一、前言年復(fù)一年，日復(fù)一日，不僅威脅的總數(shù)在增加，威脅態(tài)勢(shì)也變得更加多樣化，攻擊者也在不斷開發(fā)新的攻擊途徑并盡力在攻擊過程中掩蓋蹤跡。

從Facebook數(shù)據(jù)泄露和萬豪酒店5億用戶開房信息掛在暗網(wǎng)銷售、“老當(dāng)益壯”的WannaCry繼續(xù)作惡并且傳播速度更快的Satan等勒索軟件大肆傳播，到花樣百出的APT攻擊行為迅速增長(zhǎng)，2018年給我們敲響了另一記警鐘，即數(shù)字安全威脅可能來自意想不到的新途徑。

縱觀去年的網(wǎng)絡(luò)安全整體態(tài)勢(shì)，數(shù)據(jù)泄露事件最為觸目驚心，全年的漏洞采集數(shù)量也達(dá)到歷年的高峰，勒索軟件也大有向挖礦的轉(zhuǎn)型之勢(shì)。

二、數(shù)據(jù)泄露事件爆炸式上升數(shù)字化變革技術(shù)正在重塑組織機(jī)構(gòu)的經(jīng)營(yíng)方式，并將它們帶入一個(gè)數(shù)據(jù)驅(qū)動(dòng)的世界，但是企業(yè)急于擁抱數(shù)字化新環(huán)境的做法也帶來了更多被攻擊的新風(fēng)險(xiǎn)，需要企業(yè)采取數(shù)據(jù)安全控制措施來加以防范。

經(jīng)Verizo調(diào)查，今年已經(jīng)發(fā)生了5.3萬多起安全事件，其中2216起被確認(rèn)為數(shù)據(jù)泄漏事件。

另外，在這5萬多起安全事件中，有4.3萬起(81.1%)都是黑客通過竊取身份憑證來實(shí)現(xiàn)的。

這也證實(shí)了一個(gè)普遍的觀點(diǎn)：盜用身份憑證仍然是黑客最常用、也是最有效的攻擊和破壞手段。

根據(jù)Thales eSecurity的調(diào)查報(bào)告，不斷增長(zhǎng)的數(shù)據(jù)威脅程度及其影響力清晰地體現(xiàn)在數(shù)據(jù)泄露和脆弱性的等級(jí)上：2016年，26%的的受訪者表示遭遇了數(shù)據(jù)泄露，2017年的占比上升至36%，而到2018年這一比例明顯上升至67%。

基于此，44%的受訪者感到“非常”或“極其”容易遭受數(shù)據(jù)威脅。

雖然技術(shù)在隨著時(shí)代而發(fā)展，但安全策略卻并未與時(shí)俱進(jìn)，這很大程度上是因?yàn)閷?shí)際支出與最有效的數(shù)據(jù)保護(hù)方法錯(cuò)配所致。

77%的受訪者表示在預(yù)防數(shù)據(jù)泄露方面靜態(tài)數(shù)據(jù)安全解決方案最為有效，緊隨其后的是網(wǎng)絡(luò)安全(75%)和動(dòng)態(tài)數(shù)據(jù)(75%)解決方案。

盡管如此，57%的受訪者卻仍將大多數(shù)支出用于端點(diǎn)和移動(dòng)安全技術(shù)上，其次是分析與關(guān)聯(lián)工具(50%)。

在數(shù)據(jù)保護(hù)方面，認(rèn)知與現(xiàn)實(shí)之間的差距是顯而易見的，在IT安全的支出優(yōu)先事項(xiàng)中，靜態(tài)數(shù)據(jù)安全解決方案的支出反倒墊底(40%)。

以下摘錄一些2018年發(fā)生的全球性數(shù)據(jù)泄露事件：

1. 年度數(shù)據(jù)泄露事件盤點(diǎn)

(1) Facebook數(shù)據(jù)泄露事件回顧：雖然Facebook數(shù)據(jù)泄露量不如后面的那些公司高，但其次數(shù)和影響非常深遠(yuǎn)。

一家第三方公司通過一個(gè)應(yīng)用程序收集了5000萬Facebook用戶的個(gè)人信息，由于5000萬的用戶數(shù)據(jù)接近Facebook美國(guó)活躍用戶總數(shù)的三分之一，美國(guó)選民人數(shù)的四分之一，波及的范圍非常大。

后來，5000萬用戶數(shù)量上升至8700萬。

今年9月，F(xiàn)acebook爆出，因安全系統(tǒng)漏洞而遭受黑客攻擊，導(dǎo)致3000萬用戶信息泄露。

其中，有1400萬人用戶的敏感信息被黑客獲取。

這些敏感信息包括：姓名、聯(lián)系方式、搜索記錄、登陸位置等。

12月14日，又再次爆出，F(xiàn)acebook因軟件漏洞可能導(dǎo)致6800萬用戶的私人照片泄露。

具體來說，在9月13日至9月25日期間，其照片API中的漏洞使得約1500個(gè)App獲得了用戶私人照片得訪問權(quán)限。

一般來說獲得用戶授權(quán)的App只能訪問共享照片，但這個(gè)漏洞導(dǎo)致用戶沒有公開的照片也照樣能被被讀取。

結(jié)果：Facebook CEO數(shù)據(jù)泄露道歉，并多次出席聽證會(huì)。

一系列事件影響，F(xiàn)acebook股價(jià)已較年初跌了29.70%(12月25日)。

而12月份的這次泄露，歐洲隱私管制機(jī)構(gòu)愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)已著手調(diào)查，F(xiàn)acebook或因此被罰款超過16億美元。

(2)涉嫌侵犯數(shù)百億條公民個(gè)人信息，上市公司數(shù)據(jù)堂被公安一鍋端事件回顧：據(jù)新華社新媒體2018年7月8日?qǐng)?bào)道，大數(shù)據(jù)行業(yè)知名企業(yè)數(shù)據(jù)堂(831428.OC)在8個(gè)月時(shí)間內(nèi)，日均傳輸公民個(gè)人信息1.3億余條，累計(jì)傳輸數(shù)據(jù)壓縮后約為4000GB左右，公民個(gè)人信息達(dá)數(shù)百億條，數(shù)據(jù)量特別巨大。

