速看2018上半年中国网络安全报告

近日，瑞星发布了“2018年上半年中国网络安全报告”，对恶意软件、恶意网址、移动互联网安全、互联网安全和网络安全趋势进行解读，笔者在此摘录精华内容，以飨读者。

一、互联网安全

在此部分，该报告对2018上半年全球网络安全事件进行了解读。

1. 英特尔处理器曝“Meltdown”和“Spectre漏洞”

2018年1月，英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞，包括AMD、ARM、英特尔系统和处理器在内，几乎近20年发售的所有设备都受到影响，受影响的设备包括手机、电脑、服务器以及云计算产品。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息，这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。

2. 湖北某医院内网遭到挖矿病毒疯狂攻击

2018年3月，湖北某医院内网遭到挖矿病毒疯狂攻击，导致该医院大量的自助挂号、缴费、报告查询打印等设备无法正常工作。由于这些终端为自助设备，只提供特定的功能，安全性没有得到重视，系统中没有安装防病毒产品，系统补丁没有及时更新，同时该医院中各个科室的网段没有很好的隔离，导致挖矿病毒集中爆发。

3. 中国某军工企业被美、俄两国黑客攻击

2018年3月，安全研究人员表示，中国某军工企业被美、俄两国黑客攻击。美国黑客和俄罗斯黑客在2017年冬天入侵了中国一家航空航天军事企业的服务器，并且留下了网络间谍工具。研究人员认为这种情况比较罕见，以前从未发现俄罗斯黑客组织 APT28 与美国 CIA 的黑客组织 Lamberts (又被称为“长角牛”Longhorn)攻击同一个系统。

4. Facebook用户数据泄露

2018年3月，Facebook八千七百多万用户数据泄露，这些数据被“剑桥分析”公司非法利用以发送政治广告。此次事件被视为 Facebook 有史以来遭遇的最大型数据泄露事件。剑桥分析公司与Facebook进行了合作。前者开发了一个让用户进行“个性人格测试”的 Facebook App(类似国内微信的小程序)，每个用户做完这个测试，就可以得到5美元。剑桥分析公司不仅收集了用户的测试结果，顺便收集了用户在Facebook上的个人信息。剑桥分析公司以此访问并获得了8700万活跃用户数据，然后建立起用户画像，依靠算法，根据每个用户的日常喜好、性格特点、行为特征，预测他们的政治倾向，然后定向向用户推送新闻，借助Facebook的广告投放系统，影响用户的投票行为。

5. GitHub遭受有史以来最严重DDoS攻击

2018年3月，知名代码托管网站GitHub遭遇了有史以来最严重的DDoS网络攻击，峰值流量达到了1.35Tbps。尽管此类攻击的特点就是利用如潮水般的流量同时涌入网站，不过本次攻击不同之处在于采用了更先进的放大技术，目的是针对主机服务器产生更严重的影响。这项新技术并非依赖于传统的僵尸网络，而是使用了memcached服务器。该服务器的设计初衷是提升内部网络的访问速度，而且应该是不暴露在互联网中的。不过根据DDoS防御服务提供商Akamai的调查，至少有超过5万台此类服务器连接到互联网上，因此非常容易受到攻击。

6. A站受黑客攻击 近千万条用户数据外泄

2018年6月，弹幕视频网AcFun公告称，因网站受黑客攻击，已有近千万条用户数据外泄，目前已报警处理，希望用户及时修改密码。公告称，用户数据泄露的数量达近千万条，原因是遭到黑客攻击。泄露的数据主要包括用户ID、昵称、加密储存的密码等。A站表示，本次事件的根本原因在于公司没有把AcFun做得足够安全，为此，官方向用户道歉，并将马上提升用户数据安全保障能力。目前，A站已联合内部和外部的技术专家成立了安全专项组，排查问题并升级了系统安全等级。此后，公司将对AcFun服务做全面系统加固，实现技术架构和安全体系的升级。

二、移动互联网安全

1. 旅行青蛙”游戏外挂藏风险

2018年1月，一款名为“旅行青蛙”的手游在朋友圈中刷屏。因为操作简单、节奏缓慢，这款游戏也被网友戏称为“佛系养蛙”。部分商家瞅准商机，针对iOS手机用户，推出“花费20元即可购买21亿无限三叶草”服务，通过“外挂”操作，让玩家轻易获得大量三叶草。记者调查发现，购买“无限三叶草”服务后，需要在电脑上按照教程操作或允许商家远程操作，但其间存在不少风险，或会造成手机中数据丢失，甚至泄露个人隐私。

2. 恶意软件伪装“系统Wi-Fi服务”感染近五百万台安卓手机

2018年3月，安全研究人员发现一个大规模持续增长的恶意软件活动，已经感染了全球近500万台移动设备。一款名为“Rottensys”的恶意软件伪装成“系统Wi-Fi服务”，该程序包含风险代码，可在后台私自下载恶意插件并静默安装，进行远程控制命令以及对用户手机进行root，从而频繁推送广告并进行应用分发，消耗用户流量资费，影响用户体验。受影响的品牌包括荣耀、华为、小米、OPPO、Vivo、三星和金力等。

3. 二手手机信息泄露乱象：10元可买通讯录，几十元可恢复已经删除的数据

2018年6月，有记者调查发现，网上有收售二手手机、电脑的贩子以一毛钱一条的价格打包出售机主信息。而在二手手机交易和手机维修市场中，很多维修商称只需花几十元就能恢复手机通讯录、照片、微信聊天记录等，哪怕手机被恢复到出厂设置，也可以将删除的信息复原。专家表示，要想手机信息不被泄露，通常需要从硬件安全和软件安全两方面去解决。“硬件安全就是外界所说的用水泡或者将手机砸烂。但这种方式无论从环保性还是经济性而言，成本太高。”软件安全，则是用户为了规避隐私风险，在出售手机前可以通过第三方粉碎软件将所有个人信息删除粉碎，同时需要解除手机上涉及网络支付的所有软件绑定。

其次是手机安全。一是涉及到手机病毒，二是手机漏洞。根据瑞星报告，2018年上半年瑞星“云安全”系统共截获手机病毒样本345万个，新增病毒类型以信息窃取、资费消耗四类为主，其中信息窃取类病毒占比28%，位居第一。其次是资费消耗类病毒占比27%，第三名是流氓行为类病毒，占比17%。

而在手机漏洞方面，则是RAMpage漏洞、Qualcomm组件权限提升漏洞等，它们会导致手机安全出现诸多问题。

三、恶意软件与恶意网址

恶意软件方面，木马病毒依然是第一大种类病毒，占总体数量的62.83%，其次是灰色软件病毒(垃圾软件、广告软件、黑客工具、恶意软件)为第二大种类病毒，占总体数量的17.72%，第三大种类病毒为病毒释放器，占总体数量的9.55%。

报告期内，CVE-2018-4878漏洞利用占比52.85%，位列第一位。该漏洞影响Flash Player所有版本，攻击者可以诱导用户打开包含恶意Flash代码文件的Microsoft Office文档、网页、垃圾电子邮件等。

而在勒索软件方面，瑞星“云安全”系统共截获勒索软件样本31.44万个，感染共计456万次，其中广东省感染116万次，位列全国第一。通过对瑞星捕获的勒索样本按家族分析发现，LockScreen家族占比43%，位列第一，其次为WannaCrypt占比27%，以及GandCrab占比20%。

在恶意网址方面，2018年上半年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量4,785万个，其中挂马网站2,900万个，诈骗网站1,885万个。美国恶意URL总量为1,643万个，位列全球第一，其次是中国226万个，德国72万个，分别为二、三位。

具体到中国国内，甘肃省恶意网址(URL)总量为72万个，位列全国第一，其次是浙江省36万个，以及香港29万个，分别为二、三位。

另外，该报告表示：2018年最大的变化是病毒制造者将目标投向了挖矿领域，大量的挖矿病毒层出不穷，其中影响最大的是一个构造精密被称为 “MsraMiner”的挖矿僵尸网络。同时，蠕虫化的勒索病毒、VPNFilter物联网病毒和网页挖矿病毒都是比较火的。

四、趋势展望

A. 犯罪团伙转向挖矿与勒索

近年来，挖矿和勒索病毒持续上升，传统DDOS和刷流量的病毒仍然存在，但有一定的下降，一方面DDOS和刷流量的病毒过于显眼，另一方面相关部门加大了打击力度。虚拟货币的钱包地址比较隐蔽，一般情况下很难通过钱包地址定位到攻击者的身份。无论是加密货币挖矿的钱包地址，还是勒索病毒索要赎金的钱包地址都是虚拟货币钱包，因此催生了加密货币挖矿病毒和勒索病毒的爆发。

B. 漏洞利用越来越广泛

以前漏洞大部分都是APT团伙在使用，但随着经济利益的驱使，挖矿和勒索病毒也开始使用漏洞，而且使用漏洞的种类开始增加，这就导致很多受害者，并没有下载运行可疑程序也有可能中毒。尤其是服务器，运行了很多web服务、数据库服务、开源CMS等服务，这些服务经常会出现漏洞，如果服务器没有及时更新补丁，就会被攻击者通过漏洞植入病毒，而且很多公司的外网服务器和内网是连通的，一旦服务器中毒，就可能导致局域网很多机器中毒。

C. 物联网病毒更加精密

物联网病毒最知名的是“Mirai”，它被用来发动DDOS攻击，后续基于“Mirai”修改而来的变种大多也是为了DDOS攻击。然而随着物联网设备的增多，物联网病毒也会有更多的功能，比如路由器中了病毒，就可能导致网络通信中的帐号密码等隐私信息被窃取。如果摄像头中了病毒，就可能导致一举一动都在攻击者的监控之中。如果中病毒的是工控设备，就可能导致工厂停产、城市停电等严重问题。

未来一段时间，利用漏洞攻击的挖矿和勒索病毒仍会持续增加，物联网病毒的数量和功能仍将持续增长。因此用户需要及时更新补丁，升级系统固件，安装防病毒产品，降低中毒的风险。