2020年,疫情沖擊了各行各業(yè),線上工作需求激增,遠(yuǎn)程上課、居家辦公等一度成為主流,同時(shí)也讓終端安全防護(hù)面臨更多的挑戰(zhàn)與考驗(yàn)。
在此,火絨根據(jù)“在線支持與響應(yīng)平臺(tái)”、“火絨威脅情報(bào)系統(tǒng)”捕獲到的威脅數(shù)據(jù),制作并發(fā)布本篇《火絨關(guān)于2020年度終端安全研究報(bào)告》,總結(jié)本年度互聯(lián)網(wǎng)終端安全狀況,分析全年威脅趨勢(shì),為用戶提供可行的防護(hù)建議。
一、病毒攻勢(shì)不減 企業(yè)個(gè)人受威脅類型不同
對(duì)于個(gè)人用戶來(lái)說(shuō),以Rootkit病毒為主。根據(jù)平臺(tái)數(shù)據(jù)顯示,個(gè)人用戶遭遇到的Rootkit病毒占所有病毒數(shù)的58%,惡意行為多以鎖定瀏覽器首頁(yè)為主,其較為出名的家族MLXG、SysRoll等更是在全年不間斷更新與安全廠商對(duì)抗的技術(shù)。
對(duì)于企業(yè)用戶而言,蠕蟲(chóng)挖礦類問(wèn)題和勒索病毒為最主要的安全問(wèn)題。兩者在所有病毒問(wèn)題中占比均在1/4左右。無(wú)論是蠕蟲(chóng)挖礦還是勒索病毒,都在一直持續(xù)傳播或更新技術(shù)模塊,并會(huì)利用內(nèi)網(wǎng)滲透的攻擊模式,尤其給企業(yè)帶來(lái)巨大的安全威脅。
二、漏洞攻擊持續(xù)覆蓋全網(wǎng) SMBGhost成在野攻擊新興漏洞
無(wú)論個(gè)人版用戶還是企業(yè)版用戶,漏洞威脅一直都是主要的安全議題之一。2020年我們對(duì)漏洞修復(fù)、防御方面也在持續(xù)跟進(jìn),幫助用戶預(yù)防、抵御安全風(fēng)險(xiǎn)。
對(duì)于2020年爆出的漏洞來(lái)說(shuō),在野攻擊最為活躍的漏洞為CVE-2020-0796,由于該漏洞極易被黑客利用,所以在爆出后不久就被黑客加入到了攻擊模塊中,給互聯(lián)網(wǎng)安全造成了一定的影響。
三、廣告軟件無(wú)底線推廣 近98%通過(guò)下載器傳播
2020年整年,廣告軟件問(wèn)題尤為凸顯。從平臺(tái)數(shù)據(jù)來(lái)看,廣告軟件絕大部分通過(guò)捆綁推廣的方式傳播,其中,97.88%的廣告軟件來(lái)自下載站下載器推廣,僅有0.21%是用戶主動(dòng)下載安裝。此外,2020年有超過(guò)1/4的用戶電腦遭受過(guò)廣告軟件的侵?jǐn)_。
廣告軟件除了瘋狂彈窗外,還會(huì)靜默推廣其它軟件、替換瀏覽器中的各類設(shè)置、暗刷指定網(wǎng)站的關(guān)鍵字搜索排名、劫持流量,甚至收集用戶個(gè)人隱私數(shù)據(jù)、云控“復(fù)活”等。基于廣告軟件無(wú)底線傳播侵?jǐn)_用戶,火絨在2020年也將對(duì)其查殺策略調(diào)整為徹底查殺。
個(gè)人終端病毒威脅
根據(jù)火絨平臺(tái)數(shù)據(jù)統(tǒng)計(jì),2020年個(gè)人用戶遇到的主要病毒問(wèn)題是Rootkit(內(nèi)核后門(mén)病毒)。Rootkit病毒通常通過(guò)灰色軟件(激活工具、私服登錄器、外掛程序等)進(jìn)行傳播,其惡意行為主要是鎖定用戶首頁(yè)。由于部分個(gè)人用戶對(duì)灰色軟件存在“剛需”,導(dǎo)致給此類病毒提供了傳播渠道。2020年個(gè)人終端主要的安全問(wèn)題統(tǒng)計(jì)情況,如下圖所示:
個(gè)人終端主要安全問(wèn)題
Rootkit
Rootkit(內(nèi)核后門(mén)病毒)可以對(duì)操作系統(tǒng)內(nèi)核進(jìn)行劫持,通過(guò)隱藏病毒進(jìn)程、注冊(cè)表、文件相關(guān)操作等方式與安全軟件進(jìn)行對(duì)抗。常見(jiàn)的Rootkit會(huì)鎖定用戶首頁(yè)、劫持流量或者下發(fā)其他惡意模塊。2020年Rootkit相關(guān)報(bào)告,見(jiàn)附錄報(bào)告列表。
2020年較為活躍的Rootkit家族有兩個(gè),MLXG和SysRoll。根據(jù)火絨"在線支持和響應(yīng)平臺(tái)"數(shù)據(jù)統(tǒng)計(jì),在2020年MLXG和SysRoll病毒問(wèn)題趨勢(shì),如下圖所示:
2020年MLXG, SysRoll活躍趨勢(shì)圖
