瑞星2020年中国网络安全报告

北京瑞星网安技术股份有限公司

1 恶意软件与恶意网址

1.1 恶意软件

1.1.1 2020年病毒概述

1) 病毒疫情总体概述

2020年瑞星“云安全”系统共截获病毒样本总量为1.48亿个，病毒感染次数为3.52亿次，病毒总体数量比2019年同期上涨43.71%.报告期内，新增木马病毒为7 728万个，为第一大种类病毒，占到总体数量的52.05%；排名第二的为蠕虫病毒，数量为2 981万个，占总体数量的20.08%；感染型病毒、灰色软件、后门等分别占到总体数量的12.19%，9.59%，3.75%，位列第三、第四和第五，除此以外还包括漏洞攻击和其他类型病毒.2020病毒类型统计如图1所示.

2) 病毒感染地域分析

报告期内，广东省病毒感染人次为3 427万次，位列全国第一，其次为山东省及北京市，分别为2 787万次及2 452万次.2020年病毒感染地域分布Top10如图2所示.

图2 2020年病毒感染地域分布Top10

1.1.2 2020年病毒Top10

根据病毒感染人数、变种数量和代表性综合评估，瑞星评选出2020年1—12月病毒Top10，如表1所示.

表1 2020年病毒Top10

1.1.3 勒索软件和挖矿病毒

勒索软件和挖矿病毒在2020年依旧占据着重要位置，报告期内瑞星“云安全”系统共截获勒索软件样本156万个，感染次数为86万次，病毒总体数量比2019年同期下降了10.84%；挖矿病毒样本总体数量为922万个，感染次数为578万次，病毒总体数量比2019年同期上涨332.32%.

瑞星通过对捕获的勒索软件样本进行分析后发现，GandCrab家族占比67%，成为第一大类勒索软件，其次是Eris家族，占到总量的13%，第三是LockScreen家族，占到总量的2%.2020年勒索软件家族分类如图3所示.

图3 2020年勒索软件家族分类

勒索软件感染人次按地域分析，北京市排名第一，为19万次，第二为山东省7万次，第三为广东省6万次.2020年勒索软件感染地域分布Top10如图4所示.

图4 2020年勒索软件感染地域分布Top10

挖矿病毒在2020年异常活跃，瑞星根据病毒行为进行统计，评出2020年挖矿病毒Top10，如图5所示.

图5 2020年挖矿病毒Top10

挖矿病毒感染人次按地域分析，新疆以69万次位列第一，广东省和山东省分别位列第二、第三位，均为45万次.2020年挖矿病毒感染地域分布Top10如图6所示:

图6 2020年挖矿病毒感染地域分布Top10

1.2 恶意网址

1.2.1 2020年全球恶意网址概述

2020年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量为6 693万个，其中挂马类网站为4 305万个，钓鱼类网站为2 388万个.美国恶意URL总量为2 443万个，位列全球第一，其次是中国598万个和德国200万个，分别排在第二、第三位.2020年全球恶意URL地域分布Top10如图7所示.

图7 2020年全球恶意URL地域分布Top10

1.2.2 2020年中国恶意网址概述

报告期内，瑞星“云安全”系统所截获的恶意网址(URL)在中国范围内排名：第1位为香港，总量为61万个，其次为河南省和江苏省，均为55万个.2020年中国恶意URL地域分布Top10如图8所示.

图8 2020年中国恶意URL地域分布Top10

2 企业安全

2.1 2020年重大企业网络安全事件

1) 2020年勒索软件攻击已突破历史最高点;

2) APT组织利用新冠相关话题为诱饵对全球各组织实施攻击;

3) 7 000多名武汉返乡人员信息遭泄露;

4) 中国电信超2亿条用户信息被卖;

5) 微盟某运维人员“删库”，致微盟损失巨大;

6) 黑客组织利用国内某VPN设备漏洞攻击我国驻外机构及部分政府单位;

7) 青岛胶州6 000余人就诊名单泄露，3人被行拘;

8) 新型PC勒索病毒“WannaRen”开始传播，赎金为0.05个比特币;

9) 尼日利亚网络钓鱼组织对国内企业进行钓鱼攻击;

10) Twitter公司员工被钓鱼，致奥巴马、盖茨推特账号发布欺诈消息;

11) Windows XP源代码泄露;

12) 英特尔内部数据泄露，涉及芯片机密和知识产权;

13) 美国百万选民数据泄露;

14) 330万台老年机被植入木马，数百万条公民个人信息遭贩卖;

15) 富士康100 GB数据被盗，黑客勒索2.2亿元;

16) 美国网络安全公司FireEye遭黑客组织入侵，敏感工具被窃;

17) 全球数家重要机构因SolarWinds供应链攻击而被黑客入侵.

