2018年中国网络安全报告

2019-01-18   

本报告综合瑞星“云安全”系统、瑞星安全研究院、瑞星威胁情报平台、瑞星客户服务中心等部门的统计、研究数据和分析资料,针对中国2018年1至12月的网络安全现状与趋势进行统计、研究和分析。

一、恶意软件与恶意网址

(一)恶意软件

1.2018年病毒概述

(1)病毒疫情总体概述

2018年瑞星“云安全”系统共截获病毒样本总量7,786万个,病毒感染次数11.25亿次,病毒总体数量比2017年同期上涨55.63%。由于利益的驱使,更多领域的犯罪分子投入到了挖矿病毒与勒索病毒领域,同时,病毒与杀毒软件的对抗越来越激烈,攻击者持续更新迭代病毒,导致病毒有了极大的增长。

报告期内,新增木马病毒占总体数量的61.60%,依然是第一大种类病毒。灰色软件病毒(垃圾软件、广告软件、黑客工具、恶意软件)为第二大种类病毒,占总体数量的14.53%,第三大种类病毒为病毒释放器,占总体数量的12.52%。

图:2018年病毒类型统计

报告期内,CVE-2018-0802漏洞利用占比29.95%,位列第一位。该漏洞是office公式编辑器EQNEDT32.EXE的一个漏洞,由于公式编辑器对字体名称的长度没有进行校验,导致攻击者可以通过构造恶意的字体名,执行任意代码。

图:2018年流行漏洞排名(CVE-2018)

(2)病毒感染地域分析

报告期内,北京市病毒感染2.26亿人次,位列全国第一,其次为广东省0.92亿人次及山东省0.65亿人次。

图:2018年病毒感染地域Top10

2.2018年病毒Top10

根据病毒感染人数、变种数量和代表性进行综合评估,瑞星评选出了2018年1至12月病毒Top10:

图:2018年病毒Top10

3.2018年中国勒索软件感染现状

报告期内,瑞星“云安全”系统共截获勒索软件感染次数687万次,其中广东省感染179万次,位列全国第一,其次为上海市77万次,北京市52万次及江苏省33万次。

图:2018年勒索软件感染地域分布Top10

通过对瑞星捕获的勒索样本按家族分析发现,GandCrab家族占比36%,位列第一,其次为WannaCrypt占比31%,以及Lyposit占比17%。

图:2018年勒索软件按家族分类

(二)恶意网址

1.2018年全球恶意网址总体概述

2018年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量1.06亿个,其中挂马网站6,622万个,诈骗网站3,949万个。美国恶意URL总量为2,785万个,位列全球第一,其次是中国399万个,德国188万个,分别为二、三位。

图:2018年全球恶意URL地域分布Top10

2.2018年中国恶意网址总体概述

报告期内,香港恶意网址(URL)总量为78万个,位列全国第一,其次是甘肃省72万个,以及浙江省66万个,分别为二、三位。

注:上述恶意URL地址为恶意URL服务器的物理地址。

图:2018年中国恶意URL地域分布Top10

3.2018年中国诈骗网站概述

2018年瑞星“云安全”系统共拦截诈骗网站攻击323万余次,广东受诈骗网站攻击66万次,位列第一位,其次是北京市受诈骗网站攻击44万次,第三名是上海市受诈骗网站攻击20万次。

图:2018年诈骗网站攻击地域分布Top10

报告期内,赌博类诈骗网站占46%,位列第一位,其次是情色类诈骗网站占37%,恶意软件类诈骗网站占11%,分别为二、三位。

图:2018年诈骗网站类型比例

4.2018年中国主要省市访问诈骗网站类型

报告期内,广东、上海、江苏等地区访问的诈骗网站类型以赌博为主,北京、辽宁、浙江等地区则以情色网站为主,其余地区访问恶意推广诈骗网站居多。

图:2018年中国主要省市访问诈骗网站类型

5.诈骗网站趋势分析

2018年情色、赌博类诈骗网站占比较大,这些恶意网站大多通过非法手段进行传播,有些赌博类诈骗网站采用新型的“夺宝”形式,利用低价格高回报方式吸引用户,以零钱试玩的方式让用户参与其中,前期平台方会进行后台操作让用户少输多赢,当用户产生一定的兴趣后,再进行后台操作赢取用户钱财。诈骗网站的传播途径:

  • 利用微信朋友圈以软文方式进行诱导传播。
  • 利用QQ群发方式进行范围传播。
  • 利用短信群发平台以中奖方式进行传播。
  • 利用游戏辅助软件进行传播。
  • 利用大型互联网平台发布信息进行传播。

6.2018年中国挂马网站概述

2018年瑞星“云安全”系统共拦截挂马网站攻击65万余次,浙江省受挂马攻击25万次,位列第一位,其次是北京市受挂马攻击19万次。

图:2018年挂马攻击地域分布Top10

7.挂马网站趋势分析

2018年挂马攻击相对增多,攻击者一般自建一些导航类或色情类网站,吸引用户主动访问。有些网站会锁定用户浏览器主页,当用户访问会自动跳转到指定的恶意网站,大部分恶意网站会挂载木马程序诱导用户下载,进而窃取用户的账户信息,非法分子利用窃取的信息进行诈骗或资金盗刷。挂马防护手段主要为:

  • 更新到最新的浏览器版本。
  • 禁止浏览陌生邮件或手机短信发送的链接网址。
  • 禁止浏览不正规或非法网站。
  • 禁止在非正规网站下载软件程序。
  • 安装杀毒防护软件。

二、移动互联网安全

(一)手机安全

1.2018年手机病毒概述

2018年瑞星“云安全”系统共截获手机病毒样本640万个,病毒总体数量比2017年同期上涨26.73%。新增病毒类型以信息窃取、资费消耗、流氓行为、恶意扣费四类为主,其中信息窃取类病毒占比26%,位居第一。其次是资费消耗类病毒占比25%,第三名是流氓行为类病毒占比18%。

图:2018年手机病毒类型比例

2.2018年手机病毒Top5

图:2018年手机病毒Top5

3.2018年Android手机漏洞Top5

图:2018年Android手机漏洞Top5

(二)2018年移动安全事件

1.新型挖矿恶意软件HiddenMiner导致安卓手机电池耗尽

2018年4月,一种新型门罗币挖矿恶意软件HiddenMiner伪装成Google Play更新软件,针对安卓手机用户发起了攻击,该恶意软件封装后没有调试器、控制器、切换功能,用户手机一旦感染,将无法人工停止运行,手机后台会一直开启,直到手机电池耗尽。恶意软件HiddenMiner的自我保护和恢复机制非常强大,它会利用安卓设备管理员的权限使它具有和SLockerAndroid恶意软件一样的安卓系统管理员权限。手机一旦被安装后,会不断弹出权限请求窗口,直到用户选择允许才会消失。

图:恶意软件HiddenMiner伪装成Google Play更新软件

2.英国政府会议APP被黑 多名官员信息泄露

2018年8月,BBC报道了英国会议APP泄露大量高管信息一事。据悉,英国保守党的会议APP出现安全漏洞,包括内阁大臣和高级议员在内的众多高层个人信息被泄露。英国财政大臣和前外交大臣的手机号无需密码便可查看。与会内阁成员、议员、记者和地方议员的照片及个人信息可以被随意修改。拥有最高级别安全许可的部长们都接到了骚扰电话。英国环境部长的照片还被恶搞,换成了传媒大亨默多克,邮箱地址也被改成一个假的。这种政府级别的安全事件,后果相当严重,甚至泄露国家秘密,直接影响到国家的网络安全。

3.手机短信验证码存漏洞

2018年8月,“截获短信验证码盗刷案”在网上引起人们关注。手机有时无缘无故地收到短信验证码,但是本人并未进行任何操作,而且支付宝或银行卡的钱却被转走。这是一种新型伪基站诈骗。利用“GSM劫持+短信嗅探技术”,犯罪分子可实时获取用户手机短信内容,进而利用各大知名银行、网站、移动支付APP存在的基础漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等。

4.中消协测评报告:超九成APP涉嫌过度收集用户个人信息

2018年11月,中消协通报100款APP个人信息收集与隐私政策测评情况。被测评的10类100款APP分别从APP Store和安卓市场进行下载,根据测评结果,新闻阅读、网上购物和交易支付等类型APP为总平均分相对较高的APP类别,而金融理财类APP得分相对较低,仅为28.91分。《测评报告》显示,10类APP普遍存在涉嫌过度收集个人信息的情况,59款APP涉嫌过度收集“位置信息”,28 款APP涉嫌过度收集“通讯录信息”,23 款APP涉嫌过度收集“身份信息”,22款APP涉嫌过度收集“手机号码”等。在隐私政策方面:47款APP隐私条款内容不达标,其中34款APP没有隐私条款。

