细数 2020 上半年 PC 端十大“黑恶势力”，一起康康是谁在“兴风作浪”



时至7月，2020年上半年已告一段落。2020年，这个本该寄托无数憧憬的年份，却因一场席卷而来的疫情危机的到来而全球震荡。流年不利、人心惶惶，这些糟糕的词语已经无法准确描述这场疫情为全球人民生活造成的灰暗。



伴随着疫情夜幕的降临，生活在黑暗中的生物们也相继“苏醒”。勒索病毒、蠕虫木马、钓鱼邮件，横向渗透、变形虫攻击等黑客攻击如同洪流般裹挟泥沙席卷而来，各路玩家粉墨登场。在疫情的掩护下，将人们本已步履维艰的生活搅乱的更加浑浊。



360安全大脑对上半年全球范围内针对PC端异常活跃的十大网络攻击威胁，包括疫情下流行病毒的趋势，以及伴随疫情出现的全新攻击面和攻击技术进行了梳理和总结，以此提醒广大企业和个人用户提高警惕，未雨绸缪而有备无患。



Top1、勒索病毒独占鳌头



进入2020年，发展迅猛的勒索病毒没有丝毫放缓脚步，以更加来势汹汹的态势在全球横冲直撞“所向披靡”。在GandCrab家族一年半内赚下20亿美金的鼓舞下，上半年间，花样繁多的勒索病毒大有星火燎原之势，如同早已约定好上台表演次序一般，你方唱罢我登场，几乎每周都有勒索病毒“新起之秀”亮相，在广大用户身上刮下一层“油水”后，乘兴而来乘胜而归。





2020上半年勒索病毒花样频出





上半年中占比最高的勒索病毒增长趋势图



2020年上半年，勒索病毒繁多的变种更加趋于常态化，新型勒索病毒越演越烈的增长态势也愈发不可收拾。近两年来，勒索病毒制造门槛一再降低，用PHP、Python等语言编写的勒索病毒，甚至用更简易的脚本语言来编写勒索病毒已经屡见不鲜。



在暗网和一些地下黑客论坛中，以RAAS模式（勒索软件即服务）推广和分发勒索病毒的勒索软件供应商也日益增多，RAAS模式的出现让黑客攻击成本不断降低，策划实施攻击者只需支付少量成本即可发起勒索攻击，从中大量获利。而勒索对象也正在从C端用户全面转向大型B端企业，疯狂掘金的黑客团伙已然大肆分起了蛋糕，开始了“地盘掠夺”，动辄数百万美元的勒索赎金足已让各方玩家昼夜无休。



Top2、挖矿、蠕虫和驱动类传统木马“三驾马车”地位牢固



除了疯狂捞金的勒索病毒外，挖矿木马、蠕虫木马和驱动类传统木马也动作频频，仍然是扮演着流行病毒主力军团角色。



据360安全大脑监测发现，上半年流行的挖矿类木马以Powershell形式的无文件攻击为主，其中以驱动人生木马（DTLMiner），匿影，BlueHero,MyKings家族居多。该类挖矿木马重点表现出更新频率高，混淆严重的特点。挖矿木马活跃度在一定程度上受虚拟货币价格涨幅影响，其中以DTLMiner挖矿木马更新最为频繁，堪称一众同班同学中最努力上进的 “优秀代表”。





更新频频的DTLMiner挖矿木马



DTLMiner挖矿木马今年的三次更新中，还分别加入以疫情为话题的邮件蠕虫模块，SMBGhost漏洞检测与攻击模块，每一次的重要更新都在很大程度上增强了该木马的传播能力，从每次更新的时间节点来看，他的每次更新也都伴随重大漏洞被批露或EXP被公布。



而从其整个上半年对野外漏洞利用的利用情况看，蠕虫级漏洞，文档类漏洞和各类可以远程执行命令的服务器漏洞仍是其用的最得心应手的武器，挖矿木马可以轻易通过这些漏洞释放出大规模“AOE范围伤害”。





驱动类木马（Rootkit）相较于2019年下半年也有不小的增长，2020年上半年感染量达370万。驱动类木马的盈利模式相较以往并无太大变化，仍然以劫持用户浏览器主页和流量暗刷为主，其中活跃木马家族代表的木马家族有麻辣香锅和祸乱。





驱动类木马查杀Top 5占比如图所示



驱动类木马驱动类木马的传播主要依赖于系统激活工具，装机盘，私服微端，下载站这几个重要渠道进行传播，这些渠道种类鱼龙混杂，安全性极低，是被黑客植入病毒最多的“后花园”。



360安全大脑发现，相较于2019年，驱动类木马对抗杀软手段有所升级，查杀难度和成本有所增长。具体表现为病毒更新周期缩短、由限制杀软模块加载的黑名单机制转变成只允许系统模块加载的白名单机制，以及通过加载模块的时间戳，签名等特征限制杀软驱动加载等特征，驱动类木马也正在变得更加“狡猾”。



Top3、钓鱼邮件攻击趁火打劫



疫情带来的恐慌，无疑为黑客团伙们创造了为非作歹的“天时地利”。



随着疫情在全球的爆发，以COVID-19、Coronavirus、nCov等疫情相关词汇的网络攻击也在全球范围内激增。360安全大脑先后拦截到响尾蛇、海莲花、Kimsuky、Lazarus、Patchwork等多个境外APT组织利用疫情为话题的攻击样本。





携带恶意附件伪造成卫生部疫情防控邮件的钓鱼攻击



此类攻击多伪造成世界卫生组织的安全建议，疫情通报，以及疫苗申请，疫情补助计划等等。攻击者精心构造钓鱼邮件，通过社会工程的手段，诱骗用户点击带毒的附件，进而在用户电脑上植入远控或窃密木马。而DTLMiner更是将”COVID-19”话题制造为邮件蠕虫进行大范围传播。



目前，360安全大脑已监测多种不同类型的钓鱼邮件，以疫情相关信息作为诱饵的恶意钓鱼攻击具有极高的隐蔽性，仍需反复提醒国内外各位用户提高安全意识，注意警惕防范。



Top4、VPN安全隐患异军突起



疫情的到来在打乱人们生活秩序的同时，也改变了我们的工作方式，拉开了数字化远程办公的大幕。仓促上线的远程办公，随之引入了大量的安全问题。



为员工提供访问企业内网入口的VPN，无疑是远程办公最重要的技术手段，但VPN的脆弱性却一直为人诟病。仅2020年上半年，国内外通过VPN漏洞发起网络攻击的安全事件高发，一些境外APT组织都曾在上半年以VPN缺陷为跳板，发起针对远程办公企业的大规模网络攻击。





一种典型的VPN攻击场景



在利用弱口令爆破、漏洞等手段成功入侵企业的VPN服务器后，攻击者可以通过劫持VPN的升级流程下发远控木马，进而成功入侵目标内网。当员工在家办公过程中升级VPN客户端时，由于升级流程被攻击者劫持，木马可以顺利通过升级渠道植入员工计算机设备中。



凭借已植入的恶意木马，攻击者会进一步窃取员工进出企业内网的账号密码，直接进入企业内网企业核心资产和企业重要的敏感数据。



Top5、远程会议、即时通讯暗藏危机



除VPN外，远程会议，即时通信，文档协助等方面也都存在诸多安全隐私问题。应运而生的远程办公软件站在了风口上，但这些快速上线软件及时响应了人们短期内远程办公的需求，但用户的安全需求却极易受到开发者的忽视和冷落。





远程视频软件被捆绑WebMonitor远控，CoinMiner木马病毒



以在线视频会议软件Zoom举例，首先，在弱口令，默认配置的情况下，攻击者可以在未被邀请的前提下参加视频会议，若此过程无人审核或发现，则可能造成严重的信息泄漏；其次，Zoom等在线视频会议软件的早期版本并未实现端对端加密，且加密算法强度比较弱，数据传输过程中的安全性无法保障；再者，该软件已经暴露了诸多高危漏洞，可能被黑客恶意利用。





国外安全研究员还发现，该软件将会议视频数据存放于AWS存储桶中，可公开访问。利用某软件的自动命名规则，就可搜索到该软件的会议视频数据。

除了大肆传播的流行病毒外，在2020年上半年，360安全大脑还发现很多新的利用手法和攻击面被挖掘并利用，这些攻击思路刷新了我们对于传统安全技术的认知，让我们以全新的视角去重新审视每一个安全维度，进而不断提升产品的安全能力。



Top6、“隔离网络突破”另辟蹊径



5月下旬，国外安全公司ESET在报告中披露了Ramsay恶意软件的一种针对物理隔离网络的攻击新型攻击手段。所谓物理隔离网络，是指采用物理方法将内网与外网隔离，从而避免入侵或信息泄露的风险的技术手段。物理隔离网络主要用来保障那些需要绝对保证安全的保密网、专网和特种网络的安全需求。



360安全大脑对其进行了跟踪研究分析，发现该 Ramsay恶意文件主要内容通过可移动磁盘来实现针对隔离网络突破攻击。





Ramsay恶意软件通过U盘实现隔离网络突破流程图



首先黑客会先向目标计算机设备发送钓鱼邮件，该邮件附件携带含有漏洞的恶意附件，触发漏洞之后会感染员工电脑。被感染的员工电脑上线后，黑客会进一步下发定制版的可以感染隔离网络的木马，通过感染U盘，PDF/DOC/EXE文件等方式在企业内网中扩散。



紧接着黑客会再利用系统管理员与员工之间的工作接触，包括但不限于使用共享文件，U盘等，通过这些途径感染至管理员计算机、U盘和其他文件。拥有访问隔离网络权限的管理员，一旦将受感染的U盘插入隔离网络电脑上就会将其感染。



之后该木马会在隔离网络中运行，进一步感染隔离网内的其他设备，当成功获得目标重要资产的访问权限时，会直接窃取其中机密数据并将其写入U盘或带指令的文档中。此时获取的机密数据会以同样的方式再度被带出隔离网络并接入已感染病毒的外网计算机中，外网计算机中的驻留程序检测到U盘或文档携带的机密数据，将其提取并发送给黑客。



360安全大脑发现，针对隔离网络环境攻击是一种全新的攻击思路，黑客组织在考虑到隔离网络这一特殊的场景时，利用USB设备，doc文档等常见的媒介实现从外网渗透进隔离网络并在窃取数据之后传回给黑客，这一行为具有极高的隐蔽性。由于物理隔离网络多为政企机构等单位采用，因此尽管该病毒还在研发阶段，尚不够成熟，但是这种攻击场景将对政企单位造成的严重威胁不容小觑。



Top7、横向渗透技术靡然成风



从境外APT组织“海莲花”(OceanLotus)、GlobeImposter勒索病毒，再到最近闹得满城风雨的驱动人生供应链攻击事件，“横向渗透”这种在复杂网络攻击被广泛使用的手段，已成为不法黑客瞄准企业目标，以点破面的惯用伎俩。如不及时发现，最终面临的将可能是企业内网设备的停摆与瘫痪，严重威胁企业数字资产安全。



入侵和控制员工个人电脑通常并不是攻击者的最终目的，攻击者会以被攻陷系统为跳板，采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器，同时不断地提升自己的权限，以求控制更多的电脑和服务器，直至获得核心电脑和服务器的控制权，这种攻击方法已在多个APT攻击中被发现使用。



