一、摘要

近日，江民赤豹安全實驗室針對2018年整體安全態勢做了詳細分析，報告中引用了Gemalto調研數據，據統計僅2018年數據泄露事件高達945次，導致的信息泄露數量達到45億條之多，相比2017年同期雖然泄露事件有所下降，但信息量卻陡增了133個百分點。而在去年頻繁發生的勒索及挖礦病毒攻擊熱度也并沒有下降，隨著科技化時代的到來，仍有很多企業和個人的網絡安全意識和措施并沒有成熟，網絡攻擊和數據泄露帶來的影響未來也會越發重要。 

二、2018年中國網絡安全形式分析

赤豹實驗室研究人員從以下八個方面分析了網絡安全的現狀與未來發展趨勢： 

1.社會工程學

社交工程是網絡犯罪發展最快的領域，世界第一黑客凱文·米特尼克在《欺騙的藝術》中曾提到，人為因素才是安全的軟肋。很多企業、公司在信息安全上投入大量的資金，最終導致數據泄露的原因，往往卻是發生在人本身。你們可能永遠都想象不到，對于黑客們來說，通過一個用戶名、一串數字、一串英文代碼，社會工程師就可以通過這么幾條的線索，通過社工攻擊手段，加以篩選、整理，就能把你的所有個人情況信息、家庭狀況、興趣愛好、婚姻狀況、你在網上留下的一切痕跡等個人信息全部掌握得一清二楚。雖然這個可能是最不起眼，而且還是最麻煩的方法。一種無需依托任何黑客軟件，更注重研究人性弱點的黑客手法正在興起，這就是社會工程學黑客技術。
勒索軟件配合利用社會工程學的欺詐郵件造成的影響往往比其他方式投遞的手法要大很多，尤其在2018年這個勒索軟件仍然泛濫的使其特別明顯。電子郵件欺詐帶來的損失史無前例，累計已達120億美元。古老的騙局一而再再而三的卷土重來，其利用的是人們心理上的弱點與認知上的缺陷。針對這種攻擊，我們注定無法完全免疫。
 

2.勒索軟件

2018上半年基于“永恒之藍”的攻擊嘗試超過漏洞攻擊總量的30%以上。眾所周知，2017年4月，某黑客組織獲取并泄漏美國國家安全局(NSA)掌握的網絡武器“永恒之藍”，導致利用該漏洞的惡意程序在網絡上肆虐，最典型的是勒索病毒。
勒索軟件在全球范圍內持續對不同業務無差別攻擊，但他們的目標會聚焦在包括SMBs在內的抗攻擊能力較弱且準備不足的企業。在這種情況下，勒索金額會降低以便小企業有能力支付，區域性醫療服務機構或醫院將會遭到重擊，主要原因是作為目標他們攻擊起來太容易。用最少的付出獲取最大收益是這些“生意人”所追求的。
與此同時，勒索軟件也在與網絡釣魚和社會工程協同合作，2018年這兩大方面的進一步融合。同樣有趣的是，加密貨幣價值正在影響勒索軟件的增長。
 

3.區塊鏈安全

說到區塊鏈，就繞不開數字貨幣的問題，而談到數字貨幣，就無法回避數字貨幣的安全問題，從以前的幣安受到攻擊，到不久前因為智能合約漏洞導致的巨額經濟損失，直到今年發生的EOS爆發高危漏洞，無一不證明著區塊鏈和數字貨幣安全的問題，絕不是像表面看起來那么簡單。
近三年來，交易所被盜的損失大概是8.64億美元，一些很著名的交易所都發生過盜竊，盜竊情況越來越猖獗。2016年為1.48億美元，2017年為2.96億美元，2018年才過去一半已達5億美元，超過了前兩年的總和。
攻擊方法也從Botnet、DDoS逐漸向挖礦轉移。UCloud通過安全產品共捕獲到了ddg20xx木馬，而這些木馬控制的三個錢包已經合計挖礦90萬到150萬美元。UCloud目前已經捕捉了30多種類似的樣本，而像星巴克Wifi挖礦，軟件中捆綁挖礦代碼、南方周刊官網挖礦這些熱門攻擊事件說明，以往復雜的攻擊方式變得更加簡單，新的變現方式，更加容易變現，黑客的門檻也顯著降低，而原本由彈窗和廣告構成的PC端惡意軟件，也加入了挖礦產業。這種情況的發生，與數字貨幣火熱關系重大，數字貨幣高回報、匿名性、不可溯源的特性，實際上為黑客提供了一個很好的變現途徑。
 

