2017 年對企業安全影響最深遠的事件是以 WannaCry 爲代表的勒索病毒爆發,給許多企業帶來了滅頂之災。隨着數字加密幣的普及,數字加密幣天然的匿名性、非法交易難以追蹤的特性令病毒木馬黑色產業如獲至寶。2018 年,數字加密幣已徹底改變了病毒木馬黑色產業,使勒索病毒和挖礦木馬成爲影響企業網絡安全的兩大核心威脅。
勒索病毒直接要求受害者向指定數字加密幣錢包轉帳;挖礦木馬傳播者瘋狂入侵企業網絡,利用企業 IT 資源實現 0 成本挖礦(不管比特幣、門羅幣、以太坊幣跌成什麼樣,利用殭屍網絡挖礦不需要購買礦機,也不需要自己付電費)。而暗網平臺大量存在的非法交易,更是數字加密幣持續火爆的土壤。
勒索病毒和挖礦病毒主要傳播路徑幾乎一樣:利用黑客技術入侵企業服務器,以此爲跳板,再利用輕易獲得的漏洞攻擊工具在企業內網擴散。是傳播勒索病毒,還是種植挖礦木馬,僅僅取決於攻擊者的目的。
企業網管可以將挖礦木馬看作企業網絡安全的「體溫表」:若經常發現挖礦木馬在內網運行而未及時得到有效控制,距離勒索病毒破壞的災難爆發就爲期不遠了。
稿件來源:騰訊御見威脅情報中心
企業安全現狀
企業終端病毒感染概況:
根據騰訊御見威脅情報中心數據顯示,每週約 18% 企業發生過病毒木馬攻擊事件。
從企業染毒的類型看,挖礦類病毒比例逐漸提升,勒索類病毒依然佔據比較高的比例。這兩大類病毒在總體感染量總佔比似乎並高,但這兩類病毒造成的危害後果,卻是對企業網絡安全最嚴重的。
這兩類病毒均同時使用了蠕蟲式的傳播渠道:比如大量使用永恆之藍漏洞攻擊包,利用 Web 組件的高危漏洞從企業網絡邊界入侵,在局域網內暴力破解多個網絡服務(3389、FTP、SQL 弱口令等)主動擴散方式。一般的蠕蟲式和感染型病毒以破壞性影響爲主,這兩類影響大多都是可逆的,清除病毒修復文件即可恢復正常,其感染後果跟勒索病毒不可同日而語。
而挖礦木馬,是看起來似乎沒有存在感,挖礦木馬隱蔽性極好。只在進行挖礦操作時,才大量消耗電腦系統資源,除了比較有經驗的網民一般難以發現。挖礦木馬在電腦中長期存在,企業寶貴的計算資源被無謂浪費掉。
2018 年挖礦木馬控制肉雞電腦 0 成本大量挖礦,推動整個黑色產業將比特幣、門羅幣、以太坊幣等數字加密幣作爲非法交易的流通媒介,令黑產變現比以往更加簡單和直接,已深刻影響病毒木馬黑產生態。
風險軟件常被中國網民稱之爲流氓軟件,佔據着一半的感染比例,其危害主要是使用體驗上的困擾。風險軟件的行爲包括「流氓推廣」、「刷流量」、「騷擾廣告」、「劫持網絡流量」等惡意行爲,相對其他病毒危害來說,這類軟件的影響相對處於灰色地帶。風險軟件的高感染量,提醒廣大企業網管仍應重視對風險軟件的防禦。
行業病毒感染類型分佈
1) 不同行業感染病毒類型分佈情況:
從感染病毒分佈情況對比看,政府、教育、醫療等傳統感染更容易感染勒索、挖礦病毒,這也是爲什麼安全廠商頻繁爆出,醫療、學校等機構感染勒索、挖礦病毒。而科技、金融等新興行業則更容易受風險軟件的威脅,對科技、金融等行業,竊取機密往往成爲惡意攻擊的首選目的。
2) 行業感染病毒對比
從各行業感染病毒對比上看,醫療、教育行業感染病毒最爲嚴重,金融行業感染病毒相對最少。同時可以發現,風險軟件各行業感染情況相對比較平均,而勒索、挖礦病毒則主要集中在教育、醫療行業。
3) 不同行業訪問風險站點類型分佈
