瑞星2016年中國信息安全報告

免責聲明

本報告綜合瑞星「雲安全」系統、瑞星客戶服務中心、瑞星反病毒實驗室、瑞星互聯網攻防實驗室、瑞星威脅情報平台等部門的統計、研究數據和分析資料，僅針對中國2016年1至12月的網路安全現狀與趨勢進行統計、研究和分析。

本報告提供給媒體、公眾和相關政府及行業機構作為互聯網信息安全狀況的介紹和研究資料，請相關單位酌情使用。

如若本報告闡述之狀況、數據與其他機構研究結果有差異，請使用方自行辨別，瑞星公司不承擔與此相關的一切法律責任。

報告摘要

· 2016年瑞星「雲安全」系統共截獲病毒樣本總量4,327萬個，病毒總體數量比2015年同期上漲16.47%。報告期內，病毒感染次數5.6億次，感染機器總量1,356萬台，平均每台電腦感染40.96次病毒。

· 2016年瑞星「雲安全」系統在全球範圍內共截獲惡意網址（URL）總量1.38億個，其中掛馬網站8,804萬個，詐騙網站4,977萬萬個。美國惡意URL總量為7,001萬個，位列全球第一，其次是中國695萬個，德國526萬個，分別為二、三位。

· 2016年瑞星「雲安全」系統共截獲手機病毒樣本502萬個，隱私竊取類病毒佔比32%，位列第一位，資費消耗類病毒佔比16%，位列第二位，流氓行為類與惡意扣費類並列第三，佔比15%。

· 2016年移動安全事件：病毒偽裝「交行安全控制項」盜取用戶敏感信息；Android木馬冒充「公安」電信詐騙；「一條簡訊偷光銀行卡」騙子實施補卡截碼詐騙；數百萬台安卓智能手機暴露於DRAMMER Android攻擊之下。

· 2016年移動安全趨勢分析：手機web瀏覽器攻擊將倍增；Android系統將受到遠程設備劫持、監聽；物聯網危機將不斷加深；

· 2016年企業面臨的安全問題逐漸凸顯，特別是自斯諾登事件後互聯網出現了大規模信息泄露事件，其中雅虎為信息泄露最大的受害者，影響個人信息超過10億。同時，企業還面臨著勒索軟體的攻擊以及APT攻擊等，這將使企業成為網路威脅中的最大受害者。

· 趨勢展望：敲詐軟體依然會是低成本高收益網路犯罪的主流；IoT（物聯網）安全隱患正在凸顯；全新的網路攻擊模式——網路流量監控；

· 專題1：勒索軟體年度分析報告。2016年是勒索軟體繁榮發展的一年，在這一年裡除了針對Windows系統勒索軟體，針對Linux、Mac OX等勒索軟體都已出現。同時移動平台Android和 IOS 系統也未能倖免。

勒索軟體為了躲避查殺不斷發展，用上了各種手段。腳本JS 開發、python開發、Autoit開發的勒索軟體都在今年出現。2017年註定還是勒索軟體猖獗的一年。

· 專題2：SEO詐騙分析報告。瑞星安全專家針對詐騙網址進行了深入分析，分析過程中發現該網址不僅具有欺詐性質，而且還利用黑帽手段進行關鍵詞排名推廣。

當用戶利用搜索引擎搜索到黑客設置的關鍵詞時，就會彈出黑客預先修改過的「正規網站」，讓受害者誤以為是官方網站，從而導致用戶上當受騙。

· 專題3：不法分子如何利用偽基站盈利。瑞星安全專家通過對偽基站深入的分析發現，詐騙者通過僱傭其他人員攜帶偽基站在街道和小區周邊進行大範圍發送詐騙簡訊、廣告、詐騙網址，木馬APK程序等，一旦用戶點擊詐騙鏈接，用戶的銀行卡、支付賬戶等個人信息將有可能泄露。

詐騙者通過購買大量黑卡進行洗錢，將可用賬戶中的金額進行消費變現，然後轉賬到黑卡賬戶中。

· 專題4：2016路由安全分析。路由安全一直是網路安全里的熱門事件，幾乎所有路由品牌都曝出過漏洞，黑客正是利用這些漏洞對用戶的路由進行入侵和劫持，將用戶訪問的網站定向到詐騙網站，然後盜取用戶個人隱私，如果是企業級路由被黑客攻擊，將會造成更大的影響。

一、病毒與惡意網址

（一）病毒和木馬

1. 2016年病毒概述

（1）病毒疫情總體概述

2016年瑞星「雲安全」系統共截獲病毒樣本總量4,327萬個，病毒總體數量比2015年同期上漲16.47%。報告期內，病毒感染次數5.6億次，感染機器總量1,356萬台，平均每台電腦感染40.96次病毒。

在報告期內，新增木馬病毒佔總體數量的48.6%，依然是第一大種類病毒。灰色軟體病毒（垃圾軟體、廣告軟體、黑客工具、惡意殼軟體）為第二大種類病毒，佔總體數量的17.54%，第三大種類病毒為後門病毒，佔總體數量的12.77%。

圖1：2016年病毒類型統計

（2）病毒感染地域分析

在報告期內，廣東省病毒感染6,051萬人次，依然位列全國第一，其次為北京市3,657萬人次及河南省2,477萬人次。與2015年同期相比，北京排進前三，江蘇則由第二名降到第五。

