网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

该病毒从2018年12月14日开始至今已经更新迭代超过15个版本，持续更新内网横向传播攻击方法。从应急响应现场中我们发现绝大多数是由于没能补上“永恒之蓝漏洞”而导致被反复攻陷。

2) 弱口令爆破攻击

弱密码爆破攻击在入侵内网以及作为横向扩散的手段都具有奇效。我们对部分已检测的服务器做抽样分析发现，弱密码爆破攻击集中发生在工作时间之外（早上9点之前，晚上6点之后），如下图所示。

3) 文件共享

从应急响应现场中我们发现，文件共享目录、可移动介质仍然是蠕虫病毒、感染型病毒、office文档病毒在内网传播的感染重灾区。这三类病毒一般都以窃取敏感信息为主要目的。

蠕虫具备自复制能力，可以将自身伪装为正常文件诱导用户，在不经意间便触发感染所有可访问的可移动介质与文件共享目录。感染型病毒虽然不具备自复制能力，但会感染所有可执行程序，但同样能通过文件共享进行传播。

而office文档病毒一般会通过感染Normal模板或者加载项进而感染每一个office文档，如果该文档通过可移动介质与文件共享目录进行分享，则会导致横向传播。

2.  持久化驻留方式

1) 常驻于注册表相关启动位置或启动文件夹

常驻于这两个位置是最为简单方便的，但是也是最容易被拦截查杀的。因此病毒为了实现简单方便的常驻且能达到避免查杀的效果，通常会从免杀角度进一步对病毒进行优化，包括但不限于加壳混淆、增肥对抗等。

从每日拦截的写入/执行数据来看，被写入启动项的恶意脚本类型文件的占比最高，其次是恶意可执行文件，这两种类型的文件格式大部分都进行了混淆增肥对抗。

在恶意脚本类型文件中，最常用的脚本格式是VBS（占比为38.3%），如下图所示。

2) 常驻于任务计划

通过将自身写入任务计划实现常驻，相对于注册表与启动文件夹要更为隐蔽和灵活。而相对于病毒本体的常驻，利用系统白文件实现远程下载的方式更为灵活隐蔽。白利用远程下载的技巧常被利用于任务计划中。

今年上半年最常利用任务计划实现常驻的病毒家族是“永恒之蓝下载器”，也被称作“DtlMiner”，占比达78.68%，具体如下图所示。

被恶意利用的系统组件数量占比如下图所示，PowerShell利用占比最高，达84.2%：

“永恒之蓝下载器”在更新迭代的多个版本中，曾多次对抗杀软，以躲避杀软对其任务计划项的拦截与查杀。

例如，在对抗杀软拦截层面，迭代为以“/xml”参数完成任务计划配置的加载，在对抗杀软查杀层面，迭代为对特征字符串的切分拼接。

除此之外，由于Windows平台下的系统组件的容错性较高，比如Regsvr32、PowerShell等，一些病毒从容错性的角度对执行的Regsvr32、PowerShell命令进行免杀处理。

随着相关系统组件的更新迭代，如果其容错性再提高，则可能会出现更多针对其容错性的复合利用。

3) 常驻于WMI类属性

这种启动方式要比上述的几个启动位置更加隐蔽，从我们监测到的数据里有接近23%的WMI类属性被写入了恶意脚本、被编码过的可执行程序与shellcode，其中就包含了臭名昭著的WannaMine和MyKings病毒家族的恶意代码。从目前收集的数据来看，WMI类属性的滥用主要被用于恶意推广，包括桌面恶意推广快捷方式（占43.7%），具体数据如下图所示。

(三)  供应链攻击

供应链是涉及生产、分配、处理、维护货物的活动系统，以便将资源从供应商转移到最终消费者手中。在互联网行业中，该供应链环节也完全适用。

一个软件从供应商到消费者使用，会经历开发、分发安装、使用、更新的环节，而供应链攻击则是黑客通过攻击各环节的漏洞，植入恶意病毒木马，利用正常软件的正常分发渠道达到传播木马的目的。

由于供应链攻击对于被攻击者而言没有任何感知，因此一直被黑客所青睐。以往供应链攻击往往多见于APT（高级持续性威胁）攻击，而在近几年，供应链攻击趋势开始有稳定增长，攻击事件层出不穷，日常网络攻击中越来越多的见到供应链攻击的手段。

在2018年年度企业安全总结报告中，腾讯安全御见威胁情报中心预测针对软件供应链的攻击会更加频繁。

在2019上半年，以“永恒之蓝”木马下载器为典型的供应链攻击“大展身手”，尽管爆发了有半年之多，但是如今依然有不少企业深受其害。

1. “永恒之蓝”木马下载器案例