5.黑客利用银行APP漏洞非法获利2800万

2018年12月,据新民晚报报道,上海警方成功捣毁一个利用网上银行漏洞非法获利的犯罪团伙,马某等6名犯罪嫌疑人被依法刑事拘留。这个团伙发现某银行APP软件中的质押贷款业务存在安全漏洞,遂使用非法手段获取了5套该行的储户账户信息,在账户中存入少量金额后办理定期存款,后通过技术软件成倍放大存款金额,借此获得质押贷款,累计非法获利2800余万元。

6.国家网信办集中整治APP乱象:依法关停下架3469款APP

2018年12月,国家网信办会同有关部门针对网民反映强烈的违法违规、低俗不良移动应用程序(APP)乱象,集中开展清理整治专项行动,依法关停下架“成人约聊”“两性私密圈”“澳门金沙”“夜色的寂寞”“全民射水果”等3469款涉黄涉赌、恶意扣费、窃取隐私、诱骗诈骗、违规游戏、不良学习类APP。有关负责人称,这些违法违规APP传播隐蔽、性质恶劣、社会危害大,必须重拳出击,全环节治理,让网络空间更加清朗,坚决维护广大网民的根本利益。

三、互联网安全

(一)2018年全球网络安全事件解读

1.英特尔处理器曝出“Meltdown”和“Spectre”漏洞

2018年1月,英特尔处理器曝出“Meltdown”(熔断)和“Spectre”(幽灵)两大新型漏洞,影响Intel、AMD以及ARM等多个厂商的产品,受影响的操作系统平台有Windows、Linux、Android、IOS以及Mac OS等。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。

图:英特尔处理器曝出“Meltdown”和“Spectre”漏洞

2.Facebook用户数据泄露

2018年3月,Facebook八千七百多万用户数据泄露,这些数据被“剑桥分析”公司非法利用以发送政治广告。此次事件被视为 Facebook 有史以来遭遇的最大型数据泄露事件。剑桥分析公司与Facebook进行了合作。前者开发了一个让用户进行“个性人格测试”的 Facebook APP(类似国内微信的小程序),每个用户做完这个测试,就可以得到5美元。剑桥分析公司不仅收集了用户的测试结果,顺便收集了用户在Facebook上的个人信息。剑桥分析公司以此访问并获得了8700万活跃用户数据,然后建立起用户画像,依靠算法,根据每个用户的日常喜好、性格特点、行为特征,预测他们的政治倾向,然后定向向用户推送新闻,借助Facebook的广告投放系统,影响用户的投票行为。

图:Facebook用户数据泄露

3.GitHub遭受有史以来最严重DDoS攻击

2018年3月,知名代码托管网站GitHub遭遇了有史以来最严重的DDoS网络攻击,峰值流量达到了1.35Tbps。尽管此类攻击的特点就是利用如潮水般的流量同时涌入网站,不过本次攻击不同之处在于采用了更先进的放大技术,目的是针对主机服务器产生更严重的影响。这项新技术并非依赖于传统的僵尸网络,而是使用了memcached服务器。该服务器的设计初衷是提升内部网络的访问速度,而且应该是不暴露在互联网中的。不过根据DDoS防御服务提供商Akamai的调查,至少有超过5万台此类服务器连接到互联网上,因此非常容易受到攻击。

图:GitHub遭受DDoS攻击

4.A站受黑客攻击 近千万条用户数据外泄

2018年6月,弹幕视频网AcFun公告称,因网站受黑客攻击,已有近千万条用户数据外泄,目前已报警处理,希望用户及时修改密码。公告称,用户数据泄露的数量达近千万条,原因是遭到黑客攻击。泄露的数据主要包括用户ID、昵称、加密储存的密码等。A站表示,本次事件的根本原因在于公司没有把AcFun做得足够安全,为此,官方向用户道歉,并将马上提升用户数据安全保障能力。目前,A站已联合内部和外部的技术专家成立了安全专项组,排查问题并升级了系统安全等级。此后,公司将对AcFun服务做全面系统加固,实现技术架构和安全体系的升级。

