近日，瑞星安全團(tuán)隊(duì)發(fā)布了《2018年上半年中國(guó)網(wǎng)絡(luò)安全報(bào)告》，報(bào)告中為大家介紹了2018年上半年病毒情況、網(wǎng)絡(luò)安全事件、移動(dòng)互聯(lián)網(wǎng)安全和互聯(lián)網(wǎng)安全等內(nèi)容。

[[239939]]

前言

2018年上半年中國(guó)網(wǎng)絡(luò)安全報(bào)告新鮮出爐，瑞星安全團(tuán)隊(duì)為您解讀~

一、惡意軟件與惡意網(wǎng)址

A. 惡意軟件

1. 2018年上半年病毒概述

(1) 病毒疫情總體概述

2018年上半年瑞星“云安全”系統(tǒng)共截獲病毒樣本總量2,587萬個(gè)，病毒感染次數(shù)7.82億次。新增木馬病毒占總體數(shù)量的62.83%，依然是第一大種類病毒?；疑浖《?垃圾軟件、廣告軟件、黑客工具、惡意軟件)為第二大種類病毒，占總體數(shù)量的17.72%，第三大種類病毒為病毒釋放器，占總體數(shù)量的9.55%。

報(bào)告期內(nèi)，CVE-2018-4878漏洞利用占比52.85%，位列第一位。該漏洞影響Flash Player所有版本，攻擊者可以誘導(dǎo)用戶打開包含惡意Flash代碼文件的Microsoft Office文檔、網(wǎng)頁、垃圾電子郵件等。

(2) 病毒感染地域分析

報(bào)告期內(nèi)，北京市病毒感染1.93億人次，位列全國(guó)第一，其次為廣東省0.57億人次及山東省0.44億人次。

2. 2018年上半年病毒Top10

根據(jù)病毒感染人數(shù)、變種數(shù)量和代表性進(jìn)行綜合評(píng)估，瑞星評(píng)選出了2018年上半年1至6月病毒Top10：

3. 2018年上半年中國(guó)勒索軟件感染現(xiàn)狀

報(bào)告期內(nèi)，瑞星“云安全”系統(tǒng)共截獲勒索軟件樣本31.44萬個(gè)，感染共計(jì)456萬次，其中廣東省感染116萬次，位列全國(guó)第一，其次為上海市62萬次，北京市34萬次及江蘇省22萬次。

通過對(duì)瑞星捕獲的勒索樣本按家族分析發(fā)現(xiàn)，LockScreen家族占比43%，位列第一，其次為WannaCrypt占比27%，以及GandCrab占比20%。

B. 惡意網(wǎng)址

1. 2018年上半年全球惡意網(wǎng)址總體概述

2018年上半年瑞星“云安全”系統(tǒng)在全球范圍內(nèi)共截獲惡意網(wǎng)址(URL)總量4,785萬個(gè)，其中掛馬網(wǎng)站2,900萬個(gè)，詐騙網(wǎng)站1,885萬個(gè)。美國(guó)惡意URL總量為1,643萬個(gè)，位列全球第一，其次是中國(guó)226萬個(gè)，德國(guó)72萬個(gè)，分別為二、三位。

2. 2018年上半年中國(guó)惡意網(wǎng)址總體概述

報(bào)告期內(nèi)，甘肅省惡意網(wǎng)址(URL)總量為72萬個(gè)，位列全國(guó)第一，其次是浙江省36萬個(gè)，以及香港29萬個(gè)，分別為二、三位。

注：上述惡意URL地址為惡意URL服務(wù)器的物理地址。

3. 2018年上半年中國(guó)詐騙網(wǎng)站概述

2018年上半年瑞星“云安全”系統(tǒng)共攔截詐騙網(wǎng)站攻擊182萬余次，廣東受詐騙網(wǎng)站攻擊32萬次，位列第一位，其次是北京市受詐騙網(wǎng)站攻擊30萬次，第三名是上海市受詐騙網(wǎng)站攻擊13萬次。

