一、前言

2017年對企業(yè)安全影響最深遠的事件是以WannaCry為代表的勒索病毒爆發(fā)，給許多企業(yè)帶來(lái)了滅頂之災。隨著(zhù)數字加密幣的普及，數字加密幣天然的匿名性、非法交易難以追蹤的特性令病毒木馬黑色產(chǎn)業(yè)如獲至寶。2018年，數字加密幣已徹底改變了病毒木馬黑色產(chǎn)業(yè)，使勒索病毒和挖礦木馬成為影響企業(yè)網(wǎng)絡(luò )安全的兩大核心威脅。

勒索病毒直接要求受害者向指定數字加密幣錢(qián)包轉帳；挖礦木馬傳播者瘋狂入侵企業(yè)網(wǎng)絡(luò )，利用企業(yè)IT資源實(shí)現0成本挖礦（不管比特幣、門(mén)羅幣、以太坊幣跌成什么樣，利用僵尸網(wǎng)絡(luò )挖礦不需要購買(mǎi)礦機，也不需要自己付電費）。而暗網(wǎng)平臺大量存在的非法交易，更是數字加密幣持續火爆的土壤。

勒索病毒和挖礦病毒主要傳播路徑幾乎一樣：利用黑客技術(shù)入侵企業(yè)服務(wù)器，以此為跳板，再利用輕易獲得的漏洞攻擊工具在企業(yè)內網(wǎng)擴散。是傳播勒索病毒，還是種植挖礦木馬，僅僅取決于攻擊者的目的。

企業(yè)網(wǎng)管可以將挖礦木馬看作企業(yè)網(wǎng)絡(luò )安全的“體溫表”：若經(jīng)常發(fā)現挖礦木馬在內網(wǎng)運行而未及時(shí)得到有效控制，距離勒索病毒破壞的災難爆發(fā)就為期不遠了。

二、企業(yè)安全現狀

1.企業(yè)終端病毒感染概況：

根據騰訊御見(jiàn)威脅情報中心數據顯示，每周約18%企業(yè)發(fā)生過(guò)病毒木馬攻擊事件。

從企業(yè)染毒的類(lèi)型看，挖礦類(lèi)病毒比例逐漸提升，勒索類(lèi)病毒依然占據比較高的比例。這兩大類(lèi)病毒在總體感染量總占比似乎并高，但這兩類(lèi)病毒造成的危害后果，卻是對企業(yè)網(wǎng)絡(luò )安全最嚴重的。

這兩類(lèi)病毒均同時(shí)使用了蠕蟲(chóng)式的傳播渠道：比如大量使用永恒之藍漏洞攻擊包，利用Web組件的高危漏洞從企業(yè)網(wǎng)絡(luò )邊界入侵，在局域網(wǎng)內暴力破解多個(gè)網(wǎng)絡(luò )服務(wù)（3389、FTP、SQL弱口令等）主動(dòng)擴散方式。一般的蠕蟲(chóng)式和感染型病毒以破壞性影響為主，這兩類(lèi)影響大多都是可逆的，清除病毒修復文件即可恢復正常，其感染后果跟勒索病毒不可同日而語(yǔ)。

而挖礦木馬，是看起來(lái)似乎沒(méi)有存在感，挖礦木馬隱蔽性極好。只在進(jìn)行挖礦操作時(shí)，才大量消耗電腦系統資源，除了比較有經(jīng)驗的網(wǎng)民一般難以發(fā)現。挖礦木馬在電腦中長(cháng)期存在，企業(yè)寶貴的計算資源被無(wú)謂浪費掉。

2018年挖礦木馬控制肉雞電腦0成本大量挖礦，推動(dòng)整個(gè)黑色產(chǎn)業(yè)將比特幣、門(mén)羅幣、以太坊幣等數字加密幣作為非法交易的流通媒介，令黑產(chǎn)變現比以往更加簡(jiǎn)單和直接，已深刻影響病毒木馬黑產(chǎn)生態(tài)。

