2017年对企业安全影响最深远的事件是以WannaCry为代表的勒索病爆发,给许多企业带来了灭顶之灾。随着数字加密币的普及,数字加密币天然的匿名性、非法交易难以追踪的特性令病木马黑色产业如获至宝。2018年,数字加密币已彻底改变了病木马黑色产业,使勒索病和挖矿木马成为影响企业网络安全的两大核心威胁。
勒索病直接要求受害者向指定数字加密币钱包转帐;挖矿木马传播者疯狂入侵企业网络,利用企业IT资源实现0成本挖矿。而暗网平台大量存在的非法交易,更是数字加密币持续火爆的土壤。
勒索病和挖矿病主要传播路径几乎一样:利用黑客技术入侵企业服务器,以此为跳板,再利用轻易获得的漏洞攻击工具在企业内网扩散。是传播勒索病,还是种植挖矿木马,仅仅取决于攻击者的目的。
企业网管可以将挖矿木马看作企业网络安全的「体温表」:若经常发现挖矿木马在内网运行而未及时得到有效控制,距离勒索病破坏的灾难爆发就为期不远了。
稿件来源:腾讯御见威胁情报中心
企业安全现状
企业终端病感染概况:
根据腾讯御见威胁情报中心数据显示,每周约18%企业发生过病木马攻击事件。
从企业染的类型看,挖矿类病比例逐渐提升,勒索类病依然占据比较高的比例。这两大类病在总体感染量总占比似乎并高,但这两类病造成的危害后果,却是对企业网络安全最严重的。
这两类病均同时使用了蠕虫式的传播渠道:比如大量使用永恒之蓝漏洞攻击包,利用Web组件的高危漏洞从企业网络边界入侵,在局域网内暴力破解多个网络服务主动扩散方式。一般的蠕虫式和感染型病以破坏性影响为主,这两类影响大多都是可逆的,清除病修复文件即可恢复正常,其感染后果跟勒索病不可同日而语。
而挖矿木马,是看起来似乎没有存在感,挖矿木马隐蔽性极好。只在进行挖矿操作时,才大量消耗电脑系统资源,除了比较有经验的网民一般难以发现。挖矿木马在电脑中长期存在,企业宝贵的计算资源被无谓浪费掉。
2018年挖矿木马控制肉鸡电脑0成本大量挖矿,推动整个黑色产业将比特币、门罗币、以太坊币等数字加密币作为非法交易的流通媒介,令黑产变现比以往更加简单和直接,已深刻影响病木马黑产生态。
风险软件常被中国网民称之为流氓软件,占据着一半的感染比例,其危害主要是使用体验上的困扰。风险软件的行为包括「流氓推广」、「刷流量」、「骚扰广告」、「劫持网络流量」等恶意行为,相对其他病危害来说,这类软件的影响相对处于灰色地带。风险软件的高感染量,提醒广大企业网管仍应重视对风险软件的防御。
行业病感染类型分布
1)不同行业感染病类型分布情况:
从感染病分布情况对比看,政府、教育、医疗等传统感染更容易感染勒索、挖矿病,这也是为什么安全厂商频繁爆出,医疗、学校等机构感染勒索、挖矿病。而科技、金融等新兴行业则更容易受风险软件的威胁,对科技、金融等行业,窃取机密往往成为恶意攻击的首选目的。
动态 | 部第三研究所正在对数字身份、身份上链进行研究和应用:据站长之家消息,在伪造身份证成本低廉的当下,部直属科研单位——部第三研究所正在对数字身份、身份上链进行研究和应用,以在现有身份证件之外,建立一个以身份证号码为根,基于密码算法的 eID 。同时,其已实现对 1 亿张 eID 进行管理。[2019/5/7]
2)行业感染病对比
从各行业感染病对比上看,医疗、教育行业感染病最为严重,金融行业感染病相对最少。同时可以发现,风险软件各行业感染情况相对比较平均,而勒索、挖矿病则主要集中在教育、医疗行业。
3)不同行业访问风险站点类型分布
从访问风险网站分布看,政府、教育、医疗等传统行业,容易受社工欺诈、虚假销售等网站影响,而科技、金融行业则更容易受信息欺诈影响。
4)行业访问风险站点对比
