信息來源：Freebuf

時至7月，2020年上半年已告一段落。

2020年，這個本該寄托無數(shù)憧憬的年份，卻因一場席卷而來的疫情危機的到來而全球震蕩。流年不利、人心惶惶，這些糟糕的詞語已經(jīng)無法準確描述這場疫情為全球人民生活造成的灰暗。

伴隨著疫情夜幕的降臨，生活在黑暗中的生物們也相繼“蘇醒”。

勒索病毒、蠕蟲木馬、釣魚郵件，橫向滲透、變形蟲攻擊等黑客攻擊如同洪流般裹挾泥沙席卷而來，各路玩家粉墨登場。在疫情的掩護下，將人們本已步履維艱的生活攪亂的更加渾濁。

360安全大腦對上半年全球范圍內(nèi)針對PC端異?；钴S的十大網(wǎng)絡(luò)攻擊威脅，包括疫情下流行病毒的趨勢，以及伴隨疫情出現(xiàn)的全新攻擊面和攻擊技術(shù)進行了梳理和總結(jié)，以此提醒廣大企業(yè)和個人用戶提高警惕，未雨綢繆而有備無患。

TOP 1 勒索病毒獨占鰲頭

進入2020年，發(fā)展迅猛的勒索病毒沒有絲毫放緩腳步，以更加來勢洶洶的態(tài)勢在全球橫沖直撞“所向披靡”。

在GandCrab家族一年半內(nèi)賺下20億美金的鼓舞下，上半年間，花樣繁多的勒索病毒大有星火燎原之勢，如同早已約定好上臺表演次序一般，你方唱罷我登場，幾乎每周都有勒索病毒“新起之秀”亮相，在廣大用戶身上刮下一層“油水”后，乘興而來乘勝而歸。

2020上半年勒索病毒花樣頻出

上半年中占比最高的勒索病毒增長趨勢圖

2020年上半年，勒索病毒繁多的變種更加趨于常態(tài)化，新型勒索病毒越演越烈的增長態(tài)勢也愈發(fā)不可收拾。近兩年來，勒索病毒制造門檻一再降低，用PHP、Python等語言編寫的勒索病毒，甚至用更簡易的腳本語言來編寫勒索病毒已經(jīng)屢見不鮮。

在暗網(wǎng)和一些地下黑客論壇中，以RAAS模式（勒索軟件即服務(wù)）推廣和分發(fā)勒索病毒的勒索軟件供應(yīng)商也日益增多，RAAS模式的出現(xiàn)讓黑客攻擊成本不斷降低，策劃實施攻擊者只需支付少量成本即可發(fā)起勒索攻擊，從中大量獲利。

勒索對象也正在從C端用戶全面轉(zhuǎn)向大型B端企業(yè)，瘋狂掘金的黑客團伙已然大肆分起了蛋糕，開始了“地盤掠奪”，動輒數(shù)百萬美元的勒索贖金足已讓各方玩家晝夜無休。

TOP 2 挖礦、蠕蟲和驅(qū)動類傳統(tǒng)木馬屹立濤頭

除了瘋狂撈金的勒索病毒外，挖礦木馬、蠕蟲木馬和驅(qū)動類傳統(tǒng)木馬也動作頻頻，仍然是扮演著流行病毒主力軍團角色。

據(jù)360安全大腦監(jiān)測發(fā)現(xiàn)，上半年流行的挖礦類木馬以Powershell形式的無文件攻擊為主，其中以驅(qū)動人生木馬（DTLMiner），匿影，BlueHero,MyKings家族居多。 

該類挖礦木馬重點表現(xiàn)出更新頻率高，混淆嚴重的特點。挖礦木馬活躍度在一定程度上受虛擬貨幣價格漲幅影響，其中以DTLMiner挖礦木馬更新最為頻繁，堪稱一眾同班同學中最努力上進的 “優(yōu)秀代表”。

更新頻頻的DTLMiner挖礦木馬

DTLMiner挖礦木馬今年的三次更新中，還分別加入以疫情為話題的郵件蠕蟲模塊，SMBGhost漏洞檢測與攻擊模塊，每一次的重要更新都在很大程度上增強了該木馬的傳播能力，從每次更新的時間節(jié)點來看，他的每次更新也都伴隨重大漏洞被批露或EXP被公布。

而從其整個上半年對野外漏洞利用的利用情況看，蠕蟲級漏洞，文檔類漏洞和各類可以遠程執(zhí)行命令的服務(wù)器漏洞仍是其用的最得心應(yīng)手的武器，挖礦木馬可以輕易通過這些漏洞釋放出大規(guī)模“AOE范圍傷害”。

驅(qū)動類木馬（Rootkit）相較于2019年下半年也有不小的增長，2020年上半年感染量達370萬。驅(qū)動類木馬的盈利模式相較以往并無太大變化，仍然以劫持用戶瀏覽器主頁和流量暗刷為主，其中活躍木馬家族代表的木馬家族有麻辣香鍋和禍亂。

驅(qū)動類木馬查殺Top 5占比如圖所示

驅(qū)動類木馬驅(qū)動類木馬的傳播主要依賴于系統(tǒng)激活工具，裝機盤，私服微端，下載站這幾個重要渠道進行傳播，這些渠道種類魚龍混雜，安全性極低，是被黑客植入病毒最多的“后花園”。

360安全大腦發(fā)現(xiàn)，相較于2019年，驅(qū)動類木馬對抗殺軟手段有所升級，查殺難度和成本有所增長。

具體表現(xiàn)為病毒更新周期縮短、由限制殺軟模塊加載的黑名單機制轉(zhuǎn)變成只允許系統(tǒng)模塊加載的白名單機制，以及通過加載模塊的時間戳，簽名等特征限制殺軟驅(qū)動加載等特征，驅(qū)動類木馬也正在變得更加“狡猾”。

TOP 3  釣魚郵件攻擊趁火打劫

疫情帶來的恐慌，無疑為黑客團伙們創(chuàng)造了為非作歹的“天時地利”。

隨著疫情在全球的爆發(fā)，以COVID-19、Coronavirus、nCov等疫情相關(guān)詞匯的網(wǎng)絡(luò)攻擊也在全球范圍內(nèi)激增。360安全大腦先后攔截到響尾蛇、海蓮花、Kimsuky、Lazarus、Patchwork等多個境外APT組織利用疫情為話題的攻擊樣本。

攜帶惡意附件

偽造成衛(wèi)生部疫情防控郵件的釣魚攻擊

此類攻擊多偽造成世界衛(wèi)生組織的安全建議，疫情通報，以及疫苗申請，疫情補助計劃等等。攻擊者精心構(gòu)造釣魚郵件，通過社會工程的手段，誘騙用戶點擊帶毒的附件，進而在用戶電腦上植入遠控或竊密木馬。而DTLMiner更是將”COVID-19”話題制造為郵件蠕蟲進行大范圍傳播。

目前，360安全大腦已監(jiān)測多種不同類型的釣魚郵件，以疫情相關(guān)信息作為誘餌的惡意釣魚攻擊具有極高的隱蔽性，仍需反復提醒國內(nèi)外各位用戶提高安全意識，注意警惕防范。

TOP 4 VPN安全隱患異軍突起

疫情的到來在打亂人們生活秩序的同時，也改變了我們的工作方式，拉開了數(shù)字化遠程辦公的大幕。倉促上線的遠程辦公，隨之引入了大量的安全問題。

為員工提供訪問企業(yè)內(nèi)網(wǎng)入口的VPN，無疑是遠程辦公最重要的技術(shù)手段，但VPN的脆弱性卻一直為人詬病。僅2020年上半年，國內(nèi)外通過VPN漏洞發(fā)起網(wǎng)絡(luò)攻擊的安全事件高發(fā)，一些境外APT組織都曾在上半年以VPN缺陷為跳板，發(fā)起針對遠程辦公企業(yè)的大規(guī)模網(wǎng)絡(luò)攻擊。

一種典型的VPN攻擊場景

在利用弱口令爆破、漏洞等手段成功入侵企業(yè)的VPN服務(wù)器后，攻擊者可以通過劫持VPN的升級流程下發(fā)遠控木馬，進而成功入侵目標內(nèi)網(wǎng)。

當員工在家辦公過程中升級VPN客戶端時，由于升級流程被攻擊者劫持，木馬可以順利通過升級渠道植入員工計算機設(shè)備中。

憑借已植入的惡意木馬，攻擊者會進一步竊取員工進出企業(yè)內(nèi)網(wǎng)的賬號密碼，直接進入企業(yè)內(nèi)網(wǎng)企業(yè)核心資產(chǎn)和企業(yè)重要的敏感數(shù)據(jù)。

TOP 5 遠程會議、即時通訊暗藏危機

除VPN外，遠程會議，即時通信，文檔協(xié)助等方面也都存在諸多安全隱私問題。應(yīng)運而生的遠程辦公軟件站在了風口上，但這些快速上線軟件及時響應(yīng)了人們短期內(nèi)遠程辦公的需求，但用戶的安全需求卻極易受到開發(fā)者的忽視和冷落。 

遠程視頻軟件被捆綁WebMonitor遠控，

CoinMiner木馬病毒

以在線視頻會議軟件Zoom舉例，首先，在弱口令，默認配置的情況下，攻擊者可以在未被邀請的前提下參加視頻會議，若此過程無人審核或發(fā)現(xiàn)，則可能造成嚴重的信息泄漏；其次，Zoom等在線視頻會議軟件的早期版本并未實現(xiàn)端對端加密，且加密算法強度比較弱，數(shù)據(jù)傳輸過程中的安全性無法保障；再者，該軟件已經(jīng)暴露了諸多高危漏洞，可能被黑客惡意利用。

國外安全研究員還發(fā)現(xiàn)，該軟件將會議視頻數(shù)據(jù)存放于AWS存儲桶中，可公開訪問。利用某軟件的自動命名規(guī)則，就可搜索到該軟件的會議視頻數(shù)據(jù)。

除了大肆傳播的流行病毒外，在2020年上半年，360安全大腦還發(fā)現(xiàn)很多新的利用手法和攻擊面被挖掘并利用，這些攻擊思路刷新了我們對于傳統(tǒng)安全技術(shù)的認知，讓我們以全新的視角去重新審視每一個安全維度，進而不斷提升產(chǎn)品的安全能力。

TOP 6 “隔離網(wǎng)絡(luò)突破”另辟蹊徑

5月下旬，國外安全公司ESET在報告中披露了Ramsay惡意軟件的一種針對物理隔離網(wǎng)絡(luò)的攻擊新型攻擊手段。所謂物理隔離網(wǎng)絡(luò)，是指采用物理方法將內(nèi)網(wǎng)與外網(wǎng)隔離，從而避免入侵或信息泄露的風險的技術(shù)手段。物理隔離網(wǎng)絡(luò)主要用來保障那些需要絕對保證安全的保密網(wǎng)、專網(wǎng)和特種網(wǎng)絡(luò)的安全需求。

360安全大腦對其進行了跟蹤研究分析，發(fā)現(xiàn)該 Ramsay惡意文件主要內(nèi)容通過可移動磁盤來實現(xiàn)針對隔離網(wǎng)絡(luò)突破攻擊。

Ramsay惡意軟件

通過U盤實現(xiàn)隔離網(wǎng)絡(luò)突破流程圖

首先黑客會先向目標計算機設(shè)備發(fā)送釣魚郵件，該郵件附件攜帶含有漏洞的惡意附件，觸發(fā)漏洞之后會感染員工電腦。被感染的員工電腦上線后，黑客會進一步下發(fā)定制版的可以感染隔離網(wǎng)絡(luò)的木馬，通過感染U盤，PDF/DOC/EXE文件等方式在企業(yè)內(nèi)網(wǎng)中擴散。

緊接著黑客會再利用系統(tǒng)管理員與員工之間的工作接觸，包括但不限于使用共享文件，U盤等，通過這些途徑感染至管理員計算機、U盤和其他文件。擁有訪問隔離網(wǎng)絡(luò)權(quán)限的管理員，一旦將受感染的U盤插入隔離網(wǎng)絡(luò)電腦上就會將其感染。

之后該木馬會在隔離網(wǎng)絡(luò)中運行，進一步感染隔離網(wǎng)內(nèi)的其他設(shè)備，當成功獲得目標重要資產(chǎn)的訪問權(quán)限時，會直接竊取其中機密數(shù)據(jù)并將其寫入U盤或帶指令的文檔中。

此時獲取的機密數(shù)據(jù)會以同樣的方式再度被帶出隔離網(wǎng)絡(luò)并接入已感染病毒的外網(wǎng)計算機中，外網(wǎng)計算機中的駐留程序檢測到U盤或文檔攜帶的機密數(shù)據(jù)，將其提取并發(fā)送給黑客。

360安全大腦發(fā)現(xiàn)，針對隔離網(wǎng)絡(luò)環(huán)境攻擊是一種全新的攻擊思路，黑客組織在考慮到隔離網(wǎng)絡(luò)這一特殊的場景時，利用USB設(shè)備，doc文檔等常見的媒介實現(xiàn)從外網(wǎng)滲透進隔離網(wǎng)絡(luò)并在竊取數(shù)據(jù)之后傳回給黑客，這一行為具有極高的隱蔽性。由于物理隔離網(wǎng)絡(luò)多為政企機構(gòu)等單位采用，因此盡管該病毒還在研發(fā)階段，尚不夠成熟，但是這種攻擊場景將對政企單位造成的嚴重威脅不容小覷。

TOP 7橫向滲透技術(shù)靡然成風

從境外APT組織“海蓮花”(OceanLotus)、GlobeImposter勒索病毒，再到最近鬧得滿城風雨的驅(qū)動人生供應(yīng)鏈攻擊事件，“橫向滲透”這種在復雜網(wǎng)絡(luò)攻擊被廣泛使用的手段，已成為不法黑客瞄準企業(yè)目標，以點破面的慣用伎倆。如不及時發(fā)現(xiàn)，最終面臨的將可能是企業(yè)內(nèi)網(wǎng)設(shè)備的停擺與癱瘓，嚴重威脅企業(yè)數(shù)字資產(chǎn)安全。

入侵和控制員工個人電腦通常并不是攻擊者的最終目的，攻擊者會以被攻陷系統(tǒng)為跳板，采用口令竊聽、漏洞攻擊等多種滲透方法嘗試進一步入侵組織內(nèi)部更多的個人電腦和服務(wù)器，同時不斷地提升自己的權(quán)限，以求控制更多的電腦和服務(wù)器，直至獲得核心電腦和服務(wù)器的控制權(quán)，這種攻擊方法已在多個APT攻擊中被發(fā)現(xiàn)使用。

據(jù)360安全大腦統(tǒng)計，2020年上半年累計攔截到橫向滲透的攻擊高達150萬次。

如Mykings僵尸網(wǎng)絡(luò)通過遠程執(zhí)行WMI技術(shù)進行橫向滲透：

某勒索軟件使用PsExec進行橫向移動：

利用WINRM服務(wù)進行橫向滲透： 除此之外，常見的手法還有：

拷貝病毒到具有自啟動屬性的目錄下，當重新登錄或啟動時，文件得到執(zhí)行。

遠程創(chuàng)建服務(wù)

遠程執(zhí)行計劃任務(wù)

遠程注冊表操作

遠程COM接口調(diào)用

遠程執(zhí)行powershell

值得一提的是，從2019年開始，360安全大腦已經(jīng)監(jiān)測到境外APT組織海蓮花針對中國的多起攻擊事件中，都曾采用通過WMI遠程執(zhí)行和powershell調(diào)用COM遠程執(zhí)行的方式，在目標內(nèi)網(wǎng)橫向滲透。

上半年中傳播廣泛的DLTMiner,Tor2Mine，Mykings等挖礦木馬，也都集成了不同的橫向滲透模塊，通過WMI/ SMB/SSH/數(shù)據(jù)庫/RDP弱口令爆破和各種漏洞（永恒之藍/Bluekeep/SMBGhost）漏洞進行橫向傳播。

TOP 8供應(yīng)鏈污染配合感染型病毒打出“組合拳”

2020年5月，360安全大腦首次檢測到一款新型的感染型病毒Peviru，該病毒除了感染可執(zhí)行文件之外，還會感染某編程語言（以下簡稱X語言）的編譯壞境，導致用戶編譯的所有程序都會被感染。

360安全大腦通過對該病毒溯源發(fā)現(xiàn)，這款病毒背后的黑客團伙通過供應(yīng)鏈污染的手段將攜帶這種病毒的開發(fā)工具植入X語言論壇。而就在近期，我們又檢測到該黑客團伙通過之前部署的惡意軟件下發(fā)勒索病毒。

黑客團伙通過供應(yīng)鏈

污染配合感染型病毒下發(fā)勒索病毒

TOP 9搭建虛擬機躲避查殺獨創(chuàng)怪招

在黑客眼中，攻防最大的魅力就在于封鎖，和突破封鎖，這種對抗游戲經(jīng)久不衰，攻防雙方也樂此不彼，查殺與免殺技術(shù)亦是如此。

在上半年諸多有趣的免殺樣本中，一種叫RagnarLocker的勒索軟件將免殺技術(shù)提高到了一個新的水平。

為了躲避殺毒軟件查殺，RagnarLocker在受害者機器上部署了一套完整的Oracle VirtualBox虛擬機壞境，并將49KB大小的勒索病毒存儲到Windows XP虛擬機的虛擬映像文件（micro.vdi）當中。整個加密文件過程也在虛擬機空間中進行，安裝在宿主機上的很多殺毒軟件對此都束手無策。

攻擊者先是使用GPO(Group Policy Object) task運行遠程網(wǎng)絡(luò)上的MSI（msiexec.exe）文件。這個MSI文件釋放一個舊版本的VirutalBox安裝程序和包含RagnarLocker勒索軟件的Windows XP映像文件。勒索軟件會在嘗試關(guān)閉反病毒軟件服務(wù)和進程后，將宿主機本地磁盤，可移動設(shè)備，網(wǎng)絡(luò)設(shè)備等都映射到虛擬機內(nèi)。

最后攻擊者啟動虛擬機，勒索軟件位于xp鏡像的啟動目錄下，虛擬機啟動時會自動執(zhí)行勒索軟件，在虛擬機中加密共享的物理機數(shù)據(jù)從而規(guī)避殺軟的查殺。攻擊者還會刪除卷影還原點，防止用戶通過磁盤恢復工具恢復加密的文件。

這種新穎的通過虛擬機加密的手法可謂獨辟蹊徑，Ragnar Locker已經(jīng)成功利用這種方法實現(xiàn)了對葡萄牙跨國能源巨頭、世界第四大風能生產(chǎn)商EDP的勒索攻擊，并開出了1580枚BTC近11萬美元的高昂贖金。

