国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

一、前言

2017年對企業(yè)安全影響最深遠(yuǎn)的事件是以WannaCry為代表的勒索病毒爆發(fā)，給許多企業(yè)帶來了滅頂之災(zāi)。隨著數(shù)字加密幣的普及，數(shù)字加密幣天然的匿名性、非法交易難以追蹤的特性令病毒木馬黑色產(chǎn)業(yè)如獲至寶。2018年，數(shù)字加密幣已徹底改變了病毒木馬黑色產(chǎn)業(yè)，使勒索病毒和挖礦木馬成為影響企業(yè)網(wǎng)絡(luò)安全的兩大核心威脅。

勒索病毒直接要求受害者向指定數(shù)字加密幣錢包轉(zhuǎn)帳；挖礦木馬傳播者瘋狂入侵企業(yè)網(wǎng)絡(luò)，利用企業(yè)IT資源實(shí)現(xiàn)0成本挖礦（不管比特幣、門羅幣、以太坊幣跌成什么樣，利用僵尸網(wǎng)絡(luò)挖礦不需要購買礦機(jī)，也不需要自己付電費(fèi)）。而暗網(wǎng)平臺大量存在的非法交易，更是數(shù)字加密幣持續(xù)火爆的土壤。

勒索病毒和挖礦病毒主要傳播路徑幾乎一樣：利用黑客技術(shù)入侵企業(yè)服務(wù)器，以此為跳板，再利用輕易獲得的漏洞攻擊工具在企業(yè)內(nèi)網(wǎng)擴(kuò)散。是傳播勒索病毒，還是種植挖礦木馬，僅僅取決于攻擊者的目的。

企業(yè)網(wǎng)管可以將挖礦木馬看作企業(yè)網(wǎng)絡(luò)安全的“體溫表”：若經(jīng)常發(fā)現(xiàn)挖礦木馬在內(nèi)網(wǎng)運(yùn)行而未及時得到有效控制，距離勒索病毒破壞的災(zāi)難爆發(fā)就為期不遠(yuǎn)了。

二、企業(yè)安全現(xiàn)狀

1.企業(yè)終端病毒感染概況：

根據(jù)騰訊御見威脅情報中心數(shù)據(jù)顯示，每周約18%企業(yè)發(fā)生過病毒木馬攻擊事件。

從企業(yè)染毒的類型看，挖礦類病毒比例逐漸提升，勒索類病毒依然占據(jù)比較高的比例。這兩大類病毒在總體感染量總占比似乎并高，但這兩類病毒造成的危害后果，卻是對企業(yè)網(wǎng)絡(luò)安全最嚴(yán)重的。

這兩類病毒均同時使用了蠕蟲式的傳播渠道：比如大量使用永恒之藍(lán)漏洞攻擊包，利用Web組件的高危漏洞從企業(yè)網(wǎng)絡(luò)邊界入侵，在局域網(wǎng)內(nèi)暴力破解多個網(wǎng)絡(luò)服務(wù)（3389、FTP、SQL弱口令等）主動擴(kuò)散方式。一般的蠕蟲式和感染型病毒以破壞性影響為主，這兩類影響大多都是可逆的，清除病毒修復(fù)文件即可恢復(fù)正常，其感染后果跟勒索病毒不可同日而語。

而挖礦木馬，是看起來似乎沒有存在感，挖礦木馬隱蔽性極好。只在進(jìn)行挖礦操作時，才大量消耗電腦系統(tǒng)資源，除了比較有經(jīng)驗(yàn)的網(wǎng)民一般難以發(fā)現(xiàn)。挖礦木馬在電腦中長期存在，企業(yè)寶貴的計算資源被無謂浪費(fèi)掉。

2018年挖礦木馬控制肉雞電腦0成本大量挖礦，推動整個黑色產(chǎn)業(yè)將比特幣、門羅幣、以太坊幣等數(shù)字加密幣作為非法交易的流通媒介，令黑產(chǎn)變現(xiàn)比以往更加簡單和直接，已深刻影響病毒木馬黑產(chǎn)生態(tài)。

