中文版 Global
首頁 > 安全資訊 > 正文

2020年PC安全趨勢年終總結

前言

2020年,“新冠”疫情爆發,各行各業均遭受了不少沖擊,但網絡攻擊卻並未隨著“新冠”疫情的發展而消失,而是愈發激烈。

360安全大脑整合360安全衛士拦截、查杀勒索、挖矿、驱动木马等流行威胁趋势,汇总无文件攻击、横向渗透、钓鱼邮件等流行攻击手法,盘点今年发生的重大數據泄漏事件及最新披露的多个攻击面,对2020全年流行威胁进行总结汇报。

由于報告篇幅較長,我們將報告內容劃分爲以下三個部分,如果你對其中某個部分的概念已有了解,則可以依據文章目錄選擇你感興趣的內容進行閱讀。

第一部分

勒索、挖礦、驅動木馬並駕齊驅,依然是個人和企業用戶面臨的頭號威脅

钓鱼邮件随“新冠疫情”等热点新聞一度数量激增,提升员工安全意识迫在眉睫

第二部分

企業內網防護依然薄弱,弱口令、NDAY依然泛濫

無文件攻擊、橫向滲透等技術愈發成熟,在病毒利用方面有明顯提示

數據泄漏事件頻發,配置管理不當是罪魁禍首

第三部分

新的攻擊面被挖掘,隔離網絡、UEFI/BIOS、郵件服務器等將成爲下一個戰場


團隊介紹:

360白泽实验室专注于BOOTKIT/ROOTKIT木马分析溯源查杀,率先发现全球首例BIOS木马BMW、 UEFI木马谍影,引导区木马隐魂、双枪,以及多个大型暗刷类僵尸网络黑雾、祸乱等。在原有业务基础上,涉猎APT检测与研究,国内首家发现并披露针对委内瑞拉军方的APT组织APT-C-43。

实验室在为360安全衛士,360急救箱等产品提供核心安全数据及顽固木马查杀方案的同时,为360安全大脑提供技术支撑。


致謝:

在撰寫本報告時,感謝360政企安全集團安全運營中心为本篇报告提供的部分數據支持。


一、 流行木马趋势

1. 勒索病毒

勒索病毒依然是广大用戶面临的头号威胁,在利益趋势下,更多勒索病毒将矛头转向企业用戶,越来越多的重要机构遭受到勒索病毒攻击,先后有富士康,Software AG, BancoEstado等国际知名企业被勒索病毒攻击。被攻击的行业涉及服务业、制造业、零售、互联网、政府能源等多个行业。

勒索病毒以其簡單粗暴的破壞力,對企業和個人造成了嚴重的經濟損失。360安全大腦統計了2020全年勒索病毒TOP10占比如下:

随着勒索病毒的发展,以Ryuk、CL0P、DoppelPaymer、LockBit等勒索病毒为代表的双重勒索模式逐渐成为勒索主流, 攻击者在加密数据文件前会先窃取未加密的文件,以泄漏敏感数据来逼迫受害者缴纳赎金。下图是DoppelPaymer勒索病毒攻击富士康后泄漏的部分敏感数据:

安全建議:

1, 通过及时修补系统补丁,加强口令管理,严格访问控制,安装殺毒軟件等措施,加强企業安全防护体系。

2, 对重要数据进行备份,并将备份文件进行隔离保存,备份数据可以在遭受到勒索病毒攻击后最大程度缓解企业损失。

3, 在已经遭受攻击并无数据备份情况下,应当及时联系专业的反勒索病毒团队进行处理。可通过lesuobingdu.360.cn了解更多关于勒索病毒解密相关的资讯。

2. 挖矿木马

挖礦木馬在近一年的漲幅並不明顯,但其累計感染量依然超過600萬,通過挖礦木馬的漲幅可以看出,挖礦木馬的活躍度在一定程度上受到虛擬貨幣價格的影響:

挖礦木馬在技術手段上更偏向于采用無文件攻擊的方式,最後通過開源挖礦程序進行挖礦。其中各病毒家族占比如下:

通過360安全大腦顯示,無文件攻擊的分布情況如下,在全球範圍內,中國、美國、俄羅斯依然是網絡攻擊的重災區:

3. 劫持刷量

360安全大腦在2020年累計查殺驅動木馬五百二十多萬,其中系統裝機盤,PE系統,系統激活工具等攜帶的惡意驅動變種繁多,占比最大。盈利方式以浏覽器主頁劫持類木馬爲主,通過篡改用戶的浏覽器主頁,達成導流的目的,從而牟取利益。

病毒通過優化搜索引擎SEO排名推薦給用戶,病毒網站還會有誘導用戶退出安全軟件的各種提示,以避免被殺軟攔截。下載後的病毒壓縮包中也有誘導用戶退出殺軟的提示。下圖是麻辣香鍋病毒誘導用戶退出殺毒軟件的提示:

360安全大腦提醒廣大用戶,切勿輕信退出安全軟件等誘導提示,安全軟件可以及時攔截和查殺惡意軟件,保護系統安全,不會影響用戶使用正常的軟件。如果對安全軟件的彈窗有任何疑問,應當第一時間聯系相關的運營人員進行處理,在確認沒有風險的情況下使用這類軟件。

雖與往年相比,驅動木馬在盈利方式上無太大變化。但是爲保護木馬驅動,在與殺毒軟件對抗方面卻做了很多改進:

1. 病毒更新周期缩短,更新频率由一个月缩短至一周。

2. 由限制杀软模块加载(文件过滤)的黑名单机制转变成只允许系统模块加载的白名单机制,造成殺毒軟件,ARK工具等安全軟件都无法正常使用。

3. 通过加载模块的时间戳,签名等特征限制杀软驱动加载。

随着安全軟件能力的提升和各种安全檢測技术的出现,传统病毒运行遇到很大的阻扰,而随之內存加載技术被熟知,越来越多的恶意软件采用这种技术手段加载恶意载荷。360安全大脑显示,內存加載类木马中云控后门,廣告木马,流量暗刷和私服携带的劫持类木马占比最多:

此類惡意軟件一般會在用戶電腦上潛伏一段時間,當檢測到受害者壞境比較安全時,通過向雲端請求shellcode的方式動態加載惡意載荷,而shellcode一般會經過多層加密處理,以MemoryDLL爲例,其惡意載荷解密流程如下:

在數據運營過程中我們發現,不少此類木馬是由內核驅動動態加載,比較典型的是BtinDrgn,內核驅動將惡意動態庫通過APC注入到系統進程中,動態庫向C&C服務器進行交互,並通過DeviceIOControl控制驅動。

除了应用层的內存加載之外,在内核也有木马通过IoCreateDriver加载内核模块,下图是BtinDrgn后门驱动內存加載内核模块的代码逻辑:

安全建議:

1, 切勿轻信病毒关于退出安全軟件的提示。

2, 安装主流殺毒軟件,360安全大脑结合海量安全大數據,能实时精准拦截各类欺诈,钓鱼和携带木马的网站。当访问网站时若遇到杀软有危险提示,应停止对此网页的访问,以防被病毒感染。

3, 出现浏览器主页被篡改等病毒现象,使用360安全衛士或360急救箱進行查殺。

4. 钓鱼邮件

2020年年初,伴随着新型冠状病毒疫情的爆发,以“新冠”疫情为标题的钓鱼邮件攻击数量激增。而根据360安全大數據显示,每伴随节假日,大的热点事件发生,与热点数据相关的钓鱼邮件便会随之增加,由此也可以看出,攻击者善于利用人们迫切看到热点新聞内容而忽视安全问题的弱点,通过社会工程学这种看似简单,却行之有效的方式进行攻击。下图是360安全大脑通过统计整年钓鱼邮件标题制作的热词云:

釣魚郵件附件中會攜帶惡意的文檔,LNK文件,壓縮包,虛假文檔(FakeFile)等等,各種類型的惡意附件占比如下:

爲了讓受害者激活攜帶的惡意載荷,攻擊者會配合極具誘導性的文字內容,欺騙受害者打開惡意附件:

釣魚郵件攜帶的惡意文檔中,惡意載荷的類型以宏病毒,遠程模板注入及OFFICE漏洞爲主,其中遠程模板注入較上年有明顯增加,更多的黑客組織在使用這種技術。

通過釣魚郵件傳播的惡意軟件類型主要以後門和竊密類木馬爲主。由此形成下圖中經典的釣魚郵件攻擊模式。

針對釣魚郵件攻擊,360安全團隊給出以下安全建議:

1, 收到来源不明的电子邮件时,先应经过安全軟件检测或交由安全部门进行检测,在确定邮件安全性的前提下查阅邮件内容。

2, 默认禁用office软件宏,当发现有提示“启用宏”之类的诱导提示时,切勿轻信,交由安全部门进行检测后进行查阅。

3, 企业应该定期对员工进行相应的安全培训,提高员工的安全意识。

4, 安装殺毒軟件,并打开邮件防护等功能。360安全衛士已默认开启邮件安全防护功能,用戶也可在安全防护中心->郵件安全防護進行相應的安全設置。


二、 内网安全困境

1. 弱口令

在很多內網壞境中,不少管理員對于口令強度的意識不夠深入,會出現使用弱口令(一般指易于被暴力枚舉或猜解的密碼)管理機器或使用相同密碼管理多台機器等情況。常見的弱口令組合如下:

l 系统默认密码(admin,root等)

l 纯数组或字母组合(12345678,AAAAAAAA等)

l 键盘连续字母+数字组合(qwerty123)

l 某些常用单词组合(iloveyou)

l 公司名+@+数字组合(公司名@2020,公司名@123等)

當攻擊者通過系統漏洞或者一些其他手段(如釣魚郵件)進入到企業內網後,攻擊者會進一步向內網中的重要資産滲透(如滲透某些存儲重要數據資料的服務器,以竊取機密的商業情報),或者進一步控制更多機器來進行後續攻擊(如控制更多機器進行挖礦或者發起DDOS攻擊)。

此時,攻擊者所能想到最簡單的攻擊手法就是暴力破解。攻擊者會通過在信息收集階段積累的關于系統管理員的一些信息(如出生日期,喜好,姓名等)與當前企業的一些信息制作弱口令字典,並利用該字典對內網中其他機器進行暴力破解。而隨著弱口令字典的不斷豐富,破解成功的概率也就不斷增加。

除了通過組合信息生成弱口令字典之外,更多攻擊者會通過轉儲已受控機器內存中存儲的賬戶密碼,將其豐富到弱口令字典當中。此中使用最多的是一款叫Mimikatz的憑據轉儲工具,它可以從內存中提取明文密碼,散列,PIN碼和Kerberos票證,而這些憑據則會大大提高弱口令字典的爆破概率。

假設有管理員在很多台機器上使用了相同的密碼,且密碼強度符合密碼複雜度要求。該管理員認爲萬無一失,但如果其中一台機器被攻擊者利用漏洞或其他手段攻破,通過轉儲內存中的明文密碼,攻擊者則可以輕易的控制內網中使用相同密碼的其他機器。這一手法也在很多僵屍網絡中被利用。

下圖是SantaDos/Lucifer僵屍網絡轉儲內存憑據制作弱口令字典的代碼邏輯:

2. 横向渗透

當攻擊者獲得大量有效憑據之後,會通過橫向滲透的攻擊技巧批量下發惡意軟件,這些技巧包括創建遠程服務,創建遠程計劃任務等多種手法,通過360安全大腦,可以看到各種攻擊技巧的占比大致如下所示:

其中占比最多的幾類木馬分別如下:

针对这一类恶意攻击,360安全衛士于2020年5月推出“横向渗透防护”功能,补足企业内网中对于横向渗透防护的缺失:

3. 系统漏洞

在內網壞境中,由于資産較多,管理混亂,導致有部分機器處于長期不打系統補丁的狀態,這就導致NDAY漏洞成爲了企業內網中另一嚴重的安全隱患。

以2017年的永恒之藍漏洞爲例,時隔三年之久,對于該漏洞的利用卻依然活躍。根據360安全大腦統計,在2020年整年,利用永恒之藍漏洞發起的有效攻擊仍然高達20萬次。

