一、前言年復一年，日復一日，不僅威脅的總數在增加，威脅態勢也變得更加多樣化，攻擊者也在不斷開發新的攻擊途徑并盡力在攻擊過程中掩蓋蹤跡。

從Facebook數據泄露和萬豪酒店5億用戶開房信息掛在暗網銷售、“老當益壯”的WannaCry繼續作惡并且傳播速度更快的Satan等勒索軟件大肆傳播，到花樣百出的APT攻擊行為迅速增長，2018年給我們敲響了另一記警鐘，即數字安全威脅可能來自意想不到的新途徑。

縱觀去年的網絡安全整體態勢，數據泄露事件最為觸目驚心，全年的漏洞采集數量也達到歷年的高峰，勒索軟件也大有向挖礦的轉型之勢。

二、數據泄露事件爆炸式上升數字化變革技術正在重塑組織機構的經營方式，并將它們帶入一個數據驅動的世界，但是企業急于擁抱數字化新環境的做法也帶來了更多被攻擊的新風險，需要企業采取數據安全控制措施來加以防范。

經Verizo調查，今年已經發生了5.3萬多起安全事件，其中2216起被確認為數據泄漏事件。

另外，在這5萬多起安全事件中，有4.3萬起(81.1%)都是黑客通過竊取身份憑證來實現的。

這也證實了一個普遍的觀點：盜用身份憑證仍然是黑客最常用、也是最有效的攻擊和破壞手段。

根據Thales eSecurity的調查報告，不斷增長的數據威脅程度及其影響力清晰地體現在數據泄露和脆弱性的等級上：2016年，26%的的受訪者表示遭遇了數據泄露，2017年的占比上升至36%，而到2018年這一比例明顯上升至67%。

基于此，44%的受訪者感到“非常”或“極其”容易遭受數據威脅。

雖然技術在隨著時代而發展，但安全策略卻并未與時俱進，這很大程度上是因為實際支出與最有效的數據保護方法錯配所致。

77%的受訪者表示在預防數據泄露方面靜態數據安全解決方案最為有效，緊隨其后的是網絡安全(75%)和動態數據(75%)解決方案。

盡管如此，57%的受訪者卻仍將大多數支出用于端點和移動安全技術上，其次是分析與關聯工具(50%)。

在數據保護方面，認知與現實之間的差距是顯而易見的，在IT安全的支出優先事項中，靜態數據安全解決方案的支出反倒墊底(40%)。

以下摘錄一些2018年發生的全球性數據泄露事件：

1. 年度數據泄露事件盤點

(1) Facebook數據泄露事件回顧：雖然Facebook數據泄露量不如后面的那些公司高，但其次數和影響非常深遠。

一家第三方公司通過一個應用程序收集了5000萬Facebook用戶的個人信息，由于5000萬的用戶數據接近Facebook美國活躍用戶總數的三分之一，美國選民人數的四分之一，波及的范圍非常大。

后來，5000萬用戶數量上升至8700萬。

今年9月，Facebook爆出，因安全系統漏洞而遭受黑客攻擊，導致3000萬用戶信息泄露。

其中，有1400萬人用戶的敏感信息被黑客獲取。

這些敏感信息包括：姓名、聯系方式、搜索記錄、登陸位置等。

12月14日，又再次爆出，Facebook因軟件漏洞可能導致6800萬用戶的私人照片泄露。

具體來說，在9月13日至9月25日期間，其照片API中的漏洞使得約1500個App獲得了用戶私人照片得訪問權限。

一般來說獲得用戶授權的App只能訪問共享照片，但這個漏洞導致用戶沒有公開的照片也照樣能被被讀取。

結果：Facebook CEO數據泄露道歉，并多次出席聽證會。

一系列事件影響，Facebook股價已較年初跌了29.70%(12月25日)。

而12月份的這次泄露，歐洲隱私管制機構愛爾蘭數據保護委員會已著手調查，Facebook或因此被罰款超過16億美元。

(2)涉嫌侵犯數百億條公民個人信息，上市公司數據堂被公安一鍋端事件回顧：據新華社新媒體2018年7月8日報道，大數據行業知名企業數據堂(831428.OC)在8個月時間內，日均傳輸公民個人信息1.3億余條，累計傳輸數據壓縮后約為4000GB左右，公民個人信息達數百億條，數據量特別巨大。

結果：除了數據堂外，山東警方共抓獲犯罪嫌疑人57名，打掉涉案公司11家。

(3)新三板掛牌公司涉竊取30億條個人信息，非法操控公眾賬號加粉或關注事件回顧：今年8月份，澎湃新聞從紹興市越城區公安分局獲悉，該局日前偵破一起特大流量劫持案，涉案的新三板掛牌公司北京瑞智華勝科技股份有限公司，涉嫌非法竊取用戶個人信息30億條，涉及百度、騰訊、阿里、京東等全國96家互聯網公司產品，目前警方已從該公司及其關聯公司抓獲6名犯罪嫌疑人。案件仍在進一步偵辦中。

