前言
2020年,随着新冠肺炎疫情的爆发,各行各业都遭受了很多冲击,但随着新冠肺炎疫情的发展,网络攻击并没有消失,反而越来越激烈。
360安全大脑整合了360安全卫士拦截、查杀勒索、挖掘、驱动木马等流行威胁趋势,总结了无文件攻击、横向渗透、钓鱼邮件等流行攻击手法,盘点了今年发生的重大数据泄露事件和最新披露的多个攻击面,总结汇报了2020年的流行威胁。
由于报告长度较长,我们将报告内容分为以下三个部分。如果您已经理解了某个部分的概念,您可以根据文章目录选择您感兴趣的内容进行阅读。
第一部分
勒索、采矿、驱动木马并驾齐驱,仍然是个人和企业用户面临的头号威胁
随着新冠肺炎疫情等热点新闻,钓鱼邮件数量激增。迫切需要提高员工的安全意识
第二部分
企业内网保护依然薄弱,密码弱,NDAY依然泛滥
无文件攻击、横向渗透等技术越来越成熟,病毒利用有明显提示
数据泄漏事件频发,配置管理不当是罪魁祸首
第三部分
挖掘新的攻击面,隔离网络,UEFI/BIOS、邮件服务器将成为下一个战场
团队介绍:
白泽实验室专注于360BOOTKIT/ROOTKIT木马分析追溯查杀,率先发现全球首例BIOS木马BMW、 UEFI木马谍影、引导区木马隐魂、双枪、多个大型暗刷僵尸网络黑雾、祸害等。涉猎原业务的基础上APT对委内瑞拉军方进行检测内瑞拉军方的检测和研究APT组织APT-C-43。涉猎原业务的基础上APT对委内瑞拉军方进行检测内瑞拉军方的检测和研究APT组织APT-C-43。
实验室为360安全大脑提供技术支持,同时为360安全卫士、360急救箱等产品提供核心安全数据和顽固木马查杀方案。
致谢:
在撰写本报告时,感谢您360政企安全集团安全运营中心支持本报告的部分数据。
一、 木马的流行趋势
1. 勒索病毒
勒索病毒仍然是大多数用户面临的头号威胁。在利益趋势下,越来越多的勒索病毒将矛头转向企业用户。越来越多的重要机构受到勒索病毒的攻击,富士康,Software AG, BancoEstado等国际知名企业被勒索病毒攻击。受攻击的行业包括服务业、制造业、零售业、互联网、政府能源等。受攻击的行业包括服务业、制造业、零售业、互联网、政府能源等。

勒索病毒以其简单粗暴的破坏力,给企业和个人造成了严重的经济损失。360安全脑统计2020年全年勒索病毒TOP10占比如下:

随着勒索病毒的发展,Ryuk、CL0P、DoppelPaymer、LockBit以勒索病毒为代表的双重勒索模式逐渐成为勒索的主流, 在加密数据文件之前,攻击者会窃取未加密的文件,迫使受害者通过泄露敏感数据来支付赎金。下图是DoppelPaymer部分勒索病毒攻击富士康后泄漏的敏感数据:

安全建议:
1, 通过及时修复系统补丁,加强密码管理,严格访问控制,安装杀毒软件,加强企业安全保护体系。
2, 备份重要数据,隔离保存备份文件,在受到勒索病毒攻击后,备份数据可以最大限度地减轻企业损失。
2, 备份重要数据,隔离保存备份文件,在受到勒索病毒攻击后,备份数据可以最大限度地减轻企业损失。

2. 挖矿木马


根据360安全脑,无文件攻击的分布如下。在全球范围内,中国、美国和俄罗斯仍然是网络攻击的重灾区
3. 劫持刷量

360安全大脑提醒用户不要轻信退出安全软件等诱导提示。安全软件可以及时拦截和杀死恶意软件,保护系统安全,不影响用户正常使用软件。如果您对安全软件的弹出窗口有任何疑问,应立即联系相关操作人员进行处理,并在确认无风险时使用此类软件。
与往年相比,驱动木马的盈利方式变化不大。但为了保护木马驱动,对抗杀毒软件做了很多改进:
1. 病毒更新周期缩短,更新频率从一个月缩短到一周。
2. 黑名单机制由限制杀软模块加载(文件过滤)转变为只允许系统模块加载的白名单机制,导致杀毒软件,ARK不能正常使用工具等安全软件。
3. 杀软驱动加载是通过加载模块的时间戳和签名来限制的。随着安全软件能力的提高和各种安全检测技术的出现,传统病毒的运行受到了极大的阻碍
内存加载

在数据操作过程中,我们发现很多这样的木马都是由核心驱动动动态加载的,比较典型BtinDrgn,通过内核驱动恶意动态库APC在系统过程中注入动态库C&C服务器通过DeviceIOControl控制驱动。

安全建议:
1, 不要相信病毒退出安全软件的提示。
2, 安装主流杀毒软件,结合海量安全大数据,360安全大脑可以实时准确地拦截各种欺诈、钓鱼和携带木马的网站。

4. 钓鱼邮件





通过钓鱼邮件传播的恶意软件类型主要是后门和秘密木马。因此,在下图中形成了经典的钓鱼邮件攻击模式。
360安全团队对钓鱼邮件攻击提出以下安全建议:
1, 收到来源不明的电子邮件时,应在确定电子邮件安全的前提下,通过安全软件确定电子邮件安全性的前提下查阅电子邮件内容。
2, 默认禁用office软件宏,当发现启用宏等诱导提示时,不要轻信,交安全部门检查后查阅。
4, 安装杀毒软件,打开电子邮件保护等功能。360安全卫士默认打开邮件安全防护功能,用户也可以在安全防护中心->相应的邮件安全防护设置。
二、 内网安全困境
1. 弱口令
在许多糟糕的内部网络环境中,许多管理员对密码强度意识不够深入,会使用弱密码管理机器(通常指易于暴力枚举或猜测的密码)或使用相同的密码管理多台机器。常见的弱密码组合如下:l 默认密码(admin,root等)
l 纯数组或字母组合(12345678,AAAAAAAA等)
l 键盘连续字母 数字组合(qwerty123)
l 一些常见的单词组合(iloveyou)

当攻击者通过系统漏洞或其他手段(如钓鱼邮件)进入企业内部网络时,攻击者将进一步渗透到内部网络的重要资产(如服务器渗透存储重要数据,窃取秘密商业信息),或进一步控制更多机器进行后续攻击(如控制更多机器挖掘或启动DDOS攻击)。
这时,攻击者能想到的最简单的攻击手法就是暴力破解。

除了通过组合信息生成弱密码字典外,更多的攻击者还将被控制机器内存中存储的账户密码转移到弱密码字典中。其中使用最多的是一种叫做Mimikatz可从内存中提取明文密码,散列,PIN码和Kerberos这些凭证将大大提高弱密码字典的爆破概率。
假设管理员在许多机器上使用相同的密码,密码强度符合密码复杂性的要求。管理员认为这是安全的,但如果其中一台机器被攻击者利用漏洞或其他手段打破,攻击者可以很容易地控制内网中使用相同密码的其他机器。这种方法也被用于许多僵尸网络。


2. 横向渗透
攻击者获得大量有效凭证后,会通过横向渗透攻击技巧批量发布恶意软件,包括创建远程服务、创建远程计划任务等。通过360安全脑,可以看到各种攻击技巧的比例如下:
占比最大的木马如下:
针对这种恶意攻击,360安全卫士于2020年5月推出了横向渗透防护功能 足企







