一、前言

創(chuàng)新互聯(lián)建站基于成都重慶香港及美國(guó)等地區(qū)分布式IDC機(jī)房數(shù)據(jù)中心構(gòu)建的電信大帶寬，聯(lián)通大帶寬，移動(dòng)大帶寬，多線BGP大帶寬租用,是為眾多客戶提供專業(yè)光華機(jī)房服務(wù)器托管報(bào)價(jià)，主機(jī)托管價(jià)格性價(jià)比高，為金融證券行業(yè)服務(wù)器托管，ai人工智能服務(wù)器托管提供bgp線路100M獨(dú)享，G口帶寬及機(jī)柜租用的專業(yè)成都idc公司。

年復(fù)一年，日復(fù)一日，不僅威脅的總數(shù)在增加，威脅態(tài)勢(shì)也變得更加多樣化，攻擊者也在不斷開(kāi)發(fā)新的攻擊途徑并盡力在攻擊過(guò)程中掩蓋蹤跡。從Facebook數(shù)據(jù)泄露和萬(wàn)豪酒店5億用戶開(kāi)房信息掛在暗網(wǎng)銷售、“老當(dāng)益壯”的WannaCry繼續(xù)作惡并且傳播速度更快的Satan等勒索軟件大肆傳播，到花樣百出的APT攻擊行為迅速增長(zhǎng)，2018年給我們敲響了另一記警鐘，即數(shù)字安全威脅可能來(lái)自意想不到的新途徑。

縱觀去年的網(wǎng)絡(luò)安全整體態(tài)勢(shì)，數(shù)據(jù)泄露事件最為觸目驚心，全年的漏洞采集數(shù)量也達(dá)到歷年的高峰，勒索軟件也大有向挖礦的轉(zhuǎn)型之勢(shì)。

二、數(shù)據(jù)泄露事件爆炸式上升

數(shù)字化變革技術(shù)正在重塑組織機(jī)構(gòu)的經(jīng)營(yíng)方式，并將它們帶入一個(gè)數(shù)據(jù)驅(qū)動(dòng)的世界，但是企業(yè)急于擁抱數(shù)字化新環(huán)境的做法也帶來(lái)了更多被攻擊的新風(fēng)險(xiǎn)，需要企業(yè)采取數(shù)據(jù)安全控制措施來(lái)加以防范。

經(jīng)Verizo調(diào)查，今年已經(jīng)發(fā)生了5.3萬(wàn)多起安全事件，其中2216起被確認(rèn)為數(shù)據(jù)泄漏事件。另外，在這5萬(wàn)多起安全事件中，有4.3萬(wàn)起(81.1%)都是黑客通過(guò)竊取身份憑證來(lái)實(shí)現(xiàn)的。這也證實(shí)了一個(gè)普遍的觀點(diǎn)：盜用身份憑證仍然是黑客最常用、也是最有效的攻擊和破壞手段。

根據(jù)Thales eSecurity的調(diào)查報(bào)告，不斷增長(zhǎng)的數(shù)據(jù)威脅程度及其影響力清晰地體現(xiàn)在數(shù)據(jù)泄露和脆弱性的等級(jí)上：

• 2016年，26%的的受訪者表示遭遇了數(shù)據(jù)泄露，2017年的占比上升至36%，而到2018年這一比例明顯上升至67%。
• 基于此，44%的受訪者感到“非常”或“極其”容易遭受數(shù)據(jù)威脅。
• 雖然技術(shù)在隨著時(shí)代而發(fā)展，但安全策略卻并未與時(shí)俱進(jìn)，這很大程度上是因?yàn)閷?shí)際支出與最有效的數(shù)據(jù)保護(hù)方法錯(cuò)配所致。
• 77%的受訪者表示在預(yù)防數(shù)據(jù)泄露方面靜態(tài)數(shù)據(jù)安全解決方案最為有效，緊隨其后的是網(wǎng)絡(luò)安全(75%)和動(dòng)態(tài)數(shù)據(jù)(75%)解決方案。
• 盡管如此，57%的受訪者卻仍將大多數(shù)支出用于端點(diǎn)和移動(dòng)安全技術(shù)上，其次是分析與關(guān)聯(lián)工具(50%)。
• 在數(shù)據(jù)保護(hù)方面，認(rèn)知與現(xiàn)實(shí)之間的差距是顯而易見(jiàn)的，在IT安全的支出優(yōu)先事項(xiàng)中，靜態(tài)數(shù)據(jù)安全解決方案的支出反倒墊底(40%)。

以下摘錄一些2018年發(fā)生的全球性數(shù)據(jù)泄露事件：

1. 年度數(shù)據(jù)泄露事件盤點(diǎn)

(1) Facebook數(shù)據(jù)泄露

事件回顧：雖然Facebook數(shù)據(jù)泄露量不如后面的那些公司高，但其次數(shù)和影響非常深遠(yuǎn)。一家第三方公司通過(guò)一個(gè)應(yīng)用程序收集了5000萬(wàn)Facebook用戶的個(gè)人信息，由于5000萬(wàn)的用戶數(shù)據(jù)接近Facebook美國(guó)活躍用戶總數(shù)的三分之一，美國(guó)選民人數(shù)的四分之一，波及的范圍非常大。后來(lái)，5000萬(wàn)用戶數(shù)量上升至8700萬(wàn)。今年9月，F(xiàn)acebook爆出，因安全系統(tǒng)漏洞而遭受黑客攻擊，導(dǎo)致3000萬(wàn)用戶信息泄露。其中，有1400萬(wàn)人用戶的敏感信息被黑客獲取。這些敏感信息包括：姓名、聯(lián)系方式、搜索記錄、登陸位置等。

12月14日，又再次爆出，F(xiàn)acebook因軟件漏洞可能導(dǎo)致6800萬(wàn)用戶的私人照片泄露。具體來(lái)說(shuō)，在9月13日至9月25日期間，其照片API中的漏洞使得約1500個(gè)App獲得了用戶私人照片得訪問(wèn)權(quán)限。一般來(lái)說(shuō)獲得用戶授權(quán)的App只能訪問(wèn)共享照片，但這個(gè)漏洞導(dǎo)致用戶沒(méi)有公開(kāi)的照片也照樣能被被讀取。

結(jié)果：Facebook CEO數(shù)據(jù)泄露道歉，并多次出席聽(tīng)證會(huì)。一系列事件影響，F(xiàn)acebook股價(jià)已較年初跌了29.70%(12月25日)。而12月份的這次泄露，歐洲隱私管制機(jī)構(gòu)愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)已著手調(diào)查，F(xiàn)acebook或因此被罰款超過(guò)16億美元。