从各行业访问风险站点对比来看,社工欺诈和虚假销售在各行业相对比较普遍。其中,政府受信息欺诈影响最小,而医疗行业受虚假销售影响最大。
企业终端系统安全状况
1)企业终端操作系统安全指数
根据腾讯御见威胁情报中心数据监测,并且结合系统脆弱性和系统受安全事件影响对企业用户使用的Windows系统做不同版本的安全度评估。使用得出不同版本的系统安全指数,使用Win10的用户系统安全度更高,使用WinXP的用户安全度最底。
2)企业终端漏洞修复情况
黑客入侵活动中,最常用的手法是利用系统漏洞达到入侵的目的,而针对对企业用户终端的数据统计发现,约83%的Windows操作系统存在高危漏洞未及时修复。
3)企业终端脆弱性配置情况
终端脆弱性是指存在风险系统配置项,例如未设置登录密码、存在开放的高危端口,防火墙被关闭等等。安全地配置系统可以有效防止高危入侵行为。
(1)企业终端Windows操作系统存在高风险配置比例
企业终端Windows操作系统配置情况较好,存在脆弱性配置的比例占14%,部分企业资产管理不到位,导致存在部分机器有所遗漏。
(2)存在高风险脆弱性配置的类型分布情况
从存在的高风险脆弱性配置类型来看,主要有身份鉴别和网络安全访问控制风险,即存在空口令登陆和允许远程匿名访问的风险。一旦被黑客利用,黑客可远程登录计算器执行任意操作,带来信息泄露等严重问题。
2018企业威胁病流行趋势
1)勒索病
勒索病,是2018年破坏性最强影响面最广的一类恶意程序,通常是通过恐吓、绑架用户文件或破坏用户计算机等方式,向用户勒索钱财。
早期的勒索病通常是通过钓鱼邮件、社工等方式传播,通常传播规模量比较小,随着2017年NSA方程式工具泄露,「永恒之蓝」工具被大量利用,加之近年数字加密币的流行,勒索病感染正处于愈演愈烈的态势。
动态 | 部43个民族资产解冻类犯罪虚假项目和组织:包括物联网数字货币项目:据澎湃新闻消息,部部署全国机关从1月起开展为期半年的打击整治民族资产解冻类犯罪专项行动。近日,机关查明了43个实施民族资产解冻类犯罪的虚假项目和组织,其中包括物联网数字货币项目。[2019/2/1]
2018年对企业安全来说,首要安全威胁当属勒索病,国内活跃的勒索病家族如下:
而针对高价值的企业服务器勒索成为了勒索病攻击的首选目标:
(1)2018.4月,腾讯御见威胁情报中心发现Satan勒索病主攻数据库,对数据库各种文件加密勒索,加密完成后,会用中英韩三国语言索取0.3个比特币作为赎金,并威胁三天内不支付不予解密。
(2)2018.4月,腾讯御见威胁情报中心接到某公司反馈,该公司数台Windows服务器中了勒索病,电脑除了C盘,其他磁盘分区都被整个加密,造成公司业务停摆,并且勒索金额高达9.5个比特币。
(3)2018.4月,腾讯御见威胁情报中心接到某公司反馈,服务器被黑客入侵并且数据已被勒索病家族加密。
(4)2018.5月,腾讯御见威胁情报中心发现,GandCrab勒索病更新,并且目标主要针对企业服务器。
(5)2018.6月,腾讯御见威胁情报中心监测到,Crysis家族勒索病针对企业服务器攻击迅速上涨。
(6)2018.7月,腾讯御见威胁中心发现,湖北某医院遭撒旦勒索病袭击。
(7)2018.8月,台积电遭勒索病攻击而停产。
(8)2018.9月,腾讯御见威胁情报中心监测到,国内某重要通信企业多地子公司发生GlobeImposter勒索病攻击事件,内网多台机器被感染包括服务器。
(9)2018.9月,国内部分国土部门专网受勒索病攻击,部分省份不动产登记系统暂停使用。
