一、前言年復(fù)一年，日復(fù)一日，不僅威脅的總數(shù)在增加，威脅態(tài)勢也變得更加多樣化，攻擊者也在不斷開發(fā)新的攻擊途徑并盡力在攻擊過程中掩蓋蹤跡。

從Facebook數(shù)據(jù)泄露和萬豪酒店5億用戶開房信息掛在暗網(wǎng)銷售、“老當益壯”的WannaCry繼續(xù)作惡并且傳播速度更快的Satan等勒索軟件大肆傳播，到花樣百出的APT攻擊行為迅速增長，2018年給我們敲響了另一記警鐘，即數(shù)字安全威脅可能來自意想不到的新途徑。

縱觀去年的網(wǎng)絡(luò)安全整體態(tài)勢，數(shù)據(jù)泄露事件最為觸目驚心，全年的漏洞采集數(shù)量也達到歷年的高峰，勒索軟件也大有向挖礦的轉(zhuǎn)型之勢。

二、數(shù)據(jù)泄露事件爆炸式上升數(shù)字化變革技術(shù)正在重塑組織機構(gòu)的經(jīng)營方式，并將它們帶入一個數(shù)據(jù)驅(qū)動的世界，但是企業(yè)急于擁抱數(shù)字化新環(huán)境的做法也帶來了更多被攻擊的新風險，需要企業(yè)采取數(shù)據(jù)安全控制措施來加以防范。

經(jīng)Verizo調(diào)查，今年已經(jīng)發(fā)生了5.3萬多起安全事件，其中2216起被確認為數(shù)據(jù)泄漏事件。

另外，在這5萬多起安全事件中，有4.3萬起(81.1%)都是黑客通過竊取身份憑證來實現(xiàn)的。

這也證實了一個普遍的觀點：盜用身份憑證仍然是黑客最常用、也是最有效的攻擊和破壞手段。

根據(jù)Thales eSecurity的調(diào)查報告，不斷增長的數(shù)據(jù)威脅程度及其影響力清晰地體現(xiàn)在數(shù)據(jù)泄露和脆弱性的等級上：2016年，26%的的受訪者表示遭遇了數(shù)據(jù)泄露，2017年的占比上升至36%，而到2018年這一比例明顯上升至67%。

基于此，44%的受訪者感到“非常”或“極其”容易遭受數(shù)據(jù)威脅。

雖然技術(shù)在隨著時代而發(fā)展，但安全策略卻并未與時俱進，這很大程度上是因為實際支出與最有效的數(shù)據(jù)保護方法錯配所致。

77%的受訪者表示在預(yù)防數(shù)據(jù)泄露方面靜態(tài)數(shù)據(jù)安全解決方案最為有效，緊隨其后的是網(wǎng)絡(luò)安全(75%)和動態(tài)數(shù)據(jù)(75%)解決方案。

盡管如此，57%的受訪者卻仍將大多數(shù)支出用于端點和移動安全技術(shù)上，其次是分析與關(guān)聯(lián)工具(50%)。

在數(shù)據(jù)保護方面，認知與現(xiàn)實之間的差距是顯而易見的，在IT安全的支出優(yōu)先事項中，靜態(tài)數(shù)據(jù)安全解決方案的支出反倒墊底(40%)。

以下摘錄一些2018年發(fā)生的全球性數(shù)據(jù)泄露事件：

1. 年度數(shù)據(jù)泄露事件盤點

(1) Facebook數(shù)據(jù)泄露事件回顧：雖然Facebook數(shù)據(jù)泄露量不如后面的那些公司高，但其次數(shù)和影響非常深遠。

一家第三方公司通過一個應(yīng)用程序收集了5000萬Facebook用戶的個人信息，由于5000萬的用戶數(shù)據(jù)接近Facebook美國活躍用戶總數(shù)的三分之一，美國選民人數(shù)的四分之一，波及的范圍非常大。

后來，5000萬用戶數(shù)量上升至8700萬。

今年9月，F(xiàn)acebook爆出，因安全系統(tǒng)漏洞而遭受黑客攻擊，導(dǎo)致3000萬用戶信息泄露。

其中，有1400萬人用戶的敏感信息被黑客獲取。

這些敏感信息包括：姓名、聯(lián)系方式、搜索記錄、登陸位置等。

12月14日，又再次爆出，F(xiàn)acebook因軟件漏洞可能導(dǎo)致6800萬用戶的私人照片泄露。

具體來說，在9月13日至9月25日期間，其照片API中的漏洞使得約1500個App獲得了用戶私人照片得訪問權(quán)限。

一般來說獲得用戶授權(quán)的App只能訪問共享照片，但這個漏洞導(dǎo)致用戶沒有公開的照片也照樣能被被讀取。

結(jié)果：Facebook CEO數(shù)據(jù)泄露道歉，并多次出席聽證會。

一系列事件影響，F(xiàn)acebook股價已較年初跌了29.70%(12月25日)。

而12月份的這次泄露，歐洲隱私管制機構(gòu)愛爾蘭數(shù)據(jù)保護委員會已著手調(diào)查，F(xiàn)acebook或因此被罰款超過16億美元。

(2)涉嫌侵犯數(shù)百億條公民個人信息，上市公司數(shù)據(jù)堂被公安一鍋端事件回顧：據(jù)新華社新媒體2018年7月8日報道，大數(shù)據(jù)行業(yè)知名企業(yè)數(shù)據(jù)堂(831428.OC)在8個月時間內(nèi)，日均傳輸公民個人信息1.3億余條，累計傳輸數(shù)據(jù)壓縮后約為4000GB左右，公民個人信息達數(shù)百億條，數(shù)據(jù)量特別巨大。

