【安全圈】2020中国网络安全深度解析

本报告由北京瑞星网安技术股份有限公司联合国家信息中心共同发布,综合瑞星“云安全”系统、瑞星安全研究院、瑞星威胁情报平台、瑞星客户服务中心等部门及国家信息中心数据的统计、研究和分析资料,针对中国2020年1至12月的网络安全现状与趋势进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构作为互联网网络安全状况的介绍和研究资料,请相关单位酌情使用。如若本报告阐述之状况、数据与其他机构研究结果有差异,请使用方自行辨别,瑞星公司不承担与此相关的一切法律责任。

l 2020年瑞星“云安全”系统共截获病毒样本总量1.48亿个,病毒感染次数3.52亿次,病毒总体数量比2019年同期上涨43.71%。广东省病毒感染人次为3,427万,位列全国第一,其次为山东省及北京市,分别为2,787万及2,452万。

l 2020年瑞星“云安全”系统共截获勒索软件样本156万个,感染次数为86万次;挖矿病毒样本总体数量为922万个,感染次数为578万次。勒索软件感染人次按地域分析,北京市排名第一,为19万;挖矿病毒感染人次按地域分析,新疆以69万次位列第一。

l 2020年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量6,693万个,其中挂马类网站4,305万个,钓鱼类网站2,388万个。在中国范围内排名第一位为香港,总量为61万个,其次为河南省和江苏省,均为55万。

l 2020年瑞星“云安全”系统共截获手机病毒样本581万个,病毒总体数量比2019年同期上涨69.02%。病毒类型以信息窃取、资费消耗、流氓行为、恶意扣费等类型为主,其中信息窃取类病毒占比32.7%,位居第一。

l 2020年企业安全事件:2020年勒索软件攻击已突破历史最高点;APT组织利用和COVID-19相关话题的诱饵对全球各个组织实施攻击;7000多名武汉返乡人员信息遭泄露;中国电信超2亿条用户信息被卖;尼日利亚网络钓鱼组织对国内企业进行钓鱼攻击;Twitter公司员工被钓鱼,奥巴马、盖茨推特账号泄露被发布欺诈消息等。

l 2020年勒索病毒分析:据全球企业调查和风险咨询公司Kroll的报道,勒索软件是2020年最常见的威胁,可能通过网络钓鱼电子邮件、漏洞、开放式远程桌面协议(RDP)和Microsoft专有的网络通信协议等来发起攻击,传统企业、教育、医疗、政府机构遭受攻击最为严重,互联网、金融、能源也遭到勒索病毒攻击影响。

l 2020年供应链攻击:随着黑客团伙等利用供应链攻击作为安全突破口对各大政府企业机构组织所进行的网络攻击安全事件不断发生,供应链攻击已成为2020年最具影响力的高级威胁之一。供应链攻击一般利用产品软件官网或者软件包存储库等进行传播。

l 趋势展望:后疫情时代网络安全面临新的挑战;勒索软件依旧流行,勒索方式向多重勒索方向发展;垃圾邮件、钓鱼邮件攻击仍是需要重点关注的安全领域;供应链攻击危害逐渐显现;信息泄露安全形势严峻。

2020年瑞星“云安全”系统共截获病毒样本总量1.48亿个,病毒感染次数3.52亿次,病毒总体数量比2019年同期上涨43.71%。报告期内,新增木马病毒7,728万个,为第一大种类病毒,占到总体数量的52.05%;排名第二的为蠕虫病毒,数量为2,981万个,占总体数量的20.08%;感染型病毒、灰色软件、后门等分别占到总体数量的12.19%、9.59%和3.75%,位列第三、第四和第五,除此以外还包括漏洞攻击和其他类型病毒。

报告期内,广东省病毒感染人次为3,427万次,位列全国第一,其次为山东省及北京市,分别为2,787万次及2,452万次。

根据病毒感染人数、变种数量和代表性综合评估,瑞星评选出2020年1至12月病毒Top10:

勒索软件和挖矿病毒在2020年依旧占据着重要位置,报告期内瑞星“云安全”系统共截获勒索软件样本156万个,感染次数为86万次,病毒总体数量比2019年同期下降了10.84%;挖矿病毒样本总体数量为922万个,感染次数为578万次,病毒总体数量比2019年同期上涨332.32%。

瑞星通过对捕获的勒索软件样本进行分析后发现,GandCrab家族占比67%,成为第一大类勒索软件,其次是Eris家族,占到总量的13%,第三是LockScreen家族,占到总量的2%。

勒索软件感染人次按地域分析,北京市排名第一,为19万次,第二为山东省7万次,第三为广东省6万次。

挖矿病毒在2020年异常活跃,瑞星根据病毒行为进行统计,评出2020年挖矿病毒Top10:

挖矿病毒感染人次按地域分析,新疆以69万次位列第一,广东省和山东省分别位列二、三位,均为45万次。

2020年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量6,693万个,其中挂马类网站4,305万个,钓鱼类网站2,388万个。美国恶意URL总量为2,443万个,位列全球第一,其次是中国598万个和德国200万个,分别排在二、三位。

报告期内,瑞星“云安全”系统所截获的恶意网址(URL)在中国范围内排名,第一位为香港,总量为61万个,其次为河南省和江苏省,均为55万个。

报告期内,瑞星“云安全”系统拦截钓鱼攻击次数总量为251万次,其中广西省为64万次,排名第一;其次为北京市和辽宁省,分别为22万次和12万次。

2020年瑞星“云安全”系统共截获手机病毒样本581万个,病毒总体数量比2019年同期上涨69.02%。病毒类型以信息窃取、资费消耗、流氓行为、恶意扣费等类型为主,其中信息窃取类病毒占比32.7%,位居第一;其次是资费消耗类病毒占比24.32%,第三名是流氓行为类病毒占比13.45%。