風(fēng)險軟件常被中國網(wǎng)民稱之為流氓軟件，占據(jù)著一半的感染比例，其危害主要是使用體驗(yàn)上的困擾。風(fēng)險軟件的行為包括“流氓推廣”、“刷流量”、“騷擾廣告”、“劫持網(wǎng)絡(luò)流量”等惡意行為，相對其他病毒危害來說，這類軟件的影響相對處于灰色地帶。風(fēng)險軟件的高感染量，提醒廣大企業(yè)網(wǎng)管仍應(yīng)重視對風(fēng)險軟件的防御。

2.行業(yè)病毒感染類型分布

1)不同行業(yè)感染病毒類型分布情況：

從感染病毒分布情況對比看，政府、教育、醫(yī)療等傳統(tǒng)感染更容易感染勒索、挖礦病毒，這也是為什么安全廠商頻繁爆出，醫(yī)療、學(xué)校等機(jī)構(gòu)感染勒索、挖礦病毒。而科技、金融等新興行業(yè)則更容易受風(fēng)險軟件的威脅，對科技、金融等行業(yè)，竊取機(jī)密往往成為惡意攻擊的首選目的。

2)行業(yè)感染病毒對比

從各行業(yè)感染病毒對比上看，醫(yī)療、教育行業(yè)感染病毒最為嚴(yán)重，金融行業(yè)感染病毒相對最少。同時可以發(fā)現(xiàn)，風(fēng)險軟件各行業(yè)感染情況相對比較平均，而勒索、挖礦病毒則主要集中在教育、醫(yī)療行業(yè)。

3)不同行業(yè)訪問風(fēng)險站點(diǎn)類型分布

從訪問風(fēng)險網(wǎng)站分布看，政府、教育、醫(yī)療等傳統(tǒng)行業(yè)，容易受社工欺詐、虛假銷售等網(wǎng)站影響，而科技、金融行業(yè)則更容易受信息欺詐影響。

4)行業(yè)訪問風(fēng)險站點(diǎn)對比

從各行業(yè)訪問風(fēng)險站點(diǎn)對比來看，社工欺詐和虛假銷售在各行業(yè)相對比較普遍。其中，政府受信息欺詐影響最小，而醫(yī)療行業(yè)受虛假銷售影響最大。

3.企業(yè)終端系統(tǒng)安全狀況

1)企業(yè)終端操作系統(tǒng)安全指數(shù)

根據(jù)騰訊御見威脅情報中心數(shù)據(jù)監(jiān)測，并且結(jié)合系統(tǒng)脆弱性和系統(tǒng)受安全事件影響對企業(yè)用戶使用的Windows系統(tǒng)做不同版本的安全度評估。使用得出不同版本的系統(tǒng)安全指數(shù)，使用Win10的用戶系統(tǒng)安全度更高，使用WinXP的用戶安全度最底

2)企業(yè)終端漏洞修復(fù)情況

黑客入侵活動中，最常用的手法是利用系統(tǒng)漏洞達(dá)到入侵的目的，而針對對企業(yè)用戶終端的數(shù)據(jù)統(tǒng)計發(fā)現(xiàn)，約83%的Windows操作系統(tǒng)存在高危漏洞未及時修復(fù)。

3)企業(yè)終端脆弱性配置情況

終端脆弱性是指存在風(fēng)險系統(tǒng)配置項(xiàng)，例如未設(shè)置登錄密碼、存在開放的高危端口，防火墻被關(guān)閉等等。安全地配置系統(tǒng)可以有效防止高危入侵行為。

(1)企業(yè)終端Windows操作系統(tǒng)存在高風(fēng)險配置比例

企業(yè)終端Windows操作系統(tǒng)配置情況較好，存在脆弱性配置的比例占14%，部分企業(yè)資產(chǎn)管理不到位，導(dǎo)致存在部分機(jī)器有所遺漏。

(2)存在高風(fēng)險脆弱性配置的類型分布情況

從存在的高風(fēng)險脆弱性配置類型來看，主要有身份鑒別和網(wǎng)絡(luò)安全訪問控制風(fēng)險，即存在空口令登陸和允許遠(yuǎn)程匿名訪問的風(fēng)險。一旦被黑客利用，黑客可遠(yuǎn)程登錄計算器執(zhí)行任意操作，帶來信息泄露等嚴(yán)重問題。