圖2：2016年病毒感染地域TOP10

2. 2016年病毒TOP10

根據病毒感染人數、變種數量和代表性進行綜合評估，瑞星評選出了2016年病毒TOP10：

圖3：2016年病毒TOP10

3. 2016年中國勒索軟體感染現狀

在報告期內，瑞星「雲安全」系統共截獲勒索軟體樣本26.5萬個，感染共計1,311萬次，其中北京市感染143萬次，位列全國第一，其次為廣東省100萬次、浙江省73萬次及安徽省68萬次。

圖4：2016勒索軟體感染地域分布TOP10

圖5：2016年熱門勒索軟體

4. 2016年CVE漏洞TOP10

圖6：2016年CVE漏洞TOP10

（二）惡意網址

1. 2016年全球惡意網址總體概述

2016年瑞星「雲安全」系統在全球範圍內共截獲惡意網址（URL）總量1.38億個，其中掛馬網站8,804萬個，詐騙網站4,977萬個。

美國惡意URL總量為7,001萬個，位列全球第一，其次是中國695萬個，德國526萬個，分別為二、三位。

圖7：2016年全球惡意URL地域分布TOP10

2. 2016年中國惡意網址總體概述

在報告期內，香港惡意網址（URL）總量為117萬個，位列中國第一，其次是浙江省104萬個，以及北京市95萬個，分別為二、三位。

註：上述惡意URL地址為惡意URL伺服器的物理地址。

圖8：2016年中國惡意URL地域分布TOP10

3. 2016年中國詐騙網站概述

2016年瑞星「雲安全」系統共攔截詐騙網站攻擊4,399萬餘次，攻擊機器總量327萬台，平均每台機器被攻擊13.43次。

在報告期內，廣東省受詐騙網站攻擊733萬次，位列第一位，其次是北京市受詐騙網站攻擊608萬次，第三名是浙江省受詐騙網站攻擊340萬次。

圖9：2016年詐騙網站攻擊地域分布TOP10

圖10：2016年詐騙網站類型比例

4. 2016年中國主要省市訪問詐騙網站類型

在報告期內，浙江省、上海市等訪問的詐騙網站類型主要以網路賭博為主，而湖北省、天津市則以色情論壇為主。

圖11：2016年中國主要省市訪問詐騙網站類型

5. 詐騙網站趨勢分析

2016年賭博和情色類詐騙網站佔比較多，這類網站會誘使用戶下載惡意APP程序，竊取用戶隱私信息。有些甚至通過木馬病毒盜取用戶銀行卡信息，進行惡意盜刷、勒索等行為。詐騙攻擊主要通過以下手段進行攻擊：

利用QQ、微信、微博等聊天工具傳播詐騙網址。

利用垃圾簡訊「偽基站」推送詐騙網址給用戶進行詐騙。

通過訪問惡意網站推送安裝惡意APP程序竊取用戶隱私信息。

通過第三方下載網站對軟體進行捆綁木馬病毒誘使用戶下載。

6. 2016中國掛馬網站概述

2016年瑞星「雲安全」系統共攔截掛馬網站攻擊2,749萬餘次，攻擊機器總量181萬台，平均每台機器被攻擊15.16次。

在報告期內，北京市受掛馬攻擊588萬次，位列第一位，其次是上海市受掛馬攻擊551萬次，第三名是遼寧省受掛馬攻擊528萬次。

圖12：2016年掛馬攻擊地域分布TOP10

7. 掛馬網站趨勢分析

2016年掛馬攻擊相對減少，攻擊者所使用的工具傾向於使用2015年下半年由hacking team泄露的網路工具包。攻擊者一般是自建一些導航類或色情類的網站，吸引用戶主動訪問。

也有一些攻擊者會先購買大型網站上的廣告位，然後在用戶瀏覽廣告的時候悄悄觸發。如果不小心進入掛馬網站，則會感染木馬病毒，導致丟失大量的寶貴文件資料和賬號密碼，其危害極大。掛馬防護手段主要為：

拒絕接受陌生人發來的鏈接地址。

禁止瀏覽不安全的網站。

禁止在非正規網站下載軟體程序。

安裝殺毒防護軟體。

二、移動互聯網安全

（一）手機安全

1.手機病毒概述

2016年瑞星「雲安全」系統共截獲手機病毒樣本502萬個，隱私竊取類病毒佔比32%，位列第一位，資費消耗類病毒佔比16%，位列第二位，流氓行為類與惡意扣費類並列第三，佔比15%。

圖13：2016年手機病毒類型比例

圖14：2016年手機病毒TOP5

2. 2016年Android手機漏洞TOP5

圖15：2016年Android手機漏洞TOP5

3.手機垃圾簡訊概述

2016年瑞星「雲安全」系統共截獲手機垃圾簡訊328億條，廣告類垃圾簡訊佔比82.37%，居首位。危險程度極高的詐騙簡訊佔比10.74%，其他類垃圾簡訊佔比6.89%。

圖16：2016年手機垃圾簡訊類型比例

（二）2016年移動安全事件

1.病毒偽裝「交行安全控制項」盜取用戶敏感信息

2016年6月，一個偽裝成「交行安全控制項」的病毒潛伏在各大安卓電子市場中，誘導用戶下載安裝。

該病毒運行後，會誘導用戶激活系統設備管理器、隱藏自身啟動圖標、攔截用戶簡訊並將簡訊內容發送到指定號碼、還涉及登陸、支付等相關功能，給用戶造成嚴重的隱私泄露等安全問題。

