一、摘要

近日，江民赤豹安全實驗室針對2018年整體安全態(tài)勢做了詳細分析，報告中引用了Gemalto調(diào)研數(shù)據(jù)，據(jù)統(tǒng)計僅2018年數(shù)據(jù)泄露事件高達945次，導致的信息泄露數(shù)量達到45億條之多，相比2017年同期雖然泄露事件有所下降，但信息量卻陡增了133個百分點。而在去年頻繁發(fā)生的勒索及挖礦病毒攻擊熱度也并沒有下降，隨著科技化時代的到來，仍有很多企業(yè)和個人的網(wǎng)絡安全意識和措施并沒有成熟，網(wǎng)絡攻擊和數(shù)據(jù)泄露帶來的影響未來也會越發(fā)重要。 

二、2018年中國網(wǎng)絡安全形式分析

赤豹實驗室研究人員從以下八個方面分析了網(wǎng)絡安全的現(xiàn)狀與未來發(fā)展趨勢： 

1.社會工程學

社交工程是網(wǎng)絡犯罪發(fā)展最快的領域，世界第一黑客凱文·米特尼克在《欺騙的藝術》中曾提到，人為因素才是安全的軟肋。很多企業(yè)、公司在信息安全上投入大量的資金，最終導致數(shù)據(jù)泄露的原因，往往卻是發(fā)生在人本身。你們可能永遠都想象不到，對于黑客們來說，通過一個用戶名、一串數(shù)字、一串英文代碼，社會工程師就可以通過這么幾條的線索，通過社工攻擊手段，加以篩選、整理，就能把你的所有個人情況信息、家庭狀況、興趣愛好、婚姻狀況、你在網(wǎng)上留下的一切痕跡等個人信息全部掌握得一清二楚。雖然這個可能是最不起眼，而且還是最麻煩的方法。一種無需依托任何黑客軟件，更注重研究人性弱點的黑客手法正在興起，這就是社會工程學黑客技術。
勒索軟件配合利用社會工程學的欺詐郵件造成的影響往往比其他方式投遞的手法要大很多，尤其在2018年這個勒索軟件仍然泛濫的使其特別明顯。電子郵件欺詐帶來的損失史無前例，累計已達120億美元。古老的騙局一而再再而三的卷土重來，其利用的是人們心理上的弱點與認知上的缺陷。針對這種攻擊，我們注定無法完全免疫。
 

2.勒索軟件

2018上半年基于“永恒之藍”的攻擊嘗試超過漏洞攻擊總量的30%以上。眾所周知，2017年4月，某黑客組織獲取并泄漏美國國家安全局(NSA)掌握的網(wǎng)絡武器“永恒之藍”，導致利用該漏洞的惡意程序在網(wǎng)絡上肆虐，最典型的是勒索病毒。
勒索軟件在全球范圍內(nèi)持續(xù)對不同業(yè)務無差別攻擊，但他們的目標會聚焦在包括SMBs在內(nèi)的抗攻擊能力較弱且準備不足的企業(yè)。在這種情況下，勒索金額會降低以便小企業(yè)有能力支付，區(qū)域性醫(yī)療服務機構或醫(yī)院將會遭到重擊，主要原因是作為目標他們攻擊起來太容易。用最少的付出獲取最大收益是這些“生意人”所追求的。
與此同時，勒索軟件也在與網(wǎng)絡釣魚和社會工程協(xié)同合作，2018年這兩大方面的進一步融合。同樣有趣的是，加密貨幣價值正在影響勒索軟件的增長。
 

3.區(qū)塊鏈安全

說到區(qū)塊鏈，就繞不開數(shù)字貨幣的問題，而談到數(shù)字貨幣，就無法回避數(shù)字貨幣的安全問題，從以前的幣安受到攻擊，到不久前因為智能合約漏洞導致的巨額經(jīng)濟損失，直到今年發(fā)生的EOS爆發(fā)高危漏洞，無一不證明著區(qū)塊鏈和數(shù)字貨幣安全的問題，絕不是像表面看起來那么簡單。
近三年來，交易所被盜的損失大概是8.64億美元，一些很著名的交易所都發(fā)生過盜竊，盜竊情況越來越猖獗。2016年為1.48億美元，2017年為2.96億美元，2018年才過去一半已達5億美元，超過了前兩年的總和。
攻擊方法也從Botnet、DDoS逐漸向挖礦轉移。UCloud通過安全產(chǎn)品共捕獲到了ddg20xx木馬，而這些木馬控制的三個錢包已經(jīng)合計挖礦90萬到150萬美元。UCloud目前已經(jīng)捕捉了30多種類似的樣本，而像星巴克Wifi挖礦，軟件中捆綁挖礦代碼、南方周刊官網(wǎng)挖礦這些熱門攻擊事件說明，以往復雜的攻擊方式變得更加簡單，新的變現(xiàn)方式，更加容易變現(xiàn)，黑客的門檻也顯著降低，而原本由彈窗和廣告構成的PC端惡意軟件，也加入了挖礦產(chǎn)業(yè)。這種情況的發(fā)生，與數(shù)字貨幣火熱關系重大，數(shù)字貨幣高回報、匿名性、不可溯源的特性，實際上為黑客提供了一個很好的變現(xiàn)途徑。
 

