一、摘要

近日，江民赤豹安全實(shí)驗(yàn)室針對(duì)2018年整體安全態(tài)勢(shì)做了詳細(xì)分析，報(bào)告中引用了Gemalto調(diào)研數(shù)據(jù)，據(jù)統(tǒng)計(jì)僅2018年數(shù)據(jù)泄露事件高達(dá)945次，導(dǎo)致的信息泄露數(shù)量達(dá)到45億條之多，相比2017年同期雖然泄露事件有所下降，但信息量卻陡增了133個(gè)百分點(diǎn)。而在去年頻繁發(fā)生的勒索及挖礦病毒攻擊熱度也并沒(méi)有下降，隨著科技化時(shí)代的到來(lái)，仍有很多企業(yè)和個(gè)人的網(wǎng)絡(luò)安全意識(shí)和措施并沒(méi)有成熟，網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露帶來(lái)的影響未來(lái)也會(huì)越發(fā)重要。 

二、2018年中國(guó)網(wǎng)絡(luò)安全形式分析

赤豹實(shí)驗(yàn)室研究人員從以下八個(gè)方面分析了網(wǎng)絡(luò)安全的現(xiàn)狀與未來(lái)發(fā)展趨勢(shì)： 

1.社會(huì)工程學(xué)

社交工程是網(wǎng)絡(luò)犯罪發(fā)展最快的領(lǐng)域，世界第一黑客凱文·米特尼克在《欺騙的藝術(shù)》中曾提到，人為因素才是安全的軟肋。很多企業(yè)、公司在信息安全上投入大量的資金，最終導(dǎo)致數(shù)據(jù)泄露的原因，往往卻是發(fā)生在人本身。你們可能永遠(yuǎn)都想象不到，對(duì)于黑客們來(lái)說(shuō)，通過(guò)一個(gè)用戶名、一串?dāng)?shù)字、一串英文代碼，社會(huì)工程師就可以通過(guò)這么幾條的線索，通過(guò)社工攻擊手段，加以篩選、整理，就能把你的所有個(gè)人情況信息、家庭狀況、興趣愛(ài)好、婚姻狀況、你在網(wǎng)上留下的一切痕跡等個(gè)人信息全部掌握得一清二楚。雖然這個(gè)可能是最不起眼，而且還是最麻煩的方法。一種無(wú)需依托任何黑客軟件，更注重研究人性弱點(diǎn)的黑客手法正在興起，這就是社會(huì)工程學(xué)黑客技術(shù)。
勒索軟件配合利用社會(huì)工程學(xué)的欺詐郵件造成的影響往往比其他方式投遞的手法要大很多，尤其在2018年這個(gè)勒索軟件仍然泛濫的使其特別明顯。電子郵件欺詐帶來(lái)的損失史無(wú)前例，累計(jì)已達(dá)120億美元。古老的騙局一而再再而三的卷土重來(lái)，其利用的是人們心理上的弱點(diǎn)與認(rèn)知上的缺陷。針對(duì)這種攻擊，我們注定無(wú)法完全免疫。
 

2.勒索軟件

2018上半年基于“永恒之藍(lán)”的攻擊嘗試超過(guò)漏洞攻擊總量的30%以上。眾所周知，2017年4月，某黑客組織獲取并泄漏美國(guó)國(guó)家安全局(NSA)掌握的網(wǎng)絡(luò)武器“永恒之藍(lán)”，導(dǎo)致利用該漏洞的惡意程序在網(wǎng)絡(luò)上肆虐，最典型的是勒索病毒。
勒索軟件在全球范圍內(nèi)持續(xù)對(duì)不同業(yè)務(wù)無(wú)差別攻擊，但他們的目標(biāo)會(huì)聚焦在包括SMBs在內(nèi)的抗攻擊能力較弱且準(zhǔn)備不足的企業(yè)。在這種情況下，勒索金額會(huì)降低以便小企業(yè)有能力支付，區(qū)域性醫(yī)療服務(wù)機(jī)構(gòu)或醫(yī)院將會(huì)遭到重?fù)簦饕蚴亲鳛槟繕?biāo)他們攻擊起來(lái)太容易。用最少的付出獲取最大收益是這些“生意人”所追求的。
與此同時(shí)，勒索軟件也在與網(wǎng)絡(luò)釣魚和社會(huì)工程協(xié)同合作，2018年這兩大方面的進(jìn)一步融合。同樣有趣的是，加密貨幣價(jià)值正在影響勒索軟件的增長(zhǎng)。
 

3.區(qū)塊鏈安全

說(shuō)到區(qū)塊鏈，就繞不開(kāi)數(shù)字貨幣的問(wèn)題，而談到數(shù)字貨幣，就無(wú)法回避數(shù)字貨幣的安全問(wèn)題，從以前的幣安受到攻擊，到不久前因?yàn)橹悄芎霞s漏洞導(dǎo)致的巨額經(jīng)濟(jì)損失，直到今年發(fā)生的EOS爆發(fā)高危漏洞，無(wú)一不證明著區(qū)塊鏈和數(shù)字貨幣安全的問(wèn)題，絕不是像表面看起來(lái)那么簡(jiǎn)單。
近三年來(lái)，交易所被盜的損失大概是8.64億美元，一些很著名的交易所都發(fā)生過(guò)盜竊，盜竊情況越來(lái)越猖獗。2016年為1.48億美元，2017年為2.96億美元，2018年才過(guò)去一半已達(dá)5億美元，超過(guò)了前兩年的總和。
攻擊方法也從Botnet、DDoS逐漸向挖礦轉(zhuǎn)移。UCloud通過(guò)安全產(chǎn)品共捕獲到了ddg20xx木馬，而這些木馬控制的三個(gè)錢包已經(jīng)合計(jì)挖礦90萬(wàn)到150萬(wàn)美元。UCloud目前已經(jīng)捕捉了30多種類似的樣本，而像星巴克Wifi挖礦，軟件中捆綁挖礦代碼、南方周刊官網(wǎng)挖礦這些熱門攻擊事件說(shuō)明，以往復(fù)雜的攻擊方式變得更加簡(jiǎn)單，新的變現(xiàn)方式，更加容易變現(xiàn)，黑客的門檻也顯著降低，而原本由彈窗和廣告構(gòu)成的PC端惡意軟件，也加入了挖礦產(chǎn)業(yè)。這種情況的發(fā)生，與數(shù)字貨幣火熱關(guān)系重大，數(shù)字貨幣高回報(bào)、匿名性、不可溯源的特性，實(shí)際上為黑客提供了一個(gè)很好的變現(xiàn)途徑。
 

4.機(jī)器學(xué)習(xí)

