当前位置: 主页 > 建站知识 > 网站建设

2021年中国网络安全报告

发布时间:2023-08-10 15:25   浏览次数:次   作者:小编

  2021年瑞星“云安全”系统共截获病毒样本总量1.19亿个,病毒感染次数2.59亿次,病毒总体数量比2020年同期下降了19.66%。报告期内,新增木马病毒8,050万个,为第一大种类病毒,占到总体数量的67.49%;排名第二的为蠕虫病毒,数量为1,652万个,占总体数量的13.85%;后门、灰色软件、感染型病毒分别占到总体数量的8.75%、5.47%和3.76%,位列第三、第四和第五,除此以外还包括漏洞攻击和其他类型病毒。

  报告期内,广东省病毒感染人次为2,614万次,位列全国第一,其次为江苏省及山东省,分别为1,870万次及1,835万次。

  根据病毒感染人数、变种数量和代表性综合评估,瑞星评选出2021年1至12月病毒Top10:

  勒索软件和挖矿病毒在2021年依旧占据着重要位置,报告期内瑞星“云安全”系统共截获勒索软件样本32.22万个,感染次数为62.4万次;挖矿病毒样本总体数量为485.62万个,感染次数为184.11万次。

  瑞星通过对捕获的勒索软件样本进行分析后发现,Blocker家族占比49.39%,成为第一大类勒索软件,其次是Agent家族,占到总量的25.61%,第三是GandCrab家族,占到总量的10.85%。

  勒索软件感染人次按地域分析,广东省排名第一,为5.79万次,第二为江苏省5.5万次,第三为山东省5.27万次。

  挖矿病毒在2021年依然活跃,瑞星根据病毒行为进行统计,评出2021年挖矿病毒Top10:

  挖矿病毒感染人次按地域分析,新疆以22.12万次位列第一,重庆市和北京市分别位列二、三位,为17.46万次和11.28万次。

  2021年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量6,279万个,其中挂马类网站4,366万个,钓鱼类网站1,913万个。美国恶意URL总量为1,222万个,位列全球第一,其次是印度尼西亚767.07万个和中国180.41万个,分别排在二、三位。

  报告期内,瑞星“云安全”系统所截获的恶意网址(URL)在中国范围内排名,第一位为河南省,总量为31.53万个,其次为北京市和广东省,分别为17.76万个和17.35万个。

  2021年瑞星“云安全”系统共截获手机病毒样本275.6万个,病毒类型以信息窃取、资费消耗、远程控制、流氓行为等类型为主,其中信息窃取类病毒占比43.72%,位居第一;其次是资费消耗类病毒占比25.53%,第三名是远程控制类病毒占比10.01%。

  2021年1月13日,Incaseformat蠕虫病毒爆发。瑞星公司接到大量用户求助,这些用户电脑非系统盘中的所有文件均被删除。根据瑞星安全研究院分析发现,这是一个名为Incaseformat的蠕虫病毒所致,该蠕虫病毒主要通过U盘等方式进行传播,当其感染U盘后,U盘下的原文件夹将被隐藏,病毒会伪装成原文件夹。一旦用户再插入受感染U盘就会误以为真,点击运行后,病毒就会感染除C盘之外其他磁盘上的文件夹,并在指定时间段内删除系统中C盘之外磁盘上的所有数据。经过分析,这并不是一个新病毒,瑞星杀毒软件在2013年就可以查杀,本次突然发作是因为病毒内存在时间开关。

  2021年2月17日,新加坡知名电信公司新电信(Singtel)在其官网发布消息称,由第三方供应商Accellion提供的名为FTA的第三方文件共享系统受到不明身份黑客的非法攻击,导致数据泄露。此次遭泄露的数据包括:约129000名新电信客户的个人信息,含姓名、身份证号(National Registration Identity Card,NRIC)、出生日期、手机号码、地址等隐私信息。

  2021年3月20日,加拿大Sierra Wireless无线设备制造公司的IT系统遭到勒索软件攻击,勒索软件对Sierra的内部IT网络进行了加密,阻止员工访问与制造和计划相关的内部文档和系统,该事件导致公司在全球各地的生产基地停产。

  2021年4月3日,有开发者发现,黑客滥用GitHub Actions功能在GitHub服务器上植入挖矿软件,利用GitHub资源来开采加密货币。据悉,自2020年11月开始,攻击者就发现了GitHub Actions的一个Bug:提交含有恶意代码的Pull Request时,无需项目原作者同意即可运行恶意代码。一旦这些恶意Pull Request被提交,GitHub系统就会读取这些代码并启动一个虚拟机,而该虚拟机就会在GitHub的基础架构上下载并运行加密货币挖掘软件。

  2021年4月7日,国外有媒体爆料称,5.33亿Facebook用户的数据,包括电话号码、Facebook ID、全名、出生日期和其他信息都被发布在网上。安全公司哈德逊洛克(hudsonrock)的首席技术官阿隆•加尔在推特上发布了这个数据。加尔公布了受影响用户的国家名单,根据他的名单,美国有3230万受影响用户,英国有1150万。Facebook解释,公司无法判断是哪些用户的信息被泄露,无法通知到个人,并表示用户自身也解决不了问题,没有告知的必要。