2.2 2020年CVE漏洞利用率Top10

报告期内，从收集到的病毒样本分析来看攻击者利用最多的漏洞还是微软Office漏洞.CVE-2017-11882，CVE-2017-0199等因稳定性和易用性仍一直是钓鱼邮件等攻击者使用的最爱.攻击者利用Office漏洞投递大量的Emotet，AgentTesla，TrickBot等间谍软件、银行木马.全球的外贸行业深受其害，我国的对外贸易企业众多，大量企业被攻击，造成巨大经济损失.

CVE-2017-0147 Windows SMB协议MS17-010永恒之蓝漏洞在2017年爆发，虽然过去将近3年，但仍是目前被病毒利用得最多的安全漏洞之一.虽然暴露在互联网中存在该漏洞的终端设备数量较少，但是在企业内网环境中还有大量的终端设备该漏洞尚未修复，利用永恒之蓝的挖矿DTLMiner，EternalBlueMiner等各种各样的挖矿病毒仍然在大量内网环境中传播发展.

瑞星根据漏洞被黑客利用程度进行分析，评选出2020年1—12月漏洞Top10，2020年CVE漏洞利用率Top10如图9所示:

图9 2020年CVE漏洞利用率Top10

2.3 2020年勒索病毒分析

2.3.1 勒索病毒概述

勒索病毒从早期针对普通用户的攻击转变为针对中大型政府、企业、机构.勒索事件逐年增长，攻击也越来越具有针对性和目标性.

2020年，据全球企业调查和风险咨询公司Kroll的报道，勒索软件是2020年最常见的威胁.其可能通过网络钓鱼电子邮件、漏洞、开放式远程桌面协议(RDP)和Microsoft专有的网络通信协议等来发起攻击.如今，勒索软件几乎都采用双重勒索模式进行索取赎金：在入侵目标后窃取企业数据，再使用勒索病毒进行加密.黑客以公开窃取到的数据为要挟，进一步胁迫受害群体缴纳赎金.据统计，2020年勒索软件的攻击事件已突破历史最高点.

勒索病毒影响的行业甚广，传统企业、教育、医疗、政府机构遭受攻击最为严重，互联网、金融、能源也遭到勒索病毒攻击影响.

2.3.2 勒索病毒事件

2020年3月，进行冠状病毒疫苗现场试验的药物测试公司(Hammersmith Medicines Research, LTD HMR)遭受勒索病毒Maze攻击.在该公司拒绝支付赎金之后，Maze勒索软件运营商在其泄露网站上发布了一些被盗文件.黑客窃取的记录包含公司扫描时收集的文件和结果的扫描副本，包括姓名、出生日期、身份证件、健康调查表、同意书、全科医生提供的信息以及一些检测结果.

2020年4月，葡萄牙跨国能源公司(天然气和电力)(Energias de Portugal, EDP)遭Ragnar Locker勒索软件攻击，赎金高达1 090万美元.攻击者声称已经获取了公司10 TB的敏感数据文件，如果EDP不支付赎金，那么他们将公开泄露这些数据.根据EDP加密系统上的赎金记录，攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息.

2020年6月，美国加州大学遭受Netwalker勒索软件攻击.由于被加密的数据对于所从事的一些学术工作非常重要，因此，该学校向勒索攻击者支付大约114万美元赎金，以换取解锁加密数据的工具.

2020年6月，REvil(Sodinokibi)勒索软件入侵了巴西的电力公司Light S.A.，并要求其提供1 400万美元的赎金.Light S.A.公司承认发生了该入侵事件，表示黑客入侵了系统，并对所有Windows系统文件进行加密.

2020年7月，西班牙国有铁路基础设施管理公司ADIF遭受了勒索软件REvil的攻击.攻击者声称窃取了800 GB的机密数据，包括ADIF的高速招聘委员会合同、财产记录、现场工程报告、项目行动计划、关于客户的文件等等.

2020年8月，BleepingComputer报道了佳能遭受名为Maze勒索软件团伙攻击的事件.在Maze的网站上，勒索软件团伙称其公布了攻击期间从佳能窃取的5%的数据.发布的文档是一个名为“STRATEGICPLANNINGpart62.zip”的2.2 GB的压缩文件，其中包含营销资料和视频，以及佳能网站相关的文件.

2020年8月，Maze勒索软件团伙入侵了东南亚的私营钢板公司(Hoa Sen Group, HSG)，并声称拥有公司的敏感数据.在Maze网站上，勒索软件团伙声称已发布了公司被泄露总数据的5%.例如HSG的多份求职信、屏幕快照、简历、学术文件等等.

2020年9月，智利三大银行之一的Banco Estado银行受到REvil勒索软件的网络攻击，使得其相关分行被迫关闭.

2020年10月，勒索软件组织Egregor对外声称成功入侵了育碧和Crytek两大游戏公司，获得了包括《看门狗：军团》源代码在内的诸多内部数据.之后该勒索组织公布了这款游戏的源代码，并在多个专用追踪器上放出了下载链接，源代码大小为560 GB.

2020年11月芯片制造商Advantech受到Conti勒索软件攻击，要求其提供750比特币赎金，约合1 400万美元，以解密Advantech被加密的文件并删除被窃数据.为了让Advantech确认数据确实已经被盗，攻击者在其数据泄露网站上发布了被盗文件的列表.根据勒索信息声称，在网站上公开的3.03 GB数据只占全部被窃数据的2%.

2020年12月，墨西哥的富士康工厂遭到了“DoppelPaymer”勒索软件的攻击，攻击者窃取大量未加密文件，并对相关设备进行加密并勒索赎金3 400万美元.

2.3.3 2020年1—12月勒索病毒Top3

在2020年期间有不少往年出现过的勒索病毒也处于高度活跃的状态，其中有GIobeImposter,CrySis,Stop,Maze，Egregor等.以下将根据感染量、威胁性筛选出影响较大的年度Top3勒索病毒进行概要性总结.

2.3.3.1 Sodinokibi勒索病毒

Sodinokibi勒索病毒(又称REvil)于2019年4月下旬首次发现，最初通过Oracle WebLogic漏洞传播.自从CandCrab于2020年6月宣布“退休”以来，新生勒索病毒Sodinokibi便以部分代码相似度高以及分发途径重叠等一直被视为GandCrab团队的新项目，或称为其接班人.Sodinokibi被作为一种“勒索软件即服务”，它依赖于子公司分发和营销勒索软件.

Sodinokibi的攻击目标涉及领域较广，医疗机构、政府单位、大中型企业均有感染发生.Sodinokibi采用椭圆曲线(ECC)非对称加密算法，加密逻辑严谨,在没有攻击者私钥的情况下暂不能解密.

2.3.3.2 Maze勒索病毒

Maze勒索病毒至少自2019年就开始活跃，其最初通过在挂马网站上的漏洞攻击工具包以及带恶意附件的垃圾邮件进行传播，后来开始利用安全漏洞专门针对大型公司进行攻击.2020年多家大型公司如：美国半导体制造商MaxLinear、药检公司HMR、佳能美国公司、越南钢铁企业HSG、半导体大厂SK海力士以及韩国LG集团等都遭受到Maze病毒勒索攻击.并且因Maze勒索方式：如果受害者不付款，攻击者就会公开窃取数据，其中部分拒绝支付赎金的公司的一些数据在Maze的“泄密网站”上被公布.而且，许多其他勒索软件也开始效仿这种勒索方式.

Maze勒索病毒的加密模式采用对称加密和非对称加密算法的结合方式,并且被其加密后的每个文件后缀名都是随机生成的，并不相同.如需解密，需要结合攻击者的RSA私钥.

2.3.3.3 Egregor勒索病毒

Egregor勒索病毒于2020年9月新被披露，据报道，其与Sekhmet勒索软件和Maze勒索软件存在关联，其目标包括大型零售业者及其他组织.2020年多家大型企业政府组织等都遭受到Egregor病毒勒索攻击，如育碧和Crytek两大游戏公司、跨国零售公司Cencosud以及加拿大温哥华公共交通机构TransLink等.为了从受害者处获得赎金，Egregor勒索软件运营者威胁受害者：如果不付款，攻击者就会公开窃取数据，通知媒体公开企业遭受入侵的消息.除此之外，根据Egregor的勒赎通知，受害者支付赎金不仅能够让资料解密，攻击者还会提供建议来确保公司网路的安全.

Egregor勒索软件主要使用基于流密码ChaCha和非对称密码RSA的混合加密方案，解密文件需要作者的RSA私钥，文件加密逻辑完善，因此在没有攻击者私钥的情况下暂不能解密.

2.4 2020年供应链攻击分析

2.4.1 供应链攻击概述

近年来,随着黑客团伙等利用供应链攻击作为安全突破口，对各大政府企业机构组织所进行的网络攻击安全事件不断发生,供应链攻击已成为2020年最具影响力的高级威胁之一.供应链攻击一般利用产品软件官网或者软件包存储库等进行传播.例如：黑客通过攻陷某知名官网的服务器，篡改其服务器上所提供的软件源代码，使得这些软件在被用户下载后安装时触发恶意行为.这些携带恶意代码的软件来自受信任的分发渠道，携带着相应的供应商数字签名，使得恶意程序的隐蔽性大大增强，安全检测难度加大.

