当前企业面临的四大网络安全威胁

admin管理员组

文章数量:1530842

2024年4月26日发(作者：)

专家视点

Expert Viewpoint

当前企业面临的四大网络安全威胁

□  唐   威

Four Major Network Security Threats for Enterprises

Tang Wei

近年来，网络安全的国际形势日益严峻，不断

增长的安全威胁给企业和个人都带来巨大的挑战，

网络安全在政策法律因素、IT 技术发展、网络安全

事件及黑色产业多重因素影响下产生了变化。网络

安全逐渐步入智能时代，而传统安全的边界日渐模

糊，整体趋势呈现增长和多样化的态势。了解当前

的威胁形势，熟悉企业安全应对流程并选择合适的

安全产品变得尤为重要。

效果。同时在加密手段上也比以往有所提升，以往

的勒索主要是对文件进行加密，但在2018年勒索

病毒的手段不单单是对文件进行加密，有的还对磁

盘的MBR扇区，甚至是NTFS文件系统进行加

密，造成的破坏性更大。不难想象，在未来勒索病

毒仍将延续这种趋势，勒索病毒的防范任重而道远。

二、挖矿病毒风生水起

随着虚拟货币的疯狂炒作，挖矿病毒已经成为

不法分子利用最为频繁的攻击方式之一。病毒传播

者可以利用个人电脑或服务器进行挖矿，具体现象

为电脑CPU占用率高、C盘可使用空间骤降、电

脑温度升高、风扇噪声增大等。

由于比特币潜在的区块链技术将对其不利，因

此门罗币取代比特币成为病毒最喜欢的数字货币。

区块链技术能够详细记录比特币交易的发送和接收

地址，包括交易的精确时间和数量，这些都是证明

犯罪分子罪行的有利证据。

门罗币（Monero，代号XMR）创建于2014

年4月开源加密货币，它着重于隐私、分权和可

扩展性。与自比特币衍生的许多加密货币不同，

Monero基于CryptoNote协议，并在区块链模糊

化方面有显著的算法差异。Monero致力于成为可

代替的不可追踪的电子货币。相比比特币及其分叉，

Monero具有更高程度的匿名性。 

通过对2018年上半年病毒分析发现，病毒制

造者将目标投向了挖矿领域，大量的挖矿病毒层出

不穷，其中影响最大的是一个被称为 “MsraMiner”

