2020年上半年安全威胁事件触底，矿业将获得“新皇冠”

近日，亚洲安全完成了对2020年上半年重大威胁事件的回顾分析，相关数据显示，2020年上半年，勒索软件和挖矿病毒仍将是最受关注的安全风险，此外，驱动级木马紫狐和Emotet银行木马将再次升级。这对企业用户构成了巨大的威胁。在艰难的下半年，我们建议用户加强对安全威胁事件的关注，在端点系统和应用层面增强员工的网络风险意识，并部署多层次、全面的网络安全解决方案。近年来，勒索软件病毒继续占据安全威胁新闻的“头条”。今年上半年也不例外。根据亚洲安全监测的数据，GlobeImposter、WannaRen和Sodinokibi勒索软件病毒通过锁定目标主机的系统和文件来要求赎金，同时绕过安全软件的封锁，而且新的变种经常出现。例如，GlobeImposter勒索软件于2017年首次出现，并在接下来的三年中演变了几个版本，产生了一些着名的变体，如“十二神”和“十二生肖”系列。在今年上半年，由C4H驱动的GlobeImposter勒索软件病毒遭到了强烈攻击。在侵入企业内部网后，黑客会使用RDP/SMB蛮力破解等方法获取登录凭据，并将其横向渗透到内部网。如果攻击成功，病毒将对系统中的文件进行加密，并将其扩展名.添加C4H，并在计算机屏幕上显示威胁信息。

“GlobeImposter勒索软件变体”目前，亚洲安全防病毒服务器（OSCE）的行为监测功能可以有效地拦截诸如GlobeImposter、WannaRen和Sodinokibi等勒索软件变体，并阻止未知的勒索软件和加密文件。为了抵御勒索软件病毒，Asian Security采用3-2-1规则来及时备份关键文件，通过访问控制限制外部对关键业务数据的访问，最大限度地降低补丁管理漏洞攻击的风险，并建议部署多层次、全面的网络安全产品。挖矿病毒再次活跃，上升到“新冠”热点随着比特币等数字货币价格在今年上半年再次上涨，挖矿病毒也开始活跃。其中，利用“新型冠状病毒”邮件传播的LemonDuck挖矿病毒，伪装成“新型冠状病毒”相关邮件，将邮件发送给受感染主机的联系人，利用好奇心让收件人点击含有挖矿病毒的邮件附件。此外，臭名昭著的“黑球”攻击也将在今年上半年继续进行，该病毒伪装成与“新型冠状病毒”相关的电子邮件，试图在感染后首先终止防病毒程序，然后运行小程序。

【LemonDuck挖矿病毒利用“新型冠状病毒”邮件】不仅Windows被挖矿病毒所掩盖，企业用户常用的Linux系统在上半年也被挖矿病毒感染。Asian Security发现StartMiner挖矿病毒在Linux系统上通过ssh进行传播，创建了多个恶意时间任务，其中包含2start.jpg字符串，并下载了挖矿和Tsunami僵尸网络。在对相关威胁事件的观察和分析的基础上，亚洲安全发现大量挖矿病毒的传播都有一些共同点。也就是说，它使用了社会工程攻击方法，利用大家都在关注的热点事件作为诱饵，广泛传播垃圾邮件，以吸引受害者点击。防止挖矿病毒传播的第一步是提高员工的网络安全意识。目前，亚洲的安全邮件网关产品可以有效拦截高风险的电子邮件。此外，Asian Security Advanced Threat Discovery System TDA可以准确地识别下载恶意软件的主机，找到攻击事件的入口点，并拦截挖掘病毒攻击。除了提高员工的网络安全意识和部署网络安全产品和解决方案外，Asian Security还建议在全系统范围内进行修补和强密码设置，以降低漏洞攻击和弱密码攻击的风险。“紫狐”和Emotet银行木马在上半年再次升级，木马攻击也值得关注。其中，升级后的“紫狐”木马可以使用SMB和MSSQL的弱密码进行传播，并通过恶意回调加载恶意驱动程序。Emotet银行木马诞生于2014年，最初使用网络嗅探技术窃取数据，后来通过下载包含恶意宏代码的文档来传播内存。值得注意的是，这类木马的后台基础设施正在不断更新，应用流量加密技术。目前，Asian Security Advanced Threat Discovery System TDA可以监控Emotet Bank木马的C&C回调和MSSQL弱密码突发，以识别源计算机，而Asian Security Web Reputation则可以拦截最新的C2信息，帮助用户更有效地抵御此类攻击。在2020年上半年不断变化的情况下，独联体安全提出了“安全定义边界”的发展概念。它不仅指导了CIS安全的技术战略，还提供了企业级用户可以学习的安全运营理念和落地解决方案。下一步，我们将在进行技术分析的同时，为更多用户提供更高效、更智能的安全产品和解决方案，实时广播最新的网络威胁风险预警，为更多企业的数字化业务提供安全保障。