(10)2018.9月,腾讯御见威胁情报中心监测到,GandCrab再次升级,通过暴力破解Tomcat服务器弱密码实现入侵,并且下载勒索病和挖矿木马,实施勒索和挖矿。
(11)2018.11月,知名半导体公司合晶科技位于大陆的工厂全线感染WannaCry勒索病,造成产线瘫痪,工厂全部停产。
一方面,勒索病对企业伤害巨大,一旦企业内网有资产中了勒索病,其常见文档文件会被加密,无法正常使用,并且勒索病有极大的可能会在内网传播,给企业造成不可挽回的损失。另一方面,勒索病利用成本越来越低,而收益相对较高,在黑市上只要数百元便可以获得一个勒索病,但勒索成功一次就可以获利数千元,甚至数万元。
目前数字加密货币日益普及,在世界范围内处于监管的空白地带,利用数字加密货币达成非法交易,难以被执法部门追踪,勒索病制作/发布者因此更加肆无忌惮!
部公布非法集资、案件,空气币成典型:据央视新闻报道,5月15日是第九个全国机关打击和防范经济犯罪宣传日。当日,部发布打击涉众型经济犯罪十大典型案件,其中空气币犯罪案例多次出现。其中,“五行币”组织推出“云数贸联盟”、“中国国际建业联盟”、“云讯通”等十余个平台,假借“爱国、慈善、扶贫”的旗号,以销售“原始股”“虚拟货币”等为名,以动态、静态收益为诱饵,采取“拉人头”方式不断发展人员加入,涉嫌组织、领导活动犯罪。“一川币”组织利用一川国际有限公司及“幸福100云购在线” 平台,以投资“一川币”并进行虚拟积分交易可获“静态奖金”、发展人员可获“动态奖金”等为诱饵,引诱人员参加,涉嫌组织、领导活动犯罪。[2018/5/17]
勒索病发布者通常都是有目的地针对企业发起攻击,勒索企业获得赎金的机率远高于勒索个人用户,可以预测2019年勒索病依然会是企业安全的重大威胁。
2)挖矿木马
挖矿木马,是近年兴起的网络安全威胁,2017年下半年开始进入普通用户的视野,而2018年开始流行。中挖矿木马的计算机,其计算机资源被大量占用用于数字加密币的挖掘。挖矿木马的流行一定程度上受数字加密币市值涨跌影响。
以最常见的比特币和门罗币为例,2017下半年比特币和门罗币价值暴涨,2018年下半年有下降,但价值扔高于2017年之前,所以整个2018年勒索木马的流行趋势总体呈上涨趋势。
数据来源于coinmarketcap.com
根据腾讯御见威胁情报中心数据监测,2018企业用户中挖矿木马的总体呈上升趋势。
而企业服务器同样成为挖矿木马攻击的常见目标。
(1)2018.4月,腾讯见威胁情报中心发现,PhotoMiner木马入侵FTP、SMB服务器扩大传播,并实施挖矿。
(2)2018.4月,腾讯见威胁情报中心发现,大批企业网站WEB服务器被黑客组件利用ApacheStruts2漏洞入侵,并植入挖矿木马。
(3)2018.5月,腾讯见威胁情报中心监测到,黑客利用Drupal系统漏洞,大批使用Drupal系统的网站被植入挖矿木马。
(4)2018.6月,腾讯御见威胁情报中心发现,Nitol木马被黑客植入到攻陷的服务器上,利用服务器挖矿。被攻击的服务器还包括某省公路路政系统。
(5)2018.7月,腾讯御见威胁情报中心再次监测到,利用ApacheStruts2高危漏洞入侵服务器,植入KoiMiner挖矿木马。
(6)2018.7月,腾讯御见威胁情报中心发现,北京某连锁医疗机构SQLServer服务器遭黑客入侵,并且被植入挖矿木马,服务器硬件资源被挖矿病大量消耗,影响正常的企业业务。
部开发区块链系统以保证数据存储安全:根据中国知识产权局本周二公布的数据,部第三研究院于2017年11月提交了一项基于区块链的系统专利申请,该系统会将提交到云空间的数据进行时间戳和存储,以提供更透明和防篡改的数据保存流程。[2018/5/9]