MLXG病毒主要存在于暴風(fēng)激活、KMS、小馬激活等激活工具中,當(dāng)用戶使用上述激活工具后,瀏覽器首頁(yè)會(huì)被強(qiáng)制鎖定為帶推廣號(hào)的網(wǎng)址導(dǎo)航頁(yè),并使用內(nèi)核級(jí)對(duì)抗手段使安全軟件無(wú)法正常運(yùn)行。2020年出現(xiàn)的MLXG病毒,可能是激活工具的緣故,影響的范圍較廣,每次更新后相關(guān)的問(wèn)題數(shù)會(huì)明顯上升,并且在火絨更新專殺工具后迅速下降。
SysRoll病毒主要通過(guò)傳奇私服登錄器,傳奇私服輔助等進(jìn)行傳播,本身較為小眾, 影響的范圍較小,但也一直活躍和更新。感染SysRoll病毒的用戶瀏覽器首頁(yè)會(huì)被強(qiáng)制鎖定到傳奇私服的頁(yè)面。
激活工具、私服登錄器和外掛輔助等灰色軟件是病毒傳播的一個(gè)重要途徑。這些灰色軟件會(huì)誘導(dǎo)用戶在安裝時(shí)先退出或卸載安全軟件,從而躲避殺軟查殺。當(dāng)這些內(nèi)核后門(mén)病毒加載執(zhí)行后,病毒模塊便會(huì)受到病毒驅(qū)動(dòng)的保護(hù),普通掃描就無(wú)法查殺病毒文件。所以當(dāng)用戶遇到頑固的鎖首病毒時(shí),可以嘗試使用火絨提供的專殺工具配合全盤(pán)查殺清除病毒。
企業(yè)終端病毒威脅
對(duì)于企業(yè)用戶來(lái)說(shuō),2020年所遇到的安全問(wèn)題主要集中在蠕蟲(chóng)挖礦問(wèn)題和勒索病毒問(wèn)題。此類病毒問(wèn)題常見(jiàn)的傳播手段主要有:系統(tǒng)漏洞、弱口令暴破、共享目錄傳播等。由于部分企業(yè)業(yè)務(wù)需要員工遠(yuǎn)程辦公,通常將一些運(yùn)行在本地服務(wù)器中的業(yè)務(wù)發(fā)布到公網(wǎng)中。如果這類服務(wù)器存在上述安全風(fēng)險(xiǎn)就有可能被攻陷,從而淪為攻擊內(nèi)網(wǎng)的跳板。
通過(guò)平臺(tái)數(shù)據(jù)統(tǒng)計(jì),我們發(fā)現(xiàn)2020年企業(yè)遇到的安全問(wèn)題中,因?yàn)榇祟悊?wèn)題而導(dǎo)致內(nèi)網(wǎng)淪陷的情況屢見(jiàn)不鮮。2020年相關(guān)報(bào)告,見(jiàn)附錄報(bào)告列表。2020年企業(yè)終端主要安全問(wèn)題,如下圖所示:
2020年企業(yè)終端主要安全問(wèn)題
蠕蟲(chóng)挖礦
挖礦病毒通過(guò)植入挖礦模塊到受害主機(jī),占用計(jì)算機(jī)的計(jì)算資源和消耗電力挖取數(shù)字貨幣,從而使機(jī)器卡頓甚至卡死,嚴(yán)重影響用戶的正常使用。
2020年多個(gè)挖礦病毒家族仍然活躍,傳播方式多樣且不斷進(jìn)行更新,但整體呈波動(dòng)下降趨勢(shì)。2020年蠕蟲(chóng)挖礦類病毒相關(guān)報(bào)告,見(jiàn)附錄報(bào)告列表。2020年挖礦病毒的總體活躍趨勢(shì),如下圖所示:
2020年挖礦病毒活躍趨勢(shì)
根據(jù)火絨"在線支持和響應(yīng)平臺(tái)"統(tǒng)計(jì)的,2020年火絨處理的所有挖礦病毒問(wèn)題中,不同病毒家族所占比例如下圖所示:
2020年挖礦病毒問(wèn)題家族比例圖
在比例圖上,主要的挖礦病毒家族都使用“永恒之藍(lán)”漏洞在內(nèi)網(wǎng)傳播。同時(shí)一些病毒還可以進(jìn)行RDP爆破、SMB爆破、數(shù)據(jù)庫(kù)爆破等弱口令爆破攻擊,感染更多內(nèi)網(wǎng)中的機(jī)器進(jìn)行挖礦。
在2020年火絨跟進(jìn)響應(yīng)的挖礦病毒中,DTStealer(又名“驅(qū)動(dòng)人生”或者“永恒之藍(lán)下載器”)出現(xiàn)的頻率最高。相較于其他幾個(gè)病毒,DTStealer 傳播手段更為豐富(集合了”永恒之藍(lán)“漏洞攻擊、登錄憑證抓取、爆破攻擊,感染網(wǎng)絡(luò)硬盤(pán)和移動(dòng)設(shè)備等多種方式),并且緊隨安全威脅動(dòng)態(tài),不斷更新組件。比如SMBGhost漏洞爆出后不久,DTStealer便將其加入到橫向傳播的相關(guān)模塊中。
火絨不僅可以對(duì)挖礦病毒和挖礦組件進(jìn)行查殺,還可以有效的阻斷挖礦病毒在內(nèi)網(wǎng)中的傳播途徑。對(duì)于永恒之藍(lán),SMBGhost等高危漏洞,火絨的網(wǎng)絡(luò)入侵?jǐn)r截和對(duì)外攻擊檢測(cè)功能可以有效的防御攻擊和阻止對(duì)外攻擊。同時(shí)遠(yuǎn)程登錄防護(hù)功能可以阻斷病毒的RDP、SMB等爆破連接,【橫向滲透防護(hù)】功能也可以有效的攔截病毒的橫向傳播行為,阻止挖礦病毒的進(jìn)一步傳播。關(guān)于【橫向滲透防護(hù)】功能相關(guān)報(bào)告,見(jiàn)附錄報(bào)告列表。
勒索病毒
隨著 “勒索即服務(wù)”(Ransomware-as-a-Service,簡(jiǎn)稱RaaS)的勒索病毒運(yùn)作模式逐漸增多,黑客通過(guò)這種運(yùn)作模式降低了勒索病毒開(kāi)發(fā)和傳播門(mén)檻,從而擴(kuò)大了勒索病毒在互聯(lián)網(wǎng)中的影響范圍。在2020年火絨跟進(jìn)響應(yīng)的主要勒索病毒現(xiàn)場(chǎng)中,排名前五的勒索病毒均使用RaaS模式進(jìn)行運(yùn)作。
2020年對(duì)互聯(lián)網(wǎng)影響最大的勒索病毒當(dāng)屬GlobeImposter、Phobos和Crysis,上述三個(gè)病毒家族就占據(jù)了勒索病毒問(wèn)題中的絕大多數(shù)。2020年勒索病毒相關(guān)報(bào)告,見(jiàn)附錄報(bào)告列表。全年勒索病毒問(wèn)題占比情況,如下圖所示:
勒索病毒問(wèn)題占比圖
2020年所遇到的勒索病毒問(wèn)題中,企業(yè)問(wèn)題高居不下,且企業(yè)終端被黑客入侵植入勒索病毒的情況屢見(jiàn)不鮮。
經(jīng)過(guò)火絨分析統(tǒng)計(jì),有高達(dá)79%的勒索病毒攻擊事件是由黑客入侵引發(fā)。在被黑客入侵的勒索病毒事件中,又有78%的現(xiàn)場(chǎng)為黑客通過(guò)RDP(Remote Desktop Protocol,即遠(yuǎn)程桌面協(xié)議)遠(yuǎn)程登錄的方式植入、執(zhí)行勒索病毒。為了躲避安全軟件查殺,在黑客遠(yuǎn)程登錄到用戶終端后,首先會(huì)嘗試使用內(nèi)核級(jí)工具、或直接通過(guò)安全軟件的功能入口結(jié)束安全軟件進(jìn)程,再投放勒索病毒對(duì)終端數(shù)據(jù)進(jìn)行加密,從而提高勒索加密等惡意行為的完成度。相關(guān)病毒事件數(shù)據(jù),如下圖所示:
勒索病毒主要傳播方式
勒索病毒植入途徑占比圖
特別需要關(guān)注,一些企業(yè)內(nèi)部服務(wù)器通常會(huì)對(duì)外網(wǎng)開(kāi)放服務(wù)端口,進(jìn)而使此類服務(wù)器極易成為黑客進(jìn)入企業(yè)內(nèi)網(wǎng)的跳板。通過(guò)數(shù)據(jù)統(tǒng)計(jì),我們發(fā)現(xiàn)有38%的勒索病毒問(wèn)題與企業(yè)所使用的服務(wù)器相關(guān),甚至個(gè)別企業(yè)對(duì)外網(wǎng)開(kāi)放的服務(wù)器中存在較為嚴(yán)重安全問(wèn)題,如:弱口令、高危系統(tǒng)漏洞等。
此外,由于企業(yè)內(nèi)部所使用的第三方軟件在連接數(shù)據(jù)庫(kù)和遠(yuǎn)程終端時(shí),通常會(huì)使用軟件提供的默認(rèn)密碼,致使企業(yè)使用的財(cái)稅軟件、OA系統(tǒng)、ERP管理系統(tǒng)極易成為黑客入侵的突破口。相關(guān)數(shù)據(jù),如下圖所示:
企業(yè)勒索病毒問(wèn)題終端類型占比圖
近年來(lái),黑客針對(duì)企業(yè)用戶的勒索病毒攻擊事件逐漸增多,數(shù)據(jù)安全對(duì)于企業(yè)用戶來(lái)說(shuō)愈發(fā)重要。如2020年12月,富士康位于墨西哥工廠的服務(wù)器也曾被黑客入侵,數(shù)量眾多的服務(wù)器數(shù)據(jù)被加密,并被索要上億人民幣贖金。
除勒索外,個(gè)別黑客還會(huì)在勒索加密數(shù)據(jù)文件前竊取用戶數(shù)據(jù),對(duì)于不愿交出贖金的用戶,黑客會(huì)通過(guò)“暗網(wǎng)”等渠道泄露用戶的關(guān)鍵數(shù)據(jù),使中毒用戶遭受到嚴(yán)重的數(shù)據(jù)財(cái)產(chǎn)損失。
針對(duì)通過(guò)RDP遠(yuǎn)程登錄執(zhí)行勒索病毒的攻擊現(xiàn)場(chǎng),火絨企業(yè)版中的【終端動(dòng)態(tài)認(rèn)證】功能,可以幫助用戶抵御來(lái)自黑客的RDP遠(yuǎn)程登錄,從而有效降低黑客勒索加密用戶數(shù)據(jù)的概率。關(guān)于【終端動(dòng)態(tài)認(rèn)證】功能相關(guān)報(bào)告,見(jiàn)附錄報(bào)告列表。
感染型病毒
感染型病毒以寄生的方式將惡意代碼附著于正常文件中,并通過(guò)被感染的文件進(jìn)行傳播。2020年感染型病毒感染終端范圍Top20,如下圖所示:
2020年感染型病毒感染終端范圍TOP20
感染型病毒不僅可以感染可執(zhí)行文件,還可以感染文檔、帶有腳本的工程文件(如Maya, AutoCAD)、圖片、網(wǎng)頁(yè)文件等。由于被感染的文檔只有在執(zhí)行后才會(huì)釋放出原始的文檔,導(dǎo)致用戶為了使用文檔而不得不執(zhí)行病毒,從而使病毒進(jìn)一步傳播,感染更多終端。
對(duì)于感染型病毒,火絨的處理策略是清除被感染文件中的病毒代碼,同時(shí)我們也在不斷更新以支持更多的感染型病毒的清除。2020年火絨新增了對(duì) “Spreadoc”(感染文檔)、“普天同慶”(感染Maya工程文件)等多種感染型病毒的清除方案。2020年感染型病毒相關(guān)報(bào)告,見(jiàn)附錄報(bào)告列表。
由于企業(yè)中大量使用局域網(wǎng)共享和U盤(pán)進(jìn)行數(shù)據(jù)交換,因此當(dāng)感染型病毒不能及時(shí)完整的清除,那么整個(gè)內(nèi)網(wǎng)環(huán)境就有可能被反復(fù)感染,頻繁報(bào)毒。感染型病毒的相關(guān)處理方法見(jiàn)附錄。
企業(yè)安全報(bào)告
2020年度,火絨在為企業(yè)提供在線支持與應(yīng)急響應(yīng)服務(wù)過(guò)程時(shí),會(huì)對(duì)用戶常遇到的安全問(wèn)題,和用戶常忽視的安全風(fēng)險(xiǎn)進(jìn)行歸納與總結(jié),并在火絨對(duì)外平臺(tái)以報(bào)告的形式向用戶及時(shí)預(yù)警,幫助企業(yè)發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)中可能存在的安全薄弱點(diǎn),進(jìn)行針對(duì)性的安全加固和防護(hù)。
此部分為火絨對(duì)本年度“企業(yè)安全”相關(guān)報(bào)告文檔進(jìn)行整理回顧:
“弱口令”問(wèn)題是本年度火絨對(duì)企業(yè)提供服務(wù)時(shí),最常發(fā)現(xiàn)的安全問(wèn)題之一。
根據(jù)火絨火絨工程師全年排查問(wèn)題發(fā)現(xiàn),造成上述問(wèn)題原因包括諸如企業(yè)未對(duì)系統(tǒng)自帶的“默認(rèn)賬戶”進(jìn)行管控、系統(tǒng)、業(yè)務(wù)賬號(hào)使用的密碼強(qiáng)度不足,黑客通過(guò)暴破、社工等方式導(dǎo)致企業(yè)泄露賬號(hào)、密碼,對(duì)企業(yè)造成嚴(yán)重安全風(fēng)險(xiǎn)。
2020年火絨涉及“弱口令”報(bào)告如下:
“橫向滲透”是企業(yè)遭遇的另一大常見(jiàn)安全問(wèn)題。根據(jù)火絨在幫助企業(yè)用戶處理相關(guān)問(wèn)題時(shí),發(fā)現(xiàn)有近半數(shù)都涉及到了橫向滲透的攻擊方式。
黑客一旦從外網(wǎng)進(jìn)入目標(biāo)局域網(wǎng)控制某一個(gè)終端,就可以利用同一局域網(wǎng)的信任關(guān)系,如共享權(quán)限、密碼、憑據(jù)等,入侵其它終端,做更大范圍的滲透攻擊,由點(diǎn)到面,不斷獲取并控制高價(jià)值的目標(biāo)終端,最終穿透整個(gè)局域網(wǎng)。
2020年火絨涉及“橫向滲透”報(bào)告如下:
此外,還有一些長(zhǎng)期對(duì)企業(yè)造成困擾的問(wèn)題,火絨對(duì)此類問(wèn)題進(jìn)行處理后,也會(huì)將問(wèn)題以報(bào)告的方式對(duì)其他用戶提供支持,期望減少此類安全問(wèn)題對(duì)用戶造成的困擾,例如:企業(yè)內(nèi)文件共享可能遇到的安全問(wèn)題與處理方法、企業(yè)內(nèi)常見(jiàn)挖礦病毒與處理方法、勒索病毒的變化趨勢(shì)與防護(hù)方式等。
2020年火絨涉及上述問(wèn)題報(bào)告如下:
針對(duì)企業(yè)發(fā)起的攻擊越來(lái)越多,無(wú)論是挖礦、勒索還是數(shù)據(jù)竊取,對(duì)企業(yè)來(lái)說(shuō)都會(huì)造成較大損失,及時(shí)以合理、高效的方式加固企業(yè)網(wǎng)絡(luò)安全環(huán)境,防御未來(lái)可能遭受的攻擊。火絨也會(huì)持續(xù)關(guān)注各類安全事件,提供更完善的防護(hù)。
漏洞威脅
2020年,微軟官方共公布了1256個(gè)漏洞補(bǔ)丁,其中有190個(gè)漏洞級(jí)別為“Critical”(高危),1057個(gè)為“Important”(重要),火絨都會(huì)及時(shí)響應(yīng)預(yù)警,并提供修復(fù)方式。2020年微軟漏洞類型占比,如下圖所示:
2020年微軟漏洞類型占比圖
EternalBlue(永恒之藍(lán))
軟件漏洞長(zhǎng)期以來(lái)都是病毒傳播的主要渠道,通過(guò)對(duì)2020年漏洞攻擊數(shù)據(jù)的統(tǒng)計(jì),我們發(fā)現(xiàn)遠(yuǎn)程漏洞攻擊中依然以“永恒之藍(lán)”為主,在整體的漏洞攻擊事件中占比近90%。2020年漏洞攻擊總量占比,如下圖所示:
2020年漏洞攻擊總量占比
在野進(jìn)行攻擊的漏洞事件中EternalBlue(永恒之藍(lán))漏洞占據(jù)了絕大多數(shù),使用該漏洞進(jìn)行傳播的病毒主要包括前文中所說(shuō)的與挖礦相關(guān)的病毒家族,如DTStealer、WannaMine、匿影、紫狐等。2020年EternalBlue漏洞攻擊的影響趨勢(shì),如下圖所示:
2020年EternalBlue漏洞攻擊的影響趨勢(shì)
CVE-2020-0796(SMBGhost)
2020年爆出的高危漏洞中,CVE-2020-0796(或SMBGhost)漏洞對(duì)2020年互聯(lián)網(wǎng)安全的整體影響相對(duì)較大。該漏洞爆出后,在較短的時(shí)間內(nèi)就被引入到了一些蠕蟲(chóng)病毒(如DTStealer等)的橫向傳播模塊中,從而造成了更大范圍的安全威脅。
除了新漏洞以外,較為老舊的MS08-067漏洞在野攻擊情況也依然頻繁。除EternalBlue外,其他漏洞攻擊影響趨勢(shì),如下圖所示:
2020年主要漏洞攻擊的影響趨勢(shì)(除EternalBlue)
其它高危漏洞
在2020年爆出的漏洞中,雖然在前文中我們只看到CVE-2020-0796漏洞對(duì)互聯(lián)網(wǎng)安全的影響,但是在這一年中還有一些高危漏洞即使現(xiàn)在被黑客使用的頻率有限,但也極易被黑客用于進(jìn)行病毒傳播和攻擊滲透。此類漏洞列表:
1. Windows TCP/IP 遠(yuǎn)程執(zhí)行代碼漏洞(CVE-2020-16898)
2. Netlogon特權(quán)提升漏洞(CVE-2020-1472)
3. Windows DNS服務(wù)器遠(yuǎn)程執(zhí)行代碼漏洞(CVE-2020-1350)
4. Windows NTFS遠(yuǎn)程執(zhí)行代碼漏洞(CVE-2020-17096)
5. Windows網(wǎng)絡(luò)文件系統(tǒng)遠(yuǎn)程執(zhí)行代碼漏洞(CVE-2020-17051)
針對(duì)漏洞,除了定期使用【漏洞修復(fù)】功能進(jìn)行掃描修復(fù)外,還可以通過(guò)開(kāi)啟【網(wǎng)絡(luò)入侵?jǐn)r截】功能進(jìn)行防護(hù)。我們會(huì)不斷跟進(jìn)相關(guān)漏洞防御功能,將易被黑客或病毒使用的漏洞加入到相應(yīng)的漏洞防御規(guī)則中,保護(hù)用戶免受漏洞攻擊所產(chǎn)生的安全威脅。
2020年漏洞相關(guān)通告、報(bào)告,見(jiàn)附錄報(bào)告列表。
廣告軟件的來(lái)源
廣告軟件通常沒(méi)有正規(guī)的下載官網(wǎng),大部分均通過(guò)捆綁推廣的方式進(jìn)行傳播,且安裝較為隱蔽,令用戶難以察覺(jué),只有在彈窗時(shí)才發(fā)現(xiàn)被捆綁安裝;即使存在下載官網(wǎng),整個(gè)官網(wǎng)也大都結(jié)構(gòu)簡(jiǎn)陋,除了提供軟件下載鏈接外不具備其它功能。除此之外,該類軟件也會(huì)互相靜默推廣。
面對(duì)這些層出不窮,卸載不掉的廣告軟件,我們統(tǒng)計(jì)并歸類了2020年全年的廣告軟件類問(wèn)題發(fā)現(xiàn),用戶電腦中的廣告軟件97.88%都來(lái)自于下載器推廣,僅有0.21%是用戶主動(dòng)下載安裝。相關(guān)數(shù)據(jù)如下圖所示:
廣告軟件來(lái)源數(shù)據(jù)統(tǒng)計(jì)
由此可見(jiàn),下載器是廣告軟件傳播的最大渠道,因此我們?cè)凇境绦驁?zhí)行控制】功能中加入了【下載站下載器】的攔截規(guī)則對(duì)下載器進(jìn)行攔截,相關(guān)報(bào)告見(jiàn)附錄報(bào)告列表。
廣告軟件的危害
相比于其它惡意病毒攻擊事件,廣大用戶在日常生活中更容易被廣告軟件所困擾。在2020年,火絨針對(duì)廣告軟件進(jìn)行了持續(xù)追蹤,該類軟件長(zhǎng)期霸占用戶電腦用以牟取利益。