結(jié)果：除了數(shù)據(jù)堂外，山東警方共抓獲犯罪嫌疑人57名，打掉涉案公司11家。

(3)新三板掛牌公司涉竊取30億條個(gè)人信息，非法操控公眾賬號(hào)加粉或關(guān)注事件回顧：今年8月份，澎湃新聞從紹興市越城區(qū)公安分局獲悉，該局日前偵破一起特大流量劫持案，涉案的新三板掛牌公司北京瑞智華勝科技股份有限公司，涉嫌非法竊取用戶個(gè)人信息30億條，涉及百度、騰訊、阿里、京東等全國(guó)96家互聯(lián)網(wǎng)公司產(chǎn)品，目前警方已從該公司及其關(guān)聯(lián)公司抓獲6名犯罪嫌疑人。案件仍在進(jìn)一步偵辦中。

結(jié)果：目前警方已從該公司及其關(guān)聯(lián)公司抓獲6名犯罪嫌疑人。

(4)圓通10億快遞信息泄露事件回顧：六月份，暗網(wǎng)一位ID“f666666”的用戶開始兜售圓通10億條快遞數(shù)據(jù)，該用戶表示售賣的數(shù)據(jù)為2014年下旬的數(shù)據(jù)，數(shù)據(jù)信息包括寄(收)件人姓名，電話，地址等信息，10億條數(shù)據(jù)已經(jīng)經(jīng)過去重處理，數(shù)據(jù)重復(fù)率低于20%，數(shù)據(jù)被該用戶以1比特幣打包出售。

結(jié)果：有網(wǎng)友驗(yàn)證了其中一部分?jǐn)?shù)據(jù)，發(fā)現(xiàn)所購“單號(hào)”中，姓名、電話、住址等信息均屬實(shí)。

(5)萬豪酒店5億用戶開房信息事件回顧：萬豪國(guó)際集團(tuán)11月30日發(fā)布公告稱，旗下喜達(dá)屋酒店客房預(yù)訂數(shù)據(jù)庫遭黑客入侵，最多約5億名客人的信息可能被泄露。

萬豪酒店在隨后的調(diào)查中發(fā)現(xiàn)，有第三方對(duì)喜達(dá)屋的網(wǎng)絡(luò)進(jìn)行未經(jīng)授權(quán)的訪問。

目前，未經(jīng)授權(quán)的第三方已復(fù)制并加密了某些信息，且采取措施試圖將該信息移出。

萬豪披露，已知的是，大約3.27億客人的個(gè)人姓名、通信地址、電話號(hào)碼、電子郵箱、護(hù)照號(hào)碼、喜達(dá)屋SPG俱樂部賬戶信息、出生日期、性別等信息都已經(jīng)可能全部泄漏。

結(jié)果：消息公布后，萬豪國(guó)際的股價(jià)在當(dāng)天的盤前下跌5.6%，報(bào)115.02美元。

事件曝光后，萬豪采取了各種措施去補(bǔ)救。

(6)華住酒店5億條用戶數(shù)據(jù)疑泄露事件回顧：華住酒店集團(tuán)旗下酒店用戶信息在“暗網(wǎng)”售賣，售賣者稱數(shù)據(jù)已在8月14日脫庫。

身份證號(hào)、手機(jī)號(hào)，一應(yīng)俱全，共涉及5億條公民信息。

涉及酒店范圍包括：漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。

此次泄露的數(shù)據(jù)數(shù)量則總計(jì)達(dá)5億條，全部信息的打包價(jià)為8比特幣，或者520門羅幣(約合人民幣38萬元)。

賣家還稱，以上數(shù)據(jù)信息的截止時(shí)間為2018年8月14日。

結(jié)果：隨后，華住集團(tuán)酒店官方微博回應(yīng)此事稱，“已經(jīng)報(bào)警了。

真實(shí)性目前無法查證，我們信息安全部門在緊急處理中”。

同時(shí)官方微博也呼吁，請(qǐng)相關(guān)網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)平臺(tái)立即刪除并停止傳播上述信息，保留追究相關(guān)侵權(quán)人法律責(zé)任的權(quán)利。

(7)瑞士數(shù)據(jù)管理公司 Veeam 泄露 4.45 億條用戶數(shù)據(jù)事件回顧：2018年9月份，研究人員在一個(gè)配置錯(cuò)誤的服務(wù)器上發(fā)現(xiàn)了存儲(chǔ)有超過200GB數(shù)據(jù)的數(shù)據(jù)庫。

據(jù)悉，該服務(wù)器處于完全無防御的狀態(tài)，且面向公眾開放，任何人都能夠公開查詢和訪問其數(shù)據(jù)。

研究人員介紹稱，該數(shù)據(jù)庫中存儲(chǔ)有來自Veeam公司的約4.45億客戶記錄，其中包含客戶的個(gè)人信息，如姓名、電子郵件地址以及居住地、國(guó)家等。

此外，該服務(wù)器上提供的其他詳細(xì)信息還包括部分營(yíng)銷數(shù)據(jù)，例如客戶類型和組織規(guī)模、IP 地址、referrerURL 以及用戶代理等。

結(jié)果：信息在網(wǎng)上掛了4天后，就全部無法訪問，想必公司已經(jīng)采取了措施。

對(duì)于該起事件有安全專家建議，所有數(shù)據(jù)庫管理員考慮MongoDB在一年前發(fā)布其數(shù)據(jù)庫產(chǎn)品的安全指南，同時(shí)添加新的內(nèi)置安全功能，如加密，訪問控制和詳細(xì)審計(jì)等。

(8)Exactis大數(shù)據(jù)公司失誤泄露2TB隱私信息：3.4億條，涉及2.3億人事件回顧：據(jù)Wired報(bào)道，六月初曝光的市場(chǎng)和數(shù)據(jù)匯總公司Exactis服務(wù)器信息暴露的事情經(jīng)調(diào)查為實(shí)，涉及大約3.4億條記錄，容量接近2TB，據(jù)說涵蓋2.3億人。

這些數(shù)據(jù)包含的隱私深度超乎想象，包括一個(gè)人是否吸煙、宗教信仰、養(yǎng)狗或養(yǎng)貓以及各種興趣等。

結(jié)果：Exactis事后對(duì)數(shù)據(jù)進(jìn)行了加密防護(hù)，以避免信息的進(jìn)一步泄露。

(9)美國(guó)功能性運(yùn)動(dòng)品牌Under Armour 1.5億用戶信息泄露事件回顧：美國(guó)功能性運(yùn)動(dòng)品牌Under Armour(安德瑪)旗下飲食和營(yíng)養(yǎng)管理App及網(wǎng)站MyFitnessPal大規(guī)模的數(shù)據(jù)泄露，多達(dá)1.5億用戶的信息被盜。