5.华住酒店5亿条用户数据疑泄露

2018年8月,华住酒店集团旗下酒店用户信息在“暗网”售卖,身份证号、手机号,一应俱全,共涉及5亿条公民信息。涉及酒店范围包括:汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。此次泄露的数据数量则总计达5亿条,全部信息的打包价为8比特币,或者520门罗币(约合人民币38万元)。其中华住官网注册资料信息包含身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录。入住登记身份信息包含姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条。酒店开房记录包含内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。

6.台积电感染WannaCry勒索软件三天损失17.6亿

2018年8月,知名芯片代工厂台积电遭遇 WannaCry 病毒入侵,导致三大工厂生产线停摆,预估损失高达约 17 亿人民币。在这起事件中,最突出的问题便是台积电内网设备没有及时更新安全补丁,早在2017年3月,微软就已经发布安全补丁,但考虑到升级系统带来的兼容性等影响,许多企业,包括工控系统,仍然使用存在漏洞的主机以及系统进行工作,带来非常大的安全隐患。

7.国内首次出现微信收款勒索病毒

2018年12月,国内出现首个要求使用微信支付的勒索病毒,在网络中引起不小的恐慌。该勒索病毒使用E语言开发,是有史以来第一款使用中文开发的勒索病毒。病毒运行后会加密当前桌面和非系统盘中的指定文件,中毒后重启机器会弹出勒索信息提示框,并附带二维码提示用户使用微信扫码支付110元赎金进行文件解密。12月7日,东莞网警在省公安厅网警总队的统筹指挥,24小时内火速侦破“12.05”特大新型勒索病毒破坏计算机信息系统案,抓获病毒研发制作者罗某某(男,22岁,广东茂名人),缴获木马程序和作案工具一批。

图:勒索病毒勒索界面

8.利用驱动人生升级服务器漏洞传播的木马

2018年12月,驱动人生升级程序开始下发木马病毒,短期内感染数万台计算机。木马母体运行后创建服务,命名为Ddriver,执行恶意功能,从资源中释放挖矿模块svhhost.exe,挖掘虚拟货币消耗计算机资源。联网下载永恒之蓝攻击 svvhost.exe模块,攻击网络中的其它机器。驱动人生官方排查后,发现驱动人生升级服务器被入侵,部分老版本升级组件存在漏洞,被攻击者恶意利用后发起的攻击。驱动人生官方进行了紧急升级,由于使用驱动人生旧版本的用户较多,因此造成的影响较大。

(二)2018年流行病毒分析

1.较为活跃的GandCrab勒索挖矿病毒

GandCrab勒索病毒从2018年年初一直活跃到年末,此病毒自出现以来持续更新对抗查杀。GandCrab随着版本的不断更新传播方式也不断变化,包括网站挂马、伪装字体更新程序、邮件、漏洞、木马程序等。该家族普遍采用较为复杂的RSA+AES混合加密算法,文件加密后几乎无法解密,最近的几个版本为了提高加密速度,对文件加密的算法开始使用Salsa20算法,秘钥被非对称加密算法加密,若没有病毒作者的私钥,正常方式通常无法解密,给受害者造成了极大的损失。

除了病毒作者之外,还有不少攻击者利用此病毒进行攻击,其中一个新的病毒变种,开始具备了蠕虫、挖矿、勒索、窃密等多种特性,攻击者通过钓鱼邮件传播此勒索病毒母体,病毒母体运行后不仅下载释放GandCrab 5.0.4加密计算机中的文件,还会释放挖矿模块消耗计算机资源,导致CPU占用率较高,释放窃取模块,窃取账号密码,替换虚拟货币钱包软件的剪切板,导致转账到攻击者钱包同时病毒具备的蠕虫特性会感染可移动磁盘、web目录、使用受害者机器发送带毒垃圾邮件,进一步感染其它计算机。

此病毒活跃的原因,一方面是因为加密算法较为成熟,正常方法无法被解密。另一方面就是此病毒使用勒索即服务方式运营,暗网中存在病毒作者开发的生成器,攻击者只需要填入自己的钱包地址,一键生成病毒程序就可以开始勒索,因此会有不少攻击者通过各种方式传播此病毒,一旦受害者登录赎金支付网站支付了赎金,病毒作者就会通过勒索信中的钱包地址,将一定比例的赎金分给传播此病毒的攻击者。