  2021年4月13日,据国外媒体报道,位于德黑兰以南的伊朗遭到了网络攻击。伊朗负责核安全的相关负责人Ali Akbar Salehi称,此次网络攻击的目标为Natanz,在此次袭击发生的前两天,伊朗刚刚发布新的浓缩铀设备。由于该设备不仅可以用于浓缩核电使用的铀原料,亦可以用于生产武器级浓缩铀,美国科学家联合会表示此离心机可能引起非常严重的核武器扩散问题。有关于此次网络攻击事件,Salehi认为这是针对伊朗正常核计划的“”。

  2021年5月7日,美国最大成品油管道运营商Colonial Pipeline公司的工业控制系统遭到攻击组织DarkSide的网络攻击,该事件导致Colonial Pipeline公司被迫中断了东部沿海主要城市输送油气的管道系统运营。而后,该公司向负责该事件的DarkSide网络攻击组织支付了500万美元的赎金,此次攻击影响让长达5500英里的管道所服务的许多市场出现燃料短缺。

  2021年6月初,有消息披露,美国能源部(DOE)分包商与国家核安全局(NNSA)合作开发核武系统的Sol Oriens公司遭到了REvil勒索软件攻击,该公司称其主要协助国防部、能源部、航空航天承包商和技术公司开展复杂的项目。REvil团伙正在拍卖攻击期间窃取的数据,其中包括业务数据和员工信息,例如员工社会安全号码、招聘概览文件、工资单文件和工资报告等。Sols Oriens也证实了其在2021年5月遭到了网络攻击,可能已经泄露部分数据。

  2021年7月10日,伊朗道路和城市发展部遭到网络攻击,门户网站无法运行。此前一天,伊朗铁路公司也遭到网络攻击。网络安全公司SentinelOne的研究人员在一份新报告中重建了对伊朗火车系统的网络攻击并发现了一种新的威胁因素,他们将其命名为MeteorExpress,这是一种以前从未见过的wiper。据报道,wiper可以更改所有用户的密码、禁用屏幕保护程序、基于目标进程列表终止进程、安装屏幕锁、禁用恢复模式、更改启动策略错误处理、创建计划任务、注销本地会话、删除影子副本、更改锁定屏幕图像和执行要求。

  2021年8月7日消息,硬件厂商技嘉表示,公司于本周二晚上遭到勒索软件攻击,但没有对生产系统产生影响,因为攻击的目标是位于总部的少量内部服务器。技嘉表示由于安全团队的迅速行动,服务器已从备份中恢复并重新上线,但事件远未结束。援引外媒The Record报道,勒索软件团伙RansomExx对本次攻击负责,该团伙声称拥有112GB的数据,其中包括技嘉和Intel、AMD和American Megatrends的机密通信。该组织威胁要公开所有内容,除非技嘉愿意支付赎金。

  2021年8月16日,美国移动通信运营商T-Mobile US披露,因黑客入侵导致用户资料外泄,受影响人数增至5300万。T-Mobile指出,美国联邦通信委员会(FCC)已经就该事件展开调查。T-Mobile本周较早时估计,资料外泄用户数量超过4000万个,其中包括780万名现有客户。外泄的资料包括用户姓名、出生日期、电话号码,但信用卡等个人财务资料则没有外泄。

  2021年9月6日,勒索软件攻击并加密了南非司法和宪法发展部所有系统,导致内部和公众无法使用所有电子服务。南非司法和宪法发展部发言人Steve Mahlangu表示:“(攻击)导致所有信息系统被加密,内部员工以及公众都无法使用。因此,该部门提供的所有电子服务都受到影响,包括签发授权书、保释服务、电子邮件和部门网站。” Mahlangu表示,该部的IT专家已经发现“没有数据泄露的迹象”。到目前为止,还没有任何一个拥有数据泄露网站的团伙声称对这次攻击负责。

  2021年9月,欧洲规模最大客户服务与呼叫中心供应商之一Covisian公司的西班牙与南美洲分部GSS遭遇勒索软件攻击,其大部分IT系统瘫痪,面向西班牙语区客户群体的呼叫中心应声沦陷。一位了解内情的消息人士表示,受到影响的呼叫中心用户包括移动运营商西班牙沃达丰、电信运营商MasMovil、马德里市供水公司、多家电视台及私营企业。母公司Covisian的一位发言人表示,此次攻击出自Conti勒索软件团伙之手。

  2021年10月30日,加拿大纽芬兰省和拉布拉多省均遭受网络攻击,导致中央卫生局、东部卫生局、西部卫生局和拉布拉多-格伦费尔地区卫生局等多地医疗卫生系统发生严重的网络中断,数千个医疗预约被迫取消。受网络中断影响,医生无法访问医疗中心数据库,只能采取纸质化方式办公;受影响的医疗中心也被迫取消了化疗、X光扫描、手术和其他专科医疗服务的预约,仅保留了疫苗接种和急危重症患者收治服务通道。此外,网络中断还引发了多地通讯瘫痪,有患者称无法打通医疗急救中心电线. 美国FBI服务器遭黑客入侵!超10万人收到虚假邮件

  2021年11月13日,隶属于美国司法部的情报机构,美国联邦调查局(FBI)邮件系统遭到黑客入侵。黑客使用FBI的电邮账号发送了超过10万封虚假电子邮件,并警告可能将发生网络攻击事件。FBI指出,发送虚假邮件的电子邮箱域名看上去似乎是FBI的官方邮箱,且邮件的署名为美国国土安全部。FBI表示,黑客攻击造成的软件漏洞目前已被修复。

