□ 唐 威

近年來(lái)，網(wǎng)絡(luò)安全的國(guó)際形勢(shì)日益嚴(yán)峻，不斷增長(zhǎng)的安全威脅給企業(yè)和個(gè)人都帶來(lái)巨大的挑戰(zhàn)，網(wǎng)絡(luò)安全在政策法律因素、IT 技術(shù)發(fā)展、網(wǎng)絡(luò)安全事件及黑色產(chǎn)業(yè)多重因素影響下產(chǎn)生了變化。網(wǎng)絡(luò)安全逐漸步入智能時(shí)代，而傳統(tǒng)安全的邊界日漸模糊，整體趨勢(shì)呈現(xiàn)增長(zhǎng)和多樣化的態(tài)勢(shì)。了解當(dāng)前的威脅形勢(shì)，熟悉企業(yè)安全應(yīng)對(duì)流程并選擇合適的安全產(chǎn)品變得尤為重要。

一、勒索病毒長(zhǎng)盛不衰

勒索病毒的技術(shù)手段在2018年有了質(zhì)的提高，WannaCry，Petya，BadRabbit就是其中的典型代表，不管從傳播途徑還是加密手段都比以往有很大的提升。勒索病毒在傳播上采用蠕蟲(chóng)的方式，通過(guò)漏洞和弱口令在局域網(wǎng)內(nèi)迅速傳播。

從WannaCry勒索病毒爆發(fā)以來(lái)，勒索病毒蠕蟲(chóng)化變得更加流行。2018年2月，國(guó)內(nèi)兩家省級(jí)醫(yī)院感染勒索病毒，導(dǎo)致醫(yī)院服務(wù)中斷，無(wú)法正常工作。感染原因懷疑是系統(tǒng)存在漏洞和弱口令，被攻擊者利用，植入勒索病毒，同時(shí)病毒利用漏洞繼續(xù)攻擊網(wǎng)絡(luò)中的其他機(jī)器，最終導(dǎo)致勒索病毒集中爆發(fā)。

2018年上半年，在所有勒索病毒中，影響較大的是Satan勒索病毒，該病毒不僅使用了永恒之藍(lán)漏洞傳播，還內(nèi)置了多種Web漏洞的攻擊功能，相比傳統(tǒng)的勒索病毒傳播速度更快。雖然已經(jīng)被解密，但是此病毒利用的傳播手法卻非常危險(xiǎn)。

以往的傳播手段主要是通過(guò)垃圾郵件、EK工具、網(wǎng)站掛馬等，手段被動(dòng)，效果有限。但通過(guò)蠕蟲(chóng)的方式可以化被動(dòng)為主動(dòng)，起到“事半功倍”的效果。同時(shí)在加密手段上也比以往有所提升，以往的勒索主要是對(duì)文件進(jìn)行加密，但在2018年勒索病毒的手段不單單是對(duì)文件進(jìn)行加密，有的還對(duì)磁盤的MBR扇區(qū)，甚至是NTFS文件系統(tǒng)進(jìn)行加密，造成的破壞性更大。不難想象，在未來(lái)勒索病毒仍將延續(xù)這種趨勢(shì)，勒索病毒的防范任重而道遠(yuǎn)。

二、挖礦病毒風(fēng)生水起

隨著虛擬貨幣的瘋狂炒作，挖礦病毒已經(jīng)成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個(gè)人電腦或服務(wù)器進(jìn)行挖礦，具體現(xiàn)象為電腦CPU占用率高、C盤可使用空間驟降、電腦溫度升高、風(fēng)扇噪聲增大等。

由于比特幣潛在的區(qū)塊鏈技術(shù)將對(duì)其不利，因此門羅幣取代比特幣成為病毒最喜歡的數(shù)字貨幣。區(qū)塊鏈技術(shù)能夠詳細(xì)記錄比特幣交易的發(fā)送和接收地址，包括交易的精確時(shí)間和數(shù)量，這些都是證明犯罪分子罪行的有利證據(jù)。

門羅幣(Monero，代號(hào)XMR)創(chuàng)建于2014 年4月開(kāi)源加密貨幣，它著重于隱私、分權(quán)和可擴(kuò)展性。與自比特幣衍生的許多加密貨幣不同，Monero基于CryptoNote協(xié)議，并在區(qū)塊鏈模糊化方面有顯著的算法差異。Monero致力于成為可代替的不可追蹤的電子貨幣。相比比特幣及其分叉，Monero具有更高程度的匿名性。

通過(guò)對(duì)2018年上半年病毒分析發(fā)現(xiàn)，病毒制造者將目標(biāo)投向了挖礦領(lǐng)域，大量的挖礦病毒層出不窮，其中影響最大的是一個(gè)被稱為 “MsraMiner”構(gòu)造精密的挖礦僵尸網(wǎng)絡(luò)。該病毒利用永恒之藍(lán)漏洞攻擊局域網(wǎng)中的機(jī)器，中毒機(jī)器會(huì)繼續(xù)使用永恒之藍(lán)漏洞攻擊其他機(jī)器，并作為Web服務(wù)器供其他機(jī)器下載，導(dǎo)致大量局域網(wǎng)主機(jī)被植入挖礦病毒，同時(shí)病毒持續(xù)升級(jí)對(duì)抗查殺。

三、竊密木馬窮兇極惡

竊密型木馬是當(dāng)前一種最為常見(jiàn)的木馬類型，通常是隱蔽在用戶的計(jì)算機(jī)中，平時(shí)對(duì)用戶的計(jì)算性能和上網(wǎng)性能幾乎不會(huì)造成任何影響，然而在用戶無(wú)法察覺(jué)的情況下，這類木馬在計(jì)算機(jī)中搜集相關(guān)的重要信息，并將所獲取的信息發(fā)送給遠(yuǎn)程的控制端，從而導(dǎo)致目標(biāo)計(jì)算機(jī)上的重要信息泄露。

