2018年Q1季度互聯網安全報告

05-03

概述：2018年Q1季度網路熱議話題分別是漏洞、流行有害樣本、勒索敲詐、攻擊事件、釣魚事件以及挖礦事件。其中漏洞類安全事件佔比最多高達25.20%，占幅超1/4，其次是流行的有害軟體事件，佔比有21.82%。其他具體典型類型中，敲詐勒索、釣魚事件、挖礦事件最為突出，佔比分別是14.94%，9.97%和3.74%。下面我們將對2018年Q1季度安全事件做詳細解讀。

前言

一、全國兩會：網路安全產業是戰略性新興產業，應加大投入力度，避免受制於人

2018年3月3日與3月5日，2018年全國兩會在中國北京人民大會堂正式開幕，來自全國的人大代表與政協委員為國家獻計獻策。在互聯網信息安全方面，政委及代表們踴躍發表自己的建議，持續為信息安全領域發聲。

政府提出全力推進「互聯網+」建設，而網路安全是「互聯網+」建設的基礎，沒有網路安全的基礎支撐，上層建設將會存在嚴重的安全隱患與風險。因此，有必要增加網路信息安全的投入，多方面促進網路安全產業發展。

在國家發展建設中，越來越依賴互聯網帶來的便利，許多政府基礎設施都需要網路進行支撐，如果這些基礎設施受到惡意攻擊，將會嚴重影響到社會穩定性。而在未來的信息戰爭中，這些基礎設施也將會成為被攻擊的重點目標，如何保護這些基礎設施的安全，如何保護互聯網安全成為政府及相關企業的首要問題，我們安全企業將積極配合政府，努力推動、大力發展網路信息安全，多維度提升國家互聯網安全能力，維護網路安全就是守護國家安全。

二、騰訊安全鑄就「大國重器」

中央電視台與工業和信息化部聯合製作的紀錄片《大國重器第二季》在央視上映，本季第六集《贏在互聯》首次將互聯網板塊納入其中。騰訊安全作為網路安全領域的唯一代表，在節目中展現出中國安全企業在核心技術領域的重要突破與創新成就。

2016年，騰訊成立七大安全聯合實驗室，包含反病毒實驗室、反詐騙實驗室、移動安全實驗室、科恩實驗室、玄武實驗室、湛瀘實驗室、雲鼎實驗室，深耕不同的互聯網安全技術方向，安全防範和保障範圍覆蓋系統、應用、信息、設備、雲等互聯網關鍵領域。

騰訊安全憑藉紮實的技術研發與經驗積累，近年來不斷在國際網路安全舞台上展露頭角，收穫眾多榮譽，在國際網路安全領域中突顯中國安全實力，提升中國在國際網路安全領域中的地位與話語權。騰訊安全儼然已經成為中國網路安全實力中最重要的先鋒力量之一。

2018年2月6日，國際權威評測機構AV-Comparatives(簡稱AV-C)2017 頒獎典禮上，騰訊電腦管家被授予了惡意軟體清除測試金獎，真實世界測試銀獎，最終蟬聯「年度榮譽產品獎」獎項，保持了國產殺軟最好成績。而騰訊手機管家則在2016年以來的AV-Test國際評測中，連續12次滿分通過，成為國內唯一一家獲此殊榮的安全廠商。

三、醫院再遭勒索病毒攻擊，企業提高網路安全意識迫在眉睫

在去年各類勒索病毒爆發的一年中，全球已有非常多的企業遭到勒索病毒攻擊，總計損失數百億。這些勒索病毒主要攻擊政府、高校、醫院、大公司等一些數據資料比較重要且有能力交付贖金的機構、企業，中國國內各別地區受災同樣較為嚴重。

經過一年勒索病毒的「洗禮」，企業、機構在陣痛中學習和成長，當我們以為他們已經學會如何保護自己的網路安全，如何保護自己企業中的核心虛擬數據時，勒索病毒再次來臨，事實證明，許多企業、機構的網路安全防禦能力依舊很薄弱。

2月24日，國內兩家省級醫院遭到勒索病毒攻擊，醫院的伺服器被勒索病毒感染，包括病歷資料、醫藥價格等許多重要的資料庫文件都被病毒加密破壞，黑客要求院方必須在六小時內為每台中招機器支付1個比特幣贖金，約合人民幣66000餘元。由於醫療系統癱瘓無法再提供使用，導致大批患者無法正常就醫，醫療大廳里人滿為患，醫院被迫啟動緊急預案緩解患者就醫壓力。

黑客之所以瞄準醫院是因為醫院的醫療系統里往往包含了極為龐大的患者數據，這些數據對醫院來說極為重要，一旦被加密，醫院支付贖金的可能性非常大。而黑客瞄準醫院的另外一個原因就是因為醫院自建的HIS安全防禦往往都比較薄弱，很容易攻破，這與企業、機構的領導層對網路安全認識不夠，IT部門安全意識普遍不足有關。當企業、機構的領導層面意識不到網路安全風險對企業發展可能造成嚴重損害甚至可能會因此導致企業破產時，這樣的安全風險就將持續存在。

企業可以在陣痛中學習經驗，但提升企業自身實打實的安全能力，才是企業真正的成長。

四、關於騰訊反病毒實驗室

騰訊反病毒實驗室作為耕耘在網路安全反病毒第一戰線上的一員，有責任主動擔負保障國家、民眾互聯網安全的社會責任。

騰訊反病毒實驗室成立於2010年，始終致力於互聯網安全防護、計算機與移動端惡意軟體檢測查殺、網路威脅情報預警等工作。通過「自研引擎能力、安全事件運營、哈勃分析平台」的「三劍合璧」，對」安全查殺能力、漏洞監測能力及病毒樣本分析「提供了全面、系統、一體化的產品運營式的標準化防護，為騰訊安全實力進一步提供了強大技術支撐，也為網民構建了安全的上網環境。

實驗室擁有專業的反病毒團隊，在自主反病毒引擎TAV研發上深耕多年，擁有多項自主知識產權病毒檢測專利。在AV-C、AV-TEST等國際安全評測中反超國際老牌殺毒軟體，多次取得大滿貫的成績，這也表明中國自主研發的殺毒引擎已經達到了世界先進水平。

一、PC安全方面

騰訊電腦管家英文版連續通過VB100, ICSA等認證測試，不僅2017年以來在賽可達測試連續獲得第一的成績，更是在AV-C 2017年國際評測中作為國內唯一參測產品，5項測試A+評級，比肩卡巴斯基，比特梵德，小紅傘國際知名廠商。

二、移動安全方面

在移動威脅檢測能力方面，騰訊手機管家則在2016年以來AV-Test國際評測中，連續12次滿分13分通過，國內獨樹一幟。

三、動態檢測方面

反病毒實驗室哈勃動態分析系統為網民提供了未知文件動態檢測能力，實時幫助網民檢測、分析可疑文件。

四、威脅情報方面

反病毒實驗建立了威脅情報監控平台，可實時監控、探測、挖掘互聯網安全威脅情報，及時向社會公眾報告網路安全風險，可在騰訊電腦管家官方網站「安全輿情」中獲取最新信息，也可以關注騰訊反病毒實驗室公眾號獲取最新信息資訊。

http://weixin.qq.com/r/ADpfR_bEg7v8raIk928S (二維碼自動識別)

第一章 PC端惡意程序

一、惡意程序攔截量與中毒機器量

（一）惡意程序攔截量

根據騰訊反病毒實驗室統計數據顯示，截止到2018年3月底，PC端Q1季度總計已攔截病毒4.5億次，平均每月攔截木馬病毒近1.5億次。相比2017年Q4季度整體病毒攔截量有所上漲，用戶前端病毒活躍量呈現回升趨勢。

本季度病毒攔截量最低月為2月，攔截量約為1.2億，相對於1月的1.75億次攔截量下降了0.55億次，這屬於正常波動範圍，這與2月統計天數少、國內春節假期有關，3月份病毒攔截量迅速回升到1.56億次。具體數值如：圖 1。

圖 1

本季度病毒攔截量相比2017年Q4季度病毒攔截量環比上漲4.25%，打破連續2個季度下降趨勢，預計後續季度會繼續回升。具體數值如：圖 2。

圖 2

2018年Q1季度相較於2017年Q1季度病毒攔截量同比下降了6.19%，同比惡意程序數量略有下降。具體數值如：圖 3。

圖 3

（二）中毒機器量

截止到2018年3月底，PC端本季度總計發現9,337萬次用戶機器中木馬病毒，平均每月為3,112萬中毒機器進行病毒查殺，本季度2月份中毒機器次數最低，約為2,616萬次。具體數值如圖 4。

圖 4

受2月節假日統計數據影響，2018年Q1季度相比2017年Q4季度中毒機器次數有所下降，降幅達到15.95%。這是從2017年Q3季度以來連續2個季度中毒機器次數下降。具體數值如圖 5。

圖 5

2018年Q1季度相較於2017年Q1季度中毒機器數量同比下降15.98%。從2015至2018年Q1數據來看，2017年Q1季度為近幾年中毒機器次數最多的一年，拉高了近幾年中毒機器次數的平均水平，而2018年Q1季度降回至平均線水平。具體數值如：圖 6。

圖 6

二、惡意程序詳細分類

（一）惡意程序種類及量級上的分類

2018年Q1季度根據獲取到的病毒樣本分析，從病毒種類上，木馬類佔總體數量的52.10%，始終是第一大種類病毒，但相較2017年Q4季度的56.55%環比下降了4.45%。Adware類（廣告軟體、強制安裝、收集用戶隱私、彈垃圾信息等）為第二大病毒類，佔總體數量的39.76%，相比2017年Q4季度的35.76%，Adware類病毒種類上還在持續上漲，漲幅達到4.00%。後門類為第三大病毒類，佔總體數量的6.40%，相比2017年Q4季度的5.91%增長了0.49%，增長變化並不明顯。