4.機器學習

機器學習是一個因人而異的時髦的口號，在未來的幾年我們都希望能看到對于這種能力更清晰的發展思路。機器學習的目標應該是解放人類，提高在信息海洋中處理、理解和行動力、安全技術持續發展意味著我們會看到更好質量更高的數據結果。處理能力的提高和更為智能化的反應也成為了可能。
機器學近年來，機器學習因其自主執行特定任務及訓練設備的特質，已被視為當前最有前途的網絡安全工具之一。在面對網絡威脅的時候，機器學習可主動分析其復雜性，采取有效的對策，與傳統手動修復方式相比，機器學習超高的學習能力和執行效率大幅減輕了安全人員的工作負擔。但機器學習仍有弊端，因為機器學習無自主意識，黑客可入侵機器學習的過程，直接更改設備設定或行為，獲取其完全控制權。

5.AI

隨著人工智能的發展，安全人員越來越難以分辨攻擊是否由人類發起，自動化入侵過程中的某些技術密集部分，同樣可以為攻擊者帶來較高的投資回報。
研究人員發現，AI能通過其可擴展性引入威脅，例如惡意軟件可在受感染環境中觀察正常業務操作，通過了解受感染機器與哪些內部設備通信、使用的協議和端口有哪些等內容，學習所處環境的上下文，免除傳統命令與控制（C2）信道，增加檢測難度。在提供此類攻擊渠道的同時，AI還可以學習可能觸發安全解決方案警報的數據傳輸數率，動態調整其數據滲漏的規模和時機以避免檢測。
 

6.黑灰色產業鏈

有人的地方就有江湖，黑灰產則是互聯網江湖水最渾的領域，而黑灰產內部為了利益也是不斷亂斗，其中不擇手段之處更甚于正規商業江湖。
相對早期黑客的單打獨斗，如今互聯網黑色產業更像一個航母戰斗群，各種外部資源如手機號、郵箱號、IP 資源、過驗證碼服務，都已經形成規?；脚_。這讓黑客只要專注最核心的技術實現，就可以快速整合資源對各公司造成危害。
黑客利用病毒木馬非法盜取或者通過機構泄密人員購買他人身份證號、手機號、游戲帳號、郵箱、家庭住址等私人信息，以及被盜者家庭成員的上述隱私，甚至包括所養寵物的信息，然后進行非法販賣。信息泄露連續五年創歷史記錄，且不分行業與領域。而隨著網絡世界向數字世界的演化，信息泄露將成為全球科技始終無法避免的“自然災害”。

7.立法

漏洞披露、個人隱私、數據安全、關鍵基礎設施保護、經濟博弈、網絡犯罪、國家安全，是制定政策法規的關鍵詞和重要背景。網絡安全已經得到全球各國政府的實際重視，并成為支撐自身發展，與他國進行政治、軍事、經濟博弈的關鍵因素之一。
2018年政府在互聯網上發揮著重要作用。隨著網絡強國戰略逐步實施推進，多部網絡安全法律法規及政策文件的出臺實施，將有力推進我國互聯網安全管理水平，提升網絡安全影響力，保障廣大人民享受健康清朗的互聯網應用環境，共同維護繁榮、健康、有序的網絡文化環境。
 

8.漏洞

漏洞受到業界的極大重視并成為重要戰略資源。這種重視反而限制了漏洞公布的速度和數量，許多相關的破解活動和賽事陷入低潮。與此同時，如何減少漏洞的產生以及如何進行客觀的價值評價，成為各方面的關注重點。
以前漏洞大部分都是APT團伙在使用，但隨著經濟利益的驅使，挖礦和勒索病毒也開始使用漏洞，而且使用漏洞的種類開始增加，這就導致很多受害者，并沒有下載運行可疑程序也有可能中毒。尤其是服務器，運行了很多web服務、數據庫服務、開源CMS等服務，這些服務經常會出現漏洞，如果服務器沒有及時更新補丁，就會被攻擊者通過漏洞植入病毒，而且很多公司的外網服務器和內網是連通的，一旦服務器中毒，就可能導致局域網很多機器中毒。
 
 

 

三、網絡安全防范建議

隨著人工智能、云計算、物聯網、大數據、移動互聯網和區塊鏈等技術越來越廣泛的應用和融合發展，新技術應用在帶來新一輪的產業變革的同時，全球性的網絡安全威脅和新型網絡犯罪也變得日益猖獗，重大網絡安全事故頻發，網絡安全形勢越發嚴峻。下面是就網絡安全提出的幾點防范建議：
1. 防止泄露敏感數據
無論是商業記錄還是個人納稅申報表，加密最敏感的數據都是個好主意。加密可確保只有您或您提供密碼的人才能訪問您的文件。

