2019上半年企业安全总结

Sep 12, 2019freebuf.com

2019年6月,多家媒体报道,美国总统特朗普允许网络司令部对伊朗的火箭及导弹发射系统发起攻击。有报道称该攻击使伊朗这一武器系统"瘫痪"。6月24日伊朗通信和信息技术部长穆罕默德·贾哈米发推特称:"美方尽全力对伊朗发动网络攻击,但是失败了。2018年伊朗的网络防火墙阻止了3300万次网络攻击。"

在网络安全风险高发的大背景下,我国于2016年出台了《网络安全法》,并在 2019年5月发布了安全等级保护2.0(简称等保2.0)相关国家标准,将于2019年12月1日开始正式实施。等保2.0实现了对云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象全覆盖。这意味着企事业单位和政府机关等主体需要进一步加大对信息安全产品和服务的投入。

近年来对企业安全影响最深远的事件是以WannaCry为代表的勒索病毒爆发。一方面其打开"永恒之蓝漏洞"这个近年最强的公开攻击工具使用的潘多拉魔盒,另一方面也把勒索病毒这一形态推向了网络安全攻防的最热点。后续模仿者有利用"永恒之蓝"传播挖矿木马,也有进一步集成多种攻击武器,传播勒索病毒索要赎金。GranCrab勒索病毒就是其中的佼佼者。

2019年6月GandCrab勒索病毒运营方突然宣布将停止更新,同时透露了一个惊人的盈利数字 -- GandCrab病毒产业链收益高达20亿美元。这一病毒的发展过程中,各类安全厂商和罗马尼亚警方始终对其围追堵截。罗马尼亚警方和安全厂商Bitdefender通过攻破其服务器获取密钥的方式,面向受害者发布解密工具。但遗憾的是,仍有大量受害者感染该病毒并选择了缴纳赎金。在这个案例的"激励"下,大量的黑产从业者会继续开发和传播勒索病毒牟利。

综上,对企业和政府机构而言,网络安全建设绝不仅是满足监管需求,而是切实的规避安全风险。一款病毒制造者获利20亿美元的背后,其同时造成的企业生产中断,公共事务网站停摆等损失会远远超过这个数字。台积电生产线感染WannaCry全线停摆综合损失即高达1.7亿美金。

本文以腾讯安全御见威胁情报中心安全大数据为基础,从终端安全、服务器安全、网站安全和邮件安全等纬度剖析2019年上半年企业用户安全趋势。

终端设备是企业的重要资产,包括员工使用的PC计算机,服务器(文件服务器、邮件服务器等),此外还包括打印机、摄像头等IoT设备。这些终端设备也成为了黑客攻击的重要目标。本文第二章将从企业终端的安全性,脆弱性,及邮件安全三部分对企业终端资产所面临的威胁进行分析。

脆弱性主要分析终端设备容易被攻击入侵的原因,包括高危漏洞没有及时修复,开放的高危端口及企业员工安全意识等。

安全性主要分析终端设备所面临的安全威胁,包括上半年企业终端感染的主要病毒类型,企业染毒比例,及不同行业的感染病毒分布情况分析。

  1. 企业终端病毒感染概况

根据腾讯安全御见威胁情报中心数据显示,上半年每周平均约23%的企业发生过终端病毒木马攻击事件,其中风险类软件感染占比最多(占40%),其次为后门远控类木马(占14%)。

企业终端风险中,感染风险软件的仍排行第一,占比达到40%。部分终端失陷后,攻击者植入远控木马(占14%),并利用其作为跳板,部署漏洞攻击工具再次攻击内网其它终端,最终植入挖矿木马或者勒索病毒。另外,企业内文件共享等机制也使得感染型病毒持续占据10%左右的比例。

风险软件主要是指其行为在灰色地带打擦边球,如流氓推装、刷量、弹骚扰广告等,风险类软件之所以会有如此高的感染量和其推广传播方式密切相关。和勒索病毒挖矿木马等通过漏洞利用,暴力破解等"高难度"的攻击传播方式不一样,风险软件的推广传播更加明目张胆,比如购买通过搜索引擎关键字,捆绑正常软件进行传播。

腾讯安全御见威胁情报中心曾披露某病毒团伙通过购买"flash player"等关键字,利用搜索引擎广告推广,中招用户累计达数十万之多(可参考:一款利用搜索引擎推广的病毒下载器,推装超30款软件,已感染数十万台电脑)。此外,各软件下载站的"高速下载器",、ghost系统站点、游戏外挂站点、破解工具等都是重要传播渠道。这些渠道都有着较大且稳定的受众群体,导致风险软件成为终端安全的重灾区。

挖矿木马同比提高近5%,几乎成为当前流行黑产团伙的必备组件。随着比特币、门罗币、以太坊币等数字加密币的持续升值,挖矿成了黑产变现的重要渠道。我们预计挖矿木马占比仍将继续上升。

勒索病毒同比变化不大,但近年新的勒索病毒层出不穷,一旦攻击成功危害极大。部分受害企业被迫交纳"赎金"或"数据恢复费",勒索病毒仍是当前企业需要重点防范的病毒类型。

2.不同行业感染病毒类型分布情况

风险类软件在各行业的染毒占比最高,此外后门远控类木马在科技行业的染毒比例相对较高为26%,可能和科技行业中的间谍活动更加频繁相关。

风险类软件在教育,医疗等多个行业中的染毒比例都是最高的,而且往往都有感染量大的特点,主要原因是传播渠道广泛,包括下载器、ghost系统站点、游戏外挂站点、流氓软件等,此外用户对这类风险软件的感知不是很明显导致没有及时杀毒清理。

腾讯安全于2019年4月揪出年度最大病毒团伙,高峰时控制上千万台电脑,包括幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族,这些木马利用盗版Ghost系统、激活破解工具、热门游戏外挂等渠道传播,通过多种流行的黑色产业变现牟利:包括,云端控制下载更多木马、强制安装互联网软件、篡改锁定用户浏览器、刷量、挖矿等等。该病毒团伙在2018年7-8月为活跃高峰,被该病毒团伙控制的电脑仍在200-300万台。

