1.永恒之藍(lán)漏洞與勒索病毒制造全球蠕蟲(chóng)災(zāi)難

5 月 12 日晚8 時(shí)左右，WannaCry（想哭）勒索軟件全球爆發(fā)，存在漏洞的電腦開(kāi)機(jī)上網(wǎng)就可被攻擊。數(shù)小時(shí)之內(nèi)，病毒席卷英國(guó)、俄羅斯、整個(gè)歐洲，迅速蔓延至國(guó)內(nèi)高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)，桌面彈出支付比特幣才能解密恢復(fù)文件，攻擊造成教學(xué)系統(tǒng)、校園一卡通系統(tǒng)、加油站系統(tǒng)及眾多政府機(jī)關(guān)網(wǎng)絡(luò)癱瘓。

該病毒之所以快速蔓延，其根源在黑客組織“影子經(jīng)紀(jì)人（Shadow Brokers）”將NSA（美國(guó)國(guó)家安全局）使用的武器級(jí)安全漏洞公開(kāi)。盡管微軟早在病毒事件爆發(fā)前發(fā)布了安全補(bǔ)丁，但眾多內(nèi)網(wǎng)用戶并未及時(shí)修補(bǔ)，從而導(dǎo)致一場(chǎng)遍布全球的安全災(zāi)難。

繼WannaCry（想哭）勒索蠕蟲(chóng)之后，又有NotPetya、Bad Rabbit等多款蠕蟲(chóng)病毒利用類似的攻擊手機(jī)（漏洞+勒索）在歐洲多國(guó)傳播，這些病毒的影響力都遠(yuǎn)遜于WannaCry勒索蠕蟲(chóng)。

該病毒給所有網(wǎng)民的教訓(xùn)就是必須高度重視安全漏洞的影響，特別是安全專家們提及的網(wǎng)絡(luò)戰(zhàn)武器級(jí)高危漏洞。這類安全漏洞單點(diǎn)使用可以無(wú)形中滲透到保密級(jí)別很高的網(wǎng)絡(luò)系統(tǒng)，大規(guī)模使用可以導(dǎo)致極為嚴(yán)重的后果。影子經(jīng)紀(jì)人一直宣稱要公開(kāi)所有NSA的網(wǎng)絡(luò)戰(zhàn)兵器譜，但僅僅只放了幾個(gè)出來(lái)。

及時(shí)修補(bǔ)安全漏洞才能在突然到來(lái)的蠕蟲(chóng)病毒攻擊中成為幸存者。重要數(shù)據(jù)如果沒(méi)有備份，在遭遇超強(qiáng)加密的勒索病毒時(shí)，將造成無(wú)法挽回的損失。

2.國(guó)產(chǎn)流氓軟件Fireball(火球)全球做惡

據(jù)國(guó)外安全公司報(bào)告，由中國(guó)商業(yè)公司卿燁科技（rafotech）控制的Fireball(火球)病毒，感染全球約2.5億部計(jì)算機(jī)。

火球病毒感染后會(huì)劫持用戶瀏覽器，中毒電腦成為僵尸網(wǎng)絡(luò)的一部分。Fireball病毒也是一個(gè)功能完善的病毒下載器，可以在中毒電腦執(zhí)行任何代碼。其核心功能是控制用戶瀏覽器點(diǎn)擊谷歌、雅虎網(wǎng)站的廣告牟利。

該病毒事件被公布后，相關(guān)公司迅速被公安機(jī)關(guān)查處。目前，火球病毒已停止活動(dòng)。

3.暗云木馬大肆傳播，格式化硬盤(pán)也無(wú)法清除

暗云木馬是迄今為止最復(fù)雜的木馬之一，曾經(jīng)感染過(guò)數(shù)百萬(wàn)電腦，它用了很多復(fù)雜的新技術(shù)來(lái)長(zhǎng)期潛伏在系統(tǒng)中，尤其是借助BootKit直接感染硬盤(pán)引導(dǎo)分區(qū)。