TOP 10變形蟲（BadUSB）攻擊花式釣魚

2013年，斯諾登曾曝光美國NSA武器庫中的“水蝮蛇一號” (COTTONMOUTH-I)，它可以在電腦不連網(wǎng)的情況下秘密修改數(shù)據(jù)，這一支用于全球監(jiān)控的超級網(wǎng)絡(luò)軍火，實質(zhì)上是一個植入微型電腦的特制U盤。

在2014年的Black Hat大會上，來自柏林的安全研究員現(xiàn)場還原如何利用U盤、鼠標等任意USB設(shè)備，“完美”繞開安全軟件防護網(wǎng)，實施攻擊，并將其定義為世界上最邪惡的USB外設(shè)——“BadUSB”。根據(jù)BadUSB極難辨別的偽裝攻擊特點，360安全大腦 將其命名為“變形蟲”。

利用“變形蟲（BadUSB）”發(fā)起的網(wǎng)絡(luò)攻擊幾乎從未停止，尤其是在國家級網(wǎng)絡(luò)對抗、關(guān)鍵基礎(chǔ)設(shè)施攻擊、間諜情報活動等場景下，“變形蟲（BadUSB）”更成為一種致命的入侵武器。而在2020年上半年，又再次真實的發(fā)生了一起利用變形蟲（BadUSB）發(fā)起攻擊的惡意安全事件。

3月，美國一家酒店的員工收到了來自“Best Buy”的用戶回饋信，信中提到BestBuy公司為了回饋忠實用戶，贈送每位用戶50美元的購物卡，信封中還包含一個USB驅(qū)動器，聲稱里面包含一個購物清單，相信很多未受過專業(yè)安全培訓的人都會第一時間將USB設(shè)備查到電腦上開始選購商品。

但事實上，這個USB設(shè)備是經(jīng)過特殊處理的，攻擊者將USB設(shè)備編程為USB鍵盤，因為計算機默認設(shè)置是信任USB鍵盤，當USB設(shè)備被插入受害者計算機時，模擬鍵盤就會執(zhí)行惡意代碼，進而控制這臺機器。

谷歌反欺詐研究團隊曾用實驗說明一項危險事實：在實驗中隨意丟棄的287個U盤中，有135人撿走并遭到攻擊，釣魚USB“上鉤率”高達45%。

因此，如果在停車場，公司角落，咖啡館等看到被人遺落的U盤，SD卡等設(shè)備，或是受到陌生的USB贈品，很有可能來源于攻擊者的惡意投放。對于政企單位而言，拒絕使用來源不明的USB設(shè)備的警鐘更應(yīng)長鳴。

對黑客而言更有利的是，我們手邊的USB設(shè)備實在林林總總，觸手可及的鍵盤、鼠標、充電寶、數(shù)據(jù)線、以及各種轉(zhuǎn)接頭……不得不說，我們的電腦高度依賴著USB外接設(shè)備，但同時，電腦系統(tǒng)也給予了最大的兼容，甚至免驅(qū)。這樣的后果就是，若不幸插入BadUSB，攻擊再難停止，并且這種攻擊可以隨意偽裝、防不勝防。

安全反思

綜合上半年P(guān)C端面臨的安全威脅態(tài)勢來看，流行病毒接踵而至，新型的攻擊面、復合型攻擊手法也在被不斷的挖掘和利用。疫情熱點和疫情下遠程辦公場景也為紛涌而來的攻擊活動提供了更多的攻擊入口，對PC安全行業(yè)帶來了極為復雜嚴峻的網(wǎng)絡(luò)安全挑戰(zhàn)和現(xiàn)實威脅。

進入2020年的下半場，還有哪些未知安全風險將會“裂變”而至，誰也無法預見。

就上半年已暴露出的諸多安全威脅面而言，各方仍應(yīng)提高安全意識加強安全防護，居安思危以未雨綢繆。畢竟，若不能清醒的看清新威脅，無論發(fā)生何種后果都終將由自己買單。