(7)2018.7月,腾讯御见威胁情报中心发现,广东重庆多家三甲医院服务器遭暴力入侵,攻击者暴力破解医院服务器的远程登录服务,利用被攻陷的服务器挖矿。
(8)2018.7月,腾讯御见威胁情报中心发现,北京某手游公司官网配置不当,服务器被入侵,其官网被植入挖矿木马。
(9)2018.7月,腾讯御见威胁情报中心发现,陕西多家企业网站被植入JS网页挖矿木马。
(10)2018.12月,腾讯御见威胁情报中心发现,8220团伙再次入侵企业服务器,利用企业服务器挖矿。
挖矿木马依然持续活跃中,预测2019年挖矿木马依然是企业安全的重要威胁之一。
3)风险软件
风险软件:是指具有「恶意行为」的软件,这类软件通常附带部分常用的功能,如「日历」、「解压缩」等用户常用的功能,通过误导安装、捆绑安装安装等渠道安装在用户的机器上,进行长期的潜伏,伺机实施暗刷流量、流氓推广、窃取隐私、挖矿、恶意广告等行为。中国用户习惯称为「流氓软件」、「间谍软件」等。
如2018年风险软件影响比较大的事件之一是:新型恶意软件攻击针对2018美国中期选举关键州的选民,其意图是收集有关活动和选民的数据,然后利用这些数据发起有针对性的后续攻击。
对企业用户来说,风险软件很可能会窃取企业内部机密信息,广大企业用户应提高警惕。
4)感染型病
感染型病运行后会将病代码加入其它程序中,进而感染全盘,严重时可导致计算机崩溃无法运行。早期的感染型病主要目的是破坏目标计算机,而近期活跃的感染型病附带后门功能,病的操纵者可以远程连接到用户计算机。
感染型病,破坏性强,清除相对困难,又因为企业内网经常存在文件共享等需求,感染型病容易在内网传播。
根据腾讯御见威胁情报中心数据监测,企业内部中的类型中约6.4%是感染型病。感染型病作为一种相对古老的病类型,长期活跃在各企业内网中,预测2019年感染型病依然是企业安全的主要威胁之一。
5)蠕虫、伪装文件夹病
最常见的蠕虫病是「伪装文件夹」病,伪装文件夹病通常通过、移动硬盘、U盘等移动介质及网络驱动器传播。病入侵电脑后,可远程下载、更新其它病模块,如盗号、挖矿等。
病运行后,会将移动设备、网络驱动器内的原有文件隐藏,并创建一个与原有文件图标一样的快捷方式,诱导用户点击。当用户将U盘、移动硬盘拿到其它机器上使用时,一旦点击其伪装的快捷方式时,病马上运行,并实施感染电脑上其它正常的文件。对企业内网来说,用U盘、移动硬盘、网络驱动器交互文件频率比较高,所以这类病更容易在企业内网中传播。
中国银行《2018二季度全球经济金融展望报告》,对数字货币的监管有三点建议:中国银行《2018二季度全球经济金融展望报告》指出,用于炒作的数字货币市场将受到整顿。数字货币作为新兴事物,监管措施尚无先例可遵,不过《报告》仍提出三点建议:1.加强相关法律建设,从立法层面明确数字货币的本质属性。2.充分发挥G20在全球政策协调方面的作用,探索构建全球统一的数字货币监管框架,敦促各国共享数字货币的交易信息,不断规范数字货币的发展。共同打击利用数字货币进行的犯罪行为。3.积极参与数字货币的全球治理。[2018/3/29]
2018其它典型企业安全事件
2018年影响企业安全的事件除了勒索病传播依然猖獗,挖矿病异军突起外,还有针对行业性的攻击、针对软件供应链的攻击等依然持续不断。
「商贸信」病攻击
在17年12月全球范围内爆发的「商贸信」病,在18年6月再次爆发,每天定向投放到中国进出口企业的攻击邮件有数千封之多。
不法黑客将发件人伪装成专业从事国际运送业务的知名企业客服人员,并搭配极具说服力的正文内容,诱导收到邮件的业务人员下载查阅附件。一旦用户不慎点开邮件附件文档,文档内嵌的恶意代码会自动下载LokiBot木马程序并运行,造成用户电脑中的机密信息泄露。
针对保险、母婴等行业定向攻击
18年6月,腾讯御见威胁情报中心监测到一批木马,通过最传统的鱼叉攻击,诱饵采用rar压缩包的形式进行投递,对保险、母婴等行业定向攻击,实施商业间谍活动。
供应链攻击
12月,广东省深圳市某知名软件厂商服务器被攻陷,导致客户端软件在更新时,被重定向至黑客服务器下载恶意病木马,10万用户遭到了感染。
2019企业网络安全威胁趋势——供应链攻击值得高度关注
纵观近几年网络攻击趋势,针对软件供应链的攻击变得愈发频繁,从早些年爆出的「棱镜计划」,到近期的Heartbleed漏洞、NotPetya勒索病爆发以及爆出的各种数据泄露事件,供应链攻击不再是高级攻击的专属,而变得与广大用户息息相关,随时都会带来严重损害。
供应链是涉及生产、分配、处理、维护货物的活动系统,以便将资源从供应商转移到最终消费者手中。在互联网行业中,该供应链环节也完全适用。一个软件从供应商到消费者使用,会经历开发、分发安装、使用、更新的环节,而供应链攻击则是黑客通过攻击各环节的漏洞,植入恶意病木马,达到传播木马的目的。
由于供应链攻击对于被攻击者而言没有任何感知,因此一直被黑客所青睐。以往供应链攻击往往多见于APT攻击,而在近几年,供应链攻击趋势开始有稳定增长,攻击事件层出不穷,日常网络攻击中越来越多的见到供应链攻击的手段。
下面对供应链各环节的攻击进行介绍。
开发环节
对开发环节的攻击,是指对软件的开发工具、环境、源码进行攻击、污染,导致软件一经编译成功便带有恶意病木马,随后所有该软件的分发渠道全部带。当用户安装使用软件时,同时电脑也中了病木马。
典型攻击事例:
远程终端管理软件Xshell后台被植入后门。Xshell是NetSarang公司开发的安全终端模拟软件,在2017年7月发布的软件nssock2.dll模块被发现有恶意后门代码,并且该文件带有合法签名,因此能够轻易绕过安全软件的查杀。该事件导致10万用户存在被盗取远程登录信息的风险。
分发安装环节
分发安装环节是指在正常软件的分发、下载、传播、安装等环节中,进行病木马的捆绑,使得用户在安装使用时,无形中也在电脑上安装了病木马。
17年6月,由安全厂商CheckPoint曝光的「FireBall」,通过野马浏览器等多款流氓软件传播。用户在安装这些看似正常的软件时,「FireBall」也同时安装在了电脑上。「FireBall」传播量级达到了千万级,会劫持浏览器的首页及标签页,影响用户的正常使用。
使用环节
使用环节指用户在正常使用软件时,软件已被黑客恶意篡改,通过社工等方式,引导用户进行高风险操作,导致电脑中恶意病木马。
著名勒索病GandCrab的传播方式之一水坑攻击则是个典型案例。黑客通过入侵Web服务器,将网页内容篡改为乱码。当用户访问该网页时,提示系统缺失字体组件,并且弹窗提示用户下载安装。而下载链接实际上为GandCrab勒索病的下载链接,一旦用户下载运行,电脑上的文档资料便会被加密,造成不可挽回的损失。
更新环节
更新环节指软件安装在用户机器上后,日常更新时,黑客将更新链接劫持到恶意服务器上,导致下载的并不是的软件的更新版本,而是黑客传播的恶意木马。由于很多软件能够自动更新,因此该攻防方式让广大用户防不胜防。
更新劫持是最为常见的供应链攻击手段。17年在乌克兰爆发的Petya勒索病则是通过更新劫持传播。黑客首先攻击了M.E.Doc,这是一家乌克兰会计软件厂商。之后黑客通过M.E.Doc更新服务器将恶意更新链接推送给用户,导致Petya勒索病的大爆发。更新劫持供应链攻击方式在国内也层出不穷。