結果：目前警方已從該公司及其關聯公司抓獲6名犯罪嫌疑人。

(4)圓通10億快遞信息泄露事件回顧：六月份，暗網一位ID“f666666”的用戶開始兜售圓通10億條快遞數據，該用戶表示售賣的數據為2014年下旬的數據，數據信息包括寄(收)件人姓名，電話，地址等信息，10億條數據已經經過去重處理，數據重復率低于20%，數據被該用戶以1比特幣打包出售。

結果：有網友驗證了其中一部分數據，發現所購“單號”中，姓名、電話、住址等信息均屬實。

(5)萬豪酒店5億用戶開房信息事件回顧：萬豪國際集團11月30日發布公告稱，旗下喜達屋酒店客房預訂數據庫遭黑客入侵，最多約5億名客人的信息可能被泄露。

萬豪酒店在隨后的調查中發現，有第三方對喜達屋的網絡進行未經授權的訪問。

目前，未經授權的第三方已復制并加密了某些信息，且采取措施試圖將該信息移出。

萬豪披露，已知的是，大約3.27億客人的個人姓名、通信地址、電話號碼、電子郵箱、護照號碼、喜達屋SPG俱樂部賬戶信息、出生日期、性別等信息都已經可能全部泄漏。

結果：消息公布后，萬豪國際的股價在當天的盤前下跌5.6%，報115.02美元。

事件曝光后，萬豪采取了各種措施去補救。

(6)華住酒店5億條用戶數據疑泄露事件回顧：華住酒店集團旗下酒店用戶信息在“暗網”售賣，售賣者稱數據已在8月14日脫庫。

身份證號、手機號，一應俱全，共涉及5億條公民信息。

涉及酒店范圍包括：漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。

此次泄露的數據數量則總計達5億條，全部信息的打包價為8比特幣，或者520門羅幣(約合人民幣38萬元)。

賣家還稱，以上數據信息的截止時間為2018年8月14日。

結果：隨后，華住集團酒店官方微博回應此事稱，“已經報警了。

真實性目前無法查證，我們信息安全部門在緊急處理中”。

同時官方微博也呼吁，請相關網絡用戶、網絡平臺立即刪除并停止傳播上述信息，保留追究相關侵權人法律責任的權利。

(7)瑞士數據管理公司 Veeam 泄露 4.45 億條用戶數據事件回顧：2018年9月份，研究人員在一個配置錯誤的服務器上發現了存儲有超過200GB數據的數據庫。

據悉，該服務器處于完全無防御的狀態，且面向公眾開放，任何人都能夠公開查詢和訪問其數據。

研究人員介紹稱，該數據庫中存儲有來自Veeam公司的約4.45億客戶記錄，其中包含客戶的個人信息，如姓名、電子郵件地址以及居住地、國家等。

此外，該服務器上提供的其他詳細信息還包括部分營銷數據，例如客戶類型和組織規模、IP 地址、referrerURL 以及用戶代理等。

結果：信息在網上掛了4天后，就全部無法訪問，想必公司已經采取了措施。

對于該起事件有安全專家建議，所有數據庫管理員考慮MongoDB在一年前發布其數據庫產品的安全指南，同時添加新的內置安全功能，如加密，訪問控制和詳細審計等。

(8)Exactis大數據公司失誤泄露2TB隱私信息：3.4億條，涉及2.3億人事件回顧：據Wired報道，六月初曝光的市場和數據匯總公司Exactis服務器信息暴露的事情經調查為實，涉及大約3.4億條記錄，容量接近2TB，據說涵蓋2.3億人。

這些數據包含的隱私深度超乎想象，包括一個人是否吸煙、宗教信仰、養狗或養貓以及各種興趣等。

結果：Exactis事后對數據進行了加密防護，以避免信息的進一步泄露。

(9)美國功能性運動品牌Under Armour 1.5億用戶信息泄露事件回顧：美國功能性運動品牌Under Armour(安德瑪)旗下飲食和營養管理App及網站MyFitnessPal大規模的數據泄露，多達1.5億用戶的信息被盜。

此次數據泄露事件影響到的用戶數據包括用戶名、郵箱地址、和加密的密碼。

安德瑪表示，該數據泄露事件并沒有涉及到用戶的社會安全號碼、駕駛證號、和銀行卡號等隱私信息。

結果：Under Armour通過電郵和App消息提醒用戶立刻更改密碼，當晚其股票市值下跌了4.6%。

(10)問答網站 Quora戶數據遭泄露1個億事件回顧：12月4日，據紐約時報報道，問答網站鼻祖Quora稱，該公司的計算機系統遭到惡意第三方的未授權訪問，大約有1億用戶的賬戶及私人信息可能已經泄露，包括姓名、郵箱地址和加密處理的密碼。

結果：Quora CEO發布博文致歉。

官方稱，第一時間雇傭網絡安全專家進行調查，同時也聯系了執法部門。

2. 今年的數據泄露事件還有：國泰航空數據泄露，940萬乘客受影響MongoDB 數據庫被入侵， 1100 萬份郵件記錄遭泄露SHEIN 數據泄露影響 642 萬用戶注冊系統被黑客入侵，75000人數據遭泄露GovPayNet憑證系統存在漏洞，1400萬交易記錄被曝光瑞士電信(Swisscom)證實80萬數據被盜，涉全國1/10公民信息英國航空公司數據泄露事件：38萬人受影響小米有品平臺泄露個人隱私 約2000萬用戶數據遭泄露美國23州連鎖餐館出現數據泄露，超過50萬信用卡數據存在安全風險Atlas Quantum數字貨幣投資平臺數據泄露，影響約26.1萬名客戶知名OCR軟件ABBYY FineReader被曝泄露超過20萬份客戶文件Instagram平臺被黑 已超百萬用戶信息泄露乘客航班信息泄露鏈條曝光，近500萬條信息被賣醫療軟件公司MedEvolve因服務器漏洞致20多萬患者信息泄露Robocall公司泄露了美國數十萬選民個人信息Adidas數百萬用戶數據泄漏順豐快遞3億用戶信息外泄(順豐官方否認，表示非順豐數據)陌陌數據外泄3000萬(陌陌官方后來回應：跟用戶匹配度極低)AcFun受黑客攻擊，近千萬條用戶數據外泄前程無憂用戶信息在暗網上被公開銷售加拿大兩大銀行遭黑客攻擊 近9萬名客戶數據被竊私人情報機構 LocalBlox 泄露 4800 萬份個人數據記錄中東打車巨頭Careem遭遇網絡攻擊 1400萬乘客信息失竊央視曝光偷密碼的“萬能鑰匙”，9億人個人信息存風險旅游網站Orbitz 88萬份信用卡信息遭泄露三、安全漏洞數量和嚴重性創下歷史新高NVD在2018年收錄的漏洞總數為18,104個，相比2017年的18,240個處于基本持平的態勢。

而2018年CNNVD采集的安全漏洞數量為15,040個，相比2017年11,707個全年采集漏洞總數增加28.5%，反映出漏洞數量迅速達到歷年高峰的嚴峻現實。

年度重大漏洞盤點：(1)2018年1月多個CPU數據緩存機制漏洞(Meltdown：CNNVD-201801-150和CNNVD-201801-152;Spectre：CNNVD-201801-151)：成功利用以上漏洞的攻擊者可使用低權限的應用程序訪問系統內存，從而造成數據泄露。

Intel、AMD、ARM的處理器及其關聯的上層操作系統和云平臺均受此漏洞影響,經證實的操作系統包括Windows、Linux和MacOS，經證實的云平臺包括基于Xen PV、OpenVZ等構架的云端基礎設施。

目前,微軟、蘋果、紅帽、亞馬遜、騰訊云、VMware等廠商針對相關漏洞提供了修復補丁或緩解措施。

iOS 平臺WebView組件漏洞(UIWebView/ WKWebView)跨域訪問漏洞(CNNVD-201801-515)：成功利用該漏洞的攻擊者可以遠程獲取手機應用沙盒內所有本地文件系統內容，包括瀏覽器的Cookies、用戶的配置文件、文檔等敏感信息。

iOS平臺使用了WebView組件的應用可能均受影響。

目前，廠商暫未發布解決方案,但可通過臨時解決措施緩解漏洞造成的危害。

(2) 2018年3月Cisco IOS Software和IOS XE Software輸入驗證漏洞(CNNVD-201803-1022)、Cisco IOS Software和IOS XE Software quapty of service子系統緩沖區錯誤漏洞(CNNVD-201803-1038)、Cisco IOS XE Software安全漏洞(CNNVD-201803-1039)。

成功利用上述漏洞的攻擊者，可以對使用了IOS以及IOS XE系統的思科設備發送惡意的數據包，最終實現拒絕服務或遠程代碼執行，完全控制設備等。

所有支持Smart Install cpent特性的IOS以及IOS XE設備都可能受漏洞影響。

目前，思科官方已對該漏洞進行了修復。

(3) 2018年4月OracleWebLogic Server WLS核心組件遠程代碼執行漏洞(CNNVD-201804-803、CVE-2018-2628)。

遠程攻擊者可利用該漏洞在未授權的情況下發送攻擊數據，通過T3協議在WebLogic Server中執行反序列化操作,實現任意代碼執行。

Oracle WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。

目前，該漏洞的攻擊代碼已在互聯網上公開，且Oracle官方已發布補丁修復該漏洞。

(4) 2018年5月手機程序第三方解壓縮庫輸入驗證安全漏洞(CNNVD-201805-440)：手機程序第三方解壓縮庫輸入驗證安全漏洞存在于使用了第三方解壓縮庫的應用中。

漏洞源于手機程序中的第三方解壓縮庫，在解壓zip壓縮包時并未對“../”進行過濾。

手機程序在調用第三方解壓縮庫解壓zip壓縮包時未對解壓路徑進行檢查，當從不安全的來源獲得zip格式壓縮包文件并解壓縮時，如果該zip壓縮文件被劫持插入惡意代碼，可能導致任意代碼執行。

(5) 2018年6月Microsoft Excel遠程代碼執行漏洞(CNNVD-201806-800、)及Microsoft Windows HTTP協議堆棧遠程代碼執行漏洞(CNNVD-201806-771)。

成功利用Microsoft Excel遠程代碼執行漏洞的攻擊者，能在當前用戶環境下執行任意代碼，如果當前用戶使用管理員權限登錄，攻擊者甚至可以完全控制該用戶的系統。

成功利用Microsoft Windows HTTP 2.0協議堆棧遠程代碼執行漏洞的攻擊者，可在目標系統上執行任意代碼，并控制該用戶的系統。

目前，微軟官方已經發布補丁修復了上述漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

(6) 2018年7月OracleWebLogic Server WLS核心組件遠程代碼執行漏洞(CNNVD-201807-1276)：攻擊者可以在未經授權的情況下，遠程發送攻擊數據，通過T3協議在WebLogic Server中執行反序列化操作，最終實現了遠程代碼的執行。

目前，Oracle官方已經發布補丁修復該漏洞，請用戶及時檢查產品版本，如確認受到漏洞影響，可安裝補丁進行防護。

微信支付SDKXXE漏洞(CNNVD-201807-083)：成功利用該漏洞的攻擊者可以遠程讀取服務器文件，獲取商戶服務器上的隱私數據，甚至可以支付任意金額購買商品。

使用有漏洞的Java版本微信支付SDK進行支付交易的商家網站可能受此漏洞影響。

目前，微信官方已經發布補丁修復該漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

(7) 2018年8月Apache Struts2 S2-057安全漏洞(CNNVD-201808-740、CVE-2018-11776)：成功利用漏洞的攻擊者可能對目標系統執行惡意代碼。

Apache官方已經發布了版本更新修復了該漏洞。

微軟多個遠程執行代碼漏洞(CNNVD-201808-403、CVE-2018-8350和CNNVD-201808-399、CVE-2018-8375等)：成功利用上述Windows遠程執行代碼漏洞的攻擊者，可以在目標系統上執行任意代碼。

微軟官方已經發布補丁修復了上述漏洞。

(8) 2018年9月微軟官方發布了多個安全漏洞的公告，包括Internet Explorer 內存損壞漏洞(CNNVD-201809-509、CVE-2018-8447)、Microsoft Excel 遠程代碼執行漏洞(CNNVD-201809-550、CVE-2018-8331)等多個漏洞。

成功利用上述安全漏洞的攻擊者，可以在目標系統上執行任意代碼。

微軟多個產品和系統受漏洞影響。

微軟官方已經發布補丁修復了上述漏洞。

(9) 2018年10月Oracle WebLogic Server遠程代碼執行漏洞(CNNVD-201810-781)：攻擊者可利用該漏洞發送攻擊數據，通過T3協議在WebLogic Server中執行反序列化操作,最終實現遠程代碼執行。

WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。

Oracle官方已經發布了漏洞修復補丁。

微軟官方發布了多個安全漏洞的公告，包括Microsoft XML Core Services MSXML parsera安全漏洞(CNNVD-201810-294)、Microsoft Windows Hyper-V安全漏洞(CNNVD-201810-327)等多個漏洞。

成功利用上述漏洞的攻擊者，可以在目標系統上執行任意代碼。

微軟多個產品和系統受漏洞影響。

微軟官方已發布修復上述漏洞的補丁。

(10) 2018年11月macOS High Sierra和iOS系統存在內核漏洞(CNNVD編號：CNNVD-201810-1510、CVE編號：CVE-2018-4407)，該漏洞是XNU系統內核中網絡部分的堆緩沖區溢出導致，攻擊者通過向目標設備發送特殊構造的數據包從而執行惡意代碼或使系統崩潰重啟。

觸發該漏洞的必要條件是攻擊者與目標系統需處于同一網絡(如Wi-Fi)。

微軟多個安全漏洞，包括Microsoft Internet Explorer 安全漏洞(CNNVD-201811-349、CVE-2018-8570)、Microsoft Word 安全漏洞(CNNVD-201811-387、CVE-2018-8539)、(CNNVD-201811-388、CVE-2018-8573)等多個漏洞。

成功利用上述安全漏洞的攻擊者，可以在目標系統上執行任意代碼。

(11) 2018年12月微軟多個安全漏洞，包括Microsoft Internet Explorer 安全漏洞(CNNVD-201812-458、CVE-2018-8619)、Microsoft Excel安全漏洞(CNNVD-201812-466、CVE-2018-8597)等多個漏洞。

成功利用上述漏洞可以在目標系統上執行任意代碼。

微軟多個產品和系統受漏洞影響。

微軟官方已經發布漏洞修復補丁。

四、勒索軟件業務經歷市場調整如果將勒索軟件看作一項生意的話，從2016年開始到2017年勒索軟件的高額利潤吸引大批攻擊者蜂涌而至，贖金更是漫天要價。

2018年，勒索軟件“市場”就有點不景氣了，勒索軟件家族的總數下降，贖金要求也下降了，這表明勒索軟件已經成為了商品。

許多網絡犯罪分子可能已經將注意力轉移到加密電子貨幣挖礦上，因為作為現金的替代品，加密電子貨幣的價值非常高。

網上銀行交易威脅也有死灰復燃的趨勢，某些臭名昭著的勒索軟件集團正試圖增加威脅的種類。

盡管勒索軟件變種數量較去年有所上升，表明那些臭名昭著的犯罪集團仍然相當高產，但勒索軟件家族的數量有所下降，這表明他們的創新力出現了下降，也可能已將注意力轉向了更高價值的新目標。

2018年新興的勒索軟件家族摘錄：1. 2018年1月，GandGrab勒索家族首次出現應該算是勒索病毒家族中的最年輕，但是最流行的一個勒索病毒家族，短短幾個月的時候內，就出現了多個此勒索病毒家族的變種，而且此勒索病毒使用的感染方式也不斷發生變化，使用的技術也不斷在更新，此勒索病毒主要通過郵件進行傳播，采用RSA+ASE加密的方式進行加密，文件無法還原。

2. 2018年2月，多家互聯網安全企業截獲了Mind Lost勒索病毒該勒索軟件采用C#語言開發，其主要功能是采用AES加密方式加密本地文件，之后引導受害者至指定的網頁要求付費解密文件，與以往勒索軟件不同的是，此次勒索軟件并沒有要求受害者支付比特幣等數字貨幣進行付費解密操作，而是直接要求用戶使用信用卡或借記卡支付贖金，以此來套取銀行卡信息，進而將此信息出售給不法分子從而牟取更大利益。

加密樣本賬戶的電腦的Users目錄下的文件，如果后綴為”.txt”,”.jpg”,”.png”,”.pdf”,”.mp4″,”.mp3″,”.c”,”.py”的文件就直接加密，且解密贖金達到200美元。

3. 2018年3月，GlobeImposter勒索病毒家族GlobeImposter勒索病毒家族是從2017年5月開始出現，并在2017年11月和2018年3月有兩次較大范圍的疫情爆發，在2017年11月前的GlobeImposter勒索病毒大部分被稱為GlobeImposter1.0，此時的病毒樣本加密后綴名以“.CHAK”較為常見，在2018年3月時出現了GlobeImposter2.0，此時的病毒樣本加密后綴名以“.TRUE”，“.doc”較為常見，GlobeImposter也增加了很多新型的技術進行免殺等操作。

4. 2018年3月，麒麟2.1的勒索病毒2018年3月1日，監測到了“麒麟2.1”的勒索病毒。

通過QQ等聊天工具傳文件方式傳播，一旦中招就會鎖定電腦文件，登錄后會轉走支付寶所有余額。

中招后，它會鎖定電腦文件，表面上要求掃碼用支付寶付款3元，但實際上掃碼是登錄支付寶，登錄后會轉走支付寶所有余額。

5. 2018年3月，CrySiS勒索病毒爆發服務器文件被加密為.java后綴的文件，采用RSA+AES加密算法，主要運用了Mimikatz、IP掃描等黑客工具，進行RDP爆破，利用統一密碼特性，使用相同密碼對全網業務進行集中攻擊，通過RDP爆破的方式植入，同時此勒索病毒在最近也不斷出現它的新的變種，其加密后綴也不斷變化之中。

6. 2018年12月，一個以微信為支付手段的勒索病毒在國內爆發幾日內，該勒索病毒至少感染了10萬臺電腦，通過加密受害者文件的手段，已達到勒索贖金的目的，而受害者必需通過微信掃一掃支付110元贖金才能解密。

2018年6月，羅某某自主研發出病毒“cheat”，用于盜取他人支付寶的賬號密碼，進而以轉賬方式盜取資金。

同時制作內含“cheat”木馬病毒代碼的某開發軟件模塊，在互聯網上發布，任何通過該開發軟件編寫的應用軟件均包含木馬病毒代碼，代碼在后臺自動運行，記錄用戶淘寶、支付寶等賬號密碼，以及鍵盤操作，上傳至服務器。

此外，嫌疑人通過執行命令對感染病毒的計算機除系統文件、執行類文件以外的所有文件進行加密，隨后彈出包含解密字樣和預置微信收款二維碼的勒索界面，解密程序標題顯示“你的電腦已被加密，請執行以下操作，掃一掃二維碼，你需要支付110進行解密”。

五、挖礦攻擊迭起，花樣不斷翻新2018年全球爆發了惡意加密貨幣挖掘，因此產生的惡意軟件攻擊次數增加了83%以上。

今年前三個季度有超過500萬用戶被惡意軟件攻擊，而2017年同期為270萬。

根據卡巴斯基實驗室的說法，在加密淘金熱背后的主要驅動因素是安裝和使用未經許可的軟件和內容。

在2018年，惡意加密貨幣開采戰勝了過去幾年的主要威脅：勒索軟件。

受惡意加密貨幣挖掘軟件攻擊的互聯網用戶數量在今年上半年穩步增長，遭遇挖礦攻擊的用戶數量從2016年-2017年度的1,899,236人次，增長為2017-2018年度的 2,735,611人次。

挖礦攻擊出現頻率越來越高，對受害者造成的危害也日益嚴重，而且目前已經轉向企業目標。

多家互聯網企業和網絡安全企業分析認為，非法“挖礦”已成為嚴重的網絡安全問題。

其中，騰訊云監測發現，隨著“云挖礦”的興起，云主機成為挖取門羅幣、以利幣等數字貨幣的主要利用對象，而盜用云主機計算資源進行“挖礦”的情況也顯著增多;知道創宇安全團隊監測發現，“爭奪礦機”已成為僵尸網絡擴展的重要目的之一;360企業安全技術團隊監測發現一種新型“挖礦”病毒(挖取XMR/門羅幣)，該病毒在兩個月內瘋狂傳播，非法“挖礦”獲利近百萬元人民幣。

由于入口門檻低，只需要幾行代碼就可以執行，網絡犯罪分子大肆利用挖礦軟件盜用消費者和企業的計算機處理能力以及占用云端 CPU，為其達到挖掘電子加密貨幣的目的。

隨著挖礦軟件在企業環境中逐步蔓延，企業網絡面臨著徹底癱瘓的風險。

它可能還會給企業帶來財務上的影響，例如為挖礦軟件所占用的云CPU 買單。

隨著惡意挖礦軟件的不斷升級，物聯網設備將仍然是這類攻擊的絕佳目標。

挖礦木馬年度盤點：

(1) 2018年1月tlMiner爆發，它是隱藏在《絕地求生》輔助程序中的HSR幣挖礦木馬。

該挖礦木馬由一游戲輔助團隊投放，瞄準游戲高配機實現高效率挖礦，單日影響機器量最高可達20萬臺。

“tlMiner”木馬作者在“吃雞”游戲外掛、海豚加速器(修改版)、高仿盜版視頻網站、酷藝影視網吧VIP等程序中植入“tlMiner”挖礦木馬，通過網吧聯盟、論壇、下載站和云盤等渠道傳播。

木馬作者通過以上渠道植入木馬，非法控制網吧和個人計算機終端為其個人挖礦。

2018年4月11日，在騰訊電腦管家的協助下，山東警方在遼寧大連一舉破獲了“tlMiner”挖礦木馬黑產公司。

該公司為大連當地高新技術企業，為非法牟利搭建木馬平臺，招募發展下級代理商近3500個，通過網吧渠道、吃雞外掛、盜版視頻軟件傳播投放木馬，非法控制用戶電腦終端389萬臺，進行數字加密貨幣挖礦、強制廣告等非法業務，合計挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門羅幣)、SHR(超級現金幣)、BCD(比特幣鉆石)、SIA(云儲幣)等各類數字貨幣超過2000萬枚，非法獲利1500余萬元。

1月6日，一位網名為“Rundvleeskroket”的Reddit(社交新聞站點)用戶聲稱，黑莓手機的官方網站(blackberrymobile[.]com)被發現正使用Coinhive提供的加密貨幣挖礦代碼來挖掘門羅幣(Monero)。

Rundvleeskroket在最新的動態更新中表示，似乎只有黑莓的全球網站(blackberrymobile[.]com/en)受到影響。

所以，任何被重定向到CA、EU或US的用戶都不會在網站開放的情況下運行挖礦代碼。

(2) 2018年2月安全公司 CrowdStrike 發現了一款名為 WannaMine 的新型 Monero 加密挖掘蠕蟲，其利用與 NSA 相關的 EternalBlue (“ 永恒之藍 ” )漏洞進行傳播。

據研究人員測試，WannaMine 能夠感染從 Windows 2000 起的所有 Windows 系統(包括 64 位版本和 Windows Server 2003)，并使其設備性能明顯下降。