結(jié)果：除了數(shù)據(jù)堂外，山東警方共抓獲犯罪嫌疑人57名，打掉涉案公司11家。

(3)新三板掛牌公司涉竊取30億條個人信息，非法操控公眾賬號加粉或關(guān)注事件回顧：今年8月份，澎湃新聞從紹興市越城區(qū)公安分局獲悉，該局日前偵破一起特大流量劫持案，涉案的新三板掛牌公司北京瑞智華勝科技股份有限公司，涉嫌非法竊取用戶個人信息30億條，涉及百度、騰訊、阿里、京東等全國96家互聯(lián)網(wǎng)公司產(chǎn)品，目前警方已從該公司及其關(guān)聯(lián)公司抓獲6名犯罪嫌疑人。案件仍在進一步偵辦中。

結(jié)果：目前警方已從該公司及其關(guān)聯(lián)公司抓獲6名犯罪嫌疑人。

(4)圓通10億快遞信息泄露事件回顧：六月份，暗網(wǎng)一位ID“f666666”的用戶開始兜售圓通10億條快遞數(shù)據(jù)，該用戶表示售賣的數(shù)據(jù)為2014年下旬的數(shù)據(jù)，數(shù)據(jù)信息包括寄(收)件人姓名，電話，地址等信息，10億條數(shù)據(jù)已經(jīng)經(jīng)過去重處理，數(shù)據(jù)重復(fù)率低于20%，數(shù)據(jù)被該用戶以1比特幣打包出售。

結(jié)果：有網(wǎng)友驗證了其中一部分數(shù)據(jù)，發(fā)現(xiàn)所購“單號”中，姓名、電話、住址等信息均屬實。

(5)萬豪酒店5億用戶開房信息事件回顧：萬豪國際集團11月30日發(fā)布公告稱，旗下喜達屋酒店客房預(yù)訂數(shù)據(jù)庫遭黑客入侵，最多約5億名客人的信息可能被泄露。

萬豪酒店在隨后的調(diào)查中發(fā)現(xiàn)，有第三方對喜達屋的網(wǎng)絡(luò)進行未經(jīng)授權(quán)的訪問。

目前，未經(jīng)授權(quán)的第三方已復(fù)制并加密了某些信息，且采取措施試圖將該信息移出。

萬豪披露，已知的是，大約3.27億客人的個人姓名、通信地址、電話號碼、電子郵箱、護照號碼、喜達屋SPG俱樂部賬戶信息、出生日期、性別等信息都已經(jīng)可能全部泄漏。

結(jié)果：消息公布后，萬豪國際的股價在當天的盤前下跌5.6%，報115.02美元。

事件曝光后，萬豪采取了各種措施去補救。

(6)華住酒店5億條用戶數(shù)據(jù)疑泄露事件回顧：華住酒店集團旗下酒店用戶信息在“暗網(wǎng)”售賣，售賣者稱數(shù)據(jù)已在8月14日脫庫。

身份證號、手機號，一應(yīng)俱全，共涉及5億條公民信息。

涉及酒店范圍包括：漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。

此次泄露的數(shù)據(jù)數(shù)量則總計達5億條，全部信息的打包價為8比特幣，或者520門羅幣(約合人民幣38萬元)。

賣家還稱，以上數(shù)據(jù)信息的截止時間為2018年8月14日。

結(jié)果：隨后，華住集團酒店官方微博回應(yīng)此事稱，“已經(jīng)報警了。

真實性目前無法查證，我們信息安全部門在緊急處理中”。

同時官方微博也呼吁，請相關(guān)網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)平臺立即刪除并停止傳播上述信息，保留追究相關(guān)侵權(quán)人法律責任的權(quán)利。

(7)瑞士數(shù)據(jù)管理公司 Veeam 泄露 4.45 億條用戶數(shù)據(jù)事件回顧：2018年9月份，研究人員在一個配置錯誤的服務(wù)器上發(fā)現(xiàn)了存儲有超過200GB數(shù)據(jù)的數(shù)據(jù)庫。

據(jù)悉，該服務(wù)器處于完全無防御的狀態(tài)，且面向公眾開放，任何人都能夠公開查詢和訪問其數(shù)據(jù)。

研究人員介紹稱，該數(shù)據(jù)庫中存儲有來自Veeam公司的約4.45億客戶記錄，其中包含客戶的個人信息，如姓名、電子郵件地址以及居住地、國家等。

此外，該服務(wù)器上提供的其他詳細信息還包括部分營銷數(shù)據(jù)，例如客戶類型和組織規(guī)模、IP 地址、referrerURL 以及用戶代理等。

結(jié)果：信息在網(wǎng)上掛了4天后，就全部無法訪問，想必公司已經(jīng)采取了措施。

對于該起事件有安全專家建議，所有數(shù)據(jù)庫管理員考慮MongoDB在一年前發(fā)布其數(shù)據(jù)庫產(chǎn)品的安全指南，同時添加新的內(nèi)置安全功能，如加密，訪問控制和詳細審計等。

(8)Exactis大數(shù)據(jù)公司失誤泄露2TB隱私信息：3.4億條，涉及2.3億人事件回顧：據(jù)Wired報道，六月初曝光的市場和數(shù)據(jù)匯總公司Exactis服務(wù)器信息暴露的事情經(jīng)調(diào)查為實，涉及大約3.4億條記錄，容量接近2TB，據(jù)說涵蓋2.3億人。

這些數(shù)據(jù)包含的隱私深度超乎想象，包括一個人是否吸煙、宗教信仰、養(yǎng)狗或養(yǎng)貓以及各種興趣等。

結(jié)果：Exactis事后對數(shù)據(jù)進行了加密防護，以避免信息的進一步泄露。

(9)美國功能性運動品牌Under Armour 1.5億用戶信息泄露事件回顧：美國功能性運動品牌Under Armour(安德瑪)旗下飲食和營養(yǎng)管理App及網(wǎng)站MyFitnessPal大規(guī)模的數(shù)據(jù)泄露，多達1.5億用戶的信息被盜。

此次數(shù)據(jù)泄露事件影響到的用戶數(shù)據(jù)包括用戶名、郵箱地址、和加密的密碼。

安德瑪表示，該數(shù)據(jù)泄露事件并沒有涉及到用戶的社會安全號碼、駕駛證號、和銀行卡號等隱私信息。

結(jié)果：Under Armour通過電郵和App消息提醒用戶立刻更改密碼，當晚其股票市值下跌了4.6%。

(10)問答網(wǎng)站 Quora戶數(shù)據(jù)遭泄露1個億事件回顧：12月4日，據(jù)紐約時報報道，問答網(wǎng)站鼻祖Quora稱，該公司的計算機系統(tǒng)遭到惡意第三方的未授權(quán)訪問，大約有1億用戶的賬戶及私人信息可能已經(jīng)泄露，包括姓名、郵箱地址和加密處理的密碼。

結(jié)果：Quora CEO發(fā)布博文致歉。

官方稱，第一時間雇傭網(wǎng)絡(luò)安全專家進行調(diào)查，同時也聯(lián)系了執(zhí)法部門。

2. 今年的數(shù)據(jù)泄露事件還有：國泰航空數(shù)據(jù)泄露，940萬乘客受影響MongoDB 數(shù)據(jù)庫被入侵， 1100 萬份郵件記錄遭泄露SHEIN 數(shù)據(jù)泄露影響 642 萬用戶注冊系統(tǒng)被黑客入侵，75000人數(shù)據(jù)遭泄露GovPayNet憑證系統(tǒng)存在漏洞，1400萬交易記錄被曝光瑞士電信(Swisscom)證實80萬數(shù)據(jù)被盜，涉全國1/10公民信息英國航空公司數(shù)據(jù)泄露事件：38萬人受影響小米有品平臺泄露個人隱私 約2000萬用戶數(shù)據(jù)遭泄露美國23州連鎖餐館出現(xiàn)數(shù)據(jù)泄露，超過50萬信用卡數(shù)據(jù)存在安全風險Atlas Quantum數(shù)字貨幣投資平臺數(shù)據(jù)泄露，影響約26.1萬名客戶知名OCR軟件ABBYY FineReader被曝泄露超過20萬份客戶文件Instagram平臺被黑 已超百萬用戶信息泄露乘客航班信息泄露鏈條曝光，近500萬條信息被賣醫(yī)療軟件公司MedEvolve因服務(wù)器漏洞致20多萬患者信息泄露Robocall公司泄露了美國數(shù)十萬選民個人信息Adidas數(shù)百萬用戶數(shù)據(jù)泄漏順豐快遞3億用戶信息外泄(順豐官方否認，表示非順豐數(shù)據(jù))陌陌數(shù)據(jù)外泄3000萬(陌陌官方后來回應(yīng)：跟用戶匹配度極低)AcFun受黑客攻擊，近千萬條用戶數(shù)據(jù)外泄前程無憂用戶信息在暗網(wǎng)上被公開銷售加拿大兩大銀行遭黑客攻擊 近9萬名客戶數(shù)據(jù)被竊私人情報機構(gòu) LocalBlox 泄露 4800 萬份個人數(shù)據(jù)記錄中東打車巨頭Careem遭遇網(wǎng)絡(luò)攻擊 1400萬乘客信息失竊央視曝光偷密碼的“萬能鑰匙”，9億人個人信息存風險旅游網(wǎng)站Orbitz 88萬份信用卡信息遭泄露三、安全漏洞數(shù)量和嚴重性創(chuàng)下歷史新高NVD在2018年收錄的漏洞總數(shù)為18,104個，相比2017年的18,240個處于基本持平的態(tài)勢。

而2018年CNNVD采集的安全漏洞數(shù)量為15,040個，相比2017年11,707個全年采集漏洞總數(shù)增加28.5%，反映出漏洞數(shù)量迅速達到歷年高峰的嚴峻現(xiàn)實。

年度重大漏洞盤點：(1)2018年1月多個CPU數(shù)據(jù)緩存機制漏洞(Meltdown：CNNVD-201801-150和CNNVD-201801-152;Spectre：CNNVD-201801-151)：成功利用以上漏洞的攻擊者可使用低權(quán)限的應(yīng)用程序訪問系統(tǒng)內(nèi)存，從而造成數(shù)據(jù)泄露。

Intel、AMD、ARM的處理器及其關(guān)聯(lián)的上層操作系統(tǒng)和云平臺均受此漏洞影響,經(jīng)證實的操作系統(tǒng)包括Windows、Linux和MacOS，經(jīng)證實的云平臺包括基于Xen PV、OpenVZ等構(gòu)架的云端基礎(chǔ)設(shè)施。

目前,微軟、蘋果、紅帽、亞馬遜、騰訊云、VMware等廠商針對相關(guān)漏洞提供了修復(fù)補丁或緩解措施。

iOS 平臺WebView組件漏洞(UIWebView/ WKWebView)跨域訪問漏洞(CNNVD-201801-515)：成功利用該漏洞的攻擊者可以遠程獲取手機應(yīng)用沙盒內(nèi)所有本地文件系統(tǒng)內(nèi)容，包括瀏覽器的Cookies、用戶的配置文件、文檔等敏感信息。

iOS平臺使用了WebView組件的應(yīng)用可能均受影響。

目前，廠商暫未發(fā)布解決方案,但可通過臨時解決措施緩解漏洞造成的危害。

(2) 2018年3月Cisco IOS Software和IOS XE Software輸入驗證漏洞(CNNVD-201803-1022)、Cisco IOS Software和IOS XE Software quapty of service子系統(tǒng)緩沖區(qū)錯誤漏洞(CNNVD-201803-1038)、Cisco IOS XE Software安全漏洞(CNNVD-201803-1039)。

成功利用上述漏洞的攻擊者，可以對使用了IOS以及IOS XE系統(tǒng)的思科設(shè)備發(fā)送惡意的數(shù)據(jù)包，最終實現(xiàn)拒絕服務(wù)或遠程代碼執(zhí)行，完全控制設(shè)備等。

所有支持Smart Install cpent特性的IOS以及IOS XE設(shè)備都可能受漏洞影響。

目前，思科官方已對該漏洞進行了修復(fù)。

(3) 2018年4月OracleWebLogic Server WLS核心組件遠程代碼執(zhí)行漏洞(CNNVD-201804-803、CVE-2018-2628)。

遠程攻擊者可利用該漏洞在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù)，通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,實現(xiàn)任意代碼執(zhí)行。

Oracle WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。

目前，該漏洞的攻擊代碼已在互聯(lián)網(wǎng)上公開，且Oracle官方已發(fā)布補丁修復(fù)該漏洞。

(4) 2018年5月手機程序第三方解壓縮庫輸入驗證安全漏洞(CNNVD-201805-440)：手機程序第三方解壓縮庫輸入驗證安全漏洞存在于使用了第三方解壓縮庫的應(yīng)用中。

漏洞源于手機程序中的第三方解壓縮庫，在解壓zip壓縮包時并未對“../”進行過濾。

手機程序在調(diào)用第三方解壓縮庫解壓zip壓縮包時未對解壓路徑進行檢查，當從不安全的來源獲得zip格式壓縮包文件并解壓縮時，如果該zip壓縮文件被劫持插入惡意代碼，可能導(dǎo)致任意代碼執(zhí)行。

(5) 2018年6月Microsoft Excel遠程代碼執(zhí)行漏洞(CNNVD-201806-800、)及Microsoft Windows HTTP協(xié)議堆棧遠程代碼執(zhí)行漏洞(CNNVD-201806-771)。

成功利用Microsoft Excel遠程代碼執(zhí)行漏洞的攻擊者，能在當前用戶環(huán)境下執(zhí)行任意代碼，如果當前用戶使用管理員權(quán)限登錄，攻擊者甚至可以完全控制該用戶的系統(tǒng)。

成功利用Microsoft Windows HTTP 2.0協(xié)議堆棧遠程代碼執(zhí)行漏洞的攻擊者，可在目標系統(tǒng)上執(zhí)行任意代碼，并控制該用戶的系統(tǒng)。

目前，微軟官方已經(jīng)發(fā)布補丁修復(fù)了上述漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

(6) 2018年7月OracleWebLogic Server WLS核心組件遠程代碼執(zhí)行漏洞(CNNVD-201807-1276)：攻擊者可以在未經(jīng)授權(quán)的情況下，遠程發(fā)送攻擊數(shù)據(jù)，通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作，最終實現(xiàn)了遠程代碼的執(zhí)行。

目前，Oracle官方已經(jīng)發(fā)布補丁修復(fù)該漏洞，請用戶及時檢查產(chǎn)品版本，如確認受到漏洞影響，可安裝補丁進行防護。

微信支付SDKXXE漏洞(CNNVD-201807-083)：成功利用該漏洞的攻擊者可以遠程讀取服務(wù)器文件，獲取商戶服務(wù)器上的隱私數(shù)據(jù)，甚至可以支付任意金額購買商品。

使用有漏洞的Java版本微信支付SDK進行支付交易的商家網(wǎng)站可能受此漏洞影響。

目前，微信官方已經(jīng)發(fā)布補丁修復(fù)該漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

(7) 2018年8月Apache Struts2 S2-057安全漏洞(CNNVD-201808-740、CVE-2018-11776)：成功利用漏洞的攻擊者可能對目標系統(tǒng)執(zhí)行惡意代碼。

Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞。

微軟多個遠程執(zhí)行代碼漏洞(CNNVD-201808-403、CVE-2018-8350和CNNVD-201808-399、CVE-2018-8375等)：成功利用上述Windows遠程執(zhí)行代碼漏洞的攻擊者，可以在目標系統(tǒng)上執(zhí)行任意代碼。

微軟官方已經(jīng)發(fā)布補丁修復(fù)了上述漏洞。

(8) 2018年9月微軟官方發(fā)布了多個安全漏洞的公告，包括Internet Explorer 內(nèi)存損壞漏洞(CNNVD-201809-509、CVE-2018-8447)、Microsoft Excel 遠程代碼執(zhí)行漏洞(CNNVD-201809-550、CVE-2018-8331)等多個漏洞。

成功利用上述安全漏洞的攻擊者，可以在目標系統(tǒng)上執(zhí)行任意代碼。

微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。

微軟官方已經(jīng)發(fā)布補丁修復(fù)了上述漏洞。

(9) 2018年10月Oracle WebLogic Server遠程代碼執(zhí)行漏洞(CNNVD-201810-781)：攻擊者可利用該漏洞發(fā)送攻擊數(shù)據(jù)，通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,最終實現(xiàn)遠程代碼執(zhí)行。

WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。

Oracle官方已經(jīng)發(fā)布了漏洞修復(fù)補丁。

微軟官方發(fā)布了多個安全漏洞的公告，包括Microsoft XML Core Services MSXML parsera安全漏洞(CNNVD-201810-294)、Microsoft Windows Hyper-V安全漏洞(CNNVD-201810-327)等多個漏洞。

成功利用上述漏洞的攻擊者，可以在目標系統(tǒng)上執(zhí)行任意代碼。

微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。

微軟官方已發(fā)布修復(fù)上述漏洞的補丁。

(10) 2018年11月macOS High Sierra和iOS系統(tǒng)存在內(nèi)核漏洞(CNNVD編號：CNNVD-201810-1510、CVE編號：CVE-2018-4407)，該漏洞是XNU系統(tǒng)內(nèi)核中網(wǎng)絡(luò)部分的堆緩沖區(qū)溢出導(dǎo)致，攻擊者通過向目標設(shè)備發(fā)送特殊構(gòu)造的數(shù)據(jù)包從而執(zhí)行惡意代碼或使系統(tǒng)崩潰重啟。

觸發(fā)該漏洞的必要條件是攻擊者與目標系統(tǒng)需處于同一網(wǎng)絡(luò)(如Wi-Fi)。

微軟多個安全漏洞，包括Microsoft Internet Explorer 安全漏洞(CNNVD-201811-349、CVE-2018-8570)、Microsoft Word 安全漏洞(CNNVD-201811-387、CVE-2018-8539)、(CNNVD-201811-388、CVE-2018-8573)等多個漏洞。

成功利用上述安全漏洞的攻擊者，可以在目標系統(tǒng)上執(zhí)行任意代碼。

(11) 2018年12月微軟多個安全漏洞，包括Microsoft Internet Explorer 安全漏洞(CNNVD-201812-458、CVE-2018-8619)、Microsoft Excel安全漏洞(CNNVD-201812-466、CVE-2018-8597)等多個漏洞。

成功利用上述漏洞可以在目標系統(tǒng)上執(zhí)行任意代碼。

微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。

微軟官方已經(jīng)發(fā)布漏洞修復(fù)補丁。

四、勒索軟件業(yè)務(wù)經(jīng)歷市場調(diào)整如果將勒索軟件看作一項生意的話，從2016年開始到2017年勒索軟件的高額利潤吸引大批攻擊者蜂涌而至，贖金更是漫天要價。

2018年，勒索軟件“市場”就有點不景氣了，勒索軟件家族的總數(shù)下降，贖金要求也下降了，這表明勒索軟件已經(jīng)成為了商品。

許多網(wǎng)絡(luò)犯罪分子可能已經(jīng)將注意力轉(zhuǎn)移到加密電子貨幣挖礦上，因為作為現(xiàn)金的替代品，加密電子貨幣的價值非常高。

網(wǎng)上銀行交易威脅也有死灰復(fù)燃的趨勢，某些臭名昭著的勒索軟件集團正試圖增加威脅的種類。

盡管勒索軟件變種數(shù)量較去年有所上升，表明那些臭名昭著的犯罪集團仍然相當高產(chǎn)，但勒索軟件家族的數(shù)量有所下降，這表明他們的創(chuàng)新力出現(xiàn)了下降，也可能已將注意力轉(zhuǎn)向了更高價值的新目標。

2018年新興的勒索軟件家族摘錄：1. 2018年1月，GandGrab勒索家族首次出現(xiàn)應(yīng)該算是勒索病毒家族中的最年輕，但是最流行的一個勒索病毒家族，短短幾個月的時候內(nèi)，就出現(xiàn)了多個此勒索病毒家族的變種，而且此勒索病毒使用的感染方式也不斷發(fā)生變化，使用的技術(shù)也不斷在更新，此勒索病毒主要通過郵件進行傳播，采用RSA+ASE加密的方式進行加密，文件無法還原。

2. 2018年2月，多家互聯(lián)網(wǎng)安全企業(yè)截獲了Mind Lost勒索病毒該勒索軟件采用C#語言開發(fā)，其主要功能是采用AES加密方式加密本地文件，之后引導(dǎo)受害者至指定的網(wǎng)頁要求付費解密文件，與以往勒索軟件不同的是，此次勒索軟件并沒有要求受害者支付比特幣等數(shù)字貨幣進行付費解密操作，而是直接要求用戶使用信用卡或借記卡支付贖金，以此來套取銀行卡信息，進而將此信息出售給不法分子從而牟取更大利益。

加密樣本賬戶的電腦的Users目錄下的文件，如果后綴為”.txt”,”.jpg”,”.png”,”.pdf”,”.mp4″,”.mp3″,”.c”,”.py”的文件就直接加密，且解密贖金達到200美元。

3. 2018年3月，GlobeImposter勒索病毒家族GlobeImposter勒索病毒家族是從2017年5月開始出現(xiàn)，并在2017年11月和2018年3月有兩次較大范圍的疫情爆發(fā)，在2017年11月前的GlobeImposter勒索病毒大部分被稱為GlobeImposter1.0，此時的病毒樣本加密后綴名以“.CHAK”較為常見，在2018年3月時出現(xiàn)了GlobeImposter2.0，此時的病毒樣本加密后綴名以“.TRUE”，“.doc”較為常見，GlobeImposter也增加了很多新型的技術(shù)進行免殺等操作。

4. 2018年3月，麒麟2.1的勒索病毒2018年3月1日，監(jiān)測到了“麒麟2.1”的勒索病毒。

通過QQ等聊天工具傳文件方式傳播，一旦中招就會鎖定電腦文件，登錄后會轉(zhuǎn)走支付寶所有余額。

中招后，它會鎖定電腦文件，表面上要求掃碼用支付寶付款3元，但實際上掃碼是登錄支付寶，登錄后會轉(zhuǎn)走支付寶所有余額。

5. 2018年3月，CrySiS勒索病毒爆發(fā)服務(wù)器文件被加密為.java后綴的文件，采用RSA+AES加密算法，主要運用了Mimikatz、IP掃描等黑客工具，進行RDP爆破，利用統(tǒng)一密碼特性，使用相同密碼對全網(wǎng)業(yè)務(wù)進行集中攻擊，通過RDP爆破的方式植入，同時此勒索病毒在最近也不斷出現(xiàn)它的新的變種，其加密后綴也不斷變化之中。

6. 2018年12月，一個以微信為支付手段的勒索病毒在國內(nèi)爆發(fā)幾日內(nèi)，該勒索病毒至少感染了10萬臺電腦，通過加密受害者文件的手段，已達到勒索贖金的目的，而受害者必需通過微信掃一掃支付110元贖金才能解密。

2018年6月，羅某某自主研發(fā)出病毒“cheat”，用于盜取他人支付寶的賬號密碼，進而以轉(zhuǎn)賬方式盜取資金。

同時制作內(nèi)含“cheat”木馬病毒代碼的某開發(fā)軟件模塊，在互聯(lián)網(wǎng)上發(fā)布，任何通過該開發(fā)軟件編寫的應(yīng)用軟件均包含木馬病毒代碼，代碼在后臺自動運行，記錄用戶淘寶、支付寶等賬號密碼，以及鍵盤操作，上傳至服務(wù)器。

此外，嫌疑人通過執(zhí)行命令對感染病毒的計算機除系統(tǒng)文件、執(zhí)行類文件以外的所有文件進行加密，隨后彈出包含解密字樣和預(yù)置微信收款二維碼的勒索界面，解密程序標題顯示“你的電腦已被加密，請執(zhí)行以下操作，掃一掃二維碼，你需要支付110進行解密”。

五、挖礦攻擊迭起，花樣不斷翻新2018年全球爆發(fā)了惡意加密貨幣挖掘，因此產(chǎn)生的惡意軟件攻擊次數(shù)增加了83%以上。

今年前三個季度有超過500萬用戶被惡意軟件攻擊，而2017年同期為270萬。

根據(jù)卡巴斯基實驗室的說法，在加密淘金熱背后的主要驅(qū)動因素是安裝和使用未經(jīng)許可的軟件和內(nèi)容。

在2018年，惡意加密貨幣開采戰(zhàn)勝了過去幾年的主要威脅：勒索軟件。

受惡意加密貨幣挖掘軟件攻擊的互聯(lián)網(wǎng)用戶數(shù)量在今年上半年穩(wěn)步增長，遭遇挖礦攻擊的用戶數(shù)量從2016年-2017年度的1,899,236人次，增長為2017-2018年度的 2,735,611人次。

挖礦攻擊出現(xiàn)頻率越來越高，對受害者造成的危害也日益嚴重，而且目前已經(jīng)轉(zhuǎn)向企業(yè)目標。

多家互聯(lián)網(wǎng)企業(yè)和網(wǎng)絡(luò)安全企業(yè)分析認為，非法“挖礦”已成為嚴重的網(wǎng)絡(luò)安全問題。

其中，騰訊云監(jiān)測發(fā)現(xiàn)，隨著“云挖礦”的興起，云主機成為挖取門羅幣、以利幣等數(shù)字貨幣的主要利用對象，而盜用云主機計算資源進行“挖礦”的情況也顯著增多;知道創(chuàng)宇安全團隊監(jiān)測發(fā)現(xiàn)，“爭奪礦機”已成為僵尸網(wǎng)絡(luò)擴展的重要目的之一;360企業(yè)安全技術(shù)團隊監(jiān)測發(fā)現(xiàn)一種新型“挖礦”病毒(挖取XMR/門羅幣)，該病毒在兩個月內(nèi)瘋狂傳播，非法“挖礦”獲利近百萬元人民幣。

由于入口門檻低，只需要幾行代碼就可以執(zhí)行，網(wǎng)絡(luò)犯罪分子大肆利用挖礦軟件盜用消費者和企業(yè)的計算機處理能力以及占用云端 CPU，為其達到挖掘電子加密貨幣的目的。

隨著挖礦軟件在企業(yè)環(huán)境中逐步蔓延，企業(yè)網(wǎng)絡(luò)面臨著徹底癱瘓的風險。

它可能還會給企業(yè)帶來財務(wù)上的影響，例如為挖礦軟件所占用的云CPU 買單。

隨著惡意挖礦軟件的不斷升級，物聯(lián)網(wǎng)設(shè)備將仍然是這類攻擊的絕佳目標。

挖礦木馬年度盤點：

(1) 2018年1月tlMiner爆發(fā)，它是隱藏在《絕地求生》輔助程序中的HSR幣挖礦木馬。

該挖礦木馬由一游戲輔助團隊投放，瞄準游戲高配機實現(xiàn)高效率挖礦，單日影響機器量最高可達20萬臺。

“tlMiner”木馬作者在“吃雞”游戲外掛、海豚加速器(修改版)、高仿盜版視頻網(wǎng)站、酷藝影視網(wǎng)吧VIP等程序中植入“tlMiner”挖礦木馬，通過網(wǎng)吧聯(lián)盟、論壇、下載站和云盤等渠道傳播。

木馬作者通過以上渠道植入木馬，非法控制網(wǎng)吧和個人計算機終端為其個人挖礦。

2018年4月11日，在騰訊電腦管家的協(xié)助下，山東警方在遼寧大連一舉破獲了“tlMiner”挖礦木馬黑產(chǎn)公司。

該公司為大連當?shù)馗咝录夹g(shù)企業(yè)，為非法牟利搭建木馬平臺，招募發(fā)展下級代理商近3500個，通過網(wǎng)吧渠道、吃雞外掛、盜版視頻軟件傳播投放木馬，非法控制用戶電腦終端389萬臺，進行數(shù)字加密貨幣挖礦、強制廣告等非法業(yè)務(wù)，合計挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門羅幣)、SHR(超級現(xiàn)金幣)、BCD(比特幣鉆石)、SIA(云儲幣)等各類數(shù)字貨幣超過2000萬枚，非法獲利1500余萬元。

1月6日，一位網(wǎng)名為“Rundvleeskroket”的Reddit(社交新聞?wù)军c)用戶聲稱，黑莓手機的官方網(wǎng)站(blackberrymobile[.]com)被發(fā)現(xiàn)正使用Coinhive提供的加密貨幣挖礦代碼來挖掘門羅幣(Monero)。

Rundvleeskroket在最新的動態(tài)更新中表示，似乎只有黑莓的全球網(wǎng)站(blackberrymobile[.]com/en)受到影響。

所以，任何被重定向到CA、EU或US的用戶都不會在網(wǎng)站開放的情況下運行挖礦代碼。

(2) 2018年2月安全公司 CrowdStrike 發(fā)現(xiàn)了一款名為 WannaMine 的新型 Monero 加密挖掘蠕蟲，其利用與 NSA 相關(guān)的 EternalBlue (“ 永恒之藍 ” )漏洞進行傳播。

據(jù)研究人員測試，WannaMine 能夠感染從 Windows 2000 起的所有 Windows 系統(tǒng)(包括 64 位版本和 Windows Server 2003)，并使其設(shè)備性能明顯下降。

WannaMine 的惡意代碼十分復(fù)雜，因為它實現(xiàn)了一種類似于國家贊助的 APT 組織所使用的擴散機制和持久性模型。

更詳細地解釋是：WannaMine 利用 Windows 管理工具( WMI )永久事件訂閱來在受感染的系統(tǒng)上獲得持久性。

當注冊一個永久事件訂閱后，WannaMine 將在事件使用者中每 90 分鐘執(zhí)行一個 PowerShell 命令。

研究人員注意到，WannaMine 使用憑證收割機 Mimikatz 來收集用戶憑據(jù)，從而達到橫向移動的目的，但如果不能夠橫向移動的話，WannaMine 將更依賴于 EternalBlue 的利用。

從2018年2月3日開始，一組惡意代碼開始蠕蟲式快速傳播，360安全團隊將其命名為ADB.Miner。

最早的感染時間可以回溯到1月31日左右，這波蠕蟲式感染于2018年2月3日下午被360系統(tǒng)檢測，感染安卓設(shè)備上 adb 調(diào)試接口的工作端口5555，正常情況下這個端口應(yīng)該被關(guān)閉，但未知原因?qū)е虏糠衷O(shè)備錯誤的打開了該端口蠕蟲式感染，惡意代碼在完成植入后，會繼續(xù)掃描 5555 adb 端口，完成自身的傳播感染。

感染的設(shè)備大部分是智能手機以及智能電視機頂盒。

(3) 2018年3月一種全的新的 Android 挖礦惡意軟件 HiddenMiner 可以暗中使用受感染設(shè)備的CPU 計算能力來竊取 Monero。

HiddenMiner 的自我保護和持久性機制讓它隱藏在用戶設(shè)備上濫用設(shè)備管理員功能 (通常在 SLocker Android 勒索軟件中看到的技術(shù))。

另外，由于 HiddenMiner 的挖礦代碼中沒有設(shè)置開關(guān)、控制器或優(yōu)化器，這意味著一旦它開始執(zhí)行挖礦進程，便會一直持續(xù)下去，直到設(shè)備電量耗盡為止。

鑒于 HiddenMiner 的這種特性，這意味著它很可能會持續(xù)挖掘 Monero，直到設(shè)備資源耗盡。

根據(jù)研究人員的說法，HiddenMiner 是在第三方應(yīng)用商店發(fā)現(xiàn)的，大部分受害用戶都位于中國和印度。

HiddenMiner 的持續(xù)挖礦與導(dǎo)致設(shè)備電池膨脹的Android 惡意軟件 Loapi 類似，不僅如此，HiddenMiner 還使用了類似于撤銷設(shè)備管理權(quán)限后 Loapi 鎖定屏幕的技術(shù)。

(4) 2018年5月“WinstarNssmMiner”來襲。

此類挖礦病毒最大的與眾不同是會阻止用戶結(jié)束挖礦進程，一旦用戶選擇結(jié)束進程，其電腦會立刻藍屏。

而且此次的挖礦病毒欺軟怕硬，碰到強力的殺軟會當縮頭烏龜，一旦碰到實力不濟的殺軟它就會關(guān)閉正在運行的殺毒軟件程序。

因此中了此類病毒的用戶通常只能面對已經(jīng)出現(xiàn)卡慢，甚至藍屏的電腦束手無策。

該木馬病毒會將自身的惡意代碼以父進程的形式注入系統(tǒng)進程svchost.exe，然后把該系統(tǒng)進程設(shè)置為CriticalProcess，在這種情況下一旦強制結(jié)束該進程電腦就會立刻藍屏。

用研究員的話形容就是，這個病毒真是相當?shù)谋┝α?當然，把用戶的電腦暴力藍屏是這個病毒最后的一招，在中病前期，該病毒還會在用戶的電腦上進行一系列操作來挖礦獲利。

(5) 2018年6月撒旦(Satan)勒索病毒的傳播方式升級，不光使用永恒之藍漏洞攻擊，還攜帶更多漏洞攻擊模塊：包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默認配置漏洞(CVE-2010-0738)、Tomcat任意文件上傳漏洞(CVE-2017-12615)、Tomcat web管理后臺弱口令爆破、Weblogic WLS 組件漏洞(CVE-2017-10271)，使該病毒的感染擴散能力、影響范圍得以顯著增強。

分析發(fā)現(xiàn)，該變種的傳播方式與今年之前發(fā)現(xiàn)的版本類似，都有利用JBoss、Tomcat、Weblogic等多個組件漏洞以及永恒之藍漏洞進行攻擊。

新變種增加了Apache Struts2漏洞攻擊模塊，攻擊范圍和威力進一步提升。

最出人意料的是，Satan病毒放棄了此前的勒索，開始轉(zhuǎn)行傳播挖礦木馬。

由于此前的satan勒索病毒的算法存在“缺陷”，可以被進行完美解密，從而使得勒索作者無法收到贖金。

因此本次變種開始改行挖礦，不僅可以穩(wěn)定的獲得收入，還可以避免很快的暴露(由于挖礦除了會讓機器稍微卡慢一點，給用戶的其他感官不強，因此一般用戶很難察覺到被挖礦)。

(6) 2018年9月不法黑客通過1433端口爆破入侵SQL Server服務(wù)器，植入遠程控制木馬并安裝為系統(tǒng)服務(wù)，然后利用遠程控制木馬進一步加載挖礦木馬進行挖礦。

用戶電腦不知不覺間淪為不法分子“挖礦”的工具，電腦算力被占用，同時極有可能帶來一系列網(wǎng)絡(luò)安全風險。

截止目前，該木馬現(xiàn)已累計感染約3萬臺電腦。

騰訊智慧安全御見威脅情報中心實時攔截該挖礦木馬的入侵，將其命名為“1433爆破手礦工”，不法黑客除了利用感染木馬電腦挖礦外，還會下載NSA武器攻擊工具繼續(xù)在內(nèi)網(wǎng)中攻擊擴散，若攻擊成功，會繼續(xù)在內(nèi)網(wǎng)機器上安裝該遠程控制木馬。

在內(nèi)網(wǎng)攻擊中，“1433爆破手礦工”可使用的漏洞攻擊工具之多，令人咋舌。

其加載的攻擊模塊幾乎使用了NSA武器庫中的十八般武器，Eternalblue(永恒之藍)、Doubleplsar(雙脈沖星)、EternalChampion(永恒冠軍)、Eternalromance(永恒浪漫)、Esteemaudit(RDP漏洞攻擊)等多種漏洞攻擊工具皆可被黑客利用實施內(nèi)網(wǎng)攻擊。

專攻企業(yè)局域網(wǎng)的勒索病毒GandCrab，這個臭名昭著的勒索病毒版本號已升級到4.3。

與以往不同的是，攻擊者在已入侵網(wǎng)絡(luò)同時釋放挖礦木馬和勒索病毒，針對高價值目標使用GandCrab勒索病毒，而一般目標則運行挖礦木馬，以最大限度利用被入侵的目標網(wǎng)絡(luò)非法牟利。

分析勒索病毒GandCrab 4.3的入侵通道，發(fā)現(xiàn)黑客通過暴力破解Tomcat 服務(wù)器弱密碼實現(xiàn)入侵。

入侵成功后，從C2服務(wù)器下載勒索病毒和挖礦木馬，恢復(fù)被GandCrab勒索病毒加密的文件需要付費499美元購買解密工具。

通過錢包分析發(fā)現(xiàn)，該木馬已收獲18.6個門羅幣，折合人民幣約1.5萬元。

GandCrab 勒索病毒之前的版本一般通過釣魚郵件和水坑攻擊(選擇最可能接近目標的網(wǎng)絡(luò)部署陷阱文件，等待目標網(wǎng)絡(luò)內(nèi)的主機下載)。

而現(xiàn)在，御見威脅情報中心監(jiān)測到越來越多的勒索病毒會首先從企業(yè)Web服務(wù)器下手，其中Tomcat被暴破弱密碼攻擊的情況近期有明顯上升。

攻擊一旦得手，黑客就會以此為跳板，繼續(xù)向內(nèi)網(wǎng)擴散。

擴散的手法，往往是使用NSA攻擊工具包或1433，3389端口暴力破解弱口令。

之后，黑客會選擇高價值目標下載運行勒索病毒，對一般系統(tǒng)，則植入挖礦木馬獲利。

針對企業(yè)使用勒索病毒加挖礦木馬雙重打擊是近期比較突出的特點。

(7) 2018年10月Palo Alto Unit 42研究員 Brad Duncan發(fā)現(xiàn)的最新惡意軟件中，不僅會安裝XMRig挖礦應(yīng)用，而且會自動對Flash Player進行更新。

這樣在安裝過程中不會引起用戶的懷疑，從而進一步隱藏了它的真正意圖。

這款安裝器會真的訪問Adobe的服務(wù)器來檢查是否有新的Flash Player。

整個安裝過程中和正式版基本上沒有差別。

這樣用戶以為正常升級Flash的背后，安裝了coinminer的挖礦應(yīng)用。

一旦設(shè)備受到感染，就會連接xmr-eu1.nanopool.org的挖礦池，開始使用100%的CPU計算能力來挖掘Monero數(shù)字貨幣。

(8) 2018年11月?lián)碛蠾indows和安卓雙版本的挖礦木馬MServicesX悄然流行，中毒電腦和手機會運行門羅幣挖礦程序，造成異常發(fā)熱乃至設(shè)備受損的現(xiàn)象。

該挖礦木馬十分擅長偽裝，在電腦端使用具有合法數(shù)字簽名的文件，以躲避安全軟件的查殺;在安卓手機端更偽裝成Youtube視頻播放器軟件，不知情的用戶用其在手機上觀看視頻時，病毒會在后臺運行門羅幣挖礦程序。

數(shù)據(jù)顯示，挖礦木馬MServicesX近期表現(xiàn)活躍，感染量波動較大，并且已快速蔓延至全球范圍。

在國內(nèi)，則以廣東、江蘇、香港三地的受感染量最大。

經(jīng)病毒溯源發(fā)現(xiàn)，該病毒的Windows版本通過提供各類游戲下載安裝的某游戲下載站進行傳播，木馬隱藏在游戲安裝包中，游戲安裝程序在運行時會提示用戶關(guān)閉殺毒軟件，并釋放出木馬文件“MServicesX_FULL.exe”。

安裝包運行后，病毒還會將版本更新設(shè)置為計劃任務(wù)，每三個小時運行一次，保持木馬更新為最新版本，利用后臺程序挖礦，盡最大可能榨取用戶CPU資源。

KoiMiner挖礦木馬變種出現(xiàn)，該變種的挖礦木馬已升級到6.0版本，木馬作者對部分代碼加密的方法來對抗研究人員調(diào)試分析，木馬專門針對企業(yè)SQL Server 服務(wù)器的1433端口爆破攻擊進行蠕蟲式傳播。

騰訊御見威脅情報中心監(jiān)測數(shù)據(jù)發(fā)現(xiàn)，KoiMiner挖礦木馬已入侵控制超過5000臺SQL Server服務(wù)器，對企業(yè)數(shù)據(jù)安全構(gòu)成重大威脅。

該病毒在全國各地均有分布，廣東、山東、廣西位居前三。