此次數(shù)據(jù)泄露事件影響到的用戶數(shù)據(jù)包括用戶名、郵箱地址、和加密的密碼。

安德瑪表示，該數(shù)據(jù)泄露事件并沒有涉及到用戶的社會(huì)安全號(hào)碼、駕駛證號(hào)、和銀行卡號(hào)等隱私信息。

結(jié)果：Under Armour通過電郵和App消息提醒用戶立刻更改密碼，當(dāng)晚其股票市值下跌了4.6%。

(10)問答網(wǎng)站 Quora戶數(shù)據(jù)遭泄露1個(gè)億事件回顧：12月4日，據(jù)紐約時(shí)報(bào)報(bào)道，問答網(wǎng)站鼻祖Quora稱，該公司的計(jì)算機(jī)系統(tǒng)遭到惡意第三方的未授權(quán)訪問，大約有1億用戶的賬戶及私人信息可能已經(jīng)泄露，包括姓名、郵箱地址和加密處理的密碼。

結(jié)果：Quora CEO發(fā)布博文致歉。

官方稱，第一時(shí)間雇傭網(wǎng)絡(luò)安全專家進(jìn)行調(diào)查，同時(shí)也聯(lián)系了執(zhí)法部門。

2. 今年的數(shù)據(jù)泄露事件還有：國(guó)泰航空數(shù)據(jù)泄露，940萬乘客受影響MongoDB 數(shù)據(jù)庫被入侵， 1100 萬份郵件記錄遭泄露SHEIN 數(shù)據(jù)泄露影響 642 萬用戶注冊(cè)系統(tǒng)被黑客入侵，75000人數(shù)據(jù)遭泄露GovPayNet憑證系統(tǒng)存在漏洞，1400萬交易記錄被曝光瑞士電信(Swisscom)證實(shí)80萬數(shù)據(jù)被盜，涉全國(guó)1/10公民信息英國(guó)航空公司數(shù)據(jù)泄露事件：38萬人受影響小米有品平臺(tái)泄露個(gè)人隱私 約2000萬用戶數(shù)據(jù)遭泄露美國(guó)23州連鎖餐館出現(xiàn)數(shù)據(jù)泄露，超過50萬信用卡數(shù)據(jù)存在安全風(fēng)險(xiǎn)Atlas Quantum數(shù)字貨幣投資平臺(tái)數(shù)據(jù)泄露，影響約26.1萬名客戶知名OCR軟件ABBYY FineReader被曝泄露超過20萬份客戶文件Instagram平臺(tái)被黑 已超百萬用戶信息泄露乘客航班信息泄露鏈條曝光，近500萬條信息被賣醫(yī)療軟件公司MedEvolve因服務(wù)器漏洞致20多萬患者信息泄露Robocall公司泄露了美國(guó)數(shù)十萬選民個(gè)人信息Adidas數(shù)百萬用戶數(shù)據(jù)泄漏順豐快遞3億用戶信息外泄(順豐官方否認(rèn)，表示非順豐數(shù)據(jù))陌陌數(shù)據(jù)外泄3000萬(陌陌官方后來回應(yīng)：跟用戶匹配度極低)AcFun受黑客攻擊，近千萬條用戶數(shù)據(jù)外泄前程無憂用戶信息在暗網(wǎng)上被公開銷售加拿大兩大銀行遭黑客攻擊 近9萬名客戶數(shù)據(jù)被竊私人情報(bào)機(jī)構(gòu) LocalBlox 泄露 4800 萬份個(gè)人數(shù)據(jù)記錄中東打車巨頭Careem遭遇網(wǎng)絡(luò)攻擊 1400萬乘客信息失竊央視曝光偷密碼的“萬能鑰匙”，9億人個(gè)人信息存風(fēng)險(xiǎn)旅游網(wǎng)站Orbitz 88萬份信用卡信息遭泄露三、安全漏洞數(shù)量和嚴(yán)重性創(chuàng)下歷史新高NVD在2018年收錄的漏洞總數(shù)為18,104個(gè)，相比2017年的18,240個(gè)處于基本持平的態(tài)勢(shì)。

而2018年CNNVD采集的安全漏洞數(shù)量為15,040個(gè)，相比2017年11,707個(gè)全年采集漏洞總數(shù)增加28.5%，反映出漏洞數(shù)量迅速達(dá)到歷年高峰的嚴(yán)峻現(xiàn)實(shí)。

年度重大漏洞盤點(diǎn)：(1)2018年1月多個(gè)CPU數(shù)據(jù)緩存機(jī)制漏洞(Meltdown：CNNVD-201801-150和CNNVD-201801-152;Spectre：CNNVD-201801-151)：成功利用以上漏洞的攻擊者可使用低權(quán)限的應(yīng)用程序訪問系統(tǒng)內(nèi)存，從而造成數(shù)據(jù)泄露。

Intel、AMD、ARM的處理器及其關(guān)聯(lián)的上層操作系統(tǒng)和云平臺(tái)均受此漏洞影響,經(jīng)證實(shí)的操作系統(tǒng)包括Windows、Linux和MacOS，經(jīng)證實(shí)的云平臺(tái)包括基于Xen PV、OpenVZ等構(gòu)架的云端基礎(chǔ)設(shè)施。

目前,微軟、蘋果、紅帽、亞馬遜、騰訊云、VMware等廠商針對(duì)相關(guān)漏洞提供了修復(fù)補(bǔ)丁或緩解措施。

iOS 平臺(tái)WebView組件漏洞(UIWebView/ WKWebView)跨域訪問漏洞(CNNVD-201801-515)：成功利用該漏洞的攻擊者可以遠(yuǎn)程獲取手機(jī)應(yīng)用沙盒內(nèi)所有本地文件系統(tǒng)內(nèi)容，包括瀏覽器的Cookies、用戶的配置文件、文檔等敏感信息。

iOS平臺(tái)使用了WebView組件的應(yīng)用可能均受影響。

目前，廠商暫未發(fā)布解決方案,但可通過臨時(shí)解決措施緩解漏洞造成的危害。

(2) 2018年3月Cisco IOS Software和IOS XE Software輸入驗(yàn)證漏洞(CNNVD-201803-1022)、Cisco IOS Software和IOS XE Software quapty of service子系統(tǒng)緩沖區(qū)錯(cuò)誤漏洞(CNNVD-201803-1038)、Cisco IOS XE Software安全漏洞(CNNVD-201803-1039)。