(2) 涉嫌侵犯數(shù)百億條公民個(gè)人信息，上市公司數(shù)據(jù)堂被公安一鍋端

事件回顧：據(jù)新華社新媒體2018年7月8日?qǐng)?bào)道，大數(shù)據(jù)行業(yè)知名企業(yè)數(shù)據(jù)堂(831428.OC)在8個(gè)月時(shí)間內(nèi)，日均傳輸公民個(gè)人信息1.3億余條，累計(jì)傳輸數(shù)據(jù)壓縮后約為4000GB左右，公民個(gè)人信息達(dá)數(shù)百億條，數(shù)據(jù)量特別巨大。

結(jié)果：除了數(shù)據(jù)堂外，山東警方共抓獲犯罪嫌疑人57名，打掉涉案公司11家。

(3) 新三板掛牌公司涉竊取30億條個(gè)人信息，非法操控公眾賬號(hào)加粉或關(guān)注

事件回顧：今年8月份，澎湃新聞從紹興市越城區(qū)公安分局獲悉，該局日前偵破一起特大流量劫持案，涉案的新三板掛牌公司北京瑞智華勝科技股份有限公司，涉嫌非法竊取用戶個(gè)人信息30億條，涉及百度、騰訊、阿里、京東等全國(guó)96家互聯(lián)網(wǎng)公司產(chǎn)品，目前警方已從該公司及其關(guān)聯(lián)公司抓獲6名犯罪嫌疑人。案件仍在進(jìn)一步偵辦中。

結(jié)果：目前警方已從該公司及其關(guān)聯(lián)公司抓獲6名犯罪嫌疑人。

(4) 圓通10億快遞信息泄露

事件回顧：六月份，暗網(wǎng)一位ID“f666666”的用戶開(kāi)始兜售圓通10億條快遞數(shù)據(jù)，該用戶表示售賣的數(shù)據(jù)為2014年下旬的數(shù)據(jù)，數(shù)據(jù)信息包括寄(收)件人姓名，電話，地址等信息，10億條數(shù)據(jù)已經(jīng)經(jīng)過(guò)去重處理，數(shù)據(jù)重復(fù)率低于20%，數(shù)據(jù)被該用戶以1比特幣打包出售。

結(jié)果：有網(wǎng)友驗(yàn)證了其中一部分?jǐn)?shù)據(jù)，發(fā)現(xiàn)所購(gòu)“單號(hào)”中，姓名、電話、住址等信息均屬實(shí)。

(5) 萬(wàn)豪酒店5億用戶開(kāi)房信息

事件回顧：萬(wàn)豪國(guó)際集團(tuán)11月30日發(fā)布公告稱，旗下喜達(dá)屋酒店客房預(yù)訂數(shù)據(jù)庫(kù)遭黑客入侵，最多約5億名客人的信息可能被泄露。萬(wàn)豪酒店在隨后的調(diào)查中發(fā)現(xiàn)，有第三方對(duì)喜達(dá)屋的網(wǎng)絡(luò)進(jìn)行未經(jīng)授權(quán)的訪問(wèn)。目前，未經(jīng)授權(quán)的第三方已復(fù)制并加密了某些信息，且采取措施試圖將該信息移出。

萬(wàn)豪披露，已知的是，大約3.27億客人的個(gè)人姓名、通信地址、電話號(hào)碼、電子郵箱、護(hù)照號(hào)碼、喜達(dá)屋SPG俱樂(lè)部賬戶信息、出生日期、性別等信息都已經(jīng)可能全部泄漏。

結(jié)果：消息公布后，萬(wàn)豪國(guó)際的股價(jià)在當(dāng)天的盤前下跌5.6%，報(bào)115.02美元。事件曝光后，萬(wàn)豪采取了各種措施去補(bǔ)救。

(6) 華住酒店5億條用戶數(shù)據(jù)疑泄露

事件回顧：華住酒店集團(tuán)旗下酒店用戶信息在“暗網(wǎng)”售賣，售賣者稱數(shù)據(jù)已在8月14日脫庫(kù)。身份證號(hào)、手機(jī)號(hào)，一應(yīng)俱全，共涉及5億條公民信息。涉及酒店范圍包括：漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。此次泄露的數(shù)據(jù)數(shù)量則總計(jì)達(dá)5億條，全部信息的打包價(jià)為8比特幣，或者520門羅幣(約合人民幣38萬(wàn)元)。賣家還稱，以上數(shù)據(jù)信息的截止時(shí)間為2018年8月14日。

結(jié)果：隨后，華住集團(tuán)酒店官方微博回應(yīng)此事稱，“已經(jīng)報(bào)警了。真實(shí)性目前無(wú)法查證，我們信息安全部門在緊急處理中”。同時(shí)官方微博也呼吁，請(qǐng)相關(guān)網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)平臺(tái)立即刪除并停止傳播上述信息，保留追究相關(guān)侵權(quán)人法律責(zé)任的權(quán)利。

(7) 瑞士數(shù)據(jù)管理公司 Veeam 泄露 4.45 億條用戶數(shù)據(jù)

事件回顧：2018年9月份，研究人員在一個(gè)配置錯(cuò)誤的服務(wù)器上發(fā)現(xiàn)了存儲(chǔ)有超過(guò)200GB數(shù)據(jù)的數(shù)據(jù)庫(kù)。據(jù)悉，該服務(wù)器處于完全無(wú)防御的狀態(tài)，且面向公眾開(kāi)放，任何人都能夠公開(kāi)查詢和訪問(wèn)其數(shù)據(jù)。研究人員介紹稱，該數(shù)據(jù)庫(kù)中存儲(chǔ)有來(lái)自Veeam公司的約4.45億客戶記錄，其中包含客戶的個(gè)人信息，如姓名、電子郵件地址以及居住地、國(guó)家等。此外，該服務(wù)器上提供的其他詳細(xì)信息還包括部分營(yíng)銷數(shù)據(jù)，例如客戶類型和組織規(guī)模、IP 地址、referrerURL 以及用戶代理等。

結(jié)果：信息在網(wǎng)上掛了4天后，就全部無(wú)法訪問(wèn)，想必公司已經(jīng)采取了措施。對(duì)于該起事件有安全專家建議，所有數(shù)據(jù)庫(kù)管理員考慮MongoDB在一年前發(fā)布其數(shù)據(jù)庫(kù)產(chǎn)品的安全指南，同時(shí)添加新的內(nèi)置安全功能，如加密，訪問(wèn)控制和詳細(xì)審計(jì)等。

(8) Exactis大數(shù)據(jù)公司失誤泄露2TB隱私信息：3.4億條，涉及2.3億人

事件回顧：據(jù)Wired報(bào)道，六月初曝光的市場(chǎng)和數(shù)據(jù)匯總公司Exactis服務(wù)器信息暴露的事情經(jīng)調(diào)查為實(shí)，涉及大約3.4億條記錄，容量接近2TB，據(jù)說(shuō)涵蓋2.3億人。這些數(shù)據(jù)包含的隱私深度超乎想象，包括一個(gè)人是否吸煙、宗教信仰、養(yǎng)狗或養(yǎng)貓以及各種興趣等。