4.機器學習

機器學習是一個因人而異的時髦的口號，在未來的幾年我們都希望能看到對于這種能力更清晰的發(fā)展思路。機器學習的目標應該是解放人類，提高在信息海洋中處理、理解和行動力、安全技術持續(xù)發(fā)展意味著我們會看到更好質(zhì)量更高的數(shù)據(jù)結果。處理能力的提高和更為智能化的反應也成為了可能。
機器學近年來，機器學習因其自主執(zhí)行特定任務及訓練設備的特質(zhì)，已被視為當前最有前途的網(wǎng)絡安全工具之一。在面對網(wǎng)絡威脅的時候，機器學習可主動分析其復雜性，采取有效的對策，與傳統(tǒng)手動修復方式相比，機器學習超高的學習能力和執(zhí)行效率大幅減輕了安全人員的工作負擔。但機器學習仍有弊端，因為機器學習無自主意識，黑客可入侵機器學習的過程，直接更改設備設定或行為，獲取其完全控制權。

5.AI

隨著人工智能的發(fā)展，安全人員越來越難以分辨攻擊是否由人類發(fā)起，自動化入侵過程中的某些技術密集部分，同樣可以為攻擊者帶來較高的投資回報。
研究人員發(fā)現(xiàn)，AI能通過其可擴展性引入威脅，例如惡意軟件可在受感染環(huán)境中觀察正常業(yè)務操作，通過了解受感染機器與哪些內(nèi)部設備通信、使用的協(xié)議和端口有哪些等內(nèi)容，學習所處環(huán)境的上下文，免除傳統(tǒng)命令與控制（C2）信道，增加檢測難度。在提供此類攻擊渠道的同時，AI還可以學習可能觸發(fā)安全解決方案警報的數(shù)據(jù)傳輸數(shù)率，動態(tài)調(diào)整其數(shù)據(jù)滲漏的規(guī)模和時機以避免檢測。
 

6.黑灰色產(chǎn)業(yè)鏈

有人的地方就有江湖，黑灰產(chǎn)則是互聯(lián)網(wǎng)江湖水最渾的領域，而黑灰產(chǎn)內(nèi)部為了利益也是不斷亂斗，其中不擇手段之處更甚于正規(guī)商業(yè)江湖。
相對早期黑客的單打獨斗，如今互聯(lián)網(wǎng)黑色產(chǎn)業(yè)更像一個航母戰(zhàn)斗群，各種外部資源如手機號、郵箱號、IP 資源、過驗證碼服務，都已經(jīng)形成規(guī)?；脚_。這讓黑客只要專注最核心的技術實現(xiàn)，就可以快速整合資源對各公司造成危害。
黑客利用病毒木馬非法盜取或者通過機構泄密人員購買他人身份證號、手機號、游戲帳號、郵箱、家庭住址等私人信息，以及被盜者家庭成員的上述隱私，甚至包括所養(yǎng)寵物的信息，然后進行非法販賣。信息泄露連續(xù)五年創(chuàng)歷史記錄，且不分行業(yè)與領域。而隨著網(wǎng)絡世界向數(shù)字世界的演化，信息泄露將成為全球科技始終無法避免的“自然災害”。

7.立法

漏洞披露、個人隱私、數(shù)據(jù)安全、關鍵基礎設施保護、經(jīng)濟博弈、網(wǎng)絡犯罪、國家安全，是制定政策法規(guī)的關鍵詞和重要背景。網(wǎng)絡安全已經(jīng)得到全球各國政府的實際重視，并成為支撐自身發(fā)展，與他國進行政治、軍事、經(jīng)濟博弈的關鍵因素之一。
2018年政府在互聯(lián)網(wǎng)上發(fā)揮著重要作用。隨著網(wǎng)絡強國戰(zhàn)略逐步實施推進，多部網(wǎng)絡安全法律法規(guī)及政策文件的出臺實施，將有力推進我國互聯(lián)網(wǎng)安全管理水平，提升網(wǎng)絡安全影響力，保障廣大人民享受健康清朗的互聯(lián)網(wǎng)應用環(huán)境，共同維護繁榮、健康、有序的網(wǎng)絡文化環(huán)境。
 

8.漏洞

漏洞受到業(yè)界的極大重視并成為重要戰(zhàn)略資源。這種重視反而限制了漏洞公布的速度和數(shù)量，許多相關的破解活動和賽事陷入低潮。與此同時，如何減少漏洞的產(chǎn)生以及如何進行客觀的價值評價，成為各方面的關注重點。
以前漏洞大部分都是APT團伙在使用，但隨著經(jīng)濟利益的驅使，挖礦和勒索病毒也開始使用漏洞，而且使用漏洞的種類開始增加，這就導致很多受害者，并沒有下載運行可疑程序也有可能中毒。尤其是服務器，運行了很多web服務、數(shù)據(jù)庫服務、開源CMS等服務，這些服務經(jīng)常會出現(xiàn)漏洞，如果服務器沒有及時更新補丁，就會被攻擊者通過漏洞植入病毒，而且很多公司的外網(wǎng)服務器和內(nèi)網(wǎng)是連通的，一旦服務器中毒，就可能導致局域網(wǎng)很多機器中毒。
 
 

 

三、網(wǎng)絡安全防范建議

隨著人工智能、云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動互聯(lián)網(wǎng)和區(qū)塊鏈等技術越來越廣泛的應用和融合發(fā)展，新技術應用在帶來新一輪的產(chǎn)業(yè)變革的同時，全球性的網(wǎng)絡安全威脅和新型網(wǎng)絡犯罪也變得日益猖獗，重大網(wǎng)絡安全事故頻發(fā)，網(wǎng)絡安全形勢越發(fā)嚴峻。下面是就網(wǎng)絡安全提出的幾點防范建議：
1. 防止泄露敏感數(shù)據(jù)
無論是商業(yè)記錄還是個人納稅申報表，加密最敏感的數(shù)據(jù)都是個好主意。加密可確保只有您或您提供密碼的人才能訪問您的文件。