据360安全大脑统计，2020年上半年累计拦截到横向渗透的攻击高达150万次。



如Mykings僵尸网络通过远程执行WMI技术进行横向渗透：





某勒索软件使用PsExec进行横向移动：





利用WINRM服务进行横向渗透：





除此之外，常见的手法还有：



Ø  拷贝病毒到具有自启动属性的目录下，当重新登录或启动时，文件得到执行。





Ø 远程创建服务





Ø 远程执行计划任务





Ø 远程注册表操作





Ø 远程COM接口调用





Ø 远程执行powershell





值得一提的是，从2019年开始，360安全大脑已经监测到境外APT组织海莲花针对中国的多起攻击事件中，都曾采用通过WMI远程执行和powershell调用COM远程执行的方式，在目标内网横向渗透。



上半年中传播广泛的DLTMiner,Tor2Mine，Mykings等挖矿木马，也都集成了不同的横向渗透模块，通过WMI/ SMB/SSH/数据库/RDP弱口令爆破和各种漏洞（永恒之蓝/Bluekeep/SMBGhost）漏洞进行横向传播。



Top8、供应链污染配合感染型病毒打出“组合拳”



2020年5月，360安全大脑首次检测到一款新型的感染型病毒Peviru，该病毒除了感染可执行文件之外，还会感染某编程语言（以下简称X语言）的编译坏境，导致用户编译的所有程序都会被感染。



360安全大脑通过对该病毒溯源发现，这款病毒背后的黑客团伙通过供应链污染的手段将携带这种病毒的开发工具植入X语言论坛。而就在近期，我们又检测到该黑客团伙通过之前部署的恶意软件下发勒索病毒。





黑客团伙通过供应链污染配合感染型病毒下发勒索病毒



Top9、搭建虚拟机躲避查杀独创怪招



在黑客眼中，攻防最大的魅力就在于封锁，和突破封锁，这种对抗游戏经久不衰，攻防双方也乐此不彼，查杀与免杀技术亦是如此。



在上半年诸多有趣的免杀样本中，一种叫RagnarLocker的勒索软件将免杀技术提高到了一个新的水平。为了躲避杀毒软件查杀，RagnarLocker在受害者机器上部署了一套完整的Oracle VirtualBox虚拟机坏境，并将49KB大小的勒索病毒存储到Windows XP虚拟机的虚拟映像文件（micro.vdi）当中。整个加密文件过程也在虚拟机空间中进行，安装在宿主机上的很多杀毒软件对此都束手无策。





攻击者先是使用GPO(Group Policy Object) task运行远程网络上的MSI（msiexec.exe）文件。这个MSI文件释放一个旧版本的VirutalBox安装程序和包含RagnarLocker勒索软件的Windows XP映像文件。勒索软件会在尝试关闭反病毒软件服务和进程后，将宿主机本地磁盘，可移动设备，网络设备等都映射到虚拟机内。



最后攻击者启动虚拟机，勒索软件位于xp镜像的启动目录下，虚拟机启动时会自动执行勒索软件，在虚拟机中加密共享的物理机数据从而规避杀软的查杀。攻击者还会删除卷影还原点，防止用户通过磁盘恢复工具恢复加密的文件。



这种新颖的通过虚拟机加密的手法可谓独辟蹊径，Ragnar Locker已经成功利用这种方法实现了对葡萄牙跨国能源巨头、世界第四大风能生产商EDP的勒索攻击，并开出了1580枚BTC近11万美元的高昂赎金。



Top10、变形虫（BadUSB）攻击花式钓鱼



2013年，斯诺登曾曝光美国NSA武器库中的“水蝮蛇一号” (COTTONMOUTH-I)，它可以在电脑不连网的情况下秘密修改数据，这一支用于全球监控的超级网络军火，实质上是一个植入微型电脑的特制U盘。在2014年的Black Hat大会上，来自柏林的安全研究员现场还原如何利用U盘、鼠标等任意USB设备，“完美”绕开安全软件防护网，实施攻击，并将其定义为世界上最邪恶的USB外设——“BadUSB”。根据BadUSB极难辨别的伪装攻击特点，360安全大脑 将其命名为“变形虫”。



利用“变形虫（BadUSB）”发起的网络攻击几乎从未停止，尤其是在国家级网络对抗、关键基础设施攻击、间谍情报活动等场景下，“变形虫（BadUSB）”更成为一种致命的入侵武器。而在2020年上半年，又再次真实的发生了一起利用变形虫（BadUSB）发起攻击的恶意安全事件。



3月，美国一家酒店的员工收到了来自“BestBuy”的用户回馈信，信中提到BestBuy公司为了回馈忠实用户，赠送每位用户50美元的购物卡，信封中还包含一个USB驱动器，声称里面包含一个购物清单，相信很多未受过专业安全培训的人都会第一时间将USB设备查到电脑上开始选购商品。





但事实上，这个USB设备是经过特殊处理的，攻击者将USB设备编程为USB键盘，因为计算机默认设置是信任USB键盘，当USB设备被插入受害者计算机时，模拟键盘就会执行恶意代码，进而控制这台机器。



明枪易躲暗箭难防。谷歌反欺诈研究团队曾用实验说明一项危险事实：在实验中随意丢弃的287个U盘中，有135人捡走并遭到攻击，钓鱼USB“上钩率”高达45%。因此，如果在停车场，公司角落，咖啡馆等看到被人遗落的U盘，SD卡等设备，或是受到陌生的USB赠品，很有可能来源于攻击者的恶意投放。对于政企单位而言，拒绝使用来源不明的USB设备的警钟更应长鸣。



对黑客而言更有利的是，我们手边的USB设备实在林林总总，触手可及的键盘、鼠标、充电宝、数据线、以及各种转接头……不得不说，我们的电脑高度依赖着USB外接设备，但同时，电脑系统也给予了最大的兼容，甚至免驱。这样的后果就是，若不幸插入BadUSB，攻击再难停止，并且这种攻击可以随意伪装、防不胜防。



安全反思：



综合上半年PC端面临的安全威胁态势来看，流行病毒接踵而至，新型的攻击面、复合型攻击手法也在被不断的挖掘和利用。疫情热点和疫情下远程办公场景也为纷涌而来的攻击活动提供了更多的攻击入口，对PC安全行业带来了极为复杂严峻的网络安全挑战和现实威胁。



进入2020年的下半场，还有哪些未知安全风险将会“裂变”而至，谁也无法预见。



就上半年已暴露出的诸多安全威胁面而言，各方仍应提高安全意识加强安全防护，居安思危以未雨绸缪。毕竟，若不能清醒的看清新威胁，无论发生何种后果都终将由自己买单。



PC安全威胁十面埋伏，360安全大脑如何见招拆招？



针对上半年传统病毒木马变种百出，对抗持续升级的严峻安全形势，在360安全大脑的极智赋能下，360安全卫士在不断提升安全检测能力的同时，还推出“横向渗透防护”、“变形虫BadUSB防护”等多项安全解决方案，不断提升360安全卫士的终端防护能力。针对以上十大风险挑战，360安全大脑给出如下安全建议：



1、  前往http:weishi.360.cn/下载安装360安全卫士，对多种恶意攻击及时进行拦截；



2、打开360安全卫士，进入软件管家下载360文档卫士，全面防御勒索病毒文件数据勒索，实时保护文档安全；



3、如果不慎感染勒索病毒，可直接前往lesuobingdu.360.cn确认所中勒索病毒类型，并通过360安全卫士“功能大全”窗口，搜索安装“360解密大师”，点击“立即扫描”尝试恢复被加密文件，360解密大师已经支持800多种勒索病毒免费破解；



4、提高个人网络安全意识，建议从软件官网，360软件管家等正规渠道下载安装软件，对于被360安全卫士拦截的不熟悉的软件，不要继续运行和添加信任。





360安全卫士独家推出“横向渗透”防护功能，全视域洞察阻断病毒木马横向传播扩散





360安全卫士独家推出变形虫（BadUSB）防护功能，实时捕捉USB设备恶意行为