首先是廣告彈窗騷擾。2020年中,根據(jù)火絨“在想支持和響應(yīng)平臺(tái)”對(duì)廣告彈窗相關(guān)問(wèn)題的統(tǒng)計(jì),我們發(fā)現(xiàn)自疫情復(fù)工開(kāi)始到“618”電商活動(dòng)前后,廣告彈窗問(wèn)題逐漸凸顯。從去年問(wèn)題趨勢(shì)來(lái)看,“雙十一”和“雙十二”前后雖然相對(duì)于上半年數(shù)據(jù)增長(zhǎng)不明顯,但總量也有所增加。2020年廣告彈窗問(wèn)題趨勢(shì)圖,如下圖所示:
2020年廣告彈窗問(wèn)題趨勢(shì)圖
通過(guò)統(tǒng)計(jì)2020年全年廣告彈窗問(wèn)題相關(guān)的關(guān)鍵詞,我們將問(wèn)題出現(xiàn)頻率較高的關(guān)鍵詞以詞云的形式進(jìn)行了匯總。廣告彈窗問(wèn)題相關(guān)關(guān)鍵詞熱度,如下圖所示:
廣告彈窗問(wèn)題相關(guān)關(guān)鍵詞熱度
廣告軟件除了花樣百出的彈窗方式之外,還具有如下惡意行為:靜默推廣其它軟件、替換瀏覽器中的各類設(shè)置,包括首頁(yè)、書(shū)簽、收藏夾、新標(biāo)簽頁(yè)、歷史記錄等、暗刷指定網(wǎng)站的關(guān)鍵字搜索排名、劫持流量、收集用戶個(gè)人隱私數(shù)據(jù)、云控“復(fù)活”等。
更令人意想不到的是,一些大型軟件廠商憑借用戶基數(shù)大,粘性高也會(huì)做出上述廣告軟件相關(guān)的越權(quán)行為,嚴(yán)重降低了用戶的軟件體驗(yàn)感及信任度。
由于用戶早已習(xí)慣此類軟件的使用,即使得知該軟件具有廣告軟件類惡意行為,也只能被動(dòng)接受,從而導(dǎo)致這些軟件廠商在用戶電腦上更加肆無(wú)忌憚,為所欲為,受害用戶苦不堪言。火絨2020年相關(guān)報(bào)告,見(jiàn)附錄報(bào)告列表。相關(guān)彈窗廣告,如下圖所示:
廣告彈窗圖
廣告軟件的受害比
廣告軟件數(shù)量龐大,受害用戶數(shù)不勝數(shù)。我們統(tǒng)計(jì)了2020年全年相關(guān)數(shù)據(jù)發(fā)現(xiàn),超過(guò)四分之一的用戶都遭受過(guò)廣告軟件的侵?jǐn)_。相關(guān)數(shù)據(jù)如下圖所示:
廣告類病毒機(jī)器占比
廣告軟件家族TOP20
廣告軟件家族眾多,我們統(tǒng)計(jì)了2020年全年各個(gè)廣告軟件家族所影響的機(jī)器數(shù),并做出TOP20排名。值得一提的是,和去年所統(tǒng)計(jì)的廣告軟件家族排行相比“Adware/HelperHaoZip”依舊穩(wěn)居第一。相關(guān)數(shù)據(jù)如下圖所示:
2020年廣告軟件家族TOP20
廣告軟件查殺策略變化
在如今流量既是利益的環(huán)境下,廣告軟件的彈窗,推廣等惡意行為更加瘋狂,甚至這些軟件逐漸批量化,產(chǎn)業(yè)化,規(guī)模化。部分還會(huì)通過(guò)規(guī)避城市,躲避安全軟件等方式與安全軟件進(jìn)行對(duì)抗,長(zhǎng)久扎根于用戶電腦之中。
針對(duì)此類軟件的惡意行為,火絨也一直積極開(kāi)發(fā)并完善相關(guān)功能來(lái)保護(hù)用戶電腦。如:【文件實(shí)時(shí)監(jiān)控】、【軟件安裝攔截】、【下載器攔截】、【彈窗攔截】等。
但是由于廣告軟件自身的特殊灰色性質(zhì),增加了部分安全廠商對(duì)其鑒定的難度。這也導(dǎo)致了此類軟件愈發(fā)層出不窮,肆無(wú)忌憚地把用戶電腦當(dāng)成牟取利益的賺錢(qián)工具,逐漸越過(guò)安全底線,盡最大可能的榨干用戶電腦存在的流量、隱私價(jià)值。讓用戶及部分安全廠商處于對(duì)抗的劣勢(shì)方。僅靠提示攔截已經(jīng)不足以幫助用戶免受廣告軟件的侵犯,我們決定在嚴(yán)格判斷、認(rèn)定后,將徹底查殺此類軟件,不給其更新、“復(fù)活”對(duì)抗的機(jī)會(huì)。查殺程度隨之升級(jí),由此前的查殺部分廣告模塊覆蓋為整個(gè)廣告軟件,徹底杜絕廣告軟件的侵?jǐn)_。
[1]廣告軟件相關(guān)報(bào)告列表
《今天你被“PUA”了嗎?》
《火絨將徹底查殺廣告軟件 首批包括50余款》
《裝機(jī)工具老毛桃攜帶木馬病毒 卸載安全軟件進(jìn)行惡意推廣》
《從流氓推廣到公然投毒 流氓軟件完成黑化》
《木馬程序借助“游民星空”等下載站再次大肆傳播 可云控投放惡意模塊》
《搜狗輸入法強(qiáng)制推廣“618紅包廣告” 用戶不堪其擾》
《無(wú)節(jié)制流氓推廣 2345旗下下載站正在傳播木馬程序》
《流氓軟件巧壓卸載仍留惡意模塊隨時(shí)“復(fù)活” 一招教你徹底清除》
《“去廣告”插件云控劫持流量 產(chǎn)品官網(wǎng)假坦然“求同情”》
[2]下載站下載器攔截功能相關(guān)報(bào)告
《不想再走下載器的套路? 你要的火絨攔截功能來(lái)了》
[3]Rootkit病毒相關(guān)報(bào)告列表
《一文揭露各類劫持瀏覽器主頁(yè)手段 附火絨修復(fù)方式》
《激活工具散播鎖首病毒“麻辣香鍋“ 誘導(dǎo)用戶退出安全軟件》
[4]滲透入侵相關(guān)報(bào)告列表
《默認(rèn)賬戶居然是黑客入侵高頻通道 火絨防護(hù)措施在這里》
《使用遠(yuǎn)程工具也有風(fēng)險(xiǎn)?火絨新增這兩個(gè)功能可有效防御》
《勒索病毒持續(xù)高發(fā) 企業(yè)用戶如何警惕弱口令防護(hù)短板》
《企業(yè)域控服務(wù)器遭遇滲透 火絨企業(yè)版切斷黑客入侵攻擊鏈》
[5]蠕蟲(chóng)挖礦類病毒相關(guān)報(bào)告列表
《根據(jù)火絨查殺數(shù)據(jù)發(fā)現(xiàn) 挖礦病毒的套路都在這里》
《蠕蟲(chóng)病毒“檸檬鴨”持續(xù)擴(kuò)散 多種暴破方式攻擊用戶電腦》
[6]橫向滲透防護(hù)相關(guān)報(bào)告列表
《火絨個(gè)人版新增“橫向滲透防護(hù)功能” 開(kāi)啟和使用方式都在這里》
《火絨上線“橫向滲透防護(hù)”功能 豎立內(nèi)網(wǎng)安全的護(hù)城墻》
《企業(yè)安全須知:別讓共享網(wǎng)絡(luò)成為病毒傳播徑道》
[7]勒索病毒相關(guān)報(bào)告列表
《我們翻出火絨工程師壓箱底的勒索病毒自救秘籍》
《根據(jù)近期勒索病毒變化趨勢(shì)與響應(yīng) 揭露企業(yè)用戶易踩陷阱》
《警惕“有償修改代碼”陷阱或?yàn)槔账鞑《驹谡T騙》
《從“黨妹被勒索”事件看NAS系統(tǒng)安全》
《勒索病毒不要贖金或跟風(fēng)“WannaRen" 火絨已解密并阻斷傳播渠道》
《WannaRen勒索病毒溯源新進(jìn)展 或通過(guò)下載站大量傳播》
《回顧WannaRen勒索病毒一生:從傳播到解密享年6天》
《通達(dá)OA系統(tǒng)用戶遭遇勒索病毒攻擊的初步說(shuō)明》
[8]火絨動(dòng)態(tài)驗(yàn)證功能相關(guān)報(bào)告列表
《火絨終端動(dòng)態(tài)認(rèn)證功能上線 為企業(yè)防護(hù)勒索病毒再筑防線》
《火絨產(chǎn)品公告——企業(yè)版推出“終端動(dòng)態(tài)認(rèn)證”功能 阻止RDP弱口令滲透》
《火絨產(chǎn)品公告——企業(yè)版新增動(dòng)態(tài)口令功能 二次驗(yàn)證加強(qiáng)中心安全》
《聊一聊讓微軟谷歌等巨頭心心念念的“多因素認(rèn)證”》
[9]感染型病毒相關(guān)報(bào)告列表
《白擔(dān)心了 原來(lái)火絨這樣清除病毒并不會(huì)刪除文件》
《老病毒借助文檔傳播活躍七年 目前僅火絨可徹底清除》
《瑪雅軟件用戶請(qǐng)注意 “普天同慶”病毒將于三日后發(fā)作》
[10]高危漏洞通告相關(guān)報(bào)告列表
《2020-12微軟漏洞通告》
《2020-11微軟漏洞通告》
《微軟TCP/IP遠(yuǎn)程執(zhí)行代碼漏洞(CVE-2020-16898)風(fēng)險(xiǎn)通告》
《NetLogon特權(quán)提升漏洞驗(yàn)證代碼公開(kāi) 修復(fù)漏洞即可防御》
《SMBGhost漏洞數(shù)月后再被“捧紅” 火絨用戶無(wú)需恐慌》
《微軟再曝高危遠(yuǎn)程代碼執(zhí)行漏洞 臨時(shí)防護(hù)措施戳這里》
《微軟發(fā)布“蠕蟲(chóng)級(jí)別”漏洞補(bǔ)丁 相關(guān)修復(fù)方法及問(wèn)題解答在這里》
《Win10最新“蠕蟲(chóng)級(jí)別”高危漏洞說(shuō)明及臨時(shí)防御措施》
《微軟公布新的欺騙性漏洞 無(wú)法被利用直接攻擊和傳播》
病毒木馬,一直是讓眾多電腦用戶頭疼的問(wèn)題。讓你的電腦死機(jī)甚至丟掉重要文件,特別那十幾個(gè)G的電影可謂是彌足珍貴(Sorry洋哥邪惡啦),更為可怕的是重要文件遭到竊取個(gè)人隱私泄露,這些很大情況下都是沒(méi)有科學(xué)使用電腦造成的,以下和大家聊聊生活中使用電腦的陋習(xí)同時(shí)改掉它們自此你將高枕無(wú)憂。
一.電腦系統(tǒng)從不更新打補(bǔ)丁
電腦安全肯定要從系統(tǒng)抓起穩(wěn)定的操作系統(tǒng)是穩(wěn)定電腦使用環(huán)境的關(guān)鍵隱因素,絕大部分的木馬病毒都是通過(guò)系統(tǒng)漏洞滲透?jìng)鞑ィㄗh將windows升到windows10,同時(shí)使用正版激活工具激活。不要在第三方資源網(wǎng)站下載激活工具,這些工具大多包含流量劫持木馬,你電腦不知不覺(jué)成為別人廣告機(jī)。同時(shí)也不要使用所謂綠色優(yōu)化版系統(tǒng)這些非官方版本很有可能留有后門(mén)或者其他漏洞。切記不要為啦省錢(qián)給自己電腦留下安全隱患,如果實(shí)在囊中羞澀可以去某貓購(gòu)買激活工具,似乎比官方便宜很多,而且有問(wèn)題你還可以維權(quán)。
二.沒(méi)有備份系統(tǒng)和文件的習(xí)慣
在系統(tǒng)驅(qū)動(dòng)安裝完畢后應(yīng)該第一時(shí)間備份,當(dāng)電腦出現(xiàn)問(wèn)題是也能第一時(shí)間恢復(fù),對(duì)于其他不重要文件可以上傳到云盤(pán)備份,重要資料自行準(zhǔn)備U盤(pán)備份,另外推薦使用Word正版以微軟郵箱登陸這樣及時(shí)停電也能在另一臺(tái)電腦取回未編輯完成的文本。有啦這些準(zhǔn)備電腦出現(xiàn)問(wèn)題就可以讓損失降低到最小。小提示,U盤(pán)可以購(gòu)買加密型 這樣就算丟失也不用擔(dān)心資料泄露。什么哪里買?還是某貓,有空我會(huì)發(fā)技術(shù)貼教你們自制加密U盤(pán)的。所以剁手族先別急著買,先等等吧。
三.沒(méi)有建立防范病毒的意識(shí)
有人認(rèn)為360是流氓軟件,預(yù)裝會(huì)下載軟件全家桶,中間存在諸多誤解,至少我沒(méi)遇到過(guò)被裝全家桶。部分人都不使用殺毒軟件任其電腦“裸奔”這種做法對(duì)電腦安全來(lái)說(shuō)是致命的,因?yàn)殡娔X自帶的防火墻是無(wú)法攔截新型的木馬病毒的,殺毒軟件的病毒庫(kù)記錄諸多病毒特征碼,只要電腦有病毒就會(huì)第一時(shí)間發(fā)現(xiàn)。在這里強(qiáng)烈建議 xp,win7用使用殺毒軟件,我推薦使用QQ管家,管家的病毒庫(kù)更為全面點(diǎn)。至于win10個(gè)人覺(jué)得不需要?dú)⒍拒浖驗(yàn)樗B我辛辛苦苦敲啦一個(gè)星期的易源碼都刪啦可見(jiàn)其牛逼程度啊。
四.弱口令
電腦登陸密碼也就是我們的管理員賬號(hào)密碼你用幾位數(shù)作為密碼?123456還是1314520.,簡(jiǎn)單的用戶名和密碼 便是弱口令,攻擊者會(huì)將很多弱口令整理成字典使用軟件爆破用戶名和密碼,特別是針對(duì)服務(wù)器使用和管理者 你的服務(wù)器用戶名 應(yīng)該換成更為復(fù)雜不易猜測(cè)的密碼。避免使用從字典中能找到的單詞,不要使用純數(shù)字密碼;使用包含特殊字符和空格,同時(shí)使用大小寫(xiě)字母,這種密碼破解起來(lái)比使用母親的名字或生日作為密碼要困難的多。另外,密碼長(zhǎng)度每增加一位,密碼字符構(gòu)成的組合就會(huì)成倍數(shù)增加,因此長(zhǎng)密碼會(huì)更加安全。
五.使用資源站軟件使用外掛程序
資源站上的文本和軟件是最容易讓用戶中招的,典型例子資源站上的仿冒小馬激活工具,該工具包含推廣病毒會(huì)劫持瀏覽器首頁(yè)推廣。此類工具多數(shù)包含木馬被放到資源站提供用戶下載有的是做病毒推廣,有的是駭客抓“安裝量”(在這里安裝量是指駭客嵌入軟件中的“綠色病毒”極少會(huì)被殺毒軟件攔截,隨嵌入軟件運(yùn)行而運(yùn)行,由用戶打開(kāi)軟件釋放病毒程序,病毒不會(huì)將自身注冊(cè)到系統(tǒng)如果被查殺駭客可以通過(guò)遠(yuǎn)程更新達(dá)到免殺的效果,然后軟件運(yùn)行就會(huì)再次釋放免殺的病毒,從而長(zhǎng)久控制受害者電腦)。所以凡是有需求使用到各類軟件請(qǐng)務(wù)必到軟件官方下載。就算是要使用這類軟件,我建議給電腦裝個(gè)影子系統(tǒng),特別是玩游戲喜歡使用外掛程序的。在這我多說(shuō)一句玩游戲成天就想著用外掛 少部分人還予以為榮,實(shí)則為恥 因?yàn)槟愕膫€(gè)人行為讓其他玩家遭受不公平待遇實(shí)屬可恨。
最后說(shuō)下我個(gè)人的小經(jīng)驗(yàn) 我會(huì)定期對(duì)機(jī)啟動(dòng)項(xiàng)和進(jìn)程進(jìn)行檢查,電腦中木馬一般都可以在進(jìn)程查看到異常進(jìn)程存在。異常進(jìn)程將其提取上傳哈勃分析系統(tǒng)查看,如果是具有高風(fēng)險(xiǎn),用殺軟殺之。
以上為愛(ài)技術(shù)的炘洋哥手打整理轉(zhuǎn)載請(qǐng)注明出處。