2. 保護所有被攻擊面
向虛擬和云環(huán)境遷移帶來的明確業(yè)務利益意味著混合網(wǎng)絡正逐漸成為標準。如果希望有效確保Office 365等基于云或SaaS的應用程序，必須采用專用于混合網(wǎng)絡集中管理的綜合解決方案。

3. 提高用戶安全意識
用戶行為可以成為最大的弱點。只有通過執(zhí)行、監(jiān)控和用戶教育的相互結合，才能確保良好的安全性，特別是應對網(wǎng)絡釣魚、魚叉式網(wǎng)絡釣魚、注冊近似域名和社會工程等威脅。

4. 不要忘記遠程連接管理
移動革命可以推動生產(chǎn)力、協(xié)作和創(chuàng)新，但由于經(jīng)常通過個人設備進行連接，很多工作會處于網(wǎng)絡邊界以外。如果沒有進行適當保護，將會對安全性造成巨大的潛在缺口。

5. 維護要求
軟件維護不是迷人的，但沒有它，你可能會暴露自己主要的安全漏洞。 使用移動設備和許多PC，你可以設置和忘記對移動應用程序的自動更新。 與你連接的東西，閱讀用戶手冊，以確保自己知道如何檢查更新。

6. 學會發(fā)現(xiàn)潛在威脅
基礎設施可能包含很多潛在威脅。電子郵件收件箱里充滿了等待點擊的惡意附件和鏈接。同樣，必須定期對本地和云端的所有應用程序進行掃描和打補丁，以杜絕漏洞。

7. 新攻擊防御技術部署
隨著當今威脅趨勢的不斷演化，開始出現(xiàn)成熟且具有目標性的零時差攻擊。為了阻止這些攻擊，需要通過沙箱分析和訪問最新的全球威脅情報獲得先進的動態(tài)保護。

8. 使用可靠的備份解決方案
一個簡單可靠的備份系統(tǒng)可以幫助你在幾分鐘或幾小時內(nèi)從多個攻擊中恢復。當由于惡意軟件導致數(shù)據(jù)損壞、加密或被竊時，只需從備份中進行恢復，即可讓業(yè)務重新回到正常軌道。
赤豹實驗室整理了2018年影響較大的一些網(wǎng)絡攻擊及數(shù)據(jù)泄漏事件。

四、2018安全事件概述

4.1網(wǎng)絡安全攻擊事件：
國內(nèi)
2月 上海某公立醫(yī)院HIS系統(tǒng)被黑，勒索2億“以太幣”
3月 湖北某醫(yī)院內(nèi)網(wǎng)遭到挖礦病毒瘋狂攻擊
3月 中國某軍工企業(yè)被美、俄兩國黑客攻擊
3月 黑客利用思科高危漏洞攻擊國內(nèi)多家機構
6月 A站受黑客攻擊 近千萬條用戶數(shù)據(jù)外泄
7月 “疫苗門”后，長生生物官網(wǎng)被黑客攻擊
8月 臺灣半導體巨頭臺積電突遭勒索病毒入侵損失慘重
12月 “驅動人生”木馬爆發(fā)

國際
1月 韓國平昌冬奧會遭黑客魚叉式網(wǎng)絡釣魚攻擊
1月 東京交易所Coincheck價值5.3億美元的加密貨幣NEM被黑客竊取
2月 加密貨幣采礦軟件攻擊致歐洲廢水處理設施癱瘓
3月 GitHub遭受有史以來最嚴重DDoS攻擊
4月 納斯達克數(shù)據(jù)中心被聲音“攻擊”，北歐交易全線中斷
5月 惡意軟件VPNFilter影響范圍覆蓋全球54個國家，超過50萬臺路由器和網(wǎng)絡設備。
7月 一伙網(wǎng)絡犯罪通過劫持40名受害者的手機SIM卡，共竊取了總額超過500萬美元的加密貨幣。
8月 微軟發(fā)現(xiàn)新一輪俄羅斯黑客攻擊，美國中期選舉或受影響
12月 NASA服務器遭黑客攻擊

海某公立醫(yī)院HIS系統(tǒng)被黑，勒索2億"以太幣"

 
以太幣（ETH）是以太坊（Ethereum）的一種數(shù)字代幣，被視為“比特幣2.0版”。它采用與比特幣不同的區(qū)塊鏈技術“以太坊”（Ethereum），開發(fā)者們需要支付以太幣（ETH）來支撐應用的運行。和其他數(shù)字貨幣一樣，以太幣可以在交易平臺上進行買賣。
專家表示，醫(yī)療數(shù)據(jù)在黑客眼中簡直就是個大金庫，內(nèi)有個人姓名、住址、聯(lián)系方式、社會保險號碼、銀行賬號信息、索賠數(shù)據(jù)和臨床資料等海量信息。這些信息不光能在黑市上賣個好價錢、供人盜用身份，還能讓人非法獲取處方藥、甚至騙取保險。一旦有人因此被竊取身份，小到尋醫(yī)問藥、大到醫(yī)療保險、信用記錄都可能受影響，風險著實不容忽視。
 

湖北某醫(yī)院內(nèi)網(wǎng)遭到挖礦病毒瘋狂攻擊

 
 
2018年3月，湖北某醫(yī)院內(nèi)網(wǎng)遭到挖礦病毒瘋狂攻擊，導致該醫(yī)院大量的自助掛號、繳費、報告查詢打印等設備無法正常工作。由于這些終端為自助設備，只提供特定的功能，安全性沒有得到重視，系統(tǒng)中沒有安裝防病毒產(chǎn)品，系統(tǒng)補丁沒有及時更新，同時該醫(yī)院中各個科室的網(wǎng)段沒有很好的隔離，導致挖礦病毒集中爆發(fā)。
 