暗云木馬變種會(huì)將攻擊母體捆綁在游戲外掛或私服工具中，或者干脆假冒游戲外掛和私服工具，欺騙游戲玩家下載安裝，并通過(guò)聯(lián)網(wǎng)獲得攻擊指令。病毒作者可以非常靈活地控制中毒電腦，執(zhí)行任意操作。

暗云病毒通過(guò)聯(lián)網(wǎng)下載攻擊指令，再將攻擊代碼在內(nèi)存中運(yùn)行，并不在本地硬盤(pán)上生成文件完成破壞或攻擊目的。這是一種高超的攻擊技巧，本地找不到完成攻擊的文件，指令只在內(nèi)存中，隨時(shí)可以通過(guò)網(wǎng)絡(luò)更換攻擊方式。

金山毒霸監(jiān)測(cè)到的攻擊代碼是刷流量牟利，以及發(fā)起DDoS攻擊。

4.惠普隱藏鍵盤(pán)記錄器，竊取信息

今年5月，惠普筆記本被曝出在音頻驅(qū)動(dòng)中存在一個(gè)內(nèi)置鍵盤(pán)記錄器監(jiān)控用戶的所有按鍵輸入，這個(gè)按鍵記錄器會(huì)通過(guò)監(jiān)控用戶所按下的鍵來(lái)記錄所有的按鍵。

近期某部委下屬網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室已經(jīng)發(fā)布公告通報(bào)了惠普電腦存在隱藏鍵盤(pán)記錄器問(wèn)題。

研究人員指出，惠普的音頻驅(qū)動(dòng)文件中隱藏缺陷代碼 (CVE-2017-8360) 的漏洞，它不但會(huì)抓取特殊鍵，而且還會(huì)記錄每次按鍵并將其存儲(chǔ)在人類可讀取的文件中。

惠普公司是這樣說(shuō)的：“聲卡驅(qū)動(dòng)程序中部分調(diào)試代碼被錯(cuò)誤地保留下來(lái)，這是一個(gè)意外。這些代碼的目的是幫助我們調(diào)試、解決驅(qū)動(dòng)程序出現(xiàn)的問(wèn)題”。并表示，“我們希望未來(lái)不會(huì)再出現(xiàn)類似問(wèn)題?！?/p>

5.全國(guó)爆發(fā)軟件升級(jí)劫持攻擊，升級(jí)時(shí)被調(diào)包

國(guó)內(nèi)多款軟件在升級(jí)更新時(shí)，遭遇網(wǎng)絡(luò)流量劫持攻擊，用戶以為在升級(jí)，實(shí)際卻把病毒安裝到電腦上。

被偽裝的軟件沒(méi)有數(shù)字簽名，如下圖：

此次流量劫持攻擊影響多個(gè)省，攻擊者利用此次攻擊大量推廣安裝流氓軟件并從中獲益。

6.xshell 、CCleaner等工具被植入門(mén)后程序

今年8月，非常流行的服務(wù)器管理工具Xshell被發(fā)現(xiàn)安裝包植入病毒。據(jù)分析，該次病毒傳播高度懷疑是黑客入侵了Xshell相關(guān)開(kāi)發(fā)人員的系統(tǒng)，在源碼中植入后門(mén)，致使該公司發(fā)布的官方程序不幸?guī)Ф尽＠^而威脅所有使用Xshell管理的服務(wù)器安全。

隨后不久，安全專家發(fā)現(xiàn)，著名的系統(tǒng)清理軟件CCleaner官方開(kāi)發(fā)環(huán)境疑似被黑客入侵，在官方發(fā)行的軟件中植入后門(mén)，下載該軟件的用戶安裝后，電腦就會(huì)中毒。預(yù)計(jì)受影響的用戶高達(dá)220萬(wàn)，病毒會(huì)收集中毒電腦的隱私信息。

這兩起案例值得軟件開(kāi)發(fā)者高度關(guān)注，如果開(kāi)發(fā)者系統(tǒng)被入侵，會(huì)造成極為嚴(yán)重的后果：因官方發(fā)行的軟件帶有發(fā)行商的數(shù)字簽名，這些有簽名的軟件極易被系統(tǒng)和安全廠商判定為“可信”，大量用戶從官方網(wǎng)站下載軟件或更新軟件就會(huì)中毒。