因此对抗此病毒,不仅仅是对抗病毒本身和病毒作者,而是要和成百上千隐藏在各处的攻击者进行对抗,随着攻防阶段的发展,攻击者会想尽各种办法传播该勒索病毒。

图:病毒释放的勒索信息

2.利用多种漏洞的Satan 勒索挖矿病毒

撒旦Satan勒索病毒,运行之后加密受害者计算机文件,勒索赎金,被加密文件后缀为.satan。自诞生以来持续对抗查杀,新版本除了使用MS17-010永恒之蓝漏洞攻击之外,还增加了tomcat弱口令、WebLogic WLS组件漏洞(CVE-2017-10271)、JBOOS 反序列化漏洞(CVE-2017-12149) 等多种web漏洞和弱口令攻击。病毒内置了大量的IP列表,中毒后会继续攻击他人。此病毒危害巨大,给不打补丁的用户造成极大的危害。幸运的是此病毒使用对称加密算法加密,密钥硬编码在病毒程序和被加密文件中,因此可以解密。瑞星最早开发出了针对此病毒的解密工具。

图:病毒攻击逻辑图

3.针对多种数据库的Xbash勒索挖矿病毒

Xbash病毒集勒索、挖矿、蠕虫于一身,使用多种漏洞和弱口令进行传播,并且可以感染Linux和Windows。该病毒使用漏洞和弱口令入侵计算机,然后植入挖矿病毒,并且会删除数据库,在数据库中留下勒索信息,警告受害者想要恢复数据需要支付赎金,但是由于数据库被清空,病毒作者也无法恢复被删除的数据,因此危害较大。病毒内置的弱口令帐号密码,针对ftp、mysql、telnet、postgresql、mongodb、redis、memcached等web服务和数据库进行攻击,并且会利用activeMQ漏洞、hadoop漏洞、Redis漏洞等数据库软件漏洞进行攻击。

4.攻击双平台的Lucky勒索挖矿病毒

Lucky病毒使用多种漏洞和弱口令攻击Windows和Linux系统,然后植入勒索病毒和挖矿病毒。挖矿病毒运行后会导致中毒机器CPU占用率极高,勒索病毒运行后加密计算机中的文件,被加密文件后缀追加上.lucky。中毒机器会使用永恒之蓝漏洞和多种web漏洞攻击网络中的其它机器。此病毒使用了以下漏洞和弱口令进行攻击:

  • MS17-010永恒之蓝漏洞
  • 系统弱口令暴力破解
  • Tomcat 后台弱口令爆破
  • JBoss默认配置漏洞(CVE-2010-0738)
  • JBoss反序列化漏洞(CVE-2013-4810)
  • Tomcat任意文件上传漏洞(CVE-2017-12615)
  • Weblogic WLS 组件漏洞(CVE-2017-10271)
  • Weblogic 任意文件上传漏洞(CVE-2018-2894)
  • Apache Struts2远程代码执行漏洞S2-045(CVE-2017-5638)
  • Apache Struts2远程代码执行漏洞S2-057(CVE-2018-11776)
  • Spring-data-commons远程代码执行漏洞(CVE-2018-1273)
图:病毒攻击流程

5.一出现就招募合作伙伴的FilesLocker勒索病毒

FilesLocker病毒使用C#编写,运行之后通过AES算法加密文件,并用RSA算法加密AES密钥,在没有病毒作者RSA私钥的情况无法解密文件。从技术方面来看,此病毒的技术较为成熟,和以往的勒索病毒相比,并没有太多过于独特的地方。

传统勒索软件大多是国外攻击者开发,当用户收到英文或俄文的钓鱼邮件时,会自动提高警惕。然而FilesLocker病毒是国内犯罪分子开发,在地下黑客论坛广泛招募合作伙伴,意图分发传播勒索病毒。

从攻击者的招募信息来看,主要招募拥有大量肉鸡的攻击者和拥有病毒传播技术的攻击者,一旦招募成功,将会有各种各样的犯罪分子,通过各种方法传播勒索病毒。未来可能会有很多精心编造的钓鱼邮件,各种吸引眼球的标题,诱导受害者下载运行勒索病毒,因此有很大的安全隐患。

病毒作者在地下黑客论坛发布的合作伙伴招募信息:

图:病毒作者招募合伙人

6.MsraMiner挖矿病毒

2018年大量病毒制造者将目标投向了挖矿领域,挖矿病毒层出不穷,其中影响最大的是一个构造精密被称为 “MsraMiner”的挖矿僵尸网络。此病毒利用永恒之蓝漏洞攻击局域网中的机器,中毒机器会继续使用永恒之蓝漏洞攻击其它机器,并作为web服务器供其它机器下载,导致大量局域网主机被植入挖矿病毒,同时病毒持续升级对抗查杀。

图:病毒植入逻辑图
图:病毒攻击逻辑图

此病毒在2018年3月、5月进行了更新。通过内网传播和外网下载,僵尸网络非常健壮,增加了查杀的难度。2018年11月份此病毒又更新了一个版本,服务名称变为snmpstorsrv,压缩包名称变为MarsTraceDiagnostics.xml,永恒之蓝攻击工具包释放的路径变为系统盘:\Windows\APPDiagnostics目录,主要为了对抗查杀。

导致此病毒爆发的主要原因是:

  1. 企业存在大量机器没有安装永恒之蓝漏洞补丁。
  2. 企业内外网混用,并没有做到真正的隔离,连接互联网的一台机器中毒后,导致公司内网机器大量中毒。
  3. 企业没有安装杀毒软件,没有及时更新病毒库,为病毒传播制造了有利条件。

(三)2018年流行漏洞分析

1.CVE-2017-0144 Windows SMB远程执行代码漏洞(永恒之蓝漏洞)

2018年CVE-2017-0144(永恒之蓝漏洞)依然是影响最严重的漏洞之一,很多企业互联网中仍然存在很多未打“永恒之蓝”漏洞补丁的机器,导致其危害至今仍在持续。CVE-2017-0144是Microsoft Windows SMB服务中存在远程代码执行漏洞,远程攻击者可通过发送特制的数据包触发漏洞,从而利用该漏洞执行代码。由于美国国家安全局NSA旗下的方程式组织,用来窃取情报的网络武器被泄露,导致很多攻击者不需要掌握漏洞利用的知识,直接使用NSA泄露的工具就能发起永恒之蓝漏洞攻击,因此极大的降低了攻击的门槛。此外MsraMiner挖矿病毒、Satan勒索病毒、Lucky勒索病毒也是利用永恒之蓝漏洞进行传播,影响范围十分广泛。

图:病毒利用的永恒之蓝攻击工具包

2.CVE-2018-0802 office公式编辑器漏洞

CVE-2018-0802漏洞是office公式编辑器EQNEDT32.EXE 出现的又一个漏洞,微软2017年11月份修补了一个隐藏了17年的office漏洞,漏洞编号CVE-2017-11882,漏洞是由于office公式编辑器组件EQNEDT32.EXE,对输入字符串的长度没有进行比对,导致的内存破坏漏洞。如果攻击者精心构造恶意office文档,就会触发漏洞执行任意代码。

CVE-2018-0802属于CVE-2017-11882漏洞补丁的绕过漏洞,此漏洞成因是由于公式编辑器对字体名称的长度没有进行校验,导致攻击者可以通过构造恶意的字体名,执行任意代码。该漏洞几乎影响微软所支持的所有office版本,攻击者可以诱导用户打开包含恶意代码的 Microsoft Office文档、网页、垃圾电子邮件等触发漏洞。因此很多攻击者都非常乐于使用此漏洞,导致此漏洞在2018年非常流行。

3.CVE-2017-9791 Apache Struts (S2-048) 远程代码执行漏洞

CVE-2017-9791是Struts2 showcase应用中存在远程代码执行漏洞,远程攻击者可通过使用恶意字段值,构造特定的输入,发送到 ActionMessage类中,从而导致任意代码执行。Apache Struts是一个免费的、开源的MVC框架,用于创建Java web网站程序,广泛用于各类网站中。

CVE-2017-9791漏洞出现后,一般大型互联网企业、政府、金融机构等网站都能及时修复漏洞。但是仍有很多中小企业,由于网站是第三方外包公司开发,导致漏洞出现后无法及时更新补丁,给攻击者留下可乘之机。

4.CVE-2017-10271 WebLogic WLS组件漏洞

CVE-2017-10271是WebLogic XMLDecoder 组件存在的反序列化漏洞,使用精心构造的XML将会导致远程代码执行,攻击者只需要发送特定的HTTP请求,就可以拿到目标服务器的权限。很多web网站没有及时修复此漏洞,导致被攻击者利用。此漏洞被Satan勒索病毒、Lucky勒索病毒在攻击中使用,不少攻击者也通过此漏洞将挖矿病毒植入受害者服务器。

5.CVE-2017-12149 JBOOS 反序列化漏洞

CVE-2017-12149是JBOSSAPPlication Server反序列化命令执行漏洞,JBOOS是一个基于J2EE的开放源代码的应用服务器,由于在JBoss的HttpInvoker组件ReadOnlyAccessFilter过滤器中的doFilter方法,在没有进行充分的安全检查和限制的情况下,直接将接收到的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。由于国内很多网站是第三方外包厂商开发,出现漏洞后无法及时修复,导致不少中小企业服务器中存在此漏洞。Satan勒索病毒就曾使用此漏洞进行攻击。

6.CVE-2018-4878 Adobe Flash 漏洞

Adobe Flash Player 28.0.0.137及更早版本中存在严重漏洞(CVE-2018-4878),可被攻击者利用控制受影响的系统。攻击者通过发送钓鱼邮件,诱导受害者打开内嵌恶意Flash内容的Office文档或点击钓鱼网址链接触发漏洞。

Adobe在2018年2月6日发布的版本28.0.0.161中修复了此漏洞,此漏洞最早被用于针对韩国的定向攻击中,当时还是未修复的0day漏洞。此后此漏洞被黑产团伙用于传播挖矿病毒,用户点击恶意链接后,就会访问带有漏洞的Flash文件,触发漏洞后自动下载运行挖矿木马。

图:针对韩国的APT攻击使用了此漏洞

四、趋势展望

(一)挖矿、勒索病毒呈一体化、蠕虫化趋势

以往勒索病毒和挖矿病毒有比较明显的界限,随着更多攻击者投入到这一领域,获取最大利益是他们的根本目的,因此勒索病毒和挖矿病毒的界限开始模糊,病毒运行后除了释放勒索模块加密受害者计算机中的文件之外,又开始释放挖矿模块挖掘虚拟货币,消耗受害者计算机资源。并且为了增加感染量,病毒呈现蠕虫化的趋势,病毒会通过弱口令和系统漏洞、多种web漏洞传播,攻击存在弱口令和漏洞的计算机。比如Satan勒索病毒、GandCrab勒索病毒,从2018年年初只负责勒索,逐步发展为通过漏洞和弱口令蠕虫化传播,并且开始挖矿。而Lucky和xbash病毒从一出现就攻击Windows和Linux双平台,通过漏洞和弱口令传播挖矿和勒索病毒。

(二)利用漏洞与弱口令的攻击方式仍将持续

攻击者入侵内网后,通过漏洞和弱口令在网络中自由的横向移动,手工投毒增多,在某次勒索事件中,瑞星捕获了攻击者遗留的各种密码获取工具、网络扫描工具、RDP远程桌面暴力破解工具。攻击者控制一台中毒机器后,抓取各类密码,然后再用这些密码尝试攻击局域网中的其他计算机。由于很多组织的多台计算机使用相同密码,因此受灾严重。此外,有不少网站是外包公司开发,网站管理员不能及时修复web漏洞和弱口令,导致攻击者可以轻易植入病毒,而管理员发现中毒后,即使能够删除病毒,但是无法找到中毒原因,导致反复中毒。

(三)物联网病毒更加精密

随着5G网络的普及,物联网设备的数量和种类也会逐渐增加,这些新的设备将会有更多的功能,更大的规模。攻击者除了使用物联网设备进行DDoS攻击之外,将会持续挖掘物联网设备的更多潜力,实现更多恶意功能。2018年遍布54个国家的超过500,000台路由器和NAS设备,感染了VPNFilter恶意软件。此病毒构造精密,被APT攻击组织用来窃取信息。未来如果这种攻击方式被网络犯罪团伙使用,将会带来更多破坏性的危害。

专题:物联网安全分析

随着5G的发展,万物互联将成为趋势,物联网将是未来的重点发展方向,网络上会存在比以往更多的IoT设备,生活会变得更加智能。但是另一方面由于设备种类众多,IoT的安全问题也逐渐凸显,因此物联网将逐渐成为犯罪分子攻击的目标。瑞星对最近出现的几个趋势进行了分析。

1.传统DDoS攻击持续存在

物联网设备最早被黑客利用进行DDoS攻击活动,此类攻击技术较为成熟,随着物联网设备漏洞的不断出现,以及黑市上存在的DDoS攻击需求,促使这种攻击持续存在,并且威胁逐渐增大。由于物联网设备越来越多,一旦被攻击者控制,形成大规模的僵尸网络,批量访问某个网站,就会导致网站瘫痪,甚至可能导致某个区域断网,全世界大部分网站都无法抵御这种攻击。因此物联网设备在入网前要进行严格的测试,目前不少厂家已经从设计的角度避免了弱口令,但是由于软件漏洞无法完全避免,因此要做好漏洞的及时修补工作,才能避免被攻击者利用。

2.发送垃圾邮件逐渐增多

除DDoS攻击外,研究人员发现了一个发送广告邮件的物联网病毒,并将其命名为Linux.ProxyM,该病毒几乎可以在所有Linux设备上运行,包括路由器、机顶盒等设备。此病毒可在感染的物联网设备中运行SOCKS代理服务,接受控制指令,发送广告邮件,平均每台受感染设备每天可以发送400封广告邮件,通常以成人内容和金融服务为主。除广告邮件之外,该病毒还发送钓鱼邮件,诱导受害者点击钓鱼网站,获取受害者账号密码。由此可见,很多传统的网络攻击,在控制了大量的物联网设备之后,又有了新的发展,这种攻击相对于传统的租用服务器发送邮件,攻击者成本更低,更难被查封。

3.批量挖矿逐渐增加

以往不法分子主要通过个人电脑和服务器进行挖矿,现阶段有不少攻击者另辟蹊径,投入到物联网设备的挖矿领域。由于挖矿十分消耗计算机资源,导致计算机卡顿或者网站无法访问,很容易被受害者发现。而对于物联网设备,很多时候受害者无法查看CPU内存占用情况,一般很难发现,即使挖矿导致设备死机,受害者也会认为是设备过热导致,只能通过重启来解决。

ADB.Miner是针对物联网设备进行挖矿的病毒之一,该病毒会扫描暴露在互联网上的安卓机顶盒、智能电视,然后通过ADB调试端口默认开放的漏洞植入挖矿病毒。此外还有攻击者通过MikroTik路由器漏洞,植入Coinhive挖矿脚本,当用户在浏览网页跳转到任何类型的错误页面时,会自动打开包含Coinhive挖矿脚本的页面进行挖矿。

4.开始被用于APT攻击

VPNFilter恶意软件是一个多阶段,模块化的平台,具有多种功能,可支持情报收集和破坏性网络攻击操作。此病毒构造非常精密,兼容性非常强,能够感染Linksys,MikroTik,Netgear,TP-Link和QNAP、华硕,D-Link,华为,Ubiquiti,UPVEL和中兴制造的路由器。研究人员发现遍布54个国家超过50万台路由器和NAS 等物联网设备,感染了VPNFilter恶意软件。

VPNFilter恶意软件由如下模块构成:

第1阶段模块,重新启动后会持续存在,这与大多数其它针对物联网设备的恶意软件不同,因为恶意软件通常无法在设备重新启动后存活。阶段1的主要目的是获得持久驻留,并能够部署阶段2恶意软件。

第2阶段的模块,重启后无法继续存在,需要使用阶段1来部署。它拥有一个智能收集数据的功能,比如文件收集、命令执行、数据过滤和设备管理。

第3阶段模块,作为第2阶段恶意软件的插件。这些插件为第2阶段提供了附加功能。

包括:

  • ps插件:可以嗅探网络数据包和检测特定类型的网络流量。
  • tor插件:通过tor网络与命令和控制服务器通信。
  • ssler插件:通过中间人攻击,拦截和修改80端口上的网络流量,支持将HTTPS降级。
  • dstr插件:用于覆盖设备的固件,破坏设备的插件。

总结

物联网设备中毒后较难发现,漏洞难以及时修补,甚至有的设备已经找不到生产厂商。这些感染物联网病毒的僵尸设备,会对全球网络安全造成很大的隐患。因此未来物联网设备,出厂前要进行足够的测试,尽最大可能提高防护能力。另一方面建立完善的升级补丁体系,发现漏洞后厂家能够及时通过安装补丁修复漏洞,而不是漏洞出现后长期无法修复,导致物联网设备被黑客攻击。

编辑:瑞瑞 阅读: