近日,奇安信安服团队发布了《2019年网络安全应急响应分析报告》。报告显示,2019年全年,奇安信安服团队共参与和处置了1029起全国范围内的网络安全应急响应事件。其中,通过对政府机构、大中型企业安全事件攻击类型进行分析,木马病毒攻击占据半数以上,达到50.4%。攻击者利用木马病毒对办公系统进行攻击,通常会产生大范围感染,造成系统不可用、数据损坏或丢失等现象。
进一步分析攻击者常用的木马类型,常见木马排名前三的为勒索病毒、挖矿木马以及一般木马,分别占比32.1%、15.7%、6.4%。其中,勒索病毒常见于GlobeImposter勒索软件、Wannacry勒索软件、Crysis勒索软件、GandCrab勒索软件等。
除了常见的挖矿木马和勒索病毒之外,“永恒之蓝下载器”木马在2019年3、4月份爆发。该木马是一个利用多种方式横向传播的后门及挖矿木马,其初期利用某软件的升级通道进行下发传播,随后在利用弱口令漏洞等方式在内网横向移动并实现持久化驻留,完成上传用户信息、挖矿等攻击行为。该木马爆发力强,传播速度,2个小时内感染用户便达到10万。针对该情况,奇安信集团安服联合奇安信安全能力中心发布了“永恒之蓝下载器”专杀工具,有效遏制了“永恒之蓝下载器”病毒在企业内网中的传播,相关攻击事件开始迅速下降。
从图中曲线可以看出,受“永恒之蓝下载器”木马的爆发的影响,勒索病毒和挖矿木马相关的攻击事件也在3、4月份到达顶峰。
通过勒索病毒和挖矿木马攻击等攻击手段,攻击者主要将其用于从事黑产活动和敲诈勒索,进而实现牟取暴利等非法目的。数据显示,2019年奇安信安服团队的应急事件中,30%为黑产活动,25.6%位敲诈勒索。
据奇安信安服团队判断,从事黑产活动的攻击者通过黑词暗链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利;而从事敲诈勒索的攻击者利用勒索病毒感染政府机构、大中型企业终端、服务器,对其实施敲诈勒索。
