2020年的新型网络安全病毒的“狂欢”

    疫情肆虐的今天，远程办公已经成为工作中的常用方法，当你落座家中，与各地同事沟通协作无间时，有没有想过，当你点开邮件里面的视频会议参加链接 ，或者打开一封来自相关部门的煞有其事的邮件时。很可能会发现，电脑运行速度莫名其妙地变得缓慢，或者出现了要求缴纳赎金的“通知”这可能表示勒索病毒或是挖矿病毒已经侵入你的电脑设备。
    随着我们开启一个又一个十年新纪元，网络信息安全也随之过渡到新的时代， 不断演变的攻击方式，以及更多变的威胁态势，需要我们有能力“抵御”它的变化，更多的是能够主动“预见”它的变化。

    近期亚信安全管理正式发布了《亚信安全2019年度国家安全问题威胁回顾及预测》，总结了2019年的安全发展态势，更对2020的安全技术趋势研究进行了一个预测与分析，报告显示，勒索和挖矿病毒猖獗从2019年至2020年，除了有组织的APT入侵仍在增加，而新兴的“无文件”攻击防御是日益严峻。
 

勒索病毒：较少，但强
 

    GANDCRAB（侠盗）、Maze（迷宫）、Paradise（天堂）......这些略显文艺范儿的名字很容易让大家心生亲近之感，但实际上，他们的真实身份却是2019 年十大勒索病毒的成员。 总体而言，这些勒索病毒的数量在2019年大部分时间呈稳步下降趋势，截获数量从3月的峰值14927下降到12月的9298。 但值得注意的是，这些勒索病毒使用的技术不断更新，旧病毒不断变异，新病毒层出不穷，给企业保护带来巨大压力。

    

【2019年度勒索病毒检测数量图】

    例如，Gand Crab勒索病毒以多种方式传播，使用技术也在不断升级，它使用高强度加密算法，导致加密文件难以解密，该勒索病毒进行加密后的文件系统扩展名为随机字符，其不仅可以加密本机文件，还会加密局域网共享服务目录中的文件，加密方式完成时间后会修改被感染机器桌面壁纸，进一步分析提示用户勒索信息。作为GandCrab在2019年7月退出后的延续，Sodinokibi勒索病毒也同样值得关注，其不仅利用了社会工程学的传播方式，使用的外壳保护技术也在不断更新和变换。

    

【GANDCRAB 勒索病毒加密后的提示信息】
 

    亚信安全对勒索病毒全球主要分布基本情况可以进行的统计还显示，印度、巴西、土耳其、中国等发展中国家和民族地区的勒索病毒通过检测人员数量位居世界前列，其中印度居首位，占全球勒索病毒感染率的22％，网络安全意识相对薄弱，升级计算机滞后，进入人力和财力的网络安全性是有限的，所以是发展中国家易受病毒勒索的原因。在行业方面，黑客更喜欢政府，医疗，制造，和技术等网络安全是相对较弱的企业。
 

采矿病毒：新一轮的狂欢
 

    时间我们还得从2017年4月份说起，黑客通过团体进行公布了“永恒之蓝”工具，这导致了轰动整个世界的WannaCry勒索病毒问题爆发危机事件，此严防死守病毒后，我们曾经以为，“永恒之蓝”已经消失在我们的视野中。但是事实并非如此，亚信安全报告显示，直到2019年，“永恒之蓝”漏洞都是大量流行的挖矿病毒的罪魁祸首：如“驱动人生”、WannaMine、FakeMsdMiner 等臭名昭著的挖矿病毒。

    

【WannaMine攻击流程】
 

    这些行为挖矿病毒有一个具有典型的特点，那就是其与数字电子货币的币值高度发展相关。2019 年上半年比特币重新进行恢复上涨问题之后，与之密切结合相关的挖矿病毒开始进入新一轮活跃。由于其隐蔽性高，成本低，受到网络犯罪分子的青睐，近年来挖掘病毒已成为流行的病毒类型之一，一些挖掘病毒家族也出现了快速、持续更新的现象，表明黑客集团在战术上将挖掘病毒作为一种“商业”武器。
    亚信的安全报告中强调，挖矿病毒隐蔽性高，成本低，收入高，导致了越来越多的关注病毒的开采和生产的黑客团体。 为了防止挖掘病毒，建议用户不要下载来源不明的软件，并通过替换高强度密码、防止连接到端口445、关闭不必要的文件共享、打全系统和应用程序补丁以及部署网络安全保护系统来阻止流行的挖掘病毒。另外，历经10余年历史的Windows 7已于2020年1月14日停止了安全更新，这对于许多行业（如：医疗、金融）来说将带来巨大影响，网络安全软件肩上的责任也将更重。
 

APT攻击：“老对手”的新动作
 

    一些国家的公司，包括阿拉酋、沙特阿拉伯、印度、日本、阿根廷、菲律宾、韩国和摩洛哥等。在2019年6月遭受了有针对性的大规模APT袭击，此次攻击无论是从内容还是手法上都让研究人员非常熟悉：其邮件主题大多具有诱惑性，欺骗用户点击，如“您的RAKBANK税务发票”、“免税额度”，通过Amadey僵尸网络发送垃圾邮件，传送“EmailStealer”信息窃取程序等。

【垃圾邮件攻击流程】
 

    经过分析，亚信安全确认，这是老对手 TA505网络间谍组织，该间谍组织自2014年以来就一直保持活跃状态。在过去的几年里，该组织已经通过利用银行木马Dridex以及勒索病毒Locky和Jaff作为攻击工具成功发起了多起大型的网络攻击活动，该组织不断改变和更新技术，攻击目标也在扩大，对用户构成巨大威胁。
 

移动安全：大量仿冒APP，移动APT攻击防不胜防
 

    随着移动设备数据价值的不断提升，恶意程序，假冒程序，数据泄露，ATP攻击等移动应用安全威胁不断加大，安卓平台安全风险形势依然严峻..其中，GooglePlay上发现了大量仿冒APP，还有伪装成CurrencyConverter和BatterySaverMobi程序用于传播银行木马，这给新型冠状病毒感染肺炎疫情期间采用远程办公的用户带来极大的威胁。此外，移动ATP发作也值得我们关注，如韩国三月最常访问的网站遭遇“水坑”网络钓鱼攻击，这些攻击通过注入虚假的登录表单窃取用户凭据。
 

“无文件”攻击：“无文件”僵尸网络
 

    “无文件”攻击给许多企业采用中国传统防御系统技术的用户可以带来巨大挑战，由于这类攻击我们通过在内存空间中直接完成恶意代码的下载、解密和执行，全程无文件落地，所以容易绕过传统信息安全软件的防御。2019年3月，亚信安全侦测到KovCoreG攻击活动，经过持续追踪，发现该攻击活动使用了Novter新型“无文件”恶意软件，并形成了隐蔽性较强“无文件”僵尸网络。
    2020预测：企业威胁更加复杂，传统安全威胁和新的威胁继续搅拌
    亚信安全预测，到2020年，勒索病毒，病毒攻击开采仍是主流，随着云时代的兴起，配置错误等人为错误会带来新的安全威胁，企业发展威胁将更加复杂化，传统威胁与新的安全管理技术进行混合在一起，让企业经济面临更加严峻网络信息安全威胁。具体情况来说，这些预测方法包括：
    网络安全：更多的网络罪犯将转向地下区块链平台交易，网上银行和移动支付恶意软件将受到更多的攻击。此外，AI 欺诈、“可蠕虫”漏洞、反序列化漏洞等攻击信息技术将更多的被网络经济犯罪进行分子可以加以充分利用。
    物联网安全：在持续着陆的5G技术背景下，物联网安全威胁将继续扩大，网络罪犯将更多地使用物联网设备进行间谍和勒索攻击，此外，公用事业、基础教育设施、家庭及远程办公系统设备都将自己成为网络攻击目标。
    云安全：由于大量企业预计将在2020年部署无服务器计算技术，因此将突出显示无服务器应用程序的相关威胁，错误的配置和漏洞将成为无服务器应用程序的威胁入口， 云存储配置很可能导致数据泄露事件，云平台也会成为代码注入攻击的受害者。
    企业进行安全：在2020年，无文件、Linux和信息系统窃取恶意软件将持续发展威胁中国企业文化安全，无文件管理技术将持续应用在商业银行木马、挖矿和勒索病毒之中。恶意软件变种窃取信息的功能会增加，基于Linux的恶意软件将经历持续繁荣。在这种情况下，部署涵盖威胁情报安全分析、企业安全架构完整的防御系统将是至关重要的。
 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！