時(shí)至7月(yuè)，2020年(•π↕•nián)上(shàng)半年(nián)已告一(yī)段落。2020年(nσ> λián)，這(zhè)個(gè)本該寄托無數(shù)憧憬的(λ>de)年(nián)份，卻因一(yī)場(chǎng)席卷而來(lái)的$×¥(de)疫情危機(jī)的(de)到(dà™ o)來(lái)而全球震蕩。流年(nián)不(bù)利‍✘↓©、人(rén)心惶惶，這(zhè)些(xiē)糟✔©∏糕的(de)詞語已經無法準确描述這(zhè✘ ←)場(chǎng)疫情為(wèi)全球人(rén)民(ש£mín)生(shēng)活造成的(de)灰暗¥↓(àn)。

伴随著(zhe)疫情夜幕的(de)降臨，生(shēng)活在黑(<‍♦↑hēi)暗(àn)中的(de)生(shē​÷↑ng)物(wù)們也(yě)相(xiàng)繼“蘇醒”。勒索病毒、蠕蟲♠♦木(mù)馬、釣魚郵件(jiàn)，橫向滲透、變形蟲攻☆ ♣‍擊等黑(hēi)客攻擊如(rú)同洪流般裹挾泥沙席卷而來(lái)，各Ω♠路(lù)玩(wán)家(jiā)粉墨登場(chǎng)>✔‌∑。在疫情的(de)掩護下(xià)，将人(rén)們本已步履維艱的(de)生≠×(shēng)活攪亂的(de)更加渾濁。

360安全大(dà)腦(nǎo)對(duì)上(shà©♣>ng)半年(nián)全球範圍內(nèiβ♣→)針對(duì)PC端異常活躍的(de)十大(dà)網絡©♥±攻擊威脅，包括疫情下(xià)流行(xíng)病α★毒的(de)趨勢，以及伴随疫情出現(xiàn)的(de)全新攻擊面和(h鶥∞)攻擊技(jì)術(shù)進行(xíng)了(le)梳理(lǐ)和(hé)α♥★α總結，以此提醒廣大(dà)企業(yè)和(hé)個(gè)人≠×&®(rén)用(yòng)戶提高(gāo)警惕，未雨(yǔ)綢缪而有(yǒ★ u)備無患。

Top1、勒索病毒獨占鳌頭

進入2020年(nián)，發展迅猛的(de)勒索病毒沒有(yǒu)絲毫放(f♣★àng)緩腳步，以更加來(lái)勢洶洶的(de)态勢在全球橫沖直撞“所向λ≥∑披靡”。在GandCrab家(jiā)族一(yī)年(nián  ∞<)半內(nèi)賺下(xià)20億美(m↔σěi)金(jīn)的(de)鼓舞(wǔ)下(xiàδ<)，上(shàng)半年(nián)間(jiān)，花(huā)$₩★λ樣繁多(duō)的(de)勒索病毒大(dà)有(yǒu)星火(hu¶​&∞ǒ)燎原之勢，如(rú)同早已約定好(hǎo)上(shàng)台表演π©次序一(yī)般，你(nǐ)方唱(chàng)罷我登場(chǎ&™☆÷ng)，幾乎每周都(dōu)有(yǒu)勒索病毒“新起之秀”亮(liàn​ Ω♠g)相(xiàng)，在廣大(dà)用(yòng)戶身(s↑​ hēn)上(shàng)刮下(xià)一(yī♣∞)層“油水(shuǐ)”後，乘興而來(lái)乘勝而歸。

上(shàng)半年(nián)中占比最高(gāo)的(de)勒索病毒增長★πσ♣(cháng)趨勢圖

2020年(nián)上(shàng)半<≤年(nián)，勒索病毒繁多(duō)的(de)變種更加趨于常£>态化(huà)，新型勒索病毒越演越烈的(de)增長(cháng)•¶态勢也(yě)愈發不(bù)可(kě)收拾。近(jìn)↔♠兩年(nián)來(lái)，勒索病毒制(zhì)造門(mén)檻一∏→(yī)再降低(dī)，用(yòng)PHP、Python等語言編寫∏γ的(de)勒索病毒，甚至用(yòng)更簡易的(de)腳本語言來(lái)←<‍編寫勒索病毒已經屢見(jiàn)不(bù)鮮。

在暗(àn)網和(hé)一(yī)些(xiēφ→​)地(dì)下(xià)黑(hēi)客論壇中，以RAAS模式（勒索軟件(jià±✘€‍n)即服務）推廣和(hé)分(fēn)發勒索病毒"™λ的(de)勒索軟件(jiàn)供應商也(yě π ≠)日(rì)益增多(duō)，RAAS模式的(d≈αe)出現(xiàn)讓黑(hēi)客攻擊成本不(bù)斷降低(dī↓>)，策劃實施攻擊者隻需支付少(shǎo)量成本即可(kě)發起勒索ε₩♥攻擊，從(cóng)中大(dà)量獲利。而勒索對(duì)象σΩ也(yě)正在從(cóng)C端用(yòng)戶全面轉向大(dà)型‌±B端企業(yè)，瘋狂掘金(jīn)的(de)黑(≤↕≤hēi)客團夥已然大(dà)肆分(fēn)起了(le)蛋糕，開(±εkāi)始了(le)“地(dì)盤掠奪”，動辄數(shù)百萬美(mě<↑₹i)元的(de)勒索贖金(jīn)足已讓各方玩(wán)家(∑​jiā)晝夜無休。

Top 2、挖礦、蠕蟲和(hé)驅動類傳統木(mù)馬“三駕馬車(chē)”× ©∏地(dì)位牢固

除了(le)瘋狂撈金(jīn)的(de)勒索病毒外≤↕✘"(wài)，挖礦木(mù)馬、蠕蟲木(mù)馬和(hé)驅動類傳統木(mù)馬♥<•↕也(yě)動作(zuò)頻(pín)頻(pín)，仍然是(shì✘∞‌)扮演著(zhe)流行(xíng)病毒主力軍團角色。

據360安全大(dà)腦(nǎo)監測發現(xiànλ↕)，上(shàng)半年(nián)流行(xíng∏≥∏)的(de)挖礦類木(mù)馬以Powershell形式的(d'÷±e)無文(wén)件(jiàn)攻擊為(§π‍wèi)主，其中以驅動人(rén)生(shēng)木(mù)馬（DTL∏₩Miner），匿影(yǐng)，BlueHero,MyKin∞©gs家(jiā)族居多(duō)。該類挖礦木(mù)馬重點表現(xiàn) λ出更新頻(pín)率高(gāo)，混淆嚴重的(de)特φδ點。挖礦木(mù)馬活躍度在一(yī)定程度上(shàn←↕"©g)受虛拟貨币價格漲幅影(yǐng)響，其中以DTLM₽∑✘iner挖礦木(mù)馬更新最為(wèi)頻(pín)繁，堪稱↓<÷'一(yī)衆同班同學中最努力上(shàng)進的( δεde) “優秀代表”。

更新頻(pín)頻(pín)的(de)DTLMiner挖礦木(mù)馬 

DTLMiner挖礦木(mù)馬今年(nián)的(dπ<♠e)三次更新中，還(hái)分(fēn)别加入以疫情為(wèi)←✔≥™話(huà)題的(de)郵件(jiàn)蠕蟲模塊ε®♦♥，SMBGhost漏洞檢測與攻擊模塊，每一(yī)¥ §ε次的(de)重要(yào)更新都(dōu)在很(hěn)大(dà)程↑←度上(shàng)增強了(le)該木(mù)馬的(de)傳播能(néng)力，±"♠從(cóng)每次更新的(de)時(shí)間(jiān)節點來(l&§←ái)看(kàn)，他(tā)的(de)每次更新也(yě)都♠">§(dōu)伴随重大(dà)漏洞被批露或EXP被公布。

而從(cóng)其整個(gè)上(shàng)半年(nián)對(duì)野外σ÷(wài)漏洞利用(yòng)的(de)利用(yòng)情況看(‍​γ&kàn)，蠕蟲級漏洞，文(wén)檔類漏洞和(hé)各類可(∑©kě)以遠(yuǎn)程執行(xíng)命令的(de)服務器(qì)漏洞仍<↕是(shì)其用(yòng)的(de)最得(de)心應手的(de)武器(qì)≠•≈，挖礦木(mù)馬可(kě)以輕易通(tōng)過這♥₹±$(zhè)些(xiē)漏洞釋放(fàng)§♦出大(dà)規模“AOE範圍傷害”。

驅動類木(mù)馬查殺Top 5占比如(rú)圖所示

驅動類木(mù)馬驅動類木(mù)馬的(de)傳播主要(yào)依賴于系統π 激活工(gōng)具，裝機(jī)盤，私服微(wēi)端，下(xiàε∑≈↓)載站(zhàn)這(zhè)幾個(gè)重要(yào)渠道(dà₹©α×o)進行(xíng)傳播，這(zhè)些(xiē)渠道(dào)種類魚≈α↔龍混雜(zá)，安全性極低(dī)，是(shì)被黑(h♣↕γ₩ēi)客植入病毒最多(duō)的(de)“後花(¥π÷✘huā)園”。

360安全大(dà)腦(nǎo)發現(xi↔♥àn)，相(xiàng)較于2019年(nián)，驅動類木(mù)馬對♦₽✔(duì)抗殺軟手段有(yǒu)所升級，查殺難度和(hé)成本有(yǒ§★"u)所增長(cháng)。具體(tǐ)表現(xià♥∑€n)為(wèi)病毒更新周期縮短(duǎn)、由限制(z÷‌Ω≤hì)殺軟模塊加載的(de)黑(hēi)名單機(jī)制(zhì)轉變成隻允許≥σ¶系統模塊加載的(de)白(bái)名單機(jī)制(zhì)，以及通(t<>ōng)過加載模塊的(de)時(shí)λπγ間(jiān)戳，簽名等特征限制(zhì​≥'‌)殺軟驅動加載等特征，驅動類木(mù)馬也(yě)正在變得(€♠££de)更加“狡猾”。

Top3、釣魚郵件(jiàn)攻擊趁火(huǒ)打劫

疫情帶來(lái)的(de)恐慌，無疑為(wèi)黑(hēi)客σ×團夥們創造了(le)為(wèi)非作(zuò)歹的(de)“天時(shí×∏)地(dì)利”。

随著(zhe)疫情在全球的(de)爆發，以COVID-19、Coronavi®✔>rus、nCov等疫情相(xiàng)關詞彙的(de)網絡攻擊也(yě)在•φ€全球範圍內(nèi)激增。360安全大(dà)腦(nǎo)先後攔截到♠ ∞(dào)響尾蛇、海(hǎi)蓮花(huā)、Kimsuky、Lazarus、®∏Patchwork等多(duō)個(gè)境外(wài)A→>∞£PT組織利用(yòng)疫情為(wèi)話(huà)題的♥£★(de)攻擊樣本。

攜帶惡意附件(jiàn)僞造成衛生(shēng)部σ™φ₽疫情防控郵件(jiàn)的(de)釣魚攻擊

此類攻擊多(duō)僞造成世界衛生(shēng)組ε 織的(de)安全建議(yì)，疫情通(tōng)報(bàδ‍↔λo)，以及疫苗申請(qǐng)，疫情補助計(jì)↕♠Ω劃等等。攻擊者精心構造釣魚郵件(jiàn)，€₽∑≈通(tōng)過社會(huì)工(gōng)程的(de)手段，誘→σ☆騙用(yòng)戶點擊帶毒的(de)附件(jiàn)，β™'進而在用(yòng)戶電(diàn)腦(nǎo)上(shàng)植入•π≥遠(yuǎn)控或竊密木(mù)馬。而DTLMiner更是(shì  π)将”COVID-19”話(huà)題制(←α★ zhì)造為(wèi)郵件(jiàn)蠕∑☆π蟲進行(xíng)大(dà)範圍傳播。

目前，360安全大(dà)腦(nǎo)已監測多(duō)種不(bù)同類型↔∑§的(de)釣魚郵件(jiàn)，以疫情相(xiàng)×$∑關信息作(zuò)為(wèi)誘餌的(de)惡意釣魚攻擊具有∞✘≈™(yǒu)極高(gāo)的(de)隐蔽性，仍需反複提‌®•醒國(guó)內(nèi)外(wài)各位用(yòng)戶提高(gāo✘★★)安全意識，注意警惕防範。

Top4、VPN安全隐患異軍突起

疫情的(de)到(dào)來(lái)在打亂人(rαβén)們生(shēng)活秩序的(de)同時≥ γλ(shí)，也(yě)改變了(le)我們的(de)工(gō ✘¶ng)作(zuò)方式，拉開(kāi)了✘'™↑(le)數(shù)字化(huà)遠(yuǎn)程辦公的(de)大©"(dà)幕。倉促上(shàng)線的(de)遠(yuǎn)程辦公，随之 ÷δ引入了(le)大(dà)量的(de)安全問(₽€wèn)題。

為(wèi)員(yuán)工(gōng)提供訪問(λ♦wèn)企業(yè)內(nèi)網入口的(de)VPN>₹₩‍，無疑是(shì)遠(yuǎn)程辦公最重要(yào)的(de)技(jì)<δ★♦術(shù)手段，但(dàn)VPN的(de)脆弱性卻一(<∏∏>yī)直為(wèi)人(rén)诟病。僅2020年(nián)上¥$‌(shàng)半年(nián)，國(guó)內(nèi)外(wài)通↔ ®✔(tōng)過VPN漏洞發起網絡攻擊的(de)安全事(sπ☆✘βhì)件(jiàn)高(gāo)發，包括Fox&$Ωσnbsp;Kitten，Darkhotel，W↑≠ellmess等黑(hēi)客組織都(dōu)曾在上(shà↓‌₩δng)半年(nián)以VPN缺陷為(wèi)跳(tiào)闆，發起針對(∏™duì)遠(yuǎn)程辦公企業(yè)的(de)大(dà)規模網∏​絡攻擊。

一(yī)種典型的(de)VPN攻擊場(chǎng)景

在利用(yòng)弱口令爆破、漏洞等手段成π∑φ©功入侵企業(yè)的(de)VPN服務器( ε♦qì)後，攻擊者可(kě)以通(tōng)過劫持Vλ≈PN的(de)升級流程下(xià)發遠(yuǎnσ  <)控木(mù)馬，進而成功入侵目标內(nèi)網。當員(yuán)工(gōn®∏↕ g)在家(jiā)辦公過程中升級VPN客戶端時(shí)，由于升級流程被↕↓攻擊者劫持，木(mù)馬可(kě)以順利通(tōng§ε₩‌)過升級渠道(dào)植入員(yuán)工×↕©(gōng)計(jì)算(suàn)機(jε∏>ī)設備中。

憑借已植入的(de)惡意木(mù)馬，攻擊者會(huì)進一(y£ε<ī)步竊取員(yuán)工(gōng)進出企業(™>α♥yè)內(nèi)網的(de)賬号密碼，直接進​$∑™入企業(yè)內(nèi)網企業(yè)核心資産和(hé)企業(y>&©è)重要(yào)的(de)敏感數(shù)據。

Top5、遠(yuǎn)程會(huì)議(yì)、即時(shí)通(tōng)☆✔®訊暗(àn)藏危機(jī)

除VPN外(wài)，遠(yuǎn)程會₽•σ(huì)議(yì)，即時(shí)通(tōng)信‍↕×↓，文(wén)檔協助等方面也(yě)都(dōu)存在諸'≠∑多(duō)安全隐私問(wèn)題。應運而生(shēng≠≠' )的(de)遠(yuǎn)程辦公軟件(jiàn)站(zhàn)在了(le)風(≥≠γ∏fēng)口上(shàng)，但(dàn)這(zε ☆£hè)些(xiē)快(kuài)速上(shàng)線軟件(jiàn)及時(sh÷'≈í)響應了(le)人(rén)們短(duǎn)期₩α內(nèi)遠(yuǎn)程辦公的(de)需求，但(dàn)用(γ€≥yòng)戶的(de)安全需求卻極易受到(dào)開(kāi)發者©§的(de)忽視(shì)和(hé)冷(lěng)落。

遠(yuǎn)程視(shì)頻(pín)軟件(jiàn)被捆綁Wπ↓ebMonitor遠(yuǎn)控，CoinMiner木(mù)€∏‌馬病毒

以在線視(shì)頻(pín)會(huì)議(yì)軟件(jiàn)Zoom舉₩± 例，首先，在弱口令，默認配置的(de)情況下©€‍​(xià)，攻擊者可(kě)以在未被邀請(qǐn≈₩±λg)的(de)前提下(xià)參加視(shì)✘<頻(pín)會(huì)議(yì)，若此過程無人(rén)審核或✔‌®發現(xiàn)，則可(kě)能(néng)造Ω±•↓成嚴重的(de)信息洩漏；其次，Zoom等在線視(shì)頻(pín)會(hα♠♥uì)議(yì)軟件(jiàn)的(de)早期版本并±β未實現(xiàn)端對(duì)端加密，且加✔™₹∏密算(suàn)法強度比較弱，數(shù)據傳輸過程•✔中的(de)安全性無法保障；再者，該軟件(ji₩<₹àn)已經暴露了(le)諸多(duō)高™™♠(gāo)危漏洞，可(kě)能(néng)被★®黑(hēi)客惡意利用(yòng)。

國(guó)外(wài)安全研究員(yuán)還(λ×hái)發現(xiàn)，該軟件(jiàn)将會(huì)>δ¶議(yì)視(shì)頻(pín)數(shù)據存放(fàng)于AWS存εγ★≤儲桶中，可(kě)公開(kāi)訪問(wèn)。利用(yòng)某軟件(j↔∑♦iàn)的(de)自(zì)動命名規則，就(jiù¥€★)可(kě)搜索到(dào)該軟件(jiàn)的(de)♥≈會(huì)議(yì)視(shì)頻(pín)數(shù)據。φδ≤©

除了(le)大(dà)肆傳播的(de)流行(xínπβ₹g)病毒外(wài)，在2020年(nián)上(shàng)半年(nián)，360安全大(dà)腦(nǎo)還(hái)發現(xiàn)很(hěn)多(duō)新的(de ←'∞)利用(yòng)手法和(hé)攻擊面被挖掘并利用(yòng)®¥δ，這(zhè)些(xiē)攻擊思路(lù)刷新了(le)我們對(duì)于傳統∞<$安全技(jì)術(shù)的(de)認知(∏&zhī)，讓我們以全新的(de)視(sh σì)角去(qù)重新審視(shì)每一(yī)個(δ♣•gè)安全維度，進而不(bù)斷提升産品的(de)安全能(néng)力。

Top6、“隔離(lí)網絡突破”另辟蹊徑

5月(yuè)下(xià)旬，國(guó)外(wài)安全公司ESET↓♠£在報(bào)告中披露了(le)Ramsay惡意軟件(j€≠iàn)的(de)一(yī)種針對(duì)物(wù)理(lǐ)¥‍隔離(lí)網絡的(de)攻擊新型攻擊手段↕"。所謂物(wù)理(lǐ)隔離(lí)網絡↔®≥，是(shì)指采用(yòng)物(wù)理(lǐ₩¥γ)方法将內(nèi)網與外(wài)網隔離(lí)，從(cóng)而避• β免入侵或信息洩露的(de)風(fēng)險的(de)技(↔★£₹jì)術(shù)手段。物(wù)理(lǐ)隔離(lí)網絡主要(y∞↕≤£ào)用(yòng)來(lái)保障那(n♥‍≈à)些(xiē)需要(yào)絕對(duì)保證安σ​全的(de)保密網、專網和(hé)特種網絡的(de)安全需求。

360安全大(dà)腦(nǎo)對(duì)₹©其進行(xíng)了(le)跟蹤研究分(fēn)析，發現(x↔ iàn)該 Ramsay惡意文(wén)件(jiàn)主要₩±(yào)內(nèi)容通(tōng)過可(kě)移動磁盤來(lái)實現(₹¥€xiàn)針對(duì)隔離(lí)網絡突破攻擊。

Ramsay惡意軟件(jiàn)通(tōng)過U盤®±&實現(xiàn)隔離(lí)網絡突破流程圖

首先黑(hēi)客會(huì)先向目标計(jì)算(suà£×‌$n)機(jī)設備發送釣魚郵件(jiàn÷π↓)，該郵件(jiàn)附件(jiàn)攜帶含有(yǒu)​φα漏洞的(de)惡意附件(jiàn)，觸發漏洞之♣ 後會(huì)感染員(yuán)工(gōng)電(diàn)腦(nǎo)。被感∞÷★染的(de)員(yuán)工(gōng)電(±≠δ≤diàn)腦(nǎo)上(shàng)線後，黑(hēi)客會(hu≈←ì)進一(yī)步下(xià)發定制(zhì)版的(de)可( ♠₽kě)以感染隔離(lí)網絡的(de)木(mù)馬♥®✔♥，通(tōng)過感染U盤，PDF/DOC/EXE文(wén)件(jiàΩ↑n)等方式在企業(yè)內(nèi)網中擴散。

緊接著(zhe)黑(hēi)客會(huì)再利用(yòng)系統管理(lπ★✔ǐ)員(yuán)與員(yuán)工(gōng)之間(∞¶£→jiān)的(de)工(gōng)作(zuò)接觸，包括但(dàn)不(bù)‍♦¶<限于使用(yòng)共享文(wén)件(jiàn)，U盤等，通(t"♥ōng)過這(zhè)些(xiē)途徑感染至管理(lǐ♠<↓)員(yuán)計(jì)算(suàn)機(jī)、U盤和♠$✘(hé)其他(tā)文(wén)件(jiàn)。擁有(yǒu)±β•×訪問(wèn)隔離(lí)網絡權限的(de)管理(lǐ)員(y γ↔εuán)，一(yī)旦将受感染的(de)♦​σU盤插入隔離(lí)網絡電(diàn)腦(nǎo)上(shàng)就(jiπ₩→∏ù)會(huì)将其感染。

之後該木(mù)馬會(huì)在隔離(lí)網絡中運行(✔✘ ☆xíng)，進一(yī)步感染隔離(lí)網內(nèφ≠<i)的(de)其他(tā)設備，當成功獲得(∑πde)目标重要(yào)資産的(de)訪問(wèn)權限時(shí)♠&$，會(huì)直接竊取其中機(jī)密數(shù)據≈‍<并将其寫入U盤或帶指令的(de)文(wén)檔中。此時β™≈(shí)獲取的(de)機(jī)密數(shù)據會(hu​©‌ ì)以同樣的(de)方式再度被帶出隔離(lí)網絡并接入已感染≠‍₽"病毒的(de)外(wài)網計(jì)算(suàn)機(jī)中，外(wài→✘&)網計(jì)算(suàn)機(jī)中的(de)®£駐留程序檢測到(dào)U盤或文(wén)檔攜帶的(de​>σ)機(jī)密數(shù)據，将其提取并發送給黑(hēi✔Ω‌)客。

360安全大(dà)腦(nǎo)發現(xiàn)，針對(d♦"uì)隔離(lí)網絡環境攻擊是(shì)一(yī)種全新的(de)攻擊​∑思路(lù)，黑(hēi)客組織在考慮到(d×γ✘ ào)隔離(lí)網絡這(zhè)一(yī)特殊的(de)場(ch↓™₹£ǎng)景時(shí)，利用(yòng)USB設備，doc文(w§>én)檔等常見(jiàn)的(de)媒介實現(xiàn>÷)從(cóng)外(wài)網滲透進隔離(lí)網絡并在竊取數(shùσ↑♥σ)據之後傳回給黑(hēi)客，這(zhè)一(yī)行(xín∑∑>g)為(wèi)具有(yǒu)極高(gāo)的(de)隐蔽性。由于物(w≤♥→♦ù)理(lǐ)隔離(lí)網絡多(duō)為(wèi)政企機(jī)構等單λ¶≈位采用(yòng)，因此盡管該病毒還(hái)在研發階段，尚不(bù)夠成熟≠♠♥÷，但(dàn)是(shì)這(zhè)種攻擊場αφ™λ(chǎng)景将對(duì)政企單位造成的(de)嚴重威脅不(bù)☆σ容小(xiǎo)觑。

Top7、橫向滲透技(jì)術(shù)靡然成風(fēng)

從(cóng)境外(wài)APT組織“海∞£(hǎi)蓮花(huā)”(OceanLot≤"us)、GlobeImposter勒索病毒，再到(dào)​$$最近(jìn)鬧得(de)滿城(chéng¶>)風(fēng)雨(yǔ)的(de)驅動人(rén)生(shēng)供應₽↑鏈攻擊事(shì)件(jiàn)，“橫向滲透”這(zhè)種在複雜(zá)α 網絡攻擊被廣泛使用(yòng)的(de)手段，已成為(wèi)不(bù↕•®‍)法黑(hēi)客瞄準企業(yè)目标，以®φ點破面的(de)慣用(yòng)伎倆。如(rú)不(bù)及時(s∑Ω₽↕hí)發現(xiàn)，最終面臨的(de)将可(kě)能(néng)是(s•Ωhì)企業(yè)內(nèi)網設備的(de)停擺與癱瘓，©Ω↔嚴重威脅企業(yè)數(shù)字資産安全。

入侵和(hé)控制(zhì)員(yuán)工(g↑γ ōng)個(gè)人(rén)電(diàn)腦(nǎo)通(tōng)常并•£ σ不(bù)是(shì)攻擊者的(de)最終目的(de)，攻擊者會(huì)£¶ 以被攻陷系統為(wèi)跳(tiào)闆，采用₽ (yòng)口令竊聽(tīng)、漏洞攻擊等多(duō)種↕γδ↓滲透方法嘗試進一(yī)步入侵組織內(nβ‌γφèi)部更多(duō)的(de)個(gè)人(rén)電(d>≤÷iàn)腦(nǎo)和(hé)服務器(qì)，同時(sπ'₩hí)不(bù)斷地(dì)提升自(zì)己的(de)權限Ω♦，以求控制(zhì)更多(duō)的(de)電(diàn)腦(nǎo)和α‍​✘(hé)服務器(qì)，直至獲得(de)核心電(diàn)  ✘腦(nǎo)和(hé)服務器(qì)的(de)控制(zhì)權，這(zhè)∏σ<×種攻擊方法已在多(duō)個(gè)APT♦₹♣攻擊中被發現(xiàn)使用(yòng)。

據360安全大(dà)腦(nǎo)統計(jì)，2020年(nián)上(shàng)半年(nián)累計(jì)攔截到(dào←¶')橫向滲透的(de)攻擊高(gāo)達150萬次。

如(rú)Mykings僵屍網絡通(tōng)過遠(yuǎnεσ §)程執行(xíng)WMI技(jì)術(shù)進行(xΩ₹íng)橫向滲透：

某勒索軟件(jiàn)使用(yòng)PsEx↑∑₩<ec進行(xíng)橫向移動：

利用(yòng)WINRM服務進行(xí₩α✔→ng)橫向滲透：

除此之外(wài)，常見(jiàn)的(de)手法還(hái≥×)有(yǒu)：

Ø 拷貝病毒到(dào)具有(yǒu)自(zì)啓動屬β₹性的(de)目錄下(xià)，當重新登錄ε→或啓動時(shí)，文(wén)件(jiàn)得(de)到(dào)執行(>↑xíng)。

      ≈<•₽Ø 遠(yuǎn)程創建服務

    Ø 遠(yuǎn)程執行(xíng)計(jì)劃π♦任務

    Ø 遠(yuǎn)程注冊表操作(zuò)

   Ø 遠(yuǎn)程COM接口調用(yòng)

Ø 遠(yuǎn)程執行(xíng)powershell

值得(de)一(yī)提的(de)是(shì)，從(cóng)2019© 年(nián)開(kāi)始，360安全大(dà)腦(nǎo​¥)已經監測到(dào)境外(wài)APT組織¥"‍‌海(hǎi)蓮花(huā)針對(duì)中<£<β國(guó)的(de)多(duō)起攻擊事(sh<←ì)件(jiàn)中，都(dōu)曾采用(yòng)通(tōn'σg)過WMI遠(yuǎn)程執行(xíng)和(hé)powershell調®÷'"用(yòng)COM遠(yuǎn)程執行(xíng)的(de₽λ↓ )方式，在目标內(nèi)網橫向滲透。

上(shàng)半年(nián)中傳播廣泛的(de εγβ)DLTMiner,Tor2Mine，Mykings等挖礦木(mù)馬，β"≥∞也(yě)都(dōu)集成了(le)不(bù)同的(de)橫向滲透模塊，←♦通(tōng)過WMI/ SMB/SSH/數(s≠®×hù)據庫/RDP弱口令爆破和(hé)各種漏洞（永恒之藍π✔♦(lán)/Bluekeep/SMBGhost）‌∏ α漏洞進行(xíng)橫向傳播。

Top8、供應鏈污染配合感染型病毒打出“組合拳”

2020年(nián)5月(yuè)，360安全大(dà)腦(nǎo)首Ω€ ♣次檢測到(dào)一(yī)款新型的(de)感∑☆ γ染型病毒Peviru，該病毒除了(le)感染可(kě)執行(xíng)文(w★™•§én)件(jiàn)之外(wài)，還(hái)會(huì)感染某編程語言∏₩✘γ（以下(xià)簡稱X語言）的(de)編譯壞境，導緻用(yò∑™ng)戶編譯的(de)所有(yǒu)程序都(dōu)會(huì)被感染。δ₩₽£

360安全大(dà)腦(nǎo)通(tōng)λ§✔≈過對(duì)該病毒溯源發現(xiàn)，這(zh ♣δè)款病毒背後的(de)黑(hēi)客團夥通(tōng)過≤↔®≥供應鏈污染的(de)手段将攜帶這(zhè)種病毒的(de)開(k'↓₽āi)發工(gōng)具植入X語言論壇。而就(jiù)在近(jìn)期，我們σ§又(yòu)檢測到(dào)該黑(hēi)客團夥通(t♠δōng)過之前部署的(de)惡意軟件(jiàn$∑← )下(xià)發勒索病毒。

黑(hēi)客團夥通(tōng)過供應鏈£∏污染配合感染型病毒下(xià)發勒索病毒

Top9、搭建虛拟機(jī)躲避查殺獨創怪招

在黑(hēi)客眼中，攻防最大(dà)的"×(de)魅力就(jiù)在于封鎖，和(hé)突破封鎖，這(zhè)®σ種對(duì)抗遊戲經久不(bù)衰，攻防雙方也(yεγ↔$ě)樂(yuè)此不(bù)彼，查殺與免殺技(jì)術(shù)亦是 ↕(shì)如(rú)此。

在上(shàng)半年(nián)諸多(duō)有(yǒu)趣的(de¶‍☆±)免殺樣本中，一(yī)種叫RagnarLocker的(de)勒索軟件₩ ≈(jiàn)将免殺技(jì)術(shù)提高(gāo)到(dào)&®了(le)一(yī)個(gè)新的(de)水(shuǐ)平。為(wèi€← ÷)了(le)躲避殺毒軟件(jiàn)查殺，♦φRagnarLocker在受害者機(jī)器(qì)上(shàng)部署↔β≥了(le)一(yī)套完整的(de)Oracle&‍↔§nbsp;VirtualBox虛拟機(jī♥™<★)壞境，并将49KB大(dà)小(xiǎo)的(de)勒索病毒存儲到(→φ<≥dào)Windows XP虛拟機(jī)的(de)虛拟映≤σε像文(wén)件(jiàn)（micro.vdi）當中。整個(<γ★gè)加密文(wén)件(jiàn)過程也(y®☆®ě)在虛拟機(jī)空(kōng)間(jiān)中進行(xíng)，安♣®₩∏裝在宿主機(jī)上(shàng)的(de)很(hěn)多(duō)殺毒軟★♠件(jiàn)對(duì)此都(dōu)束手無¥↔€策。

攻擊者先是(shì)使用(yòng)GPO(G‌ε® roup Policy Object) task運行(xíng)遠(πΩ↑yuǎn)程網絡上(shàng)的(de)MSI（msiβ∞exec.exe）文(wén)件(jiàπ♦n)。這(zhè)個(gè)MSI文(wén)件(jiàn)釋放(fàngβ↑♠)一(yī)個(gè)舊(jiù)版本的(de)VirutalBox安裝程←✔∏序和(hé)包含RagnarLocker£₩勒索軟件(jiàn)的(de)Windows XP→π映像文(wén)件(jiàn)。勒索軟件(j∏§iàn)會(huì)在嘗試關閉反病毒軟件(jiàn)服務和≥♠(hé)進程後，将宿主機(jī)本地(dì)磁盤，可(k ₩•≠ě)移動設備，網絡設備等都(dōu)映射到(dào)虛拟機(≠䱕jī)內(nèi)。

最後攻擊者啓動虛拟機(jī)，勒索軟件(jiàn)位于xp鏡像的(de)啓←σ✘動目錄下(xià)，虛拟機(jī)啓動時(shí)會(huì)自(zì‍<↔α)動執行(xíng)勒索軟件(jiàn)，在虛拟機(jī)中加密共享的(de♣λ)物(wù)理(lǐ)機(jī)數(shù)據從(cón§₽©♦g)而規避殺軟的(de)查殺。攻擊者還(hái)會(hu₩≠₽≥ì)删除卷影(yǐng)還(hái)原點，防止用(yòng)戶★δ∏±通(tōng)過磁盤恢複工(gōng)具恢複加密的(de)±♦文(wén)件(jiàn)。

這(zhè)種新穎的(de)通(tōng)過虛拟機(jī)加密的ε↔₩(de)手法可(kě)謂獨辟蹊徑，Ragnar÷♣≤ Locker已經成功利用(yòng)這(zhè)種方法實現(xiàε←n)了(le)對(duì)葡萄牙跨國(g¥×uó)能(néng)源巨頭、世界第四大(dà)風(fēng)能(néng)¥≠生(shēng)産商EDP的(de)勒索攻擊，并開∏™(kāi)出了(le)1580枚BTC近(jìn)11萬美(měi)元的(d≈δe)高(gāo)昂贖金(jīn)。

Top10、變形蟲（BadUSB）攻擊花(huā)式釣魚

2013年(nián)，斯諾登曾曝光(guāng)美>≤(měi)國(guó)NSA武器(qì)庫中的(de)“水(shuǐ)蝮蛇一÷&(yī)号” (COTTONMOUTH-I)，它可(kě)以在電(dià™¶∑n)腦(nǎo)不(bù)連網的(de)情況下(xiπ≥à)秘密修改數(shù)據，這(zhè)一(yī)支用(yòng)于全球™ ∞'監控的(de)超級網絡軍火(huǒ)，實質上(sh₹♣àng)是(shì)一(yī)個(gè)植入微₹Ω₩>(wēi)型電(diàn)腦(nǎo)的(d<₩₹‌e)特制(zhì)U盤。在2014年(nián)的( ₽de)Black Hat大(dà)會ε≥¶↓(huì)上(shàng)，來(lái)自(zì)柏林(lín)的(de)安→₩±↔全研究員(yuán)現(xiàn)場(chǎng)還(hái)原如(rδ​ú)何利用(yòng)U盤、鼠标等任意USB設備，“完美(m​ ěi)”繞開(kāi)安全軟件(jiàn)防護網，實施攻γ®÷擊，并将其定義為(wèi)世界上(shàng)最邪惡的(de)₩¶USB外(wài)設——“BadUSB”。根據BadUSB極©♦§難辨别的(de)僞裝攻擊特點，360安全大(dà)腦(nǎo) 将≠φ其命名為(wèi)“變形蟲”。

利用(yòng)“變形蟲（BadUSB）”發起的(de)網絡攻∞ ♦→擊幾乎從(cóng)未停止，尤其是(shì)在國(guóλ↑)家(jiā)級網絡對(duì)抗、關鍵基礎‍δ<♥設施攻擊、間(jiān)諜情報(bào)活動等場(chǎng)景↔'下(xià)，“變形蟲（BadUSB）”更成為(wèi)一(y≤↔©ī)種緻命的(de)入侵武器(qì)。而在2020年(nián)上(s↔↑hàng)半年(nián)，又(yòu)再次真實的(λ↔ de)發生(shēng)了(le)一(yī)起利用(yòng)變形蟲✘€δ（BadUSB）發起攻擊的(de)惡意安全事(shì)件(∑‍jiàn)。

3月(yuè)，美(měi)國(guó)₹€♣¶一(yī)家(jiā)酒店(diàn)的(de)員(πεyuán)工(gōng)收到(dào)了(le£✔§ )來(lái)自(zì)“Best Buy”的(d£÷•€e)用(yòng)戶回饋信，信中提到(dào>α)BestBuy公司為(wèi)了(le)≈•回饋忠實用(yòng)戶，贈送每位用(yò‍εng)戶50美(měi)元的(de)購(gòu)物(wù)卡，信₹♦β封中還(hái)包含一(yī)個(gè)USB驅動器(qì₽♥)，聲稱裡(lǐ)面包含一(yī)個(gè)購(gòu)物(wù)清單，相(β♥xiàng)信很(hěn)多(duō)未≤ 受過專業(yè)安全培訓的(de)人(rén)都σ∑(dōu)會(huì)第一(yī)時(shí)間(jiān)将USB¥‌​設備查到(dào)電(diàn)腦(nǎo∞→)上(shàng)開(kāi)始選購(gòu)商品。

但(dàn)事(shì)實上(shàng)，這∏ εΩ(zhè)個(gè)USB設備是(shì)經過特殊處★±理(lǐ)的(de)，攻擊者将USB設備編程為(wèi)USB鍵盤，因 ♥€為(wèi)計(jì)算(suàn)機(jī)默認設置是(shì)信'♥任USB鍵盤，當USB設備被插入受害者計(jì)算(suàn)機(jī)時(sφ× ♠hí)，模拟鍵盤就(jiù)會(huì)執行(xíng)惡意代碼，進α÷而控制(zhì)這(zhè)台機(jī)器(qì)。

明(míng)槍易躲暗(àn)箭難防。谷歌(gē)反欺詐研究團隊曾用(yòng¥ ✘<)實驗說(shuō)明(míng)一(yī)項危險事(s±↔✘ hì)實：在實驗中随意丢棄的(de)287個(gèπ¥₽)U盤中，有(yǒu)135人(rén)撿走并遭到(d∞&♣∏ào)攻擊，釣魚USB“上(shàng)鈎率”高(gāo)達45$ ₹‌%。因此，如(rú)果在停車(chē)場←←≤×(chǎng)，公司角落，咖啡館等看(kàn)到(dào)被人(rén)遺落&'的(de)U盤，SD卡等設備，或是(shì)受到(‍↓dào)陌生(shēng)的(de)USB贈品，很(↑∞hěn)有(yǒu)可(kě)能(néng∏€↓)來(lái)源于攻擊者的(de)惡意投放(fàng)。對(duì)₹<‍β于政企單位而言，拒絕使用(yòng)來(lái)源不ε<≠(bù)明(míng)的(de)USB設備的(de)警鐘‌←ε♠(zhōng)更應長(cháng)鳴。

對(duì)黑(hēi)客而言更有(yǒu)利的(d‌↔ e)是(shì)，我們手邊的(de)USB設備實在林(lín)林(l​≥ín)總總，觸手可(kě)及的(de)鍵盤、鼠标 ♥β↕、充電(diàn)寶、數(shù)據線、以及各↕™±→種轉接頭……不(bù)得(de)不(bù)說(sh≤≤‌πuō)，我們的(de)電(diàn)腦(nǎo)π>ε高(gāo)度依賴著(zhe)USB外(wà ♠¥i)接設備，但(dàn)同時(shí)，電↓α&•(diàn)腦(nǎo)系統也(yě)給予∏>εβ了(le)最大(dà)的(de)兼容，甚至免驅。這(zhè)樣的(☆↑≈de)後果就(jiù)是(shì)，若不(bù)幸βλ插入BadUSB，攻擊再難停止，并且這(zhè☆'λγ)種攻擊可(kě)以随意僞裝、防不(bù)勝防。"≠≠δ

安全反思：

綜合上(shàng)半年(nián)PC端面臨的(de)安全威脅态勢來≠β←®(lái)看(kàn)，流行(xíng)病毒接踵而至，新型的(d☆ <≥e)攻擊面、複合型攻擊手法也(yě)在被不(bù)斷的(de)挖掘和(h™§→é)利用(yòng)。疫情熱(rè)點和(hé) ∑疫情下(xià)遠(yuǎn)程辦公場(chǎng)景也(yě)為(wèi)β↑ ×紛湧而來(lái)的(de)攻擊活動提供了(le)更多(duō)的(de)≥∞‍♣攻擊入口，對(duì)PC安全行(xíng)業(yè)帶來(lái)了(☆¶λle)極為(wèi)複雜(zá)嚴峻的(de)網絡安全挑戰和(hé)現(xiàn)實威脅。

進入2020年(nián)的(de)下(x↕✘ià)半場(chǎng)，還(hái)有(yǒu)哪些(xi£'Ω×ē)未知(zhī)安全風(fēng)險将會(huì≥​)“裂變”而至，誰也(yě)無法預見(jiàn)。

就(jiù)上(shàng)半年(nián)已暴©₹↓β露出的(de)諸多(duō)安全威脅面而言，各方仍應提高(gāo)安全意識↕δ∑加強安全防護，居安思危以未雨(yǔ)綢缪。畢竟，若不(bù)能(néng)清醒 ♥φ≤的(de)看(kàn)清新威脅，無論發生(shē≠↕ng)何種後果都(dōu)終将由自(zì)© ©π己買單。

PC安全威脅十面埋伏，360安全大(dà)腦(nǎo)₽∏δ↕如(rú)何見(jiàn)招拆招？

針對(duì)上(shàng)半年(nián)傳統病毒木(mù)馬‌₩變種百出，對(duì)抗持續升級的(de)嚴峻&§♥<安全形勢，在360安全大(dà)腦(nǎo)的(de)極智賦能(✔←ε©néng)下(xià)，360安全衛士在不(bù)斷提升  ☆&安全檢測能(néng)力的(de)同時(sh☆♠$í)，還(hái)推出“橫向滲透防護”、“變形蟲BadU§₹♥≤SB防護”等多(duō)項安全解決方案，不(bù)斷提升360 ☆安全衛士的(de)終端防護能(néng)力。針對(duì)以上(shàng)十大(dà)風(fē"↕® ng)險挑戰，360安全大(dà)腦(nǎo)給出如(rú)下≈✔♦(xià)安全建議(yì)：

1、 前往http:weishi.360.cn下(xià)載安裝360安全衛士，對(duì)多(duō)種惡意攻擊及時(sh÷ ≤∑í)進行(xíng)攔截；

2、打開(kāi)360安全衛士，進入軟件(jiàn)管家(jiā)下(↓£$xià)載360文(wén)檔衛士，全面防禦勒索病毒文(w¶β÷én)件(jiàn)數(shù)據勒索，實時(shí) ✘保護文(wén)檔安全；

3、如(rú)果不(bù)慎感染勒索病毒，可Ωφ(kě)直接前往lesuobingdu.360.cn确認所中勒索病毒類型，并通(tōng)過360₽<©安全衛士“功能(néng)大(dà)全”窗(chuāng)  口，搜索安裝“360解密大(dà)師(sh≠€ī)”，點擊“立即掃描”嘗試恢複被加密文(wén)π∞ε件(jiàn)，360解密大(dà)師(α​£ shī)已經支持800多(duō)種勒索病毒免費(fèπ​i)破解；

4、提高(gāo)個(gè)人(rén)網絡安全意識，建議↕↑±(yì)從(cóng)軟件(jiàn)官網，360軟件(jiàn)管家(jiā)等正規渠道(dào)下(xià)載安裝軟件(ji &≤àn)，對(duì)于被360安全衛士攔截的(de)不(bù)熟悉的(de)軟₩>↓件(jiàn)，不(bù)要(yào)繼續運行(xíng)和(hé)添加信任€$×。

360安全衛士獨家(jiā)推出“橫向滲透”防護功能(néng)，全視( ★  shì)域洞察阻斷病毒木(mù)馬橫向傳播擴散

360安全衛士獨家(jiā)推出變形蟲（BadUSB）防護功能(néng)ε←ε，實時(shí)捕捉USB設備惡意行(xíng)為(wèi)