您的位置:网站首页 > net源码 > 正文

2018年中国网络安全报告

类别:net源码 日期:2020-9-9 13:17:27 人气: 来源:

  enoou2018年瑞星“云安全”系统共截获病毒样本总量7,786万个,病毒感染次数11.25亿次,病毒总体数量比2017年同期上涨55.63%。由于利益的,更多领域的犯罪投入到了挖矿病毒与病毒领域,同时,病毒与杀毒软件的对抗越来越激烈,者持续更新迭代病毒,导致病毒有了极大的增长。

  报告期内,新增木马病毒占总体数量的61.60%,依然是第一大种类病毒。灰色软件病毒(垃圾软件、广告软件、黑客工具、恶意软件)为第二大种类病毒,占总体数量的14.53%,第三大种类病毒为病毒器,占总体数量的12.52%。

  报告期内,CVE-2018-0802漏洞利用占比29.95%,位列第一位。该漏洞是office公式编辑器EQNEDT32.EXE的一个漏洞,由于公式编辑器对字体名称的长度没有进行校验,导致者可以通过构造恶意的字体名,执行任意代码。

  报告期内,市病毒感染2.26亿人次,位列全国第一,其次为广东省0.92亿人次及0.65亿人次。

  根据病毒感染人数、变种数量和代表性进行综合评估,瑞星评选出了2018年1至12月病毒Top10:

  报告期内,瑞星“云安全”系统共截获软件感染次数687万次,其中广东省感染179万次,位列全国第一,其次为上海市77万次,市52万次及江苏省33万次。

  通过对瑞星捕获的样本按家族分析发现,GandCrab家族占比36%,位列第一,其次为WannaCrypt占比31%,以及Lyposit占比17%。

  2018年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量1.06亿个,其中挂马网站6,622万个,诈骗网站3,949万个。美国恶意URL总量为2,785万个,位列全球第一,其次是中国399万个,188万个,分别为二、三位。

  报告期内,恶意网址(URL)总量为78万个,位列全国第一,其次是72万个,以及浙江省66万个,分别为二、三位。

  2018年瑞星“云安全”系统共拦截诈骗网站323万余次,广东受诈骗网站66万次,位列第一位,其次是市受诈骗网站44万次,第三名是上海市受诈骗网站20万次。

  报告期内,赌博类诈骗网站占46%,位列第一位,其次是类诈骗网站占37%,恶意软件类诈骗网站占11%,分别为二、三位。

  报告期内,广东、上海、江苏等地区访问的诈骗网站类型以赌博为主,、辽宁、浙江等地区则以网站为主,其余地区访问恶意推广诈骗网站居多。

  2018年、赌博类诈骗网站占比较大,这些恶意网站大多通过非法手段进行,有些赌博类诈骗网站采用新型的“夺宝”形式,利用低价格高回报方式吸引用户,以零钱试玩的方式让用户参与其中,前期平台方会进行后台操作让用户少输多赢,当用户产生一定的兴趣后,再进行后台操作赢取用户钱财。诈骗网站的途径:

  2018年瑞星“云安全”系统共拦截挂马网站65万余次,浙江省受挂马25万次,位列第一位,其次是市受挂马19万次。

  2018年挂马相对增多,者一般自建一些类或类网站,吸引用户主动访问。有些网站会锁定用户浏览器主页,当用户访问会自动跳转到指定的恶意网站,大部分恶意网站会挂载木马程序用户下载,进而窃取用户的账户信息,非法利用窃取的信息进行诈骗或资金盗刷。挂马防护手段主要为:

  2018年瑞星“云安全”系统共截获手机病毒样本640万个,病毒总体数量比2017年同期上涨26.73%。新增病毒类型以信息窃取、资费消耗、行为、恶意扣费四类为主,其中信息窃取类病毒占比26%,位居第一。其次是资费消耗类病毒占比25%,第三名是行为类病毒占比18%。

  2018年4月,一种新型门罗币挖矿恶意软件HiddenMiner伪装成Google Play更新软件,针对手机用户发起了,该恶意软件封装后没有调试器、控制器、切换功能,用户手机一旦感染,将无法人工停止运行,手机后台会一直,直到手机电池耗尽。恶意软件HiddenMiner的和恢复机制非常强大,它会利用设备管理员的权限使它具有和SLockerAndroid恶意软件一样的系统管理员权限。手机一旦被安装后,会不断弹出权限请求窗口,直到用户选择允许才会消失。