通過以上數據可以看出，相比2017年Q4季度，病毒種類及排名均無變化，僅在數量佔比上有所差別，屬正常波動範圍。具體數值如圖 7。

圖 7（病毒種類上劃分）

從病毒樣本的數量上來劃分，可以看到圖 8中排在第一位仍然是木馬類，佔了惡意程序總量的56.87%，相比2017年Q4季度的57.40%下降了0.53%，幾乎沒有什麼變化。排在第二位的是Adware病毒，佔總體數量的18.64%，相比2017年Q4季度的11.94%，Adware病毒攔截量明顯上升，漲幅達6.70%，從2017年Q4季度的是四位一躍成為第二位，增長趨勢明顯。PE感染型病毒類相對比較穩定，佔比從13.09%增長至14.15%，漲幅為1.06%。後門類病毒下降趨勢明顯，從2017年Q4季度的12.00%下降至4.14%。具體數值如圖 8。

圖 8（樣本量級上劃分）

從種類上感染型病毒的種類並不多，只佔了惡意程序種類中的0.34%，排在最後一位，但在病毒攔截量上感染型病毒排在第三位，這與感染型病毒傳播特點有關，也說明感染型病毒依舊十分活躍。

（二）木馬類的詳細分類

在第一大病毒類木馬類中，可以詳細劃分為多種類型的木馬病毒。有下載其他有害軟體的程序，勒索軟體，釋放有害軟體的程序，盜取個人信息，銀行盜號詐騙，社交軟體工具盜號，虛假反病毒軟體，DDoS攻擊軟體，遊戲盜號軟體，以及流量點擊等有害程序。

其中排名第一位的是下載類木馬，佔全部種類的33.82%，相比2017年Q4季度有所下降，下降幅度為5.61%，這已是連續3個季度持續下降，下載類木馬病毒呈持續收斂趨勢。

排在第二位的是銀行盜號類病毒，佔全部種類的15.16%，相比2017年Q4季度有的5.83%，上漲了9.33%，這表明2018年Q1季度銀行盜號類木馬病毒新增類別增長迅速，攻擊者正在開發新的病毒變種攻擊用戶網路銀行相關信息。

值得注意的是，在2017年Q4季度排名第二位的勒索類病毒種類在2018年Q1季度下滑至10.31%，下降了6.8%，降到第五位，新增的勒索類病毒變種呈現下降趨勢。具體數值如圖 9。

圖 9（木馬種類上劃分）

木馬病毒種類多說明病毒可能來自很多個不同的作惡團伙，但從木馬攔截量上可以看出哪一些木馬病毒最為活躍。從木馬病毒樣本的數量上來劃分，可以看到圖 10中排在第一位是勒索類病毒，佔全部攔截量的34.85%，相比2017年Q4季度的7.69%，上漲了27.16%，這種量級的增長說明勒索類病毒在2018年Q1季度十分活躍。

通過木馬病毒種類上的分布統計我們可以看到相比2017年Q4季度勒索病毒種類是下降的，但在攔截量上卻又是大幅度增長，實際上他們之間並不相互矛盾，通過反病毒實驗室的監測，在2018年Q1季度，有一類勒索病毒在互聯網上大勢傳播，可能與作惡團伙利用大型殭屍網路、增加傳播手段等各類方式在互聯網上發送木馬有關，最終導致傳播量級爆增，而實際上勒索病毒種類上並無太大變化。

排在第二位的是Dropper類木馬病毒（釋放有害文件木馬），佔全部攔截量的23.17%。Dropper類攔截量相比2017年Q4季度的68.63%下降了45.46%，此數據是受到勒索病毒增長量級的影響，但依舊超過其他類型病毒的攔截量。從木馬種類分布與木馬攔截量分布兩張數據圖的對比可以看到，Dropper類雖然在病毒種類上沒有下載類種類多，但在數量級上遠遠超過了下載類，這說明此類木馬傳播的最廣泛，數量最多，受害的用戶也最多。具體數值如圖 10。

圖 10（木馬量級上劃分）

（三）PE感染型病毒分類

從監測到的數據上來看，感染型病毒類別變化不大。感染型病毒種類上並不太多，但在用戶側仍然十分活躍，對比2017年Q4與2018年Q1季度數據，排名前兩位的仍然是Nimnul、Virut病毒，排名次序未發生調整，僅佔比發生小幅變化。

在感染型病毒中，排在第一位的是Virut病毒，佔全部感染型病毒的38.91%，相比2017年Q4季度上漲了2.57%，屬於正常波動範圍。排在第二位的是Nimnul病毒，佔全部感染型病毒的15.07%，相比2017年Q4季度下降了2.62%。排名第三位的是Sality，佔全部感染型病毒的9.09%，相比2017年Q4季度上漲了3.7%，超過了勒索類型的感染型病毒PolyRansom。具體數據如圖 11。

圖 11

由於感染型病毒不同於普通的木馬病毒，感染型病毒會通過修改宿主程序代碼的方式將惡意代碼寄生在宿主進程中運行，而每個文件被感染後的哈希（Hash，文件內數據的」信息摘要「）值都會變化，因此，被感染型病毒感染後的文件是無法進行」雲查殺「的。

因此，殺毒引擎能否修復被感染的文件，體現了反病毒引擎對感染型病毒修復的能力。目前騰訊反病毒實驗室的自研TAV反病毒引擎可以查殺並修復國際、國內流行的各類感染型病毒。

