联系我们

售前服务电话:800-820-8876
售后服务电话:800-820-8839
手机用户可拨打:400-820-8839

2018年第一季度网络安全威胁报告

2018 年第 1 季度安全威胁


本季安全警示:


挖矿、 勒索、 APT


2018 年第 1 季度安全威胁概况


●    截止 2018.3.31 日病毒码 14.159.60 包含病毒特征数约 383 万条。


●    本季度亚信安全客户终端检测并拦截恶意程序约 24,401 万次。


●    本季度亚信安全拦截的恶意 URL 地址共计 44,986,803 次。


2018 年第一季度,伴随着虚拟货币的疯狂炒作,挖矿病毒成为不法分子利用最为频繁的攻击方式。 由于本季度挖矿病毒一直保持着热度, 亚信安全对近期的挖矿病毒进行简单梳理,希望能够引起企事业单位重视,有效地保护用户的计算机资源不被挖矿病毒恶意利用。


本季度,亚信安全网络监测实验室监测到有部分挖矿病毒通过“永恒之蓝”漏洞进行传播, 提起“永恒之蓝”大家不禁会想起去年 5 月份爆发的 Wannacry 勒索病毒, 其实该漏洞一直被黑客频繁利用,从未停止。还有部分挖矿病毒使用基于 web 端的远程代码执行漏洞进行主机扫描,漏洞利用成功后向受害主机植入挖矿程序。


2018 年伊始,很多企事业单位遭到了挖矿病毒攻击,此次攻击利用了 WebLogic WSAT(全称: Web Services Atomic Transactions)组件 RCE 漏洞,该攻击行为会造成目标主机CPU 资源耗尽,主机性能变差等。 在此类挖矿病毒攻击中, 我们研究发现攻击者预先收集Windows 和 Linux 平 台 的 WebLogic 目 标 主 机 信 息 , 然 后 利 用 CVE-2017-3506/CVE-2017-10271漏洞对目标主机植入挖矿程序, 我们在被感染主机的 history ( Linux&Unix系统)中可看到攻击脚本的身影:



该脚本首先会杀掉受感染主机上的 python 和 java 程序,然后下载比特币挖矿程序xmrig-y, 并伪装成 java 文件运行。


除了利用漏洞进行传播外, 网页脚本挖矿也是黑客青睐的传播方式, 黑客攻击用户的网站服务器,并植入挖矿木马或者是在网站中植入网页脚本挖矿。网页脚本挖矿的原理为:网页中被植入挖矿脚本后,当用户通过浏览器访问网页时,浏览器将解析挖矿脚本的内容并执行挖矿脚本,这将导致浏览器占用大量计算机资源进行挖矿。而此过程用户却浑然不知。


本季度,亚信安全还截获了利用 PowerShell 和 WMI 传播的新型挖矿病毒,该恶意程序使用 PowerShell 与 WMI 等数种攻击手法来达成其「无文件攻击」;其会通过永恒之蓝漏洞,及管理工具 Mimikatz 在企业内网传播。


针对挖矿病毒,亚信安全建议防护措施如下:


●    打全系统及应用的补丁程序, 或者使用亚信安全 DS 产品的入侵防御功能进行防护。


●    服务器及客户端均使用强密码保护


●    提高安全意识,不随意打开来源不明的文件,不随意点击可疑的链接。


除了挖矿病毒外,勒索病毒也是不法分子经常使用的攻击方式之一, 本季度GlobeImpost 勒索病毒在我国境内传播, 该勒索家族首次出现在 2017 年 5 月, 随后该病毒保持沉默, 直至本季度再次活跃, 大量变种来袭。由于变种繁多, 因此被加密后的文件扩展名也各不相同,其包括.crypted!、 ..doc 和.TRUE 等。


GlobeImposter 勒索病毒主要是通过垃圾邮件进行传播,与以往不同的是,此次变种会通过邮件来告知受害者付款方式,勒索赎金从 1 到 10 比特币不等。亚信安全已经可以检测GlobeImposter 家族,并将其命名为 RANSOM_FAKEGLOBE。


其生成的勒索提示文件,主要包括受害者个人的 ID 序列号和勒索者的联系方式:




勒索病毒不可能在短期内消失,网络犯罪分子采取的战术策略也在不断演变,其攻击方式更加多样化。对于勒索病毒的变种, 我们建议用户可以通过部署防火墙、 邮件网关等产品作为第一道防线。行为监控和漏洞防护产品则可以有效阻止威胁到达客户端。


除了挖矿和勒索病毒,亚信安全在本季度还报道了一起由尼日利亚黑客发起的 BEC 攻击事件。亚信安全发布的 2018 年安全威胁预测中曾提及,本年度,商业电子邮件攻击( BEC)事件会持续增长,并最终导致全球超过 90 亿美元的损失。 BEC 攻击主要依赖于社会工程学,向特定目标发送钓鱼邮件,达到攻击目的。


此前,安全公司 Check Point 曾经公布过关于尼日利亚黑客针对能源,矿产等基础设施行业的网络攻击行动。 近日, 我们发现了一些携带 Loki PWS stealer 载荷的 BEC 攻击,攻击者 IP 大多来自于尼日利亚。此次攻击中, 黑客选取邮件作为攻击向量, 同时伪造发件人地址, 起到欺骗的目的。



【 发动 BEC 攻击的电子邮件】


BEC 攻击主要依赖于社会工程学,我们可以从以下几方面着手,预防 BEC 攻击:


●    企业可以通过员工培训来减少BEC带来的损失;


●    可以采取多重验证手段,如电话验证等,抵抗BEC攻击;


●    使用邮件网关可以有效监测社会工程学诈骗和伪造行为。


... ...



点击下面的地址,下载完整《2018年第一季度网络安全威胁报告》:

2018年第一季度网络安全威胁报告.zip



关于亚信安全

亚信安全是亚信集团“领航产业互联网”版图中的重要业务板块,于2015年由亚信科技对全球最大的独立网络安全软件提供商趋势科技中国区业务进行收购重组,专注于产业互联网安全服务领域,是中国领先的云与大数据安全技术、产品、方案和服务供应商。亚信安全在中国北京和南京设有独立研发中心,拥有超过2000人的专业安全团队,以“护航产业互联网”为使命,以“云与大数据的安全技术领导者”为战略愿景,亚信安全坚持“产品、服务、运营三位一体”的经营模式 ,助力客户构建“立体化主动防御体系”,为国家提供网络安全与云产业安全保障,推动实施自主可控战略。更多关于亚信安全公司及最新产品信息,请访问:http://www.asiainfo-sec.com

© 2018 版权所有 亚信科技(成都)有限公司 蜀ICP备15028617号