  2018年8月,BBC报道了英议APP泄露大量高管信息一事。据悉,英国保守党的会议APP出现安全漏洞,包括内阁大臣和高级议员在内的众多高层个人信息被泄露。英国财政大臣和前外交大臣的手机号无需密码便可查看。与会内阁、议员、记者和地方议员的照片及个人信息可以被随意修改。拥有最高级别安全许可的部长们都接到了电话。英国部长的照片还被恶搞,换成了传媒大亨默多克,邮箱地址也被改成一个假的。这种级别的安全事件,后果相当严重,甚至泄露国家秘密,直接影响到国家的网络安全。

  2018年8月,“截获短信验证码盗刷案”在网上引起人们关注。手机有时无缘无故地收到短信验证码,但是本人并未进行任何操作,而且支付宝或银行卡的钱却被转走。这是一种新型伪基站诈骗。利用“GSM劫持+短信嗅探技术”,犯罪可实时获取用户手机短信内容,进而利用各大知名银行、网站、移动支付APP存在的基础漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等。

  2018年11月,中消协通报100款APP个人信息收集与隐私政策测评情况。被测评的10类100款APP分别从APP Store和市场进行下载,根据测评结果,新闻阅读、网上购物和交易支付等类型APP为总平均分相对较高的APP类别,而金融理财类APP得分相对较低,仅为28.91分。《测评报告》显示,10类APP普遍存在涉嫌过度收集个人信息的情况,59款APP涉嫌过度收集“信息”,28 款APP涉嫌过度收集“通讯录信息”,23 款APP涉嫌过度收集“身份信息”,22款APP涉嫌过度收集“手机号码”等。在隐私政策方面:47款APP隐私条款内容不达标,其中34款APP没有隐私条款。

  2018年12月,据新民晚报报道,上海警方成功捣毁一个利用网上银行漏洞非法获利的犯罪团伙,马某等6名犯罪嫌疑人被依法刑事。这个团伙发现某银行APP软件中的质押贷款业务存在安全漏洞,遂使用非法手段获取了5套该行的储户账户信息,在账户中存入少量金额后办理定期存款,后通过技术软件成倍放大存款金额,借此获得质押贷款,累计非法获利2800余万元。

  2018年12月,国家网信办会同有关部门针对网民反映强烈的违法违规、低俗不良移动应用程序(APP)乱象,集中开展清理整治专项行动,依法关停下架“约聊”“两性私密圈”“澳门金沙”“夜色的寂寞”“全民射水果”等3469款涉黄涉赌、恶意扣费、窃取隐私、诈骗、违规游戏、不良学习类APP。有关负责人称,这些违法违规APP隐蔽、性质恶劣、社会危害大,必须重拳出击,全环节治理,让网络空间更加清朗,广大网民的根本利益。

  2018年1月,英特尔处理器曝出“Meltdown”(熔断)和“Spectre”(幽灵)两大新型漏洞,影响Intel、AMD以及ARM等多个厂商的产品,受影响的操作系统平台有Windows、Linux、Android、IOS以及Mac OS等。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。

  2018年3月,Facebook八千七百多万用户数据泄露,这些数据被“剑桥分析”公司非法利用以发送广告。此次事件被视为 Facebook 有史以来的最大型数据泄露事件。剑桥分析公司与Facebook进行了合作。前者开发了一个让用户进行“个性人格测试”的 Facebook APP(类似国内微信的小程序),每个用户做完这个测试,就可以得到5美元。剑桥分析公司不仅收集了用户的测试结果,顺便收集了用户在Facebook上的个人信息。剑桥分析公司以此访问并获得了8700万活跃用户数据,然后建立起用户画像,依靠算法,根据每个用户的日常喜好、性格特点、行为特征,预测他们的倾向,然后定向向用户推送新闻,借助Facebook的广告投放系统,影响用户的投票行为。

  2018年3月,知名代码托管网站GitHub了有史以来最严重的DDoS网络,峰值流量达到了1.35Tbps。尽管此类的特点就是利用如潮水般的流量同时涌入网站,不过本次不同之处在于采用了更先进的放大技术,目的是针对主机服务器产生更严重的影响。这项新技术并非依赖于传统的僵尸网络,而是使用了memcached服务器。该服务器的设计初衷是提升内部网络的访问速度,而且应该是不在互联网中的。不过根据DDoS防御服务提供商Akamai的调查,至少有超过5万台此类服务器连接到互联网上,因此非常容易受到。

