在與網(wǎng)安威脅的不斷對(duì)抗中，一晃半年過去了。在這半年間，網(wǎng)安威脅不斷演進(jìn)，已呈現(xiàn)出新的發(fā)展趨勢。通過對(duì)上半年的數(shù)據(jù)分析，發(fā)現(xiàn)勒索病毒、挖礦病毒以及APT攻擊已成為黑客主流的三大攻擊方式。下面，小編將對(duì)這三大攻擊方式進(jìn)行詳細(xì)解讀。

主流攻擊1：勒索病毒

      勒索病毒通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數(shù)據(jù)資產(chǎn)或計(jì)算資源無法正常使用，并以此為條件向用戶勒索錢財(cái)。這類用戶數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件。贖金形式包括真實(shí)貨幣、比特幣或其它虛擬貨幣。

近期活躍的勒索病毒

      GlobeImposter勒索病毒

      2017年5月,  Globelmposter家族首次出現(xiàn)；

      2018年3月，GlobeImposter勒索病毒變種在我國傳播。

      該勒索病毒依靠垃圾郵件進(jìn)行傳播，在郵件正文會(huì)告知受害者繳納贖金的方式，一般索要1到10比特幣不等，文件加密后擴(kuò)展名會(huì)該更為.crypted!、..doc和.TRUE等。

“Zenis”勒索病毒

      該勒索病毒在2018年3月被安全專家截獲，與其他勒索病毒不同，可對(duì)設(shè)備中超過200種格式的文件進(jìn)行加密，對(duì)非系統(tǒng)盤符下的所有格式文件也可進(jìn)行加。，為防止系統(tǒng)還原，會(huì)刪除系統(tǒng)中的備份文件。還可通過黑客入侵的遠(yuǎn)程桌面服務(wù)進(jìn)行安裝。

      趨勢判斷：

      短期內(nèi)不會(huì)消失；

      數(shù)量不會(huì)大幅增加；

      感染方式多樣化；

      加密方法復(fù)雜化。

常見類型

      加密型勒索病毒 – GlobeImposter勒索病毒

      鎖屏式勒索病毒– FAKELOCK勒索病毒

      磁盤勒索病毒– PETYA勒索病毒

      數(shù)據(jù)庫勒索病毒– Oracle數(shù)據(jù)庫勒索病毒

      Linux磁盤勒索 – KILLDISK勒索病毒

      其他– PABGEE勒索病毒

主要傳播方式：

      漏洞攻擊；郵件附件；移動(dòng)設(shè)備；病毒下載；文件共享

主要感染對(duì)象：

      計(jì)算機(jī)終端，網(wǎng)絡(luò)儲(chǔ)存，服務(wù)器，可移動(dòng)儲(chǔ)存

如何防范：

      請(qǐng)注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則，即至少做三個(gè)副本，用兩種不同格式保存，并將副本放在異地存儲(chǔ)。

      訪問控制:限制訪問關(guān)鍵業(yè)務(wù)數(shù)據(jù)。

      補(bǔ)丁管理:盡可能降低漏洞攻擊風(fēng)險(xiǎn)。

      避免支付數(shù)據(jù): 支付只會(huì)鼓勵(lì)黑客進(jìn)行下一步攻擊。

      向員工普及網(wǎng)絡(luò)釣魚知識(shí): 增強(qiáng)意識(shí)、提供最佳實(shí)踐、進(jìn)行模擬演練。

      改進(jìn)安全措施:采用行為監(jiān)控，防火墻，ips，堡壘機(jī)等安全設(shè)備，及其他附加技術(shù)。

主流攻擊2：挖礦病毒

      挖礦，是獲取加密貨幣的勘探方式的昵稱，因?yàn)楣ぷ髟砼c開采礦物十分相似。此外，進(jìn)行挖礦工作的加密貨幣勘探者也被稱為礦工。為了節(jié)省挖礦成本，黑客將挖礦程序制成惡意軟件，在網(wǎng)絡(luò)上感染他人的計(jì)算機(jī)，替自己挖礦。

近期活躍的挖礦病毒

      Weblogic挖礦病毒

      攻擊利用了WEBLogic WSAT（全稱：Web Services Atomic Transactions）組件RCE漏洞，攻擊者預(yù)先收集Windows和Linux平臺(tái)的WebLogic目標(biāo)主機(jī)信息，利用CVE-2017-3506/CVE-2017-10271漏洞對(duì)目標(biāo)主機(jī)植入挖礦程序，該攻擊行為會(huì)造成主機(jī)CPU資源耗盡，主機(jī)性能變差等。

GhostMiner無文件挖礦病毒

      使用無文件技術(shù)隱藏惡意程序，有效逃逸安全廠商檢測，利用PowerShell框架將挖礦程序直接解壓到內(nèi)存，直接從內(nèi)存中啟動(dòng)挖礦組，結(jié)束目標(biāo)設(shè)備上運(yùn)行的任何其它惡意挖礦進(jìn)程。

