【正文】 為了更好的了解敲詐者病毒的感染原因及受害者特 點(diǎn) ，以幫助更多的用戶提高安全意 識 ， 免遭敲 詐 者病毒 侵 害 ， 本 次 報(bào) 告特別 對 這 1000 余 位求助的 受 害者進(jìn) 行 了抽樣 調(diào) 研分析。 黑 客通過 弱 口令 、 服 務(wù)器漏洞 等 方式攻 擊 服務(wù)器 ， 并嘗試 以 高權(quán)限 登 錄 。 但是 ， 上 半年攻 擊 高峰時(shí) 一 天之內(nèi)被 攻擊的電 腦 最多可 達(dá) 到 4644 臺 ， 下半年 攻 擊高峰 時(shí)單 日攔截敲 詐 者病毒 超 過 2 萬 余 次的情 況。 但是， 上 半年攻 擊 高峰時(shí) 一天之內(nèi) 被 攻擊的 電 腦最多 可 達(dá)到 4644 臺 ， 下 半 年 攻 擊高峰時(shí) 單 日攔截 敲 詐者病 毒 超過 2 萬余次的 情 況。這 兩 場引人 關(guān) 注的安 全 大賽， 分 別是機(jī) 器 大賽 CGC，以及由 CGC 大 賽奪冠系 統(tǒng)首次參 與 的 ， 人 類 頂級 黑 客奪旗賽 DEF CON CTF 決賽 。第 三 利用網(wǎng) 站 漏洞實(shí) 施 掛馬攻 擊 重新興 起 ， 并 呈現(xiàn)一定 程 度爆發(fā) 趨 勢。其中 用 戶使用 弱 密碼， 是 郵箱被 盜 號的首 要 原 因 。 ? 360 結(jié)合多 年 互聯(lián) 網(wǎng) 安全經(jīng)驗(yàn) 、 汽車安 全 研究經(jīng) 驗(yàn)及 整車廠的 安 全工作 情 況 ， 結(jié) 合 《 美 國交通部 現(xiàn) 代汽車 信 息安全 最 佳實(shí)踐 》 編制適 用 于 國 內(nèi)汽車工 業(yè) 企業(yè)信 息 安全建 設(shè) 的 最佳實(shí)踐 指 南，詳 細(xì) 闡述了 全 生命周 期 的安全 方 法 ， 指導(dǎo)企業(yè) 如 何有效 開 展信息 安 全 生態(tài)建設(shè)。 ? 詐騙電話 是 騷擾電 話 中重要 的 一個(gè)類 型 ，金融 理 財(cái) 和 身份冒充 既 是占比 最 高也是 容 易 對受害者 造 成大額 損 失的詐 騙 類型 。z 20xx 年 中國互 聯(lián) 網(wǎng)安 全 報(bào)告 2017 年 2 月 12 日 摘 要 個(gè)人安 全 篇 ? 20xx 年 360 互 聯(lián)網(wǎng)安 全 中心共 截 獲 PC 端 新 增惡意 程 序樣本 億個(gè) 。 詐騙電 話 的詐 騙 成功率約為 %， 其中 手 機(jī)號碼 撥打的詐 騙 成功率 最 高 ，為 %。 政企安 全 篇 ? 20xx 年 360 網(wǎng)站安 全 檢測平 臺 共掃描 出 存在漏 洞 的 網(wǎng) 站 萬個(gè) ， 其中存 在 高危漏洞 的網(wǎng)站 萬個(gè)， 占 掃描網(wǎng) 站 總數(shù)的 %。 ? 對于企業(yè)用戶來 說 ， OA 釣魚郵件 是 最具危險(xiǎn)性 的釣 魚郵件。第 四 智 能硬件接 入 互聯(lián)網(wǎng) 之 后暴露 的 漏洞容 易 遭黑客 劫 持 ， 安 全隱患 同 樣不容 忽 視。 盡 管 CGC 的冠軍 Mayhem 系統(tǒng)在 DEF CON CTF 決賽中最終成績 墊 底，但 其曾 在第二天 的 比賽結(jié) 束 時(shí)領(lǐng)先 了 兩 支人類參 賽 隊(duì)。詳 細(xì) 情況請 見 下一節(jié) 敲 詐者專 題 內(nèi) 容 。下面 兩 張圖分 別 給出了 20xx 年 4 月 至 5 月 ， 8 月 至 11 月期間 ， 敲詐者 病 毒攻擊 的 態(tài) 勢分析圖 形 。 一旦登錄 成 功，黑 客 就可以 在 服務(wù)器 上為所欲 為 ，例如 ： 卸載服 務(wù) 器上的 安 全軟件 并 手 動 運(yùn) 行 敲詐 者 病毒。 1） 受害者的 基 本屬性 根據(jù)調(diào)研 數(shù) 據(jù)顯示 ， 男性是 最 容易受 到 敲詐者 病 毒 攻 擊的對象 ，占比高達(dá) %，而 女性占比 僅 為 %。 特別值 得 注 意 的是，還 有 相當(dāng)數(shù) 量 的受害 者 在感染 敲詐者病 毒 時(shí)，電 腦 上沒有 安 裝任何 安 全軟件。 3. 服務(wù)器入 侵 傳播 最近以 XTBL 家族為代表的 敲 詐者 病 毒主要 采 用此 類 攻擊方式 。 根據(jù)監(jiān)測 顯 示 ， 20xx 年 上 、 下 半 年共發(fā) 生 過兩次 大規(guī) 模的敲詐 者 病毒攻擊 ， 一次發(fā)生 在 4 月底至 5 月 初 ， 另一 次 發(fā)生在 9 月底至 10 月初 。 根據(jù)監(jiān)測 顯 示 ， 20xx 年上 、 下 半年共 發(fā) 生過兩 次 大 規(guī) 模的敲詐 者 病毒攻 擊 ， 一次 發(fā) 生 在 4 月底至 5 月 初 ， 是由 于 國外一 批 色情 網(wǎng) 站被黑 客 掛馬所 致 ， 另一 次 發(fā)生在 9 月底至 10 月初，是 由 于國內(nèi) 某 個(gè)大型 金 融服務(wù) 平 臺網(wǎng)站 被 黑 客 掛馬所 致 。 ? 20xx 年 兩 場 比賽 讓 人 們 對人 工 智 能 技術(shù) 在 安全 領(lǐng) 域 及 網(wǎng) 絡(luò) 攻防 中 的 應(yīng) 用有 了 全 新 的 認(rèn)知。其次 金 融行業(yè) 網(wǎng) 站 漏 洞威脅更 加 復(fù)雜化 ， 不僅傳 統(tǒng) 的 銀行 、 保險(xiǎn)等 金 融領(lǐng)域 ， 還 包 括新 興 的第三 方 支付 、 互聯(lián)網(wǎng) P2P 領(lǐng)域也 曝 出不少 高 危 漏洞。國內(nèi) 企 業(yè)郵箱 用 戶平 均 每天遭 遇 疑似 盜 號攻擊事件約 萬件 ， 郵箱被 盜后，會 產(chǎn) 生諸如 密 碼被篡 改 ，對 外 發(fā) 送垃圾 郵 件 ， 對內(nèi)發(fā)送 欺 詐郵件 等 多種異 常 現(xiàn) 象。 ? 智能攝像 頭 已被廣 泛 使用， 由 于整個(gè) 產(chǎn) 業(yè)參與 者 的 參 差不齊， 導(dǎo) 致智能 攝 像頭存 在 大 量安全風(fēng) 險(xiǎn) ，主要 是 用戶隱 私 泄露、 傳 輸未進(jìn) 行 加 密 、未存在 人 機(jī)識別 機(jī) 制、多 數(shù) 智 能設(shè)備可 橫 向控制 、 未對客 戶 端進(jìn)行 安 全加固 、 代 碼 邏輯設(shè)計(jì) 存 在缺陷 、 硬件存 在 調(diào) 試接口、 未 對啟動 程 序進(jìn)行 保 護(hù)、沒 有 遠(yuǎn)程更 新 機(jī) 制 九大安全 風(fēng) 險(xiǎn)。 騷 擾電 話在一天 中 不僅會 白 天進(jìn) 行 騷 擾， 在 20 點(diǎn)至 24 點(diǎn)仍有 %的用戶 被 騷擾， 甚 至有 %的用 戶 在 06 點(diǎn)被 騷 擾。 敲詐者 病 毒在 國內(nèi)發(fā)生 兩 次大規(guī) 模 傳播 ， 全 國至少有 497 多萬 臺用 戶電腦遭 到 了敲詐 者 病毒攻 擊 。 詐騙電 話 有 %是異 地 號碼打 來 的。 補(bǔ)天 平 臺共收錄 漏 洞 37188 個(gè)，涉 及 網(wǎng) 站 30329 個(gè) ，其中 高 危漏洞為 %。攻擊者 冒 充系統(tǒng)管 理 員 發(fā)送郵件 ， 以郵箱 升 級、郵 箱 停用等 理 由誘騙 企 業(yè) 用 戶登錄釣 魚 網(wǎng)站， 并 進(jìn)而騙 取 企 業(yè)員工的 帳 號、密 碼 、姓名 、 職務(wù)等 信 息。 ? APT 攻擊在三個(gè)領(lǐng)域 中 產(chǎn)生 的 重要影 響 最值得 關(guān) 注 ： 針對工業(yè) 系 統(tǒng)的破 壞 ， 針對 金 融 系統(tǒng)的犯 罪 ， 以及 對 地緣政 治 的影響 。而 且 根據(jù)人 類 戰(zhàn)隊(duì)的 賽 后反饋 ， Mayhem 系統(tǒng)對某些人類戰(zhàn)隊(duì) 認(rèn) 為很 難利用的 漏 洞生成 了 有效攻 擊 。 根據(jù) IBM Security 的一項(xiàng)研究表 明 ， 20xx 年帶有 勒索 軟件的垃 圾 郵件數(shù) 量 同比增 長 了 6000%， 近 40%的垃 圾 信息中 都 帶有勒 索 軟件。 4 20xx 年上 半 年發(fā)生 的 大規(guī)模 攻 擊，主 要 是因?yàn)?國 外 某 些色情網(wǎng) 站 被黑客 掛 馬攻擊所 致，而下 半 年發(fā)生 的 大規(guī)模 敲 詐者病 毒 攻擊， 主 要 是 因 為 國內(nèi) 某 大型金 融 服務(wù)平 臺 網(wǎng)站被 黑客掛馬 攻 擊所致 。 最 后，黑 客 會留下 支付贖金 的 方式， 進(jìn) 而實(shí)施 敲 詐勒索 。 同 時(shí) 調(diào)查還 顯 示 ， 男 性受害 者感 染敲詐者 病 毒的主 要 原因 是 通 過瀏覽 陌生網(wǎng)頁。 目前絕 大 多數(shù) （ %） 求助用 戶 并不 是 在安裝了 360 安 全衛(wèi)士 ， 并開啟 了 反 勒索服務(wù) 的 情況下 感 染的敲 詐 者病毒 。 這類傳 播方式的 針 對性較 強(qiáng) ，主要 瞄 準(zhǔn)公司 企 業(yè) 、各 類 單 位 和院校， 他 們最大 的 特點(diǎn)是 電 腦中的 文檔往往 不 是個(gè)人 文 檔，而 是 公司文 檔 。 下面章節(jié) ， 我們?yōu)?您 呈現(xiàn)對 敲 詐者病 毒 研究的 主 要 內(nèi) 容 ， 完整 版 請參見 360 互聯(lián) 網(wǎng) 安 全中心發(fā) 布 的《 20xx 敲詐者 病 毒威脅 形 勢分析 報(bào) 告 （ 年報(bào) ）》 ， 下 載鏈接： （一） 敲詐者病 毒 的大規(guī) 模 攻擊 1） 敲詐者病 毒 的攻擊量 360 互聯(lián)網(wǎng) 安 全中 心 的監(jiān)測 顯 示 ， 20xx 年共截 獲 電 腦 端新增敲 詐 者病毒 變 種 113 種， 涉及樣本 萬個(gè) ， 全國至 少 有 497 多 萬臺用 戶 電 腦 遭到了敲 詐 者病毒 攻 擊 。 （二） PC 端惡意程序發(fā) 展 趨勢 1） 敲詐者病 毒 興起 ， 2017 年預(yù) 計(jì) 增長 10 倍 360 互聯(lián)網(wǎng)安 全 中心的 監(jiān) 測顯示 ， 20xx 年共截 獲 電 腦 端新增敲 詐 者病毒變種 113 種， 涉及樣本 萬個(gè) ， 全國至 少 有 497 多 萬臺用 戶 電 腦 遭到了敲 詐 者病毒 攻 擊 。尤其是 針 對高級 威 脅的發(fā)現(xiàn)， 還需要將 多 維度檢 測 技術(shù)、 大 數(shù)據(jù)分 析 技術(shù)和 威 脅 情 報(bào)技術(shù)結(jié) 合 起來。 ? 根據(jù) 360 互 聯(lián)網(wǎng)安 全 中心對 20xx 年以 來 的網(wǎng) 絡(luò) 漏 洞 熱點(diǎn)研究 ， 其 主要特 點(diǎn) 有 ： 網(wǎng) 站 泄 漏個(gè)人信 息 成網(wǎng)絡(luò) 詐 騙助推 器 ，個(gè)人 信 息泄露 主 要 是 黑客利用 網(wǎng) 站存在 安 全漏洞 非 法 入侵和網(wǎng) 站 內(nèi)部人 員 非法盜 賣 。 ? 全國企業(yè) 用 戶的郵 箱 平均每 天 接到垃 圾 郵件 20xx 余 萬封 ， 其占到 企 業(yè)用戶 收 到郵 件 總 量的 %。 90 后 是 受害者 最多的人 群 ，受害 者 隨著年 齡 的增長 ， 被騙人 數(shù) 在 降 低，但被 騙 金額卻 在 升高。 通過研 究 號 碼和被攔 截 次數(shù)發(fā)現(xiàn) ， 大部分 騷 擾電話 都 是由少 量 號 碼撥出的 ， %的 高 攔截號 碼 （ 被 攔截了 30000 次以 上 ） 占 總 攔截量的 %。 通過對受 害 者調(diào)研 ， %的 受害者 不 知道感 染 病 毒 的原因 。詐 騙 電話 平均的生 存 周期約為 天 ， 連續(xù)活 躍 周期 約 為 天。備案 網(wǎng) 站漏 洞 平均修復(fù) 率 僅為 %。 ? 工業(yè)互聯(lián) 網(wǎng) 安全涉 及 工業(yè)控 制 、互聯(lián) 網(wǎng) 、信息 安 全 三 個(gè)交叉領(lǐng) 域 ，面臨 傳 統(tǒng)網(wǎng)絡(luò) 安 全 和工業(yè)安 全 雙重挑戰(zhàn) 。 未來幾 年 內(nèi) ， APT 攻擊將主要呈現(xiàn) 以 下四 個(gè) 趨 勢特點(diǎn)： 網(wǎng) 絡(luò)空間 成 為大國 博 弈的新 戰(zhàn) 場，針 對 基 礎(chǔ) 設(shè)施的破 壞 性攻擊 日 益活躍 ， 針 對特定個(gè) 人 的移動 端 攻擊顯 著 增 加 ， 一 帶一路 與 軍 民 融合仍將 是 攻擊焦 點(diǎn) 。 CGC 已 經(jīng) 開啟了 人工 智能在安 全 領(lǐng)域應(yīng) 用 的一個(gè) 新 紀(jì) 元。 可見 勒索軟件 在 全球范 圍 內(nèi)近乎 瘋 狂的傳 播與增長 ， 預(yù)計(jì) 2017 年增長 10 倍。 掛馬攻 擊 是指攻 擊 者在網(wǎng) 頁 中 嵌 入惡意代 碼 ，當(dāng)用 戶 訪問該 網(wǎng) 頁時(shí)， 嵌入的惡 意 代碼利 用 瀏覽器 本 身的漏 洞 ，在用 戶 不 知 情的情況 下 下載并 執(zhí) 行 惡 意 木 馬。 這類傳 播 途 徑 針對的情 況 與郵件 傳 播類似 ， 最終目 的都是給 公 司業(yè)務(wù) 的 運(yùn)轉(zhuǎn)制 造 破壞， 迫 使公司 為 了 止 損而不得 不 交付贖 金 。 在 360 互 聯(lián) 網(wǎng)安全 中 心接到 的 受害者 主 動尋求 幫 助 的 人群中 ， %為 企 業(yè)用戶 ， % 為個(gè)人用 戶 。 7 （二） 受害者感 染 途徑和 文 件類型 截至 20xx 年 11 月 30 日 ， 360 反 勒索服 務(wù) 共接到了 1000 余位遭 遇 敲詐者 病 毒攻擊 的 受 害者求助 。一 旦 用戶打 開 郵件附 件 ，便會 執(zhí) 行 里 面的腳本 ， 釋 放 敲 詐 者病毒 。 目前捕 獲的敲詐 者 病毒和 敲 詐者病 毒 變種超過 200 個(gè) 版 本 ， 傳播量和 影 響力都 非 常大。從 攔 截量看 ， 20xx 年攔截惡 意 程序攻擊 億 次 ，同比 20xx 年（ 億次）下降 %，平均 每 天為用 戶攔截惡 意 程序攻 擊 約 億 次，具 體 見下圖。 當(dāng) 前數(shù)據(jù) 驅(qū) 動的安 全 協(xié) 同已經(jīng)成 為 安全產(chǎn) 業(yè) 在應(yīng)對 APT 攻擊方面的技 術(shù) 共 識 。 威脅趨 勢 篇 ? 20xx 年 ， 網(wǎng)絡(luò) 詐 騙主要 呈 現(xiàn)以下 幾 個(gè)明 顯 的特點(diǎn) ： 手 機(jī)卡成為 新 的盜竊 目 標(biāo) ； 利用短 網(wǎng)址、微 云 分享鏈 接 跳轉(zhuǎn)到 釣 魚網(wǎng) 站 ； 知名招 聘 網(wǎng) 站 、語音平 臺 進(jìn)行公 開 招聘的 虛 假 兼職詐 騙 ； 利用 個(gè) 人信 息 ， 進(jìn) 行 精 準(zhǔn) 詐 騙 ； 詐 騙專 業(yè) 度越來越 高 ， 完 美 騙術(shù)越 來 越多； 利用新業(yè) 務(wù) 和冷門 業(yè) 務(wù)漏洞 實(shí) 施