（四）非PE病毒分類

根據收集的非PE病毒樣本統計，2018年Q1季度中VBS樣本類排名依舊第一位，佔全部非PE病毒樣本的63.34%，相比2017年Q4季度下降了6.51%，已連續2個季度下降。此類VBS病毒會感染HTML網頁並插入VBS腳本代碼，而VBS代碼中包含了一個完成的可執行文件病毒，一旦HTML網頁被執行後，便會執行這段惡意的VBS代碼，釋放出一個惡意的可執行文件並載入運行。排名在第二位的是JS腳本類病毒，佔全部非PE病毒樣本的18.91%，相比2017年Q4季度上漲0.51%。OLE類病毒呈現較大上漲趨勢，在Q1季度中佔全部非PE病毒樣本的9.53%，相比2017年Q4季度上漲6.54%，這與本季度通過殭屍網路大規模發送惡意OLE病毒有關，具體數據如圖 12。

圖 12

三、中毒用戶地域分布

根據中毒PC數量統計，從城市分布來看城市排名變化不是特別大，依舊是互聯網較為發達的城市用戶中毒情況較多，排名TOP10的城市依舊是：深圳市、武漢市、廣州市、成都市、重慶市、北京市、濟南市、上海市、杭州市、長沙市，只是佔比發生小幅調整。

全國攔截病毒排名第一的城市依然為深圳市，佔全部攔截量的3.50%，相比2017年Q4季度下降0.88%。第二名為武漢市，佔全部攔截量的3.19%，相比2017年Q4季度下降了0.4%。第三名為廣州市，佔全部攔截量的3.16%，相比2017年Q4季度下降了0.82%。具體數據如圖 13。

圖 13

從省級地域分布數據來看，相比2017年Q4季度幾乎沒有什麼變化，相對比較平穩，前十五名省份排名都沒有變化。中毒PC數量最多的還是廣東省，排在全國第一省，佔全部攔截量的13.22%，與2017年Q4季度相比下降0.33%。河南省、山東省、江蘇省病毒攔截量小幅度增長，浙江省小幅下降。具體數據如圖 14。

圖 14

四、PC端敲詐勒索病毒詳情

敲詐勒索病毒是以敲詐勒索錢財為目的，使得感染該木馬的計算機用戶系統中的指定數據文件被惡意加密，造成用戶數據丟失。目前，由國外傳進國內的敲詐勒索病毒大多需要支付比特幣贖金才能進行解密，由於比特幣完全匿名流通，目前技術手段無法追蹤敲詐勒索病毒背後的幕後操縱者，這也使得敲詐勒索病毒從2013年後呈現爆髮式增長。

（一）敲詐勒索病毒攔截量

根據相關數據分析顯示，通過圖 15可以看到，本季度敲詐類病毒攔截量最大的是Blocker，此類敲詐病毒佔了所有敲詐類病毒的72.85%，相比2017年Q4季度上漲了63.23%。超過了利用感染傳播方式的PolyRansom敲詐勒索病毒。此敲詐勒索病毒的攔截量如此爆增可能是由於國外作惡團伙利用大型殭屍網路、增加傳播手段等各類方式有關。具體數據如圖 15。

圖 15

五、漏洞相關病毒詳情

（一）漏洞病毒分類詳情

漏洞病毒樣本主要分布在Windows、Linux、Android平台上，通過對獲取到的漏洞類型樣本統計，可以看到Windows平台佔比最多，其中非PE類型的漏洞樣本達到71.43%，PE類型漏洞樣本達到24.70%，Windows平台漏洞樣本總量可達到所有平台全部漏洞樣本總量的96.13%。Linux平台漏洞佔比為1.98%，Android平台漏洞佔比為1.88%。具體數值如圖 15。

圖 15

（二）Linux平台漏洞病毒詳情

在Linux平台上，排名第一的漏洞攻擊樣本名為Exploit.Linux.Lotoor，佔全部樣本中的50.66%，這類樣本實際上是利用Linux漏洞進行許可權提升，以便黑客得到更高的系統許可權，執行其他惡意操作。具體數值如圖 16。

圖 16

（三）Android平台漏洞病毒詳情

在Android平台上，排名第一的漏洞攻擊樣本名為Exploit.AndroidOS.Lotoor，佔全部樣本中的82.99%，此類名字與Linux平台上的名字相同，功能同樣也是為了提升病毒的系統許可權。由於Android是基於Linux內核開發並完善的，因此在內核層面他們是共通的。具體數值如圖 17。

圖 17

（四）Windows平台漏洞病毒詳情

在收集到的Windows平台漏洞樣本中，非PE類型漏洞病毒量級最大，佔到了所有漏洞樣本的71.43%。而在非PE類型漏洞病毒樣本中，可以分為多種類型的文件，其中，排名第一位的是OLE類，此類通常為複合文檔，以office文檔居多，佔全部非PE漏洞病毒的50.19%。排名第二位的是JS類，佔全部非PE漏洞病毒的37.85%。排名第三位的是SWF類，通常是指Adobe的Flash漏洞，佔全部非PE漏洞病毒的5.60%。具體數值如圖 18。

圖 18

Windows平台上的PE類型漏洞樣本達到24.70%，在這部分漏洞樣本中以排名第一位的名為CVE-2012-0158，此漏洞是較老的漏洞，但根據收集到的樣本分析，依舊十分活躍。具體數值如圖 19。