3.行业感染病毒对比

教育科研行业成为病毒感染的重灾区,在主要的病毒类型远控、挖矿、勒索、感染型病毒中,教育科研行业的感染设备占比最高(接近或超过50%)。

在统计中教育科研行业主要包括中小学,高校及科研机构,在各类型病毒中其染毒比例最高,尤其是感染型病毒,其染毒比例高达58%,这和该行业频繁的文档传送及移动介质频繁使用交叉感染有关。

除了教育科研行业,政府机关及高科技企业在各类型病毒中的染毒比例也较高,染毒占比在14%到22%之间。远控类木马针对政府机关及高科技企业的攻击活动频繁,攻击成功后窃取机密文件等敏感信息。

腾讯安全御见威胁情报中心2019年5月捕获到一批针对政府和企业的攻击事件,通过发送钓鱼邮件,诱导用户打开带有恶意宏代码的word格式附件,打开附件后下载运行远控木马家族NetWiredRC,木马会窃取中毒电脑的机密信息上传到控制者服务器。

漏洞利用及端口爆破是攻陷终端设备的重要手段,回顾2018年企业服务器的网络安全事件,可以发现数据泄露事件高发。航空、医疗、保险、电信、酒店、零售等行业均受影响。攻击者利用爆破、漏洞等方式攻陷企业服务器。2019年全球利用企业服务器产品漏洞的攻击依然未有放缓。简单的漏洞或缺乏简单的策略控制可能导致灾难性的后果,下面就常见的漏洞、攻击方式、和端口开放情况对终端脆弱性做些归纳性的总结,希望对各企业服务器安全防范有所帮助。

1.企业终端漏洞修复情况

系统高危漏洞往往会被黑客利用进行入侵,但部分企业安全风险意识较为薄弱,据腾讯安全御见威胁情报中心数据显示,截止6月底,仍有83%的企业终端上存在至少一个高危漏洞未修复。

在主要的高危漏洞中,永恒之蓝系列漏洞补丁安装比例最高,"永恒之蓝"最早于2017年被黑客组织影子经纪人泄漏,随后被大范围传播利用,其中影响最为广泛的WannaCry勒索软件利用该漏洞进行蠕虫式传播一时间席卷全球。虽然该漏洞补丁安装比例较高,但仍有不少机器仍未安装补丁,腾讯安全御见威胁情报中心监测到一款通过"驱动人生"系列软件升级通道传播的木马,仅2个小时受攻击用户就高达10万,就是利用"永恒之蓝"高危漏洞进行扩散传播。

RDS(远程桌面服务)漏洞(CVE-2019-0708)是今年五月份披露的高危漏洞,仍有大量机器没修复该漏洞(42%),其危害程度不亚于永恒之蓝系列漏洞,攻击者通过利用此漏洞,可以在远程且未经授权的情况下,直接获取目标 Windows 服务器权限,远程执行代码。

我们对暴露在公网的服务器做抽样分析发现,常见的系统组件漏洞攻击类型中,远程代码执行(RCE)、SQL注入、XSS攻击类型比例最高。

远程代码执行(RCE)漏洞是服务器上一种最严重的安全隐患,攻击者可远程执行任意命令、代码,实现完全控制服务器主机。例如攻击可通过Web应用等漏洞,入侵或上传WebShell,使用反向shell获得对服务器的控制权。

反向shell是攻击者通过受害者出站连接来获得对受害者控制的常用方法。这种方法经常被使用,因为它很容易绕过防火墙限制,与入站连接不同,通常防火墙允许出站连接。一旦攻击者通过RCE获得对主机的控制权便完全控制了整个服务器系统,甚至可通过横向移动,控制内网其它主机、服务器。

SQL注入(SQLi)是最早、最流行和最危险的Web应用程序漏洞,黑客攻击者可以利用Web应用程序对数据库服务器(如MySQL,Microsoft SQL Server和Oracle)进行不安全的SQL查询。它利用了Web应用程序中的漏洞,这通常这些漏洞是由于代码错误导致的。

使用SQL注入,攻击者可以将SQL命令发送到数据库服务器,允许他们对数据进行未经授权的访问,在一些极端情况下甚至可控制整个运行数据库服务器的系统。SQLi也恰好是最容易理解的Web应用程序漏洞之一,拥有数百种免费的现成工具,使攻击者可以更快,更轻松地利用SQL注入漏洞。

通过SQL注入漏洞,攻击者可以绕过Web应用程序的身份验证和授权机制,检索整个数据库的内容,泄取机密信息。甚至添加,修改和删除该数据库中的记录,从而影响其数据完整性。由于SQL注入会影响使用SQL数据库的Web应用程序,因此几乎每种类型的Web应用程序都需要注意它。

XSS(跨站脚本攻击), 与大多数影响服务器端资源的漏洞不同,跨站点脚本(XSS)是Web应用中出现的漏洞。 跨站点脚本通常可以被认为是主要通过使用JavaScript的应用代码注入。XSS有许多变形,攻击者的目标是让受害者无意中执行恶意注入的脚本,该脚本在受信任的Web应用程序中运行。利用XSS攻击可以实现窃取敏感数据,甚至修改Web应用程序的,诱导、骗取用户向攻击者提交敏感数据。

2)配置类漏洞攻击

2019年全球利用企业服务器产品漏洞的攻击依然未有放缓,数据泄露事件高发。航空、医疗、保险、电信、酒店、零售等行业均受影响。攻击者利用爆破、漏洞攻击等方式攻陷企业服务器,简单的漏洞或缺乏简单的控制可能导致灾难性的后果,而实际上许多通过黑客攻击和恶意软件进行的入侵是可以预防的。下面就常见的漏洞、和攻击方式做些归纳性的总结。

暴力破解(Brute Force), 是企图破解用户名、密码。通过查找隐藏的网页,或者使用试错等方法找到用于加密的密钥。我们这里说的爆破登录也属于暴力破解,简单来说就是用大量的身份认证信息来不断尝试登录目标系统,找到正确的登录信息(账号与密码)。一般黑客攻击者会采用工具进行爆破,利用字典(含有大量登录信息)批量爆破。常用的爆破工具有Burpsuite、Hydra等。

暴力破解这是一种比较古老的攻击方法,但它仍然有效并且受到黑客的欢迎。根据密码的长度和复杂程度,破解密码可能需要几秒到几年的时间,但事实上黑客通过弱口令字典和一些已泄露的用户账户资料字典,可能仅需几秒便可以完成对一个服务器的爆破登录。

对企业来说,黑客通常通过RDP、SSH等协议爆破登录到服务器,下面是我们对部分已检测到攻击的服务器做抽样分析得到黑客常用于爆破登录的协议统计。发现针对外网目标进行RDP、SMTP、SMB协议爆破攻击最为常见。

黑客成功入侵局域网之后对内的爆破攻击,使用的协议与外网有较大不同,SMB攻击最为常见,其次是远程桌面连接爆破和SSH爆破。

弱口令(Weak Password),如果说系统和一些应用组件存在的漏洞是代码错误造成的,那弱口令漏洞则是使用者人为创造的漏洞。弱口令一般是指很容易被人类和计算机(暴力破解工具)猜测到的口令。

人们经常使用明显的密码,如他们的孩子的名字或他们的家庭号码或者使用一些简单是字母、数字组合如"123"、"abc",作为重要应用、系统的登录口令,以避免忘记。然而,密码越简单越有规律,就越容易被检测用于爆破登录。黑客利用弱口令字典,使用爆破工具,数秒甚至数毫秒便可以完成一次对服务器的入侵。在企业网络安全中,因为一些使用的不当服务器会存在弱口令漏洞而被入侵,所以说"人才是最大的漏洞"。

根据腾讯安全御见威胁情报中心检测,黑客最常用来进行弱口令爆破的密码如下。

CNVD-C-2019-48814(CVE-2019-2725), 2019年 4月17日国家信息安全漏洞共享平台(CNVD)公开了Oracle Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814),攻击者可以发送精心构造的恶意 HTTP 请求,利用该漏洞,未经授权便可获得服务器权限,实现远程代码执行。而当时官方补丁尚未发布,漏洞处于0day状态,并且POC已在野公开。直到4月26日Oracle官方紧急发布修复补丁,并且该漏洞被定为 CVE-2019-2725。在此期间腾讯安全御见威胁情报中心已捕获多起利用CVE-2019-2725漏洞传播勒索病毒事件。

漏洞影响版本:Oracle WebLogic Server 10.*,Oracle WebLogicServer 12.1.3

CVE-2019-2729:对CVE-2019-2725漏洞补丁的绕过,和CVE-2019-2725一样,都是围绕着 XMLDecoder 的补丁与补丁的绕过,攻击者可以发送精心构造的恶意 HTTP 请求,利用该漏洞,未经授权便可获得服务器权限,实现远程代码执行。

漏洞影响版本:Oracle WebLogic 10.3.6,Oracle WebLogicServer 12.1.3,Oracle WebLogic Server 12.2.1.3

(2)Exim远程命令执行漏洞

CVE-2019-10149(2019.5):安全研究人员在Exim邮件服务器最新改动进行代码审计过程中发现Exim存在一个远程命令执行,漏洞编号为CVE-2019-10149攻击者可以以root权限使用execv()来执行任意命令,远程利用该漏洞,远程攻击者需要与存在漏洞的服务器建立7天的连接(每隔几分钟发送1个字节)

CVE-2019-0708(2019.5): 5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了Windows XP,Windows7,Windows2003,Windows2008,Windows2008R2 等在内的常用Windows桌面以及服务器操作系统。此漏洞是预身份验证,无需用户交互。其危害程度不亚于CVE-2017-0143EternalBlue,当未经身份验证的攻击者使用RDP(常见端口3389)连接到目标系统并发送特制请求时,可以在目标系统上执行任意命令。甚至传播恶意蠕虫,感染内网其他机器。

类似于2017年爆发的WannaCry等恶意勒索软件病毒。虽然具体利用细节没有公布,但BlueKeep漏洞公布不久便有POC在暗网交易。各大安全厂商也和黑客攻击者展开了时间赛跑,一方面安全厂商积极推送修复补丁,并尝试重现利用。腾讯御界威胁情报中心也在第一时间重现了利用,并推出了修复、拦截攻击方案。

漏洞影响版本:Windows XP,Windows7,Windows2003,Windows2008,Windows2008R2

(4)Windows NTLM认证漏洞

CVE-2019-1040(2019.6): 6月12日,微软官方在6月的补丁日中发布了漏洞 CVE-2019-1040的安全补丁, 漏洞存在于Windows大部分版本中,攻击者可以利用该漏洞绕过NTLM MIC的防护机制,通过修改已经协商签名的身份验证流量,然后中继到另外一台服务器,同时完全删除签名要求。该攻击方式可使攻击者在仅有一个普通域账号的情况下,远程控制域中任意机器(包括域控服务器),影响非常严重。

漏洞影响版本:Windows7,Windows 8.1,Windows10,Windows2008,Windows2008R2,Windows Server 2012,Windows Server 2012R2,Windows Server 2016,Windows Server 2019

(5)国产办公/邮箱系统漏洞

2019上半年,除了上面提到的常见的系统应用外,国内一些常用的办公、邮件等系统也被爆出高危漏洞,影响较大。

1)Coremail配置信息泄露漏洞

CNVD-2019-16798,2019.5,由于Coremail邮件系统的mailsms模块参数大小写敏感存在缺陷,使得攻击者利用该漏洞,在未授权的情况下,通过远程访问URL地址获取Coremail服务器的系统配置文件,造成数据库连接参数等系统敏感配置信息泄露。