4.2018企業(yè)威脅病毒流行趨勢

1)勒索病毒

勒索病毒，是2018年破壞性最強(qiáng)影響面最廣的一類惡意程序，通常是通過恐嚇、綁架用戶文件或破壞用戶計算機(jī)等方式，向用戶勒索錢財。

早期的勒索病毒通常是通過釣魚郵件、社工等方式傳播，通常傳播規(guī)模量比較小，隨著2017年NSA方程式工具泄露，“永恒之藍(lán)”工具被大量利用，加之近年數(shù)字加密幣的流行，勒索病毒感染正處于愈演愈烈的態(tài)勢。

2018年對企業(yè)安全來說，首要安全威脅當(dāng)屬勒索病毒，國內(nèi)活躍的勒索病毒家族如下：

而針對高價值的企業(yè)服務(wù)器勒索成為了勒索病毒攻擊的首選目標(biāo)：

(1)2018.4月，騰訊御見威脅情報中心發(fā)現(xiàn)Satan勒索病毒主攻數(shù)據(jù)庫，對數(shù)據(jù)庫各種文件加密勒索，加密完成后，會用中英韓三國語言索取0.3個比特幣作為贖金，并威脅三天內(nèi)不支付不予解密。

(2)2018.4月，騰訊御見威脅情報中心接到某公司反饋，該公司數(shù)臺Windows服務(wù)器中了勒索病毒，電腦除了C盤，其他磁盤分區(qū)都被整個加密，造成公司業(yè)務(wù)停擺，并且勒索金額高達(dá)9.5個比特幣（約40萬人民幣）。

(3)2018.4月，騰訊御見威脅情報中心接到某公司反饋，服務(wù)器被黑客入侵并且數(shù)據(jù)已被勒索病毒家族加密。

(4)2018.5月，騰訊御見威脅情報中心發(fā)現(xiàn)，GandCrab勒索病毒更新，并且目標(biāo)主要針對企業(yè)服務(wù)器。

(5)2018.6月，騰訊御見威脅情報中心監(jiān)測到，Crysis家族勒索病毒針對企業(yè)服務(wù)器攻擊迅速上漲。

(6)2018.7月，騰訊御見威脅中心發(fā)現(xiàn)，湖北某醫(yī)院遭撒旦（Satan）勒索病毒襲擊。

(7)2018.8月，臺積電遭勒索病毒攻擊而停產(chǎn)。

(8)2018.9月，騰訊御見威脅情報中心監(jiān)測到，國內(nèi)某重要通信企業(yè)多地子公司發(fā)生GlobeImposter勒索病毒攻擊事件，內(nèi)網(wǎng)多臺機(jī)器被感染包括服務(wù)器。

(9)2018.9月，國內(nèi)部分國土部門專網(wǎng)受勒索病毒攻擊，部分省份不動產(chǎn)登記系統(tǒng)暫停使用。

(10)2018.9月，騰訊御見威脅情報中心監(jiān)測到，GandCrab 再次升級，通過暴力破解Tomcat 服務(wù)器弱密碼實(shí)現(xiàn)入侵，并且下載勒索病毒和挖礦木馬，實(shí)施勒索和挖礦。

(11)2018.11月，知名半導(dǎo)體公司合晶科技位于大陸的工廠全線感染W(wǎng)annaCry勒索病毒，造成產(chǎn)線癱瘓，工廠全部停產(chǎn)。

一方面，勒索病毒對企業(yè)傷害巨大，一旦企業(yè)內(nèi)網(wǎng)有資產(chǎn)中了勒索病毒，其常見文檔文件會被加密，無法正常使用，并且勒索病毒有極大的可能會在內(nèi)網(wǎng)傳播，給企業(yè)造成不可挽回的損失。另一方面，勒索病毒利用成本越來越低，而收益相對較高，在黑市上只要數(shù)百元便可以獲得一個勒索病毒，但勒索成功一次就可以獲利數(shù)千元，甚至數(shù)萬元。

