近日，亞信安全發(fā)布了《2018年第一季度網(wǎng)絡(luò)安全威脅報(bào)告》，報(bào)告指出，伴隨著虛擬貨幣的瘋狂炒作，挖礦病毒已經(jīng)成為不法分子利用最為頻繁的攻擊方式之一。同時(shí)，勒索軟件、商業(yè)電子郵件攻擊(BEC)在這一季度依然表現(xiàn)活躍，導(dǎo)致全球范圍內(nèi)的一些重要目標(biāo)遭受了嚴(yán)重?fù)p失。亞信安全建議組織用戶加快部署立體化的網(wǎng)絡(luò)安全防御體系，并從網(wǎng)絡(luò)安全產(chǎn)品與人員兩個(gè)角度來(lái)防御不斷進(jìn)化的網(wǎng)絡(luò)安全威脅。

挖礦病毒肆虐漏洞與網(wǎng)頁(yè)腳本成為常見傳播方式

雖然虛擬貨幣近期行情出現(xiàn)了很大的波動(dòng)，但是不法分子對(duì)其的追逐卻沒(méi)有絲毫下降。在第一季度，亞信安全網(wǎng)絡(luò)監(jiān)測(cè)實(shí)驗(yàn)室監(jiān)測(cè)到大量挖礦病毒在互聯(lián)網(wǎng)進(jìn)行傳播。不法分子往往通過(guò)“永恒之藍(lán)”、Web 端遠(yuǎn)程代碼執(zhí)行漏洞等形式侵入受害主機(jī)，并植入挖礦程序，以盜取受害主機(jī)的計(jì)算資源來(lái)獲取虛擬貨幣。在亞信安全監(jiān)測(cè)到的WebLogic WSAT組件 RCE 漏洞中，該腳本首先會(huì)殺掉受感染主機(jī)上的 python 和 java 程序，然后下載比特幣挖礦程序 xmrig-y，并偽裝成 java 文件運(yùn)行，以降低被網(wǎng)絡(luò)安全系統(tǒng)攔截的幾率。

除了利用漏洞來(lái)植入挖礦程序之外，不法分子還青睞通過(guò)網(wǎng)頁(yè)腳本的方式來(lái)挖礦。在這種方式中，不法分子會(huì)攻擊用戶的網(wǎng)站服務(wù)器，并植入挖礦木馬或者在網(wǎng)站中植入網(wǎng)頁(yè)腳本，一旦用戶通過(guò)瀏覽器訪問(wèn)網(wǎng)頁(yè)，瀏覽器將解析挖礦腳本的內(nèi)容并執(zhí)行挖礦腳本，這將導(dǎo)致瀏覽器占用大量計(jì)算機(jī)資源進(jìn)行挖礦，出現(xiàn)計(jì)算機(jī)運(yùn)行緩慢、耗電量大增等后果。

亞信安全技術(shù)支持中心總經(jīng)理蔡昇欽表示：“挖礦病毒會(huì)嚴(yán)重影響企業(yè)內(nèi)部IT環(huán)境或數(shù)據(jù)中心的正常運(yùn)行秩序，并可能影響關(guān)鍵應(yīng)用的交付。要封堵挖礦病毒，建議企業(yè)用戶增強(qiáng)安全教育，倡導(dǎo)員工提高安全意識(shí)，不隨意打開來(lái)源不明的文件或可疑的鏈接，并通過(guò)強(qiáng)密碼保護(hù)服務(wù)器及客戶端。此外，企業(yè)還需要特別強(qiáng)化漏洞的修補(bǔ)，即時(shí)更新系統(tǒng)及應(yīng)用的補(bǔ)丁程序，或者使用亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)的入侵防御功能進(jìn)行防護(hù)。”

勒索軟件攻擊策略更加多元化衍生大量變種

勒索軟件的威脅在2018年第一季度仍然在繼續(xù)發(fā)酵，亞信安全網(wǎng)絡(luò)監(jiān)測(cè)實(shí)驗(yàn)室本季度共攔截勒索病毒 525,503 次，中國(guó)在勒索病毒活躍國(guó)家中位居第二位。而從勒索軟件分布行業(yè)看，不法分子更傾向于醫(yī)療、政府、制造等行業(yè)中網(wǎng)絡(luò)安全相對(duì)薄弱、數(shù)據(jù)價(jià)值較高的企事業(yè)單位，以獲得更高的收益。