2019.6,致远互联旗下产品致远OA A8办公自动化软件被发现存在远程Getshell漏洞。致远互联是中国协同管理软件及云服务的厂商,致远OA A8 是一款流行的协同管理软件,很多大型企业都有应用。致远A8系统,被发现存在远程任意文件上传文件上传漏洞,攻击者上传精心构造的恶意文件,成功利用漏洞后可造成Getshell。漏洞细节已被公开,并且已经被在野利用。

企业在网络空间的基础设施包含网站服务器以及运行在服务器上的各种应用、服务,承载了包括网站、电子邮件、文件传输等各种网络通信功能。他们在互联网上的机器语言表现形式是以基于TCP和UDP的各种端口的网络通信。

我们将黑客攻击频次较高的常用端口划为高危端口,并抽样对Web服务器等互联网空间资产做了空间测绘,发现仍有33%的资产开放着这些高危端口,存在较高的安全隐患。

除了22、1900等端口,还有较大比重的邮件服务、数据库服务等端口暴露在公网上。

22端口是Linux平台默认的SSH远程连接服务端口, 而3389 是Windows默认的远程桌面的服务(RDP, Remote Desktop Protocol)端口,通过SSH、RDP远程连接是非常方便的对服务器的操作方式,所以很多服务器管理员都会开启22、3389端口远程桌面服务。因而很多黑客攻击者很喜欢对22、3389端口尝试入侵,例如通过爆破,如果服务器存在弱密码登录的,很容易就被爆破成功,进而服务器被黑客控制。

7001端口是WebLogic的默认端口,WebLogic近期被爆出多个可被远程攻击的高危漏洞,如果漏洞未能及时修复,则不排除有远程攻击的可能。

1900 UDP端口 源于SSDP Discovery Service服务。通过使用SSDP协议对端口1900进行扫描可以发现UPnP(即插即用协议)设备,攻击者可以利用这些设备发动DDoS攻击,制造出大量流量,可导致目标企业的网站和网络瘫痪。

根据测绘结果分析,仍有部分服务器资产开放了445端口。如果这些服务器没有打上相应的补丁,那么仍然存在被勒索病毒攻击的风险。即便是打上了补丁,也仍然需要面对勒索病毒变种的攻击。

一封电子邮件从广义上来看,可以被分类为"正常邮件"与"非正常邮件"。我们在"邮件安全"这部分,将"非正常邮件"分为"垃圾邮件"与"恶意邮件"两大类,且由于"恶意邮件"对企业用户的危害程度更大,因此我们重点通过案例总结2019上半年中的恶意邮件的影响情况。

根据友商卡巴斯基公开报告数据,在2019年第一季度全球邮件通信中的垃圾邮件占比超过55.97%,与2018年第四季度基本持平。其中3月份的垃圾邮件占比最高,达到56.33%。

为了对抗各类邮箱反过滤机制,垃圾邮件无缝不入,从广撒网式分发到精准发送,如下 "代开发票"垃圾邮件就通过滥用VMware官方账号绑定修改机制以达到绕过邮箱过滤机制效果。

从恶意行为的角度来看,恶意邮件可以分为如下几种:骗回复敏感信息;骗打开钓鱼页面链接;骗打开带毒附件。企业用户日常容易遇到后两种案例,典型代表如带恶意附件的鱼叉邮件。鱼叉邮件是一种针对特定人员或特定公司的员工进行定向传播攻击。网络犯罪分子首先会精心收集目标对象的信息,使"诱饵"更具诱惑力。然后结合目标对象信息,制作相应主题的邮件和内容,骗取目标运行恶意附件。

根据友商卡巴斯基公开报告数据,目前在全球的邮件流量中排名前十的恶意软件家族如下(2019Q1):

从攻击手段来看,有5类是通过直接投递病毒实体文件进行攻击,4类通过office文档进行攻击,1类通过PDF文档钓鱼攻击。其中最值得关注的仍然是office类攻击(office漏洞或者宏),缺乏安全知识的用户较容易忽略安装office补丁,或者轻易允许宏代码运行。

从国内观察邮件安全情况,腾讯御界高级威胁检测系统每日捕获到的鱼叉邮件多为"订单类与支付类",订单类主题关键字涉及"订单"、"采购单"、"Purchase Order"、"RequestFor Quotation"等;支付类主题关键字涉及有"Invoice(发票)"、"Payment"、"Balance Payment Receipts"等,并且此两类邮件的内容通常与主题相符合以诱导用户点击恶意附件。

如下图与"订单"相关的邮件,通过将带有恶意宏代码的word文档伪装为附件"订单列表",诱使用户打开文档并触发恶意宏代码或者漏洞执行,最终实现投放"NetWiredRC"远控木马。

还有一类也很常见的就是无主题邮件,此类邮件缺少主题甚至正文,只携带恶意附件,主要原因有两方面:

a. 缩短鱼叉邮件制作时间;

b. 为了方便群发邮件,每个群体都会有其特点,不易找到共同点。

在2017年爆发了WannaCry(永恒之蓝)勒索病毒后,很多变形后的勒索软件就是通过空白主题的邮件进行广泛传播的。

2.邮件安全案例

鱼叉邮件主要以投递"窃密"、"远控"木马为目的,近年来为了快速变现而投递勒索病毒的趋势也开始变多。2019年上半年,腾讯安全等共发布18次关于邮件安全的告警,其中腾讯安全御见威胁情报中心发布了16例有关恶意邮件的分析报告。从危害行为来看,以勒索为目的的恶意邮件有10例,包含8个主流勒索软件家族;以远控窃密为目的的恶意邮件有8例。从攻击手段来看,使用群发鱼叉邮件有8例,使用定制鱼叉邮件3例,利用office宏代码下载恶意本体有5例,使用软件的组件漏洞进行攻击的有2例。