從訪問風險網站分佈看,政府、教育、醫療等傳統行業,容易受社工欺詐、虛假銷售等網站影響,而科技、金融行業則更容易受信息欺詐影響。
4) 行業訪問風險站點對比
從各行業訪問風險站點對比來看,社工欺詐和虛假銷售在各行業相對比較普遍。其中,政府受信息欺詐影響最小,而醫療行業受虛假銷售影響最大。
企業終端系統安全狀況
1) 企業終端操作系統安全指數
根據騰訊御見威脅情報中心數據監測,並且結合系統脆弱性和系統受安全事件影響對企業用戶使用的 Windows 系統做不同版本的安全度評估。使用得出不同版本的系統安全指數,使用 Win10 的用戶系統安全度更高,使用 WinXP 的用戶安全度最底。
2) 企業終端漏洞修復情況
黑客入侵活動中,最常用的手法是利用系統漏洞達到入侵的目的,而針對對企業用戶終端的數據統計發現,約 83% 的 Windows 操作系統存在高危漏洞未及時修復。
3) 企業終端脆弱性配置情況
終端脆弱性是指存在風險系統配置項,例如未設置登錄密碼、存在開放的高危端口,防火牆被關閉等等。安全地配置系統可以有效防止高危入侵行爲。
(1) 企業終端 Windows 操作系統存在高風險配置比例
企業終端 Windows 操作系統配置情況較好,存在脆弱性配置的比例佔 14%,部分企業資產管理不到位,導致存在部分機器有所遺漏。
(2) 存在高風險脆弱性配置的類型分佈情況
從存在的高風險脆弱性配置類型來看,主要有身份鑑別和網絡安全訪問控制風險,即存在空口令登陸和允許遠程匿名訪問的風險。一旦被黑客利用,黑客可遠程登錄計算器執行任意操作,帶來信息泄露等嚴重問題。
2018 企業威脅病毒流行趨勢
1) 勒索病毒
勒索病毒,是 2018 年破壞性最強影響面最廣的一類惡意程序,通常是通過恐嚇、綁架用戶文件或破壞用戶計算機等方式,向用戶勒索錢財。
早期的勒索病毒通常是通過釣魚郵件、社工等方式傳播,通常傳播規模量比較小,隨着 2017 年 NSA 方程式工具泄露,「永恆之藍」工具被大量利用,加之近年數字加密幣的流行,勒索病毒感染正處於愈演愈烈的態勢。
2018 年對企業安全來說,首要安全威脅當屬勒索病毒,國內活躍的勒索病毒家族如下:
而針對高價值的企業服務器勒索成爲了勒索病毒攻擊的首選目標:
(1)2018.4 月,騰訊御見威脅情報中心發現 Satan 勒索病毒主攻數據庫,對數據庫各種文件加密勒索,加密完成後,會用中英韓三國語言索取 0.3 個比特幣作爲贖金,並威脅三天內不支付不予解密。
(2)2018.4 月,騰訊御見威脅情報中心接到某公司反饋,該公司數臺 Windows 服務器中了勒索病毒,電腦除了 C 盤,其他磁盤分區都被整個加密,造成公司業務停擺,並且勒索金額高達 9.5 個比特幣(約 40 萬人民幣)。
(3)2018.4 月,騰訊御見威脅情報中心接到某公司反饋,服務器被黑客入侵併且數據已被勒索病毒家族加密。
(4)2018.5 月,騰訊御見威脅情報中心發現,GandCrab 勒索病毒更新,並且目標主要針對企業服務器。
(5)2018.6 月,騰訊御見威脅情報中心監測到,Crysis 家族勒索病毒針對企業服務器攻擊迅速上漲。
(6)2018.7 月,騰訊御見威脅中心發現,湖北某醫院遭撒旦(Satan)勒索病毒襲擊。
(7)2018.8 月,臺積電遭勒索病毒攻擊而停產。
