挖矿病毒成新增威胁 物联网病毒影响范围扩大 瑞星发布《2018年上半年中国网络安全报告》

英特尔处理器曝“Meltdown”和“Spectre漏洞”，湖北某医院内网遭到挖矿病毒疯狂攻击，中国某军工企业被美、俄两国黑客攻击， Facebook用户数据泄露，GitHub遭受有史以来最严重DDoS攻击，A站受黑客攻击导致近千万条用户数据外泄……2018年上半年见证了全球网络范围内频发的安全事件，网络安全攻击的范围更大、强度更高，网络安全威胁的影响正在跳出虚拟的网络空间，开始侵入到工业、医疗等日常生产生活领域。

日前，瑞星对全球以及中国2018年上半年的网络安全事件进行了梳理，并根据瑞星安全系统截获的样本发布了《2018年上半年中国网络安全报告》。《报告》显示，今年上半年，恶意软件和恶意网址数量依然巨大，木马病毒依然是第一大种类病毒，恶意网站数量在全球排前列，信息窃取类和资费消耗类病毒在手机病毒中占比较大，挖矿病毒成为新增网络威胁。此外，漏洞利用更加广泛、物联网病毒增多将成为未来网络威胁的新趋势。

木马病毒为第一大恶意病毒

恶意网址数量巨大

在恶意软件与恶意网址方面，2018年上半年瑞星“云安全”系统共截获病毒样本总量2587万个，病毒感染次数7.82亿次。新增木马病毒占总体数量的62.83%，依然是第一大种类病毒。灰色软件病毒（垃圾软件、广告软件、黑客工具、恶意软件）为第二大种类病毒，占总体数量的17.72%。第三大种类病毒为病毒释放器，占总体数量的9.55%。报告期内，瑞星“云安全”系统共截获勒索软件样本31.44万个，感染共计456万次，其中广东省感染116万次，位列全国第一，其次为上海市62万次，北京市34万次，江苏省22万次。

2018年上半年瑞星“云安全”系统在全球范围内共截获恶意网址（URL）4785万个，其中挂马网站2900万个，诈骗网站1885万个。美国恶意URL总量为1643万个，位列全球第一，其次是中国226万个，德国72万个，分别列第二、三位。

在诈骗网站方面，2018年上半年瑞星“云安全”系统共拦截诈骗网站攻击182万余次，其中，色情、赌博类诈骗网站占比较大，这些恶意网站大多通过非法手段进行传播，赌博类诈骗网站利用高利润的方式吸引用户，前期平台方会在后台操作让用户少输多赢，当用户产生兴趣后，再进行后台操作赢取用户钱财。诈骗网站主要利用微信朋友圈以软文方式进行诱导传播、利用QQ群发方式进行传播、利用短信群发平台以中奖方式进行传播、利用游戏辅助软件进行传播、利用大型互联网平台发布信息进行传播等。

信息窃取类病毒占比最高

移动安全事件频发

在移动互联网安全方面，2018年上半年瑞星“云安全”系统共截获手机病毒样本345万个，新增病毒类型以信息窃取、资费消耗等四类为主，其中信息窃取类病毒占比28%，位居第一。其次是资费消耗类病毒，占比27%。第三名是流氓行为类病毒，占比17%。

《报告》统计了2018年上半年移动安全事件。一是 “旅行青蛙”游戏外挂藏风险。部分商家瞅准商机，针对iOS手机用户推出“花费20元即可购买21亿无限三叶草”服务，通过“外挂”操作，让玩家轻易获得大量三叶草，然而用户在购买“无限三叶草”服务后，需要在电脑上按照教程操作或允许商家远程操作，其间存在不少风险，或会造成手机中数据丢失，甚至泄露个人隐私。二是恶意软件伪装“系统WiFi服务”感染近500万部安卓手机。一款名为“Rottensys”的恶意软件伪装成“系统WiFi服务”，该程序包含风险代码，可在后台私自下载恶意插件并静默安装，进行远程控制命令以及对用户手机进行Root，从而频繁推送广告并进行应用分发，消耗用户流量，影响用户体验。三是二手手机信息泄露乱象，在二手手机交易和手机维修市场，很多维修商称只需花几十元就能恢复手机通讯录、照片、微信聊天记录等，哪怕手机被恢复到出厂设置，也可以将删除的信息复原。

挖矿与勒索病毒层出不穷

成企业最大威胁

《报告》显示，2018年最大的变化是病毒制造者将目标投向了挖矿领域，大量的挖矿病毒层出不穷，其中影响最大的是一个构造精密、被称为 “MsraMiner”的挖矿僵尸网络。此病毒利用永恒之蓝漏洞攻击局域网中的机器，中毒机器会继续使用永恒之蓝漏洞攻击其他机器，并作为Web服务器供其他机器下载，导致大量局域网主机被植入挖矿病毒，同时病毒持续升级对抗查杀。导致此病毒爆发的主要原因是企业存在大量机器没有安装永恒之蓝漏洞补丁；企业内外网混用，没有做到真正的隔离，连接互联网的一台机器中毒后，导致公司内网机器大量中毒；企业没有安装杀毒软件，没有及时更新病毒库，为病毒传播创造了有利条件。

自WannaCry勒索病毒爆发以来，勒索病毒层出不穷，并且勒索病毒呈现蠕虫化趋势。2018年2月份，两家省级医院感染勒索病毒，导致服务中断。感染原因怀疑是系统存在漏洞和弱口令，导致被攻击者植入勒索病毒并快速传播。

其中影响较大的Satan勒索病毒，不仅使用了永恒之蓝漏洞传播，还内置了多种Web漏洞的攻击功能，相比传统的勒索病毒传播速度更快。虽然已经被解密，但是此病毒利用的传播手法却非常危险。

漏洞利用将越来越广泛

物联网病毒将更加精密

根据上半年全球网络安全状况，《报告》发布了下半年网络安全趋势，犯罪团伙转向挖矿与勒索，漏洞利用越来越广泛，物联网病毒影响范围扩大将成为网络安全未来的发展趋势。

近年来，挖矿和勒索病毒事件数量持续上升，传统DDoS和刷流量的病毒仍然存在，但发生数量有一定的下降，而虚拟货币由于钱包地址比较隐蔽，一般情况下很难通过钱包地址定位到攻击者的身份。这无形中催生了加密货币挖矿病毒和勒索病毒的爆发。

随着经济利益的驱使，挖矿和勒索病毒也开始使用漏洞。在受害者没有下载运行可疑程序的情况下依然有可能中毒。比如服务器没有及时更新补丁，就会被攻击者通过漏洞植入病毒，而且很多公司的外网服务器和内网是连通的，一旦服务器中毒，就可能导致局域网很多机器中毒。

然而随着物联网设备的增多，物联网病毒也有了更多的功能，比如路由器中病毒，就可能导致网络通信中的账号、密码等隐私信息被窃取。如果摄像头中了病毒，就可能导致受害者的一举一动都在攻击者的监控之中。如果中病毒的是工控设备，就可能导致工厂停产、城市停电等严重问题。