(1)最受攻击者青睐的office漏洞CVE-2017-11882

利用office软件的公式编辑器漏洞CVE-2017-11882实现隐秘远程下载的恶意邮件是十分常见的。用户容易误以为文档中不会有恶意代码。更重要的是,由于邮件来源和内容往往被高度伪装,用户很容易放下防备心打开文档,进而导致释放病毒。虽然该漏洞的补丁早在2017年11月公布提供修复,但实际上Office安全漏洞的修复率比系统补丁修复率要低得多,因此公式编辑器漏洞高成功率也是被广泛利用的主要原因。

2019年3月,腾讯安全御见威胁情报中心再次捕获到针对外贸行业的攻击样本。攻击者将恶意word文档作为附件,向外贸从业人员发送"报价单"等相关主题的鱼叉邮件,受害者一旦打开附件,恶意word文档便会利用CVE-2017-11882漏洞执行恶意代码,并释放fareit等窃密木马。

释放的窃密木马会窃取中毒电脑敏感信息,包括用户名密码、应用程序列表、邮件信息、FTP类工具软件的登录凭证、多款主流浏览器的登录凭证。

(2)总收入20亿美金的Gandcrab勒索病毒

2019年3月13日,腾讯安全御见威胁情报中心检测到,不法分子正使用GandCrab5.2勒索病毒对我国部分政府部门工作人员进行鱼叉邮件攻击,使用的邮件主题名为"你必须在3月11日下午3点向警察局报到!",该病毒由于使用RSA+Salsa20加密方式,无私钥常规情况下难以解密。

迄今为止,绝大多数企业都还是以防火墙为基础划分出企业内网和公众网络的边界,并基于此构建安全体系。企业内网被认为是可信区间,为了便于开展日常工作,通常都不会对员工在内网中访问各种资源设置严格限制。因此,当病毒突破外围防火墙进入内网环境之后,将会在内网肆意扩散。病毒为了让其自身恶意行为实现效益最大化,首先会通过开机启动实现常驻于用户系统,然后会尝试内网横向传播。接下来我们从"内网传播"与"持久化驻留方式"两个维度总结今年上半年企业终端受攻击情况。

从针对系统组件的漏洞攻击情况来看,今年上半年事件频发的内网病毒传播事件最热门的仍然是利用内网SMB共享服务漏洞进行传播的"永恒之蓝漏洞",而利用该漏洞进行广泛传播的最为臭名昭著的病毒当属"永恒之蓝下载器"挖矿病毒。该病毒从2018年12月14日开始至今已经更新迭代超过15个版本,持续更新内网横向传播攻击方法。从应急响应现场中我们发现绝大多数是由于没能补上"永恒之蓝漏洞"而导致被反复攻陷。

2)弱口令爆破攻击

弱密码爆破攻击在入侵内网以及作为横向扩散的手段都具有奇效。我们对部分已检测的服务器做抽样分析发现,弱密码爆破攻击集中发生在工作时间之外(早上9点之前,晚上6点之后),如下图所示。

从应急响应现场中我们发现,文件共享目录、可移动介质仍然是蠕虫病毒、感染型病毒、office文档病毒在内网传播的感染重灾区。这三类病毒一般都以窃取敏感信息为主要目的。蠕虫具备自复制能力,可以将自身伪装为正常文件诱导用户,在不经意间便触发感染所有可访问的可移动介质与文件共享目录。感染型病毒虽然不具备自复制能力,但会感染所有可执行程序,但同样能通过文件共享进行传播。而office文档病毒一般会通过感染Normal模板或者加载项进而感染每一个office文档,如果该文档通过可移动介质与文件共享目录进行分享,则会导致横向传播。

2.持久化驻留方式

1)常驻于注册表相关启动位置或启动文件夹

常驻于这两个位置是最为简单方便的,但是也是最容易被拦截查杀的。因此病毒为了实现简单方便的常驻且能达到避免查杀的效果,通常会从免杀角度进一步对病毒进行优化,包括但不限于加壳混淆、增肥对抗等。从每日拦截的写入/执行数据来看, 被写入启动项的恶意脚本类型文件的占比最高,其次是恶意可执行文件,这两种类型的文件格式大部分都进行了混淆增肥对抗。在恶意脚本类型文件中,最常用的脚本格式是VBS(占比为38.3%),如下图所示。

通过将自身写入任务计划实现常驻,相对于注册表与启动文件夹要更为隐蔽和灵活。而相对于病毒本体的常驻,利用系统白文件实现远程下载的方式更为灵活隐蔽。白利用远程下载的技巧常被利用于任务计划中。今年上半年最常利用任务计划实现常驻的病毒家族是"永恒之蓝下载器",也被称作"DtlMiner",占比达78.68%,具体如下图所示。

被恶意利用的系统组件数量占比如下图所示,PowerShell利用占比最高,达84.2%:

"永恒之蓝下载器"在更新迭代的多个版本中,曾多次对抗杀软,以躲避杀软对其任务计划项的拦截与查杀。例如,在对抗杀软拦截层面,迭代为以"/xml"参数完成任务计划配置的加载,在对抗杀软查杀层面,迭代为对特征字符串的切分拼接。除此之外,由于Windows平台下的系统组件的容错性较高,比如Regsvr32、PowerShell等,一些病毒从容错性的角度对执行的Regsvr32、PowerShell命令进行免杀处理。随着相关系统组件的更新迭代,如果其容错性再提高,则可能会出现更多针对其容错性的复合利用。