360安全衛士团队版也接到很多内网用戶反饋,有挖矿木马查杀后反复出现等问题,经过360安全专家远程处理时发现,活跃于企业内网的挖矿木马均是通过永恒之蓝漏洞进行传播的,其中以DTLMiner,WannaMine和LemonDuck为首,而重复出现的原因就是内网中不少机器至今未更新系统补丁,使得此类木马有机可乘。下图是DTLMiner利用漏洞的代码逻辑:

除了永恒之藍漏洞外,我們還羅列了2020年影響最廣的五大漏洞:

安全建議:

1, 及时更新系统补丁,阻断NDAY漏洞的利用。

2, 对于已停服的Windows 7系统,建议安装360安全衛士并开启WIN7盾甲。

4. 数据泄漏

2020年數據泄漏事件頻發,托管于雲上的服務器和數據庫在所有數據泄漏事件中占比最高,因安全策略配置錯誤而暴露在公網上的數據庫更是成爲了網絡黑客唾手可得的寶藏。360安全大腦通過梳理數百起數據泄漏事件,歸納出導致數據泄漏的以下原因:

1.無密碼保護的數據庫

一家允許美國人獲取出生/死亡證明的在線公司被曝信息泄漏事件,其AWS存儲庫中發現了超過75.2萬美國人的出生證明副本,此外還有90400個死亡證明申請。該存儲庫沒有進行密碼保護,任何人都可以通過非常容易猜測的URL網站來訪問這些數據。

2.錯誤的安全配置

微軟表示,因爲一次部署的配置錯誤的Azure安全規則,導致5台ElasticSearch數據庫被暴露在公網,其中包含2.5億條用戶數據。

3.托管平台

一名醫院職工在GitHub上傳了一份包含用戶名,密碼和敏感政府系統訪問密鑰的電子表格,令超過1600萬巴西COVID-19患者的個人和健康信息在網上泄漏。

4.黑客攻擊

2020年12月10日,FireEye證實該公司遭到一次高度複雜的國家級別的網絡攻擊,導致該公司用于測試客戶方與能力的紅隊工具被盜。

5.內部員工非授權訪問

一名前思科工程师承认非法访问思科网络,清除了四百多台虚拟机,造成超过16000个Webex Teams账户受影响而停用,造成240万美元的经济损失。

2019年也曾發生過國內某招聘網站員工參與倒賣個人信息,16萬個人簡曆被出售等內部員工泄漏用戶數據的案例。

總體來說,隨著數字化轉型的不斷加深,倒賣用戶信息成爲了黑客牟利的重要手段,而對于每個企業來說,保護好用戶數據,則變成了一個刻不容緩的問題。

安全建議:

1, 对重要的用戶数据进行隔离保存,严格对用戶数据的访问权限。

2, 定期审核对内部资产的安全访问权限,检测到配置不当,错误配置时应及时修改。

3, 提高员工安全意识,严禁将工作代码、配置文件、用戶数据等上传到托管平台或公共网盘。

4, 定期检测已离职员工拥有的网络访问权限,并及时进行撤销。

5, 加强内部网络防护体系,阻断黑客攻击。


三、 攻击面

1. 突破隔离网络

隨著網絡對抗的發展,新的攻擊思路也在不斷的呈現,以上半年發現的一款Ramsay病毒爲例,該病毒通過最簡單的傳輸介質(U盤),在複雜的內網壞境中開辟了一條通向隔離網絡的通道。

① 黑客发送带毒的钓鱼邮件给企业员工,完成投递。邮件附件携带含有漏洞的附件,触发漏洞之后会感染员工电脑。

② 被感染的机器上线,黑客下发定制版的可以感染隔离网络的木马,通过感染U盘,PDF/DOC/EXE文件等方式在企业内网中扩散。

③ 管理员与员工存在工作交际,包括但不限于使用共享文件,U盘等,木马通过这些途径感染至管理员机器且成功感染其U盘和其他文件。

④ 管理员具备访问隔离网络的权限,将感染的U盘插入隔离网络电脑上并将其感染。

⑤ 木马在隔离网段运行,进一步感染隔离网内的其他设备,当获得目标重要资产的访问权限时,窃取其中机密数据并将其写入U盘或带指令的文档。

⑥存儲機密數據的U盤或文檔被管理員帶出隔離網絡並插入被黑客控制的機器上。

⑦駐留程序檢測到U盤或文檔攜帶的機密數據,將其提取並發送給黑客。

這是一種全新的攻擊思路,黑客組織在考慮到隔離網絡這一特殊的場景時,利用USB設備,doc文檔等常見的媒介實現從外網滲透進隔離網絡並在竊取數據之後傳回給黑客。盡管該病毒還在研發階段,尚不夠成熟,但是這種攻擊場景對企業造成的威脅卻值得我們深思。

2. UEFI

2020年12月,由國外安全機構發現,臭名昭著的惡意軟件TrickBot增加了檢測目標系統UEFI/BIOS固件信息的功能。它利用商業軟件RWEveryThing工具的RwDrv.sys驅動來檢測UEFI/BIOS固件的SPI閃存芯片,以判斷目標系統的固件是否可以被修改。

由于UEFI/BIOS初始化過程優先于操作系統,一旦在此類固件中植入惡意載荷,即使重裝系統也無法徹底清除。這對于攻擊者來說具有獨特的戰略意義,因爲這將是最隱蔽,功能最強大的Rootkit。

TrickBot使用的惡意組件與APT28使用的LoJax惡意軟件有很多相似之處,都是利用RwDrv.sys對UEFI/BIOS進行探測,相應的I/O控制碼如下:

盡管TrickBot攜帶的惡意功能暫時只有偵察收集,但是其背後的黑客組織想將該功能拓展到植入惡意載荷也並非很難,屆時,此類攻擊將會帶來更嚴重的後果。

緩解措施:

爲了緩解此類措施,我們建議將固件更新到最新狀態,並啓用BIOS寫入保護,並驗證固件完整性,以防被惡意篡改。

3. kerberoasting

在内网域环境下,暴力破解一个端口很容易被一些安全产品检测到,所以很多攻击者会选择一种更为隐蔽的称之为kerberoasting的攻击方式, 其攻击流程大致如下:

緩解措施:

1, 通过检测windows事件日志中是否存在异常的票证授予服务(TGS)请求,日志ID 4769和4770。

2, 禁用Kerberos中使用不安全的协议,可以将单个账号设置为不允许RC4协议。

3, 对服务账户采取严格的密码安全策略,它们的密码应随机生成,长度至少30位。

4, 审核SPN对敏感用戶账号的分配,严格权限访问控制。

5, 若已经检测到恶意攻击,应该隔离所以涉及到的计算机,通知事件响应团队进行取证与清除恶意载荷,并重置要求使用TGS票证的服务账户密码。

4. 供应链攻击

2020年12月,據外媒報道美國多個重要政府機構遭受了國家級APT組織的攻擊入侵,攻擊疑似是由于基礎網絡管理軟件供應商SolarWinds的産品缺陷導致。

這是一次非常複雜的網絡攻擊事件,最早從2019年便開始籌備,在跨越兩年的攻擊活動中,攻擊者可能已經獲取了SolarWinds內網最高權限,通過多個有限賬號令牌繞過安全防護,在目標産品中植入惡意代碼,並通過SolarWinds與客戶之間的相互信任關系,將惡意代碼擴散至更大範圍。下圖是360高級威脅研究院繪制的此次攻擊的流程圖:

软件供应链在其开发,交付,使用阶段均存在被恶意篡改的风险,包括投毒软硬件开发坏境,开发工具,第三方库亦或对目标用戶的源代码进行篡改。由于软件供应商与用戶之间的信任关系,使得在开发,交付阶段进行篡改的恶意载荷极难被发现。而近几年被披露的供应链攻击事件, 如ShadowPad,ShadowHammar,CCleaner等,其攻击目标一般都拥有广泛的用戶群体,因此影响范围极广,造成损失也非常严重。

緩解措施:

1, 建立纵深防御和持续监控运营机制,对重点资产,服务器,主机实施主机行为管控措施,对异常网络请求,主机行为做闭环运行处理。

2, 安装殺毒軟件

5. 邮件服务器

電子郵件服務器的安全性非常重要,因爲電子郵件是最流行的通信和開展業務方式之一,尤其在企業內網中,電子郵件往往攜帶大量的機密信息,郵件服務器被攻破往往可能會造成巨大的財務損失。

在SolarWinds供應鏈攻擊事件中,攻擊者通過監控目標網絡中的電子郵件,竊取大量的敏感數據,Exchange郵件服務器成爲了攻擊的主要目標,以下是攻擊者的一些操作:

l 在实施攻击时通过Get-ManagementRoleAssignment列出各种组织的配置设置

l 使用Get-WebServicesVirtualDirectory检索有关已配置的虚拟目录的信息

l 使用New-MailboxExportRequest 命令和Get-MailboxExport-Request命令从目标帐户中窃取了电子邮件数据

l 使用Set-CASMailbox将自己的设备作为允许的ID进行主动同步,以便对多个邮箱进行同步

l 在成功导出他们希望窃取的邮件之后,攻击者将使用Remove-MailboxExportRequest删除导出请求的证据

值得一提的是SolarWinds的用戶群體中不乏白宮,國防部門,英美情報機構等重要敏感組織,上述攻擊方式可能造成的影響就遠高于傳統攻擊方式(垃圾郵件,DDOS等)。

緩解措施:

1, 加固邮件服务器,包括及时安装系统补丁,关闭无用端口,对服务器进行网络隔离,严格实行访问控制等等。

2, 上述部分powershell命令(如New-MailboxExportRequest)默认未分配给任何账户,定期对这些权限做检测,对一些异常账户做禁用处理。

3, 安装端点检测设备,对邮件服务器的异常行为告警做及时处理。


360政企終端安全产品体系

随着全球数字化转型数字技术的发展,网络攻击已经变得更有针对性、隐蔽性和持久性。在“大安全”时代背景下,“聚体系之力,护航大終端安全——360終端安全产品体系发布会”在2020年10月强势亮剑ISC平台。360政企安全集团重磅推出由360終端安全防护系统、360終端安全防护系统(信创版)、360安全衛士团队版、360企業安全浏览器等全方位集结的終端安全产品体系,剑指終端安全新威胁,论道终端防护硬实力。

360 終端安全管理系统是在360安全大脑极智赋能下,以大數據、云计算、人工智能等新技术为支撑,以可靠服务为保障,集防病毒与終端安全管控于一体的企业级安全产品。提供病毒查杀、漏洞修复、资产管理、运维管控、移动存储管理、安全审计、Win7盾甲、主动防御等诸多功能,帮助企业快速掌控全网終端安全状态,有效保障全网終端安全。

360安全衛士团队版是专注于企业级用戶的在线安全解决方案,以360安全大脑赋能,依托全网安全数据平台为支撑、借助威胁情报云、知识库AI云、安全专家云,能够为用戶精准检测已知病毒木马、未知风险程序,并提供终端资产管理、漏洞补丁管理、安全运维管控,終端安全统计等诸多防护功能,有效防御恶意攻击。360安全衛士团队版简单高效的后台控制中心与安全功能管理,满足企业对安全统一管理的需求,让网络更安全,管理更轻松。

更多關于360政企終端安全产品系统请访问:https://www.360.net/product-center/Endpoint-Security/management-system


附錄

https://www.360.cn/n/11696.html

https://www.freebuf.com/articles/network/243938.html

https://techcommunity.microsoft.com/t5/microsoft-security-and/detecting-ldap-based-kerberoasting-with-azure-atp/ba-p/462448

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/

https://attack.stealthbits.com/cracking-kerberos-tgs-tickets-using-kerberoasting

https://www.advanced-intel.com/post/persist-brick-profit-trickbot-offers-new-trickboot-uefi-focused-functionality

https://www.welivesecurity.com/2020/05/13/ramsay-cyberespionage-toolkit-airgapped-networks/


360安全衛士

熱點排行

用戶
反饋
返回
頂部
關于360
公司簡介
創始人
大事記
獲獎記錄
品牌宣傳片
投資者關系
公司公告
加入360
社會招聘
校園招聘
360大學
用戶服务
意见反饋
理賠舉報
手機回收
电脑/手機維修
360隱私保護白皮書
360安全應急響應中心
商務合作
聯系我們
360點睛營銷平台
360奇勝效果聯盟
360生態鏈