成功利用上述漏洞的攻擊者，可以對(duì)使用了IOS以及IOS XE系統(tǒng)的思科設(shè)備發(fā)送惡意的數(shù)據(jù)包，最終實(shí)現(xiàn)拒絕服務(wù)或遠(yuǎn)程代碼執(zhí)行，完全控制設(shè)備等。

所有支持Smart Install cpent特性的IOS以及IOS XE設(shè)備都可能受漏洞影響。

目前，思科官方已對(duì)該漏洞進(jìn)行了修復(fù)。

(3) 2018年4月OracleWebLogic Server WLS核心組件遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201804-803、CVE-2018-2628)。

遠(yuǎn)程攻擊者可利用該漏洞在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù)，通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,實(shí)現(xiàn)任意代碼執(zhí)行。

Oracle WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。

目前，該漏洞的攻擊代碼已在互聯(lián)網(wǎng)上公開，且Oracle官方已發(fā)布補(bǔ)丁修復(fù)該漏洞。

(4) 2018年5月手機(jī)程序第三方解壓縮庫輸入驗(yàn)證安全漏洞(CNNVD-201805-440)：手機(jī)程序第三方解壓縮庫輸入驗(yàn)證安全漏洞存在于使用了第三方解壓縮庫的應(yīng)用中。

漏洞源于手機(jī)程序中的第三方解壓縮庫，在解壓zip壓縮包時(shí)并未對(duì)“../”進(jìn)行過濾。

手機(jī)程序在調(diào)用第三方解壓縮庫解壓zip壓縮包時(shí)未對(duì)解壓路徑進(jìn)行檢查，當(dāng)從不安全的來源獲得zip格式壓縮包文件并解壓縮時(shí)，如果該zip壓縮文件被劫持插入惡意代碼，可能導(dǎo)致任意代碼執(zhí)行。

(5) 2018年6月Microsoft Excel遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201806-800、)及Microsoft Windows HTTP協(xié)議堆棧遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201806-771)。

成功利用Microsoft Excel遠(yuǎn)程代碼執(zhí)行漏洞的攻擊者，能在當(dāng)前用戶環(huán)境下執(zhí)行任意代碼，如果當(dāng)前用戶使用管理員權(quán)限登錄，攻擊者甚至可以完全控制該用戶的系統(tǒng)。

成功利用Microsoft Windows HTTP 2.0協(xié)議堆棧遠(yuǎn)程代碼執(zhí)行漏洞的攻擊者，可在目標(biāo)系統(tǒng)上執(zhí)行任意代碼，并控制該用戶的系統(tǒng)。

目前，微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞，建議用戶及時(shí)確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。

(6) 2018年7月OracleWebLogic Server WLS核心組件遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201807-1276)：攻擊者可以在未經(jīng)授權(quán)的情況下，遠(yuǎn)程發(fā)送攻擊數(shù)據(jù)，通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作，最終實(shí)現(xiàn)了遠(yuǎn)程代碼的執(zhí)行。

目前，Oracle官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)該漏洞，請(qǐng)用戶及時(shí)檢查產(chǎn)品版本，如確認(rèn)受到漏洞影響，可安裝補(bǔ)丁進(jìn)行防護(hù)。

微信支付SDKXXE漏洞(CNNVD-201807-083)：成功利用該漏洞的攻擊者可以遠(yuǎn)程讀取服務(wù)器文件，獲取商戶服務(wù)器上的隱私數(shù)據(jù)，甚至可以支付任意金額購買商品。

使用有漏洞的Java版本微信支付SDK進(jìn)行支付交易的商家網(wǎng)站可能受此漏洞影響。

目前，微信官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)該漏洞，建議用戶及時(shí)確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。

(7) 2018年8月Apache Struts2 S2-057安全漏洞(CNNVD-201808-740、CVE-2018-11776)：成功利用漏洞的攻擊者可能對(duì)目標(biāo)系統(tǒng)執(zhí)行惡意代碼。

Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞。

微軟多個(gè)遠(yuǎn)程執(zhí)行代碼漏洞(CNNVD-201808-403、CVE-2018-8350和CNNVD-201808-399、CVE-2018-8375等)：成功利用上述Windows遠(yuǎn)程執(zhí)行代碼漏洞的攻擊者，可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞。

(8) 2018年9月微軟官方發(fā)布了多個(gè)安全漏洞的公告，包括Internet Explorer 內(nèi)存損壞漏洞(CNNVD-201809-509、CVE-2018-8447)、Microsoft Excel 遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201809-550、CVE-2018-8331)等多個(gè)漏洞。

成功利用上述安全漏洞的攻擊者，可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。

微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞。

(9) 2018年10月Oracle WebLogic Server遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201810-781)：攻擊者可利用該漏洞發(fā)送攻擊數(shù)據(jù)，通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,最終實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。

Oracle官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁。

微軟官方發(fā)布了多個(gè)安全漏洞的公告，包括Microsoft XML Core Services MSXML parsera安全漏洞(CNNVD-201810-294)、Microsoft Windows Hyper-V安全漏洞(CNNVD-201810-327)等多個(gè)漏洞。

成功利用上述漏洞的攻擊者，可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。

微軟官方已發(fā)布修復(fù)上述漏洞的補(bǔ)丁。

(10) 2018年11月macOS High Sierra和iOS系統(tǒng)存在內(nèi)核漏洞(CNNVD編號(hào)：CNNVD-201810-1510、CVE編號(hào)：CVE-2018-4407)，該漏洞是XNU系統(tǒng)內(nèi)核中網(wǎng)絡(luò)部分的堆緩沖區(qū)溢出導(dǎo)致，攻擊者通過向目標(biāo)設(shè)備發(fā)送特殊構(gòu)造的數(shù)據(jù)包從而執(zhí)行惡意代碼或使系統(tǒng)崩潰重啟。

觸發(fā)該漏洞的必要條件是攻擊者與目標(biāo)系統(tǒng)需處于同一網(wǎng)絡(luò)(如Wi-Fi)。

微軟多個(gè)安全漏洞，包括Microsoft Internet Explorer 安全漏洞(CNNVD-201811-349、CVE-2018-8570)、Microsoft Word 安全漏洞(CNNVD-201811-387、CVE-2018-8539)、(CNNVD-201811-388、CVE-2018-8573)等多個(gè)漏洞。

成功利用上述安全漏洞的攻擊者，可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

(11) 2018年12月微軟多個(gè)安全漏洞，包括Microsoft Internet Explorer 安全漏洞(CNNVD-201812-458、CVE-2018-8619)、Microsoft Excel安全漏洞(CNNVD-201812-466、CVE-2018-8597)等多個(gè)漏洞。