 中國某軍工企業(yè)被美、俄兩國黑客攻擊

2018年3月，安全研究人員表示，中國某軍工企業(yè)被美、俄兩國黑客攻擊。美國黑客和俄羅斯黑客在2017年冬天入侵了中國一家航空航天軍事企業(yè)的服務器，并且留下了網(wǎng)絡間諜工具。研究人員認為這種情況比較罕見，以前從未發(fā)現(xiàn)俄羅斯黑客組織 APT28 與美國 CIA 的黑客組織 Lamberts （又被稱為“長角牛”Longhorn）攻擊同一個系統(tǒng)。

黑客利用思科高危漏洞攻擊國內(nèi)多家機構

 
2018年3月末，思科高危漏洞 CVE-2018-0171在清明小長假期間被黑客利用發(fā)動攻擊，國內(nèi)多家機構中招，配置文件被清空，安全設備形同虛設。此漏洞影響底層網(wǎng)絡設備，且漏洞 PoC 已公開，很有可能構成重大威脅。
思科3月28日發(fā)布安全公告指出，思科 IOS 和 IOS-XE 軟件 Smart Install Client （開啟了Cisco Smart Install管理協(xié)議，且模式為client模式）存在遠程代碼執(zhí)行漏洞 CVE-2018-0171，CVSS 評分高達9.8分（總分10分）。攻擊者可遠程向 TCP 4786 端口發(fā)送惡意數(shù)據(jù)包，觸發(fā)目標設備的棧溢出漏洞造成設備拒絕服務（DoS）或遠程執(zhí)行任意代碼。

“疫苗門”后，長生生物官網(wǎng)被黑客攻擊

在沸沸揚揚的“疫苗門發(fā)生以后”，眾多網(wǎng)友和社會人士都對制造不合格疫苗的 長生生物科技公司紛紛斥責。這個事情不僅僅是一個疫苗的問題，它關乎著數(shù)十萬名孩子的身體安全，警方已對此事立案調(diào)查，但是社會人士卻依舊難掩心中的怒火。就在7月23日上午，疫苗事件的主角長生生物科技股份有限公司官網(wǎng)被黑客攻破，并且配圖表示“不搞你，對不起祖國的花朵！”隨后經(jīng)過緊急的處理，長生生物官網(wǎng)顯示網(wǎng)站仍未恢復。很多網(wǎng)友都對這個黑客的做法點贊。

 

臺灣半導體巨頭臺積電突遭勒索病毒入侵損失慘重

8月3日晚間接近午夜時分，臺積電位于臺灣新竹科學園區(qū)的12英寸晶圓廠和營運總部，突然傳出電腦遭病毒入侵且生產(chǎn)線全數(shù)停擺的消息。幾個小時之內(nèi)，臺積電位于臺中科學園區(qū)的Fab 15廠，以及臺南科學園區(qū)的Fab 14廠也陸續(xù)傳出同樣消息，這代表臺積電在臺灣北、中、南三處重要生產(chǎn)基地，同步因為病毒入侵而導致生產(chǎn)線停擺。
隨后，臺積電也對外證實此事。臺積電方面稱，8月3日傍晚，部分生產(chǎn)設備受到病毒感染，非如外傳之遭受黑客攻擊，公司已經(jīng)控制此病毒感染范圍，同時找到解決方案，受影響生產(chǎn)設備正逐步恢復生產(chǎn)。受病毒感染的程度因工廠而異，部分工廠在短時間內(nèi)已恢復正常，其余工廠預計在一天內(nèi)恢復正常。臺積電檢查發(fā)現(xiàn)，此次感染的病毒為“Wanna Cry”的一個變種，直接影響是，受感染后的電腦宕機或者重復開機。
 

“驅動人生”木馬爆發(fā)

12月14日下午14點左右開始，江民病毒監(jiān)測中心發(fā)現(xiàn)，互聯(lián)網(wǎng)上出現(xiàn)了一款利用“驅動人生”升級通道，并同時利用永恒系列高危漏洞傳播的木馬病毒突發(fā)事件，僅數(shù)個小時受攻擊用戶就接近10萬。普通用戶無需擔心，江民殺毒軟件第一時間已攔截該病毒，赤豹實驗室對病毒進行了詳細分析并對外發(fā)布預警。
江民赤豹安全實驗室研究人員介紹，該木馬程序利用“驅動人生”“人生日歷”等軟件傳播，具備遠程執(zhí)行代碼功能，啟動后會將用戶計算機的詳細信息發(fā)往木馬服務器控制端，并接收遠程指令執(zhí)行下一步操作。此外，該木馬還攜帶有“永恒之藍”漏洞攻擊組件，可利用該漏洞攻擊局域網(wǎng)與互聯(lián)網(wǎng)其他機器，進行傳播擴散，并回傳被感染電腦的IP地址、CPU型號等信息。

4.2數(shù)據(jù)泄露事件

國內(nèi)
5月 國內(nèi)黑客成功入侵快遞公司后臺:盜近億客戶信息
6月 A站受黑客攻擊 近千萬條用戶數(shù)據(jù)外泄
6月 圓通10億條快遞數(shù)據(jù)在暗網(wǎng)上兜售
8月 浙江省1000萬學籍數(shù)據(jù)在暗網(wǎng)被售賣
8月 華住旗下酒店5億條信息泄露
9月 順豐疑似泄露3億條物流數(shù)據(jù)
10月 國泰航空940萬乘客敏感信息外泄。
12月 陌陌數(shù)據(jù)外泄
12月 “春節(jié)搶票”導致信息泄露
國際
1月 美國國土安全部泄露24萬公民敏感信息
1月 印度國家數(shù)據(jù)庫 Aadhaar中11億印度公民信息遭泄露
3月 安德瑪運動品牌1.5億用戶數(shù)據(jù)泄露
3月 Facebook超過5000萬名用戶資料遭“劍橋分析”公司非法用來發(fā)送政治廣告
4月 美國最大面包連鎖店Panerabread旗下網(wǎng)站泄露顧客記錄3700萬條
6月 DNA檢測公司MyHeritage泄露9200萬賬戶
6月 谷歌Firebase平臺2,271個數(shù)據(jù)庫可公開訪問，這些數(shù)據(jù)庫中包括了1億多條敏感信息記錄
9月 瑞士數(shù)據(jù)管理公司泄露4.45億條用戶數(shù)據(jù)
9月 MongoDB數(shù)據(jù)庫近1100萬郵件詳細信息泄露
10月 在美國2018年中期選舉之前，暗網(wǎng)上出售20個州的選民數(shù)據(jù)，數(shù)量達到8000萬之多
12月 萬豪酒店5億客戶數(shù)據(jù)泄露
12月 Facebook泄露680萬用戶私密照片
 

國內(nèi)黑客成功入侵快遞公司后臺:盜近億客戶信息

2018年5月，淮安市公安局清江浦分局接到當?shù)啬晨爝f公司報警，稱其服務的一家工藝品銷售公司客戶突然接到很多用戶投訴，稱他們在該公司購買產(chǎn)品后，接到了其他競爭對手的推銷電話，懷疑個人信息被泄漏。
接到報案后，清江浦分局進行了初步研判，發(fā)現(xiàn)該公司從2017年三月至四月，有超過1萬組數(shù)據(jù)被外部人員非法獲取，同時公司網(wǎng)站后臺也遭到非法入侵。
而經(jīng)過技術追蹤，警方發(fā)現(xiàn)當?shù)仄渌嗉铱爝f公司的網(wǎng)站后臺，也出現(xiàn)了不同程度的非法入侵，存在公民信息數(shù)據(jù)被非法獲取惡現(xiàn)象。警方抓獲9名嫌疑人，總計交貨公民信息數(shù)據(jù)超過300G，近1億條，至此，涉案嫌疑人13人全部抓獲歸案！
 

A站受黑客攻擊 近千萬條用戶數(shù)據(jù)外泄

2018年6月，彈幕視頻網(wǎng)AcFun公告稱，因網(wǎng)站受黑客攻擊，已有近千萬條用戶數(shù)據(jù)外泄，目前已報警處理，希望用戶及時修改密碼。公告稱，用戶數(shù)據(jù)泄露的數(shù)量達近千萬條，原因是遭到黑客攻擊。泄露的數(shù)據(jù)主要包括用戶ID、昵稱、加密儲存的密碼等。A站表示，本次事件的根本原因在于公司沒有把AcFun做得足夠安全，為此，官方向用戶道歉，并將馬上提升用戶數(shù)據(jù)安全保障能力。

圓通10億條快遞數(shù)據(jù)在暗網(wǎng)上兜售

 
6月19日，一位ID為“f666666”的用戶在暗網(wǎng)上開始兜售圓通10億條快遞數(shù)據(jù)，該用戶表示售賣的數(shù)據(jù)為2014年下旬的數(shù)據(jù)，數(shù)據(jù)信息包括寄（收）件人姓名，電話，地址等信息，10億條數(shù)據(jù)已經(jīng)經(jīng)過去重處理，數(shù)據(jù)重復率低于20%，并以1比特幣打包出售。
并且該用戶還支持用戶對數(shù)據(jù)真實性進行驗貨，但驗貨費用為0.01比特幣（約合431.98元），驗貨數(shù)據(jù)量為100萬條。此驗貨數(shù)據(jù)是從10億條數(shù)據(jù)里隨機抽選的，每條數(shù)據(jù)完全不同，也就是說用戶只要花430元人民幣即可購買到100萬條圓通快遞的個人用戶信息，而10億條數(shù)據(jù)則需要43197元人民幣。

浙江省1000萬學籍數(shù)據(jù)在暗網(wǎng)被售賣

在8月1日下午安全人員通過暗網(wǎng)監(jiān)測到浙江省1000萬條學籍數(shù)據(jù)正在暗網(wǎng)上售賣。
在截圖中顯示，賣家稱，去除無效數(shù)據(jù)后剩余1000萬條，售賣的學籍數(shù)據(jù)覆蓋了浙江的大部分市區(qū)，被泄露的信息包含了學生姓名、身份證、學籍號、戶籍位置、監(jiān)護人、監(jiān)護人號碼、居住地址、出生地、學校名稱等。除了文字數(shù)據(jù)，售賣的學籍數(shù)據(jù)里還提供有照片鏈接，在100G左右。
從暗網(wǎng)數(shù)據(jù)截圖來看，學籍信息里出生年齡分布在95年~06年，還包含了家人聯(lián)系方式及照片，因此數(shù)據(jù)的真實性較高。雖然賣家說是今年最新的數(shù)據(jù)，但不排除存在有老數(shù)據(jù)的可能。而且，被泄露的學籍數(shù)據(jù)里只含有中小學生，不包含大學生，推測浙江省中小學生學籍信息管理類系統(tǒng)可能被黑客入侵，取走數(shù)據(jù)。
 