7.瘋漲的比特幣帶來(lái)挖礦病毒災(zāi)難

2017年幾乎成為病毒挖礦年，這源于比特幣一年瘋漲了20倍，一枚比特幣與北京二環(huán)一平米的房子價(jià)值相當(dāng)。這極大地刺激了病毒木馬黑色產(chǎn)業(yè)，除了給手機(jī)、電腦安裝可以挖礦的病毒，網(wǎng)絡(luò)攝像頭、家用路由器、一些大流量的網(wǎng)站也紛紛中招，象著名的海盜灣網(wǎng)站、中國(guó)電信天翼校園客戶端等都曾被植入挖礦病毒。

挖礦病毒感染電腦后會(huì)產(chǎn)生刷廣告流量和挖礦兩種危害。

首先，病毒會(huì)創(chuàng)建一個(gè)隱藏的IE瀏覽器窗口，模擬用戶操作鼠標(biāo)、鍵盤(pán)點(diǎn)擊廣告，由于病毒屏蔽了廣告頁(yè)面的聲音，用戶難以發(fā)現(xiàn)自己已被挾持。其次，病毒會(huì)利用受害者電腦挖“門(mén)羅幣”，病毒挖礦時(shí)將大量占用CPU資源，電腦由此會(huì)變慢、發(fā)熱，用戶能聽(tīng)到電腦風(fēng)扇高速運(yùn)行產(chǎn)生的噪音。

當(dāng)網(wǎng)站被植入挖礦病毒，用戶只要使用瀏覽器訪問(wèn)到這個(gè)頁(yè)面，電腦就開(kāi)始挖礦。金山毒霸安全實(shí)驗(yàn)室還捕獲了劫持他人加密幣錢(qián)包的病毒，病毒之間為了錢(qián)包相互黑吃黑。

8.Windows激活工具被植入病毒“薅羊毛”

金山毒霸安全實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn)，國(guó)內(nèi)最流行的若干款Windows激活工具都被蓄意植入了“薅羊毛”病毒，“薅羊毛”病毒每天感染上萬(wàn)臺(tái)電腦。

病毒會(huì)將多個(gè)瀏覽器主頁(yè)鎖定為2345，在用戶網(wǎng)購(gòu)時(shí)強(qiáng)行劫持瀏覽器，偽造推廣業(yè)績(jī)賺取傭金。

當(dāng)用戶瀏覽到京東、淘寶、蘑菇街、唯品會(huì)、蘇寧、國(guó)美等電商網(wǎng)站時(shí)，并就會(huì)自動(dòng)在瀏覽器地址欄插入自己的推廣ID。這樣，只要用這臺(tái)電腦購(gòu)物，病毒作者就能從中賺取傭金。

病毒會(huì)用一個(gè)不可見(jiàn)的瀏覽器窗口模擬點(diǎn)擊視頻網(wǎng)站廣告鏈接，達(dá)到刷廣告流量的目的。受影響的視頻網(wǎng)站包括優(yōu)酷、愛(ài)奇藝、搜狐、PPTV等等。按單個(gè)廣告視頻點(diǎn)擊0.5元計(jì)算，該病毒每天僅靠虛假點(diǎn)擊可以騙取收入上萬(wàn)元。

在金山毒霸公布該病毒的技術(shù)報(bào)告及作者信息之后，病毒作者迅速關(guān)閉了控制服務(wù)器，清空了Github空間，銷聲匿跡了。

在金山毒霸公布小馬Windows激活工具帶毒之后 ，又有其他安全廠商爆出其他盜版激活工具同樣被植入病毒。網(wǎng)友在使用Windows、Office、Adobe全家桶等破解工具時(shí)，務(wù)必開(kāi)啟殺毒軟件保護(hù)。避免自己的電腦成為別人薅羊毛或挖礦的工具。

9.利用Office漏洞刻意構(gòu)造攻擊文檔進(jìn)行精準(zhǔn)攻擊

今年，一系列利用Office高危漏洞攻擊的案例不斷涌現(xiàn)，主要利用點(diǎn)：

2  CVE-2017-0199 :word在處理OLE2LINK對(duì)象時(shí)，對(duì)Content-Type處理不當(dāng)，造成遠(yuǎn)程執(zhí)行hta文件；

2  CVE-2017-8570 :ppt在處理Moniker對(duì)象時(shí)，會(huì)自動(dòng)激活該對(duì)象，導(dǎo)致sct腳本執(zhí)行；

2  CVE-2017-11826 :docx文檔中，在處理font標(biāo)簽不當(dāng)，造成的內(nèi)存破壞進(jìn)而結(jié)合堆噴射造成代碼執(zhí)行；

2  CVE-2017-8759 :在處理soap的location標(biāo)簽中，未考慮換行符，造成.net代碼注入，通過(guò)引入新的SOAP XML指定SOAP WSDL模塊解析完成代碼執(zhí)行；

2  CVE-2017-11882 :舊版的公式編輯器，存在棧溢出，由于沒(méi)有任何漏洞緩解策略，可通過(guò)改返回地址為程序內(nèi)WinExec函數(shù)進(jìn)而執(zhí)行代碼，常見(jiàn)利用方式有

a. 通過(guò)WebDAV

b.使用mshta

c.結(jié)合office的自動(dòng)釋放機(jī)制執(zhí)行

Office及Adobe Flash、PDF的高危安全漏洞，經(jīng)常被用來(lái)刻意構(gòu)造攻擊文件，對(duì)特定目標(biāo)進(jìn)行精準(zhǔn)攻擊。大部分網(wǎng)民對(duì)文檔攻擊缺乏認(rèn)知，安全軟件的防御往往不如針對(duì)EXE的攔截響應(yīng)快，攻擊者容易得手。

10.個(gè)人信息保護(hù)任重道遠(yuǎn)

2017年，仍然觀察到大量個(gè)人信息泄露事件。新華社的一篇報(bào)道曝光了多地反詐騙中心的調(diào)查結(jié)果：目前電信網(wǎng)絡(luò)詐騙案件 90％ 以上是違法分子靠掌握公民詳細(xì)信息進(jìn)行的精準(zhǔn)詐騙，從已破獲案件看，“內(nèi)鬼”監(jiān)守自盜和黑客攻擊仍是公民個(gè)人信息泄露的主要渠道。

2017年，許多年輕人為幾千元的數(shù)碼產(chǎn)品、幾百塊錢(qián)的化妝品卷入現(xiàn)金貸。參與借貸的人已不存在任何隱私，包括身份證、手機(jī)號(hào)、銀行卡號(hào)、學(xué)生證、學(xué)信網(wǎng)帳號(hào)、支付寶帳號(hào)等等絕不可以泄露給他人的信息，均拱手交給高利貸組織。隨之不斷出現(xiàn)“女大學(xué)生裸貸”、“某某學(xué)生借貸數(shù)十萬(wàn)被逼跳樓”之類的悲劇事件。

現(xiàn)金貸公司還會(huì)出于風(fēng)控目的近乎公開(kāi)的非法買(mǎi)賣個(gè)人信息，使用網(wǎng)絡(luò)爬蟲(chóng)抓取個(gè)人信息。隨著國(guó)家對(duì)現(xiàn)金貸的管制升級(jí)，大量現(xiàn)金貸公司業(yè)務(wù)停滯，破產(chǎn)倒閉者不在少數(shù)，這些組織和個(gè)人手里掌握的大量個(gè)人信息，隨時(shí)會(huì)威脅貸款人的信息安全。

個(gè)人信息保護(hù)需要安全廠商、國(guó)家機(jī)關(guān)、存儲(chǔ)數(shù)據(jù)的企業(yè)和組織，以及網(wǎng)民攜手聯(lián)防，僅靠任何單一的環(huán)節(jié)，并不能消除風(fēng)險(xiǎn)。