【正文】 害者被 騙 錢的方 式 上看 ， %的 受害 者 主動轉(zhuǎn)賬 給 騙子 。 從遭到漏 洞 攻擊 IP 的地域分 布 來看 ， %受 害 者 IP 來自境內(nèi) 地 區(qū) ， 受害 者 集中在北 京、浙江 、 四川等 地 區(qū)。 針 對物聯(lián) 網(wǎng) （ IoT） 設(shè)備的掃 描 是 20xx 年新 興 并且迅 速 蔓延的 一 類掃描 ， 最典型代 表 即是臭 名 昭著的 mirai 惡意程序 掃 描，美 國 斷網(wǎng)事 件 和德國 斷 網(wǎng)事件 都 是由 mirai 造成的。從防御角度看，國內(nèi)的工業(yè)系 統(tǒng) 仍普遍存在安全漏洞 ， NIST SP 8008 IEC62443 等提 出 的安全 策 略也存 在 很大的 局 限 性 。 威脅趨 勢 篇 ? 20xx 年 ， 網(wǎng)絡(luò) 詐 騙主要 呈 現(xiàn)以下 幾 個明 顯 的特點 ： 手 機卡成為 新 的盜竊 目 標 ； 利用短 網(wǎng)址、微 云 分享鏈 接 跳轉(zhuǎn)到 釣 魚網(wǎng) 站 ； 知名招 聘 網(wǎng) 站 、語音平 臺 進行公 開 招聘的 虛 假 兼職詐 騙 ； 利用 個 人信 息 ， 進 行 精 準 詐 騙 ； 詐 騙專 業(yè) 度越來越 高 ， 完 美 騙術(shù)越 來 越多； 利用新業(yè) 務(wù) 和冷門 業(yè) 務(wù)漏洞 實 施詐 騙 ； 利用云 盤 、 同 步軟件進 行 信息竊 取 。其次 ， 以眾測 為 代表的 網(wǎng) 站安 全 模 式創(chuàng)新 ， 是 較 早之前純 公 益開放 征 集漏洞 模 式 的一種完 善 和升級 。 當 前數(shù)據(jù) 驅(qū) 動的安 全 協(xié) 同已經(jīng)成 為 安全產(chǎn) 業(yè) 在應(yīng)對 APT 攻擊方面的技 術(shù) 共 識 。 協(xié) 同 聯(lián)動的 具 體 含義至少 包 括以下 三 個方面 ： 數(shù)據(jù)協(xié) 同 、產(chǎn)業(yè) 協(xié) 同 和 智能協(xié)同 。從 攔 截量看 ， 20xx 年攔截惡 意 程序攻擊 億 次 ，同比 20xx 年（ 億次）下降 %，平均 每 天為用 戶攔截惡 意 程序攻 擊 約 億 次，具 體 見下圖。 這主要 得 益 于 國內(nèi)安全 瀏 覽器的 普 及和第 三 方打補 丁工具的 普 及 。 目前捕 獲的敲詐 者 病毒和 敲 詐者病 毒 變種超過 200 個 版 本 ， 傳播量和 影 響力都 非 常大。 被 利 用最多 的 四個漏 洞 分別 是 CVE20xx6332（ IE 漏洞 ） 、 CVE20xx0189（ IE 漏洞 ） 、 CVE20xx5122（ Flash 漏洞 ） 、 CVE20xx5119（ Flash 漏洞 ） 。一 旦 用戶打 開 郵件附 件 ，便會 執(zhí) 行 里 面的腳本 ， 釋 放 敲 詐 者病毒 。 相比于個 人 用戶， 企 業(yè)用戶 的 攻擊價 值 往往要 高 得 多 ，因為企 業(yè) 用戶電 腦 中所存 儲 的 數(shù)據(jù)往往 更 具機密 性 和不可 復(fù) 制 性 ； 個 人用戶 在 上 網(wǎng) 安全意識 和 防護技 術(shù) 水平等 方 面都比 較欠缺， 因 此也更 容 易被攻 擊 并中招。 7 （二） 受害者感 染 途徑和 文 件類型 截至 20xx 年 11 月 30 日 ， 360 反 勒索服 務(wù) 共接到了 1000 余位遭 遇 敲詐者 病 毒攻擊 的 受 害者求助 。 在前面 8 的分析中 我 們看到 ， 在敲詐 者 病毒的 攻 擊對象 中 ， 僅 %為 企業(yè)用 戶 ， %為普 通 個人 用戶。 在 360 互 聯(lián) 網(wǎng)安全 中 心接到 的 受害者 主 動尋求 幫 助 的 人群中 ， %為 企 業(yè)用戶 ， % 為個人用 戶 。