【2018年第一季度勒索軟件感染行業(yè)TOP 10】

在與網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的對(duì)抗中，不法分子已經(jīng)學(xué)會(huì)了使用多元化的攻擊策略來(lái)傳播勒索軟件，變種就是其中一個(gè)重要手段。亞信安全發(fā)現(xiàn)，在2017年5月首次出現(xiàn)的 GlobeImpost 勒索軟件家族在本季度再度活躍，其出現(xiàn)了大量的變種，病毒特征各不相同，加密后的文件擴(kuò)展名也有很大的差異。而相似點(diǎn)在于，該勒索軟件家族會(huì)主要通過(guò)垃圾郵件進(jìn)行傳播，并勒索從 1 到 10 比特幣不等的贖金。

亞信安全建議企業(yè)用戶將重要文件進(jìn)行本地和云端的多重備份，來(lái)避免文件因?yàn)楸患用芏坏貌唤邮芄粽叩睦账鳌Ａ硗猓髽I(yè)用戶還可以部署亞信安全防毒墻網(wǎng)絡(luò)版 OfficeScan、郵件網(wǎng)關(guān)等產(chǎn)品作為封堵勒索軟件的第一道防線，并將行為監(jiān)控和漏洞防護(hù)產(chǎn)品作為第二道防線，以阻止勒索軟件到達(dá)客戶端，感染系統(tǒng)和文件。

BEC攻擊持續(xù)增長(zhǎng)影響基礎(chǔ)設(shè)施安全

報(bào)告還指出，在第一季度值得關(guān)注的一個(gè)安全事件便是由尼日利亞黑客發(fā)起的BEC攻擊。在該事件中，黑客會(huì)選取郵件作為攻擊向量，同時(shí)偽造發(fā)件人地址，起到欺騙的目的，進(jìn)而盜取攻擊目標(biāo)的重要信息，甚至還可以盜取比特幣賬戶。而在此前，黑客發(fā)動(dòng)的BEC攻擊還被證明成功入侵了石油、天然氣等重要行業(yè)的基礎(chǔ)設(shè)施，導(dǎo)致重要資料被竊取。

【發(fā)動(dòng)BEC攻擊的電子郵件】

蔡昇欽指出：“在之前亞信安全發(fā)布的安全預(yù)測(cè)中，我們就預(yù)測(cè)到2018年BEC事件會(huì)最終導(dǎo)致全球超過(guò)90億美元的損失。在很多BEC攻擊事件中，網(wǎng)絡(luò)犯罪分子會(huì)非常有耐心，他們通常會(huì)學(xué)習(xí)公司或組織的運(yùn)行模式，特別是財(cái)務(wù)部門流程，通過(guò)篡改公司內(nèi)部流程進(jìn)行詐騙，其造成的威脅也往往比一般的網(wǎng)絡(luò)攻擊要大。這對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)提出了嚴(yán)峻的挑戰(zhàn)，行業(yè)與企業(yè)用戶需要尤為關(guān)注。”

由于BEC詐騙主要依賴于社會(huì)工程學(xué)，亞信安全建議用戶重點(diǎn)從社會(huì)工程學(xué)角度來(lái)防范，如強(qiáng)化員工安全培訓(xùn)，采取電話驗(yàn)證等多重驗(yàn)證手段來(lái)核實(shí)用戶身份。另外，使用亞信安全郵件安全網(wǎng)關(guān)IMSA、亞信安全深度威脅郵件網(wǎng)關(guān)等郵件網(wǎng)關(guān)產(chǎn)品，也可以有效監(jiān)測(cè)社會(huì)工程學(xué)詐騙和偽造行為。

在2018年第一季度安全報(bào)告中，亞信安全還披露了以下安全動(dòng)態(tài)：

◆亞信安全在本季度共發(fā)現(xiàn)新增木馬病毒特征共計(jì) 381,341 個(gè)，和上一個(gè)季度相比數(shù)值略有增加。其中，新增數(shù)量最大的病毒類型為 TROJ(木馬病毒) 類型，其占比遠(yuǎn)高于其它類型病毒。

◆在本季度，亞信安全對(duì) APK 文件的處理數(shù)量依舊呈上升趨勢(shì)。截止到本季度，安卓 APK 處理數(shù)量累計(jì)達(dá)到 59,557 萬(wàn)個(gè)，比上季度末增長(zhǎng)約4,000萬(wàn)個(gè)。

◆通過(guò) WEB 傳播的惡意程序中，.APK 類型的可執(zhí)行文件的數(shù)量居首位，占總數(shù)的39.86%，比上個(gè)季度略有增加。

◆本季度所有釣魚網(wǎng)站中，“支付交易類”和“金融證券類”釣魚網(wǎng)站所占比例最多，占總數(shù)的 99%以上，其中更以電子商務(wù)網(wǎng)站和銀行網(wǎng)站為仿冒對(duì)象的釣魚網(wǎng)站占絕大多數(shù)。

點(diǎn)擊下載完整報(bào)告