三、企业安全(一)2020年重大企业网络安全事件1.2020年勒索软件攻击已突破历史最高点

2020年,据全球企业调查和风险咨询公司Kroll的报道,勒索软件是2020年最常见的威胁,其可能通过网络钓鱼、电子邮件、漏洞、开放式远程桌面协议(RDP)和Microsoft专有的网络通信协议等方式来发起攻击。勒索软件的攻击规模和频率居高不下,席卷了全球各个领域、各种规模的企业,据统计2020年勒索软件的攻击事件已突破历史最高点,其中药物测试公司HMR、IT服务公司Cognizant、巴西电力公司Light S.A、跨国零售公司Cencosud等多个大型企业都于2020年遭受过勒索攻击。

2020年新型冠状病毒肺炎疫情期间,发生了多起APT组织利用疫情相关信息作为诱饵的网络攻击事件,通过对诱饵文档中关键字符进行提取,发现中国、巴基斯坦、乌克兰、韩国等多个国家都是被频繁攻击的目标。经监测发现,APT组织Patchwork、OceanLotus、Kimsuky、Transparent Tribe、Lazarus Group以及Sidewinder等活动较为频繁,该类组织主要利用以疫情为话题的钓鱼邮件进行入侵,攻击手法多采用宏、0day或Nday漏洞等进行攻击。(详细分析见报告专题1)

2020年1月,新冠疫情引发全民关注,武汉作为疫情重灾区,武汉返乡人员也被列为重点关注对象。据南方都市报报道,多名武汉返乡人员信息被泄露,信息多达7千条,涉及姓名,电话号码,身份证号,列车信息和具体住址等敏感信息。南都记者随机拨打了表中的几个电话进行确认,信息均属实。因信息泄露,多名返乡人员收到了对其进行人身攻击的骚扰电线亿条用户信息被卖

2020年1月,网曝中国电信超2亿条用户信息被卖。据相关的院裁判书显示,“2013年至2016年9月27日,被告人陈亚华从号百信息服务有限公司(为中国电信股份有限公司的全资子公司)数据库获取区分不同行业、地区的手机号码信息,并提供给被告人陈德武,而陈德武则以人民币0.01元/条至0.02元/条不等的价格在网上出售,获利达2000余万元,涉及公民个人信息2亿余条。”

2020年2月,微盟官方发布通报,通报中表示,“研发中心运维部核心运维人员贺某通过个人VPN登入公司内网跳板机,因个人精神、生活等原因对微盟线上生产环境进行了恶意破坏。”此次事件影响恶劣,贺某被判处6年有期徒刑。据判决书道“微盟公司服务器内数据被全部删除,致使该公司运营自2020年2月23日19时起瘫痪,300余万用户(其中付费用户7万余户)无法正常使用该公司信息产品,经抢修于同年3月3日9时恢复运营。截至2020年4月30日,造成微盟公司支付恢复数据服务费、商户赔付费及员工加班报酬等经济损失共计人民币2260余万元。”

2020年3月,国内某SSL VPN设备被曝出存在严重漏洞,能够通过劫持该VPN的安全服务从而对受害者下发恶意文件。据安全厂商报道,已有黑客组织利用这个漏洞对我国政府单位及驻外机构发起了网络攻击。通过对此次网络攻击的追踪溯源,攻击者是有着东亚背景的APT组织Darkhotel。据悉,此次攻击已使得数百台的VPN 服务器失陷,还导致了中国在英国、意大利、泰国等多达19个国家的驻外机构和部分国内政府机构受到影响。

2020年4月,据胶州公安发布的警方通报表示,“胶州市民的微信群里出现中心医院出入人员名单信息,内容涉及6000余人的姓名、住址、联系方式、身份证号码等个人身份信息,造成了不良社会影响。”据胶州市公安局调查显示,“叶某在工作中将接到的随访人员名单信息转发至所在公司微信群,该群内的姜某将名单信息转发至家人群,其家人又继续转发传播。张某工作中将接到的随访人员名单信息转发至家人微信群,其家人又继续转发传播。以上3人的行为,造成中心医院出入人员名单在社会上被迅速转发传播,侵犯了公民的个人隐私。”

新型 PC 勒索病毒“WannaRen”开始传播,赎金为0.05个比特币

2020年4月,网曝出现一种新型勒索病毒“WannaRen”,多个社区、论坛,有用户反映遇到勒索加密。该病毒会加密Windows系统中的大部分文件,加密后的文件后缀名为.WannaRen,勒索信为繁体中文,勒索赎金为0.05个比特币。据悉,该勒索和2017年的“WannaCry”勒索病毒行为类似,主要借助KMS类的系统激活工具、下载工具等传播。目前,该病毒存在两个变种,一个通过文字发送勒索信息,另一个通过图片发送勒索信息。

2020年6月,瑞星发现尼日利亚网络钓鱼组织对国内大量进出口贸易、货运代理、船运物流等企业进行猛烈的网络钓鱼攻击,这类组织通过搜索、购买或窃取等方式获取企业相关邮箱账号进行钓鱼邮件投递,劫持企业公务往来邮件,伪装成买卖双方从而进行诈骗,以牟取暴利,该组织已收集大量国内企业员工的公务和个人邮箱,或企业网站登录凭据等数据,这会导致国内诸多企业遭受巨大的经济损失或信息被窃等风险。(详细分析见报告专题2)

2020年7月,黑客团伙入侵推特(Twitter)网络,接管了多个政客、名人和企业家的推特账户,如:美国前总统奥巴马、美国总统候选人拜登、微软公司创始人比尔·盖茨、亚马逊公司创始人杰夫·贝佐斯、金融大亨沃伦·巴菲特、特斯拉CEO埃隆·马斯克、纽约市前市长迈克尔·布隆伯格、歌手坎耶·韦斯特、美国社交名媛金·卡戴珊,以及苹果公司、优步公司的官推等。黑客利用这些账号发布比特币钓鱼链接,声称任何人只要往某个比特币账户发送比特币,就会得到双倍回报,且活动只限30分钟内参与。诈骗推文发布后几分钟内,一些比特币帐户显示收到超过113,000美元。此次受到影响的名人政要账号数量众多,可以说是推特历史上最大的安全事件。