華住旗下酒店5億條信息泄露

華住旗下多個連鎖酒店開房信息數(shù)據(jù)正在暗網(wǎng)出售，受到影響的酒店，包括漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等，泄露數(shù)據(jù)總數(shù)更是近 5億！
從網(wǎng)絡上流傳的截圖可以看出，黑客目前正在數(shù)據(jù)信息如下，有幾大數(shù)字值得我們注意：
1. 華住官網(wǎng)注冊資料，包括姓名、手機號、郵箱、身份證號、登錄密碼等，共 53 G，大約1.23 億條記錄；
2. 酒店入住登記身份信息，包括姓名、身份證號、家庭住址、生日、內(nèi)部 ID 號，共 22.3 G，約 1.3 億人身份證信息；
3. 酒店開房記錄，包括內(nèi)部ID賬號，同房間關聯(lián)號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID賬號、房間號、消費金額等，共66.2 G，約 2.4 億條記錄；
數(shù)據(jù)之齊全，令人咋舌。
發(fā)帖人聲稱，所有數(shù)據(jù)脫庫時間是 8 月 14 日，每部分數(shù)據(jù)都提供 10000 條測試數(shù)據(jù)。所有數(shù)據(jù)打包售賣 8 比特幣，按照當天匯率約約合 37 萬人民幣。而經(jīng)過媒體報道之后，該發(fā)帖人稱要減價至 1 比特幣出售……
 
此次泄露的原因是華住公司程序員將數(shù)據(jù)庫連接方式及密碼上傳到 GitHub 導致的。而數(shù)據(jù)庫信息是20天前傳到了Github上，而黑客拖庫是在14天前，黑客很可能是利用此信息實施攻擊并拖庫.
 

順豐疑似泄露3億條物流數(shù)據(jù)

2018年9月，暗網(wǎng)交易市場有一個ID為“bijiaodiao1688”的用戶，在售賣順豐的用戶數(shù)據(jù)，總量高達3億條，包括快遞寄件人、收件人的姓名、地址、電話等個人信息，售價約10萬人民幣。當然，黑客要求用比特幣支付，2個比特幣，這樣別人就查不到其個人信息了。買家如果不放心，可以先發(fā)1000元或0.1個比特幣，買10萬條數(shù)據(jù)進行驗證。這份數(shù)據(jù)當中，包括快遞寄件人、收件人姓名、地址、電話，數(shù)據(jù)挺詳細。
 

香港國泰航空聲稱，包含有940萬乘客的敏感信息外泄

10月25日，香港國泰航空發(fā)布公告稱，該公司發(fā)現(xiàn)大約940萬名乘客的資料曾被不當取覽，涉及的個人信息包括乘客姓名、國籍、出生日期、電話號碼、電郵及實際地址、護照號碼、身份證號碼、飛行?？陀媱潟T號碼、顧客服務備注及過往的飛行記錄資料等。對此，國泰航空已就事件通知香港警察，并正知會各有關當局。
 

陌陌數(shù)據(jù)外泄

2018年12月3日，有爆料稱，陌陌3000萬數(shù)據(jù)在暗網(wǎng)上以50美金的價格出售。
陌陌回應稱，網(wǎng)傳數(shù)據(jù)為三年前的數(shù)據(jù)，且跟陌陌用戶的匹配度極低。

“春節(jié)搶票”導致信息泄露

春節(jié)臨近，搶票大戰(zhàn)一觸即發(fā)，在最火爆的春運行業(yè)，有人想要趁機分一杯羹。
近日，網(wǎng)絡上爆出12306數(shù)據(jù)遭泄露，暗網(wǎng)有人兜售60萬賬號及410萬聯(lián)系人信息，且目前已有多人人購買。并提供了如下截圖：

根據(jù)這條帖子的內(nèi)容，這份數(shù)據(jù)包括60萬賬戶信息，詳細到除了ID、手機號、密碼之外，連姓名、身份證、郵箱、問題及答案竟然都有，根據(jù)安全問題很可能能夠直接申訴獲取其它平臺賬戶的重要信息。
此外，還包括每個賬戶中添加的聯(lián)系人信息，設計姓名及身份證號，這些聯(lián)系人數(shù)據(jù)總量高達410萬。帖子中還給出了50條隨機數(shù)據(jù)的全部信息。根據(jù)爆料者透露，這些賬戶數(shù)據(jù)經(jīng)過驗證基本是真實。很快就出現(xiàn)了交易信息，但包含如此詳細信息的數(shù)據(jù)交易價格卻非常低，僅20美金，還不到140人民幣。
 

4.3其他重大安全事件概述：

1月 英特爾處理器曝“Meltdown”和“Spectre漏洞”
2月 蘋果IOS iBoot源碼泄露
5月 區(qū)塊鏈平臺EOS現(xiàn)史詩級系列高危安全漏洞
5月 Git曝任意代碼執(zhí)行漏洞
7月 微信支付SDK曝XXE漏洞，攻擊者可免費獲取商品
9月 惡意軟件XBash曝光，針對Linux及Windows系統(tǒng)
9月 新型僵尸勒索軟件Virobot通過微軟Outlook廣泛傳播
12月 “微信支付”勒索病毒曝光，10萬多臺電腦被感染
 

英特爾處理器曝“Meltdown”和“Spectre漏洞”

