一、前言
2017年对企业安全影响最深远的事件是以WannaCry为代表的勒索病毒爆发,给许多企业带来了灭顶之灾。随着数字加密币的普及,数字加密币天然的匿名性、非法交易难以追踪的特性令病毒木马黑色产业如获至宝。2018年,数字加密币已彻底改变了病毒木马黑色产业,使勒索病毒和挖矿木马成为影响企业网络安全的两大核心威胁。
勒索病毒直接要求受害者向指定数字加密币钱包转帐;挖矿木马传播者疯狂入侵企业网络,利用企业IT资源实现0成本挖矿(不管比特币、门罗币、以太坊币跌成什么样,利用僵尸网络挖矿不需要购买矿机,也不需要自己付电费)。而暗网平台大量存在的非法交易,更是数字加密币持续火爆的土壤。
勒索病毒和挖矿病毒几乎使用完全一样的入侵传播路径:利用黑客技术入侵企业服务器,以此为跳板,再利用轻易获得的漏洞攻击工具在企业内网扩散。是传播勒索病毒,还是种植挖矿木马,仅仅取决于攻击者的目的。企业网管可以将挖矿木马看作企业网络安全的“体温表”:若经常发现挖矿木马在内网运行而未及时得到有效控制,距离勒索病毒破坏的灾难爆发就为期不远了。
二、企业安全现状
1. 企业终端病毒感染概况:
根据腾讯御见威胁情报中心数据显示,每周约18%企业发生过病毒木马攻击事件。
从企业染毒的类型看,挖矿类病毒比例逐渐提升,勒索类病毒依然占据比较高的比例。这两大类病毒在总体感染量总占比似乎并高,但这两类病毒造成的危害后果,却是对企业网络安全最严重的。
这两类病毒均同时使用了蠕虫式的传播渠道:比如大量使用永恒之蓝漏洞攻击包,利用Web组件的高危漏洞从企业网络边界入侵,在局域网内暴力破解多个网络服务(3389、FTP、SQL弱口令等)主动扩散方式。一般的蠕虫式和感染型病毒以破坏性影响为主,这两类影响大多都是可逆的,清除病毒修复文件即可恢复正常,其感染后果跟勒索病毒不可同日而语。
而挖矿木马,是看起来似乎没有存在感,挖矿木马隐蔽性极好。只在进行挖矿操作时,才大量消耗电脑系统资源,除了比较有经验的网民一般难以发现。挖矿木马在电脑中长期存在,企业宝贵的计算资源被无谓浪费掉。
2018年挖矿木马控制肉鸡电脑0成本大量挖矿,推动整个黑色产业将比特币、门罗币、以太坊币等数字加密币作为非法交易的流通媒介,令黑产变现比以往更加简单和直接,已深刻影响病毒木马黑产生态。
风险软件常被中国网民称之为流氓软件,占据着一半的感染比例,其危害主要是使用体验上的困扰。风险软件的行为包括“流氓推广”、“刷流量”、“骚扰广告”、“劫持网络流量”等恶意行为,相对其他病毒危害来说,这类软件的影响相对处于灰色地带。风险软件的高感染量,提醒广大企业网管仍应重视对风险软件的防御。
2. 行业病毒感染类型分布
1) 不同行业感染病毒类型分布情况:
从感染病毒分布情况对比看,政府、教育、医疗等传统感染更容易感染勒索、挖矿病毒,这也是为什么安全厂商频繁爆出,医疗、学校等机构感染勒索、挖矿病毒。而科技、金融等新兴行业则更容易受风险软件的威胁,对科技、金融等行业,窃取机密往往成为恶意攻击的首选目的。
2) 行业感染病毒对比
从各行业感染病毒对比上看,医疗、教育行业感染病毒最为严重,金融行业感染病毒相对最少。同时可以发现,风险软件各行业感染情况相对比较平均,而勒索、挖矿病毒则主要集中在教育、医疗行业。
3) 不同行业访问风险站点类型分布
从访问风险网站分布看,政府、教育、医疗等传统行业,容易受社工欺诈、虚假销售等网站影响,而科技、金融行业则更容易受信息欺诈影响。
4) 行业访问风险站点对比
从各行业访问风险站点对比来看,社工欺诈和虚假销售在各行业相对比较普遍。其中,政府受信息欺诈影响最小,而医疗行业受虚假销售影响最大。
3. 企业终端系统安全状况
1) 企业终端操作系统安全指数
根据腾讯御见威胁情报中心数据监测,并且结合系统脆弱性和系统受安全事件影响对企业用户使用的Windows系统做不同版本的安全度评估。使用得出不同版本的系统安全指数,使用Win10的用户系统安全度更高,使用WinXP的用户安全度最底
2) 企业终端漏洞修复情况
黑客入侵活动中,最常用的手法是利用系统漏洞达到入侵的目的,而针对对企业用户终端的数据统计发现,约83%的Windows操作系统存在高危漏洞未及时修复。
3) 企业终端脆弱性配置情况
终端脆弱性是指存在风险系统配置项,例如未设置登录密码、存在开放的高危端口,防火墙被关闭等等。安全地配置系统可以有效防止高危入侵行为。
(1) 企业终端Windows操作系统存在高风险配置比例
企业终端Windows操作系统配置情况较好,存在脆弱性配置的比例占14%,部分企业资产管理不到位,导致存在部分机器有所遗漏。
(2) 存在高风险脆弱性配置的类型分布情况
从存在的高风险脆弱性配置类型来看,主要有身份鉴别和网络安全访问控制风险,即存在空口令登陆和允许远程匿名访问的风险。一旦被黑客利用,黑客可远程登录计算器执行任意操作,带来信息泄露等严重问题。
4. 2018企业威胁病毒流行趋势
1) 勒索病毒
勒索病毒,是2018年破坏性最强影响面最广的一类恶意程序,通常是通过恐吓、绑架用户文件或破坏用户计算机等方式,向用户勒索钱财。早期的勒索病毒通常是通过钓鱼邮件、社工等方式传播,通常传播规模量比较小,随着2017年NSA方程式工具泄露,“永恒之蓝”工具被大量利用,加之近年数字加密币的流行,勒索病毒感染正处于愈演愈烈的态势。
2018年对企业安全来说,首要安全威胁当属勒索病毒,国内活跃的勒索病毒家族如下:
而针对高价值的企业服务器勒索成为了勒索病毒攻击的首选目标:
(1) 2018.4月,腾讯御见威胁情报中心发现Satan勒索病毒主攻数据库,对数据库各种文件加密勒索,加密完成后,会用中英韩三国语言索取0.3个比特币作为赎金,并威胁三天内不支付不予解密。
(2) 2018.4月,腾讯御见威胁情报中心接到某公司反馈,该公司数台Windows服务器中了勒索病毒,电脑除了C盘,其他磁盘分区都被整个加密,造成公司业务停摆,并且勒索金额高达9.5个比特币(约40万人民币)。
(3) 2018.4月,腾讯御见威胁情报中心接到某公司反馈,服务器被黑客入侵并且数据已被勒索病毒家族加密。
(4) 2018.5月,腾讯御见威胁情报中心发现,GandCrab勒索病毒更新,并且目标主要针对企业服务器。
(5) 2018.6月,腾讯御见威胁情报中心监测到,Crysis家族勒索病毒针对企业服务器攻击迅速上涨。
(6) 2018.7月,腾讯御见威胁中心发现,湖北某医院遭撒旦(Satan)勒索病毒袭击。
(7) 2018.8月,台积电遭勒索病毒攻击而停产。
(8) 2018.9月,腾讯御见威胁情报中心监测到,国内某重要通信企业多地子公司发生GlobeImposter勒索病毒攻击事件,内网多台机器被感染包括服务器。
(9) 2018.9月,国内部分国土部门专网受勒索病毒攻击,部分省份不动产登记系统暂停使用。
(10)2018.9月,腾讯御见威胁情报中心监测到,GandCrab 再次升级,通过暴力破解Tomcat 服务器弱密码实现入侵,并且下载勒索病毒和挖矿木马,实施勒索和挖矿。
(11)2018.11月,知名半导体公司合晶科技位于大陆的工厂全线感染WannaCry勒索病毒,造成产线瘫痪,工厂全部停产。
一方面,勒索病毒对企业伤害巨大,一旦企业内网有资产中了勒索病毒,其常见文档文件会被加密,无法正常使用,并且勒索病毒有极大的可能会在内网传播,给企业造成不可挽回的损失。另一方面,勒索病毒利用成本越来越低,而收益相对较高,在黑市上只要数百元便可以获得一个勒索病毒,但勒索成功一次就可以获利数千元,甚至数万元。
目前数字加密货币日益普及,在世界范围内处于监管的空白地带,利用数字加密货币达成非法交易,难以被执法部门追踪,勒索病毒制作/发布者因此更加肆无忌惮!而勒索病毒发布者通常都是有目的地针对企业发起攻击,勒索企业获得赎金的机率远高于勒索个人用户,可以预测2019年勒索病毒依然会是企业安全的重大威胁。
2) 挖矿木马