2020年8月,据外媒报道,英特尔公司发生数据泄密事件,其20GB的内部机密文档被上传到在线文档分享网站MEGA上。被公布的文件内包含与各种芯片组内部设计有关的英特尔知识产权内容,比如2016年的CPU技术规格、产品指南和手册。该文件由瑞士软件工程师蒂尔·科特曼(Till Kottmann)发布,其声称这些文件来自一名入侵英特尔的匿名黑客,英特尔也已在对此进行调查,他们认为是有权限的个人下载并分享。

2020年9月,据俄罗斯媒体报道,一个ID为“Gorka9”的用户在某个论坛上表示可以免费访问密歇根州760万选民的个人信息。此外,暗网上还出现康涅狄格州、阿肯色州、佛罗里达州和北卡罗来纳州等200万至600万选民详细信息的数据库。研究人员表示,这些泄露信息是真实的选民数据,其中包括姓名、出生日期、性别、选民登记日期、地址、邮政编码、电子邮件、选民登记号和投票站号码。

2020年11月,据媒体报道称,多数老年机被植入木马病毒,借助木马程序获取手机号码信息,并自动拦截验证码,以此来获取个人信息。这些获取的个人信息会进行APP注册,通过刷单获利,也会打包出售给公民个人信息批发商,从中牟利。据悉,这些带有木马植入程序的老年机多达330余万台,出售获利竟有790余万元。

2020年12月,据外媒 Bleeping Computer 报道,墨西哥的富士康工厂遭到了“DoppelPaymer”勒索软件的攻击,导致其在墨西哥的生产设施出现问题。此次攻击感染了大约1200台服务器,攻击者窃取的未加密文件约有100GB,并将其20TB至30TB的备份数据删除。据悉,DoppelPaymer勒索软件攻击者要求富士康在一定期限内支付1804.0955比特币(价值约2.2亿元),以换取加密密钥,否则将公布被盗数据。

2020年12月,全球最大的网络安全公司之一FireEye(火眼)披露遭遇黑客入侵,黑客成功窃取了FireEye渗透测试工具包。被盗工具数量大、范围广,从用于自动化侦查的简单脚本到类似于CobaltStrike和Metasploit等公开可用技术的整个框架。此外,FireEye还拥有大量美国关键基础设施和政府部门客户,FireEye首席执行官Kevin Mandia在新闻发布中表示,攻击者还搜索了FireEye公司某些政府客户的信息。

2020年12月,据美国安全公司FireEye称,代表外国政府从事攻击活动的黑客攻陷了软件提供商SolarWinds,并在旗下的Orion网络管理软件更新服务器中植入恶意代码,导致美国财政部、美国NTIA等多个政府机构用户受到长期入侵和监视。此次攻击活动范围很广,影响了全球各地的公共和私营组织,受害者包括北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘等实体行业。

2020年漏洞分析1.2020年CVE漏洞利用率Top10报告期内,从收集到的病毒样本分析来看攻击者利用最多的漏洞还是微软Office 漏洞。CVE-2017-11882、CVE-2017-0199等因稳定性和易用性仍一直是钓鱼邮件等攻击者使用的最爱。攻击者利用Office漏洞投递大量的Emotet、AgentTesla、TrickBot等间谍软件、银行木马。全球的外贸行业深受其害,我国的对外贸易企业众多,大量企业被攻击,造成巨大经济损失。CVE-2017-0147 Windows SMB协议MS17-010永恒之蓝漏洞在2017年爆发,虽然过去将近3年,但仍是目前被病毒利用得最多的安全漏洞之一。虽然暴露在互联网中存在该漏洞的终端设备数量较少,但是在企业内网环境中还有大量的终端设备该漏洞尚未修复,利用永恒之蓝的挖矿DTLMiner、EternalBlueMiner等各种各样的挖矿病毒仍然在大量内网环境中传播发展。

瑞星根据漏洞被黑客利用程度进行分析,评选出2020年1至12月份漏洞Top10:

CVE-2017-11882Office远程代码执行漏洞该漏洞又称公式编辑器漏洞,2017年11月14日,微软发布了11月份的安全补丁更新,悄然修复了潜伏17年之久的Office远程代码执行漏洞CVE-2017-11882。该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本,攻击者可以利用漏洞以当前登录的用户身份执行任意命令。漏洞出现在模块EQNEDT32.EXE中,该模块为公式编辑器,在Office的安装过程中被默认安装,该模块以OLE技术将公式嵌入在Office文档内。由于该模块对于输入的公式未作正确的处理,攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址,从而劫持程序流程,在登录用户的上下文环境中执行任意命令。

Adobe Acrobat和Reader没有正确地处理PDF文档中所包含的恶意JavaScript。如果向Collab对象的getIcon()方式提供了特制参数,就可以触发栈溢出,黑客可以成功利用这个漏洞允许以当前登录用户的权限完全控制受影响的机器。

Adobe Reader和Acrobat TIFF图像处理缓冲区溢出漏洞,Adobe 在解析TIFF图像文件的时候,使用了开源库代码(libtiff)存在堆栈溢出的bug,漏洞出在对DotRange属性的解析上。该漏洞被多个APT组织在攻击行动中所使用。

CVE-2012-4681 Oracle Java任意代码执行漏洞该漏洞于2012年8月26日被安全公司FireEye所披露。该公司安全研究员Atif Mushtaq发现 CVE-2012-4681漏洞最初的利用代码是部署在网站当用户通过电子邮件等方式引导连接到该网站时,网页内含的Java程序能够绕过Java的沙盒保护机制,并下载安装恶意程序dropper(Dropper.MsPMs)。Oracle Java 7 Update 6和其他版本中存在此漏洞,远程攻击者可利用恶意的java applet绕过Java沙盒限制,从而在应用中执行任意代码。

此漏洞主要是word在处理内嵌OLE2Link对象,并通过网络更新对象时没有正确处理Content-Type所导致的一个逻辑漏洞。该漏洞利用Office OLE对象链接技术,将包裹的恶意链接对象嵌在文档中,Office调用URL Moniker将恶意链接指向的HTA文件下载到本地,URL Moniker通过识别响应头中content-type的字段信息最后调用mshta.exe将下载到的HTA文件执行起来。

