撰稿 | 狗哥

編輯 | 圖圖

 

2020年，一場(chǎng)突如其來(lái)的新冠疫情以迅雷不及掩耳之勢(shì)席卷全球，完全打亂了人們的生活節(jié)奏，學(xué)校停課、工廠停產(chǎn)、企業(yè)停工……線上辦公、遠(yuǎn)程協(xié)助的新型辦公方式快速崛起，企業(yè)數(shù)字化也前所未有地加快。

 

2020年4月20日，國(guó)家正式推出了新基建戰(zhàn)略。在疫情和新基建政策的雙重影響下，我國(guó)全面數(shù)字化的進(jìn)程又按下了加速鍵。

 

就在人們迎接網(wǎng)絡(luò)化、數(shù)字化辦公時(shí)，安全態(tài)勢(shì)更加復(fù)雜，安全范疇更為廣泛，攻擊者的攻擊活動(dòng)也日益活躍，他們也在不斷尋找新的攻擊方式和安全漏洞。勒索病毒、蠕蟲木馬、釣魚郵件、橫向滲透、變形蟲攻擊等黑客攻擊，如同洪水猛獸一般奔襲而來(lái)，讓互聯(lián)網(wǎng)污濁叢生，甚至波及到普羅大眾。

 

譬如，2020年4月27日，嗶哩嗶哩視頻網(wǎng)站擁有500萬(wàn)粉絲的UP主“機(jī)智的黨妹”發(fā)布消息稱，她中了勒索病毒，對(duì)方要求支付“贖金”才愿意將素材還回。據(jù)悉，其所中為Buran勒索病毒，它在2019年8月首次在國(guó)內(nèi)出現(xiàn)，該勒索病毒主要通過(guò)爆破遠(yuǎn)程桌面，拿到密碼后進(jìn)行手動(dòng)投毒。

 

圖片來(lái)源于“機(jī)智的黨妹”B站視頻截圖

 

此外國(guó)內(nèi)外黑客活動(dòng)也日漸猖獗。比如2020年間，360安全大腦就監(jiān)測(cè)到越南黑客組織APT32（海蓮花OceanLotus）不斷嘗試竊取我國(guó)醫(yī)療衛(wèi)生行業(yè)的相關(guān)機(jī)密。還有摩訶草APT組織冒充我國(guó)的重點(diǎn)部門，針對(duì)政府和醫(yī)療部門攻擊；毒云藤和藍(lán)寶菇組織通過(guò)釣魚的方式，竊取人員的郵箱密碼；蔓靈花組織繼續(xù)采用SFX文檔的方式，對(duì)我國(guó)重點(diǎn)設(shè)施進(jìn)行投放。

 

更讓人揪心的是，網(wǎng)絡(luò)科技的發(fā)展，也為網(wǎng)絡(luò)攻擊提供新載體。人工智能、機(jī)器學(xué)習(xí)、量子計(jì)算等先進(jìn)技術(shù)在提供更強(qiáng)防護(hù)能力同時(shí)，也被用于創(chuàng)造更為危險(xiǎn)的全新攻擊載體。

 

近年來(lái)，新技術(shù)加持下的網(wǎng)絡(luò)攻擊更具針對(duì)性、網(wǎng)絡(luò)化與協(xié)作性，F(xiàn)ormjacking、挖礦劫持和物聯(lián)網(wǎng)攻擊等新型攻擊手法層出不窮，人臉識(shí)別、深度偽造、強(qiáng)加密技術(shù)的濫用助推新型網(wǎng)絡(luò)犯罪。縱觀2020年眾多網(wǎng)絡(luò)威脅中，對(duì)個(gè)人以及企業(yè)而言，勒索病毒和橫向滲透最為典型。

 

 

 

勒索病毒推陳出新危害加劇

 

2019年6月，席卷全球網(wǎng)絡(luò)的勒索軟件GandCrab作者宣布，在一年半內(nèi)賺進(jìn)超過(guò)20億美金后，他們決定金盆洗手，關(guān)閉這個(gè)惡意程序。

 

然而，大多勒索病毒制作者重點(diǎn)放在GandCrab賺到了超過(guò)20億美金上，并且眼紅于GandCrab “功成身退”后留下的巨大的市場(chǎng)空間，加上又有新冠疫情促使企業(yè)線上辦公的“大好時(shí)代”，勒索病毒自然如雨后春筍般洶涌而出。2020年，幾乎每周都有新型勒索病毒橫空出世，且都大撈一筆后凱旋而歸。

 

 

針對(duì)個(gè)人的勒索病毒雖然較為常見(jiàn)，但現(xiàn)實(shí)中，勒索病毒的制作者更愿意攻擊企業(yè)用戶。因?yàn)槠髽I(yè)用戶的數(shù)據(jù)價(jià)值往往更大，并且“財(cái)大氣粗”，更支付得起高額贖金。

 

近日，360安全團(tuán)隊(duì)發(fā)布的《2020年P(guān)C安全趨勢(shì)年終總結(jié)》（下文簡(jiǎn)稱“《總結(jié)》”）顯示，勒索病毒依然是廣大用戶面臨的頭號(hào)威脅，在利益趨勢(shì)下，更多勒索病毒將矛頭轉(zhuǎn)向企業(yè)用戶，越來(lái)越多的重要機(jī)構(gòu)和知名企業(yè)遭受到勒索病毒攻擊，被攻擊的行業(yè)涉及服務(wù)業(yè)、制造業(yè)、零售、互聯(lián)網(wǎng)、政府能源等多個(gè)行業(yè)。

 

 

2020年12月，富士康位于墨西哥工廠的服務(wù)器遭遇黑客勒索攻擊，最終被加密了約1200臺(tái)服務(wù)器，被竊取了100 GB的未加密文件，并被刪除了20TB至30TB的備份內(nèi)容，并被要求支付1804.0955 比特幣，當(dāng)時(shí)價(jià)值高達(dá)3420萬(wàn)美元，約合人民幣2.3億元。

 

幕后始作俑者為DoppelPaymer黑客團(tuán)伙，也就是曾將黑手伸向NSA承包商的慣犯。贖金期限尚未到，DoppelPaymer團(tuán)伙就已開始在暗網(wǎng)上出售富士康內(nèi)部檔案和業(yè)務(wù)文件。

 

 富士康泄漏的部分敏感數(shù)據(jù)

 

勒索病毒席卷全球的浪潮下，像富士康這樣的大型企業(yè)機(jī)構(gòu)被勒索的事件并不是孤例。
 

2020年3月，因未收到勒索贖金，勒索軟件DoppelPaymer在網(wǎng)上公開了SpaceX、特斯拉、波音等公司的機(jī)密信息，包括軍事裝備細(xì)節(jié)、賬單和付款表格、供應(yīng)商信息、數(shù)據(jù)分析報(bào)告、法律文書以及供應(yīng)商保密協(xié)議等。

 

2020年4月，歐洲公用事業(yè)巨頭、世界上最大的可再生能源開發(fā)商之一葡電新能源（EDPR）的大股東EDP，慘遭勒索病毒攻擊，10TB機(jī)密信息遭竊，面臨1000萬(wàn)歐元勒索贖金。

 

2020年6月，本田汽車全球業(yè)務(wù)曾因勒索病毒攻擊，致使一些工廠產(chǎn)線被迫停產(chǎn)，部分全球業(yè)務(wù)無(wú)法辦理。據(jù)透露，其遭受的網(wǎng)絡(luò)攻擊所使用的攻擊軟件，可能是Snake的勒索軟件。該軟件可將內(nèi)部網(wǎng)絡(luò)上的文件加密，該病毒不支持解密，意味著被攻擊者只能繳納贖金，才能恢復(fù)文件。

 

2020年第二季度，IT服務(wù)巨頭Cognizant因勒索軟件攻擊，共損失了約5000萬(wàn)至7000萬(wàn)美元。

 

2020年7月，美國(guó)運(yùn)動(dòng)和健身科技巨頭商佳明 (Garmin) 遭WastedLocker勒索病毒攻擊，導(dǎo)致國(guó)際服務(wù)器癱瘓，該公司數(shù)百萬(wàn)用戶的在線服務(wù)中斷，還導(dǎo)致其航空導(dǎo)航和航線規(guī)劃服務(wù)flyGarmin癱瘓。并被黑客勒索1000萬(wàn)美元的贖金。

 

2020年7月，阿根廷最大的互聯(lián)網(wǎng)服務(wù)提供商之一阿根廷電信1.8萬(wàn)臺(tái)計(jì)算機(jī)感染勒索軟件，本次攻擊為REvil勒索軟件，黑客要價(jià)750萬(wàn)美元。

 

2020年8月，著名數(shù)碼攝像機(jī)廠商佳能(Canon)被曝遭受勒索攻擊，影響電子郵件、微軟團(tuán)隊(duì)、美國(guó)網(wǎng)站及其他內(nèi)部應(yīng)用程序。隨后，Maze因未收到贖金，在暗網(wǎng)泄露了佳能大約2.2GB的美國(guó)公司數(shù)據(jù)，從而導(dǎo)致佳能部分內(nèi)部系統(tǒng)中斷。

 

2020年9月，智利三大銀行之一的國(guó)家銀行（BancoEstado）遭到勒索軟件攻擊，被迫決定關(guān)閉所有分支機(jī)構(gòu)。據(jù)稱，發(fā)起該次攻擊的是 REvil (Sodinokibi)勒索軟件。其是借助一份惡意攻擊郵件實(shí)現(xiàn)在銀行網(wǎng)絡(luò)安插后門，并以此跳板訪問(wèn)銀行內(nèi)網(wǎng)，實(shí)施勒索行動(dòng)，加密了該行大部分內(nèi)部服務(wù)和雇員工作站。

 

2020年9月，德國(guó)杜塞爾多夫大學(xué)醫(yī)院遭受Doppelpaymer勒索病毒團(tuán)伙的攻擊，該醫(yī)院的關(guān)鍵入院和病人記錄系統(tǒng)被離線，一名需要緊急入院的病人不得不被送往另一家醫(yī)院，因?yàn)闊o(wú)法獲取她的醫(yī)療記錄，錯(cuò)失了寶貴時(shí)間，最終不幸身亡。此事件也被認(rèn)為是首例因勒索攻擊導(dǎo)致人員死亡案例。

 

2020年10月，德國(guó)軟件巨頭Software AG遭遇勒索軟件Clop變種的攻擊，該勒索軟件的贖金要價(jià)通常高達(dá)2000萬(wàn)美元。勒索軟件運(yùn)營(yíng)者聲稱已經(jīng)從Software AG擄走了超過(guò)1TB的數(shù)據(jù)。

 

 

2020年12月，印度電子商務(wù)支付系統(tǒng)和金融技術(shù)公司Paytm遭受了大規(guī)模的數(shù)據(jù)泄露，黑客在向Paytm Mall索要贖金的同時(shí)，并未停止在黑客論壇上出售其數(shù)據(jù)。黑客通過(guò)兩個(gè)在線ID實(shí)施數(shù)據(jù)庫(kù)無(wú)限制訪問(wèn)等攻擊行為，并開出了高達(dá)4233美元的贖金。
 

由此可見(jiàn)，勒索病毒雖然看似簡(jiǎn)單，實(shí)際上破壞力簡(jiǎn)單粗暴，如同下水道老鼠般無(wú)孔不入，危機(jī)四伏，危險(xiǎn)度極高，一旦中招，必將對(duì)企業(yè)和個(gè)人造成了嚴(yán)重的經(jīng)濟(jì)損失。

 

在《總結(jié)》中，360安全大腦統(tǒng)計(jì)了2020全年勒索病毒TOP10占比，具體數(shù)據(jù)如下：

 

 

據(jù)悉，勒索軟件組織開始越來(lái)越多地針對(duì)企業(yè)目標(biāo)。他們通常會(huì)執(zhí)行詳細(xì)的偵察，然后使用APT風(fēng)格的策略進(jìn)行高級(jí)多階段攻擊，以在隱藏?cái)?shù)據(jù)最終部署勒索軟件的過(guò)程中保持隱藏狀態(tài)。

 

據(jù)《總結(jié)》介紹，隨著勒索病毒的發(fā)展，以Ryuk、CL0P、DoppelPaymer、LockBit等勒索病毒為代表的雙重勒索模式逐漸成為勒索主流， 攻擊者在加密數(shù)據(jù)文件前會(huì)先竊取未加密的文件，以泄漏敏感數(shù)據(jù)來(lái)逼迫受害者繳納贖金。

 

對(duì)此，360安全大腦給出了三點(diǎn)安全建議：

 

1、通過(guò)及時(shí)修補(bǔ)系統(tǒng)補(bǔ)丁，加強(qiáng)口令管理，嚴(yán)格訪問(wèn)控制，安裝殺毒軟件等措施，加強(qiáng)企業(yè)安全防護(hù)體系。

2、對(duì)重要數(shù)據(jù)進(jìn)行備份，并將備份文件進(jìn)行隔離保存，備份數(shù)據(jù)可以在遭受到勒索病毒攻擊后最大程度緩解企業(yè)損失。

3、在已經(jīng)遭受攻擊并無(wú)數(shù)據(jù)備份情況下，應(yīng)當(dāng)及時(shí)聯(lián)系專業(yè)的反勒索病毒團(tuán)隊(duì)進(jìn)行處理?？赏ㄟ^(guò)lesuobingdu.#了解更多關(guān)于勒索病毒解密相關(guān)的資訊。

 

360安全衛(wèi)士勒索病毒解密地址界面

 

姿勢(shì)詭變且破壞強(qiáng)大的“橫向滲透”

 

橫向滲透也是網(wǎng)絡(luò)安全業(yè)者經(jīng)常聽(tīng)到并十分頭疼的東西。因?yàn)楸绕鹄账鞑《?，橫向滲透的危害性并不遑多讓。

 

眾所周知，橫向滲透攻擊技術(shù)是一種被廣泛使用的網(wǎng)絡(luò)攻擊技術(shù)，尤其是在高級(jí)持續(xù)威脅（Advanced Persistent Threats，APT）中更加常見(jiàn)。攻擊者可以利用被攻陷的部分內(nèi)網(wǎng)主機(jī)和系統(tǒng)為跳板，利用既有資源獲取更高憑據(jù)與權(quán)限，譬如訪問(wèn)其他主機(jī)，獲取包括郵箱、共享文件夾或者憑證信息在內(nèi)的敏感資源。

 

攻擊者最終可能獲取域控的訪問(wèn)權(quán)限，擁有最高權(quán)限，完全控制系統(tǒng)基礎(chǔ)設(shè)施或與業(yè)務(wù)相關(guān)的關(guān)鍵賬戶。

 

形象說(shuō)來(lái)，橫向滲透就如同一個(gè)不斷擴(kuò)散的螺旋，滲透的主機(jī)越多，圓圈就劃得越大，圈外空間就越來(lái)越小。最終所有未知都會(huì)變成可知，企業(yè)系統(tǒng)的機(jī)密完全暴露在攻擊者面前。

 

《總結(jié)》顯示，當(dāng)攻擊者獲得大量有效憑據(jù)之后，會(huì)通過(guò)橫向滲透的攻擊技巧批量下發(fā)惡意軟件，這些技巧包括創(chuàng)建遠(yuǎn)程服務(wù)，創(chuàng)建遠(yuǎn)程計(jì)劃任務(wù)等多種手法，通過(guò)360安全大腦，可以看到各種攻擊技巧的占比大致如下所示：

 

 

其中占比最多的幾類木馬分別如下：

 

 

針對(duì)這一類惡意攻擊，360安全衛(wèi)士于2020年5月推出“橫向滲透防護(hù)”功能，補(bǔ)足企業(yè)內(nèi)網(wǎng)中對(duì)于橫向滲透防護(hù)的缺失：

 

 

2020年八九月份，360安全大腦監(jiān)測(cè)發(fā)現(xiàn)，因竊取銀行登錄憑據(jù)而臭名昭著的Emotet木馬，開始通過(guò)創(chuàng)建遠(yuǎn)程服務(wù)的手法進(jìn)行橫向滲透，成為了分發(fā)Qakbot、TrickBot等其他惡意軟件的Loader。

 

對(duì)該木馬進(jìn)行溯源并深入分析后，360安全大腦發(fā)現(xiàn)該木馬作者正在利用以“新型冠狀病毒”疫情為話題的釣魚郵件進(jìn)行傳播，當(dāng)木馬程序被啟動(dòng)后，最新的Emotet變種通過(guò)下發(fā)Qbot進(jìn)行橫向滲透。

 

 

隨后，360安全大腦針對(duì)此類木馬進(jìn)行了全方位的查殺和攔截，通過(guò)360安全衛(wèi)士即可有效抵御各種橫向滲透攻擊。

 

寫在最后：2021年網(wǎng)安希望與挑戰(zhàn)并行

 

在《總結(jié)》中，360安全大腦整合360安全衛(wèi)士攔截、查殺勒索、挖礦、驅(qū)動(dòng)木馬等流行威脅趨勢(shì)，匯總無(wú)文件攻擊、橫向滲透、釣魚郵件等流行攻擊手法，盤點(diǎn)今年發(fā)生的重大數(shù)據(jù)泄漏事件及最新披露的多個(gè)攻擊面，對(duì)2020全年流行威脅進(jìn)行總結(jié)匯報(bào)。

 

比如，眼下比特幣價(jià)格暴漲。在北京時(shí)間1月8日凌晨，比特幣突破4萬(wàn)美元關(guān)口，再次創(chuàng)下歷史新高，并幫助整個(gè)加密貨幣市場(chǎng)的總價(jià)值首次突破1萬(wàn)億美元。

 

據(jù)《總結(jié)》介紹，挖礦木馬的活躍度在一定程度上受到虛擬貨幣價(jià)格的影響。隨著比特幣的暴漲，挖礦木馬在2021年必將愈發(fā)活躍。

 

《總結(jié)》顯示，挖礦木馬在技術(shù)手段上更偏向于采用無(wú)文件攻擊的方式，最后通過(guò)開源挖礦程序進(jìn)行挖礦。其中各病毒家族占比如下：

 

 

通過(guò)360安全大腦顯示，無(wú)文件攻擊的分布情況如下，在全球范圍內(nèi)，中國(guó)、美國(guó)、俄羅斯依然是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)：

 

 

《總結(jié)》又顯示，2020年年初，伴隨著新型冠狀病毒疫情的爆發(fā)，以“新冠”疫情為標(biāo)題的釣魚郵件攻擊數(shù)量激增。下圖是360安全大腦通過(guò)統(tǒng)計(jì)2020年整年釣魚郵件標(biāo)題制作的熱詞云：

 

 

2021年，疫情大概率還將繼續(xù)延續(xù)，釣魚郵件攻擊還將呈現(xiàn)大規(guī)模增長(zhǎng)?！犊偨Y(jié)》介紹，通過(guò)釣魚郵件傳播的惡意軟件類型主要以后門和竊密類木馬為主。由此形成下圖中經(jīng)典的釣魚郵件攻擊模式。

 

 

因此，360安全團(tuán)隊(duì)也給出幾點(diǎn)安全建議：

 

1、收到來(lái)源不明的電子郵件時(shí)，先應(yīng)經(jīng)過(guò)安全軟件檢測(cè)或交由安全部門進(jìn)行檢測(cè)，在確定郵件安全性的前提下查閱郵件內(nèi)容。

2、默認(rèn)禁用office軟件宏，當(dāng)發(fā)現(xiàn)有提示“啟用宏”之類的誘導(dǎo)提示時(shí)，切勿輕信，交由安全部門進(jìn)行檢測(cè)后進(jìn)行查閱。

3、企業(yè)應(yīng)該定期對(duì)員工進(jìn)行相應(yīng)的安全培訓(xùn)，提高員工的安全意識(shí)。

4、安裝殺毒軟件，并打開郵件防護(hù)等功能。360安全衛(wèi)士已默認(rèn)開啟郵件安全防護(hù)功能，用戶也可在安全防護(hù)中心->郵件安全防護(hù)進(jìn)行相應(yīng)的安全設(shè)置。

 

此外，《總結(jié)》還對(duì)劫持流量、弱口令、系統(tǒng)漏洞、數(shù)據(jù)泄露、突破隔離網(wǎng)絡(luò)、UEFI、kerberoasting、供應(yīng)鏈攻擊、郵件服務(wù)器做出了深入淺出的詳細(xì)介紹。

 

眾所周知，360擁有多個(gè)重磅實(shí)驗(yàn)室。大伙兒不由會(huì)好奇，編寫《總結(jié)》的是哪個(gè)實(shí)驗(yàn)室？實(shí)際上，《總結(jié)》的編寫團(tuán)隊(duì)乃是360白澤實(shí)驗(yàn)室。

 

360白澤實(shí)驗(yàn)室早已聲名在外，其專注于BOOTKIT/ROOTKIT木馬分析溯源查殺，率先發(fā)現(xiàn)全球首例BIOS木馬BMW、UEFI木馬諜影，引導(dǎo)區(qū)木馬隱魂、雙槍，以及多個(gè)大型暗刷類僵尸網(wǎng)絡(luò)黑霧、禍亂等。在原有業(yè)務(wù)基礎(chǔ)上，涉獵APT檢測(cè)與研究，國(guó)內(nèi)首家發(fā)現(xiàn)并披露針對(duì)委內(nèi)瑞拉軍方的APT組織APT-C-43。

 

白澤實(shí)驗(yàn)室在為360安全衛(wèi)士，360急救箱等產(chǎn)品提供核心安全數(shù)據(jù)及頑固木馬查殺方案的同時(shí)，為360安全大腦提供技術(shù)支撐。

 

當(dāng)然，在《總結(jié)》中，也有360政企安全集團(tuán)安全運(yùn)營(yíng)中心提供部分?jǐn)?shù)據(jù)支持。

 

 

翹首而望，2021年是一個(gè)值得期待的年份，新基建，新安全，新局勢(shì)，都將帶來(lái)新的挑戰(zhàn)，也同時(shí)帶來(lái)新的機(jī)遇與新的希望。大多普通人或許對(duì)網(wǎng)絡(luò)威脅的感觸并不太深，甚至覺(jué)得這些威脅距離自己很遠(yuǎn)。

 

實(shí)際上，大多數(shù)人之所以感覺(jué)歲月靜好，正是因?yàn)橛性S許多多像360白澤實(shí)驗(yàn)室這樣的安全團(tuán)隊(duì)，在默默為個(gè)人、企業(yè)、政府以及整個(gè)社會(huì)負(fù)重而行。

 

當(dāng)然，對(duì)于企業(yè)而言，更加意識(shí)到網(wǎng)絡(luò)安全在企業(yè)的發(fā)展和競(jìng)爭(zhēng)中的重要性，危機(jī)中同樣存在機(jī)遇與變數(shù)，疫情給很多企業(yè)帶來(lái)重大損失，但是也有一些企業(yè)或行業(yè)在危機(jī)中看到機(jī)遇，從而蓬勃發(fā)展。

 

數(shù)字經(jīng)濟(jì)時(shí)代，未來(lái)企業(yè)間的競(jìng)爭(zhēng)不僅僅是業(yè)務(wù)的競(jìng)爭(zhēng)，企業(yè)的網(wǎng)絡(luò)安全能力將會(huì)變得越來(lái)越重要。而外部的安全能力，比如360安全大腦，通過(guò)科學(xué)合理地利用，也能成為企業(yè)安全能力的一部分。