(8)2018.9 月,騰訊御見威脅情報中心監測到,國內某重要通信企業多地子公司發生 GlobeImposter 勒索病毒攻擊事件,內網多臺機器被感染包括服務器。
(9)2018.9 月,國內部分國土部門專網受勒索病毒攻擊,部分省份不動產登記系統暫停使用。
(10)2018.9 月,騰訊御見威脅情報中心監測到,GandCrab 再次升級,通過暴力破解 Tomcat 服務器弱密碼實現入侵,並且下載勒索病毒和挖礦木馬,實施勒索和挖礦。
(11)2018.11 月,知名半導體公司合晶科技位於大陸的工廠全線感染 WannaCry 勒索病毒,造成產線癱瘓,工廠全部停產。
一方面,勒索病毒對企業傷害巨大,一旦企業內網有資產中了勒索病毒,其常見文檔文件會被加密,無法正常使用,並且勒索病毒有極大的可能會在內網傳播,給企業造成不可挽回的損失。另一方面,勒索病毒利用成本越來越低,而收益相對較高,在黑市上只要數百元便可以獲得一個勒索病毒,但勒索成功一次就可以獲利數千元,甚至數萬元。
目前數字加密貨幣日益普及,在世界範圍內處於監管的空白地帶,利用數字加密貨幣達成非法交易,難以被執法部門追蹤,勒索病毒製作 / 發佈者因此更加肆無忌憚!
勒索病毒發佈者通常都是有目的地針對企業發起攻擊,勒索企業獲得贖金的機率遠高於勒索個人用戶,可以預測 2019 年勒索病毒依然會是企業安全的重大威脅。
2) 挖礦木馬
挖礦木馬,是近年興起的網絡安全威脅,2017 年下半年開始進入普通用戶的視野,而 2018 年開始流行。中挖礦木馬的計算機,其計算機資源被大量佔用用於數字加密幣的挖掘。挖礦木馬的流行一定程度上受數字加密幣市值漲跌影響。
以最常見的比特幣和門羅幣爲例,2017 下半年比特幣和門羅幣價值暴漲,2018 年下半年有下降,但價值扔高於 2017 年之前,所以整個 2018 年勒索木馬的流行趨勢總體呈上漲趨勢。
數據來源於 coinmarketcap.com
根據騰訊御見威脅情報中心數據監測,2018 企業用戶中挖礦木馬的總體呈上升趨勢。
而企業服務器同樣成爲挖礦木馬攻擊的常見目標。
(1)2018.4 月,騰訊見威脅情報中心發現,PhotoMiner 木馬入侵 FTP、SMB 服務器擴大傳播,並實施挖礦。
(2)2018.4 月,騰訊見威脅情報中心發現,大批企業網站 WEB 服務器被黑客組件利用 Apache Struts2 漏洞入侵,並植入挖礦木馬。
(3)2018.5 月,騰訊見威脅情報中心監測到,黑客利用 Drupal 系統漏洞,大批使用 Drupal 系統的網站被植入挖礦木馬。
(4)2018.6 月,騰訊御見威脅情報中心發現,Nitol 木馬被黑客植入到攻陷的服務器上,利用服務器挖礦。被攻擊的服務器還包括某省公路路政系統。
(5)2018.7 月,騰訊御見威脅情報中心再次監測到,利用 Apache Struts2 高危漏洞入侵服務器,植入 KoiMiner 挖礦木馬。
(6)2018.7 月,騰訊御見威脅情報中心發現,北京某連鎖醫療機構 SQL Server 服務器遭黑客入侵,並且被植入挖礦木馬,服務器硬件資源被挖礦病毒大量消耗,影響正常的企業業務。
(7)2018.7 月,騰訊御見威脅情報中心發現,廣東重慶多家三甲醫院服務器遭暴力入侵,攻擊者暴力破解醫院服務器的遠程登錄服務,利用被攻陷的服務器挖礦。
(8)2018.7 月,騰訊御見威脅情報中心發現,北京某手遊公司官網配置不當,服務器被入侵,其官網被植入挖礦木馬。
(9)2018.7 月,騰訊御見威脅情報中心發現,陝西多家企業網站被植入 JS 網頁挖礦木馬。
(10) 2018.12 月,騰訊御見威脅情報中心發現,8220 團伙再次入侵企業服務器,利用企業服務器挖礦。
挖礦木馬依然持續活躍中,預測 2019 年挖礦木馬依然是企業安全的重要威脅之一。
3) 風險軟件
風險軟件:是指具有「惡意行爲」的軟件,這類軟件通常附帶部分常用的功能,如「日曆」、「解壓縮」等用戶常用的功能,通過誤導安裝、捆綁安裝安裝等渠道安裝在用戶的機器上,進行長期的潛伏,伺機實施暗刷流量、流氓推廣、竊取隱私、挖礦、惡意廣告等行爲。中國用戶習慣稱爲「流氓軟件」、「間諜軟件」等。
如 2018 年風險軟件影響比較大的事件之一是: 新型惡意軟件攻擊針對 2018 美國中期選舉關鍵州的選民,其意圖是收集有關活動和選民的數據,然後利用這些數據發起有針對性的後續攻擊。
對企業用戶來說,風險軟件很可能會竊取企業內部機密信息,廣大企業用戶應提高警惕。
4) 感染型病毒
感染型病毒運行後會將病毒代碼加入其它程序中,進而感染全盤,嚴重時可導致計算機崩潰無法運行。早期的感染型病毒主要目的是破壞目標計算機,而近期活躍的感染型病毒附帶後門功能,病毒的操縱者可以遠程連接到用戶計算機。
感染型病毒,破壞性強,清除相對困難,又因爲企業內網經常存在文件共享等需求,感染型病毒容易在內網傳播。
根據騰訊御見威脅情報中心數據監測,企業內部中毒的類型中約 6.4% 是感染型病毒。感染型病毒作爲一種相對古老的病毒類型,長期活躍在各企業內網中,預測 2019 年感染型病毒依然是企業安全的主要威脅之一。
5) 蠕蟲、僞裝文件夾病毒
最常見的蠕蟲病毒是「僞裝文件夾」病毒,僞裝文件夾病毒通常通過、移動硬盤、U 盤等移動介質及網絡驅動器傳播。病毒入侵電腦後,可遠程下載、更新其它病毒模塊,如盜號、挖礦等。
病毒運行後,會將移動設備、網絡驅動器內的原有文件隱藏,並創建一個與原有文件圖標一樣的快捷方式,誘導用戶點擊。當用戶將 U 盤、移動硬盤拿到其它機器上使用時,一旦點擊其僞裝的快捷方式時,病毒馬上運行,並實施感染電腦上其它正常的文件。對企業內網來說,用 U 盤、移動硬盤、網絡驅動器交互文件頻率比較高,所以這類病毒更容易在企業內網中傳播。
2018 其它典型企業安全事件
2018 年影響企業安全的事件除了勒索病毒傳播依然猖獗,挖礦病毒異軍突起外,還有針對行業性的攻擊、針對軟件供應鏈的攻擊等依然持續不斷。
「商貿信」病毒攻擊
在 17 年 12 月全球範圍內爆發的「商貿信」病毒,在 18 年 6 月再次爆發,每天定向投放到中國進出口企業的攻擊郵件有數千封之多。
不法黑客將發件人僞裝成專業從事國際運送業務的知名企業客服人員,並搭配極具說服力的正文內容,誘導收到郵件的業務人員下載查閱附件。一旦用戶不慎點開郵件附件文檔,文檔內嵌的惡意代碼會自動下載 Loki Bot 木馬程序並運行,造成用戶電腦中的機密信息泄露。
針對保險、母嬰等行業定向攻擊
18 年 6 月,騰訊御見威脅情報中心監測到一批木馬,通過最傳統的魚叉攻擊,誘餌採用 rar 壓縮包的形式進行投遞,對保險、母嬰等行業定向攻擊,實施商業間諜活動。
供應鏈攻擊
12 月,廣東省深圳市某知名軟件廠商服務器被攻陷,導致客戶端軟件在更新時,被重定向至黑客服務器下載惡意病毒木馬,10 萬用戶遭到了感染。