CVE-2014-6352 Microsoft OLE远程代码执行漏洞CVE-2014-6352漏洞被认为可以绕过CVE-2014-4114补丁。此漏洞源于没有正确处理含有OLE对象的Office文件,Microsoft Windows在OLE组件的实现上存在此安全漏洞,未经身份验证的远程攻击者可利用此漏洞执行远程代码。攻击者利用此漏洞可以在管理员模式或者关闭UAC的情况下实现不弹出警告窗运行嵌入的恶意程序。

020年最热漏洞分析2.1CVE-2020-1472 Netlogon特权提升漏洞该漏洞是一个NetLogon特权提升漏洞。NetLogon组件是Windows上一项重要的功能组件,用于用户和机器在域内网络上的认证,以及复制数据库以进行域控备份,同时还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。攻击者使用Netlogon远程协议(MS-NRPC)建立与域控制器连接的易受攻击的Netlogon安全通道时,存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络中的设备上运行经特殊设计的应用程序。

CVE-2020-0601 CryptoAPI椭圆曲线密码证书检测绕过漏洞该漏洞存在于CryptoAPI.dll模块中,可用于绕过椭圆曲线密码(ECC)证书检测,攻击者可以利用这个漏洞,使用伪造的代码签名证书对恶意的可执行文件进行签名,并以此恶意文件来进行攻击。此外由于ECC证书还广泛应用于通信加密中,攻击者成功利用该漏洞可以实现对应的中间人攻击。

该漏洞是一个Windows系统SMB v3的远程代码执行漏洞,攻击者利用该漏洞,向存在漏洞的受害主机SMB服务发送一个特殊构造的数据包,即可远程执行任意代码。这是一个类似于MS08-067,MS17-010的“蠕虫级”漏洞,可以被病毒利用,造成类似于Wannacry病毒的大范围传播。

CVE-2020-1350 Windows DNS服务器远程代码执行漏洞该漏洞为DNS Server远程代码执行漏洞,是一个“蠕虫级”高危漏洞。漏洞源于Windows DNS服务器处理签名(SIG)记录查询的缺陷所致,超过64 KB的恶意SIG记录会导致堆缓冲区溢出,从而使攻击者能够远程执行具有高特权的代码。攻击者可以发送特殊构造的数据包到目标DNS Server来利用此漏洞,进而可能达到远程代码执行的效果。

CVE-2020-0674 Internet Explorer远程代码执行漏洞该漏洞存在于Internet Explorer浏览器脚本引擎jscript.dll文件中,Internet Explorer浏览器脚本引擎在处理IE内存对象时存在远程代码执行漏洞。成功利用该漏洞的攻击者可获得和当前用户相同的用户权限,如果当前用户为管理员权限,攻击者便能够控制受影响的系统,进而安装程序、更改或删除数据、创建新账户等。攻击者通过该漏洞可以进行“挂马”活动,构造一个恶意网站,诱使用户查看该网站,以此触发漏洞。

CVE-2020-0787 Windows本本地提权漏洞2020年3月,微软公布了一个本地权限提升漏洞CVE-2020-0787,攻击者在使用低权限用户登录系统后,可以利用该漏洞构造恶意程序直接获取系统管理员或者system权限。该漏洞是由BITS(Background Intelligent Transfer Service)服务无法正确处理符号链接导致,攻击者可通过执行特制的应用程序利用该漏洞覆盖目标文件提升权限。

CVE-2020-14386 Linux内核权限提升漏洞该漏洞为Linux内核权限提升漏洞。Linux发行版高于4.6的内核版本的源码 net/packet/af_packet.c 在处理AF_PACKET时存在一处整数溢出漏洞。本地攻击者通过向受影响的主机发送特制的请求内容,可以造成权限提升。

020年全球APT攻击事件解读1.APT组织UNC2452UNC2452是2020年新的APT组织,由美国安全公司FireEye命名。该组织在2020年12月的时候攻陷软件提供商SolarWinds,并将具有传输文件、执行文件、分析系统、重启机器和禁用系统服务等能力的Sunburst后门,插入到该企业旗下Orion网络管理软件中带SolarWinds数字签名的组件e.BusinessLayer.dll中。SolarWinds公司客户遍布全球,覆盖了政府、军事、教育等大量重要机构和超过九成的世界500强企业。此次APT组织UNC2452利用SolarWinds供应链进行攻击的事件影响甚广,造成了极恶劣的影响,FireEye称已在全球多个地区检测到攻击活动,受害者包括北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘等实体企业。此次攻击事件中APT组织通过篡改文件SolarWinds.Orion.Core.BusinessLayer.dll,在此DLL文件中增添了Sunburst后门,因此使得Sunburst后门带有有效的数字签名:Solarwinds Worldwide,LLC。

“OceanLotus”是一个至少自2012年就开始进行网络攻击的APT组织,这个APT组织又称:“海莲花”、APT 32、SeaLotus、APT-C-00、Ocean Buffalo,是最活跃的APT组织之一。有信息表明该组织疑似为越南背景,由国家支持。其攻击目标包括但不限于中国、东盟、越南中持不同政见者和记者,目标行业多为能源、海事、政府和医疗等领域。2020年捕获了多起“海莲花“针对中国的攻击样本,攻击手法主要有利用漏洞、Office宏以及带数签的正常程序加载恶意dll等。例如:该APT组织针对中国所投递的“中国正在追踪来自湖北的旅行者.exe”的攻击样本中,其主要利用正常的exe程序加载隐藏的dll以便释放诱饵文档迷惑目标,同时在内存中隐秘执行远控木马。

APT组织SideWinder至少从2012年就开始进行网络攻击,疑似来自印度。这个APT组织又称“响尾蛇”、T-APT-04,从2020年所捕获的攻击样本中分析发现,该组织的大多数活动都集中在中国和巴基斯坦等国家,针对的目标行业大多数为医疗机构、政府和相关组织,攻击手法主要有利用钓鱼邮件等方式投递带恶意对象,CVE-2017-11882漏洞的诱饵文档,投递利用远程模板技术下载恶意文档,或者投递带恶意链接的快捷方式文件等。例如:其投递和亚洲组织ASPAC有关的诱饵文档“Nominal Roll for BMAC Journal 2020.doc”,攻击手法主要是在诱饵文档中嵌入恶意hta代码,利用CVE-2017-11882漏洞执行hta代码达到窃密远控目的。