結(jié)果：Exactis事后對(duì)數(shù)據(jù)進(jìn)行了加密防護(hù)，以避免信息的進(jìn)一步泄露。

(9) 美國(guó)功能性運(yùn)動(dòng)品牌Under Armour 1.5億用戶信息泄露

事件回顧：美國(guó)功能性運(yùn)動(dòng)品牌Under Armour(安德瑪)旗下飲食和營(yíng)養(yǎng)管理App及網(wǎng)站MyFitnessPal大規(guī)模的數(shù)據(jù)泄露，多達(dá)1.5億用戶的信息被盜。此次數(shù)據(jù)泄露事件影響到的用戶數(shù)據(jù)包括用戶名、郵箱地址、和加密的密碼。安德瑪表示，該數(shù)據(jù)泄露事件并沒(méi)有涉及到用戶的社會(huì)安全號(hào)碼、駕駛證號(hào)、和銀行卡號(hào)等隱私信息。

結(jié)果：Under Armour通過(guò)電郵和App消息提醒用戶立刻更改密碼，當(dāng)晚其股票市值下跌了4.6%。

(10) 問(wèn)答網(wǎng)站 Quora戶數(shù)據(jù)遭泄露1個(gè)億

事件回顧：12月4日，據(jù)紐約時(shí)報(bào)報(bào)道，問(wèn)答網(wǎng)站鼻祖Quora稱，該公司的計(jì)算機(jī)系統(tǒng)遭到惡意第三方的未授權(quán)訪問(wèn)，大約有1億用戶的賬戶及私人信息可能已經(jīng)泄露，包括姓名、郵箱地址和加密處理的密碼。

結(jié)果：Quora CEO發(fā)布博文致歉。官方稱，第一時(shí)間雇傭網(wǎng)絡(luò)安全專家進(jìn)行調(diào)查，同時(shí)也聯(lián)系了執(zhí)法部門。

2. 今年的數(shù)據(jù)泄露事件還有：

• 國(guó)泰航空數(shù)據(jù)泄露，940萬(wàn)乘客受影響
• MongoDB 數(shù)據(jù)庫(kù)被入侵， 1100 萬(wàn)份郵件記錄遭泄露
• SHEIN 數(shù)據(jù)泄露影響 642 萬(wàn)用戶
• http://HealthCare.gov注冊(cè)系統(tǒng)被黑客入侵，75000人數(shù)據(jù)遭泄露
• GovPayNet憑證系統(tǒng)存在漏洞，1400萬(wàn)交易記錄被曝光
• 瑞士電信(Swisscom)證實(shí)80萬(wàn)數(shù)據(jù)被盜，涉全國(guó)1/10公民信息
• 英國(guó)航空公司數(shù)據(jù)泄露事件：38萬(wàn)人受影響
• 小米有品平臺(tái)泄露個(gè)人隱私 約2000萬(wàn)用戶數(shù)據(jù)遭泄露
• 美國(guó)23州連鎖餐館出現(xiàn)數(shù)據(jù)泄露，超過(guò)50萬(wàn)信用卡數(shù)據(jù)存在安全風(fēng)險(xiǎn)
• Atlas Quantum數(shù)字貨幣投資平臺(tái)數(shù)據(jù)泄露，影響約26.1萬(wàn)名客戶
• 知名OCR軟件ABBYY FineReader被曝泄露超過(guò)20萬(wàn)份客戶文件
• Instagram平臺(tái)被黑 已超百萬(wàn)用戶信息泄露
• 乘客航班信息泄露鏈條曝光，近500萬(wàn)條信息被賣
• 醫(yī)療軟件公司MedEvolve因服務(wù)器漏洞致20多萬(wàn)患者信息泄露
• Robocall公司泄露了美國(guó)數(shù)十萬(wàn)選民個(gè)人信息
• Adidas數(shù)百萬(wàn)用戶數(shù)據(jù)泄漏
• 順豐快遞3億用戶信息外泄(順豐官方否認(rèn)，表示非順豐數(shù)據(jù))
• 陌陌數(shù)據(jù)外泄3000萬(wàn)(陌陌官方后來(lái)回應(yīng)：跟用戶匹配度極低)
• AcFun受黑客攻擊，近千萬(wàn)條用戶數(shù)據(jù)外泄
• 前程無(wú)憂用戶信息在暗網(wǎng)上被公開(kāi)銷售
• 加拿大兩大銀行遭黑客攻擊 近9萬(wàn)名客戶數(shù)據(jù)被竊
• 私人情報(bào)機(jī)構(gòu) LocalBlox 泄露 4800 萬(wàn)份個(gè)人數(shù)據(jù)記錄
• 中東打車巨頭Careem遭遇網(wǎng)絡(luò)攻擊 1400萬(wàn)乘客信息失竊
• 央視曝光偷密碼的“萬(wàn)能鑰匙”，9億人個(gè)人信息存風(fēng)險(xiǎn)
• 旅游網(wǎng)站Orbitz 88萬(wàn)份信用卡信息遭泄露

三、安全漏洞數(shù)量和嚴(yán)重性創(chuàng)下歷史新高

NVD在2018年收錄的漏洞總數(shù)為18,104個(gè)，相比2017年的18,240個(gè)處于基本持平的態(tài)勢(shì)。而2018年CNNVD采集的安全漏洞數(shù)量為15,040個(gè)，相比2017年11,707個(gè)全年采集漏洞總數(shù)增加28.5%，反映出漏洞數(shù)量迅速達(dá)到歷年高峰的嚴(yán)峻現(xiàn)實(shí)。

年度重大漏洞盤點(diǎn)：

(1) 2018年1月

• 多個(gè)CPU數(shù)據(jù)緩存機(jī)制漏洞(Meltdown：CNNVD-201801-150和CNNVD-201801-152;Spectre：CNNVD-201801-151)：成功利用以上漏洞的攻擊者可使用低權(quán)限的應(yīng)用程序訪問(wèn)系統(tǒng)內(nèi)存，從而造成數(shù)據(jù)泄露。Intel、AMD、ARM的處理器及其關(guān)聯(lián)的上層操作系統(tǒng)和云平臺(tái)均受此漏洞影響,經(jīng)證實(shí)的操作系統(tǒng)包括Windows、Linux和MacOS，經(jīng)證實(shí)的云平臺(tái)包括基于Xen PV、OpenVZ等構(gòu)架的云端基礎(chǔ)設(shè)施。目前,微軟、蘋果、紅帽、亞馬遜、騰訊云、VMware等廠商針對(duì)相關(guān)漏洞提供了修復(fù)補(bǔ)丁或緩解措施。
• iOS 平臺(tái)WebView組件漏洞(UIWebView/ WKWebView)跨域訪問(wèn)漏洞(CNNVD-201801-515)：成功利用該漏洞的攻擊者可以遠(yuǎn)程獲取手機(jī)應(yīng)用沙盒內(nèi)所有本地文件系統(tǒng)內(nèi)容，包括瀏覽器的Cookies、用戶的配置文件、文檔等敏感信息。iOS平臺(tái)使用了WebView組件的應(yīng)用可能均受影響。目前，廠商暫未發(fā)布解決方案,但可通過(guò)臨時(shí)解決措施緩解漏洞造成的危害。

(2) 2018年3月

Cisco IOS Software和IOS XE Software輸入驗(yàn)證漏洞(CNNVD-201803-1022)、Cisco IOS Software和IOS XE Software quality of service子系統(tǒng)緩沖區(qū)錯(cuò)誤漏洞(CNNVD-201803-1038)、Cisco IOS XE Software安全漏洞(CNNVD-201803-1039)。成功利用上述漏洞的攻擊者，可以對(duì)使用了IOS以及IOS XE系統(tǒng)的思科設(shè)備發(fā)送惡意的數(shù)據(jù)包，最終實(shí)現(xiàn)拒絕服務(wù)或遠(yuǎn)程代碼執(zhí)行，完全控制設(shè)備等。所有支持Smart Install client特性的IOS以及IOS XE設(shè)備都可能受漏洞影響。目前，思科官方已對(duì)該漏洞進(jìn)行了修復(fù)。

(3) 2018年4月

OracleWebLogic Server WLS核心組件遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201804-803、CVE-2018-2628)。遠(yuǎn)程攻擊者可利用該漏洞在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù)，通過(guò)T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,實(shí)現(xiàn)任意代碼執(zhí)行。Oracle WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。目前，該漏洞的攻擊代碼已在互聯(lián)網(wǎng)上公開(kāi)，且Oracle官方已發(fā)布補(bǔ)丁修復(fù)該漏洞。

(4) 2018年5月

手機(jī)程序第三方解壓縮庫(kù)輸入驗(yàn)證安全漏洞(CNNVD-201805-440)：手機(jī)程序第三方解壓縮庫(kù)輸入驗(yàn)證安全漏洞存在于使用了第三方解壓縮庫(kù)的應(yīng)用中。漏洞源于手機(jī)程序中的第三方解壓縮庫(kù)，在解壓zip壓縮包時(shí)并未對(duì)“../”進(jìn)行過(guò)濾。手機(jī)程序在調(diào)用第三方解壓縮庫(kù)解壓zip壓縮包時(shí)未對(duì)解壓路徑進(jìn)行檢查，當(dāng)從不安全的來(lái)源獲得zip格式壓縮包文件并解壓縮時(shí)，如果該zip壓縮文件被劫持插入惡意代碼，可能導(dǎo)致任意代碼執(zhí)行。

(5) 2018年6月

Microsoft Excel遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201806-800、)及Microsoft Windows HTTP協(xié)議堆棧遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201806-771)。成功利用Microsoft Excel遠(yuǎn)程代碼執(zhí)行漏洞的攻擊者，能在當(dāng)前用戶環(huán)境下執(zhí)行任意代碼，如果當(dāng)前用戶使用管理員權(quán)限登錄，攻擊者甚至可以完全控制該用戶的系統(tǒng)。成功利用Microsoft Windows HTTP 2.0協(xié)議堆棧遠(yuǎn)程代碼執(zhí)行漏洞的攻擊者，可在目標(biāo)系統(tǒng)上執(zhí)行任意代碼，并控制該用戶的系統(tǒng)。目前，微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞，建議用戶及時(shí)確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。

(6) 2018年7月

• OracleWebLogic Server WLS核心組件遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201807-1276)：攻擊者可以在未經(jīng)授權(quán)的情況下，遠(yuǎn)程發(fā)送攻擊數(shù)據(jù)，通過(guò)T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作，最終實(shí)現(xiàn)了遠(yuǎn)程代碼的執(zhí)行。目前，Oracle官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)該漏洞，請(qǐng)用戶及時(shí)檢查產(chǎn)品版本，如確認(rèn)受到漏洞影響，可安裝補(bǔ)丁進(jìn)行防護(hù)。
• 微信支付SDKXXE漏洞(CNNVD-201807-083)：成功利用該漏洞的攻擊者可以遠(yuǎn)程讀取服務(wù)器文件，獲取商戶服務(wù)器上的隱私數(shù)據(jù)，甚至可以支付任意金額購(gòu)買商品。使用有漏洞的Java版本微信支付SDK進(jìn)行支付交易的商家網(wǎng)站可能受此漏洞影響。目前，微信官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)該漏洞，建議用戶及時(shí)確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。

(7) 2018年8月

• Apache Struts2 S2-057安全漏洞(CNNVD-201808-740、CVE-2018-11776)：成功利用漏洞的攻擊者可能對(duì)目標(biāo)系統(tǒng)執(zhí)行惡意代碼。Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞。
• 微軟多個(gè)遠(yuǎn)程執(zhí)行代碼漏洞(CNNVD-201808-403、CVE-2018-8350和CNNVD-201808-399、CVE-2018-8375等)：成功利用上述Windows遠(yuǎn)程執(zhí)行代碼漏洞的攻擊者，可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞。

(8) 2018年9月

微軟官方發(fā)布了多個(gè)安全漏洞的公告，包括Internet Explorer 內(nèi)存損壞漏洞(CNNVD-201809-509、CVE-2018-8447)、Microsoft Excel 遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201809-550、CVE-2018-8331)等多個(gè)漏洞。成功利用上述安全漏洞的攻擊者，可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞。

(9) 2018年10月

• Oracle WebLogic Server遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201810-781)：攻擊者可利用該漏洞發(fā)送攻擊數(shù)據(jù)，通過(guò)T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,最終實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。Oracle官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁。
• 微軟官方發(fā)布了多個(gè)安全漏洞的公告，包括Microsoft XML Core Services MSXML parsera安全漏洞(CNNVD-201810-294)、Microsoft Windows Hyper-V安全漏洞(CNNVD-201810-327)等多個(gè)漏洞。成功利用上述漏洞的攻擊者，可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。微軟官方已發(fā)布修復(fù)上述漏洞的補(bǔ)丁。

(10) 2018年11月

• macOS High Sierra和iOS系統(tǒng)存在內(nèi)核漏洞(CNNVD編號(hào)：CNNVD-201810-1510、CVE編號(hào)：CVE-2018-4407)，該漏洞是XNU系統(tǒng)內(nèi)核中網(wǎng)絡(luò)部分的堆緩沖區(qū)溢出導(dǎo)致，攻擊者通過(guò)向目標(biāo)設(shè)備發(fā)送特殊構(gòu)造的數(shù)據(jù)包從而執(zhí)行惡意代碼或使系統(tǒng)崩潰重啟。觸發(fā)該漏洞的必要條件是攻擊者與目標(biāo)系統(tǒng)需處于同一網(wǎng)絡(luò)(如Wi-Fi)。
• 微軟多個(gè)安全漏洞，包括Microsoft Internet Explorer 安全漏洞(CNNVD-201811-349、CVE-2018-8570)、Microsoft Word 安全漏洞(CNNVD-201811-387、CVE-2018-8539)、(CNNVD-201811-388、CVE-2018-8573)等多個(gè)漏洞。成功利用上述安全漏洞的攻擊者，可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

(11) 2018年12月

微軟多個(gè)安全漏洞，包括Microsoft Internet Explorer 安全漏洞(CNNVD-201812-458、CVE-2018-8619)、Microsoft Excel安全漏洞(CNNVD-201812-466、CVE-2018-8597)等多個(gè)漏洞。成功利用上述漏洞可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。微軟官方已經(jīng)發(fā)布漏洞修復(fù)補(bǔ)丁。

四、勒索軟件業(yè)務(wù)經(jīng)歷市場(chǎng)調(diào)整

如果將勒索軟件看作一項(xiàng)生意的話，從2016年開(kāi)始到2017年勒索軟件的高額利潤(rùn)吸引大批攻擊者蜂涌而至，贖金更是漫天要價(jià)。2018年，勒索軟件“市場(chǎng)”就有點(diǎn)不景氣了，勒索軟件家族的總數(shù)下降，贖金要求也下降了，這表明勒索軟件已經(jīng)成為了商品。許多網(wǎng)絡(luò)犯罪分子可能已經(jīng)將注意力轉(zhuǎn)移到加密電子貨幣挖礦上，因?yàn)樽鳛楝F(xiàn)金的替代品，加密電子貨幣的價(jià)值非常高。網(wǎng)上銀行交易威脅也有死灰復(fù)燃的趨勢(shì)，某些臭名昭著的勒索軟件集團(tuán)正試圖增加威脅的種類。盡管勒索軟件變種數(shù)量較去年有所上升，表明那些臭名昭著的犯罪集團(tuán)仍然相當(dāng)高產(chǎn)，但勒索軟件家族的數(shù)量有所下降，這表明他們的創(chuàng)新力出現(xiàn)了下降，也可能已將注意力轉(zhuǎn)向了更高價(jià)值的新目標(biāo)。

2018年新興的勒索軟件家族摘錄：

1. 2018年1月，GandGrab勒索家族首次出現(xiàn)

應(yīng)該算是勒索病毒家族中的最年輕，但是最流行的一個(gè)勒索病毒家族，短短幾個(gè)月的時(shí)候內(nèi)，就出現(xiàn)了多個(gè)此勒索病毒家族的變種，而且此勒索病毒使用的感染方式也不斷發(fā)生變化，使用的技術(shù)也不斷在更新，此勒索病毒主要通過(guò)郵件進(jìn)行傳播，采用RSA+ASE加密的方式進(jìn)行加密，文件無(wú)法還原。

2. 2018年2月，多家互聯(lián)網(wǎng)安全企業(yè)截獲了Mind Lost勒索病毒

該勒索軟件采用C#語(yǔ)言開(kāi)發(fā)，其主要功能是采用AES加密方式加密本地文件，之后引導(dǎo)受害者至指定的網(wǎng)頁(yè)要求付費(fèi)解密文件，與以往勒索軟件不同的是，此次勒索軟件并沒(méi)有要求受害者支付比特幣等數(shù)字貨幣進(jìn)行付費(fèi)解密操作，而是直接要求用戶使用信用卡或借記卡支付贖金，以此來(lái)套取銀行卡信息，進(jìn)而將此信息出售給不法分子從而牟取更大利益。加密樣本賬戶的電腦的Users目錄下的文件，如果后綴為”.txt”,”.jpg”,”.png”,”.pdf”,”.mp4″,”.mp3″,”.c”,”.py”的文件就直接加密，且解密贖金達(dá)到200美元。

3. 2018年3月，GlobeImposter勒索病毒家族

GlobeImposter勒索病毒家族是從2017年5月開(kāi)始出現(xiàn)，并在2017年11月和2018年3月有兩次較大范圍的疫情爆發(fā)，在2017年11月前的GlobeImposter勒索病毒大部分被稱為GlobeImposter1.0，此時(shí)的病毒樣本加密后綴名以“.CHAK”較為常見(jiàn)，在2018年3月時(shí)出現(xiàn)了GlobeImposter2.0，此時(shí)的病毒樣本加密后綴名以“.TRUE”，“.doc”較為常見(jiàn)，GlobeImposter也增加了很多新型的技術(shù)進(jìn)行免殺等操作。

4. 2018年3月，麒麟2.1的勒索病毒

2018年3月1日，監(jiān)測(cè)到了“麒麟2.1”的勒索病毒。通過(guò)QQ等聊天工具傳文件方式傳播，一旦中招就會(huì)鎖定電腦文件，登錄后會(huì)轉(zhuǎn)走支付寶所有余額。中招后，它會(huì)鎖定電腦文件，表面上要求掃碼用支付寶付款3元，但實(shí)際上掃碼是登錄支付寶，登錄后會(huì)轉(zhuǎn)走支付寶所有余額。

5. 2018年3月，CrySiS勒索病毒爆發(fā)

服務(wù)器文件被加密為.java后綴的文件，采用RSA+AES加密算法，主要運(yùn)用了Mimikatz、IP掃描等黑客工具，進(jìn)行RDP爆破，利用統(tǒng)一密碼特性，使用相同密碼對(duì)全網(wǎng)業(yè)務(wù)進(jìn)行集中攻擊，通過(guò)RDP爆破的方式植入，同時(shí)此勒索病毒在最近也不斷出現(xiàn)它的新的變種，其加密后綴也不斷變化之中。

6. 2018年12月，一個(gè)以微信為支付手段的勒索病毒在國(guó)內(nèi)爆發(fā)

幾日內(nèi)，該勒索病毒至少感染了10萬(wàn)臺(tái)電腦，通過(guò)加密受害者文件的手段，已達(dá)到勒索贖金的目的，而受害者必需通過(guò)微信掃一掃支付110元贖金才能解密。

2018年6月，羅某某自主研發(fā)出病毒“cheat”，用于盜取他人支付寶的賬號(hào)密碼，進(jìn)而以轉(zhuǎn)賬方式盜取資金。

同時(shí)制作內(nèi)含“cheat”木馬病毒代碼的某開(kāi)發(fā)軟件模塊，在互聯(lián)網(wǎng)上發(fā)布，任何通過(guò)該開(kāi)發(fā)軟件編寫的應(yīng)用軟件均包含木馬病毒代碼，代碼在后臺(tái)自動(dòng)運(yùn)行，記錄用戶淘寶、支付寶等賬號(hào)密碼，以及鍵盤操作，上傳至服務(wù)器。此外，嫌疑人通過(guò)執(zhí)行命令對(duì)感染病毒的計(jì)算機(jī)除系統(tǒng)文件、執(zhí)行類文件以外的所有文件進(jìn)行加密，隨后彈出包含解密字樣和預(yù)置微信收款二維碼的勒索界面，解密程序標(biāo)題顯示“你的電腦已被加密，請(qǐng)執(zhí)行以下操作，掃一掃二維碼，你需要支付110進(jìn)行解密”。

五、挖礦攻擊迭起，花樣不斷翻新

2018年全球爆發(fā)了惡意加密貨幣挖掘，因此產(chǎn)生的惡意軟件攻擊次數(shù)增加了83%以上。今年前三個(gè)季度有超過(guò)500萬(wàn)用戶被惡意軟件攻擊，而2017年同期為270萬(wàn)。根據(jù)卡巴斯基實(shí)驗(yàn)室的說(shuō)法，在加密淘金熱背后的主要驅(qū)動(dòng)因素是安裝和使用未經(jīng)許可的軟件和內(nèi)容。在2018年，惡意加密貨幣開(kāi)采戰(zhàn)勝了過(guò)去幾年的主要威脅：勒索軟件。受惡意加密貨幣挖掘軟件攻擊的互聯(lián)網(wǎng)用戶數(shù)量在今年上半年穩(wěn)步增長(zhǎng)，遭遇挖礦攻擊的用戶數(shù)量從2016年-2017年度的1,899,236人次，增長(zhǎng)為2017-2018年度的 2,735,611人次。挖礦攻擊出現(xiàn)頻率越來(lái)越高，對(duì)受害者造成的危害也日益嚴(yán)重，而且目前已經(jīng)轉(zhuǎn)向企業(yè)目標(biāo)。

多家互聯(lián)網(wǎng)企業(yè)和網(wǎng)絡(luò)安全企業(yè)分析認(rèn)為，非法“挖礦”已成為嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題。其中，騰訊云監(jiān)測(cè)發(fā)現(xiàn)，隨著“云挖礦”的興起，云主機(jī)成為挖取門羅幣、以利幣等數(shù)字貨幣的主要利用對(duì)象，而盜用云主機(jī)計(jì)算資源進(jìn)行“挖礦”的情況也顯著增多;知道創(chuàng)宇安全團(tuán)隊(duì)監(jiān)測(cè)發(fā)現(xiàn)，“爭(zhēng)奪礦機(jī)”已成為僵尸網(wǎng)絡(luò)擴(kuò)展的重要目的之一;360企業(yè)安全技術(shù)團(tuán)隊(duì)監(jiān)測(cè)發(fā)現(xiàn)一種新型“挖礦”病毒(挖取XMR/門羅幣)，該病毒在兩個(gè)月內(nèi)瘋狂傳播，非法“挖礦”獲利近百萬(wàn)元人民幣。由于入口門檻低，只需要幾行代碼就可以執(zhí)行，網(wǎng)絡(luò)犯罪分子大肆利用挖礦軟件盜用消費(fèi)者和企業(yè)的計(jì)算機(jī)處理能力以及占用云端 CPU，為其達(dá)到挖掘電子加密貨幣的目的。隨著挖礦軟件在企業(yè)環(huán)境中逐步蔓延，企業(yè)網(wǎng)絡(luò)面臨著徹底癱瘓的風(fēng)險(xiǎn)。它可能還會(huì)給企業(yè)帶來(lái)財(cái)務(wù)上的影響，例如為挖礦軟件所占用的云CPU 買單。隨著惡意挖礦軟件的不斷升級(jí)，物聯(lián)網(wǎng)設(shè)備將仍然是這類攻擊的絕佳目標(biāo)。

挖礦木馬年度盤點(diǎn)：

(1) 2018年1月

• tlMiner爆發(fā)，它是隱藏在《絕地求生》輔助程序中的HSR幣挖礦木馬。該挖礦木馬由一游戲輔助團(tuán)隊(duì)投放，瞄準(zhǔn)游戲高配機(jī)實(shí)現(xiàn)高效率挖礦，單日影響機(jī)器量最高可達(dá)20萬(wàn)臺(tái)?！皌lMiner”木馬作者在“吃雞”游戲外掛、海豚加速器(修改版)、高仿盜版視頻網(wǎng)站(dy600.com)、酷藝影視網(wǎng)吧VIP等程序中植入“tlMiner”挖礦木馬，通過(guò)網(wǎng)吧聯(lián)盟、論壇、下載站和云盤等渠道傳播。木馬作者通過(guò)以上渠道植入木馬，非法控制網(wǎng)吧和個(gè)人計(jì)算機(jī)終端為其個(gè)人挖礦。
• 2018年4月11日，在騰訊電腦管家的協(xié)助下，山東警方在遼寧大連一舉破獲了“tlMiner”挖礦木馬黑產(chǎn)公司。該公司為大連當(dāng)?shù)馗咝录夹g(shù)企業(yè)，為非法牟利搭建木馬平臺(tái)，招募發(fā)展下級(jí)代理商近3500個(gè)，通過(guò)網(wǎng)吧渠道、吃雞外掛、盜版視頻軟件傳播投放木馬，非法控制用戶電腦終端389萬(wàn)臺(tái)，進(jìn)行數(shù)字加密貨幣挖礦、強(qiáng)制廣告等非法業(yè)務(wù)，合計(jì)挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門羅幣)、SHR(超級(jí)現(xiàn)金幣)、BCD(比特幣鉆石)、SIA(云儲(chǔ)幣)等各類數(shù)字貨幣超過(guò)2000萬(wàn)枚，非法獲利1500余萬(wàn)元。
• 1月6日，一位網(wǎng)名為“Rundvleeskroket”的Reddit(社交新聞?wù)军c(diǎn))用戶聲稱，黑莓手機(jī)的官方網(wǎng)站(blackberrymobile[.]com)被發(fā)現(xiàn)正使用Coinhive提供的加密貨幣挖礦代碼來(lái)挖掘門羅幣(Monero)。Rundvleeskroket在最新的動(dòng)態(tài)更新中表示，似乎只有黑莓的全球網(wǎng)站(blackberrymobile[.]com/en)受到影響。所以，任何被重定向到CA、EU或US的用戶都不會(huì)在網(wǎng)站開(kāi)放的情況下運(yùn)行挖礦代碼。