風(fēng)險軟件常被中國網(wǎng)民稱(chēng)之為流氓軟件，占據著(zhù)一半的感染比例，其危害主要是使用體驗上的困擾。風(fēng)險軟件的行為包括“流氓推廣”、“刷流量”、“騷擾廣告”、“劫持網(wǎng)絡(luò )流量”等惡意行為，相對其他病毒危害來(lái)說(shuō)，這類(lèi)軟件的影響相對處于灰色地帶。風(fēng)險軟件的高感染量，提醒廣大企業(yè)網(wǎng)管仍應重視對風(fēng)險軟件的防御。

2.行業(yè)病毒感染類(lèi)型分布

1)不同行業(yè)感染病毒類(lèi)型分布情況：

從感染病毒分布情況對比看，政府、教育、醫療等傳統感染更容易感染勒索、挖礦病毒，這也是為什么安全廠(chǎng)商頻繁爆出，醫療、學(xué)校等機構感染勒索、挖礦病毒。而科技、金融等新興行業(yè)則更容易受風(fēng)險軟件的威脅，對科技、金融等行業(yè)，竊取機密往往成為惡意攻擊的首選目的。

2)行業(yè)感染病毒對比

從各行業(yè)感染病毒對比上看，醫療、教育行業(yè)感染病毒最為嚴重，金融行業(yè)感染病毒相對最少。同時(shí)可以發(fā)現，風(fēng)險軟件各行業(yè)感染情況相對比較平均，而勒索、挖礦病毒則主要集中在教育、醫療行業(yè)。

3)不同行業(yè)訪(fǎng)問(wèn)風(fēng)險站點(diǎn)類(lèi)型分布

從訪(fǎng)問(wèn)風(fēng)險網(wǎng)站分布看，政府、教育、醫療等傳統行業(yè)，容易受社工欺詐、虛假銷(xiāo)售等網(wǎng)站影響，而科技、金融行業(yè)則更容易受信息欺詐影響。

4)行業(yè)訪(fǎng)問(wèn)風(fēng)險站點(diǎn)對比

從各行業(yè)訪(fǎng)問(wèn)風(fēng)險站點(diǎn)對比來(lái)看，社工欺詐和虛假銷(xiāo)售在各行業(yè)相對比較普遍。其中，政府受信息欺詐影響最小，而醫療行業(yè)受虛假銷(xiāo)售影響最大。

3.企業(yè)終端系統安全狀況

1)企業(yè)終端操作系統安全指數

根據騰訊御見(jiàn)威脅情報中心數據監測，并且結合系統脆弱性和系統受安全事件影響對企業(yè)用戶(hù)使用的Windows系統做不同版本的安全度評估。使用得出不同版本的系統安全指數，使用Win10的用戶(hù)系統安全度更高，使用WinXP的用戶(hù)安全度最底

2)企業(yè)終端漏洞修復情況

黑客入侵活動(dòng)中，最常用的手法是利用系統漏洞達到入侵的目的，而針對對企業(yè)用戶(hù)終端的數據統計發(fā)現，約83%的Windows操作系統存在高危漏洞未及時(shí)修復。

3)企業(yè)終端脆弱性配置情況

終端脆弱性是指存在風(fēng)險系統配置項，例如未設置登錄密碼、存在開(kāi)放的高危端口，防火墻被關(guān)閉等等。安全地配置系統可以有效防止高危入侵行為。

(1)企業(yè)終端Windows操作系統存在高風(fēng)險配置比例

企業(yè)終端Windows操作系統配置情況較好，存在脆弱性配置的比例占14%，部分企業(yè)資產(chǎn)管理不到位，導致存在部分機器有所遺漏。

(2)存在高風(fēng)險脆弱性配置的類(lèi)型分布情況

從存在的高風(fēng)險脆弱性配置類(lèi)型來(lái)看，主要有身份鑒別和網(wǎng)絡(luò )安全訪(fǎng)問(wèn)控制風(fēng)險，即存在空口令登陸和允許遠程匿名訪(fǎng)問(wèn)的風(fēng)險。一旦被黑客利用，黑客可遠程登錄計算器執行任意操作，帶來(lái)信息泄露等嚴重問(wèn)題。

4.2018企業(yè)威脅病毒流行趨勢

1)勒索病毒

勒索病毒，是2018年破壞性最強影響面最廣的一類(lèi)惡意程序，通常是通過(guò)恐嚇、綁架用戶(hù)文件或破壞用戶(hù)計算機等方式，向用戶(hù)勒索錢(qián)財。

早期的勒索病毒通常是通過(guò)釣魚(yú)郵件、社工等方式傳播，通常傳播規模量比較小，隨著(zhù)2017年NSA方程式工具泄露，“永恒之藍”工具被大量利用，加之近年數字加密幣的流行，勒索病毒感染正處于愈演愈烈的態(tài)勢。

2018年對企業(yè)安全來(lái)說(shuō)，首要安全威脅當屬勒索病毒，國內活躍的勒索病毒家族如下：

而針對高價(jià)值的企業(yè)服務(wù)器勒索成為了勒索病毒攻擊的首選目標：

(1)2018.4月，騰訊御見(jiàn)威脅情報中心發(fā)現Satan勒索病毒主攻數據庫，對數據庫各種文件加密勒索，加密完成后，會(huì )用中英韓三國語(yǔ)言索取0.3個(gè)比特幣作為贖金，并威脅三天內不支付不予解密。

(2)2018.4月，騰訊御見(jiàn)威脅情報中心接到某公司反饋，該公司數臺Windows服務(wù)器中了勒索病毒，電腦除了C盤(pán)，其他磁盤(pán)分區都被整個(gè)加密，造成公司業(yè)務(wù)停擺，并且勒索金額高達9.5個(gè)比特幣（約40萬(wàn)人民幣）。

(3)2018.4月，騰訊御見(jiàn)威脅情報中心接到某公司反饋，服務(wù)器被黑客入侵并且數據已被勒索病毒家族加密。

(4)2018.5月，騰訊御見(jiàn)威脅情報中心發(fā)現，GandCrab勒索病毒更新，并且目標主要針對企業(yè)服務(wù)器。

(5)2018.6月，騰訊御見(jiàn)威脅情報中心監測到，Crysis家族勒索病毒針對企業(yè)服務(wù)器攻擊迅速上漲。

(6)2018.7月，騰訊御見(jiàn)威脅中心發(fā)現，湖北某醫院遭撒旦（Satan）勒索病毒襲擊。

(7)2018.8月，臺積電遭勒索病毒攻擊而停產(chǎn)。

(8)2018.9月，騰訊御見(jiàn)威脅情報中心監測到，國內某重要通信企業(yè)多地子公司發(fā)生GlobeImposter勒索病毒攻擊事件，內網(wǎng)多臺機器被感染包括服務(wù)器。

(9)2018.9月，國內部分國土部門(mén)專(zhuān)網(wǎng)受勒索病毒攻擊，部分省份不動(dòng)產(chǎn)登記系統暫停使用。

(10)2018.9月，騰訊御見(jiàn)威脅情報中心監測到，GandCrab 再次升級，通過(guò)暴力破解Tomcat 服務(wù)器弱密碼實(shí)現入侵，并且下載勒索病毒和挖礦木馬，實(shí)施勒索和挖礦。

(11)2018.11月，知名半導體公司合晶科技位于大陸的工廠(chǎng)全線(xiàn)感染W(wǎng)annaCry勒索病毒，造成產(chǎn)線(xiàn)癱瘓，工廠(chǎng)全部停產(chǎn)。

一方面，勒索病毒對企業(yè)傷害巨大，一旦企業(yè)內網(wǎng)有資產(chǎn)中了勒索病毒，其常見(jiàn)文檔文件會(huì )被加密，無(wú)法正常使用，并且勒索病毒有極大的可能會(huì )在內網(wǎng)傳播，給企業(yè)造成不可挽回的損失。另一方面，勒索病毒利用成本越來(lái)越低，而收益相對較高，在黑市上只要數百元便可以獲得一個(gè)勒索病毒，但勒索成功一次就可以獲利數千元，甚至數萬(wàn)元。