圖17：病毒偽裝「交行安全控制項」

2.Android木馬冒充「公安」電信詐騙

2016年5月，全球首款專用於網路電信詐騙的Android木馬被發現，該木馬偽裝成「公安部案件查詢系統」，可實現竊取隱私、網路詐騙和遠程控制等多種惡意行為，在受害人不知情的情況下轉走其銀行賬戶中的資金，對手機用戶造成極大威脅。

Android木馬加速實現了電信詐騙手段的3.0進化，一般的網路電信詐騙中，詐騙者必須誘導受害人完成轉賬。而引入了移動場景的3.0級別，即使受害人沒有自主完成轉賬，詐騙者也可以依靠植入受害人手機的木馬，在其不知情的情況下完成遠程轉賬。

圖18：Android木馬冒充「公安」電信詐騙

3.「一條簡訊偷光銀行卡」騙子實施補卡截碼詐騙

2016年4月，一網友爆料，莫名其妙地收到了一條「訂閱增值業務」的簡訊，根據提示回復了「取消+驗證碼」之後，噩夢就此開啟：手機號碼失效，半天之內支付寶、銀行卡上的資金被席捲一空。

這起案件的關鍵點在於不法分子利用 「USIM卡驗證碼」，完成了對受害者手機卡的複製，不法分子複製了網友手機卡，搖身變成網友，然後隨意操作資金流向。

圖19：「訂閱增值業務」簡訊

4.數百萬台安卓智能手機暴露於DRAMMER Android攻擊之下

2016年10月，來自谷歌公司Zero項目組的安全研究人員們發現了一種名為DRAMMER的全新攻擊方式，該攻擊可劫持運行有Linux系統之計算機設備，利用其內存機制中的一項設計漏洞獲取Linux系統的更高內核許可權，可被用於在數百萬台Android智能手機之上獲取「root」訪問許可權，從而允許攻擊者對受感染設備加以控制。

圖20：DRAMMER Attack

（三）移動安全趨勢分析

1.手機web瀏覽器攻擊將倍增

Android和iPhone平台上的web瀏覽器，包括Chrome、Firefox、Safari以及採用類似內核的瀏覽器都有可能受到黑客攻擊。因為移動瀏覽器是黑客入侵最有效的渠道，通過利用瀏覽器漏洞，黑客可以繞過很多系統的安全措施。

2.Android系統將受到遠程設備劫持、監聽

隨著Android設備大賣，全球數以億計的人在使用智能手機，遠程設備劫持將有可能引發下一輪的安全問題，因為很多智能手機里存在著大量能夠躲過谷歌安全團隊審查和認證的應用軟體。

與此同時，中間人攻擊（MitM）的數量將大增，這是因為很多新的智能手機用戶往往缺乏必要的安全意識，例如他們會讓自己的設備自動訪問不安全的公共WiFi熱點，從而成為黑客中間人攻擊的獵物和犧牲品。

3.物聯網危機將不斷加深

如今，關於「物聯網開啟了我們智慧生活」的廣告標語不絕於耳，但支持物聯網系統的底層數據架構是否真的安全、是否已經完善，卻很少被人提及，智能家居系統、智能汽車系統里藏有我們太多的個人信息。

嚴格來講，所有通過藍牙和WiFi連入互聯網的物聯網設備和APP都是不安全的，而這其中最人命關天的莫過於可遠程訪問的醫療設備，例如大量的超聲波掃描儀等醫療設備都使用的是默認的訪問賬號和密碼，這些設備很容易被不法分子進行利用。

三、企業信息安全

（一）2016年企業安全總體概述

2016年企業面臨的安全問題逐漸凸顯，特別是自斯諾登事件後互聯網出現了大規模信息泄露事件，其中雅虎為信息泄露最大的受害者，影響個人信息超過10億。同時，企業還面臨著勒索軟體的攻擊以及APT攻擊等，這將使企業成為網路威脅中的最大受害者。

（二）2016年企業安全相關數據

報告期內，通過對國內企業網路安全產品部署情況進行分析，發現企業部署終端安全防護產品佔比81.79%，位列第一位，其次網關安全硬體佔比12.25%，第三名是虛擬化安全佔5.75%，這說明企業對於終端安全更加重視。

在調查的企業中，政府、軍隊、軍工、能源等行業安全產品部署相對完善，而中小企業則投入較少，安全意識不足。

圖21：企業部署安全產品類型分布

（三）企業APT攻擊中，CVE漏洞攻擊佔比最多

在針對企業的APT攻擊中，利用CVE漏洞往往是攻擊過程中最重要的手段。攻擊者利用Office，Adobe漏洞對企業發起攻擊。而企業對於第三方軟體漏洞修復往往沒有做到及時響應，導致企業存在安全漏洞。

根據瑞星「雲安全」統計「CVE-2010-0188」 Adobe Reader樣本超過4萬個。

圖22：第三方軟體CVE漏洞分布

由於企業軟體開發大量採用Java編程，而Oracle官方已經停止對Java 1.7的維護，導致很多企業沒有及時升級，存在著大量老式CVE漏洞。

在2016年中利用2015年CVE漏洞最多的是對Office的攻擊，主要為CVE-2015-1641，CVE-2015-2545。

（四）2016年全球網路安全事件TOP10

圖23：2016年全球網路安全事件TOP10

（五）2016年全球數據泄露事件TOP10

圖24：2016年全球十大數據泄露事件TOP10

（六）2016年全球網路安全事件解讀

1.黑客攻擊美國大選

在2016年中，黑客對美國大選進行了攻擊干擾，通過攻擊郵箱、投票機等設備，導致美國「郵件門」事件爆發，在2016年6月，維基解密泄露出幾千封美國民主黨委員會（DNC）被盜郵件。

直至7月，維基解密共泄露20000多封被盜郵件和29段錄音材料，間接性干擾了選民的決策。「郵件門」事件成為黑客攻擊影響史上的里程碑。

2.NSA方程式組織內部工具泄露

在2016年中，NSA內部組織遭到網路攻擊並泄露了大量的文件。在泄露的文件夾中NSA對全球進行網路攻擊活動，其中包括了32個來自中國教育機構的域名，其他的主要為三大移動運營商以及部分電子科技企業和研究機構。

從泄露的文件可以看出，NSA對中國的科技和研究企業的網路安全攻擊成為了企業的重災區。

3.雅虎10億數據泄露

雅虎作為一個全球知名搜索引擎，旗下的服務同樣是多元化。雅虎郵箱作為老牌提供商，用戶量過億。在2016年中，雅虎內部遭到網路攻擊導致超過10億的數據泄露，不僅對用戶造成了不可挽回的影響，同樣對雅虎自身也造成了不可估量的經濟損失。

（七）安全建議

1.實時關注漏洞公告，對漏洞的重要性及影響範圍進行評估。

2.企業內部軟體資產評估，對於老舊的軟體進行及時升級。

3.建立合理的企業內部安全架構，定期進行安全評估。

4.企業內部人員安全意識培訓，避免遭到APT攻擊。

四、趨勢展望

（一）敲詐軟體依然會是低成本高收益網路犯罪主流

敲詐軟體在過去取得了巨大的「成功」，使得敲詐軟體的種類、攻擊範圍、攻擊目標越來越多，受害者數量也持續上升。同時，2016年出現的敲詐軟體中，充斥著大量使用了對稱加密演算法的變種，被它們加密的文件實際上是可以還原的。

這類犯罪者，僅僅是想借Locky/CryptXXX等知名敲詐軟體給人們帶來 「文件無法解密還原」的主觀判定，以更低的成本和技術難度，達到成功勒索的目的。

同時，敲詐軟體似乎已經盯上了企業，同個人數據相比，企業數據顯得更加重要，勒索成功率會大幅上升。為了遏制敲詐軟體帶來的危害，產品提供商、安全提供商、政府都在做出相應的努力。

例如：安卓系統將採用新的機制來遏制鎖屏（Trojan.SLocker）類敲詐軟體的攻擊，政府和安全廠商有都在嘗試追蹤比特幣交易來定位犯罪者。未來，敲詐軟體也一定會因為法律的震懾作用而有所收斂。

（二）IoT（物聯網）安全隱患正在凸顯

2016年是IoT（物聯網）安全開始正式走進我們視野的一年，隨著物聯網的日漸成熟，IoT的安全隱患正在凸顯出來。

圖25：IOT存在的安全隱患

諸如2016年的「物聯網Mirai殭屍網路」、「烏克蘭電網攻擊事件」、「索尼攝像頭後門事件」、「德國電信用戶超90萬台路由器遭黑客破壞」等多起安全事件，都說明了IoT安全的建設迫在眉睫，相對傳統的傳統的互聯網安全，IoT安全涉及範圍更廣，破壞力更大。

（三）全新的網路攻擊模式——網路流量監控

在NSA泄露的工具中，從安全從業者角度來看是一個全新的網路攻擊模式，他脫離了傳統企業內部安全攻擊，而是對運營商網路設備的攻擊。

在泄露的文件Firewall目錄中涉及了思科，華為，Juniper等知名廠商的產品，在EXPLOITS文件夾中，攻擊腳本涉及了思科，天融信，Fortigate等安全防火牆產品。NSA通過對設備的網路攻擊，將數據流量進行收集。

對於這類利用安全產品自身的漏洞攻擊手法，可以從海量數據中進行定向分析某一個企業網路活動，直接窺探企業內部安全。

專題1：勒索軟體年度分析報告

1.什麼是勒索軟體？

勒索軟體（也稱密鎖病毒）是一類以加密電腦和移動設備中用戶文件為目的的惡意軟體。用戶一旦感染，用戶設備中的各類文件將會被加密無法使用，用戶必須按照惡意軟的指示繳納贖金才有可能解密文件。

2.勒索軟體歷史

最早的一批勒索軟體病毒大概出現在8、9年前，那時候的勒索軟體作者還沒有現在那麼惡毒大膽，敲詐的形式還比較溫和，主要通過一些虛假的電腦檢測軟體，提示用戶電腦出現了故障或被病毒感染，需要提供贖金才能幫助用戶解決問題和清除病毒，期間以FakeAV為主。

圖26：FakeAV勒索截圖

隨著人們安全意識的提高，這類以欺騙為主的勒索軟體逐漸的失去了它的地位，慢慢消失了。伴隨而來的是一類locker類型的勒索軟體。此類病毒不加密用戶的數據，只是鎖住用戶的設備，阻止對設備的訪問，需提供贖金才能幫用戶進行解鎖。期間以LockScreen 家族佔主導地位。

由於它不加密用戶數據，所以只要清除了病毒就不會給用戶造成任何損失。由於這種病毒帶來危害都能夠很好的被解決，所以該類型的敲詐軟體也只是曇花一現，很快也消失了。

圖27：LockScreen 勒索截圖

FakeAV和LockScreen 都因自身不足逐漸消失了，隨之而來的是一種更惡毒的以加密用戶數據為手段勒索贖金的敲詐軟體。

由於這類敲詐軟體採用了一些高強度的對稱和非對稱的加密演算法對用戶文件進行加密，在無法獲取私鑰的情況下要對文件進行解密，以目前的計算水平幾乎是不可能完成的事情。

正是因為有這一點，該類型的勒索軟體能夠帶來很大利潤，各種家族如雨後春筍般出現了，比較著名的有CTB-Locker、TeslaCrypt、CryptoWall、Cerber 等等。

圖28：Tesla 勒索截圖

3.勒索軟體的傳播途徑

1) 垃圾郵件

勒索軟體的傳播途徑和其他惡意軟體的傳播類似，垃圾郵件是最主要的傳播方式。攻擊者通常會用搜索引擎和爬蟲在網上搜集郵箱地址，然後利用已經控制的殭屍網路向這些郵箱發有帶有病毒附件的郵件。垃圾郵件投毒的方式有以下幾種:

a.附件中包含壓縮包，壓縮包中包含病毒的可執行程序和下載器。

b.附件中包含壓縮包，壓縮包中包含有js腳本和wsf腳本等，運行腳本會從網上下載勒索軟體的可執行程序或下載器執行。

c.附件中包含壓縮包，壓縮包中包含doc文檔，執行文檔後會載入doc中的宏並運行，釋放出腳本並執行，接著會下載勒索軟體或下載器執行。

圖29：垃圾郵件傳播

2）Exploit Kit

Exploit Kit 是一種漏洞利用工具包，裡面集成了各種瀏覽器、Flash和PDF等軟體漏洞代碼。攻擊流程通常是：在正常網頁中插入跳轉語句或者使用詐騙頁面和惡意廣告等劫持用戶頁面，觸發漏洞後執行shellcode並下載惡意病毒執行。

常見比較著名的EK有Angler、Nuclear、Neutrino和RIG等。勒索軟體也會利用EK去投毒，當用戶機器沒有及時打補丁的情況下被劫持到攻擊頁面的話，中毒的概率是比較高的。

3）定向攻擊

定向攻擊在勒索軟體傳播的過程中使用的也越來越多。攻擊者有針對性的對某些互聯網上的伺服器進行攻擊，通過弱口令或者一些未及時打補丁的漏洞對伺服器進行滲透，獲得相應的許可權後在系統執行勒索病毒，破壞用戶數據，進而勒取贖金。

4.勒索軟體家族種類

2016年是勒索軟體繁榮昌盛的一年，這一年出現了許多新的家族，也有很多老的家族從人們的視線中消失。整年中瑞星「雲安全」系統截獲的勒索家族有七十多種。其中以下幾種在今年影響比較大。

1）Cerber

Cerber 家族是年初出現的一款新型勒索軟體。從年初的1.0版本一直更新到現在的4.0版，是今年最活躍的勒索軟體之一。傳播方式主要是垃圾郵件和EK掛馬。索要贖金為1-2個比特幣。到目前為止加密過後的文件沒有公開辦法進行解密。

圖30：Cerber勒索信息

2）Locky

Locky家族也是2016年流行的勒索軟體之一，和Cerber 的傳播方式類似，主要採用垃圾郵件和EK。勒索贖金0.5-1個比特幣。

圖31：Locky勒索信息圖

3）CryptoWall

CryptoWall家族也是2016年較流行的一款勒索軟體，勒索贖金1.5個比特幣。最主要的傳播方式是垃圾郵件和EK傳播。垃圾郵件附件中通常包含一個doc文檔，文檔打開後會載入宏釋放wsf文件並執行，從網上下載勒索病毒運行。

圖32：CryptoWall勒索信息

4) TeslaCrypt

TeslaCrypt是今年消失的一款勒索軟體。其家族在2015年底到2016年初仍然大規模的傳播。但是在2016年5月份，該家族幕後組織突然發佈道歉聲明宣布停止傳播，並公布出一個主解密密鑰。隨即TeslaCrypt就慢慢淡出人們的視野了。

圖33：TeslaCrypt 關閉信息

5.勒索軟體受害人群

為了能夠獲取最大的利潤，攻擊者通常是不區分受害者對象的。就目前勒索軟體最主要的傳播途徑來看，個人用戶比企事業組織受害比例要高。隨著各人市場攻擊的飽和，必然會使攻擊者轉向企事業單位和政府組織，企事業面臨的風險也會越來越大。

6.勒索軟體爆發原因

1）加密手段有效，解密成本高

勒索軟體都採用成熟的密碼學演算法，使用高強度的對稱和非對稱加密演算法對文件進行加密。除非在實現上有漏洞或密鑰泄密，不然在沒有私鑰的情況下是幾乎沒有可能解密。

當受害者數據非常重要又沒有備份的情況下，除了支付贖金沒有什麼別的方法去恢複數據，正是因為這點勒索者能源源不斷的獲取高額收益，推動了勒索軟體的爆發增長。

互聯網上也流傳有一些被勒索軟體加密後的修復軟體，但這些都是利用了勒索軟體實現上的漏洞或私鑰泄露才能夠完成的。

如Petya和Cryptxxx家族恢復工具利用了開發者軟體實現上的漏洞，TeslaCrypt和CoinVault家族數據恢復工具利用了key的泄露來實現的。

2）使用電子貨幣支付贖金，變現快追蹤困難

幾乎所有勒索軟體支付贖金的手段都是採用比特幣來進行的。比特幣因為他的一些特點:匿名、變現快、追蹤困難，在加上比特幣名氣大，大眾比較熟知，支付起來困難不是很大而被攻擊者大量使用。