機(jī)器學(xué)習(xí)是一個(gè)因人而異的時(shí)髦的口號(hào)，在未來(lái)的幾年我們都希望能看到對(duì)于這種能力更清晰的發(fā)展思路。機(jī)器學(xué)習(xí)的目標(biāo)應(yīng)該是解放人類，提高在信息海洋中處理、理解和行動(dòng)力、安全技術(shù)持續(xù)發(fā)展意味著我們會(huì)看到更好質(zhì)量更高的數(shù)據(jù)結(jié)果。處理能力的提高和更為智能化的反應(yīng)也成為了可能。
機(jī)器學(xué)近年來(lái)，機(jī)器學(xué)習(xí)因其自主執(zhí)行特定任務(wù)及訓(xùn)練設(shè)備的特質(zhì)，已被視為當(dāng)前最有前途的網(wǎng)絡(luò)安全工具之一。在面對(duì)網(wǎng)絡(luò)威脅的時(shí)候，機(jī)器學(xué)習(xí)可主動(dòng)分析其復(fù)雜性，采取有效的對(duì)策，與傳統(tǒng)手動(dòng)修復(fù)方式相比，機(jī)器學(xué)習(xí)超高的學(xué)習(xí)能力和執(zhí)行效率大幅減輕了安全人員的工作負(fù)擔(dān)。但機(jī)器學(xué)習(xí)仍有弊端，因?yàn)闄C(jī)器學(xué)習(xí)無(wú)自主意識(shí)，黑客可入侵機(jī)器學(xué)習(xí)的過(guò)程，直接更改設(shè)備設(shè)定或行為，獲取其完全控制權(quán)。

5.AI

隨著人工智能的發(fā)展，安全人員越來(lái)越難以分辨攻擊是否由人類發(fā)起，自動(dòng)化入侵過(guò)程中的某些技術(shù)密集部分，同樣可以為攻擊者帶來(lái)較高的投資回報(bào)。
研究人員發(fā)現(xiàn)，AI能通過(guò)其可擴(kuò)展性引入威脅，例如惡意軟件可在受感染環(huán)境中觀察正常業(yè)務(wù)操作，通過(guò)了解受感染機(jī)器與哪些內(nèi)部設(shè)備通信、使用的協(xié)議和端口有哪些等內(nèi)容，學(xué)習(xí)所處環(huán)境的上下文，免除傳統(tǒng)命令與控制（C2）信道，增加檢測(cè)難度。在提供此類攻擊渠道的同時(shí)，AI還可以學(xué)習(xí)可能觸發(fā)安全解決方案警報(bào)的數(shù)據(jù)傳輸數(shù)率，動(dòng)態(tài)調(diào)整其數(shù)據(jù)滲漏的規(guī)模和時(shí)機(jī)以避免檢測(cè)。
 

6.黑灰色產(chǎn)業(yè)鏈

有人的地方就有江湖，黑灰產(chǎn)則是互聯(lián)網(wǎng)江湖水最渾的領(lǐng)域，而黑灰產(chǎn)內(nèi)部為了利益也是不斷亂斗，其中不擇手段之處更甚于正規(guī)商業(yè)江湖。
相對(duì)早期黑客的單打獨(dú)斗，如今互聯(lián)網(wǎng)黑色產(chǎn)業(yè)更像一個(gè)航母戰(zhàn)斗群，各種外部資源如手機(jī)號(hào)、郵箱號(hào)、IP 資源、過(guò)驗(yàn)證碼服務(wù)，都已經(jīng)形成規(guī)模化平臺(tái)。這讓黑客只要專注最核心的技術(shù)實(shí)現(xiàn)，就可以快速整合資源對(duì)各公司造成危害。
黑客利用病毒木馬非法盜取或者通過(guò)機(jī)構(gòu)泄密人員購(gòu)買他人身份證號(hào)、手機(jī)號(hào)、游戲帳號(hào)、郵箱、家庭住址等私人信息，以及被盜者家庭成員的上述隱私，甚至包括所養(yǎng)寵物的信息，然后進(jìn)行非法販賣。信息泄露連續(xù)五年創(chuàng)歷史記錄，且不分行業(yè)與領(lǐng)域。而隨著網(wǎng)絡(luò)世界向數(shù)字世界的演化，信息泄露將成為全球科技始終無(wú)法避免的“自然災(zāi)害”。

7.立法

漏洞披露、個(gè)人隱私、數(shù)據(jù)安全、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)、經(jīng)濟(jì)博弈、網(wǎng)絡(luò)犯罪、國(guó)家安全，是制定政策法規(guī)的關(guān)鍵詞和重要背景。網(wǎng)絡(luò)安全已經(jīng)得到全球各國(guó)政府的實(shí)際重視，并成為支撐自身發(fā)展，與他國(guó)進(jìn)行政治、軍事、經(jīng)濟(jì)博弈的關(guān)鍵因素之一。
2018年政府在互聯(lián)網(wǎng)上發(fā)揮著重要作用。隨著網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略逐步實(shí)施推進(jìn)，多部網(wǎng)絡(luò)安全法律法規(guī)及政策文件的出臺(tái)實(shí)施，將有力推進(jìn)我國(guó)互聯(lián)網(wǎng)安全管理水平，提升網(wǎng)絡(luò)安全影響力，保障廣大人民享受健康清朗的互聯(lián)網(wǎng)應(yīng)用環(huán)境，共同維護(hù)繁榮、健康、有序的網(wǎng)絡(luò)文化環(huán)境。
 

8.漏洞

漏洞受到業(yè)界的極大重視并成為重要戰(zhàn)略資源。這種重視反而限制了漏洞公布的速度和數(shù)量，許多相關(guān)的破解活動(dòng)和賽事陷入低潮。與此同時(shí)，如何減少漏洞的產(chǎn)生以及如何進(jìn)行客觀的價(jià)值評(píng)價(jià)，成為各方面的關(guān)注重點(diǎn)。
以前漏洞大部分都是APT團(tuán)伙在使用，但隨著經(jīng)濟(jì)利益的驅(qū)使，挖礦和勒索病毒也開(kāi)始使用漏洞，而且使用漏洞的種類開(kāi)始增加，這就導(dǎo)致很多受害者，并沒(méi)有下載運(yùn)行可疑程序也有可能中毒。尤其是服務(wù)器，運(yùn)行了很多web服務(wù)、數(shù)據(jù)庫(kù)服務(wù)、開(kāi)源CMS等服務(wù)，這些服務(wù)經(jīng)常會(huì)出現(xiàn)漏洞，如果服務(wù)器沒(méi)有及時(shí)更新補(bǔ)丁，就會(huì)被攻擊者通過(guò)漏洞植入病毒，而且很多公司的外網(wǎng)服務(wù)器和內(nèi)網(wǎng)是連通的，一旦服務(wù)器中毒，就可能導(dǎo)致局域網(wǎng)很多機(jī)器中毒。
 
 

 

三、網(wǎng)絡(luò)安全防范建議

隨著人工智能、云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)和區(qū)塊鏈等技術(shù)越來(lái)越廣泛的應(yīng)用和融合發(fā)展，新技術(shù)應(yīng)用在帶來(lái)新一輪的產(chǎn)業(yè)變革的同時(shí)，全球性的網(wǎng)絡(luò)安全威脅和新型網(wǎng)絡(luò)犯罪也變得日益猖獗，重大網(wǎng)絡(luò)安全事故頻發(fā)，網(wǎng)絡(luò)安全形勢(shì)越發(fā)嚴(yán)峻。下面是就網(wǎng)絡(luò)安全提出的幾點(diǎn)防范建議：
1. 防止泄露敏感數(shù)據(jù)
無(wú)論是商業(yè)記錄還是個(gè)人納稅申報(bào)表，加密最敏感的數(shù)據(jù)都是個(gè)好主意。加密可確保只有您或您提供密碼的人才能訪問(wèn)您的文件。