目前數字加密貨幣日益普及，在世界范圍內處于監管的空白地帶，利用數字加密貨幣達成非法交易，難以被執法部門(mén)追蹤，勒索病毒制作/發(fā)布者因此更加肆無(wú)忌憚！

勒索病毒發(fā)布者通常都是有目的地針對企業(yè)發(fā)起攻擊，勒索企業(yè)獲得贖金的機率遠高于勒索個(gè)人用戶(hù)，可以預測2019年勒索病毒依然會(huì )是企業(yè)安全的重大威脅。

2)挖礦木馬

挖礦木馬，是近年興起的網(wǎng)絡(luò )安全威脅，2017年下半年開(kāi)始進(jìn)入普通用戶(hù)的視野，而2018年開(kāi)始流行。中挖礦木馬的計算機，其計算機資源被大量占用用于數字加密幣的挖掘。挖礦木馬的流行一定程度上受數字加密幣市值漲跌影響。

以最常見(jiàn)的比特幣和門(mén)羅幣為例，2017下半年比特幣和門(mén)羅幣價(jià)值暴漲，2018年下半年有下降，但價(jià)值扔高于2017年之前，所以整個(gè)2018年勒索木馬的流行趨勢總體呈上漲趨勢。

（數據來(lái)源于coinmarketcap.com）

根據騰訊御見(jiàn)威脅情報中心數據監測，2018企業(yè)用戶(hù)中挖礦木馬的總體呈上升趨勢。

而企業(yè)服務(wù)器同樣成為挖礦木馬攻擊的常見(jiàn)目標。

(1)2018.4月，騰訊見(jiàn)威脅情報中心發(fā)現，PhotoMiner木馬入侵FTP、SMB服務(wù)器擴大傳播，并實(shí)施挖礦。

(2)2018.4月，騰訊見(jiàn)威脅情報中心發(fā)現，大批企業(yè)網(wǎng)站W(wǎng)EB服務(wù)器被黑客組件利用Apache Struts2 漏洞入侵，并植入挖礦木馬。

(3)2018.5月，騰訊見(jiàn)威脅情報中心監測到，黑客利用Drupal系統漏洞，大批使用Drupal系統的網(wǎng)站被植入挖礦木馬。

(4)2018.6月，騰訊御見(jiàn)威脅情報中心發(fā)現，Nitol木馬被黑客植入到攻陷的服務(wù)器上，利用服務(wù)器挖礦。被攻擊的服務(wù)器還包括某省公路路政系統。

(5)2018.7月，騰訊御見(jiàn)威脅情報中心再次監測到，利用Apache Struts2高危漏洞入侵服務(wù)器，植入KoiMiner挖礦木馬。

(6)2018.7月，騰訊御見(jiàn)威脅情報中心發(fā)現，北京某連鎖醫療機構SQL Server服務(wù)器遭黑客入侵，并且被植入挖礦木馬，服務(wù)器硬件資源被挖礦病毒大量消耗，影響正常的企業(yè)業(yè)務(wù)。

(7)2018.7月，騰訊御見(jiàn)威脅情報中心發(fā)現，廣東重慶多家三甲醫院服務(wù)器遭暴力入侵，攻擊者暴力破解醫院服務(wù)器的遠程登錄服務(wù)，利用被攻陷的服務(wù)器挖礦。

(8)2018.7月，騰訊御見(jiàn)威脅情報中心發(fā)現，北京某手游公司官網(wǎng)配置不當，服務(wù)器被入侵，其官網(wǎng)被植入挖礦木馬。

(9)2018.7月，騰訊御見(jiàn)威脅情報中心發(fā)現，陜西多家企業(yè)網(wǎng)站被植入JS網(wǎng)頁(yè)挖礦木馬。

(10) 2018.12月，騰訊御見(jiàn)威脅情報中心發(fā)現，8220團伙再次入侵企業(yè)服務(wù)器，利用企業(yè)服務(wù)器挖礦。

挖礦木馬依然持續活躍中，預測2019年挖礦木馬依然是企業(yè)安全的重要威脅之一。

3)風(fēng)險軟件

風(fēng)險軟件：是指具有“惡意行為”的軟件，這類(lèi)軟件通常附帶部分常用的功能，如“日歷”、“解壓縮”等用戶(hù)常用的功能，通過(guò)誤導安裝、捆綁安裝安裝等渠道安裝在用戶(hù)的機器上，進(jìn)行長(cháng)期的潛伏，伺機實(shí)施暗刷流量、流氓推廣、竊取隱私、挖礦、惡意廣告等行為。中國用戶(hù)習慣稱(chēng)為“流氓軟件”、“間諜軟件”等。

如2018年風(fēng)險軟件影響比較大的事件之一是： 新型惡意軟件攻擊針對2018美國中期選舉關(guān)鍵州的選民，其意圖是收集有關(guān)活動(dòng)和選民的數據，然后利用這些數據發(fā)起有針對性的后續攻擊。

對企業(yè)用戶(hù)來(lái)說(shuō)，風(fēng)險軟件很可能會(huì )竊取企業(yè)內部機密信息，廣大企業(yè)用戶(hù)應提高警惕。

4)感染型病毒

感染型病毒運行后會(huì )將病毒代碼加入其它程序中，進(jìn)而感染全盤(pán)，嚴重時(shí)可導致計算機崩潰無(wú)法運行。早期的感染型病毒主要目的是破壞目標計算機，而近期活躍的感染型病毒附帶后門(mén)功能，病毒的操縱者可以遠程連接到用戶(hù)計算機。

感染型病毒，破壞性強，清除相對困難，又因為企業(yè)內網(wǎng)經(jīng)常存在文件共享等需求，感染型病毒容易在內網(wǎng)傳播。

根據騰訊御見(jiàn)威脅情報中心數據監測，企業(yè)內部中毒的類(lèi)型中約6.4% 是感染型病毒。感染型病毒作為一種相對古老的病毒類(lèi)型，長(cháng)期活躍在各企業(yè)內網(wǎng)中，預測2019年感染型病毒依然是企業(yè)安全的主要威脅之一。

5)蠕蟲(chóng)、偽裝文件夾病毒

最常見(jiàn)的蠕蟲(chóng)病毒是“偽裝文件夾”病毒，偽裝文件夾病毒通常通過(guò)、移動(dòng)硬盤(pán)、U盤(pán)等移動(dòng)介質(zhì)及網(wǎng)絡(luò )驅動(dòng)器傳播。病毒入侵電腦后，可遠程下載、更新其它病毒模塊，如盜號、挖礦等。

病毒運行后，會(huì )將移動(dòng)設備、網(wǎng)絡(luò )驅動(dòng)器內的原有文件隱藏，并創(chuàng )建一個(gè)與原有文件圖標一樣的快捷方式，誘導用戶(hù)點(diǎn)擊。當用戶(hù)將U盤(pán)、移動(dòng)硬盤(pán)拿到其它機器上使用時(shí)，一旦點(diǎn)擊其偽裝的快捷方式時(shí)，病毒馬上運行，并實(shí)施感染電腦上其它正常的文件。對企業(yè)內網(wǎng)來(lái)說(shuō)，用U盤(pán)、移動(dòng)硬盤(pán)、網(wǎng)絡(luò )驅動(dòng)器交互文件頻率比較高，所以這類(lèi)病毒更容易在企業(yè)內網(wǎng)中傳播。

三、2018其它典型企業(yè)安全事件

2018年影響企業(yè)安全的事件除了勒索病毒傳播依然猖獗，挖礦病毒異軍突起外，還有針對行業(yè)性的攻擊、針對軟件供應鏈的攻擊等依然持續不斷。

1.“商貿信”病毒攻擊

在17年12月全球范圍內爆發(fā)的“商貿信”病毒，在18年6月再次爆發(fā)，每天定向投放到中國進(jìn)出口企業(yè)的攻擊郵件有數千封之多。

不法黑客將發(fā)件人偽裝成專(zhuān)業(yè)從事國際運送業(yè)務(wù)的知名企業(yè)客服人員，并搭配極具說(shuō)服力的正文內容，誘導收到郵件的業(yè)務(wù)人員下載查閱附件。一旦用戶(hù)不慎點(diǎn)開(kāi)郵件附件文檔，文檔內嵌的惡意代碼會(huì )自動(dòng)下載Loki Bot木馬程序并運行，造成用戶(hù)電腦中的機密信息泄露。

2.針對保險、母嬰等行業(yè)定向攻擊

18年6月，騰訊御見(jiàn)威脅情報中心監測到一批木馬，通過(guò)最傳統的魚(yú)叉攻擊，誘餌采用rar壓縮包的形式進(jìn)行投遞，對保險、母嬰等行業(yè)定向攻擊，實(shí)施商業(yè)間諜活動(dòng)。

3.供應鏈攻擊

12月，廣東省深圳市某知名軟件廠(chǎng)商服務(wù)器被攻陷，導致客戶(hù)端軟件在更新時(shí)，被重定向至黑客服務(wù)器下載惡意病毒木馬，10萬(wàn)用戶(hù)遭到了感染。

四、2019企業(yè)網(wǎng)絡(luò )安全威脅趨勢——供應鏈攻擊值得高度關(guān)注

縱觀(guān)近幾年網(wǎng)絡(luò )攻擊趨勢，針對軟件供應鏈的攻擊變得愈發(fā)頻繁，從早些年爆出的“棱鏡計劃”，到近期的Heartbleed漏洞、NotPetya勒索病毒爆發(fā)以及爆出的各種數據泄露事件，供應鏈攻擊不再是高級攻擊的專(zhuān)屬，而變得與廣大用戶(hù)息息相關(guān)，隨時(shí)都會(huì )帶來(lái)嚴重損害。

供應鏈是涉及生產(chǎn)、分配、處理、維護貨物的活動(dòng)系統，以便將資源從供應商轉移到最終消費者手中。在互聯(lián)網(wǎng)行業(yè)中，該供應鏈環(huán)節也完全適用。一個(gè)軟件從供應商到消費者使用，會(huì )經(jīng)歷開(kāi)發(fā)、分發(fā)安裝、使用、更新的環(huán)節，而供應鏈攻擊則是黑客通過(guò)攻擊各環(huán)節的漏洞，植入惡意病毒木馬，達到傳播木馬的目的。

由于供應鏈攻擊對于被攻擊者而言沒(méi)有任何感知，因此一直被黑客所青睞。以往供應鏈攻擊往往多見(jiàn)于A(yíng)PT（高級持續性威脅）攻擊，而在近幾年，供應鏈攻擊趨勢開(kāi)始有穩定增長(cháng)，攻擊事件層出不窮，日常網(wǎng)絡(luò )攻擊中越來(lái)越多的見(jiàn)到供應鏈攻擊的手段。

下面對供應鏈各環(huán)節的攻擊進(jìn)行介紹。

1.開(kāi)發(fā)環(huán)節

對開(kāi)發(fā)環(huán)節的攻擊，是指對軟件的開(kāi)發(fā)工具、環(huán)境、源碼進(jìn)行攻擊、污染，導致軟件一經(jīng)編譯成功便帶有惡意病毒木馬，隨后所有該軟件的分發(fā)渠道全部帶毒。當用戶(hù)安裝使用軟件時(shí)，同時(shí)電腦也中了病毒木馬。

典型攻擊事例：

遠程終端管理軟件Xshell后臺被植入后門(mén)。Xshell是NetSarang公司開(kāi)發(fā)的安全終端模擬軟件，在2017年7月發(fā)布的軟件nssock2.dll模塊被發(fā)現有惡意后門(mén)代碼，并且該文件帶有合法簽名，因此能夠輕易繞過(guò)安全軟件的查殺。該事件導致10萬(wàn)用戶(hù)存在被盜取遠程登錄信息的風(fēng)險。

2.分發(fā)安裝環(huán)節
分發(fā)安裝環(huán)節是指在正常軟件的分發(fā)、下載、傳播、安裝等環(huán)節中，進(jìn)行病毒木馬的捆綁，使得用戶(hù)在安裝使用時(shí)，無(wú)形中也在電腦上安裝了病毒木馬。

17年6月，由安全廠(chǎng)商CheckPoint曝光的“FireBall（火球）”，通過(guò)野馬瀏覽器等多款流氓軟件傳播。用戶(hù)在安裝這些看似正常的軟件時(shí)，“FireBall（火球）”也同時(shí)安裝在了電腦上?！癋ireBall（火球）”傳播量級達到了千萬(wàn)級，會(huì )劫持瀏覽器的首頁(yè)及標簽頁(yè)，影響用戶(hù)的正常使用。

3.使用環(huán)節

使用環(huán)節指用戶(hù)在正常使用軟件時(shí)，軟件已被黑客惡意篡改，通過(guò)社工等方式，引導用戶(hù)進(jìn)行高風(fēng)險操作，導致電腦中惡意病毒木馬。

著(zhù)名勒索病毒GandCrab的傳播方式之一水坑攻擊則是個(gè)典型案例。黑客通過(guò)入侵Web服務(wù)器，將網(wǎng)頁(yè)內容篡改為亂碼。當用戶(hù)訪(fǎng)問(wèn)該網(wǎng)頁(yè)時(shí)，提示系統缺失字體組件，并且彈窗提示用戶(hù)下載安裝。而下載鏈接實(shí)際上為GandCrab勒索病毒的下載鏈接，一旦用戶(hù)下載運行，電腦上的文檔資料便會(huì )被加密，造成不可挽回的損失。

4.更新環(huán)節

更新環(huán)節指軟件安裝在用戶(hù)機器上后，日常更新時(shí)，黑客將更新鏈接劫持到惡意服務(wù)器上，導致下載的并不是的軟件的更新版本，而是黑客傳播的惡意木馬。由于很多軟件能夠自動(dòng)更新，因此該攻防方式讓廣大用戶(hù)防不勝防。

更新劫持是最為常見(jiàn)的供應鏈攻擊手段。17年在烏克蘭爆發(fā)的Petya勒索病毒則是通過(guò)更新劫持傳播。黑客首先攻擊了M.E.Doc，這是一家烏克蘭會(huì )計軟件廠(chǎng)商。之后黑客通過(guò)M.E.Doc更新服務(wù)器將惡意更新鏈接推送給用戶(hù)，導致Petya勒索病毒的大爆發(fā)。更新劫持供應鏈攻擊方式在國內也層出不窮。

在2018年12月中旬，騰訊御見(jiàn)威脅情報中心預警大范圍的木馬傳播，根據分析為某知名軟件后臺服務(wù)器被入侵，導致軟件更新時(shí)，被重定向至黑客服務(wù)器下載惡意木馬，進(jìn)而導致大面積感染，量級達到了10萬(wàn)以上。

一些攻擊者還會(huì )劫持網(wǎng)絡(luò )，模擬、偽造一些常見(jiàn)軟件（比如Flash、PDF閱讀器、Office補丁、Windows補丁等）的升級提示，欺騙終端用戶(hù)安裝。

5.供應鏈攻擊預防安全建議

a)軟件廠(chǎng)商

在供應鏈攻擊很多環(huán)節中，軟件廠(chǎng)商是黑客攻擊的主要目標，用戶(hù)是最終攻擊目標。因此，軟件廠(chǎng)商的安全措施就顯得極其重要。

使用可信、正規的安全開(kāi)發(fā)軟件，使用開(kāi)源開(kāi)發(fā)工具，也要注意官方渠道，或有能力審閱源碼。

產(chǎn)品發(fā)布前嚴格進(jìn)行安全檢測，通過(guò)后才可發(fā)布。

在可信的渠道商發(fā)布軟件產(chǎn)品，防止軟件被二次打包惡意捆綁。

b)用戶(hù)