图:Nominal Roll for BMAC Journal 2020.doc

图:Pak Army Deployed in Country in Fight Against Coronavirus.pdf.lnk

Darkhotel是一个至少从2014年就开始进行网络攻击的APT组织,疑似来自朝鲜。这个组织又称:APT-C-06、SIG25、Dubnium、Fallout Team或Shadow Crane。中国,美国,印度,俄罗斯等多国都曾遭受其攻击,该组织涉及的行业有国防、能源、政府、医疗保健、非政府组织、制药、研究与技术等。在2020年微软宣告Windows 7系统停止更新第二日“Darikhotel”就被披露,利用CVE-2019-17026(火狐浏览器)和CVE-2020-0674(IE浏览器)这两个漏洞对我国商贸相关的政府机构进行攻击,并且在疫情期间,其劫持国内某VPN设备下发恶意程序SangforUD.exe,SangforUD.exe带有伪冒的数签,当受害者执行SangforUD.exe后,其会联网下发恶意代码。

Patchwork是一个至少从2015年就开始进行网络攻击的APT组织,疑似来自印度。这个APT组织有很多别称:“摩诃草”、Operation Hangover、Viceroy Tiger、Dropping Elephant、Monsoon、APT-C-09 或Chinastrats。从2020年所捕获的攻击样本分析发现,该组织的大多数的活动都集中在中国、巴基斯坦等亚洲国家,针对的目标行业大多数为医疗机构、政府和政府相关组织,攻击手法有投递恶意宏文档,利用钓鱼网站和使用esp漏洞(CVE-2017-0261)等。例如:其针对中国的诱饵文档“武汉旅行信息收集申请表.xlsm”,”申请表格xlsm”等中,主要使用的攻击手法是投递带恶意宏的文档,通过宏代码去远程加载恶意文件下载远控木马。

020年勒索病毒分析1.勒索病毒概述勒索病毒从早期针对普通用户的攻击转变为针对中大型政府、企业、机构。勒索事件逐年增长,攻击也越来越具有针对性和目标性。2020年,据全球企业调查和风险咨询公司Kroll的报道,勒索软件是2020年最常见的威胁。其可能通过网络钓鱼电子邮件,漏洞,开放式远程桌面协议(RDP)和Microsoft专有的网络通信协议等来发起攻击。如今,勒索软件几乎都采用双重勒索模式进行索取赎金:在入侵目标后窃取企业数据,再使用勒索病毒进行加密。黑客以公开窃取到的数据为要挟,进一步胁迫受害群体缴纳赎金。据统计,2020年勒索软件的攻击事件已突破历史最高点。

勒索病毒影响的行业甚广,传统企业、教育、医疗、政府机构遭受攻击最为严重,互联

2020年3月,进行冠状病毒疫苗现场试验的药物测试公司Hammersmith Medicines Research LTD(HMR)遭受勒索病毒Maze攻击。在该公司拒绝支付赎金之后,Maze勒索软件运营商在其泄漏网站上发布了一些被盗文件。黑客窃取的记录包含公司扫描时收集的文件和结果的扫描副本,包括姓名,出生日期,身份证件,健康调查表,同意书,全科医生提供的信息以及一些检测结果。2020年4月,葡萄牙跨国能源公司(天然气和电力)EDP(Energias de Portugal)遭Ragnar Locker勒索软件攻击,赎金高达1090万美金。攻击者声称已经获取了公司10TB的敏感数据文件,如果EDP不支付赎金,那么他们将公开泄露这些数据。根据EDP加密系统上的赎金记录,攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。

2020年6月,美国加州大学遭受Netwalker 勒索软件攻击。由于被加密的数据对于所从事的一些学术工作非常重要,因此,该学校向勒索攻击者支付大约 114 万美元赎金,以换取解锁加密数据的工具。

2020年6月,REvil(Sodinokibi)勒索软件入侵了巴西的电力公司Light S.A,并要求其提供1400万美元的赎金。Light S.A承认发生了该入侵事件,表示黑客入侵了系统,并对所有Windows系统文件进行加密。

2020年7月,西班牙国有铁路基础设施管理公司ADIF遭受了勒索软件Revil的攻击。攻击者声称窃取了800GB的机密数据,包括ADIF的高速招聘委员会合同、财产记录、现场工程报告、项目行动计划、关于客户的文件等等。

2020年8月,BleepingComputer报道了佳能遭受名为Maze勒索软件团伙攻击的事件。在Maze的网站上,勒索软件团伙称其公布了攻击期间从佳能窃取的5%的数据。发布的文档是一个名为“STRATEGICPLANNINGpart62.zip”的2.2GB的压缩文件,其中包含营销资料和视频,以及佳能网站相关的文件。

2020年8月,Maze勒索软件团伙入侵了东南亚的私营钢板公司Hoa Sen Group(HSG),并声称拥有公司的敏感数据。在Maze网站上,勒索软件团伙声称已发布了公司被泄漏总数据的5%。例如HSG的多份求职信,屏幕快照,简历,学术文件等等。

2020年9月,智利三大银行之一的Banco Estado银行受到REvil勒索软件的网络攻击,使得其相关分行被迫关闭。

2020年10月,勒索软件组织Egregor对外声称成功入侵了育碧和Crytek两大游戏公司,获得了包括《看门狗:军团》源代码在内的诸多内部内容。之后该勒索组织公布了这款游戏的源代码,并在多个专用追踪器上放出了下载链接,源代码大小为560GB。

2020年11月芯片制造商Advantech受到Conti勒索软件攻击,要求其提供750比特币,约合1400万美元,以解密Advantech被加密的文件并删除被窃数据。为了让Advantech确认数据确实已经被盗,攻击者在其数据泄漏网站上发布了被盗文件的列表。根据勒索信息声称,在网站上公开的3.03GB数据只占全部被窃数据的2%。

2020年12月,墨西哥的富士康工厂遭到了“DoppelPaymer”勒索软件的攻击,攻击者窃取大量未加密文件,并对相关设备进行加密并勒索赎金3400万美元。

在2020年期间有不少往年出现过的勒索病毒也处于高度活跃的状态,其中有GIobeImposter、CrySis、Stop、Maze,Egregor等。以下将根据感染量、威胁性筛选出影响较大的年度Top3勒索病毒进行概要性总结。

Sodinokibi(又称REvil),于2019年4月下旬首次发现,最初通过Oracle WebLogic漏洞传播。自从CandCrab于2020年6月宣布“退休”以来,新生勒索Sodinokibi便以部分代码相似度高以及分发途径重叠等一直被视为GandCrab团队的新项目,或称为其接班人。Sodinokibi被作为一种“勒索软件即服务”,它依赖于子公司分发和营销勒索软件。Sodinokibi的攻击目标涉及领域较广,医疗机构、政府单位、大中型企业均有感染发生。Sodinokibi采用椭圆曲线(ECC)非对称加密算法,加密逻辑严谨在没有攻击者私钥的情况下暂不能解密。

Maze勒索病毒Maze勒索病毒至少自2019年就开始活跃,其最初通过在挂马网站上的漏洞攻击工具包以及带恶意附件的垃圾邮件进行传播,后来开始利用安全漏洞专门针对大型公司进行攻击。2020年多家大型公司如:美国半导体制造商MaxLinear、药检公司HMR、佳能美国公司、越南钢铁企业HSG、半导体大厂SK海力士以及韩国LG集团等都遭受到Maze病毒勒索攻击。并且因Maze勒索方式:如果受害者不付款,攻击者就会公开窃取数据,其中部分拒绝支付赎金的公司的一些数据在Maze的“泄密网站”上被公布。而且,许多其他勒索软件也开始效仿这种勒索方式。Maze勒索病毒的加密模式采用对称加密和非对称加密算法的结合方式, 并且被其加密后的每个文件后缀名都是随机生成的,并不相同。如需解密,需要结合攻击者的RSA私钥。

Egregor勒索病毒Egregor勒索病毒于2020年9月新被披露,据报道,其与Sekhmet勒索软件和Maze勒索软件存在关联,其目标包括了大型零售业者及其他组织。2020年多家大型企业政府组织等都遭受到Egregor病毒勒索攻击,如育碧和Crytek两大游戏公司,跨国零售公司Cencosud以及加拿大温哥华公共交通机构TransLink等。为了从受害者处获得赎金,Egregor勒索软件运营者威胁受害者:如果不付款,攻击者就会公开窃取数据,通知媒体,来公开企业遭受入侵的消息。除此之外,根据 Egregor的勒赎通知,受害者支付赎金不仅能够让资料解密,攻击者还会提供建议来确保公司网路的安全。Egregor勒索软件主要使用基于流密码ChaCha和非对称密码RSA的混合加密方案,解密文件需要作者的RSA私钥,文件加密逻辑完善,因此在没有攻击者私钥的情况下暂不能解密。

020年供应链攻击分析1.供应链攻击概述:近年来,随着黑客团伙等利用供应链攻击作为安全突破口对各大政府企业机构组织所进行的网络攻击安全事件不断发生,供应链攻击已成为2020年最具影响力的高级威胁之一。供应链攻击一般利用产品软件官网或者软件包存储库等进行传播。例如:黑客通过攻陷某知名官网的服务器,篡改其服务器上所提供的软件源代码,使得这些软件在被用户下载后安装时触发恶意行为。这些携带恶意代码的软件来自受信任的分发渠道,携带着相应的供应商数字签名,使得恶意程序的隐蔽性大大增强,安全检测难度加大。

历年来,供应链攻击都是网络安全关注的重点之一。每年或多或少都有被爆出的供应链攻击事件。PhpStudy后门事件,黑客篡改了PhpStudy安装包中的php_xmlrpc.dll模块,插入后门后二次打包在各下载站中发布,国内大量用户受害。

XcodeGhost事件,开发者使用非苹果公司官方渠道的XCODE工具开发苹果应用程序(苹果APP)时,会向正常的苹果APP中植入恶意代码。被植入恶意程序的苹果APP可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。大量的APP软件受影响。

NotPetya攻击事件,该恶意软件攻击了乌克兰会计软件MeDoc的更新服务器,利用被感染的服务器更新恶意软件,导致病毒大面积扩散。

2020年12月,APT组织UNC2452所使用的SolarWinds供应链攻击就给全球带来了巨大影响。据悉,大约有超过 250 家美国联邦机构和企业受到影响,其中包括美国财政部、美国NTIA,美国安全公司FireEye等,可以算得上是2020年最具影响力的供应链攻击事件了。该供应链事件是源于软件提供商SolarWindsSolarWinds旗下的Orion网络管理软件源码遭黑客篡改,黑客在名为e.BusinessLayer.dll的文件中添加了Sunburst后门代码,使得Sunburst后门带有有效的数字签名:Solarwinds Worldwide,LLC。

较原来正常的SolarWinds.Orion.Core.BusinessLayer.dll文件相比,恶意DLL文件中的Sunburst后门代码存于新增的OrionImprovementBusinessLayer类中。

Sunburst后门可通过执行远控指令执行窃取数据,下发恶意代码等操作,并且因SolarWinds Orion软件传播范围极广,使得此次供应链事件波及的范围也很广。

供应链攻击危害逐渐显现,由于该攻击检测难度大、持续性长、攻击面广、影响深远,企业或个人用户应当加强漏洞检测水平,提高安全响应能力,努力建设良好的软件供应链生态。

(一)后疫情时代网络安全面临新的挑战2020年新冠病毒袭击全球,为了控制疫情的扩散各国采取了各种措施控制人群的聚集。在新冠病毒的影响下,远程办公、远程教育等线上生产和生活方式迅速发展,在带来新的经济发展机遇的同时,也给网络安全领域带来诸多全新的挑战。远程办公的发展使得原有的企业内的网络边界逐渐模糊。分散的IT基础设施,将给原有的安全策略控制和管理带来巨大的改变,同时给企业的安全运营带来挑战。后疫情时代远程办公的发展必将会加速零信任网络安全产品的落地与发展。