2. 保護(hù)所有被攻擊面
向虛擬和云環(huán)境遷移帶來(lái)的明確業(yè)務(wù)利益意味著混合網(wǎng)絡(luò)正逐漸成為標(biāo)準(zhǔn)。如果希望有效確保Office 365等基于云或SaaS的應(yīng)用程序，必須采用專用于混合網(wǎng)絡(luò)集中管理的綜合解決方案。

3. 提高用戶安全意識(shí)
用戶行為可以成為最大的弱點(diǎn)。只有通過(guò)執(zhí)行、監(jiān)控和用戶教育的相互結(jié)合，才能確保良好的安全性，特別是應(yīng)對(duì)網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚、注冊(cè)近似域名和社會(huì)工程等威脅。

4. 不要忘記遠(yuǎn)程連接管理
移動(dòng)革命可以推動(dòng)生產(chǎn)力、協(xié)作和創(chuàng)新，但由于經(jīng)常通過(guò)個(gè)人設(shè)備進(jìn)行連接，很多工作會(huì)處于網(wǎng)絡(luò)邊界以外。如果沒(méi)有進(jìn)行適當(dāng)保護(hù)，將會(huì)對(duì)安全性造成巨大的潛在缺口。

5. 維護(hù)要求
軟件維護(hù)不是迷人的，但沒(méi)有它，你可能會(huì)暴露自己主要的安全漏洞。 使用移動(dòng)設(shè)備和許多PC，你可以設(shè)置和忘記對(duì)移動(dòng)應(yīng)用程序的自動(dòng)更新。 與你連接的東西，閱讀用戶手冊(cè)，以確保自己知道如何檢查更新。

6. 學(xué)會(huì)發(fā)現(xiàn)潛在威脅
基礎(chǔ)設(shè)施可能包含很多潛在威脅。電子郵件收件箱里充滿了等待點(diǎn)擊的惡意附件和鏈接。同樣，必須定期對(duì)本地和云端的所有應(yīng)用程序進(jìn)行掃描和打補(bǔ)丁，以杜絕漏洞。

7. 新攻擊防御技術(shù)部署
隨著當(dāng)今威脅趨勢(shì)的不斷演化，開(kāi)始出現(xiàn)成熟且具有目標(biāo)性的零時(shí)差攻擊。為了阻止這些攻擊，需要通過(guò)沙箱分析和訪問(wèn)最新的全球威脅情報(bào)獲得先進(jìn)的動(dòng)態(tài)保護(hù)。

8. 使用可靠的備份解決方案
一個(gè)簡(jiǎn)單可靠的備份系統(tǒng)可以幫助你在幾分鐘或幾小時(shí)內(nèi)從多個(gè)攻擊中恢復(fù)。當(dāng)由于惡意軟件導(dǎo)致數(shù)據(jù)損壞、加密或被竊時(shí)，只需從備份中進(jìn)行恢復(fù)，即可讓業(yè)務(wù)重新回到正常軌道。
赤豹實(shí)驗(yàn)室整理了2018年影響較大的一些網(wǎng)絡(luò)攻擊及數(shù)據(jù)泄漏事件。

四、2018安全事件概述

4.1網(wǎng)絡(luò)安全攻擊事件：
國(guó)內(nèi)
2月 上海某公立醫(yī)院HIS系統(tǒng)被黑，勒索2億“以太幣”
3月 湖北某醫(yī)院內(nèi)網(wǎng)遭到挖礦病毒瘋狂攻擊
3月 中國(guó)某軍工企業(yè)被美、俄兩國(guó)黑客攻擊
3月 黑客利用思科高危漏洞攻擊國(guó)內(nèi)多家機(jī)構(gòu)
6月 A站受黑客攻擊 近千萬(wàn)條用戶數(shù)據(jù)外泄
7月 “疫苗門”后，長(zhǎng)生生物官網(wǎng)被黑客攻擊
8月 臺(tái)灣半導(dǎo)體巨頭臺(tái)積電突遭勒索病毒入侵損失慘重
12月 “驅(qū)動(dòng)人生”木馬爆發(fā)

國(guó)際
1月 韓國(guó)平昌冬奧會(huì)遭黑客魚叉式網(wǎng)絡(luò)釣魚攻擊
1月 東京交易所Coincheck價(jià)值5.3億美元的加密貨幣NEM被黑客竊取
2月 加密貨幣采礦軟件攻擊致歐洲廢水處理設(shè)施癱瘓
3月 GitHub遭受有史以來(lái)最嚴(yán)重DDoS攻擊
4月 納斯達(dá)克數(shù)據(jù)中心被聲音“攻擊”，北歐交易全線中斷
5月 惡意軟件VPNFilter影響范圍覆蓋全球54個(gè)國(guó)家，超過(guò)50萬(wàn)臺(tái)路由器和網(wǎng)絡(luò)設(shè)備。
7月 一伙網(wǎng)絡(luò)犯罪通過(guò)劫持40名受害者的手機(jī)SIM卡，共竊取了總額超過(guò)500萬(wàn)美元的加密貨幣。
8月 微軟發(fā)現(xiàn)新一輪俄羅斯黑客攻擊，美國(guó)中期選舉或受影響
12月 NASA服務(wù)器遭黑客攻擊

海某公立醫(yī)院HIS系統(tǒng)被黑，勒索2億"以太幣"

 
以太幣（ETH）是以太坊（Ethereum）的一種數(shù)字代幣，被視為“比特幣2.0版”。它采用與比特幣不同的區(qū)塊鏈技術(shù)“以太坊”（Ethereum），開(kāi)發(fā)者們需要支付以太幣（ETH）來(lái)支撐應(yīng)用的運(yùn)行。和其他數(shù)字貨幣一樣，以太幣可以在交易平臺(tái)上進(jìn)行買賣。
專家表示，醫(yī)療數(shù)據(jù)在黑客眼中簡(jiǎn)直就是個(gè)大金庫(kù)，內(nèi)有個(gè)人姓名、住址、聯(lián)系方式、社會(huì)保險(xiǎn)號(hào)碼、銀行賬號(hào)信息、索賠數(shù)據(jù)和臨床資料等海量信息。這些信息不光能在黑市上賣個(gè)好價(jià)錢、供人盜用身份，還能讓人非法獲取處方藥、甚至騙取保險(xiǎn)。一旦有人因此被竊取身份，小到尋醫(yī)問(wèn)藥、大到醫(yī)療保險(xiǎn)、信用記錄都可能受影響，風(fēng)險(xiǎn)著實(shí)不容忽視。
 

湖北某醫(yī)院內(nèi)網(wǎng)遭到挖礦病毒瘋狂攻擊

 
 