目前數(shù)字加密貨幣日益普及，在世界范圍內(nèi)處于監(jiān)管的空白地帶，利用數(shù)字加密貨幣達(dá)成非法交易，難以被執(zhí)法部門追蹤，勒索病毒制作/發(fā)布者因此更加肆無忌憚！

勒索病毒發(fā)布者通常都是有目的地針對企業(yè)發(fā)起攻擊，勒索企業(yè)獲得贖金的機(jī)率遠(yuǎn)高于勒索個人用戶，可以預(yù)測2019年勒索病毒依然會是企業(yè)安全的重大威脅。

2)挖礦木馬

挖礦木馬，是近年興起的網(wǎng)絡(luò)安全威脅，2017年下半年開始進(jìn)入普通用戶的視野，而2018年開始流行。中挖礦木馬的計算機(jī)，其計算機(jī)資源被大量占用用于數(shù)字加密幣的挖掘。挖礦木馬的流行一定程度上受數(shù)字加密幣市值漲跌影響。

以最常見的比特幣和門羅幣為例，2017下半年比特幣和門羅幣價值暴漲，2018年下半年有下降，但價值扔高于2017年之前，所以整個2018年勒索木馬的流行趨勢總體呈上漲趨勢。

（數(shù)據(jù)來源于coinmarketcap.com）

根據(jù)騰訊御見威脅情報中心數(shù)據(jù)監(jiān)測，2018企業(yè)用戶中挖礦木馬的總體呈上升趨勢。

而企業(yè)服務(wù)器同樣成為挖礦木馬攻擊的常見目標(biāo)。

(1)2018.4月，騰訊見威脅情報中心發(fā)現(xiàn)，PhotoMiner木馬入侵FTP、SMB服務(wù)器擴(kuò)大傳播，并實(shí)施挖礦。

(2)2018.4月，騰訊見威脅情報中心發(fā)現(xiàn)，大批企業(yè)網(wǎng)站W(wǎng)EB服務(wù)器被黑客組件利用Apache Struts2 漏洞入侵，并植入挖礦木馬。

(3)2018.5月，騰訊見威脅情報中心監(jiān)測到，黑客利用Drupal系統(tǒng)漏洞，大批使用Drupal系統(tǒng)的網(wǎng)站被植入挖礦木馬。

(4)2018.6月，騰訊御見威脅情報中心發(fā)現(xiàn)，Nitol木馬被黑客植入到攻陷的服務(wù)器上，利用服務(wù)器挖礦。被攻擊的服務(wù)器還包括某省公路路政系統(tǒng)。

(5)2018.7月，騰訊御見威脅情報中心再次監(jiān)測到，利用Apache Struts2高危漏洞入侵服務(wù)器，植入KoiMiner挖礦木馬。

(6)2018.7月，騰訊御見威脅情報中心發(fā)現(xiàn)，北京某連鎖醫(yī)療機(jī)構(gòu)SQL Server服務(wù)器遭黑客入侵，并且被植入挖礦木馬，服務(wù)器硬件資源被挖礦病毒大量消耗，影響正常的企業(yè)業(yè)務(wù)。

(7)2018.7月，騰訊御見威脅情報中心發(fā)現(xiàn)，廣東重慶多家三甲醫(yī)院服務(wù)器遭暴力入侵，攻擊者暴力破解醫(yī)院服務(wù)器的遠(yuǎn)程登錄服務(wù)，利用被攻陷的服務(wù)器挖礦。

(8)2018.7月，騰訊御見威脅情報中心發(fā)現(xiàn)，北京某手游公司官網(wǎng)配置不當(dāng)，服務(wù)器被入侵，其官網(wǎng)被植入挖礦木馬。

(9)2018.7月，騰訊御見威脅情報中心發(fā)現(xiàn)，陜西多家企業(yè)網(wǎng)站被植入JS網(wǎng)頁挖礦木馬。

(10) 2018.12月，騰訊御見威脅情報中心發(fā)現(xiàn)，8220團(tuán)伙再次入侵企業(yè)服務(wù)器，利用企業(yè)服務(wù)器挖礦。

