亚信安全研发防病毒服务器借助“海啸”僵尸网络攻击挖矿病毒

2020年第二季度，虽然新冠疫情在国内的防控形势已经由阴转晴，但在全球依然呈现爆发趋势，并给网络安全领域带来了深远的影响。亚信安全最近发布的《2020 年第二季度网络安全威胁报告》显示，由于疫情下远程办公的普及，越来越多的网络犯罪分子瞄准视频应用程序传播恶意软件；而在新冠病毒防控常态化的同时，“新冠研究与调查”更成为社交工程攻击的热门“诱饵”，带来更为严峻的安全威胁。亚信安全建议，企业用户要培训员工提高警惕，谨防海外不法攻击借助“新冠”侵入网络，并部署周全的网络安全解决方案。

“跨越”物理界限 新冠影响数字世界

提起病毒，我们往往会想到两种事物，一种是生物意义上的病毒，另外一种则是计算机病毒。在平时，两者泾渭分明，但在新冠这种特大型人类灾难面前，我们可以清晰的看到现实世界和数字世界是如何相互交织的：亚信安全发现，在第二季度，由于新冠在全球的快速爆发，以新冠为攻击肇因与诱饵的网络攻击事件快速增长。

针对视频应用的攻击是最明显的例子：远程办公中，视频会议应用程序成为不可缺少的软件之一。网络不法分子也瞄准了这一机会，除了对视频会议应用程序进行攻击之外，还会将挖矿病毒与 Zoom 等视频会议应用程序捆绑，一旦用户安装这类软件，后台就会悄悄下载恶意挖矿病毒。

此外，报告还显示，越来越多的不法分子抓住人们对于新冠病毒研究与调查的关注，利用热点话题发动“钓鱼”攻击。在本季度，亚信安全截获了 LemonDuck 无文件挖矿病毒，该病毒能够绕过老版本的防护措施，伪装成“新冠病毒”相关邮件，诱导收件人点击邮件附件，导致感染并继续传播病毒。除了挖矿病毒外，本季度还截获了利用“新冠疫情”蹭热点的新型 Unicorn 勒索病毒，为了掩人耳目，此病毒还会在攻击成功后弹出“新冠疫情” 相关信息图片。

【勒索病毒中携带的新冠疫情相关图片】

通过对近期攻击事件的分析，亚信安全指出，新冠是 2020 年对世界影响最大的事件，同样也深度改变了数字世界，影响了网络攻防的“战场”，网络不法分子更多的利用了新冠带来的热度，来制造社交工程“诱饵”。对于国内用户来说，虽然与新冠有关的直接网络攻击有所降低，但我们仍然要防范这些风险的死灰复燃，并及时采取相应防范措施。

勒索病毒与挖矿病毒依然肆虐

勒索病毒与挖矿病毒可以说是“老熟人”了，各类安全事件一直不乏他们活跃的身影：在第二季度，亚信安全共拦截挖矿病毒 7，963 次，其月检测量呈递增趋势，不仅老病毒出现频繁更新，而且还出现了多个新型挖矿病毒。这其中包括通过 WMI 无文件挖矿实现双平台感染的病毒，利用“新冠病毒”邮件传播的 LemonDuck 无文件挖矿病毒，以及借助“海啸”僵尸网络发动DDoS 攻击的挖矿病毒。

【亚信安全挖矿病毒检测数量图】

勒索病毒在本季度也衍生出大量的变种，包括 GlobeImposter、WannaRen、Sodinokibi勒索病毒的全新变种都频繁出现，这些变种为了锁住目标主机，勒索赎金，穷尽所能绕过网络安全软件的封堵。其中，本季度的热门勒索病毒 GlobeImposter 的最新变种 C4H 通常会利用 RDP/SMB 暴力破解在内网扩散并投放，在进入内网后通过多种方法获取登录凭证，并在内网横向渗透传播。

目前，亚信安全防病毒服务器（OSCE）的行为监控功能已经可以有效拦截上述病毒，亚信安全高级威胁发现系统 TDA 则可以准确定位到下载恶意病毒的主机，阻止其后续的横向渗透行为。亚信安全认为，阻止这些病毒传播的第一道关口往往是邮件、网页、社交软件，用户要养成良好的网络安全习惯，不要随意打开安全性不明的邮件或是网站。此外，企业用户最好能够通过访问控制策略，限制外部对于关键业务数据的访问，通过补丁管理、安全准入等机制，尽可能降低漏洞攻击风险。

除此之外，亚信安全第二季度安全报告还揭示了以下动态：

REMCOS 远控木马、LokiBot 间谍木马和 EMOTET 银行木马等著名木马家族在本季度再度活跃，并给金融机构带来巨大威胁。

PE 病毒数量在所有检测病毒类型中所占比重最大，占到总检测数量的 26%，其检测数量达到 5，734，382 次。在具体病毒检测排名中，检测数量排名第一的则是 EXPL_CPLNK.SM。

截止到本季度，亚信安全对于安卓 APK 处理数量累计达到 10，170 万个，保持了月处理数量持续上升的趋势。

本季度通过 WEB 传播的恶意程序中，.EXE 类型的可执行文件占总数的 83%，居首位。与上季度相比，略有减少。
责任编辑:pj