終端攻擊趨勢

根據(jù)“火絨威脅情報系統(tǒng)”的監(jiān)測和評估，2022年火絨安全攔截終端攻擊39.9億次，小幅增長于2021年（39.2億次），全年終端攻擊趨勢僅在2月和7月短暫下降。從全國省份分布看，廣東、江蘇、山東、浙江、四川、河南、福建、北京、上海、湖南成為惡意攻擊的主要地區(qū)。

(為體現(xiàn)更全面的威脅趨勢，2022年擴(kuò)增“終端攻擊”數(shù)據(jù)統(tǒng)計維度，2021年數(shù)據(jù)與《火絨安全2021終端安全情報年鑒》存在差異)

經(jīng)統(tǒng)計，攻擊終端的惡意程序主要來自感染型病毒（Virus）、木馬病毒（Trojan）、流氓軟件（Rogue）、后門病毒（Backdoor）、代碼混淆器（VirTool）、蠕蟲病毒（Worm）等

流氓軟件換“新裝”

2022年央視3·15晚會曝光下載站捆綁安裝、強制彈出、誘導(dǎo)下載亂象后，流氓軟件賴以生存的環(huán)境得到集中整治。流氓軟件為了繼續(xù)推廣，轉(zhuǎn)而換上了一套“新裝”，即偽造正常軟件的官網(wǎng)，并利用該軟件“關(guān)鍵詞”投放搜索引擎廣告，誘導(dǎo)用戶點擊下載。

例如一款流氓軟件（下圖）偽造了“釘釘”官網(wǎng)，該鏈接在搜索引擎中排在第一位，用戶搜索“釘釘”時一旦點擊進(jìn)入，觸擊頁面任意區(qū)域都會下載安裝此款流氓軟件。

此外，一些流氓軟件的推廣過程中，存在較為明顯的對抗安全軟件痕跡，如對多款安全軟件進(jìn)行檢測規(guī)避，甚至利用系統(tǒng)程序隱匿推廣行為（注入explorer進(jìn)程）。

彈窗亂象大幅減少

根據(jù)“火絨威脅情報系統(tǒng)”數(shù)據(jù)顯示，2022年火絨安全產(chǎn)品共攔截（不含用戶手動攔截）23.03 億次彈窗廣告，大幅度少于去年（45億次），且全年明顯呈下降趨勢?！?18”、“雙11”等購物節(jié)期間也未出現(xiàn)爆發(fā)狀態(tài)。

數(shù)據(jù)表明，國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《互聯(lián)網(wǎng)彈窗信息推送服務(wù)管理規(guī)定》從意見征集到正式實施，效果顯著地遏制了互聯(lián)網(wǎng)彈窗亂象，在規(guī)范廣告推送、防止流量劫持、個人信息保護(hù)等方面有力保障了用戶權(quán)益。

Win64位病毒翻倍涌現(xiàn)

近幾年Win64位病毒樣本數(shù)量增長明顯，從2018年至今，Win64位病毒樣本數(shù)量增長了1476%，且速度明顯加快。主流病毒家族如Emotet、IcedID、Dridex均出現(xiàn)大量64位新變種。

由于Win32病毒樣本與安全軟件對抗的復(fù)雜度逐漸增高，以及近年來64位操作系統(tǒng)市場占有率的擴(kuò)大增長，致使病毒作者開始嘗試轉(zhuǎn)向開發(fā)基于Win64的惡意代碼及病毒混淆器來對抗安全廠商的查殺。

內(nèi)核級病毒正當(dāng)?shù)?/h1>

在黑客投向全網(wǎng)的主要病毒中，內(nèi)核級病毒（Rootkit）數(shù)量增長明顯，宏病毒卷土重來。2022年Rootkit一躍成為第二大黑客攻擊手段，該病毒進(jìn)入內(nèi)核模塊后能獲取到操作系統(tǒng)高級權(quán)限，通過隱藏其他病毒進(jìn)程、注冊表、文件相關(guān)操作等方式與安全軟件進(jìn)行對抗。另外，借助宏進(jìn)行傳播的病毒（如：Emotet、IcedID等）在2022年增多，導(dǎo)致整體宏病毒數(shù)量上漲。

其中，內(nèi)核級病毒成為個人終端最常見病毒，且主要被應(yīng)用于流量劫持。流量劫持具體表現(xiàn)為：記錄用戶訪問的流量、劫持瀏覽器首頁（鎖首）、劫持用戶訪問內(nèi)容（如：劫持推廣計費號、篡改網(wǎng)頁內(nèi)容等）。中了此類病毒的終端還可能被下發(fā)其他的惡意模塊如：代理模塊、后門模塊等惡意模塊。