圖 19

第二章 Android端惡意程序

一、惡意程序檢測量

2018年Q1統計Android樣本數據顯示，總計已檢測Android病毒樣本量210多萬個，平均每月檢測Android病毒樣本70萬個。通過數據可以看到Android病毒樣本從1月至3月整體趨勢在緩慢下降，其中2月降幅最大，3月迅速回升。相比2017年Q4季度整體病毒樣本數量下降34.37%。具體數值如：圖 23。

圖 23

二、惡意程序詳細分類

（一）惡意程序種類及量級上的分類

根據2018年Q1季度獲取到的Android病毒樣本分析，從病毒種類上來看整體排名並沒有變化，排名第一位的仍然是PUA類（灰色軟體），佔總體病毒量的49.86%，相比2017年Q4季度上漲了3.63%，此類病毒量已經連續多季度上漲。SMS類為第二大病毒種類，佔總體數量的17.26%，相比2017年Q4季度上漲了0.46%。Spy類為第三大病毒種類，佔總體數量的10.13%，相比2017年Q4季度上漲了3.54%。具體數值如圖 24。

圖 24（病毒種類上劃分）

從Android病毒樣本的數量級上來劃分，可以看到排在第一位的仍然是PUA，佔全部Android病毒數量的52.98%，相比2017年Q4季度上漲了6.95%，本季度Android端流氓PUA病毒持續上漲。排在第二位的Dropper相比2017年Q4季度漲幅較大，佔全部Android病毒數量的26.82%，相比2017年Q4季度上漲了15.27%，此Dropper類病毒主要行為是偽裝成其他正常軟體，釋放出其他流氓軟體在後台靜默安裝，會導致用戶Android機上被安裝多種推廣軟體。排在第三位的是SMS類病毒，佔全部Android病毒數量的4.90%，相比2017年Q4季度上漲0.75%。具體數據如圖 25。

圖 25（病毒量級上劃分）

第三章安全輿情信息

一、本季度安全輿情量情況

2018年Q1季度網路熱議話題分別是漏洞、流行有害樣本、勒索敲詐、攻擊事件、釣魚事件以及挖礦事件。其中漏洞類安全事件佔比最多高達25.20%，占幅超1/4，其次是流行的有害軟體事件，佔比有21.82%。其他具體典型類型中，敲詐勒索、釣魚事件、挖礦事件最為突出，佔比分別是14.94%，9.97%和3.74%。

相較於2017年Q4季度，佔比最大的漏洞安全、流行有害軟體、敲詐勒索、攻擊類事件熱度有不同幅度下降，分別下降了0.87%，1.73%，1.33%，1.12%，但仍然是本季度最熱安全話題。垃圾郵件、釣魚事件、挖礦事件、雖然佔比依然靠後但是都有不同程度的增幅，分別增長了0.53%，2.02%，0.57%。受國內春節假期影響，整體安全話題小幅下降。

附錄1 2018年Q1季度網路安全事件盤點

一、漏洞安全事件

（一）微軟Meltdown和Spectre漏洞

1月4日，國外安全研究機構公布了兩組CPU漏洞：Meltdown（熔斷）和Spectre（幽靈）。由於漏洞嚴重而且影響範圍廣泛，一經披露就引起了全球範圍內的廣泛關注。披露內容顯示，Meltdown漏洞影響幾乎所有的Intel CPU和部分ARM CPU，而Spectre則影響所有的Intel CPU和AMD CPU，以及主流的ARM CPU。從個人電腦、伺服器、雲計算機伺服器到移動端的智能手機，都受到這兩組硬體漏洞的影響，獲將造成用戶賬號、郵箱等信息泄漏，影響極為廣泛。漏洞公布當天，微軟就發布了針對Windows系統的補丁修復程序，但補丁程序本身還存在諸多問題，用戶進行更新操作後，可能會讓部分系統在特定場景下性能下降，或將和部分軟體（安全軟體，遊戲等）不兼容引發系統藍屏。

最近統計來看，至少有139個惡意軟體利用了這些CPU漏洞，可能使攻擊者繞過內存隔離機制並訪問內存內容，例如密碼、加密密鑰和其他私密信息等敏感數據。建議廣大用戶及時更新操作系統、WEB瀏覽器、防病毒軟體和其他軟體。

針對此次事件，騰訊反病毒實驗室哈勃分析系統推出了Meltdown&Spectre檢測工具，幫助用戶快速方便的完成漏洞探測，及時發現隱患，將風險降到最低。

（二）Adobe Acrobat Reader DC Document ID遠程代碼執行漏洞披露（CVE-2018-4901）

在Adobe Acrobat Reader DC 2018.009.20044中打開特製PDF文檔時，嵌入在PDF文件中的特定Javascript腳本可能導致文檔ID欄位在無界限複製操作中使用，從而導致基於堆棧的緩衝區溢出。這種堆棧溢出會導致返回地址覆蓋，這可能會導致任意代碼執行。為了觸發此漏洞，受害者需要打開惡意文件或訪問惡意網頁。