2020年勒索病毒仍是最常见的威胁之一,勒索病毒勒索途径也发生了一些变化,从以往的单纯加密用户数据勒索赎金解密,逐渐增加了在攻击过程中窃取企业隐私数据和商业信息,威胁不交付赎金则会公布企业内部私用数据的方式进行勒索。这种以发布企业隐私数据和商业信息的勒索方式造成的危害巨大,企业不仅要面临隐私数据泄露,还要面临相关法规、财务和声誉受损的影响,这大大增加了攻击者勒索的成功率。这种多重勒索方式纷纷被各种勒索软件攻击者效仿,攻击者在暗网中发布了大量数据泄露站点,用来公开拒绝支付赎金的受害企业私有数据。

最近几年国内经济迅猛发展,加上国家一带一路的建设,从事外贸进出口的企业众多,在对全球2020钓鱼活动跟踪过程中我们发现国内存在着大量的受害企业,大量企业长时间被攻击都没有发现。攻击者利用国际贸易通过邮件交流沟通这一特点,使用大量与贸易相关主题的钓鱼邮件投递各种后门间谍软件,如Emotet、AgentTesla、TrickBot等。由于攻击者采用了多种技术手段规避垃圾邮件网关和终端杀毒软件的检测,使得大量钓鱼邮件成功投递到了用户环境,因此大量用户凭据信息被窃取,也为攻击者接下来的诈骗活动打开了方便之门,形成巨大的安全隐患。国内很多从事外贸行业的企业被攻击,造成巨大的经济损失。这种以外贸行业为主要攻击对象的钓鱼攻击活动将会一直持续进行。

近年来,黑客团伙利用供应链攻击作为安全突破口,对各大政府企业机构组织所进行的网络攻击安全事件不断发生,供应链攻击已成为2020年最具影响力的高级威胁之一。供应链攻击一般利用产品软件官网或者软件包存储库等进行传播。例如:黑客通过攻陷某知名官网的服务器,篡改其服务器上所提供的软件源代码,使得这些软件在被用户下载后安装时触发恶意行为。这些携带恶意代码的软件来自受信任的分发渠道,携带着相应的供应商数字签名,使得恶意程序的隐蔽性大大增强,安全检测难度加大。供应链攻击有着“突破一点,伤及一片”的特点,又因其隐蔽性强、检测率低,成为具有国家背景的APT组织常常使用的攻击手段之一。比如:2020年APT组织UNC2452所使用的SolarWinds供应链攻击就给全球带来了巨大影响,据悉,大约有超过250家美国联邦机构和企业受到影响,其中包括美国财政部、美国NTIA、美国安全公司FireEye等,可以算得上是2020年最具影响力的供应链攻击事件了。供应链攻击检测难度大、持续性长、攻击面广、影响深远,企业或个人用户应当加强漏洞检测水平,提高安全响应能力,努力建设良好的软件供应链生态。

2020年,国内外频繁曝出数据泄露事件,受影响的用户少则数千万,多达上亿。不仅个人用户受到严重影响,金融、教育、医疗、科技等行业也因数据泄露遭受损失。以下列举部分公开披露的数据泄露事件。

020年利用“新冠肺炎”为诱饵的网络攻击事件一、事件概述2020年,新冠肺炎相关话题成为广为人关注的热点,国内外不少黑客、APT组织利用肺炎疫情等相关题材作为诱饵文档对一些政府、教育、卫生等机构发动鱼叉钓鱼攻击。

Miner利用新冠疫情为题材传播DTLMiner挖矿木马向目标投递和COVID-19新冠病毒疫情相关的钓鱼邮件,诱使用户打开恶意的邮件附件,当受害者打开了钓鱼邮件中的恶意文档后,将会访问恶意链接下载脚本并执行。

APT组织“Sidewinder”投递名为“清华大学2020年春季学期疫情防控期间优秀教师推荐表”的恶意docx文档进行攻击。该docx文档的目录word\_rels\webSettings.xml.rels中包含恶意链接,该恶意链接指向嵌入了恶意对象的RTF文档,最终会在受害者计算机上释放和执行C#后门。

组织“OceanLotus”利用疫情相关信息投递后门APT组织“OceanLotus”投递使用文档图标进行伪装的名为“冠状病毒实时更新:中国正在追踪来自湖北的旅行者.exe”的exe程序对目标进行攻击。样本会执行同级目录下被隐藏的恶意dll并释放诱饵文档,诱饵文档内容提及中国湖北,主要关于新冠病毒的最新事件报道。

PT组织“摩诃草”利用疫情向巴基斯坦发起网络攻击APT组织“摩诃草”利用含“COVID19”字样的宏文档向巴基斯坦发起网络攻击,样本利用宏代码投递远控木马,诱饵内容为巴基斯坦政府关于疫情防卫的指导。

PT组织“Transparent Tribe”利用印度疫情信息投递后门APT组织“Transparent Tribe”向目标投递带“CORONA VIRUS”字样的宏文档,文档利用宏代码投递CrimsonRat远控木马,文档内容提及印度,主要涉及一些新冠病毒的健康咨询。

组织“Kimsuky”组织利用新冠针对MACOS平台进行网络攻击APT组织“Kimsuky” 利用名为“COVID-19 and North Korea.docx”的恶意样本针对MACOS平台进行网络攻击。该样本是通过远程宏模板注入使目标加载执行宏代码,并且通过判断当前操作系统是否是MAC系统决定是否执行恶意python代码。

瑞星威胁态势感知平台捕获到一起利用“新型冠状病毒”为诱饵进行传播的攻击事件。攻击者使用新冠、肺炎等关键字传播远控木马。经分析该木马为ghost远控木马变种,具有窃取信息、任意文件下载执行等功能。文件名

该程序运行后在内存中解密一个DLL文件, 并直接在内存中加载执行其中的“shellex”导出函数。

将当前进程自拷贝到硬编码字符串:C:\Windows\svchosvt.exe下。

会话管理(关机、重启、注销、卸载)、卸载、更改备注、查询配置、更改分组、下载执行、打开网页(显示)、打开网页(隐藏)、查找进程、查找窗口、Messagebox、开启代理、关闭代理。