挖礦木馬依然持續(xù)活躍中，預(yù)測2019年挖礦木馬依然是企業(yè)安全的重要威脅之一。

3)風(fēng)險軟件

風(fēng)險軟件：是指具有“惡意行為”的軟件，這類軟件通常附帶部分常用的功能，如“日歷”、“解壓縮”等用戶常用的功能，通過誤導(dǎo)安裝、捆綁安裝安裝等渠道安裝在用戶的機(jī)器上，進(jìn)行長期的潛伏，伺機(jī)實(shí)施暗刷流量、流氓推廣、竊取隱私、挖礦、惡意廣告等行為。中國用戶習(xí)慣稱為“流氓軟件”、“間諜軟件”等。

如2018年風(fēng)險軟件影響比較大的事件之一是： 新型惡意軟件攻擊針對2018美國中期選舉關(guān)鍵州的選民，其意圖是收集有關(guān)活動和選民的數(shù)據(jù)，然后利用這些數(shù)據(jù)發(fā)起有針對性的后續(xù)攻擊。

對企業(yè)用戶來說，風(fēng)險軟件很可能會竊取企業(yè)內(nèi)部機(jī)密信息，廣大企業(yè)用戶應(yīng)提高警惕。

4)感染型病毒

感染型病毒運(yùn)行后會將病毒代碼加入其它程序中，進(jìn)而感染全盤，嚴(yán)重時可導(dǎo)致計算機(jī)崩潰無法運(yùn)行。早期的感染型病毒主要目的是破壞目標(biāo)計算機(jī)，而近期活躍的感染型病毒附帶后門功能，病毒的操縱者可以遠(yuǎn)程連接到用戶計算機(jī)。

感染型病毒，破壞性強(qiáng)，清除相對困難，又因?yàn)槠髽I(yè)內(nèi)網(wǎng)經(jīng)常存在文件共享等需求，感染型病毒容易在內(nèi)網(wǎng)傳播。

根據(jù)騰訊御見威脅情報中心數(shù)據(jù)監(jiān)測，企業(yè)內(nèi)部中毒的類型中約6.4% 是感染型病毒。感染型病毒作為一種相對古老的病毒類型，長期活躍在各企業(yè)內(nèi)網(wǎng)中，預(yù)測2019年感染型病毒依然是企業(yè)安全的主要威脅之一。

5)蠕蟲、偽裝文件夾病毒

最常見的蠕蟲病毒是“偽裝文件夾”病毒，偽裝文件夾病毒通常通過、移動硬盤、U盤等移動介質(zhì)及網(wǎng)絡(luò)驅(qū)動器傳播。病毒入侵電腦后，可遠(yuǎn)程下載、更新其它病毒模塊，如盜號、挖礦等。

病毒運(yùn)行后，會將移動設(shè)備、網(wǎng)絡(luò)驅(qū)動器內(nèi)的原有文件隱藏，并創(chuàng)建一個與原有文件圖標(biāo)一樣的快捷方式，誘導(dǎo)用戶點(diǎn)擊。當(dāng)用戶將U盤、移動硬盤拿到其它機(jī)器上使用時，一旦點(diǎn)擊其偽裝的快捷方式時，病毒馬上運(yùn)行，并實(shí)施感染電腦上其它正常的文件。對企業(yè)內(nèi)網(wǎng)來說，用U盤、移動硬盤、網(wǎng)絡(luò)驅(qū)動器交互文件頻率比較高，所以這類病毒更容易在企業(yè)內(nèi)網(wǎng)中傳播。

三、2018其它典型企業(yè)安全事件

2018年影響企業(yè)安全的事件除了勒索病毒傳播依然猖獗，挖礦病毒異軍突起外，還有針對行業(yè)性的攻擊、針對軟件供應(yīng)鏈的攻擊等依然持續(xù)不斷。

1.“商貿(mào)信”病毒攻擊

在17年12月全球范圍內(nèi)爆發(fā)的“商貿(mào)信”病毒，在18年6月再次爆發(fā)，每天定向投放到中國進(jìn)出口企業(yè)的攻擊郵件有數(shù)千封之多。

不法黑客將發(fā)件人偽裝成專業(yè)從事國際運(yùn)送業(yè)務(wù)的知名企業(yè)客服人員，并搭配極具說服力的正文內(nèi)容，誘導(dǎo)收到郵件的業(yè)務(wù)人員下載查閱附件。一旦用戶不慎點(diǎn)開郵件附件文檔，文檔內(nèi)嵌的惡意代碼會自動下載Loki Bot木馬程序并運(yùn)行，造成用戶電腦中的機(jī)密信息泄露。

2.針對保險、母嬰等行業(yè)定向攻擊

18年6月，騰訊御見威脅情報中心監(jiān)測到一批木馬，通過最傳統(tǒng)的魚叉攻擊，誘餌采用rar壓縮包的形式進(jìn)行投遞，對保險、母嬰等行業(yè)定向攻擊，實(shí)施商業(yè)間諜活動。

3.供應(yīng)鏈攻擊

12月，廣東省深圳市某知名軟件廠商服務(wù)器被攻陷，導(dǎo)致客戶端軟件在更新時，被重定向至黑客服務(wù)器下載惡意病毒木馬，10萬用戶遭到了感染。

四、2019企業(yè)網(wǎng)絡(luò)安全威脅趨勢——供應(yīng)鏈攻擊值得高度關(guān)注

縱觀近幾年網(wǎng)絡(luò)攻擊趨勢，針對軟件供應(yīng)鏈的攻擊變得愈發(fā)頻繁，從早些年爆出的“棱鏡計劃”，到近期的Heartbleed漏洞、NotPetya勒索病毒爆發(fā)以及爆出的各種數(shù)據(jù)泄露事件，供應(yīng)鏈攻擊不再是高級攻擊的專屬，而變得與廣大用戶息息相關(guān)，隨時都會帶來嚴(yán)重?fù)p害。

供應(yīng)鏈?zhǔn)巧婕吧a(chǎn)、分配、處理、維護(hù)貨物的活動系統(tǒng)，以便將資源從供應(yīng)商轉(zhuǎn)移到最終消費(fèi)者手中。在互聯(lián)網(wǎng)行業(yè)中，該供應(yīng)鏈環(huán)節(jié)也完全適用。一個軟件從供應(yīng)商到消費(fèi)者使用，會經(jīng)歷開發(fā)、分發(fā)安裝、使用、更新的環(huán)節(jié)，而供應(yīng)鏈攻擊則是黑客通過攻擊各環(huán)節(jié)的漏洞，植入惡意病毒木馬，達(dá)到傳播木馬的目的。

由于供應(yīng)鏈攻擊對于被攻擊者而言沒有任何感知，因此一直被黑客所青睞。以往供應(yīng)鏈攻擊往往多見于APT（高級持續(xù)性威脅）攻擊，而在近幾年，供應(yīng)鏈攻擊趨勢開始有穩(wěn)定增長，攻擊事件層出不窮，日常網(wǎng)絡(luò)攻擊中越來越多的見到供應(yīng)鏈攻擊的手段。

下面對供應(yīng)鏈各環(huán)節(jié)的攻擊進(jìn)行介紹。

1.開發(fā)環(huán)節(jié)

對開發(fā)環(huán)節(jié)的攻擊，是指對軟件的開發(fā)工具、環(huán)境、源碼進(jìn)行攻擊、污染，導(dǎo)致軟件一經(jīng)編譯成功便帶有惡意病毒木馬，隨后所有該軟件的分發(fā)渠道全部帶毒。當(dāng)用戶安裝使用軟件時，同時電腦也中了病毒木馬。

典型攻擊事例：

遠(yuǎn)程終端管理軟件Xshell后臺被植入后門。Xshell是NetSarang公司開發(fā)的安全終端模擬軟件，在2017年7月發(fā)布的軟件nssock2.dll模塊被發(fā)現(xiàn)有惡意后門代碼，并且該文件帶有合法簽名，因此能夠輕易繞過安全軟件的查殺。該事件導(dǎo)致10萬用戶存在被盜取遠(yuǎn)程登錄信息的風(fēng)險。