构造精密的挖矿僵尸网络。该病毒利用永恒之蓝漏

 网址  

|

 1059

一、勒索病毒长盛不衰

勒索病毒的技术手段在2018年有了质的提高，

WannaCry，Petya，BadRabbit就是其中的典型

代表，不管从传播途径还是加密手段都比以往有很

大的提升。勒索病毒在传播上采用蠕虫的方式，通

过漏洞和弱口令在局域网内迅速传播。

从WannaCry勒索病毒爆发以来，勒索病毒蠕

虫化变得更加流行。2018年2月，国内两家省级医院

感染勒索病毒，导致医院服务中断，无法正常工作。

感染原因怀疑是系统存在漏洞和弱口令，被攻击者

利用，植入勒索病毒，同时病毒利用漏洞继续攻击

网络中的其他机器，最终导致勒索病毒集中爆发。

2018年上半年，在所有勒索病毒中，影响较

大的是Satan勒索病毒，该病毒不仅使用了永恒

之蓝漏洞传播，还内置了多种Web漏洞的攻击功

能，相比传统的勒索病毒传播速度更快。虽然已经

被解密，但是此病毒利用的传播手法却非常危险。

以往的传播手段主要是通过垃圾邮件、EK工

具、网站挂马等，手段被动，效果有限。但通过蠕

虫的方式可以化被动为主动，起到“事半功倍”的

信息安全研究

Journal of Information Security Research

第4卷 第11期 2018年11月

Vol.4 No.11 Nov. 2018

洞攻击局域网中的机器，中毒机器会继续使用永恒

之蓝漏洞攻击其他机器，并作为Web服务器供其

出这样的特点。2016年底进行的美国大选，以及希

拉里和美国民主党全国委员会（DNC）的邮件门事

他机器下载，导致大量局域网主机被植入挖矿病毒，

件，使公众第1次见证了APT攻击对政治乃至国家

同时病毒持续升级对抗查杀。

三、窃密木马穷凶极恶

窃密型木马是当前一种最为常见的木马类型，

通常是隐蔽在用户的计算机中，平时对用户的计算

性能和上网性能几乎不会造成任何影响，然而在用

户无法察觉的情况下，这类木马在计算机中搜集相

关的重要信息，并将所获取的信息发送给远程的控

制端，从而导致目标计算机上的重要信息泄露。

近期发现1例样本通过下载并运行已被公开源

码的Pony木马，窃取用户比特币钱包文件等敏感

信息。值得注意的是，该样本通过直接调用API下

载运行木马，有别于此前利用恶意文档加载mstha, 

powershell或cmd等程序进而加载恶意木马。

Pony又名Fareit，是微软于2011年首次发现

的，因为它强大和全面的功能使其成为越来越受欢

迎的密码窃取软件。Pony 木马主要的功能包括窃

取浏览器中保存的密码，各种邮件客户端保存密码

和各种FTP客户端密码，窃取加密电子钱包，收集

数字证书及RDP远程连接密码等。

Loki PWS家族也是1款和Pony一样成熟的窃

取各种账号密码的商业木马，基本功能类似Pony，

具备窃取浏览器、FTP软件、邮箱客户端等软件的

账号密码，但它还具备远程控制功能，可以下发指

定的命令到客户端执行，更适合用来组建僵尸网络。

四、APT攻击愈来愈隐蔽

APT攻击作为一种高效、精确的网络攻击方式，

在近几年被频繁用于各种网络攻击事件之中，并迅

速成为企业信息安全最大的威胁之一。通过对APT

攻击的海量信息进行分析之后发现，APT攻击的攻

击范围不断扩大、隐蔽性也有所增强。

在2017年，某些具有极强的国别针对性的

APT组织，在相关国家之间处于比较激烈的政治和

军事摩擦时，其网络攻击活动也处于异常活跃的状

态。其中，双尾蝎、黄金鼠和摩诃草等组织都呈现

1060 

|

政权的深刻影响。

APT攻击团伙使用的攻击战术、技术和过程已

经达到非常成熟的阶段，即便部分攻击团伙的技术

能力不高，但也能通过利用公开的或开源的脚本类

或自动化攻击框架快速形成完备的攻击武器。攻击

团伙不但使用针对个人PC、服务器和目标内部网

络的攻击向量技术，并且覆盖了移动设备和家用路

由器，其攻击目标也延伸至金融、工业控制、医疗、

酒店领域。

APT攻击者正在不断演变其攻击手法和攻击工

具，以更有效地达到攻击的目的和效果，并加强对

自身活动的隐藏。在这种对抗升级的趋势下，纯粹

基于恶意载荷的相似程度来评判其攻击来源已经变

得不是那样可靠，结合更多维度的威胁情报数据，

评估攻击者的真实攻击意图和动机，以及对攻击的

分析能够更好地提高背景研判的准确程度。

面对不断升级的网络攻击，企业不仅需要部署

专业的安全设备与安全软件，同时企业还需要树立

动态、综合的防护理念，构建完整防御架构，防御

手段必须完善才能不给恶意软件可乘之机。企业需

要充分考虑到每一个可能突破的薄弱环节，例如安

全主机加固、安全域划分、终端准入机制、安全运

维体系。

攻击随时都在发生，安全系统应该也要适应动

态的安全环境，因此要充分考虑对安全状态持续的

监测及对突发安全威胁及时遏制的能力。防御系统

随时可能被攻破，为减少攻击造成的损失，需要建

立正确的应急响应流程，减少处理中流程错误情况，

能够自动化地响应处置，加快处理速度，具有溯源

取证能力，以便了解攻击来源途径。

唐 威

瑞星副总裁、市场部总经理、高级安全工

程师。从事安全及反病毒研究工作多年，

撰写发表过大量电脑病毒和网络安全相关

文章，在电脑病毒和网络安全方面有深入

的研究。

tangwei@

本文标签： 攻击病毒木马挖矿