2019 企業網絡安全威脅趨勢——供應鏈攻擊值得高度關注
縱觀近幾年網絡攻擊趨勢,針對軟件供應鏈的攻擊變得愈發頻繁,從早些年爆出的「棱鏡計劃」,到近期的 Heartbleed 漏洞、NotPetya 勒索病毒爆發以及爆出的各種數據泄露事件,供應鏈攻擊不再是高級攻擊的專屬,而變得與廣大用戶息息相關,隨時都會帶來嚴重損害。
供應鏈是涉及生產、分配、處理、維護貨物的活動系統,以便將資源從供應商轉移到最終消費者手中。在互聯網行業中,該供應鏈環節也完全適用。一個軟件從供應商到消費者使用,會經歷開發、分發安裝、使用、更新的環節,而供應鏈攻擊則是黑客通過攻擊各環節的漏洞,植入惡意病毒木馬,達到傳播木馬的目的。
由於供應鏈攻擊對於被攻擊者而言沒有任何感知,因此一直被黑客所青睞。以往供應鏈攻擊往往多見於 APT (高級持續性威脅)攻擊,而在近幾年,供應鏈攻擊趨勢開始有穩定增長,攻擊事件層出不窮,日常網絡攻擊中越來越多的見到供應鏈攻擊的手段。
下面對供應鏈各環節的攻擊進行介紹。
開發環節
對開發環節的攻擊,是指對軟件的開發工具、環境、源碼進行攻擊、污染,導致軟件一經編譯成功便帶有惡意病毒木馬,隨後所有該軟件的分發渠道全部帶毒。當用戶安裝使用軟件時,同時電腦也中了病毒木馬。
典型攻擊事例:
遠程終端管理軟件 Xshell 後臺被植入後門。Xshell 是 NetSarang 公司開發的安全終端模擬軟件,在 2017 年 7 月發佈的軟件 nssock2.dll 模塊被發現有惡意後門代碼,並且該文件帶有合法簽名,因此能夠輕易繞過安全軟件的查殺。該事件導致 10 萬用戶存在被盜取遠程登錄信息的風險。
分發安裝環節
分發安裝環節是指在正常軟件的分發、下載、傳播、安裝等環節中,進行病毒木馬的捆綁,使得用戶在安裝使用時,無形中也在電腦上安裝了病毒木馬。
17 年 6 月,由安全廠商 CheckPoint 曝光的「FireBall (火球)」,通過野馬瀏覽器等多款流氓軟件傳播。用戶在安裝這些看似正常的軟件時,「FireBall (火球)」也同時安裝在了電腦上。「FireBall (火球)」傳播量級達到了千萬級,會劫持瀏覽器的首頁及標籤頁,影響用戶的正常使用。
使用環節
使用環節指用戶在正常使用軟件時,軟件已被黑客惡意篡改,通過社工等方式,引導用戶進行高風險操作,導致電腦中惡意病毒木馬。
著名勒索病毒 GandCrab 的傳播方式之一水坑攻擊則是個典型案例。黑客通過入侵 Web 服務器,將網頁內容篡改爲亂碼。當用戶訪問該網頁時,提示系統缺失字體組件,並且彈窗提示用戶下載安裝。而下載鏈接實際上爲 GandCrab 勒索病毒的下載鏈接,一旦用戶下載運行,電腦上的文檔資料便會被加密,造成不可挽回的損失。
更新環節
更新環節指軟件安裝在用戶機器上後,日常更新時,黑客將更新鏈接劫持到惡意服務器上,導致下載的並不是的軟件的更新版本,而是黑客傳播的惡意木馬。由於很多軟件能夠自動更新,因此該攻防方式讓廣大用戶防不勝防。
更新劫持是最爲常見的供應鏈攻擊手段。17 年在烏克蘭爆發的 Petya 勒索病毒則是通過更新劫持傳播。黑客首先攻擊了 M.E.Doc,這是一家烏克蘭會計軟件廠商。之後黑客通過 M.E.Doc 更新服務器將惡意更新鏈接推送給用戶,導致 Petya 勒索病毒的大爆發。更新劫持供應鏈攻擊方式在國內也層出不窮。