2018年3月，湖北某醫(yī)院內(nèi)網(wǎng)遭到挖礦病毒瘋狂攻擊，導(dǎo)致該醫(yī)院大量的自助掛號(hào)、繳費(fèi)、報(bào)告查詢打印等設(shè)備無(wú)法正常工作。由于這些終端為自助設(shè)備，只提供特定的功能，安全性沒(méi)有得到重視，系統(tǒng)中沒(méi)有安裝防病毒產(chǎn)品，系統(tǒng)補(bǔ)丁沒(méi)有及時(shí)更新，同時(shí)該醫(yī)院中各個(gè)科室的網(wǎng)段沒(méi)有很好的隔離，導(dǎo)致挖礦病毒集中爆發(fā)。
 

 中國(guó)某軍工企業(yè)被美、俄兩國(guó)黑客攻擊

2018年3月，安全研究人員表示，中國(guó)某軍工企業(yè)被美、俄兩國(guó)黑客攻擊。美國(guó)黑客和俄羅斯黑客在2017年冬天入侵了中國(guó)一家航空航天軍事企業(yè)的服務(wù)器，并且留下了網(wǎng)絡(luò)間諜工具。研究人員認(rèn)為這種情況比較罕見(jiàn)，以前從未發(fā)現(xiàn)俄羅斯黑客組織 APT28 與美國(guó) CIA 的黑客組織 Lamberts （又被稱為“長(zhǎng)角牛”Longhorn）攻擊同一個(gè)系統(tǒng)。

黑客利用思科高危漏洞攻擊國(guó)內(nèi)多家機(jī)構(gòu)

 
2018年3月末，思科高危漏洞 CVE-2018-0171在清明小長(zhǎng)假期間被黑客利用發(fā)動(dòng)攻擊，國(guó)內(nèi)多家機(jī)構(gòu)中招，配置文件被清空，安全設(shè)備形同虛設(shè)。此漏洞影響底層網(wǎng)絡(luò)設(shè)備，且漏洞 PoC 已公開(kāi)，很有可能構(gòu)成重大威脅。
思科3月28日發(fā)布安全公告指出，思科 IOS 和 IOS-XE 軟件 Smart Install Client （開(kāi)啟了Cisco Smart Install管理協(xié)議，且模式為client模式）存在遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2018-0171，CVSS 評(píng)分高達(dá)9.8分（總分10分）。攻擊者可遠(yuǎn)程向 TCP 4786 端口發(fā)送惡意數(shù)據(jù)包，觸發(fā)目標(biāo)設(shè)備的棧溢出漏洞造成設(shè)備拒絕服務(wù)（DoS）或遠(yuǎn)程執(zhí)行任意代碼。

“疫苗門”后，長(zhǎng)生生物官網(wǎng)被黑客攻擊

在沸沸揚(yáng)揚(yáng)的“疫苗門發(fā)生以后”，眾多網(wǎng)友和社會(huì)人士都對(duì)制造不合格疫苗的 長(zhǎng)生生物科技公司紛紛斥責(zé)。這個(gè)事情不僅僅是一個(gè)疫苗的問(wèn)題，它關(guān)乎著數(shù)十萬(wàn)名孩子的身體安全，警方已對(duì)此事立案調(diào)查，但是社會(huì)人士卻依舊難掩心中的怒火。就在7月23日上午，疫苗事件的主角長(zhǎng)生生物科技股份有限公司官網(wǎng)被黑客攻破，并且配圖表示“不搞你，對(duì)不起祖國(guó)的花朵！”隨后經(jīng)過(guò)緊急的處理，長(zhǎng)生生物官網(wǎng)顯示網(wǎng)站仍未恢復(fù)。很多網(wǎng)友都對(duì)這個(gè)黑客的做法點(diǎn)贊。

 

臺(tái)灣半導(dǎo)體巨頭臺(tái)積電突遭勒索病毒入侵損失慘重

8月3日晚間接近午夜時(shí)分，臺(tái)積電位于臺(tái)灣新竹科學(xué)園區(qū)的12英寸晶圓廠和營(yíng)運(yùn)總部，突然傳出電腦遭病毒入侵且生產(chǎn)線全數(shù)停擺的消息。幾個(gè)小時(shí)之內(nèi)，臺(tái)積電位于臺(tái)中科學(xué)園區(qū)的Fab 15廠，以及臺(tái)南科學(xué)園區(qū)的Fab 14廠也陸續(xù)傳出同樣消息，這代表臺(tái)積電在臺(tái)灣北、中、南三處重要生產(chǎn)基地，同步因?yàn)椴《救肭侄鴮?dǎo)致生產(chǎn)線停擺。
隨后，臺(tái)積電也對(duì)外證實(shí)此事。臺(tái)積電方面稱，8月3日傍晚，部分生產(chǎn)設(shè)備受到病毒感染，非如外傳之遭受黑客攻擊，公司已經(jīng)控制此病毒感染范圍，同時(shí)找到解決方案，受影響生產(chǎn)設(shè)備正逐步恢復(fù)生產(chǎn)。受病毒感染的程度因工廠而異，部分工廠在短時(shí)間內(nèi)已恢復(fù)正常，其余工廠預(yù)計(jì)在一天內(nèi)恢復(fù)正常。臺(tái)積電檢查發(fā)現(xiàn)，此次感染的病毒為“Wanna Cry”的一個(gè)變種，直接影響是，受感染后的電腦宕機(jī)或者重復(fù)開(kāi)機(jī)。
 

“驅(qū)動(dòng)人生”木馬爆發(fā)

12月14日下午14點(diǎn)左右開(kāi)始，江民病毒監(jiān)測(cè)中心發(fā)現(xiàn)，互聯(lián)網(wǎng)上出現(xiàn)了一款利用“驅(qū)動(dòng)人生”升級(jí)通道，并同時(shí)利用永恒系列高危漏洞傳播的木馬病毒突發(fā)事件，僅數(shù)個(gè)小時(shí)受攻擊用戶就接近10萬(wàn)。普通用戶無(wú)需擔(dān)心，江民殺毒軟件第一時(shí)間已攔截該病毒，赤豹實(shí)驗(yàn)室對(duì)病毒進(jìn)行了詳細(xì)分析并對(duì)外發(fā)布預(yù)警。
江民赤豹安全實(shí)驗(yàn)室研究人員介紹，該木馬程序利用“驅(qū)動(dòng)人生”“人生日歷”等軟件傳播，具備遠(yuǎn)程執(zhí)行代碼功能，啟動(dòng)后會(huì)將用戶計(jì)算機(jī)的詳細(xì)信息發(fā)往木馬服務(wù)器控制端，并接收遠(yuǎn)程指令執(zhí)行下一步操作。此外，該木馬還攜帶有“永恒之藍(lán)”漏洞攻擊組件，可利用該漏洞攻擊局域網(wǎng)與互聯(lián)網(wǎng)其他機(jī)器，進(jìn)行傳播擴(kuò)散，并回傳被感染電腦的IP地址、CPU型號(hào)等信息。

4.2數(shù)據(jù)泄露事件

國(guó)內(nèi)
5月 國(guó)內(nèi)黑客成功入侵快遞公司后臺(tái):盜近億客戶信息
6月 A站受黑客攻擊 近千萬(wàn)條用戶數(shù)據(jù)外泄
6月 圓通10億條快遞數(shù)據(jù)在暗網(wǎng)上兜售
8月 浙江省1000萬(wàn)學(xué)籍?dāng)?shù)據(jù)在暗網(wǎng)被售賣
8月 華住旗下酒店5億條信息泄露
9月 順豐疑似泄露3億條物流數(shù)據(jù)
10月 國(guó)泰航空940萬(wàn)乘客敏感信息外泄。
12月 陌陌數(shù)據(jù)外泄
12月 “春節(jié)搶票”導(dǎo)致信息泄露
國(guó)際
1月 美國(guó)國(guó)土安全部泄露24萬(wàn)公民敏感信息
1月 印度國(guó)家數(shù)據(jù)庫(kù) Aadhaar中11億印度公民信息遭泄露
3月 安德瑪運(yùn)動(dòng)品牌1.5億用戶數(shù)據(jù)泄露
3月 Facebook超過(guò)5000萬(wàn)名用戶資料遭“劍橋分析”公司非法用來(lái)發(fā)送政治廣告
4月 美國(guó)最大面包連鎖店P(guān)anerabread旗下網(wǎng)站泄露顧客記錄3700萬(wàn)條
6月 DNA檢測(cè)公司MyHeritage泄露9200萬(wàn)賬戶
6月 谷歌Firebase平臺(tái)2,271個(gè)數(shù)據(jù)庫(kù)可公開(kāi)訪問(wèn)，這些數(shù)據(jù)庫(kù)中包括了1億多條敏感信息記錄
9月 瑞士數(shù)據(jù)管理公司泄露4.45億條用戶數(shù)據(jù)
9月 MongoDB數(shù)據(jù)庫(kù)近1100萬(wàn)郵件詳細(xì)信息泄露
10月 在美國(guó)2018年中期選舉之前，暗網(wǎng)上出售20個(gè)州的選民數(shù)據(jù)，數(shù)量達(dá)到8000萬(wàn)之多
12月 萬(wàn)豪酒店5億客戶數(shù)據(jù)泄露
12月 Facebook泄露680萬(wàn)用戶私密照片
 

國(guó)內(nèi)黑客成功入侵快遞公司后臺(tái):盜近億客戶信息

2018年5月，淮安市公安局清江浦分局接到當(dāng)?shù)啬晨爝f公司報(bào)警，稱其服務(wù)的一家工藝品銷售公司客戶突然接到很多用戶投訴，稱他們?cè)谠摴举?gòu)買產(chǎn)品后，接到了其他競(jìng)爭(zhēng)對(duì)手的推銷電話，懷疑個(gè)人信息被泄漏。
接到報(bào)案后，清江浦分局進(jìn)行了初步研判，發(fā)現(xiàn)該公司從2017年三月至四月，有超過(guò)1萬(wàn)組數(shù)據(jù)被外部人員非法獲取，同時(shí)公司網(wǎng)站后臺(tái)也遭到非法入侵。
而經(jīng)過(guò)技術(shù)追蹤，警方發(fā)現(xiàn)當(dāng)?shù)仄渌嗉铱爝f公司的網(wǎng)站后臺(tái)，也出現(xiàn)了不同程度的非法入侵，存在公民信息數(shù)據(jù)被非法獲取惡現(xiàn)象。警方抓獲9名嫌疑人，總計(jì)交貨公民信息數(shù)據(jù)超過(guò)300G，近1億條，至此，涉案嫌疑人13人全部抓獲歸案！
 

A站受黑客攻擊 近千萬(wàn)條用戶數(shù)據(jù)外泄

2018年6月，彈幕視頻網(wǎng)AcFun公告稱，因網(wǎng)站受黑客攻擊，已有近千萬(wàn)條用戶數(shù)據(jù)外泄，目前已報(bào)警處理，希望用戶及時(shí)修改密碼。公告稱，用戶數(shù)據(jù)泄露的數(shù)量達(dá)近千萬(wàn)條，原因是遭到黑客攻擊。泄露的數(shù)據(jù)主要包括用戶ID、昵稱、加密儲(chǔ)存的密碼等。A站表示，本次事件的根本原因在于公司沒(méi)有把AcFun做得足夠安全，為此，官方向用戶道歉，并將馬上提升用戶數(shù)據(jù)安全保障能力。

圓通10億條快遞數(shù)據(jù)在暗網(wǎng)上兜售

 
6月19日，一位ID為“f666666”的用戶在暗網(wǎng)上開(kāi)始兜售圓通10億條快遞數(shù)據(jù)，該用戶表示售賣的數(shù)據(jù)為2014年下旬的數(shù)據(jù)，數(shù)據(jù)信息包括寄（收）件人姓名，電話，地址等信息，10億條數(shù)據(jù)已經(jīng)經(jīng)過(guò)去重處理，數(shù)據(jù)重復(fù)率低于20%，并以1比特幣打包出售。
并且該用戶還支持用戶對(duì)數(shù)據(jù)真實(shí)性進(jìn)行驗(yàn)貨，但驗(yàn)貨費(fèi)用為0.01比特幣（約合431.98元），驗(yàn)貨數(shù)據(jù)量為100萬(wàn)條。此驗(yàn)貨數(shù)據(jù)是從10億條數(shù)據(jù)里隨機(jī)抽選的，每條數(shù)據(jù)完全不同，也就是說(shuō)用戶只要花430元人民幣即可購(gòu)買到100萬(wàn)條圓通快遞的個(gè)人用戶信息，而10億條數(shù)據(jù)則需要43197元人民幣。

浙江省1000萬(wàn)學(xué)籍?dāng)?shù)據(jù)在暗網(wǎng)被售賣

在8月1日下午安全人員通過(guò)暗網(wǎng)監(jiān)測(cè)到浙江省1000萬(wàn)條學(xué)籍?dāng)?shù)據(jù)正在暗網(wǎng)上售賣。
在截圖中顯示，賣家稱，去除無(wú)效數(shù)據(jù)后剩余1000萬(wàn)條，售賣的學(xué)籍?dāng)?shù)據(jù)覆蓋了浙江的大部分市區(qū)，被泄露的信息包含了學(xué)生姓名、身份證、學(xué)籍號(hào)、戶籍位置、監(jiān)護(hù)人、監(jiān)護(hù)人號(hào)碼、居住地址、出生地、學(xué)校名稱等。除了文字?jǐn)?shù)據(jù)，售賣的學(xué)籍?dāng)?shù)據(jù)里還提供有照片鏈接，在100G左右。
從暗網(wǎng)數(shù)據(jù)截圖來(lái)看，學(xué)籍信息里出生年齡分布在95年~06年，還包含了家人聯(lián)系方式及照片，因此數(shù)據(jù)的真實(shí)性較高。雖然賣家說(shuō)是今年最新的數(shù)據(jù)，但不排除存在有老數(shù)據(jù)的可能。而且，被泄露的學(xué)籍?dāng)?shù)據(jù)里只含有中小學(xué)生，不包含大學(xué)生，推測(cè)浙江省中小學(xué)生學(xué)籍信息管理類系統(tǒng)可能被黑客入侵，取走數(shù)據(jù)。
 

華住旗下酒店5億條信息泄露

華住旗下多個(gè)連鎖酒店開(kāi)房信息數(shù)據(jù)正在暗網(wǎng)出售，受到影響的酒店，包括漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等，泄露數(shù)據(jù)總數(shù)更是近 5億！
從網(wǎng)絡(luò)上流傳的截圖可以看出，黑客目前正在數(shù)據(jù)信息如下，有幾大數(shù)字值得我們注意：
1. 華住官網(wǎng)注冊(cè)資料，包括姓名、手機(jī)號(hào)、郵箱、身份證號(hào)、登錄密碼等，共 53 G，大約1.23 億條記錄；
2. 酒店入住登記身份信息，包括姓名、身份證號(hào)、家庭住址、生日、內(nèi)部 ID 號(hào)，共 22.3 G，約 1.3 億人身份證信息；
3. 酒店開(kāi)房記錄，包括內(nèi)部ID賬號(hào)，同房間關(guān)聯(lián)號(hào)、姓名、卡號(hào)、手機(jī)號(hào)、郵箱、入住時(shí)間、離開(kāi)時(shí)間、酒店ID賬號(hào)、房間號(hào)、消費(fèi)金額等，共66.2 G，約 2.4 億條記錄；
數(shù)據(jù)之齊全，令人咋舌。
發(fā)帖人聲稱，所有數(shù)據(jù)脫庫(kù)時(shí)間是 8 月 14 日，每部分?jǐn)?shù)據(jù)都提供 10000 條測(cè)試數(shù)據(jù)。所有數(shù)據(jù)打包售賣 8 比特幣，按照當(dāng)天匯率約約合 37 萬(wàn)人民幣。而經(jīng)過(guò)媒體報(bào)道之后，該發(fā)帖人稱要減價(jià)至 1 比特幣出售……
 
此次泄露的原因是華住公司程序員將數(shù)據(jù)庫(kù)連接方式及密碼上傳到 GitHub 導(dǎo)致的。而數(shù)據(jù)庫(kù)信息是20天前傳到了Github上，而黑客拖庫(kù)是在14天前，黑客很可能是利用此信息實(shí)施攻擊并拖庫(kù).
 

順豐疑似泄露3億條物流數(shù)據(jù)

2018年9月，暗網(wǎng)交易市場(chǎng)有一個(gè)ID為“bijiaodiao1688”的用戶，在售賣順豐的用戶數(shù)據(jù)，總量高達(dá)3億條，包括快遞寄件人、收件人的姓名、地址、電話等個(gè)人信息，售價(jià)約10萬(wàn)人民幣。當(dāng)然，黑客要求用比特幣支付，2個(gè)比特幣，這樣別人就查不到其個(gè)人信息了。買家如果不放心，可以先發(fā)1000元或0.1個(gè)比特幣，買10萬(wàn)條數(shù)據(jù)進(jìn)行驗(yàn)證。這份數(shù)據(jù)當(dāng)中，包括快遞寄件人、收件人姓名、地址、電話，數(shù)據(jù)挺詳細(xì)。
 

香港國(guó)泰航空聲稱，包含有940萬(wàn)乘客的敏感信息外泄

10月25日，香港國(guó)泰航空發(fā)布公告稱，該公司發(fā)現(xiàn)大約940萬(wàn)名乘客的資料曾被不當(dāng)取覽，涉及的個(gè)人信息包括乘客姓名、國(guó)籍、出生日期、電話號(hào)碼、電郵及實(shí)際地址、護(hù)照號(hào)碼、身份證號(hào)碼、飛行常客計(jì)劃會(huì)員號(hào)碼、顧客服務(wù)備注及過(guò)往的飛行記錄資料等。對(duì)此，國(guó)泰航空已就事件通知香港警察，并正知會(huì)各有關(guān)當(dāng)局。
 

陌陌數(shù)據(jù)外泄

2018年12月3日，有爆料稱，陌陌3000萬(wàn)數(shù)據(jù)在暗網(wǎng)上以50美金的價(jià)格出售。
陌陌回應(yīng)稱，網(wǎng)傳數(shù)據(jù)為三年前的數(shù)據(jù)，且跟陌陌用戶的匹配度極低。

“春節(jié)搶票”導(dǎo)致信息泄露

春節(jié)臨近，搶票大戰(zhàn)一觸即發(fā)，在最火爆的春運(yùn)行業(yè)，有人想要趁機(jī)分一杯羹。
近日，網(wǎng)絡(luò)上爆出12306數(shù)據(jù)遭泄露，暗網(wǎng)有人兜售60萬(wàn)賬號(hào)及410萬(wàn)聯(lián)系人信息，且目前已有多人人購(gòu)買。并提供了如下截圖：

根據(jù)這條帖子的內(nèi)容，這份數(shù)據(jù)包括60萬(wàn)賬戶信息，詳細(xì)到除了ID、手機(jī)號(hào)、密碼之外，連姓名、身份證、郵箱、問(wèn)題及答案竟然都有，根據(jù)安全問(wèn)題很可能能夠直接申訴獲取其它平臺(tái)賬戶的重要信息。
此外，還包括每個(gè)賬戶中添加的聯(lián)系人信息，設(shè)計(jì)姓名及身份證號(hào)，這些聯(lián)系人數(shù)據(jù)總量高達(dá)410萬(wàn)。帖子中還給出了50條隨機(jī)數(shù)據(jù)的全部信息。根據(jù)爆料者透露，這些賬戶數(shù)據(jù)經(jīng)過(guò)驗(yàn)證基本是真實(shí)。很快就出現(xiàn)了交易信息，但包含如此詳細(xì)信息的數(shù)據(jù)交易價(jià)格卻非常低，僅20美金，還不到140人民幣。
 

4.3其他重大安全事件概述：

1月 英特爾處理器曝“Meltdown”和“Spectre漏洞”
2月 蘋果IOS iBoot源碼泄露
5月 區(qū)塊鏈平臺(tái)EOS現(xiàn)史詩(shī)級(jí)系列高危安全漏洞
5月 Git曝任意代碼執(zhí)行漏洞
7月 微信支付SDK曝XXE漏洞，攻擊者可免費(fèi)獲取商品
9月 惡意軟件XBash曝光，針對(duì)Linux及Windows系統(tǒng)
9月 新型僵尸勒索軟件Virobot通過(guò)微軟Outlook廣泛傳播
12月 “微信支付”勒索病毒曝光，10萬(wàn)多臺(tái)電腦被感染
 

英特爾處理器曝“Meltdown”和“Spectre漏洞”