值得關(guān)注的是，主要造成鎖首問題的內(nèi)核級病毒，大多數(shù)（超50%）由傳奇私服登錄器攜帶傳播。例如，7月份火絨安全截獲的Rootkit病毒新變種利用傳奇私服進(jìn)行傳播。當(dāng)用戶訪問傳奇相關(guān)網(wǎng)頁時，會被劫持到病毒作者預(yù)設(shè)的劫持網(wǎng)頁，且該Rootkit病毒會通過文件自保對抗安全軟件查殺，并將系統(tǒng)版本和計算機(jī)名等終端信息上傳到病毒服務(wù)器。

漏洞攻擊特征

2022年，火絨安全產(chǎn)品共攔截3.03億次漏洞攻擊。Web漏洞攻擊中最易被利用的漏洞依次為CVE-2017-10271、CNVD-2021-30167、CVE-2007-1036。微軟系統(tǒng)漏洞中，特權(quán)提升漏洞、遠(yuǎn)程執(zhí)行代碼漏洞占比較高。

Web漏洞攻擊

根據(jù)“火絨威脅情報系統(tǒng)”監(jiān)測，2022年針對用戶Web漏洞攻擊整體呈現(xiàn)大幅上升趨勢。2021年末Log4j2安全漏洞（CVE-2021-44228）大爆發(fā)，2022年利用其攻擊的事件隨之顯現(xiàn)，進(jìn)一步印證了其影響范圍廣和危害程度大的特點，未來會繼續(xù)被黑客利用。

微軟系統(tǒng)漏洞

2022年，微軟對外披露1263個漏洞，其中高危漏洞88個，嚴(yán)重漏洞864個。特權(quán)提升漏洞、遠(yuǎn)程執(zhí)行代碼漏洞依然是最多的微軟漏洞類型。特權(quán)提升漏洞達(dá)400個，比去年增加了33.5%，攻擊者通過特權(quán)提升漏洞能夠獲取系統(tǒng)管理員權(quán)限，從而執(zhí)行任意代碼。遠(yuǎn)程執(zhí)行代碼漏洞，由于可以直接執(zhí)行惡意代碼，比特權(quán)提升漏洞危害更高，對用戶影響較為嚴(yán)重。

2022年火絨產(chǎn)品攔截的系統(tǒng)漏洞攻擊中，最易被利用的系統(tǒng)漏洞依次是 EternalBlue（永恒之藍(lán)）、MS08-067和 EternalRomance（永恒浪漫）?！坝篮阒{(lán)”仍舊是近幾年被利用最多的系統(tǒng)漏洞。

此外，其他舊漏洞威脅依然值得警惕。雖然舊漏洞的發(fā)布時間較早，但由于外界存在很多針對其特定開發(fā)的漏洞利用代碼或工具，舊漏洞利用起來反而更“簡單易用”。部分終端長時間存在未修復(fù)的舊漏洞，也為黑客提供了可乘之機(jī)。

年度高危漏洞

• Follina（CVE-2022-30190）

CVE-2022-30190是微軟Windows支持診斷工具（MSDT）中的一個遠(yuǎn)程代碼執(zhí)行漏洞。它允許遠(yuǎn)程攻擊者在目標(biāo)系統(tǒng)上執(zhí)行任意shell命令。

• Spring4Shell（CVE-2022-22965）

CVE-2022-22965是VMware開源Java框架Spring Framework中的遠(yuǎn)程代碼執(zhí)行漏洞。一旦攻擊者實現(xiàn)遠(yuǎn)程代碼執(zhí)行，就可以安裝惡意軟件，或者利用受影響的服務(wù)器作為初始立足點，提升權(quán)限進(jìn)而攻擊整個系統(tǒng)。

• F5 BIG-IP（CVE-2022-1388）

CVE-2022-1388于2022年5月首次被披露，是一個值得關(guān)注的嚴(yán)重漏洞。該漏洞影響F5 BIG-IP軟硬件套件中的BIG-IP iControl REST身份驗證組件；一旦被利用，允許未經(jīng)身份驗證的攻擊者以“root”權(quán)限在BIG-IP網(wǎng)絡(luò)設(shè)備上執(zhí)行命令。

• 暢捷通T+漏洞

暢捷通T+作為流行的企業(yè)管理軟件，在2022年8月出現(xiàn)任意文件上傳漏洞（CNVD-2022-60632）。未經(jīng)身份認(rèn)證的攻擊者可利用漏洞遠(yuǎn)程上傳任意文件，獲取服務(wù)器控制權(quán)限。“火絨威脅情報系統(tǒng)”攔截到CNVD-2022-60632漏洞的攻擊趨勢如下圖所示：

• Log4j2漏洞（CVE-2021-44228）

CVE-2021-44228是Apache Log4j2開源日志實用程序中的遠(yuǎn)程代碼執(zhí)行漏洞，在2021年底被揭露。Apache Log4j2被世界各企業(yè)和組織應(yīng)用于業(yè)務(wù)系統(tǒng)開發(fā)，因此該漏洞影響極大。由于漏洞具有普遍性和易利用性特點，依然是2022年黑客最喜歡利用的一項漏洞。

勒索病毒成為首要威脅

勒索病毒攻擊情況

隨著勒索病毒影響力和破壞力的不斷增長，勒索軟件即服務(wù)（RaaS）的成熟運作，勒索病毒儼然成為當(dāng)今網(wǎng)絡(luò)安全最具威脅的病毒存在。2022年火絨安全攔截200余萬次勒索病毒攻擊。

根據(jù)“火絨威脅情報系統(tǒng)”和“火絨在線支持響應(yīng)中心”統(tǒng)計，2022年火絨安全處理全網(wǎng)的勒索事件呈現(xiàn)以下規(guī)律：

• 從行業(yè)來看，IT互聯(lián)網(wǎng)、制造業(yè)、醫(yī)療業(yè)最易遭受勒索病毒攻擊，三者占據(jù)67%；

• 從企業(yè)規(guī)模看，作為我國經(jīng)濟(jì)中堅力量的中小企業(yè)更易“中招”，圍繞網(wǎng)絡(luò)安全保障的投入較少，IT人員網(wǎng)安專業(yè)知識與操作經(jīng)驗也較薄弱；

• 攻擊手段中，黑客主要通過遠(yuǎn)程桌面入侵用戶終端，其次是利用漏洞投放勒索病毒；

• 入侵時間上，非工作時間通常是勒索攻擊的高發(fā)時段；

• 勒索病毒主要來自phobos、Mallox、TellYouThePass三大家族，其他病毒家族依然活躍；

• 勒索事件的增長，與勒索軟件即服務(wù)（RaaS）體系的成熟運作有關(guān)。

勒索軟件即服務(wù)（RaaS）

勒索軟件即服務(wù)（RaaS）是一套靠勒索攻擊賺錢的盈利模式。與普通的軟件公司無異，從開發(fā)到銷售再到運營，勒索產(chǎn)業(yè)鏈各個環(huán)節(jié)的建立與協(xié)作已然成熟。在規(guī)模效益促進(jìn)各環(huán)節(jié)賺取更多收入的背景下，越來越多的勒索攻擊來自于RaaS。

企業(yè)遭受勒索攻擊后，是否要交納贖金？火絨安全實驗室不建議支付。首先，加密數(shù)據(jù)不一定100%恢復(fù)，這其中有技術(shù)原因，也可能存在“誠信”問題；其次，企業(yè)不應(yīng)輕易相信“解密代理”，對方很可能也是第三方“加盟者”甚至還有中間商賺差價，都是為了從中騙取更高贖金；再次，企業(yè)或許面臨雙重勒索的風(fēng)險。

黑客入侵常見方式

火絨安全實驗室最新分析顯示，高達(dá)85%的勒索事件是黑客入侵導(dǎo)致的。黑客入侵常用三種方式包括：通過暴力破解方式，如遠(yuǎn)程桌面入侵（RDP暴破）、MSSQL登錄暴破；通過漏洞攻擊方式，如系統(tǒng)漏洞、軟件0day漏洞；通過社工方式非法獲取用戶隱私數(shù)據(jù)后再進(jìn)行攻擊，如撞庫。

暴力破解

案例：某國際會展中心遭到勒索攻擊，火絨安全團(tuán)隊溯源時發(fā)現(xiàn)黑客是通過遠(yuǎn)程桌面入侵進(jìn)行的投毒?，F(xiàn)場發(fā)現(xiàn)當(dāng)時所用安全終端被直接卸載，且清除了系統(tǒng)中入侵時段的日志記錄。

火絨安全建議：設(shè)置強密碼，并定期修改密碼；關(guān)閉不必要端口，如：135，139，445，3389等；及時異地備份重要數(shù)據(jù)；采用多重密碼防護(hù)措施，如火絨企業(yè)版中心啟用“管理員密碼保護(hù)”、“終端卸載密碼保護(hù)”、“終端動態(tài)認(rèn)證”；開啟勒索誘捕功能，開啟系統(tǒng)防御功能等。

漏洞攻擊

案例：某公司反饋服務(wù)器中勒索病毒，火絨工程師溯源時未發(fā)現(xiàn)暴破登錄等日志，沒有強行破壞系統(tǒng)環(huán)境的痕跡，同時發(fā)現(xiàn)中毒服務(wù)器存在?Apache?Kafka業(yè)務(wù)，且版本存在Apache?Log4j2反序列化遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-44228）。判斷黑客通過該漏洞入侵導(dǎo)致中毒。

火絨安全建議：定期更新業(yè)務(wù)軟件版本；修復(fù)操作系統(tǒng)、軟件漏洞，安裝最新補??；采用高強度的密碼，避免使用弱口令密碼和統(tǒng)一密碼，并定期更換密碼；對重要文件和數(shù)據(jù)進(jìn)行離線備份或者異地備份；開啟勒索誘捕功能，增強終端對勒索病毒的防護(hù)。

密碼泄露

案例：某醫(yī)院反饋有大量橫向滲透攔截日志，經(jīng)火絨安全工程師遠(yuǎn)程排查后，確定為一臺服務(wù)器對其他多臺服務(wù)器進(jìn)行的攻擊。停用該攻擊服務(wù)器后，遠(yuǎn)程溯源發(fā)現(xiàn)無暴破相關(guān)痕跡，但有Administrator遠(yuǎn)程登錄成功日志，且該服務(wù)器部署在公網(wǎng)，登錄密碼為中高強度。判斷為密碼泄露導(dǎo)致。

火絨安全建議：不自動“保存密碼”且杜絕一碼多用，避免通過第三方平臺登錄；定期殺毒、打補丁，不用盜版/破解版軟件，不隨意使用公用WIFI；可使用密碼管理器工具；使用平臺提供的多重認(rèn)證方式，如火絨企業(yè)版“終端動態(tài)認(rèn)證”功能；加強用戶賬戶使用策略與賬戶管理等。

火絨安全產(chǎn)品勒索防護(hù)功能矩陣

火絨安全個人產(chǎn)品“火絨安全軟件”和企業(yè)版產(chǎn)品“火絨終端安全管理系統(tǒng)”通過分析勒索病毒的各種攻擊方式，在終端關(guān)鍵節(jié)點為用戶提供有針對性的防護(hù)措施。面對某些風(fēng)險較高、隱蔽較強的攻擊，企業(yè)可以使用“火絨終端安全管理系統(tǒng)”優(yōu)化日常運維，進(jìn)一步降低被勒索攻擊的概率。

關(guān)于火絨安全

火絨安全成立于2011年，是一家專注、純粹的終端安全公司，致力于在終端領(lǐng)域提供專業(yè)的安全產(chǎn)品和優(yōu)質(zhì)的用戶服務(wù)，并持續(xù)對外賦能反病毒引擎等相關(guān)自主研發(fā)技術(shù)。

火絨安全個人產(chǎn)品“火絨安全軟件”擁有數(shù)千萬用戶，憑借干凈、輕巧、強大的特點收獲良好的大眾口碑與推薦。企業(yè)產(chǎn)品“火絨終端安全管理系統(tǒng)”是秉承“情報驅(qū)動安全”理念，全面實施EDR運營體系的一款反病毒&終端安全管理軟件。

“火絨終端安全管理系統(tǒng)”充分滿足各企事業(yè)單位在當(dāng)前互聯(lián)網(wǎng)威脅環(huán)境下的電腦終端防護(hù)需求。產(chǎn)品支持Windows、Linux、macOS等主流操作系統(tǒng)，深度適配統(tǒng)信、鯤鵬、神州網(wǎng)信、中科方德、海光、龍芯等國產(chǎn)操作系統(tǒng)與CPU。目前，“火絨終端安全管理系統(tǒng)”已部署超百萬終端，覆蓋政企、制造、醫(yī)院、能源、汽車、IT互聯(lián)網(wǎng)等眾多行業(yè)。

打開下方鏈接即可免費下載報告：

https://down5.huorong.cn/doc/report/HUORONG-Data-Report-2022(01-12).pdf