成功利用上述漏洞可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。

微軟官方已經(jīng)發(fā)布漏洞修復(fù)補(bǔ)丁。

四、勒索軟件業(yè)務(wù)經(jīng)歷市場(chǎng)調(diào)整如果將勒索軟件看作一項(xiàng)生意的話，從2016年開始到2017年勒索軟件的高額利潤(rùn)吸引大批攻擊者蜂涌而至，贖金更是漫天要價(jià)。

2018年，勒索軟件“市場(chǎng)”就有點(diǎn)不景氣了，勒索軟件家族的總數(shù)下降，贖金要求也下降了，這表明勒索軟件已經(jīng)成為了商品。

許多網(wǎng)絡(luò)犯罪分子可能已經(jīng)將注意力轉(zhuǎn)移到加密電子貨幣挖礦上，因?yàn)樽鳛楝F(xiàn)金的替代品，加密電子貨幣的價(jià)值非常高。

網(wǎng)上銀行交易威脅也有死灰復(fù)燃的趨勢(shì)，某些臭名昭著的勒索軟件集團(tuán)正試圖增加威脅的種類。

盡管勒索軟件變種數(shù)量較去年有所上升，表明那些臭名昭著的犯罪集團(tuán)仍然相當(dāng)高產(chǎn)，但勒索軟件家族的數(shù)量有所下降，這表明他們的創(chuàng)新力出現(xiàn)了下降，也可能已將注意力轉(zhuǎn)向了更高價(jià)值的新目標(biāo)。

2018年新興的勒索軟件家族摘錄：1. 2018年1月，GandGrab勒索家族首次出現(xiàn)應(yīng)該算是勒索病毒家族中的最年輕，但是最流行的一個(gè)勒索病毒家族，短短幾個(gè)月的時(shí)候內(nèi)，就出現(xiàn)了多個(gè)此勒索病毒家族的變種，而且此勒索病毒使用的感染方式也不斷發(fā)生變化，使用的技術(shù)也不斷在更新，此勒索病毒主要通過郵件進(jìn)行傳播，采用RSA+ASE加密的方式進(jìn)行加密，文件無法還原。

2. 2018年2月，多家互聯(lián)網(wǎng)安全企業(yè)截獲了Mind Lost勒索病毒該勒索軟件采用C#語言開發(fā)，其主要功能是采用AES加密方式加密本地文件，之后引導(dǎo)受害者至指定的網(wǎng)頁要求付費(fèi)解密文件，與以往勒索軟件不同的是，此次勒索軟件并沒有要求受害者支付比特幣等數(shù)字貨幣進(jìn)行付費(fèi)解密操作，而是直接要求用戶使用信用卡或借記卡支付贖金，以此來套取銀行卡信息，進(jìn)而將此信息出售給不法分子從而牟取更大利益。

加密樣本賬戶的電腦的Users目錄下的文件，如果后綴為”.txt”,”.jpg”,”.png”,”.pdf”,”.mp4″,”.mp3″,”.c”,”.py”的文件就直接加密，且解密贖金達(dá)到200美元。

3. 2018年3月，GlobeImposter勒索病毒家族GlobeImposter勒索病毒家族是從2017年5月開始出現(xiàn)，并在2017年11月和2018年3月有兩次較大范圍的疫情爆發(fā)，在2017年11月前的GlobeImposter勒索病毒大部分被稱為GlobeImposter1.0，此時(shí)的病毒樣本加密后綴名以“.CHAK”較為常見，在2018年3月時(shí)出現(xiàn)了GlobeImposter2.0，此時(shí)的病毒樣本加密后綴名以“.TRUE”，“.doc”較為常見，GlobeImposter也增加了很多新型的技術(shù)進(jìn)行免殺等操作。

4. 2018年3月，麒麟2.1的勒索病毒2018年3月1日，監(jiān)測(cè)到了“麒麟2.1”的勒索病毒。

通過QQ等聊天工具傳文件方式傳播，一旦中招就會(huì)鎖定電腦文件，登錄后會(huì)轉(zhuǎn)走支付寶所有余額。

中招后，它會(huì)鎖定電腦文件，表面上要求掃碼用支付寶付款3元，但實(shí)際上掃碼是登錄支付寶，登錄后會(huì)轉(zhuǎn)走支付寶所有余額。

5. 2018年3月，CrySiS勒索病毒爆發(fā)服務(wù)器文件被加密為.java后綴的文件，采用RSA+AES加密算法，主要運(yùn)用了Mimikatz、IP掃描等黑客工具，進(jìn)行RDP爆破，利用統(tǒng)一密碼特性，使用相同密碼對(duì)全網(wǎng)業(yè)務(wù)進(jìn)行集中攻擊，通過RDP爆破的方式植入，同時(shí)此勒索病毒在最近也不斷出現(xiàn)它的新的變種，其加密后綴也不斷變化之中。

6. 2018年12月，一個(gè)以微信為支付手段的勒索病毒在國(guó)內(nèi)爆發(fā)幾日內(nèi)，該勒索病毒至少感染了10萬臺(tái)電腦，通過加密受害者文件的手段，已達(dá)到勒索贖金的目的，而受害者必需通過微信掃一掃支付110元贖金才能解密。

2018年6月，羅某某自主研發(fā)出病毒“cheat”，用于盜取他人支付寶的賬號(hào)密碼，進(jìn)而以轉(zhuǎn)賬方式盜取資金。

同時(shí)制作內(nèi)含“cheat”木馬病毒代碼的某開發(fā)軟件模塊，在互聯(lián)網(wǎng)上發(fā)布，任何通過該開發(fā)軟件編寫的應(yīng)用軟件均包含木馬病毒代碼，代碼在后臺(tái)自動(dòng)運(yùn)行，記錄用戶淘寶、支付寶等賬號(hào)密碼，以及鍵盤操作，上傳至服務(wù)器。

此外，嫌疑人通過執(zhí)行命令對(duì)感染病毒的計(jì)算機(jī)除系統(tǒng)文件、執(zhí)行類文件以外的所有文件進(jìn)行加密，隨后彈出包含解密字樣和預(yù)置微信收款二維碼的勒索界面，解密程序標(biāo)題顯示“你的電腦已被加密，請(qǐng)執(zhí)行以下操作，掃一掃二維碼，你需要支付110進(jìn)行解密”。