2.分發(fā)安裝環(huán)節(jié)
分發(fā)安裝環(huán)節(jié)是指在正常軟件的分發(fā)、下載、傳播、安裝等環(huán)節(jié)中，進(jìn)行病毒木馬的捆綁，使得用戶在安裝使用時，無形中也在電腦上安裝了病毒木馬。

17年6月，由安全廠商CheckPoint曝光的“FireBall（火球）”，通過野馬瀏覽器等多款流氓軟件傳播。用戶在安裝這些看似正常的軟件時，“FireBall（火球）”也同時安裝在了電腦上。“FireBall（火球）”傳播量級達(dá)到了千萬級，會劫持瀏覽器的首頁及標(biāo)簽頁，影響用戶的正常使用。

3.使用環(huán)節(jié)

使用環(huán)節(jié)指用戶在正常使用軟件時，軟件已被黑客惡意篡改，通過社工等方式，引導(dǎo)用戶進(jìn)行高風(fēng)險操作，導(dǎo)致電腦中惡意病毒木馬。

著名勒索病毒GandCrab的傳播方式之一水坑攻擊則是個典型案例。黑客通過入侵Web服務(wù)器，將網(wǎng)頁內(nèi)容篡改為亂碼。當(dāng)用戶訪問該網(wǎng)頁時，提示系統(tǒng)缺失字體組件，并且彈窗提示用戶下載安裝。而下載鏈接實(shí)際上為GandCrab勒索病毒的下載鏈接，一旦用戶下載運(yùn)行，電腦上的文檔資料便會被加密，造成不可挽回的損失。

4.更新環(huán)節(jié)

更新環(huán)節(jié)指軟件安裝在用戶機(jī)器上后，日常更新時，黑客將更新鏈接劫持到惡意服務(wù)器上，導(dǎo)致下載的并不是的軟件的更新版本，而是黑客傳播的惡意木馬。由于很多軟件能夠自動更新，因此該攻防方式讓廣大用戶防不勝防。

更新劫持是最為常見的供應(yīng)鏈攻擊手段。17年在烏克蘭爆發(fā)的Petya勒索病毒則是通過更新劫持傳播。黑客首先攻擊了M.E.Doc，這是一家烏克蘭會計軟件廠商。之后黑客通過M.E.Doc更新服務(wù)器將惡意更新鏈接推送給用戶，導(dǎo)致Petya勒索病毒的大爆發(fā)。更新劫持供應(yīng)鏈攻擊方式在國內(nèi)也層出不窮。

在2018年12月中旬，騰訊御見威脅情報中心預(yù)警大范圍的木馬傳播，根據(jù)分析為某知名軟件后臺服務(wù)器被入侵，導(dǎo)致軟件更新時，被重定向至黑客服務(wù)器下載惡意木馬，進(jìn)而導(dǎo)致大面積感染，量級達(dá)到了10萬以上。

一些攻擊者還會劫持網(wǎng)絡(luò)，模擬、偽造一些常見軟件（比如Flash、PDF閱讀器、Office補(bǔ)丁、Windows補(bǔ)丁等）的升級提示，欺騙終端用戶安裝。

5.供應(yīng)鏈攻擊預(yù)防安全建議

a)軟件廠商

在供應(yīng)鏈攻擊很多環(huán)節(jié)中，軟件廠商是黑客攻擊的主要目標(biāo)，用戶是最終攻擊目標(biāo)。因此，軟件廠商的安全措施就顯得極其重要。

使用可信、正規(guī)的安全開發(fā)軟件，使用開源開發(fā)工具，也要注意官方渠道，或有能力審閱源碼。

產(chǎn)品發(fā)布前嚴(yán)格進(jìn)行安全檢測，通過后才可發(fā)布。

在可信的渠道商發(fā)布軟件產(chǎn)品，防止軟件被二次打包惡意捆綁。

b)用戶

盡管在供應(yīng)鏈攻擊很多環(huán)節(jié)中，用戶無法阻止攻擊行為的發(fā)生。但是培養(yǎng)安全意識，養(yǎng)成良好的上網(wǎng)行為，即可有效阻止攻擊的有效落地。