瑞星安全研究院对该样本关联分析后发现,该攻击事件幕后攻击者早在2019年底就开始通过大量的热点事件、色情信息为诱饵投递病毒,其中包含科比去世等热点事件。分析发现最早一个样本出现在2019年11月份,样本中出现的事件很多发生在东南亚的泰国、菲律宾和越南。大致可以看出该攻击者的攻击对象主要是东南亚的华人。

措施l 不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。l 部署网络安全态势感知、预警系统等网关安全产品。该类产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。

l 安装有效的杀毒软件,可拦截恶意文档和木马病毒,阻止病毒运行,保护用户的终端安全。

020年国内大量外贸物流企业遭受尼日利亚钓鱼组织攻击一、钓鱼组织乔装甲乙双方 一封邮件获利5万美元2020年6月,上海某航运集团与一家国外物流公司进行合作交易往来过程中,被网络钓鱼组织攻击,险些蒙受5万多美元的经济损失,过程如下:该航运集团与另一家国外物流公司有合作往来,双方在进行邮件沟通中,被一个尼日利亚网络钓鱼组织相中,该组织不仅注册了与双方网站相似度极高的域名,还劫持了双方员工的邮件往来,仿冒了往来人员的邮箱账号。

攻击组织通过一个中间人的角色,分别伪装成航运集团及物流公司进行通信,从中获取合作内容等关键信息,并在商讨付款时修改收款银行信息,使得航运集团将少量资金转入了攻击组织,而并未察觉。就在航运集团即将再次向攻击组织转入5万多美金时,瑞星公司通过追踪发现了该组织的攻击信息,及时联系了该集团,停止付款交易,帮其及时止损。

此次瑞星安全专家在追踪中发现,尼日利亚长期存在的多个网络钓鱼攻击组织,正在对国内大量进出口贸易、货运代理、船运物流等企业进行着猛烈的网络钓鱼攻击,这类组织通过搜索、购买或窃取等方式获取企业相关邮箱账号进行钓鱼邮件投递,劫持企业公务往来邮件,伪装成买卖双方进行诈骗,以牟取暴利,导致国内很多企业遭受巨大的经济损失或信息被窃。

瑞星安全研究院通过长时间的追踪,获取了部分尼日利亚网络攻击组织使用的邮箱和服务器访问权限,从而还原出该组织的一些攻击路径及方式:1. 攻击者通过爬虫或搜索、黑市购买及间谍软件窃取等方式获取大量邮箱地址,通过专业的工具抽取所有与该邮箱进行通信的邮件地址,从而得到大量优质的潜在攻击对象;

2. 攻击者在掌握大量的邮箱账号后,将各种商业间谍软件或钓鱼网站投递至这些邮箱中,以窃取受害者电脑中浏览器、邮件、账号密码、cookies、键盘记录和屏幕截图等重要信息,从而源源不断地获取大量的凭据信息;

4. 攻击者通过长期对买(卖)双方邮件内容进行监控,以获取其中重要信息,从而伪装成买方及卖方,充当中间人与真正的买(卖)方进行通信,劫持并传输邮件内容,并以打折、避税或篡改等方式更换收款信息,最终骗取受害企业的大量资金。

在追踪溯源过程中瑞星安全研究院获取到了一些攻击者的信息,通过邮箱的登录记录和一些开源的情报信息来看,该组织成员主要生活在尼日利亚的拉各斯市,他们每天的工作就是进行攻击活动,部分攻击者还是以家庭为单位,父亲和儿子一起参与。这些攻击者通过skype不断安排攻击任务和通信交流。

通过对跟踪的其中一个团伙进行了梳理,瑞星安全专家发现该组织成员主要有如下几人,其中 JoeRyaHall是该组织的主要负责人,负责该组织的整个诈骗运营。

l 企业通过邮件沟通确认付款信息时,对于以各种理由修改收款账户的信息要引起警觉,一定在付款之前通过第三方通信工具进行反复确认。l 统一部署企业级的终端安全防护软件。目前的邮件服务提供商和邮件网关类安全产品对这些钓鱼诈骗攻击都不能够做到100%的拦截。大量的钓鱼和攻击邮件都能突破现有的安全防护方案到达用户终端,所以拥有一款终端安全防护产品十分必要。

l 提高企业员工的安全防护意识。员工在日常处理邮件过程中要注意邮件附件中文件的后缀名,不运行邮件附件中可执行文件和可疑脚本文件。

l 打开邮件附件中的Office文档时,如果弹出安全提示框或宏提示框,在无法确定安全的情况下一律拒绝启用,并及时更新Office程序的相关漏洞。

l 不直接点击邮件中的链接,不在邮件跳转链接到的网页中输入账号密码,如果发现是钓鱼网站并被钓鱼成功,则第一时间修改相关账号密码。

l 在日常邮件往来中定期检查邮件收件人的邮箱地址是否被仿冒,在回复邮件时如果回复邮件地址与发件人不一致时要引起高度重视。

l 定期查看邮件账户等登录日志,对于邮件服务商发送的异地账号登录等安全风险提示要引起重视,定期修改邮箱、网站等相关的账号密码。

《中华人民共和国密码法》1月1日,《中华人民共和国密码法》正式实施,这是我国密码领域的第一部法律,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。密码法是总体国家安全观框架下,国家安全法律体系的重要组成部分,它的颁布实施将极大地提升密码工作的科学化、规范化、法制化水平,有力促进密码技术进步,产业发展和规范应用,切实维护国家安全、社会公共利益,以及公民、法人及其他社会组织的合法权益,同时也为密码部门工作提供了坚实的法治保障。

2月13日,中国人民银行正式发布《个人金融信息保护技术规范》(JR/T 0171—2020),该规范规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。该规范有助于规范金融业机构个人金融信息保护工作,提升金融数据风险防控能力,促进我国金融市场的健康发展。同时,有助于提高金融机构个人账户信息、银行卡信息安全管理水平,加大互联网交易风险防控力度,防范各类金融交易风险,切实维护金融稳定,保护金融消费者合法权益。

3月6日,国家市场监督管理总局、国家标准化管理委员会发布新版国家标准《信息安全技术个人信息安全规范》(GB/T35273-2020),并定于 2020年10月1…

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注