（三）AMD已確認四類漏洞的有效性，並且影響了AMD Ryzen和EPYC系列處理器

3月12日，AMD已正式確認RyzenFall，MasterKey，Fallout和Chimera四類漏洞確實存在，這些漏洞波及EPYC、Ryzen產品。

其中，RyzenFall，MasterKey，Fallout是由於AMD架構整合的一個安全處理器和集成內存控制器設計的缺陷造成的，使用的是系統共享內存，而不是自己單獨的物理內存空間，導致攻擊者可繞過安全檢查、公共和私有密鑰泄露、以及打通虛擬機和主機；Chimera漏洞會影響管理處理器，內存和外設之間通信的AMD晶元組（主板組件），攻擊者可以執行代碼並將虛假信息傳遞給其他組件。

二、挖礦事件

（一）RubyMiner惡意軟體家族用於部署挖掘門羅幣的挖礦軟體

RubyMiner惡意軟體家族針對全球的PHP、Ruby、IIS等Web伺服器發起大規模攻擊，攻擊者通過多個漏洞在伺服器上部署用於挖掘門羅幣的挖礦軟體XMRing，估計有30%的網路受此次攻擊影響，其中大部分在美國，德國，英國，挪威和瑞典。此次攻擊利用一個比較老的Ruby on Rails中的遠程代碼執行漏洞CVE-2013-0156，攻擊並不複雜，黑客也沒有試圖隱藏自己的行動，而是著眼於在最短時間內感染大量伺服器。

（二）大量門羅幣礦工利用 Apache CouchDB 的漏洞進行惡意挖礦

Apache CpuchDB是一個開放源碼資料庫管理系統，皆在將可擴展的體系結構與易於使用的界面結合，該系統存在兩個漏洞，Apache CouchDB JSON遠程特權提升漏洞（CVE-2017-12635）和Apache CouchDB _config命令執行（CVE-2017-12636）。由於CouchDB的解析器存在差異，利用這些漏洞可以為攻擊者提供重複密鑰，從而允許他們在系統中訪問控制許可權，包括管理許可權，還可以使用這些函數來執行任意代碼。最近發現大量門羅幣礦工利用這些漏洞進行惡意挖礦。

（三）大規模 Smominru 加密貨幣殭屍網路影響到百萬機器

Smominru殭屍網路由遍布俄羅斯、印度和台灣的526000台受感染的基於Windows的伺服器組成，該殭屍網路大約是Proofpoint 5月份確定的加密貨幣殭屍網路Adylkuzz的兩倍，與Adylkuzz一樣，Smominru也使用相同的NSA漏洞EternalBlue作為攻擊工具來感染計算機，並將它們作為挖掘Monero加密貨幣的殭屍網路的一部分。被感染的伺服器性能會有所下降。

（四）門羅幣挖礦木馬WannaMiner利用「永恆之藍」漏洞傳播

三月報出WannaMiner門羅幣挖礦木馬利用「永恆之藍」漏洞進行傳播。該木馬將染毒機器構建成一個健壯的殭屍網路，其支持內網自更新，並且以一種相對低調的獲利方式「挖礦」來長期潛伏。儘管「永恆之藍」漏洞在2017年5月WannaCry事件爆發時，很多機器已經安裝了相應補丁，但仍有部分企業未安裝補丁或者部署防護類措施。由於其在內網傳播過程中通過SMB進行內核攻擊，可能造成企業內網大量機器出現藍屏現象。

（五）黑客利用舊漏洞將Linux伺服器變成加密貨幣礦工

黑客組織利用Cacti「Network Weathermap」插件中一個已有5年歷史的漏洞，在Linux伺服器上安裝了Monero礦工，賺了近75,000美元。該漏洞是Network Weathermap中的editor.php中的跨站腳本漏洞，允許遠程攻擊者通過map_title參數注入任意web腳本或HTML。

三、勒索軟體

（一）GandCrab勒索軟體使用兩個開發工具包進行分發

GandCrab於2018年1月26日首次被發現，與以往勒索軟體不同的是，一方面它是由RIG EK和GandSoft EK兩個開發工具包進行分發，這種使用攻擊工具包進行推送勒索軟體的方式並不常見；另一方面它將用戶機器上的文件加密後不是要求使用主流的比特幣進行付款，而是要求使用一種不常見的加密貨幣——Dash貨幣來支付贖金。

GandCrab通過RIG攻擊工具包進行發布，該工具包使用Internet Explorer和Flash Player中的漏洞啟動基於JavaScript、Flash和VBScript的攻擊，將惡意軟體分發給用戶。GandCrab同時也通過GrandSoft發布，它是一個在2012年首次出現的漏洞攻擊工具包，利用了Java Runtime

Environment中的一個漏洞，該漏洞允許攻擊者遠程執行代碼，並在這種情況下用於分發GandCrab。

（二）HC7 Planetary

Ransomware可能為首個接受Ethereum的勒索軟體

一月傳播的HC7 Palnetary勒索軟體接受以Ethereum作為支付贖金的方式，這可能是首個接受Ethereum的勒索軟體。HC7 Planetary勒索軟體是由攻擊者使用遠程桌面侵入網路，獲得訪問網路的許可權後，對所能訪問到的網路上的所有機器安裝上的。受攻擊者可以以一個設定的贖金價格解密單個機器，也可以以另一個價格解密整個網路上的機器。