在 2018 年 12 月中旬,騰訊御見威脅情報中心預警大範圍的木馬傳播,根據分析爲某知名軟件後臺服務器被入侵,導致軟件更新時,被重定向至黑客服務器下載惡意木馬,進而導致大面積感染,量級達到了 10 萬以上。
一些攻擊者還會劫持網絡,模擬、僞造一些常見軟件(比如 Flash、PDF 閱讀器、Office 補丁、Windows 補丁等)的升級提示,欺騙終端用戶安裝。
供應鏈攻擊預防安全建議
a) 軟件廠商
-
在供應鏈攻擊很多環節中,軟件廠商是黑客攻擊的主要目標,用戶是最終攻擊目標。因此,軟件廠商的安全措施就顯得極其重要。
-
使用可信、正規的安全開發軟件,使用開源開發工具,也要注意官方渠道,或有能力審閱源碼。
-
產品發佈前嚴格進行安全檢測,通過後纔可發佈。
-
在可信的渠道商發佈軟件產品,防止軟件被二次打包惡意捆綁。
b) 用戶
-
儘管在供應鏈攻擊很多環節中,用戶無法阻止攻擊行爲的發生。但是培養安全意識,養成良好的上網行爲,即可有效阻止攻擊的有效落地。
-
儘量在官網等正規渠道,下載安裝軟件。
-
安裝安全軟件,並且保持打開狀態。這樣當有惡意病毒木馬落地時,安全軟件也能進行攔截查殺,阻止惡意行爲的發生。對誘導關閉、退出殺毒軟件的說法保持足夠警惕。
企業安全威脅防護建議
企業服務器端
企業常見的服務器包括包括郵件服務器、DNS 服務器、VPN 服務器,這些基礎設施的安全性往往會影響到企業重要業務。例如攻擊者可通過賬號爆破、弱口令密碼登錄、DoS 攻擊、系統配置漏洞等方式入侵。
企業服務器常見的安全防護方案,是防火牆、IDS、IPS、殺毒軟件等防護產品,對風險流量、郵件、文件告警、攔截過濾,同時要注意排查是否存在弱口令登錄漏洞等系統配置漏洞。
推薦企業用戶使用騰訊御界高級威脅檢測系統,御界高級威脅檢測系統基於騰訊反病毒實驗室的安全能力、依託騰訊在雲和端的海量數據,研發出的獨特威脅情報和惡意檢測模型系統。通過對企業網絡出入網絡流量的智能分析,從中發現黑客入侵或病毒木馬連接內網的線索。
企業網絡客戶端
企業應部署客戶端防病毒軟件,讓企業網絡的所有節點都具有最新的病毒防範能力。推薦使用騰訊御點終端安全管理系統,管理員可以掌控全網的安全動態,及時發現和清除病毒威脅。
漏洞修補
企業所有終端節點:包括服務器和客戶端都應及時安裝操作系統和主要應用軟件的安全補丁,減少病毒木馬利用系統漏洞入侵的可能性。企業內網使用騰訊御點終端安全管理系統可以全網統一安裝系統補丁,提升客戶端的安全性。
使用更高版本的操作系統,新版本操作系統的攻擊門檻相對較高。
如企業網絡升級部署 Windows 10。
加強員工網絡安全防護意識,包括不限於:
不要輕易下載不明軟件程序
不要輕易打開不明郵件夾帶的可疑附件
及時備份重要的數據文件
- 其它必要的防護措施:
關閉不必要的端口,如:445、135,139 等,對 3389,5900 等端口可進行白名單配置,只允許白名單內的 IP 連接登陸。
關閉不必要的文件共享,如有需要,請使用 ACL 和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問。
採用高強度的密碼,避免使用弱口令,並定期更換。
對沒有互聯需求的服務器 / 工作站內部訪問設置相應控制,避免可連外網服務器被攻擊後作爲跳板進一步攻擊其他服務器。