挖矿木马,是近年兴起的网络安全威胁,2017年下半年开始进入普通用户的视野,而2018年开始流行。中挖矿木马的计算机,其计算机资源被大量占用用于数字加密币的挖掘。挖矿木马的流行一定程度上受数字加密币的价值影响。以最常见的比特币和门罗币为例,2017下半年比特币和门罗币价值暴涨,2018年下半年有下降,但价值扔高于2017年之前,所以整个2018年勒索木马的流行趋势总体呈上涨趋势。
(数据来源于coinmarketcap.com)
根据腾讯御见威胁情报中心数据监测,2018企业用户中挖矿木马的总体呈上升趋势。
而企业服务器同样成为挖矿木马攻击的常见目标。
(1) 2018.4月,腾讯见威胁情报中心发现,PhotoMiner木马入侵FTP、SMB服务器扩大传播,并实施挖矿。
(2) 2018.4月,腾讯见威胁情报中心发现,大批企业网站WEB服务器被黑客组件利用ApacheStruts2 漏洞入侵,并植入挖矿木马。
(3) 2018.5月,腾讯见威胁情报中心监测到,黑客利用Drupal系统漏洞,大批使用Drupal系统的网站被植入挖矿木马。
(4) 2018.6月,腾讯御见威胁情报中心发现,Nitol木马被黑客植入到攻陷的服务器上,利用服务器挖矿。被攻击的服务器还包括某省公路路政系统。
(5) 2018.7月,腾讯御见威胁情报中心再次监测到,利用Apache Struts2高危漏洞入侵服务器,植入KoiMiner挖矿木马。
(6) 2018.7月,腾讯御见威胁情报中心发现,北京某连锁医疗机构SQL Server服务器遭黑客入侵,并且被植入挖矿木马,服务器硬件资源被挖矿病毒大量消耗,影响正常的企业业务。
(7) 2018.7月,腾讯御见威胁情报中心发现,广东重庆多家三甲医院服务器遭暴力入侵,攻击者暴力破解医院服务器的远程登录服务,利用被攻陷的服务器挖矿。
(8) 2018.7月,腾讯御见威胁情报中心发现,北京某手游公司官网配置不当,服务器被入侵,其官网被植入挖矿木马
(9) 2018.7月,腾讯御见威胁情报中心发现,陕西多家企业网站被植入JS网页挖矿木马。
(10) 2018.12月,腾讯御见威胁情报中心发现,8220团伙再次入侵企业服务器,利用企业服务器挖矿。
挖矿木马依然持续活跃中,预测2019年挖矿木马依然是企业安全的重要威胁之一。
3) 风险软件
风险软件:是指具有“恶意行为”的软件,这类软件通常附带部分常用的功能,如“日历”、“解压缩”等用户常用的功能,通过误导安装、捆绑安装安装等渠道安装在用户的机器上,进行长期的潜伏,伺机实施暗刷流量、流氓推广、窃取隐私、挖矿、恶意广告等行为。中国用户习惯称为“流氓软件”、“间谍软件”等。
如2018年风险软件影响比较大的事件之一是: 新型恶意软件攻击针对2018美国中期选举关键州的选民,其意图是收集有关活动和选民的数据,然后利用这些数据发起有针对性的后续攻击。
对企业用户来说,风险软件很可能会窃取企业内部机密信息,广大企业用户应提高警惕。
4) 感染型病毒
感染型病毒运行后会将病毒代码加入其它程序中,进而感染全盘,严重时可导致计算机崩溃无法运行。早期的感染型病毒主要目的是破坏目标计算机,而近期活跃的感染型病毒附带后门功能,病毒的操纵者可以远程连接到用户计算机。
感染型病毒,破坏性强,清除相对困难,又因为企业内网经常存在文件共享等需求,感染型病毒容易在内网传播。
根据腾讯御见威胁情报中心数据监测,企业内部中毒的类型中约6.4% 是感染型病毒。感染型病毒作为一种相对古老的病毒类型,长期活跃在各企业内网中,预测2019年感染型病毒依然是企业安全的主要威胁之一
5) 蠕虫、伪装文件夹病毒
最常见的蠕虫病毒是“伪装文件夹”病毒,伪装文件夹病毒通常通过、移动硬盘、U盘等移动介质及网络驱动器传播。病毒入侵电脑后,可远程下载、更新其它病毒模块,如盗号、挖矿等。