四、釣魚事件

（一）「人面馬」組織對中東地區進行攻擊

「人面馬」組織（APT34）是一個來自於伊朗的APT組織，主要攻擊目標在中東地區，對政府、金融、能源、化工、電信等各行業都進行過攻擊，主要使用魚叉釣魚進行攻擊，誘餌文件主要為郵件附件的office文檔、chm等，附件文檔中包含惡意宏代碼、腳本，或C#、Java編寫的遠控木馬等。

APT34對中東政府進行的一次攻擊活動採用的是發送以「訂單」為主題的釣魚郵件的方式，郵件附件的doc文檔中嵌有2個javascript惡意腳本腳本，這2個腳本以「訂單列表」名字命名，且具有為xls、doc圖標，誘使收件人點擊查看。一旦雙擊這2個「訂單列表」，嵌入的js腳本即直接運行，它將下載「Adwind Rat」的jar遠控木馬。

（二）針對平昌奧運會的魚叉式釣魚攻擊

攻擊者發送以「由農林業部和平昌冬奧會組織.doc」為附件的釣魚郵件給攻擊目標，這些目標組織大多與平昌奧運會有一定的聯繫——提供基礎設施或擔任了活動支持等。攻擊者偽造發送地址為韓國國家反恐主義委員會的電子郵件地址，使用韓語以及與奧運會有關的附件名，誘使收件人點擊附件。附件包含一個混淆的惡意宏代碼，一旦啟用宏，該宏代碼將啟動其中的powershell腳本，下載並執行遠程木馬。

五、流行木馬

（一）木馬利用符號鏈接文件(.SLK)偽裝成正常文檔進行傳播

對於大多數用戶而言，.SLK文件在Microsoft

Office軟體中被識別為Excel文件。它也被各種硬體和移動平台中的其他應用所認可。文件作用旨在將電子表格和資料庫之間的數據鏈接起來。與Excel .XLS / .XLSX文件類似，這些.SLK文件也支持執行惡意命令的功能。

（二）木馬Evrial使用剪貼板竊取比特幣

木馬CryptoShuffle是一個能夠讀取剪貼板並修改在剪貼板里找到的加密貨幣地址的惡意軟體，後來被人利用，包裝提供一些其他業務。該服務平台稱為Evrial，該產品由.NET惡意軟體樣本組成，能夠從瀏覽器、FTP客戶端、Pidgin竊取密碼，並且可以動態修改剪貼板，以便將任何複製的加密貨幣地址更改為任何想要的地址。

（三）FlawedAmmyy使用合法軟體的泄露源代碼來窺視用戶

Ammyy Admin是一種流行的遠程桌面訪問工具，企業和用戶用它來處理Microsoft

Windows機器上的遠程控制和診斷。但是，近期新發現的FlawedAmmyy木馬則是建立在Ammyy Admin第3版的泄漏源代碼之上，使攻擊者能夠偷偷窺探那些被安裝的軟體。該木馬能夠完成遠程桌面控制，為黑客提供對系統的完全訪問許可權，並有機會竊取文件，憑證等等。惡意軟體也有可能濫用音頻聊天。

六、攻擊事件

（一）SamSam Ransomware攻擊醫院、ICS公司等

一月SamSam勒索軟體攻擊了印第安納州的兩家醫院，以及美國一家ICS（工業控制系統）公司，其中印第安納州的漢考克健康醫院表示儘管有備份系統，但從備份中恢復所有系統需要幾天甚至幾周，因此他們已支付約5.5萬美元的贖金以期受攻擊的系統能更快的投入運行。

SamSam的攻擊者通常會掃描互聯網上具有開放RDP連接的計算機，攻擊者通過暴力破解這些RDP端點，擴散到更多的計算機。一旦他們在網路上擁有足夠多的存在，攻擊者就可以部署SamSam發起攻擊。這對於運行遠程RDP連接的計算機的用戶是一個警示，用戶應該對這樣的計算機設置強大而獨特的密碼保護，以對抗SamSam類別的勒索軟體的攻擊。

（二）勒索軟體襲擊了Ontario的兒童救助組織

二月發現勒索軟體攻擊了兩個Ontario兒童救助組織，該些組織擁有價值1.23億美元的兒童護理數據，其中一家代理機構——牛津縣兒童救助協會發現攻擊本地伺服器後，支付了5000美元贖金來贖回敏感數據。

（三）薩克拉門托投票記錄資料庫被勒索軟體襲擊

二月薩克拉門托投票記錄資料庫被勒索軟體襲擊，包含了1950萬個加州選民的53000條歷史選民記錄。目前接受到的消息是，該託管機構拒絕支付比特幣贖金。選民記錄里包含了姓名、出生日期、電話號碼和政治派別。這些信息將會受到泄露。

（四）多個組織攻擊平昌冬奧會基礎設施

二月正值冬奧運會期間，許多惡意組織、惡意木馬試圖攻擊奧運會基礎設施或系統，竊取系統數據或其他敏感數據。目前發現的惡意軟體有Gold Dragon,Brave

Prince,Ghost419和Running

Rat等。目前黑產盛行，各大活動主辦方需注意網路安全，謹防被黑客攻擊，導致數據泄露或其他安全事件。

（五）黑客攻擊印度電力公司（UHBVN）

3月21日，黑客獲得了印度Uttar Haryana Bijli Vitran

Nigam（UHBVN）電力公司的計算機系統訪問權，竊取了客戶的賬單數據。攻擊者要求支付1個RS Core，或1000萬盧比，用於恢複數據，這相當於大約15萬美元。據稱這些數據是通過從日誌和其他來源輸入來恢復的。這個賬單數據的丟失意味著電力公司將無法向其客戶發送準確的賬單以用於當前的消費以及之前欠缺的任何賬單。