報(bào)告期內(nèi)，情色類詐騙網(wǎng)站占39%，位列第一位，其次是廣告聯(lián)盟類詐騙網(wǎng)站占33%，賭博類詐騙網(wǎng)站占12%，分別為二、三位。

4. 2018年上半年中國(guó)主要省市訪問詐騙網(wǎng)站類型

報(bào)告期內(nèi)，北京、遼寧、浙江等地區(qū)訪問的詐騙網(wǎng)站類型以情色網(wǎng)站為主，廣東、山東、廣西等地區(qū)則以在線賭博為主，其余地區(qū)訪問惡意推廣詐騙網(wǎng)站居多。

5. 詐騙網(wǎng)站趨勢(shì)分析

2018年上半年情色、賭博類詐騙網(wǎng)站占比較多，這些惡意網(wǎng)站大多通過非法手段進(jìn)行傳播，賭博類詐騙網(wǎng)站利用高利潤(rùn)的方式吸引用戶，前期平臺(tái)方會(huì)在后臺(tái)操作讓用戶少輸多贏，當(dāng)用戶產(chǎn)生一定的興趣后，再進(jìn)行后臺(tái)操作贏取用戶錢財(cái)。詐騙網(wǎng)站的傳播途徑：

• 利用微信朋友圈以軟文方式進(jìn)行誘導(dǎo)傳播。
• 利用QQ群發(fā)方式進(jìn)行范圍傳播。
• 利用短信群發(fā)平臺(tái)以中獎(jiǎng)方式進(jìn)行傳播。
• 利用游戲輔助軟件進(jìn)行傳播。
• 利用大型互聯(lián)網(wǎng)平臺(tái)發(fā)布信息進(jìn)行傳播。

6. 2018年上半年中國(guó)掛馬網(wǎng)站概述

2018年上半年瑞星“云安全”系統(tǒng)共攔截掛馬網(wǎng)站攻擊38萬余次，北京市受掛馬攻擊12萬次，位列第一位，其次是浙江省受掛馬攻擊10萬次。

7. 掛馬網(wǎng)站趨勢(shì)分析

2018年上半年掛馬攻擊相對(duì)減少，攻擊者一般自建一些導(dǎo)航類或色情類網(wǎng)站，吸引用戶主動(dòng)訪問。有些網(wǎng)站會(huì)鎖定用戶瀏覽器主頁，當(dāng)用戶訪問會(huì)自動(dòng)跳轉(zhuǎn)到指定的惡意網(wǎng)站，大部分惡意網(wǎng)站會(huì)掛載木馬程序誘導(dǎo)用戶下載，進(jìn)而竊取用戶的賬戶信息，非法分子利用竊取的信息進(jìn)行詐騙或資金盜刷。掛馬防護(hù)手段主要為：

更新到最新的瀏覽器版本。 禁止瀏覽陌生郵件或手機(jī)短信發(fā)送的鏈接網(wǎng)址。 禁止瀏覽不正規(guī)或非法網(wǎng)站。 禁止在非正規(guī)網(wǎng)站下載軟件程序。 安裝殺毒防護(hù)軟件。

二、移動(dòng)互聯(lián)網(wǎng)安全

A. 手機(jī)安全

1. 2018年上半年手機(jī)病毒概述

2018年上半年瑞星“云安全”系統(tǒng)共截獲手機(jī)病毒樣本345萬個(gè)，新增病毒類型以信息竊取、資費(fèi)消耗四類為主，其中信息竊取類病毒占比28%，位居第一。其次是資費(fèi)消耗類病毒占比27%，第三名是流氓行為類病毒，占比17%。

2. 2018年上半年手機(jī)病毒Top5

3. 2018年上半年Android手機(jī)漏洞Top5

B. 2018年上半年移動(dòng)安全事件

1. “旅行青蛙”游戲外掛藏風(fēng)險(xiǎn)