可以說比特幣很好的幫助了勒索軟體解決贖金的問題，進一步推動了勒索軟體的繁榮發展。

3）Ransomware-as-a-server的出現

勒索軟體服務化，開發者提供整套勒索軟體的解決方案，從勒索軟體的開發、傳播到贖金的收取都提供完整的服務。

攻擊者不需要任何知識，只要支付少量的租金及可租賃他們的服務就可以開展勒索軟體的非法勾當。這大大降低了勒索軟體的門檻，推動了勒索軟體大規模爆發。

7.勒索軟體幕後黑手

勒索軟體的幕後黑手都有哪些呢。瑞星抽樣分析了下2016年比較著名的勒索軟體家族，統計了下他們的控制伺服器(C&C)的地址和傳毒地址。從統計結果中不難看出美國和俄羅斯不管是在控制伺服器和傳毒端都佔有很大比例。

圖34：控制伺服器所在國分布比例

圖35：傳毒伺服器所在國分布比例

8.勒索軟體發展的新形勢

2016年是勒索軟體繁榮發展的一年，在這一年裡除了針對Windows系統勒索軟體，針對Linux、Mac OX等勒索軟體都已出現。

同時移動平台Android和 IOS 系統也未能倖免。勒索軟體為了躲避查殺不斷發展，用上了各種手段。腳本JS 開發、python開發、Autoit開發的勒索軟體都在今年出現。2017年註定還是勒索軟體猖獗的一年。

1）現有各種平台仍將持續發展

由於勒索軟體能夠給攻擊者帶來巨額的利潤，這種攻擊手段在短時間內是不會消失的。各平台、各樣式的勒索軟體仍會繁榮發展。

2）針對企業等組織的攻擊將越來越多

隨著勒索軟體在個人市場的競爭越來越激烈，必然會使越來越多的攻擊轉向針對企業。雖然針對企業的攻擊要更高的技術水平和更長的時間，但是帶來的回報也會更多。往往企業中的數據要比個人的數據更有價值。企業面對勒索軟體的風險在未來也會越來越大。

3）物聯網新興設備受到的威脅增加

物聯網在當下已經越來越普及，這部分設備受到攻擊的風險也會越來越大。試想下當你下班回家打開智能電視，看到的不是精彩節目而是某某勒索軟體的信息，當你準備發動汽車電子顯示屏上顯示的是交付贖金的勒索信息你該怎麼辦? 這不是異想天開，這都是可能會發生的事情。

4）工控系統可能成為攻擊對象

工控系統受到攻擊的最著名的案例當屬」震網「了，Stuxnet蠕蟲攻擊伊朗核設施。當今的工業社會工控系統是如此普遍，如果他們受到勒索軟體的攻擊，帶來的結果將是難以預料的。

9.瑞星給用戶的建議

1）、定期備份系統與重要文件，並離線存儲獨立設備。

2）、使用專業的電子郵件與網路安全工具，可分析郵件附件、網頁、文件是否包括惡意軟體，帶有沙箱功能。

3）、經常給操作系統、設備及第三方軟體更新補丁。

4）、使用專業的反病毒軟體、防護系統，並及時更新。

5）、設置網路安全隔離區，確保既是感染也不會輕易擴散。

6）、針對BYOD設置同樣或更高級別的安全策略。

7）、加強員工（用戶）安全意識培訓，不要輕易下載文件、郵件附件或郵件中的不明鏈接。

8)、受感染後盡量不要給勒索者付贖金，不要去縱容勒索者，增加他們的收入去繼續破壞更多的人。

專題2：SEO詐騙分析報告

1.概述

報告期內，瑞星安全專家在詐騙攔截的網址中發現一個極為可疑的URL，隨後對其進行了深入分析，分析過程中發現該網址不僅具有欺詐性質，而且還利用黑帽手段進行關鍵詞排名推廣。

黑客首先利用非法手段入侵正規政府或學校網站，在網站的其他目錄下上傳惡意文件，當受害者利用搜索引擎搜索到黑客設置的關鍵詞時，就會彈出黑客預先修改過的「正規網站」，讓受害者誤以為是官方網站，從而導致用戶上當受騙。

2.代碼分析

通過攔截的詐騙網址進行代碼分析，代碼如下圖：

圖36：詐騙網址部分代碼

其中，我們抽取其中一段代碼，可以看出，黑客隱藏了一段域名body=GetHtml(「h」&」tt」&」p:」&」/」&」/2″&」2″&」2.」&」18″&」6″&」.」&」43.1″&」0″&」9″)，我們將其中的域名進行拼接，就可以看出該域名為：http://222.186.43.109。然後我們訪問該域名，網站顯示為客服服務中心，如下圖：

圖37：詐騙網址頁面

查看最開始詐騙網址http://www.vdsjg.top的源文件時發現，黑客在META中設置了標題為「〖餘額寶轉賬到銀行卡號上遲遲未到賬怎麼辦〗__百度–知道」的關鍵字，以此來騙取搜索引擎收錄與用戶點擊，如下圖：

圖38：黑客在代碼中設置關鍵字

代碼中載入了uaredirect.js文件，訪問JS文件經過加密處理，解密後發現載入了一個URL鏈接框架，其中IP與上面拼接的鏈接中IP地址相同，訪問該IP連接與上面域名顯示的頁面一致，如下圖：

圖39：載入的URL鏈接頁面

加密代碼中同時還存在一個流量統計的頁面http://js.users.51.la/17459262.js，該流量統計是用來統計頁面的訪問次數和訪客的地區分布等信息。

通過技術分析得到了詐騙網站站長的賬戶名為lllppp，網站的名稱為「飛升雲端」，統計ID為「17459262」。

圖40：站長信息

查詢IP：222.186.43.109的歸屬地為江蘇鎮江。

圖41：IP信息

對詐騙網站的域名進行分析，查詢到域名聯繫人，聯繫方式，註冊時間和過期時間等信息。

圖42：詐騙網站域名分析

繼續深入查詢，可以了解到註冊人註冊時所使用的姓名和聯繫方式，查詢手機號碼歸屬地為安徽，這裡不排除註冊者使用虛假的信息。

圖43：註冊人電話信息

詐騙網站域名歸屬地為香港地區，一般非正規網站所使用伺服器多數分布在海外地區。

圖44：IP地址的地理位置

通過註冊人郵箱查詢出該註冊人名下的其他域名，根據域名信息判斷是同一時間註冊的多個域名。

圖45：註冊人名下其他域名

打開其中任意域名查看，發現同http://www.vdsjg.top網站內容相同。

圖46：其他域名頁面

由此可以推斷域名使用者利用關鍵詞推廣的形式進行支付寶詐騙，當網民在搜索引擎中輸入支付寶客服，支付寶電話，支付寶客服電話，支付寶客服中心等關鍵詞，就會出現詐騙者利用非法手段入侵入侵的網站所掛載的欺詐頁面。

而不知真相的用戶很難對其進行辨別，如果撥打其網站所提供的電話，就會陷入詐騙者所設的圈套，一步步引誘騙取用戶錢財。

3.詐騙手段

整個詐騙過程人員劃分可以分為受害者、非法攻擊者、詐騙者。

首先，由非法攻擊者對網站實施攻擊，在獲取網站的許可權之後，將獲取到的許可權交給詐騙者，由詐騙者上傳詐騙頁面等待搜索引擎收錄詐騙頁面。

其次，受害者在某搜索引擎中搜索支付寶退款等相關關鍵詞，搜索引擎會將詐騙網站提供給用戶。

最後，受害者撥打詐騙網頁中提供的客服聯繫方式，詐騙者利用各種手段騙取用戶個人信息。

一般詐騙者會發給受害者一個可以退款的詐騙鏈接地址，要求受害者輸入支付寶賬號、銀行卡等信息，並告訴受害者在一定的時間內就可以將錢退回到賬戶中。

受害者輸入完個人信息，詐騙者便會利用這些信息登陸受害者的支付寶賬戶或銀行賬戶進行轉賬操作。

4.防詐騙手段

1、認準官方網站，撥打官方所提供的客服電話。

2、請勿相信索取手機驗證碼的陌生電話或簡訊。

3、不要點擊以簡訊、微信等通信方式發來的退款、轉賬鏈接。

專題3：不法分子如何利用偽基站盈利

1.偽基站簡介

「偽基站」即假基站，設備一般由主機和筆記本電腦組成，通過簡訊群發器、簡訊發信機等相關設備，能夠搜取以其為中心、一定半徑範圍內的手機卡信息，利用移動通信的缺陷，通過偽裝成運營商的基站，冒用他人手機號碼強行向用戶手機發送詐騙、廣告推銷等信息。

2.偽基站組織結構

偽基站的組織結構包括木馬程序開發者、偽基站簡訊發送者、垃圾郵件發送者、詐騙者、中介或下線組成。

圖47：偽基站組織結構

3.偽基站運作流程

偽基站首先由詐騙者購買硬體設備進行偽基站部署，然後程序開發者開發偽基站需要的web框架平台或應用程序，然後通過域名運營商購買大量域名進行詐騙工作，這些域名周期都是非常短，一般周期為1-7天。

然後將詐騙程序搭建起來，一般常用的幾套詐騙源碼為建設銀行詐騙、工商銀行詐騙、QQ安全中心詐騙、中國移動詐騙、中國好聲音中獎詐騙等。

詐騙者通過僱傭其他人員攜帶偽基站在街道和小區周邊進行大範圍發送詐騙簡訊、廣告、詐騙網址，木馬APK程序等，同時也以郵箱的形式進行發送事先部署好的詐騙網址，通過詐騙網址來獲取網民的個人信息、銀行卡、支付賬戶等，詐騙者在收信平台對詐騙網址獲取到的信息進行整理和驗證。

詐騙者尋找合作方或中介，將整理出來的信息進行變現操作，通過購買大量黑卡進行洗錢，將可用賬戶中的金額進行消費變現，然後轉賬到黑卡賬戶中。

圖48：偽基站運作流程

名詞解釋：

製作網站：有專人搶注類似於運營商，各大銀行機構的域名進行出售或自己用，有專業的人員進行仿站模仿類似於運營商、各個銀行的網站，然後購買美國或者香港免備案伺服器進行搭建後製作過域名攔截程序。

木馬製作：由程序開發人員進行開發後，以幾千元不等的價格將源碼賣給下級代理進行二次開發出售（根據各大殺毒庫的更新情況製作「免殺」），以每周2000元進行出售。

偽基站發送詐騙簡訊：這個一般為線下交易，包吃包住包油錢以每小時500元左右為酬勞或以合作分成的方式，讓有偽基站設備的人帶著偽基站遊走在繁華的街區進行大範圍的撒網（發送詐騙網站）。

「出料」：將詐騙網站後台收到的數據進行篩選整理（利用各個銀行的在線快捷支付功能情況查餘額，看看是否可以直接消費進行轉賬或第三方支付進行消費），自己無法將餘額消費的將會以餘額的額度以不同的價格出售（大部分會打包起來以每條1元的價格進行多次叫賣）餘額巨大的有時還會找人合作進行「洗料」。

