□ 唐 威

近年来，网络安全的国际形势日益严峻，不断增长的安全威胁给企业和个人都带来巨大的挑战，网络安全在政策法律因素、IT 技术发展、网络安全事件及黑色产业多重因素影响下产生了变化。网络安全逐渐步入智能时代，而传统安全的边界日渐模糊，整体趋势呈现增长和多样化的态势。了解当前的威胁形势，熟悉企业安全应对流程并选择合适的安全产品变得尤为重要。

一、勒索病毒长盛不衰

勒索病毒的技术手段在2018年有了质的提高，WannaCry，Petya，BadRabbit就是其中的典型代表，不管从传播途径还是加密手段都比以往有很大的提升。勒索病毒在传播上采用蠕虫的方式，通过漏洞和弱口令在局域网内迅速传播。

从WannaCry勒索病毒爆发以来，勒索病毒蠕虫化变得更加流行。2018年2月，国内两家省级医院感染勒索病毒，导致医院服务中断，无法正常工作。感染原因怀疑是系统存在漏洞和弱口令，被攻击者利用，植入勒索病毒，同时病毒利用漏洞继续攻击网络中的其他机器，最终导致勒索病毒集中爆发。

2018年上半年，在所有勒索病毒中，影响较大的是Satan勒索病毒，该病毒不仅使用了永恒之蓝漏洞传播，还内置了多种Web漏洞的攻击功能，相比传统的勒索病毒传播速度更快。虽然已经被解密，但是此病毒利用的传播手法却非常危险。

以往的传播手段主要是通过垃圾邮件、EK工具、网站挂马等，手段被动，效果有限。但通过蠕虫的方式可以化被动为主动，起到“事半功倍”的效果。同时在加密手段上也比以往有所提升，以往的勒索主要是对文件进行加密，但在2018年勒索病毒的手段不单单是对文件进行加密，有的还对磁盘的MBR扇区，甚至是NTFS文件系统进行加密，造成的破坏性更大。不难想象，在未来勒索病毒仍将延续这种趋势，勒索病毒的防范任重而道远。

二、挖矿病毒风生水起

随着虚拟货币的疯狂炒作，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿，具体现象为电脑CPU占用率高、C盘可使用空间骤降、电脑温度升高、风扇噪声增大等。

由于比特币潜在的区块链技术将对其不利，因此门罗币取代比特币成为病毒最喜欢的数字货币。区块链技术能够详细记录比特币交易的发送和接收地址，包括交易的精确时间和数量，这些都是证明犯罪分子罪行的有利证据。

门罗币(Monero，代号XMR)创建于2014 年4月开源加密货币，它着重于隐私、分权和可扩展性。与自比特币衍生的许多加密货币不同，Monero基于CryptoNote协议，并在区块链模糊化方面有显著的算法差异。Monero致力于成为可代替的不可追踪的电子货币。相比比特币及其分叉，Monero具有更高程度的匿名性。

通过对2018年上半年病毒分析发现，病毒制造者将目标投向了挖矿领域，大量的挖矿病毒层出不穷，其中影响最大的是一个被称为 “MsraMiner”构造精密的挖矿僵尸网络。该病毒利用永恒之蓝漏洞攻击局域网中的机器，中毒机器会继续使用永恒之蓝漏洞攻击其他机器，并作为Web服务器供其他机器下载，导致大量局域网主机被植入挖矿病毒，同时病毒持续升级对抗查杀。

三、窃密木马穷凶极恶

窃密型木马是当前一种最为常见的木马类型，通常是隐蔽在用户的计算机中，平时对用户的计算性能和上网性能几乎不会造成任何影响，然而在用户无法察觉的情况下，这类木马在计算机中搜集相关的重要信息，并将所获取的信息发送给远程的控制端，从而导致目标计算机上的重要信息泄露。

近期发现1例样本通过下载并运行已被公开源码的Pony木马，窃取用户比特币钱包文件等敏感信息。值得注意的是，该样本通过直接调用API下载运行木马，有别于此前利用恶意文档加载mstha, powershell或cmd等程序进而加载恶意木马。

Pony又名Fareit，是微软于2011年首次发现的，因为它强大和全面的功能使其成为越来越受欢迎的密码窃取软件。Pony 木马主要的功能包括窃取浏览器中保存的密码，各种邮件客户端保存密码和各种FTP客户端密码，窃取加密电子钱包，收集数字证书及RDP远程连接密码等。

Loki PWS家族也是1款和Pony一样成熟的窃取各种账号密码的商业木马，基本功能类似Pony，具备窃取浏览器、FTP软件、邮箱客户端等软件的账号密码，但它还具备远程控制功能，可以下发指定的命令到客户端执行，更适合用来组建僵尸网络。

四、APT攻击愈来愈隐蔽

APT攻击作为一种高效、精确的网络攻击方式，在近几年被频繁用于各种网络攻击事件之中，并迅速成为企业信息安全最大的威胁之一。通过对APT攻击的海量信息进行分析之后发现，APT攻击的攻击范围不断扩大、隐蔽性也有所增强。

在2017年，某些具有极强的国别针对性的APT组织，在相关国家之间处于比较激烈的政治和军事摩擦时，其网络攻击活动也处于异常活跃的状态。其中，双尾蝎、黄金鼠和摩诃草等组织都呈现出这样的特点。2016年底进行的美国大选，以及希拉里和美国民主党全国委员会(DNC)的邮件门事件，使公众第1次见证了APT攻击对政治乃至国家政权的深刻影响。

APT攻击团伙使用的攻击战术、技术和过程已经达到非常成熟的阶段，即便部分攻击团伙的技术能力不高，但也能通过利用公开的或开源的脚本类或自动化攻击框架快速形成完备的攻击武器。攻击团伙不但使用针对个人PC、服务器和目标内部网络的攻击向量技术，并且覆盖了移动设备和家用路由器，其攻击目标也延伸至金融、工业控制、医疗、酒店领域。

APT攻击者正在不断演变其攻击手法和攻击工具，以更有效地达到攻击的目的和效果，并加强对自身活动的隐藏。在这种对抗升级的趋势下，纯粹基于恶意载荷的相似程度来评判其攻击来源已经变得不是那样可靠，结合更多维度的威胁情报数据，评估攻击者的真实攻击意图和动机，以及对攻击的分析能够更好地提高背景研判的准确程度。

面对不断升级的网络攻击，企业不仅需要部署专业的安全设备与安全软件，同时企业还需要树立动态、综合的防护理念，构建完整防御架构，防御手段必须完善才能不给恶意软件可乘之机。企业需要充分考虑到每一个可能突破的薄弱环节，例如安全主机加固、安全域划分、终端准入机制、安全运维体系。

攻击随时都在发生，安全系统应该也要适应动态的安全环境，因此要充分考虑对安全状态持续的监测及对突发安全威胁及时遏制的能力。防御系统随时可能被攻破，为减少攻击造成的损失，需要建立正确的应急响应流程，减少处理中流程错误情况，能够自动化地响应处置，加快处理速度，具有溯源取证能力，以便了解攻击来源途径。