（六）Hidden Cobra 攻擊土耳其金融機構

三月Hidden Cobra通過包含惡意Microsoft

Word文檔的魚叉式電子郵件對土耳其金融機構進行攻擊，攻擊目標主要包括了政府控制的主要金融機構，以及另一個涉及金融和貿易的土耳其政府組織。所使用的惡意文檔包含了一個嵌入的Adobe Flash CVE-2018-4878漏洞利用程序，允許攻擊者執行任意植入代碼。

（七）Github遭受最大的DDoS攻擊

Github遭受了迄今為止記錄的最大的DDoS攻擊，所遭受的攻擊的第一部分達到了1.35Tbps，之後又出現了另一個400Gbps的峰值。攻擊者通過公共互聯網發送小位元組的基於UDP的數據包請求到配置錯誤的memcached伺服器，作為回應，memcached伺服器通過向http://Github.com發送大量不成比例的響應，可達到15個位元組的請求來觸發134KB的響應，甚至更大數據量響應的效果，形成巨大規模的DDoS攻擊。

memcached 是一個免費且開源的高性能分散式內存緩存系統，旨在通過減輕資料庫負載來加速動態Web應用程序，近期攻擊者正在濫用memcached進行DDoS放大攻擊。攻擊者通過埠11211向目標伺服器發送欺騙受害者IP地址的請求，發送到伺服器的請求由幾個位元組組成，而響應可能會大幾萬倍，導致擴大攻擊。本月的熱門DDoS事件——github遭受最大的DDos攻擊即是利用memcached進行的DDoS放大攻擊。

（圖片來源於githubengineering）

七、垃圾郵件

（一）大量垃圾郵件利用Adobe

Flash Player漏洞攻擊未打補丁的用戶

二月大量垃圾郵件利用Adobe Flash Player的漏洞CVE-2018-4878進行傳播，攻擊者發送帶有短鏈接的惡意Word文檔的電子郵件，在下載並打開Word文檔後，利用Flash漏洞2018-4878打開命令行，稍後用鏈接到的惡意域的惡意shellcode遠程注入命令，下載一個名為m.db的DLL文件，並使用regsvr32進程執行。

（二）Sanny信息竊取木馬變種針對政府機構分發惡意軟體

3月中下旬，攻擊者通過魚叉式網路釣魚攻擊將SANNY惡意軟體變種分發給全球多個政府。攻擊分多個階段進行，每個階段都從攻擊者的伺服器下載，SANNY變種還增加了命令行規避技術，感染運行Windows 10的系統的能力，以及使用最近的用戶帳戶控制（UAC）旁路技術。

八、數據泄露

（一）瑞士電信Swisscom數據泄露，80萬用戶受影響

二月據瑞士電信公司透露，其客戶數據系統遭到破壞，大約80萬客戶的信息被盜用，客戶姓名、地址、電話號碼和出生日期都被曝光。電信公司稱，系統沒有被黑客攻擊，而是「盜用銷售合作夥伴的訪問權」導致信息泄露。

（二）UDPoS惡意軟體通過DNS伺服器泄露信用卡數據

二月UDPoS惡意軟偽裝成LogMeln服務包，通過DNS伺服器泄露數據，由於它大量使用基於UDP的DNS流量而得名。該惡意軟體僅有88KB大小，但仍具有一個多線程應用程序的監視器組件，該應用程序會在其初始化代碼完成後，創建五個不同的線程。該惡意軟體的攻擊目標可能是零售商、酒店和餐館等大型連鎖店的POS終端。

（三）紐約一家醫院伺服器受攻擊，約13.5萬公民個人信息遭泄露

三月紐約州奧爾巴尼的一家醫院的伺服器被入侵，攻擊者在未經授權的情況下獲得了伺服器訪問許可權，伺服器發生了數據泄露，約13.5萬公民的信息，包括姓名、出生日期、地址、服務日期、診斷代碼、保險信息等個人信息遭到了泄漏。

（四）劍橋分析公司私自收集超過5000萬Facebook用戶的個人資料

據外媒報道，新興的選民剖析公司劍橋分析公司從未獲得他們許可的超過5000萬用戶的Facebook個人資料中收集私人信息，這一違規行為使得該公司能夠利用美國選民的大量私人社交媒體活動開發相關技術，為2016年總統的競選活動提供支持。Facebook表示這是由於允許第三方開發者訪問用戶數據並盲目相信劍橋分析公司和其他參與數據收集公司所造成的，並承諾解決所有問題，以防止第三方開發者濫用Facebook的API。

註：報告內安全事件配圖均來自網路。

2018年Q1季度互聯網安全報告

目錄

前言

第一章 PC端惡意程序

第二章 Android端惡意程序

第三章 安全輿情信息

附錄1 2018年Q1季度網路安全事件盤點

第三章安全輿情信息