(2) 2018年2月

• 安全公司 CrowdStrike 發(fā)現(xiàn)了一款名為 WannaMine 的新型 Monero 加密挖掘蠕蟲(chóng)，其利用與 NSA 相關(guān)的 EternalBlue (“ 永恒之藍(lán) ” )漏洞進(jìn)行傳播。據(jù)研究人員測(cè)試，WannaMine 能夠感染從 Windows 2000 起的所有 Windows 系統(tǒng)(包括 64 位版本和 Windows Server 2003)，并使其設(shè)備性能明顯下降。WannaMine 的惡意代碼十分復(fù)雜，因?yàn)樗鼘?shí)現(xiàn)了一種類似于國(guó)家贊助的 APT 組織所使用的擴(kuò)散機(jī)制和持久性模型。更詳細(xì)地解釋是：WannaMine 利用 Windows 管理工具( WMI )永久事件訂閱來(lái)在受感染的系統(tǒng)上獲得持久性。當(dāng)注冊(cè)一個(gè)永久事件訂閱后，WannaMine 將在事件使用者中每 90 分鐘執(zhí)行一個(gè) PowerShell 命令。研究人員注意到，WannaMine 使用憑證收割機(jī) Mimikatz 來(lái)收集用戶憑據(jù)，從而達(dá)到橫向移動(dòng)的目的，但如果不能夠橫向移動(dòng)的話，WannaMine 將更依賴于 EternalBlue 的利用。
• 從2018年2月3日開(kāi)始，一組惡意代碼開(kāi)始蠕蟲(chóng)式快速傳播，360安全團(tuán)隊(duì)將其命名為ADB.Miner。最早的感染時(shí)間可以回溯到1月31日左右，這波蠕蟲(chóng)式感染于2018年2月3日下午被360系統(tǒng)檢測(cè)，感染安卓設(shè)備上 adb 調(diào)試接口的工作端口5555，正常情況下這個(gè)端口應(yīng)該被關(guān)閉，但未知原因?qū)е虏糠衷O(shè)備錯(cuò)誤的打開(kāi)了該端口蠕蟲(chóng)式感染，惡意代碼在完成植入后，會(huì)繼續(xù)掃描 5555 adb 端口，完成自身的傳播感染。感染的設(shè)備大部分是智能手機(jī)以及智能電視機(jī)頂盒。

(3) 2018年3月

一種全的新的 Android 挖礦惡意軟件 HiddenMiner 可以暗中使用受感染設(shè)備的CPU 計(jì)算能力來(lái)竊取 Monero。HiddenMiner 的自我保護(hù)和持久性機(jī)制讓它隱藏在用戶設(shè)備上濫用設(shè)備管理員功能 (通常在 SLocker Android 勒索軟件中看到的技術(shù))。另外，由于 HiddenMiner 的挖礦代碼中沒(méi)有設(shè)置開(kāi)關(guān)、控制器或優(yōu)化器，這意味著一旦它開(kāi)始執(zhí)行挖礦進(jìn)程，便會(huì)一直持續(xù)下去，直到設(shè)備電量耗盡為止。鑒于 HiddenMiner 的這種特性，這意味著它很可能會(huì)持續(xù)挖掘 Monero，直到設(shè)備資源耗盡。根據(jù)研究人員的說(shuō)法，HiddenMiner 是在第三方應(yīng)用商店發(fā)現(xiàn)的，大部分受害用戶都位于中國(guó)和印度。HiddenMiner 的持續(xù)挖礦與導(dǎo)致設(shè)備電池膨脹的Android 惡意軟件 Loapi 類似，不僅如此，HiddenMiner 還使用了類似于撤銷設(shè)備管理權(quán)限后 Loapi 鎖定屏幕的技術(shù)。

(4) 2018年5月

“WinstarNssmMiner”來(lái)襲。此類挖礦病毒最大的與眾不同是會(huì)阻止用戶結(jié)束挖礦進(jìn)程，一旦用戶選擇結(jié)束進(jìn)程，其電腦會(huì)立刻藍(lán)屏。而且此次的挖礦病毒欺軟怕硬，碰到強(qiáng)力的殺軟會(huì)當(dāng)縮頭烏龜，一旦碰到實(shí)力不濟(jì)的殺軟它就會(huì)關(guān)閉正在運(yùn)行的殺毒軟件程序。因此中了此類病毒的用戶通常只能面對(duì)已經(jīng)出現(xiàn)卡慢，甚至藍(lán)屏的電腦束手無(wú)策。該木馬病毒會(huì)將自身的惡意代碼以父進(jìn)程的形式注入系統(tǒng)進(jìn)程svchost.exe，然后把該系統(tǒng)進(jìn)程設(shè)置為CriticalProcess，在這種情況下一旦強(qiáng)制結(jié)束該進(jìn)程電腦就會(huì)立刻藍(lán)屏。用研究員的話形容就是，這個(gè)病毒真是相當(dāng)?shù)谋┝α?當(dāng)然，把用戶的電腦暴力藍(lán)屏是這個(gè)病毒最后的一招，在中病前期，該病毒還會(huì)在用戶的電腦上進(jìn)行一系列操作來(lái)挖礦獲利。

(5) 2018年6月

撒旦(Satan)勒索病毒的傳播方式升級(jí)，不光使用永恒之藍(lán)漏洞攻擊，還攜帶更多漏洞攻擊模塊：包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默認(rèn)配置漏洞(CVE-2010-0738)、Tomcat任意文件上傳漏洞(CVE-2017-12615)、Tomcat web管理后臺(tái)弱口令爆破、Weblogic WLS 組件漏洞(CVE-2017-10271)，使該病毒的感染擴(kuò)散能力、影響范圍得以顯著增強(qiáng)。分析發(fā)現(xiàn)，該變種的傳播方式與今年之前發(fā)現(xiàn)的版本類似，都有利用JBoss、Tomcat、Weblogic等多個(gè)組件漏洞以及永恒之藍(lán)漏洞進(jìn)行攻擊。新變種增加了Apache Struts2漏洞攻擊模塊，攻擊范圍和威力進(jìn)一步提升。最出人意料的是，Satan病毒放棄了此前的勒索，開(kāi)始轉(zhuǎn)行傳播挖礦木馬。由于此前的satan勒索病毒的算法存在“缺陷”，可以被進(jìn)行完美解密，從而使得勒索作者無(wú)法收到贖金。因此本次變種開(kāi)始改行挖礦，不僅可以穩(wěn)定的獲得收入，還可以避免很快的暴露(由于挖礦除了會(huì)讓機(jī)器稍微卡慢一點(diǎn)，給用戶的其他感官不強(qiáng)，因此一般用戶很難察覺(jué)到被挖礦)。

