覽器、刷量、挖礦等等。

· 該病毒團伙在2018年7-8月為活躍高峰，當時被感染的電腦在3000萬-4000萬臺之間。至當期報告發布時，被該病毒團伙控制的電腦仍在200-300萬臺。

· 獨狼木馬家族已被騰訊電腦管家多次披露，今年上半年持續活躍，除了主頁鎖定，還推裝廣告彈窗木馬進程，自動彈出“最熱搜”等廣告彈窗，即使把廣告進程文件刪除了也會被反復釋放。

(五) 肉雞后門

攻擊者攻陷一臺主機獲得其控制權后，往往會在主機上植入后門，安裝木馬程序，以便下一次入侵時使用。后門木馬會長期駐留在受害機器上，接受遠控指令執行定期更新，遠程下載執行，鍵盤監控，文件竊取上傳等功能。此外，隨著IoT物聯網設備的增加，針對IoT設備的攻擊也越來越頻繁，攻擊成功后植入后門，組建僵尸網絡，挖礦，DDoS攻擊等進行獲利。2019年上半年典型的肉雞后門類安全攻擊事件如下：

· 2019年7月份捕獲一利用Avtech攝像監控等IoT設備漏洞（CNVD-2016-08737）進行入侵的攻擊事件。攻擊者利用AVTECH DVR設備中的命令注入漏洞實現遠程sh腳本下載執行，最后植入bot后門, 發起DDoS網絡攻擊活動。全球約有160多萬Avtech設備，這些智能攝像頭設備、DVR設備均存在被漏洞攻擊的風險。

· 2019年7月騰訊安全御見威脅情報中心監測到“Agwl”團伙在入侵行動中將Linux系統納入攻擊范圍，攻擊成功后植入挖礦以及遠控木馬。

· 2019年4月，騰訊安全御見威脅情報中心檢測到一款Office激活工具被捆綁傳播遠程控制木馬，黑客將惡意代碼和正常的激活程序打包在資源文件中，木馬會搜集敏感信息上傳并對電腦進行遠程控制。

企業終端威脅預測

1. 勒索病毒持續影響

隨著挖礦等新型“黑產”的興起，網絡犯罪分子的注意力也逐漸從勒索病毒轉移到其他“黑產”事業。2016-2018年期間，勒索病毒的活躍度持續下降。但防范勒索病毒的攻擊，依然是企業終端安全的重要事項。我們觀察到，勒索病毒的攻擊目標從攻擊個人用戶，逐漸轉變為攻擊手段更集中、針對性更強，以攻擊企業用戶為主。2019年勒索病毒的活躍度逐漸平穩，但近期有上升趨勢。隨著GandCrab宣布停運，新秀Sodinokibi開始大量接替GandCrab原有的病毒傳播渠道，技術專家一度懷疑GandCrab勒索病毒停止傳播只是障眼法，該犯罪團伙可能改頭換面，繼續經營新的勒索病毒。同時我們還觀測到，Ryuk家族的勒索病毒活躍度逐漸升高，有進一步大規模擴散的趨勢。勒索病毒家族不斷的新出，可以預見在未來相當長一段時間內，勒索病毒破壞活動依然持續，企業對勒索病毒的防范依然不可松懈。

2. BlueKeep為代表的漏洞逐漸武器化，對企業影響深遠

安全研究員發現微軟的遠程桌面服務中存在一個名為BlueKeep的漏洞（CVE-2019-0708），攻擊者可無需與用戶端交互，即可實現遠程代碼執行，進而獲得系統控制權。利用此漏洞的惡意軟件可能從易受攻擊的計算機之間互相傳播，與2017年蔓延全球的WannaCry惡意軟件類似。近期BlueKeep 漏洞利用工具，開始被公開售賣。7.24日美國公司Immunity，一家專業出售商業化滲透測試套件的公司，開始在推特上公開叫賣，出售其商業漏洞利用工具（Canvas），其中便包含BlueKeep的漏洞利用。雖然Canvas 價格高昂，但對黑客來說，破解其授權并非難事，一旦新版工具泄露出來，或許將會對企業造成類似WannaCry的破壞力。

3. 5G時代即將到來，將進一步擴大網絡攻擊范圍

在2018年5G 網絡基礎已陸續開始部署，2019年6月，中國5G商用牌照正式發放，標志著中國正式進入5G商用元年，5G將迎來加速發展。一方面，越來越多的設備將接入物聯網，更多的設備可能受到攻擊。近年來，大量的僵尸網絡感染物聯網，典型的有Gafgtyt僵尸網絡，通過感染大量的物聯網設備構成的僵尸網絡，通常可發起DDoS等攻擊，隨著更多的設備接入物聯網，此類僵尸網絡的攻擊方式可能會發生改變，如變成竊取個人、企業的隱私、機密等，危害行將進一步擴大。另一方面5G時代的到來，更多的本地應用將可放到云上，雖然云計算可以幫助我們簡化本地領域的安全問題，但隨著個人、企業更多的業務都放到云上，黑客也將把更多注意放到云上，云安全也應引起廣大企業的重視。

企業安全威脅防護建議

(一) 企業服務器端

企業常見的服務器包括包括郵件服務器、DNS服務器、VPN服務器，這些基礎設施的安全性往往會影響到企業重要業務。例如攻擊者可通過賬號爆破、弱口令密碼登錄、DoS攻擊、系統配置漏洞等方式入侵。企業服務器常見的安全防護方案，是防火墻、IDS、IPS、殺毒軟件等防護產品，對風險流量、郵件、文件告警、攔截過濾，同時要注意排查是否存在弱口令登錄漏洞等系統配置漏洞。推薦企業用戶使用騰訊御界高級威脅檢測系統，御界高級威脅檢測系統，基于騰訊反病毒實驗室的安全能力、依托騰訊在云和端的海量數據，研發出的獨特威脅情報和惡意檢測模型系統。通過對企業網絡出入網絡流量的智能分析，從中發現黑客入侵或病毒木馬連接內網的線索。

(二) 企業客戶端

企業應部署客戶端防病毒軟件，讓企業網絡的所有節點都具有最新的病毒防范能力。推薦使用騰訊御點終端安全管理系統，管理員可以掌控全網的安全動態，及時發現和清除病毒威脅。