宏电脑安装win7系统
宏电脑安装win7系统(宏基安装win7系统)
前言
2020年,随着新冠肺炎疫情的爆发,各行各业都遭受了很多冲击,但随着新冠肺炎疫情的发展,网络攻击并没有消失,反而越来越激烈。
360安全大脑整合了360安全卫士拦截、查杀勒索、挖掘、驱动木马等流行威胁趋势,总结了无文件攻击、横向渗透、钓鱼邮件等流行攻击手法,盘点了今年发生的重大数据泄露事件和最新披露的多个攻击面,总结汇报了2020年的流行威胁。
由于报告长度较长,我们将报告内容分为以下三个部分。如果您已经理解了某个部分的概念,您可以根据文章目录选择您感兴趣的内容进行阅读。
第一部分
勒索、采矿、驱动木马并驾齐驱,仍然是个人和企业用户面临的头号威胁
随着新冠肺炎疫情等热点新闻,钓鱼邮件数量激增。迫切需要提高员工的安全意识
第二部分
企业内网保护依然薄弱,密码弱,NDAY依然泛滥
无文件攻击、横向渗透等技术越来越成熟,病毒利用有明显提示
数据泄漏事件频发,配置管理不当是罪魁祸首
第三部分
挖掘新的攻击面,隔离网络,UEFI/BIOS、邮件服务器将成为下一个战场
团队介绍:
白泽实验室专注于360BOOTKIT/ROOTKIT木马分析追溯查杀,率先发现全球首例BIOS木马BMW、 UEFI木马谍影、引导区木马隐魂、双枪、多个大型暗刷僵尸网络黑雾、祸害等。涉猎原业务的基础上APT对委内瑞拉军方进行检测内瑞拉军方的检测和研究APT组织APT-C-43。涉猎原业务的基础上APT对委内瑞拉军方进行检测内瑞拉军方的检测和研究APT组织APT-C-43。
实验室为360安全大脑提供技术支持,同时为360安全卫士、360急救箱等产品提供核心安全数据和顽固木马查杀方案。
致谢:
在撰写本报告时,感谢您360政企安全集团安全运营中心支持本报告的部分数据。
一、 木马的流行趋势
1. 勒索病毒
勒索病毒仍然是大多数用户面临的头号威胁。在利益趋势下,越来越多的勒索病毒将矛头转向企业用户。越来越多的重要机构受到勒索病毒的攻击,富士康,Software AG, BancoEstado等国际知名企业被勒索病毒攻击。受攻击的行业包括服务业、制造业、零售业、互联网、政府能源等。受攻击的行业包括服务业、制造业、零售业、互联网、政府能源等。
勒索病毒以其简单粗暴的破坏力,给企业和个人造成了严重的经济损失。360安全脑统计2020年全年勒索病毒TOP10占比如下:
随着勒索病毒的发展,Ryuk、CL0P、DoppelPaymer、LockBit以勒索病毒为代表的双重勒索模式逐渐成为勒索的主流, 在加密数据文件之前,攻击者会窃取未加密的文件,迫使受害者通过泄露敏感数据来支付赎金。下图是DoppelPaymer部分勒索病毒攻击富士康后泄漏的敏感数据:
安全建议:
1, 通过及时修复系统补丁,加强密码管理,严格访问控制,安装杀毒软件,加强企业安全保护体系。
2, 备份重要数据,隔离保存备份文件,在受到勒索病毒攻击后,备份数据可以最大限度地减轻企业损失。
2, 备份重要数据,隔离保存备份文件,在受到勒索病毒攻击后,备份数据可以最大限度地减轻企业损失。
3, 在没有数据备份的情况下,应及时联系专业的反勒索病毒团队进行处理。可通过lesuobingdu.360.cn了解更多关于勒索病毒解密的信息。
2. 挖矿木马
采矿木马在过去一年的增长并不明显,但其累计感染仍超过600万。从采矿木马的增长可以看出,采矿木马的活动在一定程度上受到虚拟货币价格的影响:
采矿木马在技术手段上更倾向于采用无文件攻击的方式,最后,采矿是通过开源开采程序进行的。病毒家族的比例如下:
根据360安全脑,无文件攻击的分布如下。在全球范围内,中国、美国和俄罗斯仍然是网络攻击的重灾区
3. 劫持刷量
2020年360安全脑查杀驱动木马520多万,其中系统装机盘,PE系统,携带各种恶意驱动器,如系统激活工具,占比最大。利润模式主要是浏览器主页劫持木马,通过篡改用户的浏览器主页来实现分流的目的,从而获得利益。利润模式主要是浏览器主页劫持木马,通过篡改用户的浏览器主页来实现分流的目的,从而获得利益。
病毒通过优化搜索引擎SEO向用户推荐排名,病毒网站还会有各种诱导用户退出安全软件的提示,以免被杀软拦截。还有诱导用户退出杀软的提示。下图是麻辣锅病毒诱导用户退出杀毒软件的提示:
360安全大脑提醒用户不要轻信退出安全软件等诱导提示。安全软件可以及时拦截和杀死恶意软件,保护系统安全,不影响用户正常使用软件。如果您对安全软件的弹出窗口有任何疑问,应立即联系相关操作人员进行处理,并在确认无风险时使用此类软件。
与往年相比,驱动木马的盈利方式变化不大。但为了保护木马驱动,对抗杀毒软件做了很多改进:
1. 病毒更新周期缩短,更新频率从一个月缩短到一周。
2. 黑名单机制由限制杀软模块加载(文件过滤)转变为只允许系统模块加载的白名单机制,导致杀毒软件,ARK不能正常使用工具等安全软件。
3. 杀软驱动加载是通过加载模块的时间戳和签名来限制的。随着安全软件能力的提高和各种安全检测技术的出现,传统病毒的运行受到了极大的阻碍
内存加载越来越多的恶意软件以这种技术手段加载恶意载荷而闻名于世。360安全脑显示,云控后门、广告木马、流量暗刷、私服劫持木马占内存加载木马的比例最大:
这种恶意软件通常会在用户的电脑上潜伏一段时间。当检测到受害者的恶劣环境时,通过向云请求shellcode动态加载恶意载荷,shellcode一般经过多层加密处理,以MemoryDLL例如,恶意载荷解密过程如下:
在数据操作过程中,我们发现很多这样的木马都是由核心驱动动动态加载的,比较典型BtinDrgn,通过内核驱动恶意动态库APC在系统过程中注入动态库C&C服务器通过DeviceIOControl控制驱动。
除了应用层的内存加载外,还有木马通过内核IoCreateDriver加载内核模块,下图为BtinDrgn后门驱动内存加载核模块的代码逻辑:
安全建议:
1, 不要相信病毒退出安全软件的提示。
2, 安装主流杀毒软件,结合海量安全大数据,360安全大脑可以实时准确地拦截各种欺诈、钓鱼和携带木马的网站。
2, 安装主流防病毒软件,360安全大脑结合大量安全大数据,可以实时准确地拦截各种欺诈、钓鱼和携带木马的网站。如果在访问网站时遇到防病毒的危险提示,请停止访问该网页,以防止被病毒感染。
3, 使用360安全卫士或360急救箱查杀浏览器主页被篡改等病毒现象。
4. 钓鱼邮件
2020年初,随着新型冠状病毒疫情的爆发,以新冠肺炎疫情为标题的钓鱼邮件攻击数量激增。根据360安全大数据,每个节假日,大热事件,与热数据相关的钓鱼邮件会增加,也可以看出攻击者善于利用人们渴望看到热新闻内容,忽视安全问题的弱点,通过社会工程看似简单,但有效的攻击方式。下图是360安全大脑通过统计全年钓鱼邮件标题制作的热词云:
恶意文件将携带到钓鱼邮件附件中,LNK文件、压缩包、虚假文件(FakeFile)等等,各类恶意附件的比例如下:
攻击者将配合极具诱导性的文字内容,以激活受害者携带的恶意载荷,欺骗受害者打开恶意附件:
在钓鱼邮件携带的恶意文件中,恶意载荷类型为宏病毒、远程模板注入和OFFICE以漏洞为主,远程模板注入量较去年明显增加,使用该技术的黑客组织较多。
通过钓鱼邮件传播的恶意软件类型主要是后门和秘密木马。
通过钓鱼邮件传播的恶意软件类型主要是后门和秘密木马。因此,在下图中形成了经典的钓鱼邮件攻击模式。
360安全团队对钓鱼邮件攻击提出以下安全建议:
1, 收到来源不明的电子邮件时,应在确定电子邮件安全的前提下,通过安全软件确定电子邮件安全性的前提下查阅电子邮件内容。
2, 默认禁用office软件宏,当发现启用宏等诱导提示时,不要轻信,交安全部门检查后查阅。
3, 企业应定期对员工进行相应的安全培训,提高员工的安全意识。
4, 安装杀毒软件,打开电子邮件保护等功能。360安全卫士默认打开邮件安全防护功能,用户也可以在安全防护中心->相应的邮件安全防护设置。
二、 内网安全困境
1. 弱口令
在许多糟糕的内部网络环境中,许多管理员对密码强度意识不够深入,会使用弱密码管理机器(通常指易于暴力枚举或猜测的密码)或使用相同的密码管理多台机器。常见的弱密码组合如下:
l 默认密码(admin,root等)
l 纯数组或字母组合(12345678,AAAAAAAA等)
l 键盘连续字母 数字组合(qwerty123)
l 一些常见的单词组合(iloveyou)
l 公司名 @ 数字组合(公司名称)@2020,公司名@123等)
当攻击者通过系统漏洞或其他手段(如钓鱼邮件)进入企业内部网络时,攻击者将进一步渗透到内部网络的重要资产(如服务器渗透存储重要数据,窃取秘密商业信息),或进一步控制更多机器进行后续攻击(如控制更多机器挖掘或启动DDOS攻击)。
这时,攻击者能想到的最简单的攻击手法就是暴力破解。
此时,攻击者能想到的最简单的攻击方法是暴力破解。攻击者将通过在信息收集阶段积累的一些关于系统管理员的信息(如出生日期、偏好、姓名等)与当前企业的一些信息制作弱密码字典,并使用该字典暴力破解内网中的其他机器。随着弱密码字典的不断丰富,破解成功的概率越来越大。
除了通过组合信息生成弱密码字典外,更多的攻击者还将被控制机器内存中存储的账户密码转移到弱密码字典中。其中使用最多的是一种叫做Mimikatz可从内存中提取明文密码,散列,PIN码和Kerberos这些凭证将大大提高弱密码字典的爆破概率。
假设管理员在许多机器上使用相同的密码,密码强度符合密码复杂性的要求。管理员认为这是安全的,但如果其中一台机器被攻击者利用漏洞或其他手段打破,攻击者可以很容易地控制内网中使用相同密码的其他机器。这种方法也被用于许多僵尸网络。
下图是SantaDos/Lucifer制作弱密码字典的代码逻辑:
2. 横向渗透
攻击者获得大量有效凭证后,会通过横向渗透攻击技巧批量发布恶意软件,包括创建远程服务、创建远程计划任务等。通过360安全脑,可以看到各种攻击技巧的比例如下:
占比最大的木马如下:
针对这种恶意攻击,360安全卫士于2020年5月推出了横向渗透防护功能足企
转载请注明:范的资源库 » 宏电脑安装win7系统