WannaMine 的惡意代碼十分復雜，因為它實現了一種類似于國家贊助的 APT 組織所使用的擴散機制和持久性模型。

更詳細地解釋是：WannaMine 利用 Windows 管理工具( WMI )永久事件訂閱來在受感染的系統上獲得持久性。

當注冊一個永久事件訂閱后，WannaMine 將在事件使用者中每 90 分鐘執行一個 PowerShell 命令。

研究人員注意到，WannaMine 使用憑證收割機 Mimikatz 來收集用戶憑據，從而達到橫向移動的目的，但如果不能夠橫向移動的話，WannaMine 將更依賴于 EternalBlue 的利用。

從2018年2月3日開始，一組惡意代碼開始蠕蟲式快速傳播，360安全團隊將其命名為ADB.Miner。

最早的感染時間可以回溯到1月31日左右，這波蠕蟲式感染于2018年2月3日下午被360系統檢測，感染安卓設備上 adb 調試接口的工作端口5555，正常情況下這個端口應該被關閉，但未知原因導致部分設備錯誤的打開了該端口蠕蟲式感染，惡意代碼在完成植入后，會繼續掃描 5555 adb 端口，完成自身的傳播感染。

感染的設備大部分是智能手機以及智能電視機頂盒。

(3) 2018年3月一種全的新的 Android 挖礦惡意軟件 HiddenMiner 可以暗中使用受感染設備的CPU 計算能力來竊取 Monero。

HiddenMiner 的自我保護和持久性機制讓它隱藏在用戶設備上濫用設備管理員功能 (通常在 SLocker Android 勒索軟件中看到的技術)。

另外，由于 HiddenMiner 的挖礦代碼中沒有設置開關、控制器或優化器，這意味著一旦它開始執行挖礦進程，便會一直持續下去，直到設備電量耗盡為止。

鑒于 HiddenMiner 的這種特性，這意味著它很可能會持續挖掘 Monero，直到設備資源耗盡。

根據研究人員的說法，HiddenMiner 是在第三方應用商店發現的，大部分受害用戶都位于中國和印度。

HiddenMiner 的持續挖礦與導致設備電池膨脹的Android 惡意軟件 Loapi 類似，不僅如此，HiddenMiner 還使用了類似于撤銷設備管理權限后 Loapi 鎖定屏幕的技術。

(4) 2018年5月“WinstarNssmMiner”來襲。

此類挖礦病毒最大的與眾不同是會阻止用戶結束挖礦進程，一旦用戶選擇結束進程，其電腦會立刻藍屏。

而且此次的挖礦病毒欺軟怕硬，碰到強力的殺軟會當縮頭烏龜，一旦碰到實力不濟的殺軟它就會關閉正在運行的殺毒軟件程序。

因此中了此類病毒的用戶通常只能面對已經出現卡慢，甚至藍屏的電腦束手無策。

該木馬病毒會將自身的惡意代碼以父進程的形式注入系統進程svchost.exe，然后把該系統進程設置為CriticalProcess，在這種情況下一旦強制結束該進程電腦就會立刻藍屏。

用研究員的話形容就是，這個病毒真是相當的暴力了!當然，把用戶的電腦暴力藍屏是這個病毒最后的一招，在中病前期，該病毒還會在用戶的電腦上進行一系列操作來挖礦獲利。

(5) 2018年6月撒旦(Satan)勒索病毒的傳播方式升級，不光使用永恒之藍漏洞攻擊，還攜帶更多漏洞攻擊模塊：包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默認配置漏洞(CVE-2010-0738)、Tomcat任意文件上傳漏洞(CVE-2017-12615)、Tomcat web管理后臺弱口令爆破、Weblogic WLS 組件漏洞(CVE-2017-10271)，使該病毒的感染擴散能力、影響范圍得以顯著增強。

分析發現，該變種的傳播方式與今年之前發現的版本類似，都有利用JBoss、Tomcat、Weblogic等多個組件漏洞以及永恒之藍漏洞進行攻擊。

新變種增加了Apache Struts2漏洞攻擊模塊，攻擊范圍和威力進一步提升。

最出人意料的是，Satan病毒放棄了此前的勒索，開始轉行傳播挖礦木馬。

由于此前的satan勒索病毒的算法存在“缺陷”，可以被進行完美解密，從而使得勒索作者無法收到贖金。

因此本次變種開始改行挖礦，不僅可以穩定的獲得收入，還可以避免很快的暴露(由于挖礦除了會讓機器稍微卡慢一點，給用戶的其他感官不強，因此一般用戶很難察覺到被挖礦)。

(6) 2018年9月不法黑客通過1433端口爆破入侵SQL Server服務器，植入遠程控制木馬并安裝為系統服務，然后利用遠程控制木馬進一步加載挖礦木馬進行挖礦。