(6) 2018年9月

• 不法黑客通過(guò)1433端口爆破入侵SQL Server服務(wù)器，植入遠(yuǎn)程控制木馬并安裝為系統(tǒng)服務(wù)，然后利用遠(yuǎn)程控制木馬進(jìn)一步加載挖礦木馬進(jìn)行挖礦。用戶電腦不知不覺(jué)間淪為不法分子“挖礦”的工具，電腦算力被占用，同時(shí)極有可能帶來(lái)一系列網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。截止目前，該木馬現(xiàn)已累計(jì)感染約3萬(wàn)臺(tái)電腦。騰訊智慧安全御見(jiàn)威脅情報(bào)中心實(shí)時(shí)攔截該挖礦木馬的入侵，將其命名為“1433爆破手礦工”，不法黑客除了利用感染木馬電腦挖礦外，還會(huì)下載NSA武器攻擊工具繼續(xù)在內(nèi)網(wǎng)中攻擊擴(kuò)散，若攻擊成功，會(huì)繼續(xù)在內(nèi)網(wǎng)機(jī)器上安裝該遠(yuǎn)程控制木馬。在內(nèi)網(wǎng)攻擊中，“1433爆破手礦工”可使用的漏洞攻擊工具之多，令人咋舌。其加載的攻擊模塊幾乎使用了NSA武器庫(kù)中的十八般武器，Eternalblue(永恒之藍(lán))、Doubleplsar(雙脈沖星)、EternalChampion(永恒冠軍)、Eternalromance(永恒浪漫)、Esteemaudit(RDP漏洞攻擊)等多種漏洞攻擊工具皆可被黑客利用實(shí)施內(nèi)網(wǎng)攻擊。
• 專攻企業(yè)局域網(wǎng)的勒索病毒GandCrab，這個(gè)臭名昭著的勒索病毒版本號(hào)已升級(jí)到4.3。與以往不同的是，攻擊者在已入侵網(wǎng)絡(luò)同時(shí)釋放挖礦木馬和勒索病毒，針對(duì)高價(jià)值目標(biāo)使用GandCrab勒索病毒，而一般目標(biāo)則運(yùn)行挖礦木馬，以最大限度利用被入侵的目標(biāo)網(wǎng)絡(luò)非法牟利。分析勒索病毒GandCrab 4.3的入侵通道，發(fā)現(xiàn)黑客通過(guò)暴力破解Tomcat 服務(wù)器弱密碼實(shí)現(xiàn)入侵。入侵成功后，從C2服務(wù)器下載勒索病毒和挖礦木馬，恢復(fù)被GandCrab勒索病毒加密的文件需要付費(fèi)499美元購(gòu)買解密工具。通過(guò)錢包分析發(fā)現(xiàn)，該木馬已收獲18.6個(gè)門羅幣，折合人民幣約1.5萬(wàn)元。
• GandCrab 勒索病毒之前的版本一般通過(guò)釣魚(yú)郵件和水坑攻擊(選擇最可能接近目標(biāo)的網(wǎng)絡(luò)部署陷阱文件，等待目標(biāo)網(wǎng)絡(luò)內(nèi)的主機(jī)下載)。而現(xiàn)在，御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)到越來(lái)越多的勒索病毒會(huì)首先從企業(yè)Web服務(wù)器下手，其中Tomcat被暴破弱密碼攻擊的情況近期有明顯上升。攻擊一旦得手，黑客就會(huì)以此為跳板，繼續(xù)向內(nèi)網(wǎng)擴(kuò)散。擴(kuò)散的手法，往往是使用NSA攻擊工具包或1433，3389端口暴力破解弱口令。之后，黑客會(huì)選擇高價(jià)值目標(biāo)下載運(yùn)行勒索病毒，對(duì)一般系統(tǒng)，則植入挖礦木馬獲利。針對(duì)企業(yè)使用勒索病毒加挖礦木馬雙重打擊是近期比較突出的特點(diǎn)。

(7) 2018年10月

Palo Alto Unit 42研究員 Brad Duncan發(fā)現(xiàn)的最新惡意軟件中，不僅會(huì)安裝XMRig挖礦應(yīng)用，而且會(huì)自動(dòng)對(duì)Flash Player進(jìn)行更新。這樣在安裝過(guò)程中不會(huì)引起用戶的懷疑，從而進(jìn)一步隱藏了它的真正意圖。這款安裝器會(huì)真的訪問(wèn)Adobe的服務(wù)器來(lái)檢查是否有新的Flash Player。整個(gè)安裝過(guò)程中和正式版基本上沒(méi)有差別。這樣用戶以為正常升級(jí)Flash的背后，安裝了coinminer的挖礦應(yīng)用。一旦設(shè)備受到感染，就會(huì)連接xmr-eu1.nanopool.org的挖礦池，開(kāi)始使用100%的CPU計(jì)算能力來(lái)挖掘Monero數(shù)字貨幣。

(8) 2018年11月

• 擁有Windows和安卓雙版本的挖礦木馬MServicesX悄然流行，中毒電腦和手機(jī)會(huì)運(yùn)行門羅幣挖礦程序，造成異常發(fā)熱乃至設(shè)備受損的現(xiàn)象。該挖礦木馬十分擅長(zhǎng)偽裝，在電腦端使用具有合法數(shù)字簽名的文件，以躲避安全軟件的查殺;在安卓手機(jī)端更偽裝成Youtube視頻播放器軟件，不知情的用戶用其在手機(jī)上觀看視頻時(shí)，病毒會(huì)在后臺(tái)運(yùn)行門羅幣挖礦程序。數(shù)據(jù)顯示，挖礦木馬MServicesX近期表現(xiàn)活躍，感染量波動(dòng)較大，并且已快速蔓延至全球范圍。在國(guó)內(nèi)，則以廣東、江蘇、香港三地的受感染量最大。經(jīng)病毒溯源發(fā)現(xiàn)，該病毒的Windows版本通過(guò)提供各類游戲下載安裝的某游戲下載站進(jìn)行傳播，木馬隱藏在游戲安裝包中，游戲安裝程序在運(yùn)行時(shí)會(huì)提示用戶關(guān)閉殺毒軟件，并釋放出木馬文件“MServicesX_FULL.exe”。安裝包運(yùn)行后，病毒還會(huì)將版本更新設(shè)置為計(jì)劃任務(wù)，每三個(gè)小時(shí)運(yùn)行一次，保持木馬更新為最新版本，利用后臺(tái)程序挖礦，盡最大可能榨取用戶CPU資源。
• KoiMiner挖礦木馬變種出現(xiàn)，該變種的挖礦木馬已升級(jí)到6.0版本，木馬作者對(duì)部分代碼加密的方法來(lái)對(duì)抗研究人員調(diào)試分析，木馬專門針對(duì)企業(yè)SQL Server 服務(wù)器的1433端口爆破攻擊進(jìn)行蠕蟲(chóng)式傳播。騰訊御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)數(shù)據(jù)發(fā)現(xiàn)，KoiMiner挖礦木馬已入侵控制超過(guò)5000臺(tái)SQL Server服務(wù)器，對(duì)企業(yè)數(shù)據(jù)安全構(gòu)成重大威脅。該病毒在全國(guó)各地均有分布，廣東、山東、廣西位居前三。

新聞名稱：2018網(wǎng)絡(luò)安全大事件盤點(diǎn)|數(shù)據(jù)泄露史無(wú)前例，勒索軟件改行挖礦
鏈接地址：http://uogjgqi.cn/article/cogdgcp.html