2.4.2 重大供应链攻击事件分析

2020年12月，APT组织UNC2452所使用的SolarWinds供应链攻击就给全球带来了巨大影响.据悉，大约有超过250家美国联邦机构和企业受到影响，其中包括美国财政部、美国NTIA、美国安全公司FireEye等，可以算得上是2020年最具影响力的供应链攻击事件.

该供应链事件是源于软件提供商SolarWindsSolarWinds旗下的Orion网络管理软件源码遭黑客篡改，黑客在名为SolarWinds.Orion.Core.BusinessLayer.dll的文件中添加了Sunburst后门代码，使得Sunburst后门带有有效的数字签名：Solarwinds Worldwide，LLC.

较原来正常的SolarWinds.Orion.Core.BusinessLayer.dll文件相比，恶意DLL文件中的Sunburst后门代码存于新增的OrionImprovementBusinessLayer类中.

Sunburst后门可通过执行远控指令执行窃取数据，下发恶意代码等操作，并且因SolarWinds Orion软件传播范围极广，使得此次供应链事件波及的范围也很广.

供应链攻击危害逐渐显现，由于该攻击检测难度大、持续性长、攻击面广、影响深远，企业或个人用户应当加强漏洞检测水平，提高安全响应能力，努力建设良好的软件供应链生态.

3 趋势展望

3.1 后疫情时代网络安全面临新的挑战

2020年新冠病毒袭击全球，为了控制疫情的扩散，各国采取了各种措施控制人群的聚集.在新冠病毒的影响下，远程办公、远程教育等线上生产和生活方式迅速发展，在带来新的经济发展机遇的同时，也给网络安全领域带来诸多全新的挑战.后疫情时代远程办公的发展必将会加速零信任网络安全产品的落地与发展.

3.2 勒索软件依旧流行，勒索方式向多重勒索方向发展

2020年勒索病毒仍是最常见的威胁之一，勒索病毒勒索途径也发生了一些变化，从以往的单纯加密用户数据勒索赎金解密，逐渐增加了在攻击过程中窃取企业隐私数据和商业信息，威胁不交付赎金则会公布企业内部私用数据的方式进行勒索.这种以发布企业隐私数据和商业信息的勒索方式造成的危害巨大，企业不仅要面临隐私数据泄露，还要面临相关法规、财务和声誉受损的影响，这大大增加了攻击者勒索的成功率.

双重勒索攻击模式已经成为现今勒索软件常使用的攻击手段，企业在遭受勒索攻击后面临的损失将更加巨大，建议企业或个人用户提高风险防范意识，做好基础安全防护工作，对重要数据进行定期备份.

3.3 垃圾邮件、钓鱼邮件攻击仍是需要重点关注的安全领域

最近几年国内经济迅猛发展，加上国家一带一路的建设，从事外贸进出口的企业众多，在对全球2020年钓鱼活动跟踪过程中我们发现国内存在着大量的受害企业，大量企业长时间被攻击都没有发现.攻击者利用国际贸易通过邮件交流沟通这一特点，使用大量与贸易相关主题的钓鱼邮件投递各种后门间谍软件，如Emotet,AgentTesla,TrickBot等.由于攻击者采用了多种技术手段规避垃圾邮件网关和终端杀毒软件的检测，使得大量钓鱼邮件成功投递到用户环境，因此大量用户凭据信息被窃取，也为攻击者接下来的诈骗活动打开了方便之门，形成巨大的安全隐患.国内很多从事外贸行业的企业被攻击，造成巨大的经济损失.这种以外贸行业为主要攻击对象的钓鱼攻击活动将会一直持续进行.

3.4 供应链攻击危害逐渐显现

近年来,黑客团伙利用供应链攻击作为安全突破口，对各大政府企业机构组织所进行的网络攻击安全事件不断发生,供应链攻击已成为2020年最具影响力的高级威胁之一.供应链攻击有着“突破一点，伤及一片”的特点，又因其隐蔽性强、检测率低，成为具有国家背景的APT组织常常使用的攻击手段之一.供应链攻击检测难度大、持续性长、攻击面广、影响深远，企业或个人用户应当加强漏洞检测水平，提高安全响应能力，努力建设良好的软件供应链生态.

3.5 信息泄露依然形势严峻

2020年，国内外频繁曝出数据泄露事件，受影响的用户少则数千万，多达上亿.不仅个人用户受到严重影响，金融、教育、医疗、科技等行业也因数据泄露遭受损失.目前，信息泄露方面的网络安全形势已日趋严峻，建议个人用户提高数据安全意识，企业强化数据安全建设，做好用户隐私保护.