2017網(wǎng)絡(luò)安全大事回顧

1.永恒之藍(lán)漏洞與勒索病毒制造全球蠕蟲災(zāi)難

5 月 12 日晚8 時(shí)左右，WannaCry（想哭）勒索軟件全球爆發(fā)，存在漏洞的電腦開機(jī)上網(wǎng)就可被攻擊。數(shù)小時(shí)之內(nèi)，病毒席卷英國、俄羅斯、整個(gè)歐洲，迅速蔓延至國內(nèi)高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)，桌面彈出支付比特幣才能解密恢復(fù)文件，攻擊造成教學(xué)系統(tǒng)、校園一卡通系統(tǒng)、加油站系統(tǒng)及眾多政府機(jī)關(guān)網(wǎng)絡(luò)癱瘓。?

該病毒之所以快速蔓延，其根源在黑客組織“影子經(jīng)紀(jì)人（Shadow Brokers）”將NSA（美國國家安全局）使用的武器級(jí)安全漏洞公開。盡管微軟早在病毒事件爆發(fā)前發(fā)布了安全補(bǔ)丁，但眾多內(nèi)網(wǎng)用戶并未及時(shí)修補(bǔ)，從而導(dǎo)致一場(chǎng)遍布全球的安全災(zāi)難。

繼WannaCry（想哭）勒索蠕蟲之后，又有NotPetya、Bad Rabbit等多款蠕蟲病毒利用類似的攻擊（漏洞+勒索）在歐洲多國傳播，這些病毒的影響力都遠(yuǎn)遜于WannaCry勒索蠕蟲。

該病毒給所有網(wǎng)民的教訓(xùn)就是必須高度重視安全漏洞的影響，特別是安全專家們提及的網(wǎng)絡(luò)戰(zhàn)武器級(jí)高危漏洞。這類安全漏洞單點(diǎn)使用可以無形中滲透到保密級(jí)別很高的網(wǎng)絡(luò)系統(tǒng)，大規(guī)模使用可以導(dǎo)致極為嚴(yán)重的后果。影子經(jīng)紀(jì)人一直宣稱要公開所有NSA的網(wǎng)絡(luò)戰(zhàn)兵器譜，但僅僅只放了幾個(gè)出來。

及時(shí)修補(bǔ)安全漏洞才能在突然到來的蠕蟲病毒攻擊中成為幸存者。重要數(shù)據(jù)如果沒有備份，在遭遇超強(qiáng)加密的勒索病毒時(shí)，將造成無法挽回的損失。

2.國產(chǎn)流氓軟件Fireball(火球)全球做惡

據(jù)國外安全公司報(bào)告，由中國商業(yè)公司卿燁科技（rafotech）控制的Fireball(火球)病毒，感染全球約2.5億部計(jì)算機(jī)。

火球病毒感染后會(huì)劫持用戶瀏覽器，中毒電腦成為僵尸網(wǎng)絡(luò)的一部分。Fireball病毒也是一個(gè)功能完善的病毒下載器，可以在中毒電腦執(zhí)行任何代碼。其核心功能是控制用戶瀏覽器點(diǎn)擊谷歌、雅虎網(wǎng)站的廣告牟利。

該病毒事件被公布后，相關(guān)公司迅速被公安機(jī)關(guān)查處。目前，火球病毒已停止活動(dòng)。

3.暗云木馬大肆傳播，格式化硬盤也無法清除

暗云木馬是迄今為止最復(fù)雜的木馬之一，曾經(jīng)感染過數(shù)百萬電腦，它用了很多復(fù)雜的新技術(shù)來長(zhǎng)期潛伏在系統(tǒng)中，尤其是借助BootKit直接感染硬盤引導(dǎo)分區(qū)。

暗云木馬變種會(huì)將攻擊母體捆綁在游戲外掛或私服工具中，或者干脆假冒游戲外掛和私服工具，欺騙游戲玩家下載安裝，并通過聯(lián)網(wǎng)獲得攻擊指令。病毒作者可以非常靈活地控制中毒電腦，執(zhí)行任意操作。

暗云木馬通過聯(lián)網(wǎng)下載攻擊指令，再將攻擊代碼在內(nèi)存中運(yùn)行，并不在本地硬盤上生成文件完成破壞或攻擊目的。這是一種高超的攻擊技巧，本地找不到完成攻擊的文件，指令只在內(nèi)存中，隨時(shí)可以通過網(wǎng)絡(luò)更換攻擊方式。

金山毒霸監(jiān)測(cè)到的攻擊代碼是刷流量牟利，以及發(fā)起DDoS攻擊。

4.惠普隱藏鍵盤記錄器，竊取信息

今年5月，惠普筆記本被曝出在音頻驅(qū)動(dòng)中存在一個(gè)內(nèi)置鍵盤記錄器監(jiān)控用戶的所有按鍵輸入，這個(gè)按鍵記錄器會(huì)通過監(jiān)控用戶所按下的鍵來記錄所有的按鍵。

近期某部委下屬網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室已經(jīng)發(fā)布公告通報(bào)了惠普電腦存在隱藏鍵盤記錄器問題。

研究人員指出，惠普的音頻驅(qū)動(dòng)文件中隱藏缺陷代碼 (CVE-2017-8360) 的漏洞，它不但會(huì)抓取特殊鍵，而且還會(huì)記錄每次按鍵并將其存儲(chǔ)在人類可讀取的文件中。

惠普公司是這樣說的：“聲卡驅(qū)動(dòng)程序中部分調(diào)試代碼被錯(cuò)誤地保留下來，這是一個(gè)意外。這些代碼的目的是幫助我們調(diào)試、解決驅(qū)動(dòng)程序出現(xiàn)的問題”。并表示，“我們希望未來不會(huì)再出現(xiàn)類似問題?！?/span>

5.全國爆發(fā)軟件升級(jí)劫持攻擊，升級(jí)時(shí)被調(diào)包

國內(nèi)多款軟件在升級(jí)更新時(shí)，遭遇網(wǎng)絡(luò)流量劫持攻擊，用戶以為在升級(jí)，實(shí)際卻把病毒安裝到電腦上。

被偽裝的軟件沒有數(shù)字簽名，如下圖：

此次流量劫持攻擊影響多個(gè)省，攻擊者利用此次攻擊大量推廣安裝流氓軟件并從中獲益。

6.xshell 、CCleaner等工具被植入門后程序

今年8月，非常流行的服務(wù)器管理工具Xshell被發(fā)現(xiàn)安裝包植入病毒。據(jù)分析，該次病毒傳播高度懷疑是黑客入侵了Xshell相關(guān)開發(fā)人員的系統(tǒng)，在源碼中植入后門，致使該公司發(fā)布的官方程序不幸?guī)Ф?。繼而威脅所有使用Xshell管理的服務(wù)器安全。

隨后不久，安全專家發(fā)現(xiàn)，著名的系統(tǒng)清理軟件CCleaner官方開發(fā)環(huán)境疑似被黑客入侵，在官方發(fā)行的軟件中植入后門，下載該軟件的用戶安裝后，電腦就會(huì)中毒。預(yù)計(jì)受影響的用戶高達(dá)220萬，病毒會(huì)收集中毒電腦的隱私信息。

這兩起案例值得軟件開發(fā)者高度關(guān)注，如果開發(fā)者系統(tǒng)被入侵，會(huì)造成極為嚴(yán)重的后果：因官方發(fā)行的軟件帶有發(fā)行商的數(shù)字簽名，這些有簽名的軟件極易被系統(tǒng)和安全廠商判定為“可信”，大量用戶從官方網(wǎng)站下載軟件或更新軟件就會(huì)中毒。

7.瘋漲的比特幣帶來挖礦病毒災(zāi)難

2017年幾乎成為病毒挖礦年，這源于比特幣一年瘋漲了20倍，一枚比特幣與北京二環(huán)一平米的房子價(jià)值相當(dāng)。這極大地刺激了病毒木馬黑色產(chǎn)業(yè)，除了給手機(jī)、電腦安裝可以挖礦的病毒，網(wǎng)絡(luò)攝像頭、家用路由器、一些大流量的網(wǎng)站也紛紛中招，象著名的海盜灣網(wǎng)站、中國電信天翼校園客戶端等都曾被植入挖礦病毒。

挖礦病毒感染電腦后會(huì)產(chǎn)生刷廣告流量和挖礦兩種危害。

首先，病毒會(huì)創(chuàng)建一個(gè)隱藏的IE瀏覽器窗口，模擬用戶操作鼠標(biāo)、鍵盤點(diǎn)擊廣告，由于病毒屏蔽了廣告頁面的聲音，用戶難以發(fā)現(xiàn)自己已被挾持。其次，病毒會(huì)利用受害者電腦挖“門羅幣”，病毒挖礦時(shí)將大量占用CPU、GPU資源，電腦由此會(huì)變慢、發(fā)熱，用戶能聽到電腦風(fēng)扇高速運(yùn)行產(chǎn)生的噪音。

當(dāng)網(wǎng)站被植入挖礦病毒，用戶只要使用瀏覽器訪問到這個(gè)頁面，電腦就開始挖礦。金山毒霸安全實(shí)驗(yàn)室還捕獲了劫持他人加密幣錢包的病毒，病毒之間為了錢包相互黑吃黑。

8.Windows激活工具被植入病毒“薅羊毛”

金山毒霸安全實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn)，國內(nèi)最流行的若干款Windows激活工具都被蓄意植入了“薅羊毛”病毒，“薅羊毛”病毒每天感染上萬臺(tái)電腦。

病毒會(huì)將多個(gè)瀏覽器主頁鎖定為2345，在用戶網(wǎng)購時(shí)強(qiáng)行劫持瀏覽器，偽造推廣業(yè)績(jī)賺取傭金。

當(dāng)用戶瀏覽到京東、淘寶、蘑菇街、唯品會(huì)、蘇寧、國美等電商網(wǎng)站時(shí)，并就會(huì)自動(dòng)在瀏覽器地址欄插入自己的推廣ID。這樣，只要用這臺(tái)電腦購物，病毒作者就能從中賺取傭金。

病毒會(huì)用一個(gè)不可見的瀏覽器窗口模擬點(diǎn)擊視頻網(wǎng)站廣告鏈接，達(dá)到刷廣告流量的目的。受影響的視頻網(wǎng)站包括優(yōu)酷、愛奇藝、搜狐、PPTV等等。按單個(gè)廣告視頻點(diǎn)擊0.5元計(jì)算，該病毒每天僅靠虛假點(diǎn)擊可以騙取收入上萬元。

在金山毒霸公布該病毒的技術(shù)報(bào)告及作者信息之后，病毒作者迅速關(guān)閉了控制服務(wù)器，清空了Github空間，銷聲匿跡了。

在金山毒霸公布小馬Windows激活工具帶毒之后 ，又有其他安全廠商爆出其他盜版激活工具同樣被植入病毒。網(wǎng)友在使用Windows、Office、Adobe全家桶等破解工具時(shí)，務(wù)必開啟殺毒軟件保護(hù)。避免自己的電腦成為別人薅羊毛或挖礦的工具。

9.利用Office漏洞刻意構(gòu)造攻擊文檔進(jìn)行精準(zhǔn)攻擊

今年，一系列利用Office高危漏洞攻擊的案例不斷涌現(xiàn)，主要利用點(diǎn)：

1. CVE-2017-0199 :word在處理OLE2LINK對(duì)象時(shí)，對(duì)Content-Type處理不當(dāng)，造成遠(yuǎn)程執(zhí)行hta文件；

2. CVE-2017-8570 :ppt在處理Moniker對(duì)象時(shí)，會(huì)自動(dòng)激活該對(duì)象，導(dǎo)致sct腳本執(zhí)行；

3. CVE-2017-11826 :docx文檔中，在處理font標(biāo)簽不當(dāng)，造成的內(nèi)存破壞進(jìn)而結(jié)合堆噴射造成代碼執(zhí)行；

4. CVE-2017-8759 :在處理soap的location標(biāo)簽中，未考慮換行符，造成.net代碼注入，通過引入新的SOAP XML指定SOAP WSDL模塊解析完成代碼執(zhí)行；

5. CVE-2017-11882 :舊版的公式編輯器，存在棧溢出，由于沒有任何漏洞緩解策略，可通過改返回地址為程序內(nèi)WinExec函數(shù)進(jìn)而執(zhí)行代碼，常見利用方式有：通過WebDAV；使用mshta；結(jié)合office的自動(dòng)釋放機(jī)制執(zhí)行

Office及Adobe Flash、PDF的高危安全漏洞，經(jīng)常被用來刻意構(gòu)造攻擊文件，對(duì)特定目標(biāo)進(jìn)行精準(zhǔn)攻擊。

大部分網(wǎng)民對(duì)文檔攻擊缺乏認(rèn)知，安全軟件的防御往往不如針對(duì)EXE的攔截響應(yīng)快，攻擊者容易得手。

10.個(gè)人信息保護(hù)任重道遠(yuǎn)

2017年，仍然觀察到大量個(gè)人信息泄露事件。：目前電信網(wǎng)絡(luò)詐騙案件 90％ 以上是違法分子靠掌握公民詳細(xì)信息進(jìn)行的精準(zhǔn)詐騙，從已破獲案件看，“內(nèi)鬼”監(jiān)守自盜和黑客攻擊仍是公民個(gè)人信息泄露的主要渠道。?

2017年，許多年輕人為幾千元的數(shù)碼產(chǎn)品、幾百塊錢的化妝品卷入現(xiàn)金貸。參與借貸的人已不存在任何隱私，包括身份證、手機(jī)號(hào)、銀行卡號(hào)、學(xué)生證、學(xué)信網(wǎng)帳號(hào)、支付寶帳號(hào)等等絕不可以泄露給他人的信息，均拱手交給高利貸組織。隨之不斷出現(xiàn)“女大學(xué)生裸貸”、“某某學(xué)生借貸數(shù)十萬被逼跳樓”之類的悲劇事件。

現(xiàn)金貸公司還會(huì)出于風(fēng)控目的近乎公開的非法買賣個(gè)人信息，使用網(wǎng)絡(luò)爬蟲抓取個(gè)人信息。隨著國家對(duì)現(xiàn)金貸的管制升級(jí)，大量現(xiàn)金貸公司業(yè)務(wù)停滯，破產(chǎn)倒閉者不在少數(shù)，這些組織和個(gè)人手里掌握的大量個(gè)人信息，隨時(shí)會(huì)威脅貸款人的信息安全。

個(gè)人信息保護(hù)需要安全廠商、國家機(jī)關(guān)、存儲(chǔ)數(shù)據(jù)的企業(yè)和組織，以及網(wǎng)民攜手聯(lián)防，僅靠任何單一的環(huán)節(jié)，并不能消除風(fēng)險(xiǎn)。

更多信息，可參考金山毒霸2017網(wǎng)絡(luò)安全研究報(bào)告

http://www.ijinshan.com/info/201712221355.shtml