用戶電腦不知不覺間淪為不法分子“挖礦”的工具，電腦算力被占用，同時極有可能帶來一系列網絡安全風險。

截止目前，該木馬現已累計感染約3萬臺電腦。

騰訊智慧安全御見威脅情報中心實時攔截該挖礦木馬的入侵，將其命名為“1433爆破手礦工”，不法黑客除了利用感染木馬電腦挖礦外，還會下載NSA武器攻擊工具繼續在內網中攻擊擴散，若攻擊成功，會繼續在內網機器上安裝該遠程控制木馬。

在內網攻擊中，“1433爆破手礦工”可使用的漏洞攻擊工具之多，令人咋舌。

其加載的攻擊模塊幾乎使用了NSA武器庫中的十八般武器，Eternalblue(永恒之藍)、Doubleplsar(雙脈沖星)、EternalChampion(永恒冠軍)、Eternalromance(永恒浪漫)、Esteemaudit(RDP漏洞攻擊)等多種漏洞攻擊工具皆可被黑客利用實施內網攻擊。

專攻企業局域網的勒索病毒GandCrab，這個臭名昭著的勒索病毒版本號已升級到4.3。

與以往不同的是，攻擊者在已入侵網絡同時釋放挖礦木馬和勒索病毒，針對高價值目標使用GandCrab勒索病毒，而一般目標則運行挖礦木馬，以最大限度利用被入侵的目標網絡非法牟利。

分析勒索病毒GandCrab 4.3的入侵通道，發現黑客通過暴力破解Tomcat 服務器弱密碼實現入侵。

入侵成功后，從C2服務器下載勒索病毒和挖礦木馬，恢復被GandCrab勒索病毒加密的文件需要付費499美元購買解密工具。

通過錢包分析發現，該木馬已收獲18.6個門羅幣，折合人民幣約1.5萬元。

GandCrab 勒索病毒之前的版本一般通過釣魚郵件和水坑攻擊(選擇最可能接近目標的網絡部署陷阱文件，等待目標網絡內的主機下載)。

而現在，御見威脅情報中心監測到越來越多的勒索病毒會首先從企業Web服務器下手，其中Tomcat被暴破弱密碼攻擊的情況近期有明顯上升。

攻擊一旦得手，黑客就會以此為跳板，繼續向內網擴散。

擴散的手法，往往是使用NSA攻擊工具包或1433，3389端口暴力破解弱口令。

之后，黑客會選擇高價值目標下載運行勒索病毒，對一般系統，則植入挖礦木馬獲利。

針對企業使用勒索病毒加挖礦木馬雙重打擊是近期比較突出的特點。

(7) 2018年10月Palo Alto Unit 42研究員 Brad Duncan發現的最新惡意軟件中，不僅會安裝XMRig挖礦應用，而且會自動對Flash Player進行更新。

這樣在安裝過程中不會引起用戶的懷疑，從而進一步隱藏了它的真正意圖。

這款安裝器會真的訪問Adobe的服務器來檢查是否有新的Flash Player。

整個安裝過程中和正式版基本上沒有差別。

這樣用戶以為正常升級Flash的背后，安裝了coinminer的挖礦應用。

一旦設備受到感染，就會連接xmr-eu1.nanopool.org的挖礦池，開始使用100%的CPU計算能力來挖掘Monero數字貨幣。

(8) 2018年11月擁有Windows和安卓雙版本的挖礦木馬MServicesX悄然流行，中毒電腦和手機會運行門羅幣挖礦程序，造成異常發熱乃至設備受損的現象。

該挖礦木馬十分擅長偽裝，在電腦端使用具有合法數字簽名的文件，以躲避安全軟件的查殺;在安卓手機端更偽裝成Youtube視頻播放器軟件，不知情的用戶用其在手機上觀看視頻時，病毒會在后臺運行門羅幣挖礦程序。

數據顯示，挖礦木馬MServicesX近期表現活躍，感染量波動較大，并且已快速蔓延至全球范圍。

在國內，則以廣東、江蘇、香港三地的受感染量最大。

經病毒溯源發現，該病毒的Windows版本通過提供各類游戲下載安裝的某游戲下載站進行傳播，木馬隱藏在游戲安裝包中，游戲安裝程序在運行時會提示用戶關閉殺毒軟件，并釋放出木馬文件“MServicesX_FULL.exe”。

安裝包運行后，病毒還會將版本更新設置為計劃任務，每三個小時運行一次，保持木馬更新為最新版本，利用后臺程序挖礦，盡最大可能榨取用戶CPU資源。

KoiMiner挖礦木馬變種出現，該變種的挖礦木馬已升級到6.0版本，木馬作者對部分代碼加密的方法來對抗研究人員調試分析，木馬專門針對企業SQL Server 服務器的1433端口爆破攻擊進行蠕蟲式傳播。

騰訊御見威脅情報中心監測數據發現，KoiMiner挖礦木馬已入侵控制超過5000臺SQL Server服務器，對企業數據安全構成重大威脅。

該病毒在全國各地均有分布，廣東、山東、廣西位居前三。