  2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。Apache Log4j2是一个基于Java的日志记录工具,该工具重写了Log4j框架,并且引入了大量丰富的特性,Apache Log4j-2是Log4j的升级版,这个日志框架被大量用于业务系统开发,用来记录日志信息。在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中,而攻击者则可以利用此特性通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。

  2021年11月25日,暴雪表示旗下战网服务正遭到DDoS攻击。在推特上,官方说此次攻击会导致玩家遇到高延迟或是断线,并表示正在尽全力缓解问题。宣布遭受攻击1小时后,官方发推称正在试图缓解的DDoS攻击已经结束,玩家应该可以再次正常登录战网。在服务器检测网站DownDetector上,动视暴雪的许多服务和产品都出现了服务器断线报告,有数千人报告战网掉线,同时也有数百人表示部分暴雪游戏服务断线。

  2021年12月下旬,法国IT服务商Inetum Group遭勒索软件攻击,官方声明攻击并不涉及大型基础设施,只影响了法国的部分业务,且公司立刻采取行动保护敏感数据,未出现数据泄露。官方声明没有提及遭哪个勒索软件组织攻击,但法国出版物LeMagIt的主编透露此次攻击为之前报告的今年最复杂勒索软件Blackcat组织所为。

  报告期内,从收集到的病毒样本分析来看,利用最多的漏洞依然是微软Office漏洞。CVE-2017-11882、CVE-2018-0802、CVE-2017-0199得益于漏洞稳定性、易用性和用户群体广泛性一直是钓鱼邮件攻击者首选的利用漏洞。诸如Patchwork、SideWinder、Donot等APT组织以及Emotet、AgentTesla等间谍软件、银行木马也都十分善于利用这些Office漏洞实现对受害目标群体的广泛攻击。

  CVE-2017-0147 Windows SMB协议漏洞(MS17-010永恒之蓝漏洞)在2017年爆发,至今已经过去4年时间,然而它仍是目前被病毒利用最多的安全漏洞之一。该漏洞之所以有着居高不下的利用率,也正是由于在大多数企业内网环境中依然存在大量的终端设备尚未修复该漏洞,进入内网环境的病毒程序仍可透过该漏洞轻松地在内网环境中传播。

  Log4j2远程代码执行漏洞(CVE-2021-44228)可以说是引爆2021年安全行业的重大事件。Apache Log4j2是Apache开源的项目,是一款优秀的Java日志框架,用来记录日志信息,在各类Java项目中应用十分广泛。12月9日晚Log4j2爆出严重漏洞,其相关利用被公开并迅速地在网络上扩散,引起各国高度重视,一时间全球近一半企业与之相关的业务均受到该漏洞的影响,同时也出现了诸如比利时国防部被不法分子利用Log4j漏洞进行攻击等事件。

  瑞星根据漏洞被黑客利用程度进行分析,评选出2021年1至12月份漏洞Top10:

  该漏洞又称公式编辑器漏洞,2017年11月14日,微软发布了11月份的安全补丁更新,悄然修复了潜伏17年之久的Office远程代码执行漏洞CVE-2017-11882。该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本,攻击者可以利用漏洞以当前登录的用户身份执行任意命令。漏洞出现在模块EQNEDT32.EXE中,该模块为公式编辑器,在Office的安装过程中被默认安装,该模块以OLE技术将公式嵌入在Office文档内。由于该模块对于输入的公式未作正确的处理,攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址,从而劫持程序流程,在登录用户的上下文环境中执行任意命令。

  此漏洞与它的上一代CVE-2017-11882一脉相承,同属于Microsoft Office中的EQNEDT32.EXE公式编辑器的漏洞。该漏洞又被称为“噩梦公式”, 源于对象在内存中的处理不当(微软Office内存破坏漏洞),当用户打开特制的嵌有公式编辑器对象的Office文档时会直接触发漏洞导致任意代码执行。

  此漏洞主要是Word在处理内嵌OLE2Link对象,并通过网络更新对象时没有正确处理Content-Type所导致的一个逻辑漏洞。该漏洞利用Office OLE对象链接技术,将包裹的恶意链接对象嵌在文档中,Office调用URL Moniker将恶意链接指向的HTA文件下载到本地,URL Moniker通过识别响应头中content-type的字段信息最后调用mshta.exe将下载到的HTA文件执行起来。

  UNACE.DLL是WinRAR所使用的一个陈旧的动态链接库,用于处理ACE格式的文件,该动态链接库在2006年被编译,没有任何防护措施。WinRAR在解压处理ACE格式的文件的过程中存在一处目录穿越漏洞,该漏洞允许解压过程中向任意目录写入文件,利用该漏洞可以向开机启动目录中写入恶意文件导致机器开机时执行恶意代码。

  2.1 CVE-2021-44228 Apache log4j2远程代码执行漏洞

  2021年12月9日晚Apache log4j2被曝出远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。该漏洞无需配置,且Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。Apache Log4j2是一款流行的Java日志记录工具,该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。

  2021年9月7日,微软发布了Windows IE MSHTML中的一个远程代码执行漏洞。攻击者可通过制作恶意的 ActiveX 控件供托管浏览器呈现引擎的 Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码。微软称该漏洞可通过Office 365和Office2019在受影响的windows 10主机上下载和安装恶意软件。

  2021年7月初微软官方发布了一个存在于Windows打印服务(Windows Print Spooler)的高危漏洞。Windows Print Spooler是Windows的打印机后台处理程序,利用该漏洞,攻击者可以使用一个低权限用户(包括guest用户),对域控发起攻击,进而控制整个内网。