  2018年6月,弹幕视频网AcFun公告称,因网站受黑客,已有近千万条用户数据外泄,目前已报警处理,希望用户及时修改密码。公告称,用户数据泄露的数量达近千万条,原因是遭到黑客。泄露的数据主要包括用户ID、昵称、加密储存的密码等。A站表示,本次事件的根本原因在于公司没有把AcFun做得足够安全,为此,向用户道歉,并将马上提升用户数据安全保障能力。目前,A站已联合内部和外部的技术专家成立了安全专项组,排题并升级了系统安全等级。此后,公司将对AcFun服务做全面系统加固,实现技术架构和安全体系的升级。

  2018年8月,华住酒店集团旗下酒店用户信息在“暗网”售卖,身份证号、手机号,一应俱全,共涉及5亿条信息。涉及酒店范围包括:汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。此次泄露的数据数量则总计达5亿条,全部信息的打包价为8比特币,或者520门罗币(约合人民币38万元)。其中华住官网注册资料信息包含身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录。入住登记身份信息包含姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约条。酒店开房记录包含内部ID号、间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。

  2018年8月,知名芯片代工厂台积电 WannaCry 病毒入侵,导致三大工厂生产线停摆,预估损失高达约 17 亿人民币。在这起事件中,最突出的问题便是台积电内网设备没有及时更新安全补丁,早在2017年3月,微软就已经发布安全补丁,但考虑到升级系统带来的兼容性等影响,许多企业,包括工控系统,仍然使用存在漏洞的主机以及系统进行工作,带来非常大的安全隐患。

  2018年12月,国内出现首个要求使用微信支付的病毒,在网络中引起不小的恐慌。该病毒使用E语言开发,是有史以来第一款使用中文开发的病毒。病毒运行后会加密当前桌面和非系统盘中的指定文件,中毒后重启机器会弹出信息提示框,并附带二维码提示用户使用微信扫码支付110元赎金进行文件解密。12月7日,东莞网警在省网警总队的统筹指挥,24小时内火速侦破“12.05”特大新型病算机信息系统案,抓获病毒研发制作者罗某某(男,22岁,广东茂名人),缴获木马程序和作案工具一批。

  2018年12月,驱动人生升级程序开始下发木马病毒,短期内感染数万台计算机。木马母体运行后创建服务,命名为Ddriver,执意功能,从资源中挖矿模块svhhost.exe,挖掘虚拟货币消耗计算机资源。联网下载之蓝 svvhost.exe模块,网络中的其它机器。驱动人生排查后,发现驱动人生升级服务器被入侵,部分老版本升级组件存在漏洞,被者恶意利用后发起的。驱动人生进行了紧急升级,由于使用驱动人生旧版本的用户较多,因此造成的影响较大。

  GandCrab病毒从2018年年初一直活跃到年末,此病毒自出现以来持续更新对抗查杀。GandCrab随着版本的不断更新方式也不断变化,包括网站挂马、伪装字体更新程序、邮件、漏洞、木马程序等。该家族普遍采用较为复杂的RSA+AES混合加密算法,文件加密后几乎无密,最近的几个版本为了提高加密速度,对文件加密的算法开始使用Salsa20算法,秘钥被非对称加密算法加密,若没有病毒作者的私钥,正常方式通常无密,给者造成了极大的损失。

  除了病毒作者之外,还有不少者利用此病毒进行,其中一个新的病毒变种,开始具备了蠕虫、挖矿、、窃密等多种特性,者通过钓鱼邮件此病毒母体,病毒母体运行后不仅下载GandCrab 5.0.4加密计算机中的文件,还会挖矿模块消耗计算机资源,导致CPU占用率较高,窃取模块,窃取账号密码,替换虚拟货币钱包软件的剪切板,导致转账到者钱包同时病毒具备的蠕虫特性会感染可移动磁盘、web目录、使用者机器发送带毒垃圾邮件,进一步感染其它计算机。

  此病毒活跃的原因,一方面是因为加密算法较为成熟,正常方法无法被解密。另一方面就是此病毒使用即服务方式运营,暗网中存在病毒作者开发的生成器,者只需要填入自己的钱包地址,一键生成病毒程序就可以开始,因此会有不少者通过各种方式此病毒,一旦者登录赎金支付网站支付了赎金,病毒作者就会通过信中的钱包地址,将一定比例的赎金分给此病毒的者。