在2018年12月中旬,腾讯御见威胁情报中心预警大范围的木马传播,根据分析为某知名软件后台服务器被入侵,导致软件更新时,被重定向至黑客服务器下载恶意木马,进而导致大面积感染,量级达到了10万以上。
一些攻击者还会劫持网络,模拟、伪造一些常见软件的升级提示,终端用户安装。
供应链攻击预防安全建议
a)软件厂商
在供应链攻击很多环节中,软件厂商是黑客攻击的主要目标,用户是最终攻击目标。因此,软件厂商的安全措施就显得极其重要。
使用可信、正规的安全开发软件,使用开源开发工具,也要注意官方渠道,或有能力审阅源码。
产品发布前严格进行安全检测,通过后才可发布。
在可信的渠道商发布软件产品,防止软件被二次打包恶意捆绑。
b)用户
尽管在供应链攻击很多环节中,用户无法阻止攻击行为的发生。但是培养安全意识,养成良好的上网行为,即可有效阻止攻击的有效落地。
尽量在官网等正规渠道,下载安装软件。
安装安全软件,并且保持打开状态。这样当有恶意病木马落地时,安全软件也能进行拦截查杀,阻止恶意行为的发生。对诱导关闭、退出杀软件的说法保持足够警惕。
企业安全威胁防护建议
企业服务器端
企业常见的服务器包括包括邮件服务器、DNS服务器、VPN服务器,这些基础设施的安全性往往会影响到企业重要业务。例如攻击者可通过账号爆破、弱口令密码登录、DoS攻击、系统配置漏洞等方式入侵。
企业服务器常见的安全防护方案,是防火墙、IDS、IPS、杀软件等防护产品,对风险流量、邮件、文件告警、拦截过滤,同时要注意排查是否存在弱口令登录漏洞等系统配置漏洞。
推荐企业用户使用腾讯御界高级威胁检测系统,御界高级威胁检测系统基于腾讯反病实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。通过对企业网络出入网络流量的智能分析,从中发现黑客入侵或病木马连接内网的线索。
企业网络客户端
企业应部署客户端防病软件,让企业网络的所有节点都具有最新的病防范能力。推荐使用腾讯御点终端安全管理系统,管理员可以掌控全网的安全动态,及时发现和清除病威胁。
漏洞修补
企业所有终端节点:包括服务器和客户端都应及时安装操作系统和主要应用软件的安全补丁,减少病木马利用系统漏洞入侵的可能性。企业内网使用腾讯御点终端安全管理系统可以全网统一安装系统补丁,提升客户端的安全性。
使用更高版本的操作系统,新版本操作系统的攻击门槛相对较高。
如企业网络升级部署Windows10。
加强员工网络安全防护意识,包括不限于:
不要轻易下载不明软件程序
不要轻易打开不明邮件夹带的可疑附件
及时备份重要的数据文件
其它必要的防护措施:关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
采用高强度的密码,避免使用弱口令,并定期更换。
对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
来源链接:mp.weixin.qq.com
本文来源于非小号媒体平台:
链闻看天下
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3627109.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
硬件钱包并非无懈可击,防不胜防的「中间人攻击」
下一篇:
MetaStable合伙人为交易所拆招:如何对付51%攻击
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。