3)常驻于WMI类属性

这种启动方式要比上述的几个启动位置更加隐蔽,从我们监测到的数据里有接近23%的WMI类属性被写入了恶意脚本、被编码过的可执行程序与shellcode,其中就包含了臭名昭著的WannaMine和MyKings病毒家族的恶意代码。从目前收集的数据来看,WMI类属性的滥用主要被用于恶意推广,包括桌面恶意推广快捷方式(占43.7%),具体数据如下图所示。

供应链是涉及生产、分配、处理、维护货物的活动系统,以便将资源从供应商转移到最终消费者手中。在互联网行业中,该供应链环节也完全适用。一个软件从供应商到消费者使用,会经历开发、分发安装、使用、更新的环节,而供应链攻击则是黑客通过攻击各环节的漏洞,植入恶意病毒木马,利用正常软件的正常分发渠道达到传播木马的目的。

由于供应链攻击对于被攻击者而言没有任何感知,因此一直被黑客所青睐。以往供应链攻击往往多见于APT(高级持续性威胁)攻击,而在近几年,供应链攻击趋势开始有稳定增长,攻击事件层出不穷,日常网络攻击中越来越多的见到供应链攻击的手段。

在2018年年度企业安全总结报告中,腾讯安全御见威胁情报中心预测针对软件供应链的攻击会更加频繁。在2019上半年,以"永恒之蓝"木马下载器为典型的供应链攻击"大展身手",尽管爆发了有半年之多,但是如今依然有不少企业深受其害。

  1. "永恒之蓝"木马下载器案例

2018年12月14日下午约17点,腾讯安全御见威胁情报中心监测到一款通过"驱动人生"系列软件升级通道传播的永恒之蓝木马下载器突然爆发,仅2个小时受攻击用户就高达10万,当天腾讯安全御见情报中心全国首发预警。该病毒会通过云控下发恶意代码,包括收集用户信息、挖矿等,同时利用"永恒之蓝"高危漏洞进行扩散。

但14日的爆发仅仅是个开始,尽管驱动人生公司第一时间将受到木马影响的升级通道进行了紧急关闭,但永恒之蓝木马下载器的幕后控制者并没有就此放弃行动,而是借助其已经感染的机器进行持续攻击:包括通过云控指令下发挖矿模块,在中招机器安装多个服务以及通过添加计划任务获得持续执行的机会,后续版本在攻击模块新增SMB爆破、远程执行工具psexec攻击、利用Powershell版mimikatz获取密码,以增强其扩散传播能力。根据腾讯安全御见威胁情报中心监测,仅2019年上半年就变种十余次,是影响范围最大的攻击之一。在下半年或许有更频繁的更新、攻击。

  1. "CAXA数码大方"画图软件案例

2019年4月,腾讯安全御见威胁情报中心检测到,有多个"CAXA数码大方"组件均在被ramnit家族感染型病毒感染之后签署上了官方有效的数字签名,被感染的组件具有正常的数字签名信息以及与官方包发布的一致的证书指纹。

终端设备感染病毒失陷后会对企业造成不同程度的危害,常见的危害如敲诈勒索,挖矿占用系统资源,信息窃密,失陷设备被植入后门变成肉鸡等。其中企业客户感知最明显的为勒索病毒,感染后会加密或删除重要资料文件后进行敲诈勒索,有时即使交付赎金也不一定可以解密,对企业造成重大损失。随着数字货币的兴起,感染挖矿木马的设备也越来越多,挖矿类病毒木马会占用系统大量资源,造成系统运行卡慢等。除了挖矿、勒索、信息窃密,有些危害难以被受害者察觉,如被植入后门,风险流氓软件主页劫持,静默刷量等,但这些风险的存在对设备安全存在巨大的安全隐患,企业管理人员不可轻视。

2019上半年中,勒索病毒依然是破坏力最强影响面最广的一类恶意程序,通过恐吓、绑架用户文件或破坏用户计算机等方式,向用户勒索数字货币。在19年上半年累计感染攻击数超250w,其中以2019年1月份最为活跃,2月到6月整体较为平稳,近期略有上升趋势。

最为活跃的仍是GandCrab勒索病毒家族,在欧洲警方和安全厂商的多次打击并接管其服务器后,GandCrab于6月1日宣布停止后续更新。但在利益的驱使下, Sodinokibi勒索病毒很快接管GandCrab的传播渠道,呈后来居上之势。

(1)2019年1月,腾讯安全御见威胁情报中心检测到charm勒索病毒在国内开始活跃,该勒索病毒攻击目标主要为企业Windows服务器

(2)2019年2月,腾讯安全御见威胁情报中心检测到新型勒索病毒Clop在国内开始传播,国内某企业被攻击后造成大面积感染,由于该病毒暂无有效的解密工具,致使受害企业大量数据被加密而损失严重。

(3)2019年2月,腾讯安全御见威胁情报中心接到山东某企业反馈,该公司电脑被Aurora勒索病毒加密。

(4)2019年4月,腾讯安全御见威胁情报中心检测发现,勒索病毒Mr.Dec家族新变种出现,该勒索病毒主要通过垃圾邮件传播。

(5)2019年4月,腾讯安全御见威胁情报中心检测到,Stop勒索病毒变种(后缀.raldug)在国内有部分感染,并且有活跃趋势。该勒索病毒在国内主要通过软件捆绑、垃圾邮件等方式进行传播。

(6)2019年5月,腾讯安全御见威胁情报中心检测到国内发生大量借助钓鱼邮件方式传播的sodinokibi勒索攻击。该勒索病毒不光使用Web相关漏洞传播,还会伪装成税务单位、私发机构,使用钓鱼欺诈邮件来传播。

(7)2019年5月,腾讯安全御见威胁情报中心检测发现,JSWorm勒索病毒JURASIK变种在国内传播,该勒索病毒会加密企业数据库数据。

(8)2019年5月,美国海港城市、巴尔的摩市政府大约1万台电脑被勒索病毒入侵,导致所有政府雇员无法登陆电子邮件系统,房地产交易无法完成,市政府陷入瘫痪一个多月。