  因此对抗此病毒,不仅仅是对抗病毒本身和病毒作者,而是要和成百上千隐藏在各处的者进行对抗,随着攻防阶段的发展,者会想尽各种办法该病毒。

  Satan病毒,运行之后加密者计算机文件,赎金,被加密文件后缀为.satan。自诞生以来持续对抗查杀,新版本除了使用MS17-010之蓝漏洞之外,还增加了tomcat弱口令、WebLogic WLS组件漏洞(CVE-2017-10271)、JBOOS 反序列化漏洞(CVE-2017-12149) 等多种web漏洞和弱口令。病毒内置了大量的IP列表,中毒后会继续他人。此病毒危害巨大,给不打补丁的用户造成极大的危害。幸运的是此病毒使用对称加密算法加密,密钥硬编码在病毒程序和被加密文件中,因此可以解密。瑞星最早开发出了针对此病毒的解密工具。

  Xbash病毒集、挖矿、蠕虫于一身,使用多种漏洞和弱口令进行,并且可以感染Linux和Windows。该病毒使用漏洞和弱口令入侵计算机,然后植入挖矿病毒,并且会删除数据库,在数据库中留下信息,者想要恢复数据需要支付赎金,但是由于数据库被清空,病毒作者也无法恢复被删除的数据,因此危害较大。病毒内置的弱口令帐号密码,针对ftp、mysql、telnet、postgresql、mongodb、redis、memcached等web服务和数据库进行,并且会利用activeMQ漏洞、hadoop漏洞、Redis漏洞等数据库软件漏洞进行。

  Lucky病毒使用多种漏洞和弱口令Windows和Linux系统,然后植入病毒和挖矿病毒。挖矿病毒运行后会导致中毒机器CPU占用率极高,病毒运行后加密计算机中的文件,被加密文件后缀追加上.lucky。中毒机器会使用之蓝漏洞和多种web漏洞网络中的其它机器。此病毒使用了以下漏洞和弱口令进行:

  FilesLocker病毒使用C#编写,运行之后通过AES算法加密文件,并用RSA算法加密AES密钥,在没有病毒作者RSA私钥的情况无密文件。从技术方面来看,此病毒的技术较为成熟,和以往的病毒相比,并没有太多过于独特的地方。

  传统软件大多是国外者开发,当用户收到英文或俄文的钓鱼邮件时,会自动提高。然而FilesLocker病毒是国内犯罪开发,在地下黑客论坛广泛招募合作伙伴,意图分发病毒。

  从者的招募信息来看,主要招募拥有大量肉鸡的者和拥有病毒技术的者,一旦招募成功,将会有各种各样的犯罪,通过各种方法病毒。未来可能会有很多精心的钓鱼邮件,各种吸引眼球的标题,者下载运行病毒,因此有很大的安全隐患。

  2018年大量病毒制造者将目标投向了挖矿领域,挖矿病毒层出不穷,其中影响最大的是一个构造精密被称为 “MsraMiner”的挖矿僵尸网络。此病毒利用之蓝漏洞局域网中的机器,中毒机器会继续使用之蓝漏洞其它机器,并作为web服务器供其它机器下载,导致大量局域网主机被植入挖矿病毒,同时病毒持续升级对抗查杀。

  此病毒在2018年3月、5月进行了更新。通过内网和外网下载,僵尸网络非常健壮,增加了查杀的难度。2018年11月份此病毒又更新了一个版本,服务名称变为snmpstorsrv,压缩包名称变为MarsTraceDiagnostics.xml,之蓝工具包的径变为系统盘:\Windows\APPDiagnostics目录,主要为了对抗查杀。

  2018年CVE-2017-0144(之蓝漏洞)依然是影响最严重的漏洞之一,很多企业互联网中仍然存在很多未打“之蓝”漏洞补丁的机器,导致其危害至今仍在持续。CVE-2017-0144是Microsoft Windows SMB服务中存在远程代码执行漏洞,远程者可通过发送特制的数据包触发漏洞,从而利用该漏洞执行代码。由于美国局NSA旗下的方程式组织,用来窃取情报的网络武器被泄露,导致很多者不需要掌握漏洞利用的知识,直接使用NSA泄露的工具就能发起之蓝漏洞,因此极大的降低了的门槛。此外MsraMiner挖矿病毒、Satan病毒、Lucky病毒也是利用之蓝漏洞进行,影响范围十分广泛。

  CVE-2018-0802漏洞是office公式编辑器EQNEDT32.EXE 出现的又一个漏洞,微软2017年11月份修补了一个隐藏了17年的office漏洞,漏洞编号CVE-2017-11882,漏洞是由于office公式编辑器组件EQNEDT32.EXE,对输入字符串的长度没有进行比对,导致的内存漏洞。如果者精心构造恶意office文档,就会触发漏洞执行任意代码。