 
Intel處理器被爆出存在硬件上的漏洞，該漏洞源于芯片硬件層面的一處設(shè)計(jì)BUG。這個(gè)BUG會(huì)允許程序竊取當(dāng)前在計(jì)算機(jī)上處理的數(shù)據(jù)，并且影響Windows, MacOS, Linux。由于涉及硬件，該漏洞無(wú)法通過(guò)芯片的微碼（microcode）更新進(jìn)行修復(fù)，需要通過(guò)內(nèi)核級(jí)別的修復(fù)來(lái)解決，并且據(jù)研究表明，修復(fù)該漏洞會(huì)犧牲5%-30%的性能。
其中Meltdown指CPU上存在的惡意的數(shù)據(jù)緩存載入漏洞，Spectre指繞過(guò)邊界檢查漏洞和分支目標(biāo)注入漏洞。目前中高端CPU具有預(yù)測(cè)執(zhí)行的功能來(lái)提高效率，即處理器會(huì)“記憶”之前執(zhí)行過(guò)的指令，下次指令要讀取的數(shù)據(jù)會(huì)被提前加入達(dá)到緩存中。黑客可以根據(jù)內(nèi)存和緩存訪問(wèn)的速度差異推測(cè)出內(nèi)核數(shù)據(jù)存在的內(nèi)存塊，從而非法讀取數(shù)據(jù)，用戶的密碼、住址等各項(xiàng)重要信息都會(huì)被暴露。

蘋果IOS iBoot源碼泄露

Motherboard 和 Redmond Pie 發(fā)布報(bào)告稱他們?cè)诖a分享網(wǎng)站 GitHub 上發(fā)現(xiàn)了 iPhone 操作系統(tǒng)的核心組件源碼，這些源碼現(xiàn)在處于公開(kāi)狀態(tài)，如果一旦被黑客利用，不僅越獄工具會(huì)井噴，數(shù)以億計(jì) iOS 設(shè)備的安全性也將受到威脅。
據(jù)悉，泄露的代碼屬于 iBoot，iBoot 是 iOS 安全系統(tǒng)的重要組成部分，大家能夠把它當(dāng)做是 Windows 電腦的 BIOS 系統(tǒng)。這些源碼最開(kāi)始在 Reddit 上被在線共享，而今天出現(xiàn)在 GitHub 上意味著它已經(jīng)被大量開(kāi)發(fā)者下載。
不少安全專家表示，這些代碼確實(shí)來(lái)自 iOS ，屬于 iOS 9，雖然這是一個(gè)老系統(tǒng)了，和現(xiàn)在最新的 iOS 11.2.5 也沒(méi)有很多重合的源碼，但誰(shuí)也不能說(shuō)二者100%沒(méi)有重合。不過(guò)好在現(xiàn)在的 iOS 設(shè)備都有 Secure Enclave 提供保護(hù)，而且這份泄露的源碼缺少文件，還不能被完全編譯，所以此次泄露不會(huì)導(dǎo)致大量 iOS 設(shè)備直接受到攻擊。
 

區(qū)塊鏈平臺(tái)EOS現(xiàn)史詩(shī)級(jí)系列高危安全漏洞

2018年5月，區(qū)塊鏈平臺(tái) EOS 被爆出的一系列高危安全漏洞。經(jīng)驗(yàn)證，其中部分漏洞可以在 EOS 節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼，即可以通過(guò)遠(yuǎn)程攻擊，直接控制和接管 EOS 上運(yùn)行的所有節(jié)點(diǎn)。
在攻擊中，攻擊者會(huì)構(gòu)造并發(fā)布包含惡意代碼的智能合約，EOS 超級(jí)節(jié)點(diǎn)將會(huì)執(zhí)行這個(gè)惡意合約，并觸發(fā)其中的安全漏洞。攻擊者再利用超級(jí)節(jié)點(diǎn)將惡意合約打包進(jìn)新的區(qū)塊，進(jìn)而導(dǎo)致網(wǎng)絡(luò)中所有全節(jié)點(diǎn)（備選超級(jí)節(jié)點(diǎn)、交易所充值提現(xiàn)節(jié)點(diǎn)、數(shù)字貨幣錢包服務(wù)器節(jié)點(diǎn)等）被遠(yuǎn)程控制。
由于已經(jīng)完全控制了節(jié)點(diǎn)的系統(tǒng)，攻擊者可以“為所欲為”，如竊取 EOS 超級(jí)節(jié)點(diǎn)的密鑰，控制 EOS 網(wǎng)絡(luò)的虛擬貨幣交易；獲取 EOS 網(wǎng)絡(luò)參與節(jié)點(diǎn)系統(tǒng)中的其他金融和隱私數(shù)據(jù)，例如交易所中的數(shù)字貨幣、保存在錢包中的用戶密鑰、關(guān)鍵的用戶資料和隱私數(shù)據(jù)等等。
更有甚者，攻擊者可以將 EOS 網(wǎng)絡(luò)中的節(jié)點(diǎn)變?yōu)榻┦W(wǎng)絡(luò)中的一員，發(fā)動(dòng)網(wǎng)絡(luò)攻擊或變成免費(fèi)“礦工”，挖取其他數(shù)字貨幣。
EOS 是被稱為“區(qū)塊鏈3.0”的新型區(qū)塊鏈平臺(tái)，目前其代幣市值高達(dá) 690 億人民幣，在全球市值排名第五。網(wǎng)絡(luò)安全領(lǐng)域?qū)＜曳Q，這類型的安全問(wèn)題不僅僅影響 EOS，也可能影響其他類型的區(qū)塊鏈平臺(tái)與虛擬貨幣應(yīng)用

Git曝任意代碼執(zhí)行漏洞

Git 社區(qū)于2018年5月發(fā)現(xiàn) Git 存在一個(gè)漏洞，允許黑客執(zhí)行任意代碼。 他敦促開(kāi)發(fā)人員盡快更新客戶端應(yīng)用程序。 微軟還采取了進(jìn)一步措施，防止惡意代碼庫(kù)被推入微軟的 VSTS（Visual Studio Team Services）
此代碼是 CVE 2018-11235 中的一個(gè)安全漏洞。 當(dāng)用戶在惡意代碼庫(kù)中操作時(shí)，他們可能會(huì)受到任意代碼執(zhí)行攻擊。 遠(yuǎn)程代碼存儲(chǔ)庫(kù)包含子模塊定義和數(shù)據(jù)，它們作為文件夾捆綁在一起并提交給父代碼存儲(chǔ)庫(kù)。 當(dāng)這個(gè)代碼倉(cāng)庫(kù)被來(lái)回復(fù)制時(shí)，Git 最初會(huì)將父?jìng)}庫(kù)放到工作目錄中，然后準(zhǔn)備復(fù)制子模塊。
但是，Git 稍后會(huì)發(fā)現(xiàn)它不需要復(fù)制子模塊，因?yàn)樽幽K之前已經(jīng)提交給父存儲(chǔ)庫(kù)，它也被寫入工作目錄，這個(gè)子模塊已經(jīng)存在于磁盤上。 因此，Git 可以跳過(guò)抓取文件的步驟，并直接在磁盤上的工作目錄中使用子模塊。
但是，并非所有文件都可以被復(fù)制。 當(dāng)客戶端復(fù)制代碼庫(kù)時(shí)，無(wú)法從服務(wù)器獲取重要的配置。 這包括 .git 或配置文件的內(nèi)容。 另外，在 Git 工作流中的特定位置執(zhí)行的鉤子（如Git）將在將文件寫入工作目錄時(shí)執(zhí)行 Post-checkout 鉤子。
不應(yīng)該從遠(yuǎn)程服務(wù)器復(fù)制配置文件的一個(gè)重要原因就是，遠(yuǎn)程服務(wù)器可能提供由 Git 執(zhí)行的惡意代碼。CVE 2018-11235 的漏洞正是犯了這個(gè)錯(cuò)誤，所以 Git 有子模塊來(lái)設(shè)置漏洞。 子模塊存儲(chǔ)庫(kù)提交給父存儲(chǔ)庫(kù)，并且從未實(shí)際復(fù)制過(guò)。子模塊存儲(chǔ)庫(kù)中可能存在已配置的掛鉤。 當(dāng)用戶再次出現(xiàn)時(shí)，惡意的父庫(kù)會(huì)被精心設(shè)計(jì)。將寫入工作目錄，然后 Git 讀取子模塊，將這些子模塊寫入工作目錄，最后一步執(zhí)行子模塊存儲(chǔ)庫(kù)中的任何 Post-checkout 掛鉤。