五、挖礦攻擊迭起，花樣不斷翻新2018年全球爆發(fā)了惡意加密貨幣挖掘，因此產(chǎn)生的惡意軟件攻擊次數(shù)增加了83%以上。

今年前三個(gè)季度有超過500萬用戶被惡意軟件攻擊，而2017年同期為270萬。

根據(jù)卡巴斯基實(shí)驗(yàn)室的說法，在加密淘金熱背后的主要驅(qū)動(dòng)因素是安裝和使用未經(jīng)許可的軟件和內(nèi)容。

在2018年，惡意加密貨幣開采戰(zhàn)勝了過去幾年的主要威脅：勒索軟件。

受惡意加密貨幣挖掘軟件攻擊的互聯(lián)網(wǎng)用戶數(shù)量在今年上半年穩(wěn)步增長(zhǎng)，遭遇挖礦攻擊的用戶數(shù)量從2016年-2017年度的1,899,236人次，增長(zhǎng)為2017-2018年度的 2,735,611人次。

挖礦攻擊出現(xiàn)頻率越來越高，對(duì)受害者造成的危害也日益嚴(yán)重，而且目前已經(jīng)轉(zhuǎn)向企業(yè)目標(biāo)。

多家互聯(lián)網(wǎng)企業(yè)和網(wǎng)絡(luò)安全企業(yè)分析認(rèn)為，非法“挖礦”已成為嚴(yán)重的網(wǎng)絡(luò)安全問題。

其中，騰訊云監(jiān)測(cè)發(fā)現(xiàn)，隨著“云挖礦”的興起，云主機(jī)成為挖取門羅幣、以利幣等數(shù)字貨幣的主要利用對(duì)象，而盜用云主機(jī)計(jì)算資源進(jìn)行“挖礦”的情況也顯著增多;知道創(chuàng)宇安全團(tuán)隊(duì)監(jiān)測(cè)發(fā)現(xiàn)，“爭(zhēng)奪礦機(jī)”已成為僵尸網(wǎng)絡(luò)擴(kuò)展的重要目的之一;360企業(yè)安全技術(shù)團(tuán)隊(duì)監(jiān)測(cè)發(fā)現(xiàn)一種新型“挖礦”病毒(挖取XMR/門羅幣)，該病毒在兩個(gè)月內(nèi)瘋狂傳播，非法“挖礦”獲利近百萬元人民幣。

由于入口門檻低，只需要幾行代碼就可以執(zhí)行，網(wǎng)絡(luò)犯罪分子大肆利用挖礦軟件盜用消費(fèi)者和企業(yè)的計(jì)算機(jī)處理能力以及占用云端 CPU，為其達(dá)到挖掘電子加密貨幣的目的。

隨著挖礦軟件在企業(yè)環(huán)境中逐步蔓延，企業(yè)網(wǎng)絡(luò)面臨著徹底癱瘓的風(fēng)險(xiǎn)。

它可能還會(huì)給企業(yè)帶來財(cái)務(wù)上的影響，例如為挖礦軟件所占用的云CPU 買單。

隨著惡意挖礦軟件的不斷升級(jí)，物聯(lián)網(wǎng)設(shè)備將仍然是這類攻擊的絕佳目標(biāo)。

挖礦木馬年度盤點(diǎn)：

(1) 2018年1月tlMiner爆發(fā)，它是隱藏在《絕地求生》輔助程序中的HSR幣挖礦木馬。

該挖礦木馬由一游戲輔助團(tuán)隊(duì)投放，瞄準(zhǔn)游戲高配機(jī)實(shí)現(xiàn)高效率挖礦，單日影響機(jī)器量最高可達(dá)20萬臺(tái)。

“tlMiner”木馬作者在“吃雞”游戲外掛、海豚加速器(修改版)、高仿盜版視頻網(wǎng)站、酷藝影視網(wǎng)吧VIP等程序中植入“tlMiner”挖礦木馬，通過網(wǎng)吧聯(lián)盟、論壇、下載站和云盤等渠道傳播。

木馬作者通過以上渠道植入木馬，非法控制網(wǎng)吧和個(gè)人計(jì)算機(jī)終端為其個(gè)人挖礦。

2018年4月11日，在騰訊電腦管家的協(xié)助下，山東警方在遼寧大連一舉破獲了“tlMiner”挖礦木馬黑產(chǎn)公司。

該公司為大連當(dāng)?shù)馗咝录夹g(shù)企業(yè)，為非法牟利搭建木馬平臺(tái)，招募發(fā)展下級(jí)代理商近3500個(gè)，通過網(wǎng)吧渠道、吃雞外掛、盜版視頻軟件傳播投放木馬，非法控制用戶電腦終端389萬臺(tái)，進(jìn)行數(shù)字加密貨幣挖礦、強(qiáng)制廣告等非法業(yè)務(wù)，合計(jì)挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門羅幣)、SHR(超級(jí)現(xiàn)金幣)、BCD(比特幣鉆石)、SIA(云儲(chǔ)幣)等各類數(shù)字貨幣超過2000萬枚，非法獲利1500余萬元。

1月6日，一位網(wǎng)名為“Rundvleeskroket”的Reddit(社交新聞?wù)军c(diǎn))用戶聲稱，黑莓手機(jī)的官方網(wǎng)站(blackberrymobile[.]com)被發(fā)現(xiàn)正使用Coinhive提供的加密貨幣挖礦代碼來挖掘門羅幣(Monero)。

Rundvleeskroket在最新的動(dòng)態(tài)更新中表示，似乎只有黑莓的全球網(wǎng)站(blackberrymobile[.]com/en)受到影響。

所以，任何被重定向到CA、EU或US的用戶都不會(huì)在網(wǎng)站開放的情況下運(yùn)行挖礦代碼。

(2) 2018年2月安全公司 CrowdStrike 發(fā)現(xiàn)了一款名為 WannaMine 的新型 Monero 加密挖掘蠕蟲，其利用與 NSA 相關(guān)的 EternalBlue (“ 永恒之藍(lán) ” )漏洞進(jìn)行傳播。

據(jù)研究人員測(cè)試，WannaMine 能夠感染從 Windows 2000 起的所有 Windows 系統(tǒng)(包括 64 位版本和 Windows Server 2003)，并使其設(shè)備性能明顯下降。

WannaMine 的惡意代碼十分復(fù)雜，因?yàn)樗鼘?shí)現(xiàn)了一種類似于國(guó)家贊助的 APT 組織所使用的擴(kuò)散機(jī)制和持久性模型。

更詳細(xì)地解釋是：WannaMine 利用 Windows 管理工具( WMI )永久事件訂閱來在受感染的系統(tǒng)上獲得持久性。

當(dāng)注冊(cè)一個(gè)永久事件訂閱后，WannaMine 將在事件使用者中每 90 分鐘執(zhí)行一個(gè) PowerShell 命令。

研究人員注意到，WannaMine 使用憑證收割機(jī) Mimikatz 來收集用戶憑據(jù)，從而達(dá)到橫向移動(dòng)的目的，但如果不能夠橫向移動(dòng)的話，WannaMine 將更依賴于 EternalBlue 的利用。

從2018年2月3日開始，一組惡意代碼開始蠕蟲式快速傳播，360安全團(tuán)隊(duì)將其命名為ADB.Miner。

最早的感染時(shí)間可以回溯到1月31日左右，這波蠕蟲式感染于2018年2月3日下午被360系統(tǒng)檢測(cè)，感染安卓設(shè)備上 adb 調(diào)試接口的工作端口5555，正常情況下這個(gè)端口應(yīng)該被關(guān)閉，但未知原因?qū)е虏糠衷O(shè)備錯(cuò)誤的打開了該端口蠕蟲式感染，惡意代碼在完成植入后，會(huì)繼續(xù)掃描 5555 adb 端口，完成自身的傳播感染。

感染的設(shè)備大部分是智能手機(jī)以及智能電視機(jī)頂盒。

(3) 2018年3月一種全的新的 Android 挖礦惡意軟件 HiddenMiner 可以暗中使用受感染設(shè)備的CPU 計(jì)算能力來竊取 Monero。

HiddenMiner 的自我保護(hù)和持久性機(jī)制讓它隱藏在用戶設(shè)備上濫用設(shè)備管理員功能 (通常在 SLocker Android 勒索軟件中看到的技術(shù))。

另外，由于 HiddenMiner 的挖礦代碼中沒有設(shè)置開關(guān)、控制器或優(yōu)化器，這意味著一旦它開始執(zhí)行挖礦進(jìn)程，便會(huì)一直持續(xù)下去，直到設(shè)備電量耗盡為止。

鑒于 HiddenMiner 的這種特性，這意味著它很可能會(huì)持續(xù)挖掘 Monero，直到設(shè)備資源耗盡。

根據(jù)研究人員的說法，HiddenMiner 是在第三方應(yīng)用商店發(fā)現(xiàn)的，大部分受害用戶都位于中國(guó)和印度。

HiddenMiner 的持續(xù)挖礦與導(dǎo)致設(shè)備電池膨脹的Android 惡意軟件 Loapi 類似，不僅如此，HiddenMiner 還使用了類似于撤銷設(shè)備管理權(quán)限后 Loapi 鎖定屏幕的技術(shù)。

(4) 2018年5月“WinstarNssmMiner”來襲。

此類挖礦病毒最大的與眾不同是會(huì)阻止用戶結(jié)束挖礦進(jìn)程，一旦用戶選擇結(jié)束進(jìn)程，其電腦會(huì)立刻藍(lán)屏。

而且此次的挖礦病毒欺軟怕硬，碰到強(qiáng)力的殺軟會(huì)當(dāng)縮頭烏龜，一旦碰到實(shí)力不濟(jì)的殺軟它就會(huì)關(guān)閉正在運(yùn)行的殺毒軟件程序。

因此中了此類病毒的用戶通常只能面對(duì)已經(jīng)出現(xiàn)卡慢，甚至藍(lán)屏的電腦束手無策。

該木馬病毒會(huì)將自身的惡意代碼以父進(jìn)程的形式注入系統(tǒng)進(jìn)程svchost.exe，然后把該系統(tǒng)進(jìn)程設(shè)置為CriticalProcess，在這種情況下一旦強(qiáng)制結(jié)束該進(jìn)程電腦就會(huì)立刻藍(lán)屏。

用研究員的話形容就是，這個(gè)病毒真是相當(dāng)?shù)谋┝α?當(dāng)然，把用戶的電腦暴力藍(lán)屏是這個(gè)病毒最后的一招，在中病前期，該病毒還會(huì)在用戶的電腦上進(jìn)行一系列操作來挖礦獲利。

(5) 2018年6月撒旦(Satan)勒索病毒的傳播方式升級(jí)，不光使用永恒之藍(lán)漏洞攻擊，還攜帶更多漏洞攻擊模塊：包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默認(rèn)配置漏洞(CVE-2010-0738)、Tomcat任意文件上傳漏洞(CVE-2017-12615)、Tomcat web管理后臺(tái)弱口令爆破、Weblogic WLS 組件漏洞(CVE-2017-10271)，使該病毒的感染擴(kuò)散能力、影響范圍得以顯著增強(qiáng)。

分析發(fā)現(xiàn)，該變種的傳播方式與今年之前發(fā)現(xiàn)的版本類似，都有利用JBoss、Tomcat、Weblogic等多個(gè)組件漏洞以及永恒之藍(lán)漏洞進(jìn)行攻擊。

新變種增加了Apache Struts2漏洞攻擊模塊，攻擊范圍和威力進(jìn)一步提升。

最出人意料的是，Satan病毒放棄了此前的勒索，開始轉(zhuǎn)行傳播挖礦木馬。

由于此前的satan勒索病毒的算法存在“缺陷”，可以被進(jìn)行完美解密，從而使得勒索作者無法收到贖金。

因此本次變種開始改行挖礦，不僅可以穩(wěn)定的獲得收入，還可以避免很快的暴露(由于挖礦除了會(huì)讓機(jī)器稍微卡慢一點(diǎn)，給用戶的其他感官不強(qiáng)，因此一般用戶很難察覺到被挖礦)。

(6) 2018年9月不法黑客通過1433端口爆破入侵SQL Server服務(wù)器，植入遠(yuǎn)程控制木馬并安裝為系統(tǒng)服務(wù)，然后利用遠(yuǎn)程控制木馬進(jìn)一步加載挖礦木馬進(jìn)行挖礦。

用戶電腦不知不覺間淪為不法分子“挖礦”的工具，電腦算力被占用，同時(shí)極有可能帶來一系列網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

截止目前，該木馬現(xiàn)已累計(jì)感染約3萬臺(tái)電腦。

騰訊智慧安全御見威脅情報(bào)中心實(shí)時(shí)攔截該挖礦木馬的入侵，將其命名為“1433爆破手礦工”，不法黑客除了利用感染木馬電腦挖礦外，還會(huì)下載NSA武器攻擊工具繼續(xù)在內(nèi)網(wǎng)中攻擊擴(kuò)散，若攻擊成功，會(huì)繼續(xù)在內(nèi)網(wǎng)機(jī)器上安裝該遠(yuǎn)程控制木馬。

在內(nèi)網(wǎng)攻擊中，“1433爆破手礦工”可使用的漏洞攻擊工具之多，令人咋舌。

其加載的攻擊模塊幾乎使用了NSA武器庫中的十八般武器，Eternalblue(永恒之藍(lán))、Doubleplsar(雙脈沖星)、EternalChampion(永恒冠軍)、Eternalromance(永恒浪漫)、Esteemaudit(RDP漏洞攻擊)等多種漏洞攻擊工具皆可被黑客利用實(shí)施內(nèi)網(wǎng)攻擊。

專攻企業(yè)局域網(wǎng)的勒索病毒GandCrab，這個(gè)臭名昭著的勒索病毒版本號(hào)已升級(jí)到4.3。

與以往不同的是，攻擊者在已入侵網(wǎng)絡(luò)同時(shí)釋放挖礦木馬和勒索病毒，針對(duì)高價(jià)值目標(biāo)使用GandCrab勒索病毒，而一般目標(biāo)則運(yùn)行挖礦木馬，以最大限度利用被入侵的目標(biāo)網(wǎng)絡(luò)非法牟利。

分析勒索病毒GandCrab 4.3的入侵通道，發(fā)現(xiàn)黑客通過暴力破解Tomcat 服務(wù)器弱密碼實(shí)現(xiàn)入侵。

入侵成功后，從C2服務(wù)器下載勒索病毒和挖礦木馬，恢復(fù)被GandCrab勒索病毒加密的文件需要付費(fèi)499美元購買解密工具。

通過錢包分析發(fā)現(xiàn)，該木馬已收獲18.6個(gè)門羅幣，折合人民幣約1.5萬元。

GandCrab 勒索病毒之前的版本一般通過釣魚郵件和水坑攻擊(選擇最可能接近目標(biāo)的網(wǎng)絡(luò)部署陷阱文件，等待目標(biāo)網(wǎng)絡(luò)內(nèi)的主機(jī)下載)。

而現(xiàn)在，御見威脅情報(bào)中心監(jiān)測(cè)到越來越多的勒索病毒會(huì)首先從企業(yè)Web服務(wù)器下手，其中Tomcat被暴破弱密碼攻擊的情況近期有明顯上升。

攻擊一旦得手，黑客就會(huì)以此為跳板，繼續(xù)向內(nèi)網(wǎng)擴(kuò)散。

擴(kuò)散的手法，往往是使用NSA攻擊工具包或1433，3389端口暴力破解弱口令。

之后，黑客會(huì)選擇高價(jià)值目標(biāo)下載運(yùn)行勒索病毒，對(duì)一般系統(tǒng)，則植入挖礦木馬獲利。

針對(duì)企業(yè)使用勒索病毒加挖礦木馬雙重打擊是近期比較突出的特點(diǎn)。

(7) 2018年10月Palo Alto Unit 42研究員 Brad Duncan發(fā)現(xiàn)的最新惡意軟件中，不僅會(huì)安裝XMRig挖礦應(yīng)用，而且會(huì)自動(dòng)對(duì)Flash Player進(jìn)行更新。

這樣在安裝過程中不會(huì)引起用戶的懷疑，從而進(jìn)一步隱藏了它的真正意圖。

這款安裝器會(huì)真的訪問Adobe的服務(wù)器來檢查是否有新的Flash Player。

整個(gè)安裝過程中和正式版基本上沒有差別。

這樣用戶以為正常升級(jí)Flash的背后，安裝了coinminer的挖礦應(yīng)用。

一旦設(shè)備受到感染，就會(huì)連接xmr-eu1.nanopool.org的挖礦池，開始使用100%的CPU計(jì)算能力來挖掘Monero數(shù)字貨幣。

(8) 2018年11月?lián)碛蠾indows和安卓雙版本的挖礦木馬MServicesX悄然流行，中毒電腦和手機(jī)會(huì)運(yùn)行門羅幣挖礦程序，造成異常發(fā)熱乃至設(shè)備受損的現(xiàn)象。

該挖礦木馬十分擅長(zhǎng)偽裝，在電腦端使用具有合法數(shù)字簽名的文件，以躲避安全軟件的查殺;在安卓手機(jī)端更偽裝成Youtube視頻播放器軟件，不知情的用戶用其在手機(jī)上觀看視頻時(shí)，病毒會(huì)在后臺(tái)運(yùn)行門羅幣挖礦程序。

數(shù)據(jù)顯示，挖礦木馬MServicesX近期表現(xiàn)活躍，感染量波動(dòng)較大，并且已快速蔓延至全球范圍。

在國(guó)內(nèi)，則以廣東、江蘇、香港三地的受感染量最大。

經(jīng)病毒溯源發(fā)現(xiàn)，該病毒的Windows版本通過提供各類游戲下載安裝的某游戲下載站進(jìn)行傳播，木馬隱藏在游戲安裝包中，游戲安裝程序在運(yùn)行時(shí)會(huì)提示用戶關(guān)閉殺毒軟件，并釋放出木馬文件“MServicesX_FULL.exe”。

安裝包運(yùn)行后，病毒還會(huì)將版本更新設(shè)置為計(jì)劃任務(wù)，每三個(gè)小時(shí)運(yùn)行一次，保持木馬更新為最新版本，利用后臺(tái)程序挖礦，盡最大可能榨取用戶CPU資源。

KoiMiner挖礦木馬變種出現(xiàn)，該變種的挖礦木馬已升級(jí)到6.0版本，木馬作者對(duì)部分代碼加密的方法來對(duì)抗研究人員調(diào)試分析，木馬專門針對(duì)企業(yè)SQL Server 服務(wù)器的1433端口爆破攻擊進(jìn)行蠕蟲式傳播。

騰訊御見威脅情報(bào)中心監(jiān)測(cè)數(shù)據(jù)發(fā)現(xiàn)，KoiMiner挖礦木馬已入侵控制超過5000臺(tái)SQL Server服務(wù)器，對(duì)企業(yè)數(shù)據(jù)安全構(gòu)成重大威脅。

該病毒在全國(guó)各地均有分布，廣東、山東、廣西位居前三。