病毒运行后,会将移动设备、网络驱动器内的原有文件隐藏,并创建一个与原有文件图标一样的快捷方式,诱导用户点击。当用户将U盘、移动硬盘拿到其它机器上使用时,一旦点击其伪装的快捷方式时,病毒马上运行,并实施感染电脑上其它正常的文件。对企业内网来说,用U盘、移动硬盘、网络驱动器交互文件频率比较高,所以这类病毒更容易在企业内网中传播。
三、2018其它典型企业安全事件
2018年影响企业安全的事件除了勒索病毒传播依然猖獗,挖矿病毒异军突起外,还有针对行业性的攻击、针对软件供应链的攻击等依然持续不断。
1. “商贸信”病毒攻击
在17年12月全球范围内爆发的“商贸信”病毒,在18年6月再次爆发,每天定向投放到中国进出口企业的攻击邮件有数千封之多。不发黑客将发件人伪装成专业从事国际运送业务的知名企业客服人员,并搭配极具说服力的正文内容,诱导收到邮件的业务人员下载查阅附件。一旦用户不慎点开邮件附件文档,文档内嵌的恶意代码会自动下载Loki Bot木马程序并运行,造成用户电脑中的机密信息泄露。
2. 针对保险、母婴等行业定向攻击
18年6月,腾讯御见威胁情报中心监测到一批木马,通过最传统的鱼叉攻击,诱饵采用rar压缩包的形式进行投递,对保险、母婴等行业定向攻击,实施商业间谍活动。
3. 供应链攻击
12月,广东省深圳市某知名软件厂商服务器被攻陷,导致客户端软件在更新时,被重定向至黑客服务器下载恶意病毒木马,10万用户遭到了感染。
四、2019企业网络安全威胁趋势——供应链攻击值得高度关注
纵观近几年网络攻击趋势,针对软件供应链的攻击变得愈发频繁,从早些年爆出的“棱镜计划”,到近期的Heartbleed漏洞、NotPetya勒索病毒爆发以及爆出的各种数据泄露事件,供应链攻击不再是高级攻击的专属,而变得与广大用户息息相关,随时都会带来严重损害。
供应链是涉及生产、分配、处理、维护货物的活动系统,以便将资源从供应商转移到最终消费者手中。在互联网行业中,该供应链环节也完全适用。一个软件从供应商到消费者使用,会经历开发、分发安装、使用、更新的环节,而供应链攻击则是黑客通过攻击各环节的漏洞,植入恶意病毒木马,达到传播木马的目的。
由于供应链攻击对于被攻击者而言没有任何感知,因此一直被黑客所青睐。以往供应链攻击往往多见于APT(高级持续性威胁)攻击,而在近几年,供应链攻击趋势开始有稳定增长,攻击事件层出不穷,日常网络攻击中越来越多的见到供应链攻击的手段。
下面对供应链各环节的攻击进行介绍
1. 开发环节
对开发环节的攻击,是指对软件的开发工具、环境、源码进行攻击、污染,导致软件一经编译成功便带有恶意病毒木马,随后所有该软件的分发渠道全部带毒。当用户安装使用软件时,同时电脑也中了病毒木马。
典型攻击事例:远程终端管理软件Xshell后台被植入后门。Xshell是NetSarang公司开发的安全终端模拟软件,在2017年7月发布的软件nssock2.dll模块被发现有恶意后门代码,并且该文件带有合法签名,因此能够轻易绕过安全软件的查杀。该事件导致10万用户存在被盗取远程登录信息的风险。
2. 分发安装环节
分发安装环节是指在正常软件的分发、下载、传播、安装等环节中,进行病毒木马的捆绑,使得用户在安装使用时,无形中也在电脑上安装了病毒木马。
17年6月,由安全厂商CheckPoint曝光的“FireBall(火球)”,通过野马浏览器等多款流氓软件传播。用户在安装这些看似正常的软件时,“FireBall(火球)”也同时安装在了电脑上。“FireBall(火球)”传播量级达到了千万级,会劫持浏览器的首页及标签页,影响用户的正常使用。
3. 使用环节
使用环节指用户在正常使用软件时,软件已被黑客恶意篡改,通过社工等方式,引导用户进行高风险操作,导致电脑中恶意病毒木马。
著名勒索病毒GandCrab的传播方式之一水坑攻击则是个典型案例。黑客通过入侵Web服务器,将网页内容篡改为乱码。当用户访问该网页时,提示系统缺失字体组件,并且弹窗提示用户下载安装。而下载链接实际上为GandCrab勒索病毒的下载链接,一旦用户下载运行,电脑上的文档资料便会被加密,造成不可挽回的损失。
4. 更新环节
更新环节指软件安装在用户机器上后,日常更新时,黑客将更新链接劫持到恶意服务器上,导致下载的并不是的软件的更新版本,而是黑客传播的恶意木马。由于很多软件能够自动更新,因此该攻防方式让广大用户防不胜防。
更新劫持是最为常见的供应链攻击手段。17年在乌克兰爆发的Petya勒索病毒则是通过更新劫持传播。黑客首先攻击了M.E.Doc,这是一家乌克兰会计软件厂商。之后黑客通过M.E.Doc更新服务器将恶意更新链接推送给用户,导致Petya勒索病毒的大爆发。更新劫持供应链攻击方式在国内也层出不穷。
在2018年12月中旬,腾讯御见威胁情报中心预警大范围的木马传播,根据分析为某知名软件后台服务器被入侵,导致软件更新时,被重定向至黑客服务器下载恶意木马,进而导致大面积感染,量级达到了10万以上。
一些攻击者还会劫持网络,模拟伪造一些常见软件(比如Flash、PDF阅读器、Office补丁、Windows补丁等)的升级提示,欺骗终端用户安装。
5. 供应链攻击预防安全建议
a) 软件厂商
在供应链攻击很多环节中,软件厂商是黑客攻击的主要目标,用户是最终攻击目标。因此,软件厂商的安全措施就显得极其重要。
使用可信、正规的安全开发软件,使用开源开发工具,也要注意官方渠道,或有能力审阅源码。
产品发布前严格进行安全检测,通过后才可发布。
在可信的渠道商发布软件产品,防止软件被二次打包恶意捆绑。
b) 用户
尽管在供应链攻击很多环节中,用户无法阻止攻击行为的发生。但是培养安全意识,养成良好的上网行为,即可有效阻止攻击的有效落地。
尽量在官网等正规渠道,下载安装软件。
安装安全软件,并且保持打开状态。这样当有恶意病毒木马落地时,安全软件也能进行拦截查杀,阻止恶意行为的发生。对诱导关闭、退出杀毒软件的说法保持足够警惕。
五、企业安全威胁防护建议
1. 企业服务器端
企业常见的服务器包括包括邮件服务器、DNS服务器、VPN服务器,这些基础设施的安全性往往会影响到企业重要业务。 例如攻击者可通过账号爆破、弱口令密码登录、DoS攻击、系统配置漏洞等方式入侵。
企业服务器常见的安全防护方案,是防火墙、IDS、IPS、杀毒软件等防护产品,对风险流量、邮件、文件告警、拦截过滤,同时要注意排查是否存在弱口令登录漏洞等系统配置漏洞。
推荐企业用户使用腾讯御界高级威胁检测系统,御界高级威胁检测系统基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。通过对企业网络出入网络流量的智能分析,从中发现黑客入侵或病毒木马连接内网的线索。
2. 企业客户端
企业应部署客户端防病毒软件,让企业网络的所有节点都具有最新的病毒防范能力。推荐使用腾讯御点终端安全管理系统,管理员可以掌控全网的安全动态,及时发现和清除病毒威胁。
3. 漏洞修补
企业所有终端节点:包括服务器和客户端都应及时安装操作系统和主要应用软件的安全补丁,减少病毒木马利用系统漏洞入侵的可能性。企业内网使用腾讯御点终端威胁管理系统可以全网统一安装系统补丁,提升客户端的安全性。
4. 使用更高版本的操作系统,新版本操作系统的攻击门槛较高。
比如将内网终端系统升级到最新的Windows 10,普通攻击者攻击得逞的可能性会降低。
5. 加强员工网络安全防护意识,包括不限于:
1) 不要轻易下载不明软件程序
2) 不要轻易打开不明邮件夹带的可疑附件
3) 及时备份重要的数据文件
6. 其它必要措施:
1) 关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2) 关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3) 采用高强度的密码,避免使用弱口令,并定期更换。
4) 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
*本文作者:腾讯电脑管家;转载请注明来自 freeBuf.COM