2018年1月，一款名為“旅行青蛙”的手游在朋友圈中刷屏。因?yàn)椴僮骱?jiǎn)單、節(jié)奏緩慢，這款游戲也被網(wǎng)友戲稱為“佛系養(yǎng)蛙”。部分商家瞅準(zhǔn)商機(jī)，針對(duì)iOS手機(jī)用戶，推出“花費(fèi)20元即可購買21億無限三葉草”服務(wù)，通過“外掛”操作，讓玩家輕易獲得大量三葉草。記者調(diào)查發(fā)現(xiàn)，購買“無限三葉草”服務(wù)后，需要在電腦上按照教程操作或允許商家遠(yuǎn)程操作，但其間存在不少風(fēng)險(xiǎn)，或會(huì)造成手機(jī)中數(shù)據(jù)丟失，甚至泄露個(gè)人隱私。

2. 惡意軟件偽裝“系統(tǒng)Wi-Fi服務(wù)”感染近五百萬臺(tái)安卓手機(jī)

2018年3月，安全研究人員發(fā)現(xiàn)一個(gè)大規(guī)模持續(xù)增長(zhǎng)的惡意軟件活動(dòng)，已經(jīng)感染了全球近500萬臺(tái)移動(dòng)設(shè)備。一款名為“Rottensys”的惡意軟件偽裝成“系統(tǒng)Wi-Fi服務(wù)”，該程序包含風(fēng)險(xiǎn)代碼，可在后臺(tái)私自下載惡意插件并靜默安裝，進(jìn)行遠(yuǎn)程控制命令以及對(duì)用戶手機(jī)進(jìn)行root，從而頻繁推送廣告并進(jìn)行應(yīng)用分發(fā)，消耗用戶流量資費(fèi)，影響用戶體驗(yàn)。受影響的品牌包括榮耀、華為、小米、OPPO、Vivo、三星和金力等。

3. 二手手機(jī)信息泄露亂象：10元可買通訊錄，幾十元可恢復(fù)已經(jīng)刪除的數(shù)據(jù)

2018年6月，有記者調(diào)查發(fā)現(xiàn)，網(wǎng)上有收售二手手機(jī)、電腦的販子以一毛錢一條的價(jià)格打包出售機(jī)主信息。而在二手手機(jī)交易和手機(jī)維修市場(chǎng)中，很多維修商稱只需花幾十元就能恢復(fù)手機(jī)通訊錄、照片、微信聊天記錄等，哪怕手機(jī)被恢復(fù)到出廠設(shè)置，也可以將刪除的信息復(fù)原。專家表示，要想手機(jī)信息不被泄露，通常需要從硬件安全和軟件安全兩方面去解決。“硬件安全就是外界所說的用水泡或者將手機(jī)砸爛。但這種方式無論從環(huán)保性還是經(jīng)濟(jì)性而言，成本太高。”軟件安全，則是用戶為了規(guī)避隱私風(fēng)險(xiǎn)，在出售手機(jī)前可以通過第三方粉碎軟件將所有個(gè)人信息刪除粉碎，同時(shí)需要解除手機(jī)上涉及網(wǎng)絡(luò)支付的所有軟件綁定。

三、互聯(lián)網(wǎng)安全

A. 2018年上半年全球網(wǎng)絡(luò)安全事件解讀

1. 英特爾處理器曝“Meltdown”和“Spectre漏洞”

2018年1月，英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞，包括AMD、ARM、英特爾系統(tǒng)和處理器在內(nèi)，幾乎近20年發(fā)售的所有設(shè)備都受到影響，受影響的設(shè)備包括手機(jī)、電腦、服務(wù)器以及云計(jì)算產(chǎn)品。這些漏洞允許惡意程序從其它程序的內(nèi)存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲(chǔ)于內(nèi)存中的信息均可能因此外泄。

[[239945]]