盡管在供應鏈攻擊很多環(huán)節中，用戶(hù)無(wú)法阻止攻擊行為的發(fā)生。但是培養安全意識，養成良好的上網(wǎng)行為，即可有效阻止攻擊的有效落地。

盡量在官網(wǎng)等正規渠道，下載安裝軟件。

安裝安全軟件，并且保持打開(kāi)狀態(tài)。這樣當有惡意病毒木馬落地時(shí)，安全軟件也能進(jìn)行攔截查殺，阻止惡意行為的發(fā)生。對誘導關(guān)閉、退出殺毒軟件的說(shuō)法保持足夠警惕。

五、企業(yè)安全威脅防護建議

1.企業(yè)服務(wù)器端
企業(yè)常見(jiàn)的服務(wù)器包括包括郵件服務(wù)器、DNS服務(wù)器、VPN服務(wù)器，這些基礎設施的安全性往往會(huì )影響到企業(yè)重要業(yè)務(wù)。例如攻擊者可通過(guò)賬號爆破、弱口令密碼登錄、DoS攻擊、系統配置漏洞等方式入侵。

企業(yè)服務(wù)器常見(jiàn)的安全防護方案，是防火墻、IDS、IPS、殺毒軟件等防護產(chǎn)品，對風(fēng)險流量、郵件、文件告警、攔截過(guò)濾，同時(shí)要注意排查是否存在弱口令登錄漏洞等系統配置漏洞。

推薦企業(yè)用戶(hù)使用騰訊御界高級威脅檢測系統，御界高級威脅檢測系統基于騰訊反病毒實(shí)驗室的安全能力、依托騰訊在云和端的海量數據，研發(fā)出的獨特威脅情報和惡意檢測模型系統。通過(guò)對企業(yè)網(wǎng)絡(luò )出入網(wǎng)絡(luò )流量的智能分析，從中發(fā)現黑客入侵或病毒木馬連接內網(wǎng)的線(xiàn)索。

2.企業(yè)網(wǎng)絡(luò )客戶(hù)端

企業(yè)應部署客戶(hù)端防病毒軟件，讓企業(yè)網(wǎng)絡(luò )的所有節點(diǎn)都具有最新的病毒防范能力。推薦使用騰訊御點(diǎn)終端安全管理系統，管理員可以掌控全網(wǎng)的安全動(dòng)態(tài)，及時(shí)發(fā)現和清除病毒威脅。

3.漏洞修補

企業(yè)所有終端節點(diǎn)：包括服務(wù)器和客戶(hù)端都應及時(shí)安裝操作系統和主要應用軟件的安全補丁，減少病毒木馬利用系統漏洞入侵的可能性。企業(yè)內網(wǎng)使用騰訊御點(diǎn)終端安全管理系統可以全網(wǎng)統一安裝系統補丁，提升客戶(hù)端的安全性。

4.使用更高版本的操作系統，新版本操作系統的攻擊門(mén)檻相對較高。

如企業(yè)網(wǎng)絡(luò )升級部署Windows 10。

5.加強員工網(wǎng)絡(luò )安全防護意識，包括不限于：

不要輕易下載不明軟件程序

不要輕易打開(kāi)不明郵件夾帶的可疑附件

及時(shí)備份重要的數據文件

6.其它必要的防護措施：

關(guān)閉不必要的端口，如：445、135，139等，對3389，5900等端口可進(jìn)行白名單配置，只允許白名單內的IP連接登陸。

關(guān)閉不必要的文件共享，如有需要，請使用ACL和強密碼保護來(lái)限制訪(fǎng)問(wèn)權限，禁用對共享文件夾的匿名訪(fǎng)問(wèn)。

采用高強度的密碼，避免使用弱口令，并定期更換。

對沒(méi)有互聯(lián)需求的服務(wù)器/工作站內部訪(fǎng)問(wèn)設置相應控制，避免可連外網(wǎng)服務(wù)器被攻擊后作為跳板進(jìn)一步攻擊其他服務(wù)器。

來(lái)源：騰訊御見(jiàn)威脅情報中心