(9)2019年6月1日,最流行的勒索病毒之一GandCrab运营团队表示GandCrab勒索病毒将停止更新。

(10)2019年6月,腾讯安全御见威胁情报中心检测发现,新型勒索病毒Maze在国内造成部分感染。该勒索病毒擅长使用Fallout EK漏洞利用工具,通过网页挂马等方式传播。

(11)2019年6月,世界上最大的飞机零部件供应商之一ASCO遭遇勒索病毒攻击,造成了四个国家的工厂停产。

挖矿木马通过占用计算机大量资源,用于数字加密货币的挖掘。随着挖矿产币效率的降低,在2019年上半年挖矿木马的传播趋势也逐渐下降。但是近来数字货币价值暴涨,或许会直接导致挖矿木马的新一轮爆发。

(1)2019年1月,腾讯安全御见威胁情报中心检测到针对phpStudy网站服务器进行批量入侵的挖矿木马。攻击者对互联网上的服务器进行批量扫描,发现易受攻击的phpStudy系统后,利用用户在安装时未进行修改的MySQL弱密码进行登录,并进一步植入WebShell,然后通过Shell下载挖矿木马挖门罗币。

(2)2019年3月,腾讯安全御见威胁情报中心发现新型挖矿木马"匿影"。该木马自带NSA全套武器库,对企业内网安全威胁极大。

(3)2019年3月,腾讯安全御见威胁情报中心发现针对MySql服务器进行扫描爆破的挖矿木马攻击。

(4)2019年4月,腾讯安全御见威胁情报中心发现WannaMine采用"无文件"攻击组成挖矿僵尸网络,攻击时执行远程Powershell代码,全程无文件落地。

(5)2019年4月,腾讯安全御见威胁情报中心检测到"Blouiroet"挖矿木马复苏。该木马会首先结束所有其他挖矿木马进程,独占系统资源运营门罗币挖矿程序。

(6)2019年5月,腾讯安全御见威胁情报中心捕获到新的挖矿木马家族NSAMsdMiner,该木马使用NSA武器的永恒之蓝、永恒浪漫、永恒冠军、双脉冲星4个工具进行攻击传播。

(7)2019年6月,腾讯安全御见威胁情报中心捕获到一个利用多种方式在内网攻击传播的挖矿木马SpreadMiner。该木马会利用永恒之蓝漏洞(MS17-010)攻击内网;利用Lnk漏洞(CVE-2017-8464)通过共享木马和移动存储设备感染传播;同时还对MS SQL服务器进行弱口令爆破攻击。

信息窃密类木马其主要目的是获取机器上的机密敏感信息,科研机构、高校、高科技企业及政府机关等最易受到这类木马攻击,窃取的信息包括失陷机器相关信息(MAC及IP地址,操作系统版本等),个人或企业信息(如企业员工联系方式,企业邮箱等),重要机密文件等等。2019年上半年典型的信息窃密类安全事件如下:

1.腾讯安全御见威胁情报中心于今年五月截获一窃密团伙利用Office漏洞植入窃密木马,瞄准企业机密信息,备用病毒超60个。

2.迅销集团旗下日本电商网站账户遭黑客攻击,旗下品牌优衣库、GU销售网站逾46万名客户个人信息遭未授权访问,造成信息泄露。

3.Capital One数据泄漏事件,Capital One表示黑客获得了包括信用评分和银行账户余额在内的信息,以及约14万名客户的社会安全号码,据Capital One统计,数据泄露影响了全美约1亿人和加拿大约600万人。

4.腾讯安全御见截获一病毒团伙,病毒攻克1691台服务器,超3300万个邮箱密码泄漏,包括Yahoo、Google、AOL、微软在内的邮箱服务均在被攻击之列。

5.腾讯御界捕获到一批针对政府和企业的钓鱼邮件攻击,攻击者假冒某知名快递公司邮箱给客户发送电子发票,通过伪造邮件中的危险附件和链接将目标诱骗到钓鱼网站,骗取企业帐号密码。

部分病毒木马感染机器后,主要是通过刷量,主页锁定,软件推装获利,直接危害虽然没有敲诈勒索,信息窃密那么大,但风险木马的存在对中招设备有着巨大的安全隐患,风险软件内嵌的广告页常因漏洞或人为因素植入挂马代码。此外,强制锁定主页,流氓推装等行为也给用户带来很大的困扰。这类病毒木马通过下载器、ghost系统、游戏外挂、流氓软件等互相传播,因此有感染量巨大的特点。2019年4月份腾讯安全就披露了一特大病毒团伙,高峰时感染机器设备超千万台。2019年上半年典型的刷量推广类安全事件如下:

1.腾讯安全御见威胁情报中心发现一病毒团伙通过伪装多款知名软件的官方下载站传播病毒下载器,传播渠道是通过购买搜索引擎广告来获得流量,被病毒团伙使用的关键字包括谷歌浏览器、flash player等知名软件,静默推装超过30款软件,此外还会通过锁定浏览器主页及添加网址收藏夹等获得收益。每天中招下载的用户近万,累计已有数十万用户电脑被感染。

2.腾讯安全揪出年度最大病毒团伙,高峰时控制近4000万台电脑,包括幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族,这些木马利用盗版Ghost系统、激活破解工具、热门游戏外挂等渠道传播,通过多种流行的黑色产业变现牟利:包括,云端控制下载更多木马、强制安装互联网软件、篡改锁定用户浏览器、刷量、挖矿等等。

该病毒团伙在2018年7-8月为活跃高峰,当时被感染的电脑在3000万-4000万台之间。至当期报告发布时,被该病毒团伙控制的电脑仍在200-300万台。

3.独狼木马家族已被腾讯电脑管家多次披露,今年上半年持续活跃,除了主页锁定,还推装广告弹窗木马进程,自动弹出"最热搜"等广告弹窗,即使把广告进程文件删除了也会被反复释放。

