网络与信息安全情況通报

　　第7l期

　　北京网络与信息安全通报中心            2018年8月28日

　　20l8上半年网络安全威胁盘点

　　近期,我中心组织360公司、亚信安全、绿盟科技、安天等20余家技术支持单位对今年上半年黑客攻击情况进行了分析，发现勒索病毒、挖矿病毒、APT攻击逐渐成为黑客攻击的主要三种手段。我中心对三种攻击手段进行了综合分析,请各通报成员单位加强网络安全防范工作。

　　一、主流攻击1:勒索病毒

　　勒索病毒通过骚扰、恐吓甚至绑架用户文件等方式,使用户数据资产或计算资源无法正常使用, 并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币和其它虚拟货币。该病毒具有感染方式多样化,加密方法复杂化的特征。

　　（一）2018年上半年活跃的勒索病毒

　　1. GlobeImposter 勒索病毒

　　2017年5月，GlobeImposter家族首次出现; 2018年3月, GlobeImposter 勒索病毒变种开始在我国传播，该勒索病毒依靠垃圾邮件进行传播，在邮件正文会告知受害者缴纳赎金的方式，一般索要1-10比特币不等，文件加密后扩展名会更改为.crypted!...doc和.TRUE等。

　　2.“Zenis”勒索病毒

　　该勒索病毒在2018年3月被安全专家截获，与其他勒索病毒不同，“Zenis”勒索病毒可对设备中超量200种格式的文件进行加密,对非系统盘符下的所有格式文件也可进行加密。 为防止系统还原, 会删除系统中的备份文件, 还可通过被黑客入侵的远程桌面服务进行安装 。

• 该病毒常见类型

　　1,加密型勒索病毒 -  GlobeImposter勒索病毒；

　　2.锁屏式勒索病毒 -  FAKEL0CK勒索病毒；

　　3.磁盘勒索病毒 - PETYA勒索病毒；

　　4. 数据库勒索病毒 -  oracle数据库勒索病毒；

　　5.Linux磁盘勒索  - KILLDISK 勒索病毒；

　　6.其他 -  PABGEE勒索病毒.

• 主要传播方式（见下图）

• 主要感染对象（见下图）

　　(五)该病毒的应对方法

　　l.注意备份重要文档。备份的最佳做法是采取3-2-l規则, 即至少做三个副本, 用两种不同格式保存, 并将副本放在异地存储。

　　2.访问控制: 限制访问关键业务数据。

　　3.补丁管理:尽可能降低漏洞攻击风险。

　　4.避免支付数据: 支付只会鼓励黑客进行下一步攻击。

　　5.向员工普及网络钓鱼知识:增强意识、提供最佳实践平台、进行模拟演练。

　　6.改进安全措施:通过行为监控及其他附加技术。

　　二、主流攻击2:挖矿病毒

　　挖矿病毒由于其工作原理与开采矿物十分相似而得名， 是对获取加密货币勘探方式的一种昵称。 此外, 进行挖矿工作的加密货币勘探者也被称为矿工。为了节省挖矿成本,黑客将挖矿程序制成恶意软件,在网络上感染他人的计算机,替自已挖矿。

　　（一）2018年上半年活跃的挖矿病毒

　　l.Web1ogic挖矿病毒

　　攻击利用了 WEBLogic WSAT(全称：Web Services Atomic Transactions)组件RCE漏洞，攻击者预先收集 Windows和Linux 平台的  WebLogic  目标主机信息,  利用CVE-2017-3506/CVE-2017-10271 漏洞对目标主机植入挖矿程序, 该攻击行为会造成主机 CPU资源耗尽, 主机性能变差等.

　　2.GhostMiner无文件挖矿病毒

　　使用无文件技术隐藏恶意程序, 有效逃逸安全厂商检测, 利用 Powershe11框架将挖矿程序直接解压到内存,直接从内存中启动挖矿组，结束目标设备上运行的任何其它恶意挖矿进程.

　　(二)挖矿病毒特征:

　　l.CPU占用率高,通常高达70%以上；

　　2.系统性能下降；

　　3.系统出现卡顿. 运行缓慢；

　　4.风扇转速增快, 电脑发热增加

　　(三)该病毒应对方法:

　　1.打全系统补丁程序,降低漏洞攻击带来的风险;

　　2.设置高强度密码,降低弱口令攻击带来的风险;

　　3.提高员工安全意识,降低人为因素带来的风险；

　　4, 改进安全措施：行为监控及其他附加技木,

　　三、主流攻击3: APT攻击

　　APT（Advanced Persistent Threat）指高级持续性威胁。是一种黑客利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式, APT攻击的原理相对于其他攻击形式更为高级和先进 , 其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集, 攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络,并利用 Oday漏洞进行攻击.此类攻击通常由一个高度组织化的、专业化的黑客组织发起,常用的攻击方式有鱼叉钓鱼 , 水坑攻击等.

　　( 一 )近期热门APT组织

　　1.海莲花APT组织

　　海莲花APT组织（又名 APT32, APT-C-00, SeaLotus和Cobalt Kitty)是一个高度组织化、专业化的境外黑客组织,该APT组织主要针对媒体、研究机构和海事公司等进行高级持续性攻击。2018年4月,安全机构发现该组织使用最新的MacOS后门程序,对装有Per1程序的Mac系统进行攻击.

　　2.DarkhotelAPT组织

　　2018年3月,APT组织DarkHotel 将中国和朝鲜的电信公司的高管作为目标。DarkHotel组织的间谍活动最早是在2014年11月发现,安全专家发現 DarkHotel组织选择出国旅行的企业高管为目标,持装了至少四年. 根据专家分析, DarkHotel 进行这些活动背后的目的可能是从这些住在豪华酒店的高管身上窃取敏感数据,该黑客组织的成员现在仍然活跃。

　　(二) APT攻击步段

　　1. 情报收集;

　　2.单点突破;

　　3.命令与控制  (C&C通信) ;

　　4.横向移动;

　　5.资产/资料发掘;

　　6.资料窃取。

　　(三) APT攻击应对方法

　　1.阻止：评估潜在漏洞，为终端、服务器及应用提供主动防护;

　　2. 侦测:检测攻击者所使用的,传统防御无法识别的恶意对象、通讯及行为等威胁;

　　3.分析:分析攻击及攻击者的风险及本质,评估威胁的影响及范围;

　　4. 响应：通过实时发布特征码及安全更新提供快速威胁响应的能力。

　　四、网络安全工作提示

　　综合上述网络安全威胁的具体分折情况, 请各单位结合自身实际,着重加强以下几方面工作:

　　1.加强终端,服务器防护。所有服务器、终端应强行实施复杂密码策略,杜绝弱口令；安装杀毒软件、终端安全管理软件并及时更新病毒库;及时安装漏洞补丁；服务器开启关键日志收集功能, 为安全事件的追溯提供基础。

　　2.合理划分内网安全域。重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御, 严格限制重要区域的访问权限。

　　3.强化业务数据备份。对业务系统及数据进行及时备份, 并验证备份系统及备份数据的可用性; 建立安全灾备预案, 同时，做好备份系统与主系统的安全隔离,避免主系统和备份系统同时被攻击，影响业务连续性。

　　4,加强应急值守。加强监测以及开展24小时应急值守,进一步完善本单位网络与信息系统突发事件应急预案, 确保突发事件应急响应及时、规范、有效。突出情况及时向北京市网络与信息安全信息通报中心以及属地公安机关网安部门报告。

　　(联系人:宋扬,联系电话: 53l21239)