微信支付SDK曝XXE漏洞，攻擊者可免費(fèi)獲取商品

2018年7月，微信支付的SDK曝出重大漏洞（XXE漏洞），通過(guò)該漏洞，攻擊者可以獲取服務(wù)器中目錄結(jié)構(gòu)、文件內(nèi)容，如代碼、各種私鑰等。獲取這些信息以后，攻擊者便可以為所欲為，其中就包括眾多媒體所宣傳的“0元也能買買買”。

根據(jù)白帽子給出的漏洞描述，使用微信支付時(shí)，商家需要提供通知網(wǎng)址以接受異步支付結(jié)果。 問(wèn)題是微信在JAVA版本SDK中的實(shí)現(xiàn)存在一個(gè)xxe漏洞。 攻擊者可以向通知URL構(gòu)建惡意payload，根據(jù)需要竊取商家服務(wù)器的任何信息。 一旦攻擊者獲得商家的關(guān)鍵安全密鑰（md5-key和merchant-Id等），就可以通過(guò)發(fā)送偽造信息來(lái)欺騙商家購(gòu)買任何東西而無(wú)需付費(fèi)。
 

惡意軟件XBash曝光，針對(duì)Linux及Windows系統(tǒng)

Palo Alto Networks的安全研究人員發(fā)現(xiàn)了一種新的惡意軟件，被稱為Xbash，主要針對(duì)Linux和Microsoft Windows服務(wù)器。惡意代碼結(jié)合了不同惡意軟件的功能，如勒索軟件，挖礦軟件，僵尸網(wǎng)絡(luò)和蠕蟲(chóng)。在被感染的Linux系統(tǒng)中發(fā)現(xiàn)了僵尸網(wǎng)絡(luò)和勒索軟件功能，而在被感染的Windows服務(wù)器中則發(fā)現(xiàn)了挖礦行為。
Xbash是使用Python開(kāi)發(fā)的，惡意軟件作者通過(guò)濫用合法工具PyInstaller進(jìn)行分發(fā)，轉(zhuǎn)換為自包含的Linux ELF可執(zhí)行文件。惡意代碼結(jié)合了不同惡意軟件的功能，如勒索軟件，加密貨幣挖礦軟件，僵尸網(wǎng)絡(luò)和蠕蟲(chóng)。Xbash擁有勒索軟件的核心功能，同時(shí)還具有自傳播性（意味著它具有類似于WannaCry或Petya/NotPetya的蠕蟲(chóng)特征）。
 

新型僵尸勒索軟件Virobot通過(guò)微軟Outlook廣泛傳播

根據(jù)一份披露的安全報(bào)告，一種全新的僵尸網(wǎng)絡(luò)勒索軟件Virobot正通過(guò)微軟Outlook進(jìn)行大肆傳播。報(bào)告中指出該惡意軟件同時(shí)兼具僵尸網(wǎng)絡(luò)和勒索軟件的特征，在微軟Outlook上以垃圾郵件的方式進(jìn)行傳播。
報(bào)告中寫道：“Virobot首次發(fā)現(xiàn)于2018年9月17日，是對(duì)臭名昭著的Locky勒索軟件變種分析7天之后發(fā)現(xiàn)的。一旦感染Virobot，它就會(huì)檢查注冊(cè)表鍵值（計(jì)算機(jī)GUID和產(chǎn)品秘鑰）來(lái)確認(rèn)系統(tǒng)是否應(yīng)該加密。然后通過(guò)加密隨機(jī)數(shù)生成器（Random Number Generator）來(lái)生成加密和解密你要。此外伴隨著生成的秘鑰，Virobot還會(huì)將收集的受害者數(shù)據(jù)通過(guò)POST發(fā)送到C&C 服務(wù)器 上。”
 

 “微信支付”勒索病毒曝光，10萬(wàn)多臺(tái)電腦被感染

微信，作為現(xiàn)在大多數(shù)人幾乎每天都要使用，已經(jīng)成為生活中必不可少的移動(dòng)交流和支付工具，而12月1日爆發(fā)了"微信支付"勒索病毒并快速傳播，感染的電腦數(shù)量越來(lái)越多。病毒團(tuán)伙入侵并利用豆瓣的C&C服務(wù)器，除了鎖死受害者文件勒索贖金（支付通道已經(jīng)關(guān)閉），還大肆偷竊支付寶等密碼。
據(jù)江民安全團(tuán)隊(duì)分析，病毒作者首先攻擊軟件開(kāi)發(fā)者的電腦，感染其用以編程的"易語(yǔ)言"中的一個(gè)模塊，導(dǎo)致開(kāi)發(fā)者所有使用"易語(yǔ)言"編程的軟件均攜帶該勒索病毒。廣大用戶下載這些"帶毒"軟件后，就會(huì)感染該勒索病毒。整個(gè)傳播過(guò)程并不復(fù)雜，但污染"易語(yǔ)言"后再感染軟件的方式卻比較罕見(jiàn)。

五、總結(jié)：

 
從網(wǎng)絡(luò)攻擊、惡意軟件到數(shù)據(jù)泄露，網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，變化越來(lái)越快。無(wú)論是個(gè)人消費(fèi)者，還是企業(yè)，都應(yīng)當(dāng)重視網(wǎng)絡(luò)安全發(fā)展，注意網(wǎng)絡(luò)安全態(tài)勢(shì)。未來(lái)我們即將迎來(lái)一個(gè)萬(wàn)物互聯(lián)的時(shí)代，網(wǎng)絡(luò)安全不僅單單影響互聯(lián)網(wǎng)的穩(wěn)定，也關(guān)系到數(shù)據(jù)，業(yè)務(wù)，財(cái)產(chǎn)乃至國(guó)家安全，只有走在威脅的前面，才能有效及時(shí)得防止威脅。鑒于當(dāng)前全球安全態(tài)勢(shì)的性質(zhì)，我們需要思考自身當(dāng)前安全策略，樹(shù)立新時(shí)代的網(wǎng)絡(luò)安全觀，與時(shí)俱進(jìn)，才能夠應(yīng)對(duì)當(dāng)下乃至未來(lái)更嚴(yán)峻的網(wǎng)絡(luò)安全威脅！
 
 
 
 
（本報(bào)告來(lái)源于江民赤豹網(wǎng)絡(luò)安全實(shí)驗(yàn)室）