攻击者攻陷一台主机获得其控制权后,往往会在主机上植入后门,安装木马程序,以便下一次入侵时使用。后门木马会长期驻留在受害机器上,接受远控指令执行定期更新,远程下载执行,键盘监控,文件窃取上传等功能。此外,随着IoT物联网设备的增加,针对IoT设备的攻击也越来越频繁,攻击成功后植入后门,组建僵尸网络,挖矿,DDoS攻击等进行获利。2019年上半年典型的肉鸡后门类安全攻击事件如下:

1.2019年7月份捕获一利用Avtech摄像监控等IoT设备漏洞(CNVD-2016-08737)进行入侵的攻击事件。攻击者利用AVTECH DVR设备中的命令注入漏洞实现远程sh脚本下载执行,最后植入bot后门, 发起DDoS网络攻击活动。全球约有160多万Avtech设备,这些智能摄像头设备、DVR设备均存在被漏洞攻击的风险。

2.2019年7月腾讯安全御见威胁情报中心监测到"Agwl"团伙在入侵行动中将Linux系统纳入攻击范围,攻击成功后植入挖矿以及远控木马。

3.2019年4月,腾讯安全御见威胁情报中心检测到一款Office激活工具被捆绑传播远程控制木马,黑客将恶意代码和正常的激活程序打包在资源文件中,木马会搜集敏感信息上传并对电脑进行远程控制。

随着挖矿等新型"黑产"的兴起,网络犯罪分子的注意力也逐渐从勒索病毒转移到其他"黑产"事业。2016-2018年期间,勒索病毒的活跃度持续下降。但防范勒索病毒的攻击,依然是企业终端安全的重要事项。我们观察到,勒索病毒的攻击目标从攻击个人用户,逐渐转变为攻击手段更集中、针对性更强,以攻击企业用户为主。2019年勒索病毒的活跃度逐渐平稳,但近期有上升趋势。

随着GandCrab宣布停运,新秀Sodinokibi开始大量接替GandCrab原有的病毒传播渠道,技术专家一度怀疑GandCrab勒索病毒停止传播只是障眼法,该犯罪团伙可能改头换面,继续经营新的勒索病毒。同时我们还观测到,Ryuk家族的勒索病毒活跃度逐渐升高,有进一步大规模扩散的趋势。勒索病毒家族不断的新出,可以预见在未来相当长一段时间内,勒索病毒破坏活动依然持续,企业对勒索病毒的防范依然不可松懈。

安全研究员发现微软的远程桌面服务中存在一个名为BlueKeep的漏洞(CVE-2019-0708),攻击者可无需与用户端交互,即可实现远程代码执行,进而获得系统控制权。利用此漏洞的恶意软件可能从易受攻击的计算机之间互相传播,与2017年蔓延全球的WannaCry恶意软件类似。

近期BlueKeep 漏洞利用工具,开始被公开售卖。7.24日美国公司Immunity,一家专业出售商业化渗透测试套件的公司,开始在推特上公开叫卖,出售其商业漏洞利用工具(Canvas),其中便包含BlueKeep的漏洞利用。虽然Canvas 价格高昂,但对黑客来说,破解其授权并非难事,一旦新版工具泄露出来,或许将会对企业造成类似WannaCry的破坏力。

在2018年5G 网络基础已陆续开始部署,2019年6月,中国5G商用牌照正式发放,标志着中国正式进入5G商用元年,5G将迎来加速发展。一方面,越来越多的设备将接入物联网,更多的设备可能受到攻击。另外,近年来,大量的僵尸网络感染物联网,典型的有Gafgtyt僵尸网络,通过感染大量的物联网设备构成的僵尸网络,通常可发起DDoS等攻击,随着更多的设备接入物联网,此类僵尸网络的攻击方式可能会发生改变,如变成窃取个人、企业的隐私、机密等,危害行将进一步扩大。

另一方面5G时代的到来,更多的本地应用将可放到云上,虽然云计算可以帮助我们简化本地领域的安全问题,但随着个人、企业更多的业务都放到云上,黑客也将把更多注意放到云上,云安全也应引起广大企业的重视。

企业常见的服务器包括包括邮件服务器、DNS服务器、VPN服务器,这些基础设施的安全性往往会影响到企业重要业务。例如攻击者可通过账号爆破、弱口令密码登录、DoS攻击、系统配置漏洞等方式入侵。

企业服务器常见的安全防护方案,是防火墙、IDS、IPS、杀毒软件等防护产品,对风险流量、邮件、文件告警、拦截过滤,同时要注意排查是否存在弱口令登录漏洞等系统配置漏洞。

推荐企业用户使用腾讯御界高级威胁检测系统,御界高级威胁检测系统,基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。通过对企业网络出入网络流量的智能分析,从中发现黑客入侵或病毒木马连接内网的线索。

企业应部署客户端防病毒软件,让企业网络的所有节点都具有最新的病毒防范能力。推荐使用腾讯御点终端安全管理系统,管理员可以掌控全网的安全动态,及时发现和清除病毒威胁。

  1. 漏洞修补

企业所有终端节点:包括服务器和客户端都应及时安装操作系统和主要应用软件的安全补丁,减少病毒木马利用系统漏洞入侵的可能性。企业内网使用腾讯御点终端威胁管理系统可以全网统一安装系统补丁,提升客户端的安全性。

  1. 使用更高版本的操作系统,新版本操作系统的攻击门槛较高

比如将内网终端系统升级到最新的Windows 10,普通攻击者攻击得逞的可能性会降低。

  1. 加强员工网络安全防护意识,包括不限于:

1) 不要轻易下载不明软件程序

2) 不要轻易打开不明邮件夹带的可疑附件

3) 及时备份重要的数据文件

4) 其它

  1. 其它必要措施:

1) 关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

2) 关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3) 采用高强度的密码,避免使用弱口令,并定期更换。

4) 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。