趨勢判斷：

      挖礦病毒不斷使用新技術(shù)，持續(xù)與殺軟進(jìn)行對(duì)抗；

      挖礦病毒感染平臺(tái)多元化。

挖礦病毒特征：

      CPU占用率高，通常高達(dá)70%以上；

      系統(tǒng)性能下降；

      系統(tǒng)出現(xiàn)卡頓、運(yùn)行緩慢；

      風(fēng)扇轉(zhuǎn)速增快，電腦發(fā)熱增加。

如何防范？

      1. 打全系統(tǒng)補(bǔ)丁程序，降低漏洞攻擊帶來的風(fēng)險(xiǎn)；

      2. 設(shè)置高強(qiáng)度密碼，降低弱口令攻擊帶來的風(fēng)險(xiǎn) ；

      3. 提高員工安全意識(shí)，降低因人為因素帶來的風(fēng)險(xiǎn) ；

      4. 改進(jìn)安全措施: 行為監(jiān)控及其他附加技術(shù)。

針對(duì)無文件挖礦病毒

       一、安裝DeepTrace工具，在監(jiān)控期間暫時(shí)關(guān)閉DSA的防病毒功能，還原用戶環(huán)境。 

      二、通過分析DeepTrace日志，我們發(fā)現(xiàn)生成并且打開病毒文件的是macorlib.ni.dll和system.ni.dll文件，繼續(xù)往上看運(yùn)行過程，這兩個(gè)文件和powershell.exe進(jìn)程有關(guān)系。

      三、查看powershell.exe進(jìn)程，看到的確有惡意的命令行運(yùn)行，使用base64解密之后，該代碼是挖礦相關(guān)的程序，生成windows\temp\lsass.eXe文件，并使用系統(tǒng)進(jìn)程啟加載啟動(dòng)該文件運(yùn)行，導(dǎo)致CPU占用在75%。

      四、Powershell挖礦一般會(huì)結(jié)合WMI，使用autoruns工具查看WMI相關(guān)啟動(dòng)和計(jì)劃任務(wù)項(xiàng)，刪除powershell.exe進(jìn)程，即可解決問題。

      （注意事項(xiàng)：無文件挖礦病毒解決方案是以具體病毒樣本為例進(jìn)行說明，如果樣本發(fā)生變化，病毒文件名可能會(huì)發(fā)生改變。）

主流攻擊3：APT攻擊

      APT（Advanced PersistentThreat）是指高級(jí)持續(xù)性威脅。利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式，APT攻擊的原理相對(duì)于其他攻擊形式更為高級(jí)和先進(jìn)，其高級(jí)性主要體現(xiàn)在APT在發(fā)動(dòng)攻擊之前需要對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集。在此收集的過程中，此攻擊會(huì)主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞，利用這些漏洞組建攻擊者所需的網(wǎng)絡(luò)，并利用0day漏洞進(jìn)行攻擊。此類攻擊通常由一個(gè)高度組織化的、專業(yè)化的黑客組織發(fā)起，常用的攻擊方式有魚叉釣魚、水坑攻擊等。

      近期熱門APT組織

      海蓮花APT組織

      海蓮花APT組織（又名APT 32，APT-C-00，SeaLotus和Cobalt Kitty）是一個(gè)高度組織化的、專業(yè)化的境外黑客組織，該APT組織主要針對(duì)人權(quán)組織，媒體，研究機(jī)構(gòu)和海事建筑公司等進(jìn)行高級(jí)持續(xù)性攻擊。

DarkhotelAPT組織

      2018年3月，APT組織 DarkHotel 竟將中國和朝鮮的電信公司的高管作為目標(biāo)。Darkhotel組織的間諜活動(dòng)最早是在2014年11月發(fā)現(xiàn)。安全專家們發(fā)現(xiàn)DarkHotel組織選擇出國旅行的企業(yè)高管為目標(biāo),持續(xù)了至少四年。根據(jù)專家分析,DarkHotel進(jìn)行這些活動(dòng)背后的目的可能是從這些住在豪華酒店的高管身上竊取敏感數(shù)據(jù),令人擔(dān)憂的是,該黑客組織的成員現(xiàn)在仍然活躍。

APT攻擊步驟

      1. 情報(bào)收集

      2. 單點(diǎn)突破

      3. 命令與控制 （C&C 通信）

      4. 橫向移動(dòng)

      5. 資產(chǎn)/資料發(fā)掘

      6. 資料竊取

如何防范？

      阻止：評(píng)估潛在漏洞，為終端、服務(wù)器及應(yīng)用提供主動(dòng)防護(hù)

      偵測：檢測攻擊者所使用的，傳統(tǒng)防御無法識(shí)別的惡意對(duì)象、通訊及行為等威脅

      分析：分析攻擊及攻擊者的風(fēng)險(xiǎn)及本質(zhì)，評(píng)估威脅的影響及范圍

      響應(yīng)：通過實(shí)時(shí)發(fā)布特征碼及安全更新提供快速威脅響應(yīng)的能力