概述

《火絨安全2023年終端安全洞察報(bào)告》以“火絨威脅情報(bào)系統(tǒng)”為統(tǒng)計(jì)基礎(chǔ)，匯總梳理2023全年終端攻擊威脅態(tài)勢(shì)。希望為個(gè)人用戶和企業(yè)客戶提供更真實(shí)、更直觀、更全面的終端威脅感知，幫助大家提高風(fēng)險(xiǎn)預(yù)防意識(shí)，有效采取防御措施應(yīng)對(duì)潛在終端安全威脅。

l火絨安全產(chǎn)品共攔截終端攻擊37.35億次，下半年攻擊逐漸減少并進(jìn)入平緩期。

l黑客主動(dòng)向全網(wǎng)投放的病毒中，感染型病毒占32%、木馬病毒占22%、蠕蟲(chóng)病毒占19%。其中，感染型病毒已感染數(shù)百萬(wàn)終端。

l銀狐病毒家族成為年度最活躍家族，最早可以溯源到2022年底，2023年開(kāi)始活躍，呈現(xiàn)眾多變種和傳播形式。

l火絨產(chǎn)品共提示軟件安裝8.61億次，除了常見(jiàn)軟件，殺毒軟件、瀏覽器、辦公軟件、游戲類軟件排名靠前。

l火絨安全技術(shù)人員協(xié)助處理的個(gè)人終端問(wèn)題中，勒索病毒已經(jīng)僅次于內(nèi)核級(jí)病毒，成為二號(hào)威脅，個(gè)人用戶切莫掉以輕心。

l近三年數(shù)據(jù)顯示，勒索攻擊已經(jīng)超過(guò)挖礦病毒，成為企業(yè)安全主要威脅來(lái)源，且數(shù)量遠(yuǎn)超其他病毒威脅。

終端攻擊趨勢(shì)

“火絨威脅情報(bào)系統(tǒng)”監(jiān)測(cè)情況顯示，2023年火絨安全產(chǎn)品共攔截終端攻擊37.35億次，下半年攻擊逐漸減少并進(jìn)入平緩期。從全國(guó)范圍來(lái)看，廣東、江蘇、山東成為易受惡意攻擊地區(qū)，其次為浙江、四川、福建、河南、北京、湖北、湖南。

2023年黑客主動(dòng)向全網(wǎng)投放的病毒中，感染型病毒占32%、木馬病毒占22%、蠕蟲(chóng)病毒占19%，三者仍然是終端安全的主要病毒威脅來(lái)源。其中，感染型病毒主要來(lái)自Synares、Virut、Sality、Ramnit四個(gè)家族，已感染數(shù)百萬(wàn)終端。

由于感染型病毒具備隱蔽性、潛伏性等特征，往往難以分辨，用戶可通過(guò)兩種方式判別：一是看到以“Virus”開(kāi)頭的火絨報(bào)毒提示，直接查殺即可（火絨查殺不會(huì)損壞程序、文檔）。二是需要警惕看似正常的軟件被報(bào)毒，其中很可能存在感染型病毒。

銀狐病毒活躍

銀狐病毒家族最早可以溯源到2022年底，2023年開(kāi)始活躍，呈現(xiàn)眾多變種和傳播形式。最常見(jiàn)的是，該病毒以國(guó)內(nèi)企業(yè)的管理、財(cái)務(wù)、銷(xiāo)售人員為主要目標(biāo)，偽裝成帶有關(guān)鍵詞的文件，誘騙用戶點(diǎn)擊運(yùn)行。黑客則可以遠(yuǎn)程控制受害者的終端，監(jiān)控電腦使用情況，并伺機(jī)盜取用戶敏感數(shù)據(jù)及財(cái)產(chǎn)信息。根據(jù)火絨威脅情報(bào)系統(tǒng)的梳理，2023年銀狐病毒及其重要變種的時(shí)間線為：

黑客通常利用釣魚(yú)郵件、通訊軟件、偽造軟件官網(wǎng)等手段，將后門(mén)病毒植入目標(biāo)系統(tǒng)，收集敏感信息并執(zhí)行其他惡意模塊，以對(duì)受害者電腦進(jìn)行遠(yuǎn)程控制和橫向滲透，隨后發(fā)起DDoS攻擊和勒索攻擊等惡意行為，給用戶造成財(cái)產(chǎn)損失。銀狐病毒的攻擊流程，如下圖所示：

彈窗進(jìn)入平緩期

互聯(lián)網(wǎng)彈窗廣告作為公眾詬病較集中的互聯(lián)網(wǎng)問(wèn)題，國(guó)家相關(guān)部門(mén)于近兩年陸續(xù)發(fā)布管理規(guī)定，2022年9月施行的《互聯(lián)網(wǎng)彈窗信息推送服務(wù)管理規(guī)定》、2023年5月施行的《互聯(lián)網(wǎng)廣告管理辦法》，分別強(qiáng)化了對(duì)互聯(lián)網(wǎng)彈窗的約束力度，同時(shí)加大了對(duì)廣告參與主體違法行為的懲戒力度。

“火絨威脅情報(bào)系統(tǒng)”數(shù)據(jù)顯示，2023年火絨安全產(chǎn)品共攔截（不含用戶手動(dòng)攔截）11.15億次彈窗廣告，明顯比去年減少一半，且各月總量持平，特殊促銷(xiāo)時(shí)間節(jié)點(diǎn)并未出現(xiàn)明顯波動(dòng)情況。

軟件安裝攔截

軟件捆綁安裝也是互聯(lián)網(wǎng)用戶經(jīng)常遇到的問(wèn)題之一，其花樣百出、防不勝防，用戶稍有不注意則下載到若干無(wú)用軟件，隨之而來(lái)的就是各種廣告彈窗、網(wǎng)頁(yè)篡改、系統(tǒng)卡頓、內(nèi)存不足等一系列問(wèn)題，甚至存在個(gè)人隱私、財(cái)產(chǎn)信息泄露風(fēng)險(xiǎn)。

為了有效減少用戶在不知情的情況下被安裝不需要的軟件的風(fēng)險(xiǎn)，火絨產(chǎn)品會(huì)對(duì)曾經(jīng)被捆綁安裝的軟件進(jìn)行識(shí)別，并及時(shí)提示用戶。2023年，火絨產(chǎn)品共提示軟件安裝8.61億次，除了常見(jiàn)軟件，殺毒軟件、瀏覽器、辦公軟件、游戲類軟件排名靠前，而在2022年，閱讀翻譯類工具則被攔截較多。

微軟系統(tǒng)漏洞

2023年，火絨安全產(chǎn)品共攔截2.26億次漏洞攻擊，其中攔截1.67億次微軟系統(tǒng)漏洞攻擊，攔截1317萬(wàn)次Web漏洞攻擊。

微軟去年對(duì)外披露了1374個(gè)漏洞，包含高危漏洞88個(gè)，嚴(yán)重漏洞859個(gè)。遠(yuǎn)程執(zhí)行代碼漏洞一旦被成功利用后，攻擊者能夠在目標(biāo)計(jì)算機(jī)上遠(yuǎn)程執(zhí)行任意代碼，對(duì)用戶形成嚴(yán)重的安全風(fēng)險(xiǎn)。

Web漏洞攻擊

2023年特別是上半年Web漏洞攻擊持續(xù)上漲，疫情期間越來(lái)越多的企業(yè)加速數(shù)字化轉(zhuǎn)型的步伐，新系統(tǒng)、新軟件、新技術(shù)不斷被應(yīng)用，其中漏洞被利用風(fēng)險(xiǎn)隨之增長(zhǎng)。此外，CVE-2017-10271、CNVD-2021-30167、CVE-2007-1036、CVE-2019-2725連續(xù)多年成為易被利用的Web漏洞，針對(duì)這些舊漏洞，外界擁有特定開(kāi)發(fā)的漏洞利用代碼或工具，黑客更方便拿來(lái)攻擊未更新修復(fù)的目標(biāo)。

個(gè)人終端應(yīng)急服務(wù)

根據(jù)”火絨在線支持和響應(yīng)中心“處理的個(gè)人終端問(wèn)題顯示，個(gè)人終端常見(jiàn)病毒中，內(nèi)核級(jí)病毒占40%、勒索病毒占31%、流氓軟件占13%。內(nèi)核級(jí)病毒（Rootkit）一直是困擾用戶的頭號(hào)病毒威脅，其主要被用于劫持用戶流量?；鸾q安全2023年發(fā)布多篇病毒報(bào)告，揭示了Rootkit病毒利用傳奇私服、天龍八部游戲私服，劫持用戶訪問(wèn)的網(wǎng)頁(yè)到指定網(wǎng)站，并進(jìn)行信息收集和數(shù)據(jù)篡改等惡意活動(dòng)。

勒索病毒已經(jīng)成為個(gè)人終端安全二號(hào)威脅，個(gè)人用戶切莫掉以輕心，一次鏈接點(diǎn)擊、一次文件下載，都有可能進(jìn)入黑客的圈套。

從勒索病毒類型來(lái)看，個(gè)人終端和企業(yè)終端遭遇的勒索病毒主要來(lái)自TellYouThePass、Phobos、Mallox三大家族：

l TellYouThePass勒索軟件家族在國(guó)內(nèi)出現(xiàn)于2020年，通過(guò)軟件漏洞進(jìn)行攻擊，并且可在短時(shí)間內(nèi)對(duì)大量設(shè)備進(jìn)行加密，針對(duì)包括政府機(jī)構(gòu)在內(nèi)的全行業(yè)。

l Phobos勒索軟件家族從2019年初期開(kāi)始在全球流行，通過(guò)RDP暴力破解和釣魚(yú)郵件等方式擴(kuò)散到企業(yè)與個(gè)人用戶中，并持續(xù)更新和演變，成為勒索軟件家族中新興的一個(gè)大家族。

l Mallox勒索軟件家族首次出現(xiàn)于2021年，專注于MS-SQL和暴力攻擊，會(huì)定期公開(kāi)被入侵的組織和盜取的數(shù)據(jù)，利用地下論壇宣傳其服務(wù)并招募生態(tài)組織。

企業(yè)終端應(yīng)急響應(yīng)

近三年數(shù)據(jù)顯示，勒索攻擊已經(jīng)超過(guò)挖礦病毒，成為企業(yè)安全主要威脅來(lái)源，且數(shù)量遠(yuǎn)超其他病毒威脅。勒索攻擊目標(biāo)集中在IT互聯(lián)網(wǎng)（28%）、制造業(yè)（25%）、醫(yī)療保健行業(yè)（19%）。這三大行業(yè)與大眾生產(chǎn)、生活緊密相關(guān)，擁有大規(guī)模的個(gè)人數(shù)據(jù)、商業(yè)信息，某個(gè)環(huán)節(jié)出現(xiàn)安全風(fēng)險(xiǎn)，都容易出現(xiàn)牽一發(fā)而動(dòng)全身的情況。

勒索攻擊作為成熟的攻擊手段，擁有完整的商業(yè)模式（RaaS），RaaS運(yùn)營(yíng)商通常提供易于使用的攻擊工具和界面，這些工具涵蓋各種功能，如暴力破解、端口掃描、漏洞掃描、加密文件、生成勒索信息、管理支付渠道等。這使得攻擊者無(wú)需編寫(xiě)復(fù)雜的代碼或具備深入的技術(shù)知識(shí)，便可輕松定制和啟動(dòng)攻擊，他們可以是專業(yè)的黑客團(tuán)隊(duì)、犯罪組織，也可以是技術(shù)能力較低的個(gè)人。

此外，支付方式的匿名性（通常要求使用加密貨幣進(jìn)行贖金支付），使得攻擊者能夠在不被追蹤的情況下收取贖金，增加了勒索攻擊的成功幾率。因此，勒索攻擊的易操作性、成功機(jī)率、支付匿名性使得越來(lái)越多的攻擊者，采用這種形式獲利。我們則需要加強(qiáng)網(wǎng)絡(luò)安全意識(shí)、采取防御措施和及時(shí)更新系統(tǒng)，來(lái)應(yīng)對(duì)這些威脅。

勒索攻擊防護(hù)建議

1、使用能夠檢測(cè)和阻止已知勒索軟件變體的反惡意軟件或安全軟件。

2、實(shí)時(shí)監(jiān)測(cè)和檢測(cè)網(wǎng)絡(luò)活動(dòng)，及時(shí)發(fā)現(xiàn)和應(yīng)對(duì)異常行為，以遏制勒索軟件攻擊的擴(kuò)散。

3、定期進(jìn)行安全審計(jì)和評(píng)估，以識(shí)別網(wǎng)絡(luò)和系統(tǒng)漏洞，并確保所有安全控制措施到位并正常運(yùn)行。

4、對(duì)員工定期開(kāi)展網(wǎng)絡(luò)安全培訓(xùn)，加強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí)，包括識(shí)別和應(yīng)對(duì)勒索軟件等網(wǎng)絡(luò)威脅。

5、定期對(duì)重要文件和數(shù)據(jù)進(jìn)行非本地備份，并設(shè)置訪問(wèn)限制，以降低勒索軟件造成的影響。

黑客攻擊階段

面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)攻擊態(tài)勢(shì)，如果企業(yè)不能有效預(yù)估和應(yīng)對(duì)網(wǎng)絡(luò)攻擊，就可能導(dǎo)致重大損失。火絨安全團(tuán)隊(duì)通過(guò)對(duì)病毒的各種攻擊方式分析發(fā)現(xiàn)，黑客會(huì)在攻擊前期，對(duì)目標(biāo)企業(yè)進(jìn)行探測(cè)，以期找到企業(yè)系統(tǒng)中的弱點(diǎn)，隨后利用各種手段入侵目標(biāo)系統(tǒng)或局域網(wǎng)，成功入侵系統(tǒng)后，會(huì)為其后續(xù)的攻擊和竊取潛在利益做準(zhǔn)備。

火絨安全產(chǎn)品除了不斷加強(qiáng)病毒的攔截、查殺以外，始終關(guān)注對(duì)攻擊渠道的防御。從病毒層面、系統(tǒng)層面、網(wǎng)絡(luò)層面設(shè)置多重防護(hù)，極大減少黑客攻擊和潛在安全風(fēng)險(xiǎn)。

綜上所述，黑客會(huì)利用各種病毒、漏洞、技術(shù)，破壞網(wǎng)絡(luò)系統(tǒng)，竊取敏感信息，甚至進(jìn)行網(wǎng)絡(luò)勒索等犯罪行為。因此，保護(hù)計(jì)算機(jī)終端免受黑客攻擊至關(guān)重要，以下是一些常見(jiàn)的措施，可以提高系統(tǒng)和數(shù)據(jù)的安全性：

1、更新和升級(jí)軟件：保持操作系統(tǒng)、應(yīng)用程序和安全軟件為最新版本，可以修復(fù)已知的漏洞和弱點(diǎn)，提高系統(tǒng)的安全性。

2、使用安全軟件：安裝和定期更新可靠的安全軟件，以檢測(cè)和阻止惡意網(wǎng)絡(luò)攻擊。

3、使用強(qiáng)密碼和多因素身份驗(yàn)證：為所有賬戶設(shè)置獨(dú)特、復(fù)雜的密碼，并啟用多因素身份驗(yàn)證，增加賬戶的安全性。

4、定期備份數(shù)據(jù)：定期備份重要數(shù)據(jù)，防止數(shù)據(jù)丟失或被勒索軟件加密。

5、實(shí)施訪問(wèn)控制：設(shè)置相應(yīng)網(wǎng)絡(luò)訪問(wèn)限制并分配適當(dāng)權(quán)限，以防止未經(jīng)授權(quán)的訪問(wèn)和數(shù)據(jù)泄露。

關(guān)于火絨安全

火絨安全成立于2011年，是一家專注、純粹的終端安全公司，致力于在終端領(lǐng)域提供專業(yè)的安全產(chǎn)品和優(yōu)質(zhì)的用戶服務(wù)，并持續(xù)對(duì)外賦能反病毒引擎等相關(guān)自主研發(fā)技術(shù)。

火絨安全個(gè)人產(chǎn)品“火絨安全軟件”擁有數(shù)千萬(wàn)用戶，憑借干凈、輕巧、強(qiáng)大的特點(diǎn)收獲良好的大眾口碑與推薦。企業(yè)產(chǎn)品“火絨終端安全管理系統(tǒng)”是秉承“情報(bào)驅(qū)動(dòng)安全”理念，全面實(shí)施EDR運(yùn)營(yíng)體系的一款反病毒&終端安全管理軟件。

“火絨終端安全管理系統(tǒng)”充分滿足各企事業(yè)單位在當(dāng)前互聯(lián)網(wǎng)威脅環(huán)境下的電腦終端防護(hù)需求。產(chǎn)品支持Windows、Linux、macOS等主流操作系統(tǒng)，深度適配統(tǒng)信、鯤鵬、神州網(wǎng)信、中科方德、海光、龍芯等國(guó)產(chǎn)操作系統(tǒng)與CPU。目前，“火絨終端安全管理系統(tǒng)”已部署超百萬(wàn)終端，覆蓋政企、制造、醫(yī)院、IT互聯(lián)網(wǎng)、能源、汽車(chē)、交通等眾多行業(yè)。

完整版報(bào)告下載：

https://down5.huorong.cn/doc/report/HUORONG-Data-Report-2024(02-23).pdf