  2021年7月由微软公开的Windows提权漏洞,该漏洞是由于对多个系统文件(包括安全帐户管理器(SAM)数据库的访问控制列表(ACL)过于宽松,存在特权提升漏洞。成功利用此漏洞的攻击者可以使用SYSTEM权限运行任意代码,然后攻击者可以安装程序,查看、更改或删除数据,或创建具有完全用户权限的新帐户。

  2021年2月,微软每月的例行补丁包中修复了一个Windows系统本地提权漏洞,本地攻击者可以利用此漏洞提升到System权限,此漏洞可能被用于定向攻击活动。该漏洞主要由函数win32kfull!xxxCreateWindowEx 对应用层回调返回数据校验不严导致,本地用户执行漏洞利用程序获取系统权限。

  DarkSide组织主要是通过投递Darkside勒索软件对目标进行攻击的,该团伙于2020年8月出现,据统计已经袭击了近百个受害者,从被Darkside团伙攻击过的行业来看,该团伙的攻击目标涉及了IT、石油和天然气等多个领域。2021年DarskSide先后对成品油管道运营商Colonial Pipeline、东芝公司(Toshiba Tec Corp)、化学品分销集团Brenntag等企业进行了网络攻击。

  攻击事件1:2021年5月7日,DarkSide组织袭击了美国最大成品油管道运营商Colonial Pipeline公司的工业控制系统。该事件导致Colonial Pipeline公司被迫中断了东部沿海主要城市输送油气的管道系统运营,随后美国政府宣布进入紧急状态。据悉,Colonial Pipeline是美国最大的成品油管道运营商,每天通过管道系统输送超过1亿加仑的燃料,该管道系统连接得克萨斯州休斯顿和新泽西州林登,跨度长达5500多英里,美国东海岸45%的燃料都由该管道系统提供,受此事件影响,此次燃油管道关闭有可能导致油价攀升。

  攻击事件3:2021年5月初,化学品分销巨头Brenntag遭受了网络攻击,网络犯罪分子不仅对该公司网络上的设备数据进行了加密,还窃取了大量未加密的文件。DarkSide勒索软件组织声称在本次攻击期间窃取了150GB的数据。为了解救被网络攻击者加密的数据,并防止被盗数据的公开泄露,Brenntag被迫向DarkSide勒索软件团伙支付了价值440万美元的比特币赎金。

  Patchwork是一个至少从2015年就开始进行网络攻击的APT组织,疑似来自印度。这个APT组织还有“摩诃草”、Dropping Elephant、Chinastrats、APT-C-09、Quilted Tiger和ATK 11等称谓。该组织主要是从事信息窃取和间谍活动,其针对的目标包含了中国、巴基斯坦、日本、英国和美国等多个国家,涉及的目标行业多为航空、国防、能源、金融、IT和政府等。攻击手法有投递恶意宏文档,利用钓鱼网站和使用esp漏洞(CVE-2017-0261)等。2021年瑞星捕获到了多起和其相关的安全事件。

  攻击事件1:2021年1月,瑞星威胁情报平台捕获到一起涉及中国和巴基斯坦的样本,通过分析发现,该样本名为“Chinese_Pakistani_fighter_planes_play_war_games.docx.”,(译文:中国巴基斯坦战斗机参加战争游戏.docx)。该样本利用esp漏洞进行攻击,当用户点击执行docx文档后,该恶意样本便会通过文档目录“word/_rels/document.xml.rels”中的加载项加载“media/image1.eps”,利用esp释放同名诱饵文档以迷惑用户,诱饵文档内容则与中国和巴基斯坦的空军演习相关报道相关,同时还会释放FakeJLI后门病毒,以进行信息窃取等恶意操作。

  攻击事件2:2021年12月21日,瑞星威胁情报平台捕获了一起Patchwork组织对中国发起的攻击事件。该组织在此次攻击中利用了带有CVE-2017-11882漏洞的诱饵文档,伪装成《中华人民共和国国家卫生健康委员会登记表》进行攻击,登记表内需要填写的内容包含姓名、出生日期、地址、邮箱以及电话等隐私信息。一旦目标打开诱饵文档,攻击者就会利用文档漏洞执行一段shellcode,从而在目标系统内隐秘释放远控木马。

  Lazarus Group是一个自2007年就开始对目标进行网络攻击的威胁组织,该组织又被称为Group 77、Hastati Group、Hidden Cobra、APT-C-26、T-APT-15、Zinc和Nickel Academy等,是现今最活跃的威胁组织之一。该组织来自朝鲜,具有国家背景,除了擅长信息盗取、间谍活动外,还会通过蓄意破坏电脑系统以获取经济利益,攻击的国家包括中国、德国、澳大利亚、日本等,涉及的领域有航空航天、政府、医疗、金融和媒体等。2021年瑞星捕获到的多起攻击事件都和其相关。

  攻击事件1:2021年5月11日,瑞星威胁情报平台捕获到一起Lazarus Group组织的攻击事件。此攻击事件中,该组织使用的诱饵文档内容主要是关于创建员工奖金和激励计划,通过溯源得知该文章从加拿大MaRS网站上摘抄得来。在这起攻击事件中,攻击者利用钓鱼邮件等方式向目标投递名为“New Bonus Announcemnet.zip”压缩包,在压缩包内有两个文件:“New Bonus Announcemnet.docx”和“Password.txt.lnk”。因为文档“New Bonus Announcemnet.docx”被攻击者加密,所以需要目标用户点击“Password.txt.lnk”获取密码进行解密操作,而“Password.txt.lnk”的快捷方式文件则指向一段恶意JS代码,所以目标用户在获取密码的同时也会被该JS代码所释放的恶意程序远程控制。

  攻击事件2:2021年10月22日,瑞星捕获到Lazarus Group组织另一起安全事件。此次攻击事件中,攻击者利用钓鱼邮件等方式向目标投递名为“Profitability Statement Report.zip”压缩包,当目标用户解压压缩包后会得到名为“Profit and Loss Statement.xlsx.lnk”的快捷方式文件,该快捷方式指向一段JS代码,攻击者利用这段JS代码打开诱饵文档迷惑用户,诱饵文档内容是一张盈利报表,里面记录了4到9月份期间销售盈利和各方面的花销等内容,同时还会释放恶意程序以达到对目标用户计算机进行远程控制的目的。

  Transparent Tribe是一个自2013年以来一直在活跃着的威胁组织。这个组织又被称为“透明部落”、APT 36、ProjectM、Mythic Leopard和is,有信息表明该组织疑似为巴基斯坦背景,由国家支持,其主要目的是信息盗窃和间谍活动,攻击目标包括阿富汗、印度、哈萨克斯坦和沙特阿拉伯等国家,涉及行业多为教育、国防和政府等领域。2021年瑞星捕获了多起和与Transparent Tribe组织相关的的攻击事件。

  攻击事件1:2021年4月,瑞星威胁情报平台捕获到一起针对印度国防大学(NATIONAL DEFENCE COLLEGE(NDC))的攻击事件,攻击者投放的样本是个带宏文档的PPT,名为“NDCUpdates.ppt”。当目标用户点击样本执行宏后,样本会在计算机上释放内容为印度国防大学(NATIONAL DEFENCE COLLEGE(NDC))的诱饵文档及Crimson远控木马,攻击者通过诱饵文档迷惑用户,并在后台执行Crimson远控木马进行信息窃取等恶意操作。

  攻击事件2:2021年6月18日,瑞星捕获Transparent Tribe威胁组织的另一起攻击事件。在这起攻击事件中,攻击者使用的诱饵文档为英文,内容为一个会议介绍及日程安排,会议讨论的内容是COVID-19疫情过去之后,印度如何改造自己的军事防御体系,并且会议将聚焦于印度的地缘战略抱负和挑战。根据其主要内容可以得知此次攻击目标为印度。在这起攻击事件中,攻击者疑似利用钓鱼邮件等方式投递名为“Defence and security Agenda Point.ppt”的宏文档,当用户打开这个PPT文档并启用宏后,宏代码会释放并打开诱饵文档以迷惑用户,同时还会释放并执行一个木马释放器,攻击者利用这个木马释放器释放并执行Crimson远控木马进行信息窃取及远控操作。

  SideWinder是一个至少从2012年就开始进行网络攻击的威胁组织,疑似来自印度。这个APT组织又被称为“响尾蛇”、T-APT-04、Rattlesnake 和APT-C-17,是现今最活跃的组织之一。该组织主要是从事信息窃取和间谍活动,大多数活动都集中在中国、巴基斯坦、阿富汗等国家,涉及的目标行业多为医疗、国防、政府和科技公司等,其攻击手法主要是利用钓鱼邮件等方式投递嵌入了恶意对象和CVE-2017-11882漏洞的文档,又或者向目标投递指向恶意链接的快捷方式等。2021年瑞星捕获到了与其相关的攻击事件。

  攻击事件:2021年5月24日,瑞星捕获了和威胁组织SideWinder相关的攻击事件,此次攻击事件中该组织所使用的诱饵文档与联合国贸易和发展会议(UNCTAD)相关,文档内容关于2021年6月至7月的 “建立港口抗击流行病的能力(BPR)” 课程。攻击者利用钓鱼邮件等方式向目标投递嵌入了恶意对象和CVE-2017-11882漏洞的文档进行攻击,文档中被嵌入的恶意对象是个JS脚本文件,当目标用户运行文档后,JS脚本文件便会被攻击者利用CVE-2017-11882漏洞执行起来,最终达到信息窃取等恶意操作的目的。

  APT-C-23是一个至少从2016年开始对目标进行网络攻击的威胁组织。该组织又被称为FrozenCell、AridViper、Micropsia、Desert Falcon和“双尾蝎”。APT-C-23威胁组织主要目的是信息盗窃和间谍活动,具备针对Windows与Android双平台的攻击能力。该组织长期针对中东地区,特别是巴勒斯坦进行攻击,涉及行业多为政府、教育、军事等重要领域。2021年瑞星捕获了多起与其相关的攻击事件。

  攻击事件1:2021年8月8日,在瑞星捕获的这起攻击事件中,攻击者向目标投递伪装成PDF文档的可执行恶意程序,程序名为“المريض باسل دراغمة_0001 pdf.exe”,语言为阿拉伯语。该程序由Delphi7编写,带有隐藏窗口,窗口内含6个定时器和8个按钮,样本利用这些控件的消息响应函数来达到窃密和远控的目的。此次事件所投递的诱饵文档共有5页,文中内容由图片组成,文中页面顶部带有巴勒斯坦国徽,且文内大部分内容使用阿拉伯语编写,文档内还提到了巴勒斯坦卫生部,因此猜测此次攻击事件的目标是巴勒斯坦,领域涉及巴勒斯坦卫生部。

  攻击事件2:2021年12月27日,瑞星威胁情报平台捕获到一起针对中东地区阿拉伯语国家的攻击事件。通过分析发现,此次攻击事件的主谋是APT-C-23组织。该组织是利用了社交媒体或自建的钓鱼网站对目标进行攻击的。此次样本所释放的诱饵文档名为“Profit from the Internet.docx”,文档内文显示为阿拉伯文,因此可判定攻击目标为阿拉伯语国家。该文档内容主要是关于“如何通过互联网盈利”,以此来诱骗目标用户点击运行,一旦诱饵文档被打开,恶意程序便会在后台开展信息收集、远程服务器通信等恶意行为,从而达到窃取机密信息的目的。

  2021年,越来越多的威胁组织在勒索的同时,采取文件窃取的方式来 “绑架”企业的隐私文件,以历史攻击事件梳理来看这确实卓有成效,大大提高了勒索软件敲诈赎金的成功几率。即使今年比特币面临各方打压依旧水涨船高,对比过去五年涨幅高达10.353%,这也为勒索软件等黑色相关产业带来了信心。产业链的扩大使勒索软件更注重上下游供应链和分发攻击的模式,定制化的勒索服务也是那些勒索软件作者或团队的优化目标。

  同时,越来越多的攻击组织或不法分子选择运用勒索软件即服务(RaaS)这一模式进行攻击,让不具备专业技术知识的犯罪分子可以轻而易举地发起网络敲诈活动,这就导致勒索软件市场规模不断扩大。勒索软件制作者或团队通过暗网出售可定制的勒索工具,购买者只需要根据生成工具提供的配置文件或者配置选项,即可在不编码的情况下生成定制化的勒索软件。

  随着未来企业安全意识及安全厂商技术的不断提高,勒索软件制作者也会为其用户提供针对性更强、更多样化的黑客服务,从而攻击获利的机会也会变得更大,攻击行为也将会变得更加隐蔽,将有更多基建或能源企业面临勒索软件的威胁。

  ② 2021年3月初,大型保险公司CNA成为勒索软件攻击的受害者,该公司的系统感染的是Phoenix Locker勒索软件,该软件为Hades勒索软件的变种,是被称为Evil Corp的网络犯罪集团的武器库中的工具,其加密了该公司15000台设备。CNA在3月底向黑客支付了4000万美元(2.5亿人民币),以恢复对其系统的访问。

  ⑤ 2021年5月初,DarkSide团队把攻击瞄准向了Colonial Pipeline,这是一家美国本土的燃油、燃气管道运营商。攻击针对了该公司的计费系统和内部业务网络,导致多个州的汽油短缺。为了避免进一步的损失,Colonial Pipeline最终同意并向攻击组织支付了440万美元的比特币。

  ⑥ 2021年5月上旬,几乎是与之相同的时间点,全球领先、总部设在法国、在全球 670 个地区拥有1.7万余名员工的化学品分销公司Brenntag遭受了DarkSide的网络攻击,DarkSide组织声称在本次攻击期间窃取了150GB的数据。为了解救被网络攻击者加密的数据、并防止被盗数据的公开泄露,Brenntag被迫向DarkSide组织支付了价值440万美元的比特币赎金。

  ⑦ 2021年7月,活跃频频的Revil再次出现,对全球有名的远程管理解决方案提供商Kaseya发起攻击,Kaseya首席执行官通告勒索软件团伙可能获得了对Kaseya后端基础设施的访问权限,并滥用它向在客户端运行的 VSA服务器部署恶意更新。REvil要求受害者支付7000万美元来解密在 Kaseya攻击中被加密的系统。

  Sodinokibi(又称REvil),于2019年4月下旬首次发现,最初通过Oracle WebLogic漏洞传播,作为CandCrab退出视野以来的继任者,近两年频频活跃,2021年更是制造了多起大型企业的攻击事件。Sodinokibi以“勒索软件即服务”的方式分发,通过这一模式将勒索软件出售给其他犯罪团伙。

  Sodinokibi的攻击目标涉及领域较广,医疗机构、政府单位、大中型企业均有感染发生。Sodinokibi采用椭圆曲线(ECC)非对称加密算法,运行后会使用一个配置文件来处理加密初期的参数配置工作,这可以使得Sdoinkibi的攻击十分灵活。它包含了加密公钥、排除扩展名、排除文件夹、排除目录,以及结束妨碍加密的进程,通过域名还能够窃取用户设备信息,其加密逻辑严谨,因此在没有攻击者私钥的情况下暂不能解密。

  Darkside勒索软件于2020年8月出现,源于俄罗斯的犯罪团伙“Darkside”,该勒索团伙已经袭击了近百个受害者,该团伙在2021年相当活跃,5月期间同时攻击了多个大型企业,包括美国最大成品油管道运营商Colonial Pipeline公司的工业控制系统,以及化学分销公司Brenntag,并窃取了大量数据,给以上企业造成了难以估量的损失。

  在2021年圣诞节前夕,法国IT服务商Inetum Group遭受到BlackCat勒索软件的攻击,所幸未造成严重损失。作为2021年的新增勒索组织,Blackcat以年度最复杂勒索软件著称,其使用以安全开发著称的Rust语言编写,在俄语论坛进行过大肆推广,这也是为数不多的,可以进行灵活且全面攻击配置的勒索软件,有更为严谨的加密方案以供选择。

  勒索软件主要攻击目标由个人转向企业,全球众多企业、组织遭受到勒索软件攻击,金融、医疗、交通、能源、通信、制造、教育等诸多关键基础设施和重要行业领域无一幸免。一旦遭遇勒索软件攻击,轻则导致业务系统瘫痪、经济损失,重则带来社会性服务的停止,影响城市甚至国家正常运行。企业和组织的攻击面远大于个人,做好安全防护工作难度也远高于个人,通过持续的安全投入,建立网络安全综合治理体系,搭建多层防御系统,编织出一张严密的勒索攻击防御之网是企业和组织对抗勒索软件攻击的重要手段。

  2021年1月13日,工业和信息化部印发《工业互联网创新发展行动计划(2021-2023年)》,计划指出,我国工业互联网发展成效显著,2018-2020年起步期的行动计划全部完成,部分重点任务和工程超预期,网络基础、平台中枢、数据要素、安全保障作用进一步显现。2021-2023年是我国工业互联网的快速成长期。同时,计划提出工业互联网创新发展目标,其中包括新型基础设施进一步完善、融合应用成效进一步彰显、技术创新能力进一步提升、产业发展生态进一步健全和安全保障能力进一步增强。

  2021年3月22日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局近日联合印发《常见类型移动互联网应用程序必要个人信息范围规定》。规定指出,App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。本规定所称必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。规定强调,App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。

  2021年4月6日,国家医疗保障局发出《关于印发加强网络安全和数据保护工作指导意见的通知》,要求到2022年,基本建成基础强、技术优、制度全、责任明、管理严的医疗保障网络安全和数据安全保护工作体制机制。到“十四五”期末,医疗保障系统网络安全和数据安全保护制度体系更加健全,智慧医保和安全医保建设达到新水平。

  2021年6月10日,十三届全国人大常委会第二十九次会议通过了《中华人民共和国数据安全法》(简称“《数据安全法》”),自2021年9月1日起施行。该部法律体现了总体国家安全观的立法目标,聚焦数据安全领域的突出问题,确立了数据分类分级管理,建立了数据安全风险评估、监测预警、应急处置、数据安全审查等基本制度,并明确了相关主体的数据安全保护义务,这是我国首部数据安全领域的基础性立法。

  2021年7月8日,工信部、网信办联合发布《IPv6流量提升三年专项行动计划(2021-2023年)》,《专项行动计划》从基础设施、应用生态、终端、安全四个方面提出了13项工作要求和任务举措,重点强化基础设施IPv6承载能力,激发应用生态IPv6创新活力,提升终端设备IPv6支持能力。并要求电信运营商深化网络基础设施IPv6改造,千兆光网、5G网络等新建网络同步部署IPv6,新增互联网骨干直联点和新型交换中心应支持IPv6,完成移动物联网IPv6改造,深化商业互联网网站和应用IPv6升级改造。

  2021年7月12日由工业和信息化部、国家互联网信息办公室、公安部三部门联合印发,自2021年9月1日起施行。此规定中规范了漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人的责任与义务,将推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平,引导建设规范有序、充满活力的漏洞收集和发布渠道,防范网络安全重大风险,保障国家网络安全。

  7. 《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》

  2021年7月12日,工信部公开征求对《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》的意见。意见稿提出,到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%,一批网络安全关键核心技术实现突破,达到先进水平。新兴技术与网络安全融合创新明显加快,网络安全产品、服务创新能力进一步增强。

  2021年7月30日,国务院总理李克强签署中华人民共和国国务院令第745号:《关键信息基础设施安全保护条例》,该《条例》于8月17日正式发布,自2021年9月1日起施行。该条例在《网络安全法》框架下,聚焦关键信息基础设施安全,建立专门保护制度,明确关键信息基础设施的认定原则和程序,压实关键信息基础设施运营者的义务和责任,对关键信息基础设施的网络安全提出明确的监管要求。

  2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,自2021年11月1日起施行。个人信息保护法借鉴国际经验并立足我国实际,确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。

  2021年9月29日,网信办、教育部、科技部等九部委联合发布《关于加强互联网信息服务算法综合治理的指导意见》,意见指出,坚持正确导向,强化科技伦理意识、安全意识和底线思维,充分发挥算法服务正能量传播作用,营造风清气正的网络空间;坚持依法治理,加强法律法规建设,创新技术监管模式,打击违法违规行为,建立健全多方参与的算法安全治理机制;坚持风险防控,推进算法分级分类安全管理,有效识别高风险类算法,实施精准治理;坚持权益保障,引导算法应用公平公正、透明可释,充分保障网民合法权益;坚持技术创新,大力推进我国算法创新研究工作,保护算法知识产权,强化自研算法的部署和推广,提升我国算法的核心竞争力。

  2021年9月30日,工信部公开征求对《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》的意见,旨在贯彻落实《数据安全法》等法律法规,防范数据安全风险。《征求意见稿》提出应当坚持先分类后分级,定期梳理,根据行业要求、业务需求、数据来源和用途等因素对数据进行分类和标识,形成数据分类清单;工业和电信数据处理者应当对数据处理活动负安全主体责任;工业和电信数据处理者收集数据应当遵循合法、正当、必要的原则,不得窃取或者以其他非法方式收集数据;依照法律、行政法规要求重要数据在境内存储,若需向境外提供则应当依法依规进行数据出境安全评估,在确保安全的前提下进行数据出境。

  2021年11月14日,国家网信办发布《网络数据安全管理条例(征求意见稿)》,向社会公开征求意见。这是《网络安全法》、《数据安全法》和《个人信息保护法》三大数据法规在执行层面的重要的配套法规,其中《网络安全法》聚焦网络空间安全整体治理和数据保护,《数据安全法》针对数据处理活动的安全与开发利用,《个人信息保护法》负责网络环境下的信息或隐私,三者并行,成为网络治理和数据保护的“三驾马车”。而《意见稿》以规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益方面为目的,是对“三驾马车”的执行、细化和补充。

  2021年11月16日,工业和信息化部发布《“十四五”信息通信行业发展规划》,明确提出,到2025年,信息通信行业整体规模进一步壮大,发展质量显著提升,基本建成高速泛在、集成互联、智能绿色、安全可靠的新型数字基础设施,创新能力大幅增强,新兴业态蓬勃发展,赋能经济社会数字化转型升级的能力全面提升,成为建设制造强国、网络强国、数字中国的坚强柱石。

  2021年11月16日,国家互联网信息办公室2021年第20次室务会议审议通过《网络安全审查办法》,网信办、发改委、工信部等十三部门联合修订发布《网络安全审查办法》,于2022年1月4日公布,自2022年2月15日起施行。《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要,增加证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。

  2021年11月18日,中共中央政治局召开会议审议《国家安全战略(2021—2025年)》。会议指出,新形势下维护国家安全,必须牢固树立总体国家安全观,加快构建新安全格局。必须坚持党的绝对领导,完善集中统一、高效权威的国家安全工作领导体制,实现政治安全、人民安全、国家利益至上相统一;坚持捍卫国家主权和领土完整,维护边疆、边境、周边安定有序;坚持安全发展,推动高质量发展和高水平安全动态平衡;坚持总体战,统筹传统安全和非传统安全;坚持走和平发展道路,促进自身安全和共同安全相协调。

  2021年11月30日,工信部正式发布《“十四五”软件和信息技术服务业发展规划》,《规划》提出,“十四五”时期我国软件和信息技术服务业要实现“产业基础实现新提升,产业链达到新水平,生态培育获得新发展,产业发展取得新成效”的“四新”发展目标。到2025年,规模以上企业软件业务收入突破14万亿元,年均增长12%以上,工业APP突破100万个,建设2-3个有国际影响力的开源社区,高水平建成20家中国软件名园。

  2021年11月30日,工信部正式发布《“十四五”大数据产业发展规划》,《规划》要求,到2025年,大数据产业测算规模突破3万亿元,年均复合增长率保持在25%左右,创新力强、附加值高、自主可控的现代化大数据产业体系基本形成。数据要素价值评估体系初步建立,要素价格市场决定,数据流动自主有序,资源配置高效公平,培育一批较成熟的交易平台,市场机制基本形成。关键核心技术取得突破,标准引领作用显著增强,形成一批优质大数据开源项目,存储、计算、传输等基础设施达到国际先进水平。

  18. 《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》

  2021年12月22日,工业和信息化部研究起草《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)》,并面向社会公开征求意见。《工作指引》指出,风险信息报送,是指有关单位向工业和信息化部、地方工业和信息化主管部门、地方通信管理局报送数据安全风险信息的行为。风险信息共享,是指经工业和信息化部、地方工业和信息化主管部门、地方通信管理局审核、授权后,向有关部门、单位告知风险提示的行为。风险信息报送与共享工作坚持“及时、客观、准确、真实、完整”的原则,不得迟报、瞒报、谎报。

  2021年12月24日,工业和信息化部、国家标准化管理委员会联合印发《工业互联网综合标准化体系建设指南(2021版)》。《指南》提出,明确到2023年,工业互联网标准体系持续完善。制定术语定义、通用需求、供应链/产业链、人才等基础共性标准15项以上,“5G+工业互联网”、信息模型、工业大数据、安全防护等关键技术标准40项以上,面向汽车、电子信息、钢铁、轻工(家电)、装备制造、航空航天、石油化工等重点行业领域的应用标准25项以上,推动标准优先在重点行业和领域率先应用,引导企业在研发、生产、管理等环节对标达标。到2025年,制定工业互联网关键技术、产品、管理及应用等标准100项以上,建成统一、融合、开放的工业互联网标准体系,形成标准广泛应用、与国际先进水平保持同步发展的良好局面。

  2021年12月27日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》。《规划》提出,到2025年,数字中国建设取得决定性进展,信息化发展水平大幅跃升。数字基础设施体系更加完备,数字技术创新体系基本形成,数字经济发展质量效益达到世界领先水平,数字社会建设稳步推进,数字政府建设水平全面提升,数字民生保障能力显著增强,数字化发展环境日臻完善。

  2021年12月28日,工业和信息化部等八部门联合印发了《“十四五”智能制造发展规划》。《规划》提出推进智能制造的总体路径是:立足制造本质,紧扣智能特征,以工艺、装备为核心,以数据为基础,依托制造单元、车间、工厂、供应链等载体,构建虚实融合、知识驱动、动态优化、安全高效、绿色低碳的智能制造系统,推动制造业实现数字化转型、网络化协同、智能化变革。未来15年通过“两步走”,加快推动生产方式变革:一是到2025年,规模以上制造业企业大部分实现数字化网络化,重点行业骨干企业初步应用智能化;二是到2035年,规模以上制造业企业全面普及数字化网络化,重点行业骨干企业基本实现智能化。