2. 保護所有被攻擊面
向虛擬和云環境遷移帶來的明確業務利益意味著混合網絡正逐漸成為標準。如果希望有效確保Office 365等基于云或SaaS的應用程序，必須采用專用于混合網絡集中管理的綜合解決方案。

3. 提高用戶安全意識
用戶行為可以成為最大的弱點。只有通過執行、監控和用戶教育的相互結合，才能確保良好的安全性，特別是應對網絡釣魚、魚叉式網絡釣魚、注冊近似域名和社會工程等威脅。

4. 不要忘記遠程連接管理
移動革命可以推動生產力、協作和創新，但由于經常通過個人設備進行連接，很多工作會處于網絡邊界以外。如果沒有進行適當保護，將會對安全性造成巨大的潛在缺口。

5. 維護要求
軟件維護不是迷人的，但沒有它，你可能會暴露自己主要的安全漏洞。 使用移動設備和許多PC，你可以設置和忘記對移動應用程序的自動更新。 與你連接的東西，閱讀用戶手冊，以確保自己知道如何檢查更新。

6. 學會發現潛在威脅
基礎設施可能包含很多潛在威脅。電子郵件收件箱里充滿了等待點擊的惡意附件和鏈接。同樣，必須定期對本地和云端的所有應用程序進行掃描和打補丁，以杜絕漏洞。

7. 新攻擊防御技術部署
隨著當今威脅趨勢的不斷演化，開始出現成熟且具有目標性的零時差攻擊。為了阻止這些攻擊，需要通過沙箱分析和訪問最新的全球威脅情報獲得先進的動態保護。

8. 使用可靠的備份解決方案
一個簡單可靠的備份系統可以幫助你在幾分鐘或幾小時內從多個攻擊中恢復。當由于惡意軟件導致數據損壞、加密或被竊時，只需從備份中進行恢復，即可讓業務重新回到正常軌道。
赤豹實驗室整理了2018年影響較大的一些網絡攻擊及數據泄漏事件。

四、2018安全事件概述

4.1網絡安全攻擊事件：
國內
2月 上海某公立醫院HIS系統被黑，勒索2億“以太幣”
3月 湖北某醫院內網遭到挖礦病毒瘋狂攻擊
3月 中國某軍工企業被美、俄兩國黑客攻擊
3月 黑客利用思科高危漏洞攻擊國內多家機構
6月 A站受黑客攻擊 近千萬條用戶數據外泄
7月 “疫苗門”后，長生生物官網被黑客攻擊
8月 臺灣半導體巨頭臺積電突遭勒索病毒入侵損失慘重
12月 “驅動人生”木馬爆發

國際
1月 韓國平昌冬奧會遭黑客魚叉式網絡釣魚攻擊
1月 東京交易所Coincheck價值5.3億美元的加密貨幣NEM被黑客竊取
2月 加密貨幣采礦軟件攻擊致歐洲廢水處理設施癱瘓
3月 GitHub遭受有史以來最嚴重DDoS攻擊
4月 納斯達克數據中心被聲音“攻擊”，北歐交易全線中斷
5月 惡意軟件VPNFilter影響范圍覆蓋全球54個國家，超過50萬臺路由器和網絡設備。
7月 一伙網絡犯罪通過劫持40名受害者的手機SIM卡，共竊取了總額超過500萬美元的加密貨幣。
8月 微軟發現新一輪俄羅斯黑客攻擊，美國中期選舉或受影響
12月 NASA服務器遭黑客攻擊

海某公立醫院HIS系統被黑，勒索2億"以太幣"

 
以太幣（ETH）是以太坊（Ethereum）的一種數字代幣，被視為“比特幣2.0版”。它采用與比特幣不同的區塊鏈技術“以太坊”（Ethereum），開發者們需要支付以太幣（ETH）來支撐應用的運行。和其他數字貨幣一樣，以太幣可以在交易平臺上進行買賣。
專家表示，醫療數據在黑客眼中簡直就是個大金庫，內有個人姓名、住址、聯系方式、社會保險號碼、銀行賬號信息、索賠數據和臨床資料等海量信息。這些信息不光能在黑市上賣個好價錢、供人盜用身份，還能讓人非法獲取處方藥、甚至騙取保險。一旦有人因此被竊取身份，小到尋醫問藥、大到醫療保險、信用記錄都可能受影響，風險著實不容忽視。
 

湖北某醫院內網遭到挖礦病毒瘋狂攻擊

 
 
2018年3月，湖北某醫院內網遭到挖礦病毒瘋狂攻擊，導致該醫院大量的自助掛號、繳費、報告查詢打印等設備無法正常工作。由于這些終端為自助設備，只提供特定的功能，安全性沒有得到重視，系統中沒有安裝防病毒產品，系統補丁沒有及時更新，同時該醫院中各個科室的網段沒有很好的隔離，導致挖礦病毒集中爆發。
 

 中國某軍工企業被美、俄兩國黑客攻擊

2018年3月，安全研究人員表示，中國某軍工企業被美、俄兩國黑客攻擊。美國黑客和俄羅斯黑客在2017年冬天入侵了中國一家航空航天軍事企業的服務器，并且留下了網絡間諜工具。研究人員認為這種情況比較罕見，以前從未發現俄羅斯黑客組織 APT28 與美國 CIA 的黑客組織 Lamberts （又被稱為“長角牛”Longhorn）攻擊同一個系統。

黑客利用思科高危漏洞攻擊國內多家機構

 
2018年3月末，思科高危漏洞 CVE-2018-0171在清明小長假期間被黑客利用發動攻擊，國內多家機構中招，配置文件被清空，安全設備形同虛設。此漏洞影響底層網絡設備，且漏洞 PoC 已公開，很有可能構成重大威脅。
思科3月28日發布安全公告指出，思科 IOS 和 IOS-XE 軟件 Smart Install Client （開啟了Cisco Smart Install管理協議，且模式為client模式）存在遠程代碼執行漏洞 CVE-2018-0171，CVSS 評分高達9.8分（總分10分）。攻擊者可遠程向 TCP 4786 端口發送惡意數據包，觸發目標設備的棧溢出漏洞造成設備拒絕服務（DoS）或遠程執行任意代碼。

“疫苗門”后，長生生物官網被黑客攻擊

在沸沸揚揚的“疫苗門發生以后”，眾多網友和社會人士都對制造不合格疫苗的 長生生物科技公司紛紛斥責。這個事情不僅僅是一個疫苗的問題，它關乎著數十萬名孩子的身體安全，警方已對此事立案調查，但是社會人士卻依舊難掩心中的怒火。就在7月23日上午，疫苗事件的主角長生生物科技股份有限公司官網被黑客攻破，并且配圖表示“不搞你，對不起祖國的花朵！”隨后經過緊急的處理，長生生物官網顯示網站仍未恢復。很多網友都對這個黑客的做法點贊。

 

臺灣半導體巨頭臺積電突遭勒索病毒入侵損失慘重

8月3日晚間接近午夜時分，臺積電位于臺灣新竹科學園區的12英寸晶圓廠和營運總部，突然傳出電腦遭病毒入侵且生產線全數停擺的消息。幾個小時之內，臺積電位于臺中科學園區的Fab 15廠，以及臺南科學園區的Fab 14廠也陸續傳出同樣消息，這代表臺積電在臺灣北、中、南三處重要生產基地，同步因為病毒入侵而導致生產線停擺。
隨后，臺積電也對外證實此事。臺積電方面稱，8月3日傍晚，部分生產設備受到病毒感染，非如外傳之遭受黑客攻擊，公司已經控制此病毒感染范圍，同時找到解決方案，受影響生產設備正逐步恢復生產。受病毒感染的程度因工廠而異，部分工廠在短時間內已恢復正常，其余工廠預計在一天內恢復正常。臺積電檢查發現，此次感染的病毒為“Wanna Cry”的一個變種，直接影響是，受感染后的電腦宕機或者重復開機。
 

“驅動人生”木馬爆發

12月14日下午14點左右開始，江民病毒監測中心發現，互聯網上出現了一款利用“驅動人生”升級通道，并同時利用永恒系列高危漏洞傳播的木馬病毒突發事件，僅數個小時受攻擊用戶就接近10萬。普通用戶無需擔心，江民殺毒軟件第一時間已攔截該病毒，赤豹實驗室對病毒進行了詳細分析并對外發布預警。
江民赤豹安全實驗室研究人員介紹，該木馬程序利用“驅動人生”“人生日歷”等軟件傳播，具備遠程執行代碼功能，啟動后會將用戶計算機的詳細信息發往木馬服務器控制端，并接收遠程指令執行下一步操作。此外，該木馬還攜帶有“永恒之藍”漏洞攻擊組件，可利用該漏洞攻擊局域網與互聯網其他機器，進行傳播擴散，并回傳被感染電腦的IP地址、CPU型號等信息。

4.2數據泄露事件

國內
5月 國內黑客成功入侵快遞公司后臺:盜近億客戶信息
6月 A站受黑客攻擊 近千萬條用戶數據外泄
6月 圓通10億條快遞數據在暗網上兜售
8月 浙江省1000萬學籍數據在暗網被售賣
8月 華住旗下酒店5億條信息泄露
9月 順豐疑似泄露3億條物流數據
10月 國泰航空940萬乘客敏感信息外泄。
12月 陌陌數據外泄
12月 “春節搶票”導致信息泄露
國際
1月 美國國土安全部泄露24萬公民敏感信息
1月 印度國家數據庫 Aadhaar中11億印度公民信息遭泄露
3月 安德瑪運動品牌1.5億用戶數據泄露
3月 Facebook超過5000萬名用戶資料遭“劍橋分析”公司非法用來發送政治廣告
4月 美國最大面包連鎖店Panerabread旗下網站泄露顧客記錄3700萬條
6月 DNA檢測公司MyHeritage泄露9200萬賬戶
6月 谷歌Firebase平臺2,271個數據庫可公開訪問，這些數據庫中包括了1億多條敏感信息記錄
9月 瑞士數據管理公司泄露4.45億條用戶數據
9月 MongoDB數據庫近1100萬郵件詳細信息泄露
10月 在美國2018年中期選舉之前，暗網上出售20個州的選民數據，數量達到8000萬之多
12月 萬豪酒店5億客戶數據泄露
12月 Facebook泄露680萬用戶私密照片
 

國內黑客成功入侵快遞公司后臺:盜近億客戶信息

2018年5月，淮安市公安局清江浦分局接到當地某快遞公司報警，稱其服務的一家工藝品銷售公司客戶突然接到很多用戶投訴，稱他們在該公司購買產品后，接到了其他競爭對手的推銷電話，懷疑個人信息被泄漏。
接到報案后，清江浦分局進行了初步研判，發現該公司從2017年三月至四月，有超過1萬組數據被外部人員非法獲取，同時公司網站后臺也遭到非法入侵。
而經過技術追蹤，警方發現當地其他多家快遞公司的網站后臺，也出現了不同程度的非法入侵，存在公民信息數據被非法獲取惡現象。警方抓獲9名嫌疑人，總計交貨公民信息數據超過300G，近1億條，至此，涉案嫌疑人13人全部抓獲歸案！
 

A站受黑客攻擊 近千萬條用戶數據外泄

2018年6月，彈幕視頻網AcFun公告稱，因網站受黑客攻擊，已有近千萬條用戶數據外泄，目前已報警處理，希望用戶及時修改密碼。公告稱，用戶數據泄露的數量達近千萬條，原因是遭到黑客攻擊。泄露的數據主要包括用戶ID、昵稱、加密儲存的密碼等。A站表示，本次事件的根本原因在于公司沒有把AcFun做得足夠安全，為此，官方向用戶道歉，并將馬上提升用戶數據安全保障能力。

圓通10億條快遞數據在暗網上兜售

 
6月19日，一位ID為“f666666”的用戶在暗網上開始兜售圓通10億條快遞數據，該用戶表示售賣的數據為2014年下旬的數據，數據信息包括寄（收）件人姓名，電話，地址等信息，10億條數據已經經過去重處理，數據重復率低于20%，并以1比特幣打包出售。
并且該用戶還支持用戶對數據真實性進行驗貨，但驗貨費用為0.01比特幣（約合431.98元），驗貨數據量為100萬條。此驗貨數據是從10億條數據里隨機抽選的，每條數據完全不同，也就是說用戶只要花430元人民幣即可購買到100萬條圓通快遞的個人用戶信息，而10億條數據則需要43197元人民幣。

浙江省1000萬學籍數據在暗網被售賣

在8月1日下午安全人員通過暗網監測到浙江省1000萬條學籍數據正在暗網上售賣。
在截圖中顯示，賣家稱，去除無效數據后剩余1000萬條，售賣的學籍數據覆蓋了浙江的大部分市區，被泄露的信息包含了學生姓名、身份證、學籍號、戶籍位置、監護人、監護人號碼、居住地址、出生地、學校名稱等。除了文字數據，售賣的學籍數據里還提供有照片鏈接，在100G左右。
從暗網數據截圖來看，學籍信息里出生年齡分布在95年~06年，還包含了家人聯系方式及照片，因此數據的真實性較高。雖然賣家說是今年最新的數據，但不排除存在有老數據的可能。而且，被泄露的學籍數據里只含有中小學生，不包含大學生，推測浙江省中小學生學籍信息管理類系統可能被黑客入侵，取走數據。
 

華住旗下酒店5億條信息泄露

華住旗下多個連鎖酒店開房信息數據正在暗網出售，受到影響的酒店，包括漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等，泄露數據總數更是近 5億！
從網絡上流傳的截圖可以看出，黑客目前正在數據信息如下，有幾大數字值得我們注意：
1. 華住官網注冊資料，包括姓名、手機號、郵箱、身份證號、登錄密碼等，共 53 G，大約1.23 億條記錄；
2. 酒店入住登記身份信息，包括姓名、身份證號、家庭住址、生日、內部 ID 號，共 22.3 G，約 1.3 億人身份證信息；
3. 酒店開房記錄，包括內部ID賬號，同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID賬號、房間號、消費金額等，共66.2 G，約 2.4 億條記錄；
數據之齊全，令人咋舌。
發帖人聲稱，所有數據脫庫時間是 8 月 14 日，每部分數據都提供 10000 條測試數據。所有數據打包售賣 8 比特幣，按照當天匯率約約合 37 萬人民幣。而經過媒體報道之后，該發帖人稱要減價至 1 比特幣出售……
 
此次泄露的原因是華住公司程序員將數據庫連接方式及密碼上傳到 GitHub 導致的。而數據庫信息是20天前傳到了Github上，而黑客拖庫是在14天前，黑客很可能是利用此信息實施攻擊并拖庫.
 

順豐疑似泄露3億條物流數據

2018年9月，暗網交易市場有一個ID為“bijiaodiao1688”的用戶，在售賣順豐的用戶數據，總量高達3億條，包括快遞寄件人、收件人的姓名、地址、電話等個人信息，售價約10萬人民幣。當然，黑客要求用比特幣支付，2個比特幣，這樣別人就查不到其個人信息了。買家如果不放心，可以先發1000元或0.1個比特幣，買10萬條數據進行驗證。這份數據當中，包括快遞寄件人、收件人姓名、地址、電話，數據挺詳細。
 

香港國泰航空聲稱，包含有940萬乘客的敏感信息外泄

10月25日，香港國泰航空發布公告稱，該公司發現大約940萬名乘客的資料曾被不當取覽，涉及的個人信息包括乘客姓名、國籍、出生日期、電話號碼、電郵及實際地址、護照號碼、身份證號碼、飛行常客計劃會員號碼、顧客服務備注及過往的飛行記錄資料等。對此，國泰航空已就事件通知香港警察，并正知會各有關當局。
 

陌陌數據外泄

2018年12月3日，有爆料稱，陌陌3000萬數據在暗網上以50美金的價格出售。
陌陌回應稱，網傳數據為三年前的數據，且跟陌陌用戶的匹配度極低。

“春節搶票”導致信息泄露

春節臨近，搶票大戰一觸即發，在最火爆的春運行業，有人想要趁機分一杯羹。
近日，網絡上爆出12306數據遭泄露，暗網有人兜售60萬賬號及410萬聯系人信息，且目前已有多人人購買。并提供了如下截圖：

根據這條帖子的內容，這份數據包括60萬賬戶信息，詳細到除了ID、手機號、密碼之外，連姓名、身份證、郵箱、問題及答案竟然都有，根據安全問題很可能能夠直接申訴獲取其它平臺賬戶的重要信息。
此外，還包括每個賬戶中添加的聯系人信息，設計姓名及身份證號，這些聯系人數據總量高達410萬。帖子中還給出了50條隨機數據的全部信息。根據爆料者透露，這些賬戶數據經過驗證基本是真實。很快就出現了交易信息，但包含如此詳細信息的數據交易價格卻非常低，僅20美金，還不到140人民幣。
 

4.3其他重大安全事件概述：

1月 英特爾處理器曝“Meltdown”和“Spectre漏洞”
2月 蘋果IOS iBoot源碼泄露
5月 區塊鏈平臺EOS現史詩級系列高危安全漏洞
5月 Git曝任意代碼執行漏洞
7月 微信支付SDK曝XXE漏洞，攻擊者可免費獲取商品
9月 惡意軟件XBash曝光，針對Linux及Windows系統
9月 新型僵尸勒索軟件Virobot通過微軟Outlook廣泛傳播
12月 “微信支付”勒索病毒曝光，10萬多臺電腦被感染
 

英特爾處理器曝“Meltdown”和“Spectre漏洞”

 
Intel處理器被爆出存在硬件上的漏洞，該漏洞源于芯片硬件層面的一處設計BUG。這個BUG會允許程序竊取當前在計算機上處理的數據，并且影響Windows, MacOS, Linux。由于涉及硬件，該漏洞無法通過芯片的微碼（microcode）更新進行修復，需要通過內核級別的修復來解決，并且據研究表明，修復該漏洞會犧牲5%-30%的性能。
其中Meltdown指CPU上存在的惡意的數據緩存載入漏洞，Spectre指繞過邊界檢查漏洞和分支目標注入漏洞。目前中高端CPU具有預測執行的功能來提高效率，即處理器會“記憶”之前執行過的指令，下次指令要讀取的數據會被提前加入達到緩存中。黑客可以根據內存和緩存訪問的速度差異推測出內核數據存在的內存塊，從而非法讀取數據，用戶的密碼、住址等各項重要信息都會被暴露。

蘋果IOS iBoot源碼泄露

Motherboard 和 Redmond Pie 發布報告稱他們在代碼分享網站 GitHub 上發現了 iPhone 操作系統的核心組件源碼，這些源碼現在處于公開狀態，如果一旦被黑客利用，不僅越獄工具會井噴，數以億計 iOS 設備的安全性也將受到威脅。
據悉，泄露的代碼屬于 iBoot，iBoot 是 iOS 安全系統的重要組成部分，大家能夠把它當做是 Windows 電腦的 BIOS 系統。這些源碼最開始在 Reddit 上被在線共享，而今天出現在 GitHub 上意味著它已經被大量開發者下載。
不少安全專家表示，這些代碼確實來自 iOS ，屬于 iOS 9，雖然這是一個老系統了，和現在最新的 iOS 11.2.5 也沒有很多重合的源碼，但誰也不能說二者100%沒有重合。不過好在現在的 iOS 設備都有 Secure Enclave 提供保護，而且這份泄露的源碼缺少文件，還不能被完全編譯，所以此次泄露不會導致大量 iOS 設備直接受到攻擊。
 

區塊鏈平臺EOS現史詩級系列高危安全漏洞

2018年5月，區塊鏈平臺 EOS 被爆出的一系列高危安全漏洞。經驗證，其中部分漏洞可以在 EOS 節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管 EOS 上運行的所有節點。
在攻擊中，攻擊者會構造并發布包含惡意代碼的智能合約，EOS 超級節點將會執行這個惡意合約，并觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊，進而導致網絡中所有全節點（備選超級節點、交易所充值提現節點、數字貨幣錢包服務器節點等）被遠程控制。
由于已經完全控制了節點的系統，攻擊者可以“為所欲為”，如竊取 EOS 超級節點的密鑰，控制 EOS 網絡的虛擬貨幣交易；獲取 EOS 網絡參與節點系統中的其他金融和隱私數據，例如交易所中的數字貨幣、保存在錢包中的用戶密鑰、關鍵的用戶資料和隱私數據等等。
更有甚者，攻擊者可以將 EOS 網絡中的節點變為僵尸網絡中的一員，發動網絡攻擊或變成免費“礦工”，挖取其他數字貨幣。
EOS 是被稱為“區塊鏈3.0”的新型區塊鏈平臺，目前其代幣市值高達 690 億人民幣，在全球市值排名第五。網絡安全領域專家稱，這類型的安全問題不僅僅影響 EOS，也可能影響其他類型的區塊鏈平臺與虛擬貨幣應用

Git曝任意代碼執行漏洞

Git 社區于2018年5月發現 Git 存在一個漏洞，允許黑客執行任意代碼。 他敦促開發人員盡快更新客戶端應用程序。 微軟還采取了進一步措施，防止惡意代碼庫被推入微軟的 VSTS（Visual Studio Team Services）
此代碼是 CVE 2018-11235 中的一個安全漏洞。 當用戶在惡意代碼庫中操作時，他們可能會受到任意代碼執行攻擊。 遠程代碼存儲庫包含子模塊定義和數據，它們作為文件夾捆綁在一起并提交給父代碼存儲庫。 當這個代碼倉庫被來回復制時，Git 最初會將父倉庫放到工作目錄中，然后準備復制子模塊。
但是，Git 稍后會發現它不需要復制子模塊，因為子模塊之前已經提交給父存儲庫，它也被寫入工作目錄，這個子模塊已經存在于磁盤上。 因此，Git 可以跳過抓取文件的步驟，并直接在磁盤上的工作目錄中使用子模塊。
但是，并非所有文件都可以被復制。 當客戶端復制代碼庫時，無法從服務器獲取重要的配置。 這包括 .git 或配置文件的內容。 另外，在 Git 工作流中的特定位置執行的鉤子（如Git）將在將文件寫入工作目錄時執行 Post-checkout 鉤子。
不應該從遠程服務器復制配置文件的一個重要原因就是，遠程服務器可能提供由 Git 執行的惡意代碼。CVE 2018-11235 的漏洞正是犯了這個錯誤，所以 Git 有子模塊來設置漏洞。 子模塊存儲庫提交給父存儲庫，并且從未實際復制過。子模塊存儲庫中可能存在已配置的掛鉤。 當用戶再次出現時，惡意的父庫會被精心設計。將寫入工作目錄，然后 Git 讀取子模塊，將這些子模塊寫入工作目錄，最后一步執行子模塊存儲庫中的任何 Post-checkout 掛鉤。

微信支付SDK曝XXE漏洞，攻擊者可免費獲取商品

2018年7月，微信支付的SDK曝出重大漏洞（XXE漏洞），通過該漏洞，攻擊者可以獲取服務器中目錄結構、文件內容，如代碼、各種私鑰等。獲取這些信息以后，攻擊者便可以為所欲為，其中就包括眾多媒體所宣傳的“0元也能買買買”。

根據白帽子給出的漏洞描述，使用微信支付時，商家需要提供通知網址以接受異步支付結果。 問題是微信在JAVA版本SDK中的實現存在一個xxe漏洞。 攻擊者可以向通知URL構建惡意payload，根據需要竊取商家服務器的任何信息。 一旦攻擊者獲得商家的關鍵安全密鑰（md5-key和merchant-Id等），就可以通過發送偽造信息來欺騙商家購買任何東西而無需付費。
 

惡意軟件XBash曝光，針對Linux及Windows系統

Palo Alto Networks的安全研究人員發現了一種新的惡意軟件，被稱為Xbash，主要針對Linux和Microsoft Windows服務器。惡意代碼結合了不同惡意軟件的功能，如勒索軟件，挖礦軟件，僵尸網絡和蠕蟲。在被感染的Linux系統中發現了僵尸網絡和勒索軟件功能，而在被感染的Windows服務器中則發現了挖礦行為。
Xbash是使用Python開發的，惡意軟件作者通過濫用合法工具PyInstaller進行分發，轉換為自包含的Linux ELF可執行文件。惡意代碼結合了不同惡意軟件的功能，如勒索軟件，加密貨幣挖礦軟件，僵尸網絡和蠕蟲。Xbash擁有勒索軟件的核心功能，同時還具有自傳播性（意味著它具有類似于WannaCry或Petya/NotPetya的蠕蟲特征）。
 

新型僵尸勒索軟件Virobot通過微軟Outlook廣泛傳播

根據一份披露的安全報告，一種全新的僵尸網絡勒索軟件Virobot正通過微軟Outlook進行大肆傳播。報告中指出該惡意軟件同時兼具僵尸網絡和勒索軟件的特征，在微軟Outlook上以垃圾郵件的方式進行傳播。
報告中寫道：“Virobot首次發現于2018年9月17日，是對臭名昭著的Locky勒索軟件變種分析7天之后發現的。一旦感染Virobot，它就會檢查注冊表鍵值（計算機GUID和產品秘鑰）來確認系統是否應該加密。然后通過加密隨機數生成器（Random Number Generator）來生成加密和解密你要。此外伴隨著生成的秘鑰，Virobot還會將收集的受害者數據通過POST發送到C&C 服務器 上。”
 

 “微信支付”勒索病毒曝光，10萬多臺電腦被感染

微信，作為現在大多數人幾乎每天都要使用，已經成為生活中必不可少的移動交流和支付工具，而12月1日爆發了"微信支付"勒索病毒并快速傳播，感染的電腦數量越來越多。病毒團伙入侵并利用豆瓣的C&C服務器，除了鎖死受害者文件勒索贖金（支付通道已經關閉），還大肆偷竊支付寶等密碼。
據江民安全團隊分析，病毒作者首先攻擊軟件開發者的電腦，感染其用以編程的"易語言"中的一個模塊，導致開發者所有使用"易語言"編程的軟件均攜帶該勒索病毒。廣大用戶下載這些"帶毒"軟件后，就會感染該勒索病毒。整個傳播過程并不復雜，但污染"易語言"后再感染軟件的方式卻比較罕見。

五、總結：

 
從網絡攻擊、惡意軟件到數據泄露，網絡安全形勢日益嚴峻，變化越來越快。無論是個人消費者，還是企業，都應當重視網絡安全發展，注意網絡安全態勢。未來我們即將迎來一個萬物互聯的時代，網絡安全不僅單單影響互聯網的穩定，也關系到數據，業務，財產乃至國家安全，只有走在威脅的前面，才能有效及時得防止威脅。鑒于當前全球安全態勢的性質，我們需要思考自身當前安全策略，樹立新時代的網絡安全觀，與時俱進，才能夠應對當下乃至未來更嚴峻的網絡安全威脅！
 
 
 
 
（本報告來源于江民赤豹網絡安全實驗室）