盡量在官網(wǎng)等正規(guī)渠道，下載安裝軟件。

安裝安全軟件，并且保持打開狀態(tài)。這樣當(dāng)有惡意病毒木馬落地時，安全軟件也能進(jìn)行攔截查殺，阻止惡意行為的發(fā)生。對誘導(dǎo)關(guān)閉、退出殺毒軟件的說法保持足夠警惕。

五、企業(yè)安全威脅防護(hù)建議

1.企業(yè)服務(wù)器端
企業(yè)常見的服務(wù)器包括包括郵件服務(wù)器、DNS服務(wù)器、VPN服務(wù)器，這些基礎(chǔ)設(shè)施的安全性往往會影響到企業(yè)重要業(yè)務(wù)。例如攻擊者可通過賬號爆破、弱口令密碼登錄、DoS攻擊、系統(tǒng)配置漏洞等方式入侵。

企業(yè)服務(wù)器常見的安全防護(hù)方案，是防火墻、IDS、IPS、殺毒軟件等防護(hù)產(chǎn)品，對風(fēng)險流量、郵件、文件告警、攔截過濾，同時要注意排查是否存在弱口令登錄漏洞等系統(tǒng)配置漏洞。

推薦企業(yè)用戶使用騰訊御界高級威脅檢測系統(tǒng)，御界高級威脅檢測系統(tǒng)基于騰訊反病毒實(shí)驗(yàn)室的安全能力、依托騰訊在云和端的海量數(shù)據(jù)，研發(fā)出的獨(dú)特威脅情報和惡意檢測模型系統(tǒng)。通過對企業(yè)網(wǎng)絡(luò)出入網(wǎng)絡(luò)流量的智能分析，從中發(fā)現(xiàn)黑客入侵或病毒木馬連接內(nèi)網(wǎng)的線索。

2.企業(yè)網(wǎng)絡(luò)客戶端

企業(yè)應(yīng)部署客戶端防病毒軟件，讓企業(yè)網(wǎng)絡(luò)的所有節(jié)點(diǎn)都具有最新的病毒防范能力。推薦使用騰訊御點(diǎn)終端安全管理系統(tǒng)，管理員可以掌控全網(wǎng)的安全動態(tài)，及時發(fā)現(xiàn)和清除病毒威脅。

3.漏洞修補(bǔ)

企業(yè)所有終端節(jié)點(diǎn)：包括服務(wù)器和客戶端都應(yīng)及時安裝操作系統(tǒng)和主要應(yīng)用軟件的安全補(bǔ)丁，減少病毒木馬利用系統(tǒng)漏洞入侵的可能性。企業(yè)內(nèi)網(wǎng)使用騰訊御點(diǎn)終端安全管理系統(tǒng)可以全網(wǎng)統(tǒng)一安裝系統(tǒng)補(bǔ)丁，提升客戶端的安全性。

4.使用更高版本的操作系統(tǒng)，新版本操作系統(tǒng)的攻擊門檻相對較高。

如企業(yè)網(wǎng)絡(luò)升級部署Windows 10。

5.加強(qiáng)員工網(wǎng)絡(luò)安全防護(hù)意識，包括不限于：

不要輕易下載不明軟件程序

不要輕易打開不明郵件夾帶的可疑附件

及時備份重要的數(shù)據(jù)文件

6.其它必要的防護(hù)措施：

關(guān)閉不必要的端口，如：445、135，139等，對3389，5900等端口可進(jìn)行白名單配置，只允許白名單內(nèi)的IP連接登陸。

關(guān)閉不必要的文件共享，如有需要，請使用ACL和強(qiáng)密碼保護(hù)來限制訪問權(quán)限，禁用對共享文件夾的匿名訪問。

采用高強(qiáng)度的密碼，避免使用弱口令，并定期更換。

對沒有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問設(shè)置相應(yīng)控制，避免可連外網(wǎng)服務(wù)器被攻擊后作為跳板進(jìn)一步攻擊其他服務(wù)器。

來源：騰訊御見威脅情報中心