 
Intel處理器被爆出存在硬件上的漏洞，該漏洞源于芯片硬件層面的一處設計BUG。這個BUG會允許程序竊取當前在計算機上處理的數(shù)據(jù)，并且影響Windows, MacOS, Linux。由于涉及硬件，該漏洞無法通過芯片的微碼（microcode）更新進行修復，需要通過內(nèi)核級別的修復來解決，并且據(jù)研究表明，修復該漏洞會犧牲5%-30%的性能。
其中Meltdown指CPU上存在的惡意的數(shù)據(jù)緩存載入漏洞，Spectre指繞過邊界檢查漏洞和分支目標注入漏洞。目前中高端CPU具有預測執(zhí)行的功能來提高效率，即處理器會“記憶”之前執(zhí)行過的指令，下次指令要讀取的數(shù)據(jù)會被提前加入達到緩存中。黑客可以根據(jù)內(nèi)存和緩存訪問的速度差異推測出內(nèi)核數(shù)據(jù)存在的內(nèi)存塊，從而非法讀取數(shù)據(jù)，用戶的密碼、住址等各項重要信息都會被暴露。

蘋果IOS iBoot源碼泄露

Motherboard 和 Redmond Pie 發(fā)布報告稱他們在代碼分享網(wǎng)站 GitHub 上發(fā)現(xiàn)了 iPhone 操作系統(tǒng)的核心組件源碼，這些源碼現(xiàn)在處于公開狀態(tài)，如果一旦被黑客利用，不僅越獄工具會井噴，數(shù)以億計 iOS 設備的安全性也將受到威脅。
據(jù)悉，泄露的代碼屬于 iBoot，iBoot 是 iOS 安全系統(tǒng)的重要組成部分，大家能夠把它當做是 Windows 電腦的 BIOS 系統(tǒng)。這些源碼最開始在 Reddit 上被在線共享，而今天出現(xiàn)在 GitHub 上意味著它已經(jīng)被大量開發(fā)者下載。
不少安全專家表示，這些代碼確實來自 iOS ，屬于 iOS 9，雖然這是一個老系統(tǒng)了，和現(xiàn)在最新的 iOS 11.2.5 也沒有很多重合的源碼，但誰也不能說二者100%沒有重合。不過好在現(xiàn)在的 iOS 設備都有 Secure Enclave 提供保護，而且這份泄露的源碼缺少文件，還不能被完全編譯，所以此次泄露不會導致大量 iOS 設備直接受到攻擊。
 

區(qū)塊鏈平臺EOS現(xiàn)史詩級系列高危安全漏洞

2018年5月，區(qū)塊鏈平臺 EOS 被爆出的一系列高危安全漏洞。經(jīng)驗證，其中部分漏洞可以在 EOS 節(jié)點上遠程執(zhí)行任意代碼，即可以通過遠程攻擊，直接控制和接管 EOS 上運行的所有節(jié)點。
在攻擊中，攻擊者會構造并發(fā)布包含惡意代碼的智能合約，EOS 超級節(jié)點將會執(zhí)行這個惡意合約，并觸發(fā)其中的安全漏洞。攻擊者再利用超級節(jié)點將惡意合約打包進新的區(qū)塊，進而導致網(wǎng)絡中所有全節(jié)點（備選超級節(jié)點、交易所充值提現(xiàn)節(jié)點、數(shù)字貨幣錢包服務器節(jié)點等）被遠程控制。
由于已經(jīng)完全控制了節(jié)點的系統(tǒng)，攻擊者可以“為所欲為”，如竊取 EOS 超級節(jié)點的密鑰，控制 EOS 網(wǎng)絡的虛擬貨幣交易；獲取 EOS 網(wǎng)絡參與節(jié)點系統(tǒng)中的其他金融和隱私數(shù)據(jù)，例如交易所中的數(shù)字貨幣、保存在錢包中的用戶密鑰、關鍵的用戶資料和隱私數(shù)據(jù)等等。
更有甚者，攻擊者可以將 EOS 網(wǎng)絡中的節(jié)點變?yōu)榻┦W(wǎng)絡中的一員，發(fā)動網(wǎng)絡攻擊或變成免費“礦工”，挖取其他數(shù)字貨幣。
EOS 是被稱為“區(qū)塊鏈3.0”的新型區(qū)塊鏈平臺，目前其代幣市值高達 690 億人民幣，在全球市值排名第五。網(wǎng)絡安全領域專家稱，這類型的安全問題不僅僅影響 EOS，也可能影響其他類型的區(qū)塊鏈平臺與虛擬貨幣應用

Git曝任意代碼執(zhí)行漏洞

Git 社區(qū)于2018年5月發(fā)現(xiàn) Git 存在一個漏洞，允許黑客執(zhí)行任意代碼。 他敦促開發(fā)人員盡快更新客戶端應用程序。 微軟還采取了進一步措施，防止惡意代碼庫被推入微軟的 VSTS（Visual Studio Team Services）
此代碼是 CVE 2018-11235 中的一個安全漏洞。 當用戶在惡意代碼庫中操作時，他們可能會受到任意代碼執(zhí)行攻擊。 遠程代碼存儲庫包含子模塊定義和數(shù)據(jù)，它們作為文件夾捆綁在一起并提交給父代碼存儲庫。 當這個代碼倉庫被來回復制時，Git 最初會將父倉庫放到工作目錄中，然后準備復制子模塊。
但是，Git 稍后會發(fā)現(xiàn)它不需要復制子模塊，因為子模塊之前已經(jīng)提交給父存儲庫，它也被寫入工作目錄，這個子模塊已經(jīng)存在于磁盤上。 因此，Git 可以跳過抓取文件的步驟，并直接在磁盤上的工作目錄中使用子模塊。
但是，并非所有文件都可以被復制。 當客戶端復制代碼庫時，無法從服務器獲取重要的配置。 這包括 .git 或配置文件的內(nèi)容。 另外，在 Git 工作流中的特定位置執(zhí)行的鉤子（如Git）將在將文件寫入工作目錄時執(zhí)行 Post-checkout 鉤子。
不應該從遠程服務器復制配置文件的一個重要原因就是，遠程服務器可能提供由 Git 執(zhí)行的惡意代碼。CVE 2018-11235 的漏洞正是犯了這個錯誤，所以 Git 有子模塊來設置漏洞。 子模塊存儲庫提交給父存儲庫，并且從未實際復制過。子模塊存儲庫中可能存在已配置的掛鉤。 當用戶再次出現(xiàn)時，惡意的父庫會被精心設計。將寫入工作目錄，然后 Git 讀取子模塊，將這些子模塊寫入工作目錄，最后一步執(zhí)行子模塊存儲庫中的任何 Post-checkout 掛鉤。

微信支付SDK曝XXE漏洞，攻擊者可免費獲取商品

2018年7月，微信支付的SDK曝出重大漏洞（XXE漏洞），通過該漏洞，攻擊者可以獲取服務器中目錄結構、文件內(nèi)容，如代碼、各種私鑰等。獲取這些信息以后，攻擊者便可以為所欲為，其中就包括眾多媒體所宣傳的“0元也能買買買”。

根據(jù)白帽子給出的漏洞描述，使用微信支付時，商家需要提供通知網(wǎng)址以接受異步支付結果。 問題是微信在JAVA版本SDK中的實現(xiàn)存在一個xxe漏洞。 攻擊者可以向通知URL構建惡意payload，根據(jù)需要竊取商家服務器的任何信息。 一旦攻擊者獲得商家的關鍵安全密鑰（md5-key和merchant-Id等），就可以通過發(fā)送偽造信息來欺騙商家購買任何東西而無需付費。
 

惡意軟件XBash曝光，針對Linux及Windows系統(tǒng)

Palo Alto Networks的安全研究人員發(fā)現(xiàn)了一種新的惡意軟件，被稱為Xbash，主要針對Linux和Microsoft Windows服務器。惡意代碼結合了不同惡意軟件的功能，如勒索軟件，挖礦軟件，僵尸網(wǎng)絡和蠕蟲。在被感染的Linux系統(tǒng)中發(fā)現(xiàn)了僵尸網(wǎng)絡和勒索軟件功能，而在被感染的Windows服務器中則發(fā)現(xiàn)了挖礦行為。
Xbash是使用Python開發(fā)的，惡意軟件作者通過濫用合法工具PyInstaller進行分發(fā)，轉換為自包含的Linux ELF可執(zhí)行文件。惡意代碼結合了不同惡意軟件的功能，如勒索軟件，加密貨幣挖礦軟件，僵尸網(wǎng)絡和蠕蟲。Xbash擁有勒索軟件的核心功能，同時還具有自傳播性（意味著它具有類似于WannaCry或Petya/NotPetya的蠕蟲特征）。
 

新型僵尸勒索軟件Virobot通過微軟Outlook廣泛傳播

根據(jù)一份披露的安全報告，一種全新的僵尸網(wǎng)絡勒索軟件Virobot正通過微軟Outlook進行大肆傳播。報告中指出該惡意軟件同時兼具僵尸網(wǎng)絡和勒索軟件的特征，在微軟Outlook上以垃圾郵件的方式進行傳播。
報告中寫道：“Virobot首次發(fā)現(xiàn)于2018年9月17日，是對臭名昭著的Locky勒索軟件變種分析7天之后發(fā)現(xiàn)的。一旦感染Virobot，它就會檢查注冊表鍵值（計算機GUID和產(chǎn)品秘鑰）來確認系統(tǒng)是否應該加密。然后通過加密隨機數(shù)生成器（Random Number Generator）來生成加密和解密你要。此外伴隨著生成的秘鑰，Virobot還會將收集的受害者數(shù)據(jù)通過POST發(fā)送到C&C 服務器 上。”
 

 “微信支付”勒索病毒曝光，10萬多臺電腦被感染

微信，作為現(xiàn)在大多數(shù)人幾乎每天都要使用，已經(jīng)成為生活中必不可少的移動交流和支付工具，而12月1日爆發(fā)了"微信支付"勒索病毒并快速傳播，感染的電腦數(shù)量越來越多。病毒團伙入侵并利用豆瓣的C&C服務器，除了鎖死受害者文件勒索贖金（支付通道已經(jīng)關閉），還大肆偷竊支付寶等密碼。
據(jù)江民安全團隊分析，病毒作者首先攻擊軟件開發(fā)者的電腦，感染其用以編程的"易語言"中的一個模塊，導致開發(fā)者所有使用"易語言"編程的軟件均攜帶該勒索病毒。廣大用戶下載這些"帶毒"軟件后，就會感染該勒索病毒。整個傳播過程并不復雜，但污染"易語言"后再感染軟件的方式卻比較罕見。

五、總結：

 
從網(wǎng)絡攻擊、惡意軟件到數(shù)據(jù)泄露，網(wǎng)絡安全形勢日益嚴峻，變化越來越快。無論是個人消費者，還是企業(yè)，都應當重視網(wǎng)絡安全發(fā)展，注意網(wǎng)絡安全態(tài)勢。未來我們即將迎來一個萬物互聯(lián)的時代，網(wǎng)絡安全不僅單單影響互聯(lián)網(wǎng)的穩(wěn)定，也關系到數(shù)據(jù)，業(yè)務，財產(chǎn)乃至國家安全，只有走在威脅的前面，才能有效及時得防止威脅。鑒于當前全球安全態(tài)勢的性質(zhì)，我們需要思考自身當前安全策略，樹立新時代的網(wǎng)絡安全觀，與時俱進，才能夠應對當下乃至未來更嚴峻的網(wǎng)絡安全威脅！
 
 
 
 
（本報告來源于江民赤豹網(wǎng)絡安全實驗室）