近期發(fā)現(xiàn)1例樣本通過(guò)下載并運(yùn)行已被公開(kāi)源碼的Pony木馬，竊取用戶比特幣錢包文件等敏感信息。值得注意的是，該樣本通過(guò)直接調(diào)用API下載運(yùn)行木馬，有別于此前利用惡意文檔加載mstha, powershell或cmd等程序進(jìn)而加載惡意木馬。

Pony又名Fareit，是微軟于2011年首次發(fā)現(xiàn)的，因?yàn)樗鼜?qiáng)大和全面的功能使其成為越來(lái)越受歡迎的密碼竊取軟件。Pony 木馬主要的功能包括竊取瀏覽器中保存的密碼，各種郵件客戶端保存密碼和各種FTP客戶端密碼，竊取加密電子錢包，收集數(shù)字證書(shū)及RDP遠(yuǎn)程連接密碼等。

Loki PWS家族也是1款和Pony一樣成熟的竊取各種賬號(hào)密碼的商業(yè)木馬，基本功能類似Pony，具備竊取瀏覽器、FTP軟件、郵箱客戶端等軟件的賬號(hào)密碼，但它還具備遠(yuǎn)程控制功能，可以下發(fā)指定的命令到客戶端執(zhí)行，更適合用來(lái)組建僵尸網(wǎng)絡(luò)。

四、APT攻擊愈來(lái)愈隱蔽

APT攻擊作為一種高效、精確的網(wǎng)絡(luò)攻擊方式，在近幾年被頻繁用于各種網(wǎng)絡(luò)攻擊事件之中，并迅速成為企業(yè)信息安全最大的威脅之一。通過(guò)對(duì)APT攻擊的海量信息進(jìn)行分析之后發(fā)現(xiàn)，APT攻擊的攻擊范圍不斷擴(kuò)大、隱蔽性也有所增強(qiáng)。

在2017年，某些具有極強(qiáng)的國(guó)別針對(duì)性的APT組織，在相關(guān)國(guó)家之間處于比較激烈的政治和軍事摩擦?xí)r，其網(wǎng)絡(luò)攻擊活動(dòng)也處于異?；钴S的狀態(tài)。其中，雙尾蝎、黃金鼠和摩訶草等組織都呈現(xiàn)出這樣的特點(diǎn)。2016年底進(jìn)行的美國(guó)大選，以及希拉里和美國(guó)民主黨全國(guó)委員會(huì)(DNC)的郵件門事件，使公眾第1次見(jiàn)證了APT攻擊對(duì)政治乃至國(guó)家政權(quán)的深刻影響。

APT攻擊團(tuán)伙使用的攻擊戰(zhàn)術(shù)、技術(shù)和過(guò)程已經(jīng)達(dá)到非常成熟的階段，即便部分攻擊團(tuán)伙的技術(shù)能力不高，但也能通過(guò)利用公開(kāi)的或開(kāi)源的腳本類或自動(dòng)化攻擊框架快速形成完備的攻擊武器。攻擊團(tuán)伙不但使用針對(duì)個(gè)人PC、服務(wù)器和目標(biāo)內(nèi)部網(wǎng)絡(luò)的攻擊向量技術(shù)，并且覆蓋了移動(dòng)設(shè)備和家用路由器，其攻擊目標(biāo)也延伸至金融、工業(yè)控制、醫(yī)療、酒店領(lǐng)域。

APT攻擊者正在不斷演變其攻擊手法和攻擊工具，以更有效地達(dá)到攻擊的目的和效果，并加強(qiáng)對(duì)自身活動(dòng)的隱藏。在這種對(duì)抗升級(jí)的趨勢(shì)下，純粹基于惡意載荷的相似程度來(lái)評(píng)判其攻擊來(lái)源已經(jīng)變得不是那樣可靠，結(jié)合更多維度的威脅情報(bào)數(shù)據(jù)，評(píng)估攻擊者的真實(shí)攻擊意圖和動(dòng)機(jī)，以及對(duì)攻擊的分析能夠更好地提高背景研判的準(zhǔn)確程度。

面對(duì)不斷升級(jí)的網(wǎng)絡(luò)攻擊，企業(yè)不僅需要部署專業(yè)的安全設(shè)備與安全軟件，同時(shí)企業(yè)還需要樹(shù)立動(dòng)態(tài)、綜合的防護(hù)理念，構(gòu)建完整防御架構(gòu)，防御手段必須完善才能不給惡意軟件可乘之機(jī)。企業(yè)需要充分考慮到每一個(gè)可能突破的薄弱環(huán)節(jié)，例如安全主機(jī)加固、安全域劃分、終端準(zhǔn)入機(jī)制、安全運(yùn)維體系。

攻擊隨時(shí)都在發(fā)生，安全系統(tǒng)應(yīng)該也要適應(yīng)動(dòng)態(tài)的安全環(huán)境，因此要充分考慮對(duì)安全狀態(tài)持續(xù)的監(jiān)測(cè)及對(duì)突發(fā)安全威脅及時(shí)遏制的能力。防御系統(tǒng)隨時(shí)可能被攻破，為減少攻擊造成的損失，需要建立正確的應(yīng)急響應(yīng)流程，減少處理中流程錯(cuò)誤情況，能夠自動(dòng)化地響應(yīng)處置，加快處理速度，具有溯源取證能力，以便了解攻擊來(lái)源途徑。