C 服務(wù)器 域名 進行了分 析 ，結(jié)果 顯 示 ： 域 名被使用 的 最多， 超 過了總 量 的一半 ， 為 %， 和 占比分別為 %和 %。 這類傳 播 途 徑 針對的情 況 與郵件 傳 播類似 ， 最終目 的都是給 公 司業(yè)務(wù) 的 運轉(zhuǎn)制 造 破壞， 迫 使公司 為 了 止 損而不得 不 交付贖 金 。 這類敲詐 者 病毒屬 于 撒網(wǎng)抓 魚 式的傳 播 ，并沒 有 特 定 的針對性 ， 一般中 招 的受害 者 多數(shù)為 裸奔用戶 ， 未安裝 任 何殺毒 軟 件。 掛馬攻 擊 是指攻 擊 者在網(wǎng) 頁 中 嵌 入惡意代 碼 ，當用 戶 訪問該 網(wǎng) 頁時， 嵌入的惡 意 代碼利 用 瀏覽器 本 身的漏 洞 ，在用 戶 不 知 情的情況 下 下載并 執(zhí) 行 惡 意 木 馬。 目前 ， 流行的 比 特幣敲 詐 者病毒 ， 在 20xx 年 時 已經(jīng) 開 始在國外 流 行了 ， 到 20xx 年開 始大 量 流 入 國 內(nèi) 。 可見 勒索軟件 在 全球范 圍 內(nèi)近乎 瘋 狂的傳 播與增長 ， 預(yù)計 2017 年增長 10 倍。并且 ， 本報告 將 從業(yè)內(nèi) 比 較 關(guān)注的熱 點 問題出 發(fā) ，聚焦 關(guān) 鍵信息 基 礎(chǔ)設(shè)施 、 安 全 漏洞防護 、 個人信 息 保護、 運 營 者與監(jiān)管 部 門責任 義 務(wù) 、 青 少年安 全 意識培 養(yǎng) 、 安 全 審查制 度 、 網(wǎng)絡(luò) 空 間主權(quán) 等 維度， 將 20xx 年 各 主要相 關(guān) 政策法 規(guī) 的特點 、 規(guī) 律 ， 以 及對 網(wǎng)絡(luò)安全 業(yè) 界的未 來 影響和 趨 勢， 加以綜合 分 析闡述。 CGC 已 經(jīng) 開啟了 人工 智能在安 全 領(lǐng)域應(yīng) 用 的一個 新 紀 元。 ? 目前國內(nèi) 企 業(yè)僅 360、 安天等 少 數(shù)企業(yè) 有 能力 發(fā) 布 相 對獨立的 APT 研究成果 。 未來幾 年 內(nèi) ， APT 攻擊將主要呈現(xiàn) 以 下四 個 趨 勢特點： 網(wǎng) 絡(luò)空間 成 為大國 博 弈的新 戰(zhàn) 場，針 對 基 礎(chǔ) 設(shè)施的破 壞 性攻擊 日 益活躍 ， 針 對特定個 人 的移動 端 攻擊顯 著 增 加 ， 一 帶一路 與 軍 民 融合仍將 是 攻擊焦 點 。 ? 并非所有 的 網(wǎng)絡(luò)攻 擊 事件都 會 被企業(yè) 自 主感知 。 ? 工業(yè)互聯(lián) 網(wǎng) 安全涉 及 工業(yè)控 制 、互聯(lián) 網(wǎng) 、信息 安 全 三 個交叉領(lǐng) 域 ，面臨 傳 統(tǒng)網(wǎng)絡(luò) 安 全 和工業(yè)安 全 雙重挑戰(zhàn) 。 針 對 中國的 網(wǎng) 絡(luò)掃描 ， 其 掃描源 IP 地域 所 屬國家主 要 有美國 、 俄 羅 斯 和巴 西 。備案 網(wǎng) 站漏 洞 平均修復(fù) 率 僅為 %。 ? 獵網(wǎng)平臺 共 收到全 國 用戶提 交 的網(wǎng)絡(luò) 詐 騙舉報 20623 例 ， 舉 報 總金額 億 余 元 ， 人 均損失 9471 元 。詐 騙 電話 平均的生 存 周期約為 天 ， 連續(xù)活 躍 周期 約 為 天。 從攔截 次 數(shù)來看 ， 固 定電話為 %， 多 為 房 產(chǎn) 、 理財?shù)葯C 構(gòu) 進行的 廣 告推銷。 通過對受 害 者調(diào)研 ， %的 受害者 不 知道感 染 病 毒 的原因 。 同 PC 端相 似 ， 手 機端勒 索 軟件也開 始 爆發(fā) ， 360 全 年 截獲 新增手機 勒 索軟件 17 萬， 170 萬臺手 機 遭到攻 擊 。 通過研 究 號 碼和被攔 截 次數(shù)發(fā)現(xiàn) ， 大部分 騷 擾電話 都 是由少 量 號 碼撥出的 ， %的 高 攔截號 碼 （ 被 攔截了 30000 次以 上 ） 占 總 攔截量的 %。 深 入 分析詐 騙 短信 的內(nèi) 容 ， 我們 發(fā) 現(xiàn)主要 為 冒充 類 的詐 騙信息， 主 要是冒 充 銀行、 電 商商家 、 電信運 營 商 等 。 90 后 是 受害者 最多的人 群 ，受害 者 隨著年 齡 的增長 ， 被騙人 數(shù) 在 降 低，但被 騙 金額卻 在 升高。而 從 發(fā)起漏 洞 攻擊 IP 的地 域 分布來看 ， 攻擊者 IP 同樣主要 來自境內(nèi) 地 區(qū)，江 蘇 、北京 、 河 南 三 省 市占比 最 多。 ? 全國企業(yè) 用 戶的郵 箱 平均每 天 接到垃 圾 郵件 20xx 余 萬封 ， 其占到 企 業(yè)用戶 收 到郵 件 總 量的 %。 ?? 20xx 年 ， 360 威脅情 報 中心已 累 計監(jiān)測 到 針對中 國境 內(nèi)目標發(fā) 動 攻擊的 境 內(nèi)外 APT 組 織 36 個 。 ? 根據(jù) 360 互 聯(lián)網(wǎng)安 全 中心對 20xx 年以 來 的網(wǎng) 絡(luò) 漏 洞 熱點研究 ， 其 主要特 點 有 ： 網(wǎng) 站 泄 漏個人信 息 成網(wǎng)絡(luò) 詐 騙助推 器 ，個人 信 息泄露 主 要 是 黑客利用 網(wǎng) 站存在 安 全漏洞 非 法 入侵和網(wǎng) 站 內(nèi)部人 員 非法盜 賣 。 第三， 以 “ 端 +云 ” 應(yīng)用 感 知 的 協(xié)同創(chuàng)新 ， 為增強 Web 應(yīng)用安全 提供了新 的 解決思 路 和方向 ， 特別是 RASP 技術(shù)。尤其是 針 對高級 威 脅的發(fā)現(xiàn)， 還需要將 多 維度檢 測 技術(shù)、 大 數(shù)據(jù)分 析 技術(shù)和 威 脅 情 報技術(shù)結(jié) 合 起來。 大會總 結(jié) 的四個 互 聯(lián) 網(wǎng)安全趨 勢 為 ： 協(xié)同 聯(lián) 動將成 為 安全行 業(yè) 新風(fēng)向 ； 工 業(yè)互聯(lián)網(wǎng) 安 全可控 再 度備受 關(guān) 注； 大數(shù)據(jù)分 析 技術(shù)在 安 全領(lǐng)域 持 續(xù)升溫 ； 安全人 才 培 養(yǎng) 逐漸成為 業(yè) 內(nèi)焦 點 。 （二） PC 端惡意程序發(fā) 展 趨勢 1） 敲詐者病 毒 興起 ， 2017 年預(yù) 計 增長 10 倍 360 互聯(lián)網(wǎng)安 全 中心的 監(jiān) 測顯示 ， 20xx 年共截 獲 電 腦 端新增敲 詐 者病毒變種 113 種， 涉及樣本 萬個 ， 全國至 少 有 497 多 萬臺用 戶 電 腦 遭到了敲 詐 者病毒 攻 擊 。 但 20xx 年 以 來 ， 網(wǎng) 頁掛馬 攻 擊在國 內(nèi) 又開始重 新 流行 ， 黑客針 對 網(wǎng)站的掛 3 馬活動重 新 活躍了 起 來，并 呈 現(xiàn)一定 程 度爆發(fā) 趨 勢 。 下面章節(jié) ， 我們?yōu)?您 呈現(xiàn)對 敲 詐者病 毒 研究的 主 要 內(nèi) 容 ， 完整 版 請參見 360 互聯(lián) 網(wǎng) 安 全中心發(fā) 布 的《 20xx 敲詐者 病 毒威脅 形 勢分析 報 告 （ 年報 ）》 ， 下 載鏈接： （一） 敲詐者病 毒 的大規(guī) 模 攻擊 1） 敲詐者病 毒 的攻擊量 360 互聯(lián)網(wǎng) 安 全中 心 的監(jiān)測 顯 示 ， 20xx 年共截 獲 電 腦 端新增敲 詐 者病毒 變 種 113 種， 涉及樣本 萬個 ， 全國至 少 有 497 多 萬臺用 戶 電 腦 遭到了敲 詐 者病毒 攻 擊 。 5 2） 敲詐者病 毒 的家族 360 互聯(lián)網(wǎng) 安 全中 心 監(jiān)測顯 示 ， Cerber、 Locky、 XTBL 是目前最主流的 三 大敲詐 者 病 毒家族。 這類傳 播方式的 針 對性較 強 ，主要 瞄 準公司 企 業(yè) 、各 類 單 位 和院校， 他 們最大 的 特點是 電 腦中的 文檔往往 不 是個人 文 檔，而 是 公司文 檔 。 5） 敲詐者病 毒 的服務(wù) 器 分布 敲詐者病 毒 通常會 使 用 Camp。 目前絕 大 多數(shù) （ %） 求助用 戶 并不 是 在安裝了 360 安 全衛(wèi)士 ， 并開啟 了 反 勒索服務(wù) 的 情況下 感 染的敲 詐 者病毒 。 企業(yè)用戶 電 腦中毒 以 后， 由 于被 加 密的多 是 相對更 加 重要的公 司 辦公和 業(yè) 務(wù)文 件 ，因 此，企業(yè) 用 戶往往 會 更加積 極 尋求解 決 辦法， 特 別 是 更加積極 向 專業(yè)安 全 廠商尋 求 幫助。 同 時 調(diào)查還 顯 示 ， 男 性受害 者感 染敲詐者 病 毒的主 要 原因 是 通 過瀏覽 陌生網(wǎng)頁。 針對最為 活 躍的部 分 敲詐者 病 毒的 Camp。 最 后，黑 客 會留下 支付贖金 的 方式， 進 而實施 敲 詐勒索 。 腳 本會自 動 執(zhí) 行 敲詐 者 病毒 ， 進而加 密 用戶文件。 4 20xx 年上 半 年發(fā)生 的 大規(guī)模 攻 擊，主 要 是因為 國 外 某 些色情網(wǎng) 站 被黑客 掛 馬攻擊所 致，而下 半 年發(fā)生 的 大規(guī)模 敲 詐者病 毒 攻擊， 主 要 是 因 為 國內(nèi) 某 大型金 融 服務(wù)平 臺 網(wǎng)站被 黑客掛馬 攻 擊所致 。 敲 詐 者 病 毒已有十 多 年的歷 史 ，之前 的 敲詐方 式是加密 或 隱藏文 件 后要求 轉(zhuǎn) 賬或者 購 買指定 商 品 ， 傳播量和 影 響力并 不 高。 根據(jù) IBM Security 的一項研究表 明 ， 20xx 年帶有 勒索 軟件的垃 圾 郵件數(shù) 量 同比增 長 了 6000%， 近 40%的垃 圾 信息中 都 帶有勒 索 軟件。 ? 本報告將對 20xx 年 公 布的各 類 政策和 法 律法 規(guī) 文 件 作綜合梳理 ， 以 期更加 清 晰解 讀 國 家對網(wǎng)絡(luò) 安 全業(yè)界 各 方的規(guī) 范 、約束 、 引導(dǎo)和 促 進 政 策。而 且 根據(jù)人 類 戰(zhàn)隊的 賽 后反饋 ， Mayhem 系統(tǒng)對某些人類戰(zhàn)隊 認 為很 難利用的 漏 洞生成 了 有效攻 擊 。 該架構(gòu)由 6 個步驟 閉 環(huán)組成 ， 分 別是：信 息 感知、 數(shù) 據(jù)匯集 、 轉(zhuǎn)化分 析 、信息 融 合 、 認知預(yù)測 和 響應(yīng)決 策 。 ? APT 攻擊在三個領(lǐng)域 中 產(chǎn)生 的 重要影 響 最值得 關(guān) 注 ： 針對工業(yè) 系 統(tǒng)的破 壞 ， 針對 金 融 系統(tǒng)的犯 罪 ， 以及 對 地緣政 治 的影響 。 而 數(shù)據(jù)驅(qū)動 的 、協(xié)同 聯(lián) 動的縱 深 防 御體系將 成 為未來 APT 檢測與防御的 主 要方法。攻擊者 冒 充系統(tǒng)管 理 員 發(fā)送郵件 ， 以郵箱 升 級、郵 箱 停用