2. 湖北某醫(yī)院內(nèi)網(wǎng)遭到挖礦病毒瘋狂攻擊

2018年3月，湖北某醫(yī)院內(nèi)網(wǎng)遭到挖礦病毒瘋狂攻擊，導(dǎo)致該醫(yī)院大量的自助掛號(hào)、繳費(fèi)、報(bào)告查詢打印等設(shè)備無法正常工作。由于這些終端為自助設(shè)備，只提供特定的功能，安全性沒有得到重視，系統(tǒng)中沒有安裝防病毒產(chǎn)品，系統(tǒng)補(bǔ)丁沒有及時(shí)更新，同時(shí)該醫(yī)院中各個(gè)科室的網(wǎng)段沒有很好的隔離，導(dǎo)致挖礦病毒集中爆發(fā)。

3. 中國(guó)某軍工企業(yè)被美、俄兩國(guó)黑客攻擊

2018年3月，安全研究人員表示，中國(guó)某軍工企業(yè)被美、俄兩國(guó)黑客攻擊。美國(guó)黑客和俄羅斯黑客在2017年冬天入侵了中國(guó)一家航空航天軍事企業(yè)的服務(wù)器，并且留下了網(wǎng)絡(luò)間諜工具。研究人員認(rèn)為這種情況比較罕見，以前從未發(fā)現(xiàn)俄羅斯黑客組織 APT28 與美國(guó) CIA 的黑客組織 Lamberts (又被稱為“長(zhǎng)角牛”Longhorn)攻擊同一個(gè)系統(tǒng)。

4. Facebook用戶數(shù)據(jù)泄露

2018年3月，F(xiàn)acebook八千七百多萬用戶數(shù)據(jù)泄露，這些數(shù)據(jù)被“劍橋分析”公司非法利用以發(fā)送政治廣告。此次事件被視為 Facebook 有史以來遭遇的最大型數(shù)據(jù)泄露事件。劍橋分析公司與Facebook進(jìn)行了合作。前者開發(fā)了一個(gè)讓用戶進(jìn)行“個(gè)性人格測(cè)試”的 Facebook App(類似國(guó)內(nèi)微信的小程序)，每個(gè)用戶做完這個(gè)測(cè)試，就可以得到5美元。劍橋分析公司不僅收集了用戶的測(cè)試結(jié)果，順便收集了用戶在Facebook上的個(gè)人信息。劍橋分析公司以此訪問并獲得了8700萬活躍用戶數(shù)據(jù)，然后建立起用戶畫像，依靠算法，根據(jù)每個(gè)用戶的日常喜好、性格特點(diǎn)、行為特征，預(yù)測(cè)他們的政治傾向，然后定向向用戶推送新聞，借助Facebook的廣告投放系統(tǒng)，影響用戶的投票行為。

5. GitHub遭受有史以來最嚴(yán)重DDoS攻擊

2018年3月，知名代碼托管網(wǎng)站GitHub遭遇了有史以來最嚴(yán)重的DDoS網(wǎng)絡(luò)攻擊，峰值流量達(dá)到了1.35Tbps。盡管此類攻擊的特點(diǎn)就是利用如潮水般的流量同時(shí)涌入網(wǎng)站，不過本次攻擊不同之處在于采用了更先進(jìn)的放大技術(shù)，目的是針對(duì)主機(jī)服務(wù)器產(chǎn)生更嚴(yán)重的影響。這項(xiàng)新技術(shù)并非依賴于傳統(tǒng)的僵尸網(wǎng)絡(luò)，而是使用了memcached服務(wù)器。該服務(wù)器的設(shè)計(jì)初衷是提升內(nèi)部網(wǎng)絡(luò)的訪問速度，而且應(yīng)該是不暴露在互聯(lián)網(wǎng)中的。不過根據(jù)DDoS防御服務(wù)提供商Akamai的調(diào)查，至少有超過5萬臺(tái)此類服務(wù)器連接到互聯(lián)網(wǎng)上，因此非常容易受到攻擊。