  CVE-2018-0802属于CVE-2017-11882漏洞补丁的绕过漏洞,此漏洞成因是由于公式编辑器对字体名称的长度没有进行校验,导致者可以通过构造恶意的字体名,执行任意代码。该漏洞几乎影响微软所支持的所有office版本,者可以用户打开包含恶意代码的 Microsoft Office文档、网页、垃圾电子邮件等触发漏洞。因此很多者都非常乐于使用此漏洞,导致此漏洞在2018年非常流行。

  CVE-2017-9791是Struts2 showcase应用中存在远程代码执行漏洞,远程者可通过使用恶意字段值,构造特定的输入,发送到 ActionMessage类中,从而导致任意代码执行。Apache Struts是一个免费的、开源的MVC框架,用于创建Java web网站程序,广泛用于各类网站中。

  CVE-2017-9791漏洞出现后,一般大型互联网企业、、金融机构等网站都能及时修复漏洞。但是仍有很多中小企业,由于网站是第三方外包公司开发,导致漏洞出现后无法及时更新补丁,给者留下可乘之机。

  CVE-2017-10271是WebLogic XMLDecoder 组件存在的反序列化漏洞,使用精心构造的XML将会导致远程代码执行,者只需要发送特定的HTTP请求,就可以拿到目标服务器的权限。很多web网站没有及时修复此漏洞,导致被者利用。此漏洞被Satan病毒、Lucky病毒在中使用,不少者也通过此漏洞将挖矿病毒植入者服务器。

  CVE-2017-12149是JBOSSAPPlication Server反序列化命令执行漏洞,JBOOS是一个基于J2EE的源代码的应用服务器,由于在JBoss的HttpInvoker组件ReadOnlyAccessFilter过滤器中的doFilter方法,在没有进行充分的安全检查和的情况下,直接将接收到的序列化数据流进行反序列化,导致者可以通过精心设计的序列化数据来执行任意代码。由于国内很多网站是第三方外包厂商开发,出现漏洞后无法及时修复,导致不少中小企业服务器中存在此漏洞。Satan病毒就曾使用此漏洞进行。

  Adobe Flash Player 28.0.0.137及更早版本中存在严重漏洞(CVE-2018-4878),可被者利用控制受影响的系统。者通过发送钓鱼邮件,者打开内嵌恶意Flash内容的Office文档或点击钓鱼网址链接触发漏洞。

  Adobe在2018年2月6日发布的版本28.0.0.161中修复了此漏洞,此漏洞最早被用于针对韩国的定向中,当时还是未修复的0day漏洞。此后此漏洞被黑产团伙用于挖矿病毒,用户点击恶意链接后,就会访问带有漏洞的Flash文件,触发漏洞后自动下载运行挖矿木马。

  以往病毒和挖矿病毒有比较明显的界限,随着更多者投入到这一领域,获取最大利益是他们的根本目的,因此病毒和挖矿病毒的界限开始模糊,病毒运行后除了模块加密者计算机中的文件之外,又开始挖矿模块挖掘虚拟货币,消耗者计算机资源。并且为了增加感染量,病毒呈现蠕虫化的趋势,病毒会通过弱口令和系统漏洞、多种web漏洞,存在弱口令和漏洞的计算机。比如Satan病毒、GandCrab病毒,从2018年年初只负责,逐步发展为通过漏洞和弱口令蠕虫化,并且开始挖矿。而Lucky和xbash病毒从一出现就Windows和Linux双平台,通过漏洞和弱口令挖矿和病毒。

  者入侵内网后,通过漏洞和弱口令在网络中的横向移动,手工投毒增多,在某次事件中,瑞星捕获了者遗留的各种密码获取工具、网络扫描工具、RDP远程桌面破解工具。者控制一台中毒机器后,抓取各类密码,然后再用这些密码尝试局域网中的其他计算机。由于很多组织的多台计算机使用相同密码,因此受灾严重。此外,有不少网站是外包公司开发,网站管理员不能及时修复web漏洞和弱口令,导致者可以轻易植入病毒,而管理员发现中毒后,即使能够删除病毒,但是无法找到中毒原因,导致反复中毒。

  随着5G网络的普及,物联网设备的数量和种类也会逐渐增加,这些新的设备将会有更多的功能,更大的规模。者除了使用物联网设备进行DDoS之外,将会持续挖掘物联网设备的更多潜力,实现更多恶意功能。2018年遍布54个国家的超过500,000台由器和NAS设备,感染了VPNFilter恶意软件。此病毒构造精密,被APT组织用来窃取信息。未来如果这种方式被网络犯罪团伙使用,将会带来更多性的危害。