「洗料」：通過多種方式將「料」進行變現，一般開通快捷支付充值水電、話費、遊戲幣或者利用其他存在第三方支付轉賬介面和銀行快捷支付漏洞等，將「四大件」變成成現金後通過各種規避追查的手段與合伙人按比例（一般以料的額度按5：5、 4：6 、3：7這些比例）進行分賬，日均可以賺取10萬元以上。

4.偽基站影響、危害

（1）詐騙網站涉及行業分布

圖49：詐騙網站涉及行業分布

（2）詐騙網站影響的銀行分布

圖50：詐騙網站影響的銀行分布

（3）偽基站受害人群年齡分布

圖51：偽基站受害人群年齡分布

5.偽基站危害：

1、「偽基站」運行時用戶手機信號被強制連接到該設備上，無法正常使用運營商提供的服務，手機用戶一般會暫時脫網8-12秒後恢復正常，部分手機用戶則必須開關機才能重新入網。

此外，「偽基站」還會導致手機用戶頻繁地更新位置，使得該區域的無線網路資源緊張並出現網路擁塞現象，影響用戶的正常通信。

2、「偽基站」盜用公眾無線電通信運營商的頻率資源，其大功率發射對周邊電磁環境造成強烈干擾。

3、發送病毒簡訊，機主一旦不慎點擊，輕則手機被植入木馬病毒，發生手機資費被惡意消耗，被惡意廣告騷擾等後果，重則會記錄網友在該詐騙網頁中輸入的任何信息，如涉及銀行卡號密碼、支付賬號密碼等，有可能造成財產損失。

6.偽基站相關數據

圖52：偽基站簡訊類型比例

7.偽基站防範建議

1. 收到可疑簡訊及時向官方客服電話確認。

2. 收到陌生簡訊不打開鏈接，不下載，不安裝。

3. 公共場所不使用來歷不明的WIFI熱點。

4. 任何場所下不輕易泄露個人任何信息。

5. 手機安裝安全防護軟體、定期清理垃圾、查殺木馬病毒。

專題4：2016路由安全分析

1、概述

路由安全一直是網路安全里的熱門事件，幾乎所有路由品牌都曝出過漏洞，黑客正是利用這些漏洞對用戶的路由進行入侵和劫持，將用戶訪問的網站定向到詐騙網站，然後盜取用戶個人隱私，如果是企業級路由被黑客攻擊，將會造成更大的影響。

2、德國電信斷網事件

2016年11月德國電信遭遇了一次大範圍的網路故障，這次攻擊致使多達90萬寬頻用戶和2000萬固定電話用戶遭遇了網路中斷，中斷時間從星期日一直持續到星期一。

事件發生後，德國電信連夜與設備供應商生成了新的升級包，並且要求客戶如果懷疑受到影響就斷電重啟路由器，之後利用自動或手動的升級過程來減輕問題。

德國電信還採取了一系列的過濾措施來保證升級過程不受攻擊影響。德國電信經過調查發現，此次攻擊和此前攻擊美國網路的惡意軟體Mirai存在必然聯繫，此次攻擊同樣是從路由器和網路攝像頭髮起導致德國電信的伺服器流量飆升，從而使正常的網路不堪重負。

3、各品牌路由器漏洞情況

截止到2016年底包括D-link、TP-link、Cisco、斐訊、iKuai等一眾國內外知名品牌都相繼爆出了高危漏洞，影響上萬用戶的網路安全，以下是2016年中國用戶最關注的的路由器品牌佔比，以及根據exploits-db披露的各品牌路由器漏洞比例。

圖53：2016年中國路由市場品牌關注比例

圖54：2016年各品牌路由器漏洞比例

4、2016年路由器漏洞類型——殭屍網路成爆發性增長

2016年路由器漏洞類型包括默認口令、固件漏洞、路由後門等一系列安全問題。通過對2016年相關路由器事件進行統計，各種攻擊方式中弱口令佔比最多，也使得今年的殭屍網路呈現了爆發性的增長。

圖55：2016年路由器漏洞類型佔比

當路由器開始使用並運行後，如果用戶沒有修改設備的默認登錄口令，或是因為某些原因將設備的口令設置的極其簡單，使得攻擊者可以針對這些路由器進行暴力破解，輕而易舉的進入設備的管理界面。

然後，攻擊者就可以向路由器植入惡意代碼，並使之與攻擊者的C&C（遠程命令）伺服器通訊，將設備變成殭屍網路中的一員。

而這些殭屍網路主要以發動DDos攻擊為主，或作為代理對其他設備進行暴力破解，威脅網路安全。此前威脅美國、新加坡以及德國網路安全的都屬於殭屍網路。

圖56：2016年中國路由器弱密碼TOP10

5、提高網民安全意識，加固用戶名密碼安全

對於像mirai這樣的殭屍網路，目前還沒有十分奏效的方法加以遏制，現在主要採用蜜罐技術通過行為特徵分析，在殭屍網路形成的初期發現並採取相關措施。

由於殭屍網路的特性就是控制大量「肉雞」，所以對於用戶來說，就是提高自身的安全意識，修改初始密碼以及弱密碼，加固用戶名和密碼的安全性，督促行業對密碼策略的進一步加強。

* 本文作者：北京瑞星信息技術股份有限公司（企業帳號），轉載請註明來自FreeBuf.COM