6. A站受黑客攻擊 近千萬條用戶數(shù)據(jù)外泄

2018年6月，彈幕視頻網(wǎng)AcFun公告稱，因網(wǎng)站受黑客攻擊，已有近千萬條用戶數(shù)據(jù)外泄，目前已報(bào)警處理，希望用戶及時(shí)修改密碼。公告稱，用戶數(shù)據(jù)泄露的數(shù)量達(dá)近千萬條，原因是遭到黑客攻擊。泄露的數(shù)據(jù)主要包括用戶ID、昵稱、加密儲(chǔ)存的密碼等。A站表示，本次事件的根本原因在于公司沒有把AcFun做得足夠安全，為此，官方向用戶道歉，并將馬上提升用戶數(shù)據(jù)安全保障能力。目前，A站已聯(lián)合內(nèi)部和外部的技術(shù)專家成立了安全專項(xiàng)組，排查問題并升級(jí)了系統(tǒng)安全等級(jí)。此后，公司將對(duì)AcFun服務(wù)做全面系統(tǒng)加固，實(shí)現(xiàn)技術(shù)架構(gòu)和安全體系的升級(jí)。

B. 2018年上半年流行病毒分析

1. MsraMiner挖礦病毒

2018年最大的變化是病毒制造者將目標(biāo)投向了挖礦領(lǐng)域，大量的挖礦病毒層出不窮，其中影響最大的是一個(gè)構(gòu)造精密被稱為 “MsraMiner”的挖礦僵尸網(wǎng)絡(luò)。此病毒利用永恒之藍(lán)漏洞攻擊局域網(wǎng)中的機(jī)器，中毒機(jī)器會(huì)繼續(xù)使用永恒之藍(lán)漏洞攻擊其它機(jī)器，并作為web服務(wù)器供其它機(jī)器下載，導(dǎo)致大量局域網(wǎng)主機(jī)被植入挖礦病毒，同時(shí)病毒持續(xù)升級(jí)對(duì)抗查殺。導(dǎo)致此病毒爆發(fā)的主要原因是：

• 企業(yè)存在大量機(jī)器沒有安裝永恒之藍(lán)漏洞補(bǔ)丁。
• 企業(yè)內(nèi)外網(wǎng)混用，并沒有做到真正的隔離，連接互聯(lián)網(wǎng)的一臺(tái)機(jī)器中毒后，導(dǎo)致公司內(nèi)網(wǎng)機(jī)器大量中毒。
• 企業(yè)沒有安裝殺毒軟件，沒有及時(shí)更新病毒庫，為病毒傳播制造了有利條件。

2. 蠕蟲化的勒索病毒

從WannaCry勒索病毒爆發(fā)以來，勒索病毒層出不窮，并且勒索病毒蠕蟲化變得更加流行起來。2018年2月份，兩家省級(jí)醫(yī)院感染勒索病毒，導(dǎo)致服務(wù)中斷。感染原因被懷疑是系統(tǒng)存在漏洞和弱口令，導(dǎo)致攻擊者植入勒索病毒，并快速傳播。

其中影響較大的Satan勒索病毒，不僅使用了永恒之藍(lán)漏洞傳播，還內(nèi)置了多種web漏洞的攻擊功能。相比傳統(tǒng)的勒索病毒傳播速度更快。雖然已經(jīng)被解密，但是此病毒利用的傳播手法卻非常危險(xiǎn)。

3. VPNFilter物聯(lián)網(wǎng)病毒

VPNFilter惡意軟件是一個(gè)多階段、模塊化的平臺(tái)，具有多種功能，可支持情報(bào)收集和破壞性網(wǎng)絡(luò)攻擊操作，可感染71款甚至更多物聯(lián)網(wǎng)設(shè)備，這些設(shè)備包括路由器、攝像頭、機(jī)頂盒等。物聯(lián)網(wǎng)設(shè)備中毒后較難發(fā)現(xiàn)，漏洞難以及時(shí)修補(bǔ)，甚至有的設(shè)備已經(jīng)找不到生產(chǎn)廠商。這些感染物聯(lián)網(wǎng)病毒的僵尸設(shè)備，會(huì)對(duì)全球網(wǎng)絡(luò)安全造成很大的隱患。

4. 網(wǎng)頁挖礦病毒新變化

全球?qū)⒔?萬家網(wǎng)站被攻擊者植入挖礦腳本，其中很大一部分是Coinhive 腳本。Coinhive專門提供一個(gè)用來挖礦的JS引擎，當(dāng)用戶訪問含有Coinhive代碼的網(wǎng)頁時(shí)，Coinhive的JS代碼庫就會(huì)在用戶的瀏覽器上運(yùn)行，挖礦程序就會(huì)開始工作，挖掘門羅幣，消耗用戶計(jì)算機(jī)的CPU資源。使用Coinhive默認(rèn)的方式挖礦，已經(jīng)很容易被發(fā)現(xiàn)。2018年上半年，網(wǎng)頁挖礦病毒又出現(xiàn)新變化，出現(xiàn)了兩種新的攻擊方式，一種是做一個(gè)中轉(zhuǎn)再訪問Coinhive挖礦腳本的鏈接，另一種是自建平臺(tái)不使用Coinhive，這種方式更加隱蔽，并且避免了Coinhive平臺(tái)的手續(xù)費(fèi)。

四、趨勢(shì)展望

A. 犯罪團(tuán)伙轉(zhuǎn)向挖礦與勒索

近年來，挖礦和勒索病毒持續(xù)上升，傳統(tǒng)DDOS和刷流量的病毒仍然存在，但有一定的下降，一方面DDOS和刷流量的病毒過于顯眼，另一方面相關(guān)部門加大了打擊力度。虛擬貨幣的錢包地址比較隱蔽，一般情況下很難通過錢包地址定位到攻擊者的身份。無論是加密貨幣挖礦的錢包地址，還是勒索病毒索要贖金的錢包地址都是虛擬貨幣錢包，因此催生了加密貨幣挖礦病毒和勒索病毒的爆發(fā)。

B. 漏洞利用越來越廣泛

以前漏洞大部分都是APT團(tuán)伙在使用，但隨著經(jīng)濟(jì)利益的驅(qū)使，挖礦和勒索病毒也開始使用漏洞，而且使用漏洞的種類開始增加，這就導(dǎo)致很多受害者，并沒有下載運(yùn)行可疑程序也有可能中毒。尤其是服務(wù)器，運(yùn)行了很多web服務(wù)、數(shù)據(jù)庫服務(wù)、開源CMS等服務(wù)，這些服務(wù)經(jīng)常會(huì)出現(xiàn)漏洞，如果服務(wù)器沒有及時(shí)更新補(bǔ)丁，就會(huì)被攻擊者通過漏洞植入病毒，而且很多公司的外網(wǎng)服務(wù)器和內(nèi)網(wǎng)是連通的，一旦服務(wù)器中毒，就可能導(dǎo)致局域網(wǎng)很多機(jī)器中毒。

C. 物聯(lián)網(wǎng)病毒更加精密

物聯(lián)網(wǎng)病毒最知名的是“Mirai”，它被用來發(fā)動(dòng)DDOS攻擊，后續(xù)基于“Mirai”修改而來的變種大多也是為了DDOS攻擊。然而隨著物聯(lián)網(wǎng)設(shè)備的增多，物聯(lián)網(wǎng)病毒也會(huì)有更多的功能，比如路由器中了病毒，就可能導(dǎo)致網(wǎng)絡(luò)通信中的帳號(hào)密碼等隱私信息被竊取。如果攝像頭中了病毒，就可能導(dǎo)致一舉一動(dòng)都在攻擊者的監(jiān)控之中。如果中病毒的是工控設(shè)備，就可能導(dǎo)致工廠停產(chǎn)、城市停電等嚴(yán)重問題。

未來一段時(shí)間，利用漏洞攻擊的挖礦和勒索病毒仍會(huì)持續(xù)增加，物聯(lián)網(wǎng)病毒的數(shù)量和功能仍將持續(xù)增長(zhǎng)。因此用戶需要及時(shí)更新補(bǔ)丁，升級(jí)系統(tǒng)固件，安裝防病毒產(chǎn)品，降低中毒的風(fēng)險(xiǎn)。