  随着5G的发展,互联将成为趋势,物联网将是未来的重点发展方向,网络上会存在比以往更多的IoT设备,生活会变得更加智能。但是另一方面由于设备种类众多,IoT的安全问题也逐渐凸显,因此物联网将逐渐成为犯罪的目标。瑞星对最近出现的几个趋势进行了分析。

  物联网设备最早被黑客利用进行DDoS活动,此类技术较为成熟,随着物联网设备漏洞的不断出现,以及黑市上存在的DDoS需求,促使这种持续存在,并且逐渐增大。由于物联网设备越来越多,一旦被者控制,形成大规模的僵尸网络,批量访问某个网站,就会导致网站瘫痪,甚至可能导致某个区域断网,全世界大部分网站都无法抵御这种。因此物联网设备在入网前要进行严格的测试,目前不少厂家已经从设计的角度避免了弱口令,但是由于软件漏洞无法完全避免,因此要做好漏洞的及时修补工作,才能避免被者利用。

  除DDoS外,研究人员发现了一个发送广告邮件的物联网病毒,并将其命名为Linux.ProxyM,该病毒几乎可以在所有Linux设备上运行,包括由器、机顶盒等设备。此病毒可在感染的物联网设备中运行SOCKS代理服务,接受控制指令,发送广告邮件,平均每台受感染设备每天可以发送400封广告邮件,通常以内容和金融服务为主。除广告邮件之外,该病毒还发送钓鱼邮件,者点击钓鱼网站,获取者账号密码。由此可见,很多传统的网络,在控制了大量的物联网设备之后,又有了新的发展,这种相对于传统的租用服务器发送邮件,者成本更低,更难被查封。

  以往主要通过个人电脑和服务器进行挖矿,现阶段有不少者另辟蹊径,投入到物联网设备的挖矿领域。由于挖矿十分消耗计算机资源,导致计算机卡顿或者网站无法访问,很容易被者发现。而对于物联网设备,很多时候者无法查看CPU内存占用情况,一般很难发现,即使挖矿导致设备死机,者也会认为是设备过热导致,只能通过重启来解决。

  ADB.Miner是针对物联网设备进行挖矿的病毒之一,该病毒会扫描在互联网上的机顶盒、智能电视,然后通过ADB调试端口默认的漏洞植入挖矿病毒。此外还有者通过MikroTik由器漏洞,植入Coinhive挖矿脚本,当用户在浏览网页跳转到任何类型的错误页面时,会自动打开包含Coinhive挖矿脚本的页面进行挖矿。

  VPNFilter恶意软件是一个多阶段,模块化的平台,具有多种功能,可支持情报收集和性网络操作。此病毒构造非常精密,兼容性非常强,能够感染Linksys,MikroTik,Netgear,TP-Link和QNAP、华硕,D-Link,华为,Ubiquiti,UPVEL和中兴制造的由器。研究人员发现遍布54个国家超过50万台由器和NAS 等物联网设备,感染了VPNFilter恶意软件。

  第1阶段模块,重新启动后会持续存在,这与大多数其它针对物联网设备的恶意软件不同,因为恶意软件通常无法在设备重新启动后存活。阶段1的主要目的是获得持久驻留,并能够部署阶段2恶意软件。

  第2阶段的模块,重启后无法继续存在,需要使用阶段1来部署。它拥有一个智能收集数据的功能,比如文件收集、命令执行、数据过滤和设备管理。

  物联网设备中毒后较难发现,漏洞难以及时修补,甚至有的设备已经找不到生产厂商。这些感染物联网病毒的僵尸设备,会对全球网络安全造成很大的隐患。因此未来物联网设备,出厂前要进行足够的测试,尽最大可能提高防护能力。另一方面建立完善的升级补丁体系,发现漏洞后厂家能够及时通过安装补丁修复漏洞,而不是漏洞出现后长期无法修复,导致物联网设备被黑客。

  

0
0
0
0
0
0
0
0
下一篇:没有资料

相关阅读

网友评论 ()条 查看

姓名: 验证码: 看不清楚,换一个

推荐文章更多

热门图文更多

最新文章更多

关于联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明 - 人才招聘 - 帮助

CopyRight 2002-2012 技术支持 源码吧 FXT All Rights Reserved

赞助合作: