概述

《火絨安全2023年終端安全洞察報告》以“火絨威脅情報系統(tǒng)”為統(tǒng)計基礎(chǔ)，匯總梳理2023全年終端攻擊威脅態(tài)勢。希望為個人用戶和企業(yè)客戶提供更真實、更直觀、更全面的終端威脅感知，幫助大家提高風險預防意識，有效采取防御措施應對潛在終端安全威脅。

l火絨安全產(chǎn)品共攔截終端攻擊37.35億次，下半年攻擊逐漸減少并進入平緩期。

l黑客主動向全網(wǎng)投放的病毒中，感染型病毒占32%、木馬病毒占22%、蠕蟲病毒占19%。其中，感染型病毒已感染數(shù)百萬終端。

l銀狐病毒家族成為年度最活躍家族，最早可以溯源到2022年底，2023年開始活躍，呈現(xiàn)眾多變種和傳播形式。

l火絨產(chǎn)品共提示軟件安裝8.61億次，除了常見軟件，殺毒軟件、瀏覽器、辦公軟件、游戲類軟件排名靠前。

l火絨安全技術(shù)人員協(xié)助處理的個人終端問題中，勒索病毒已經(jīng)僅次于內(nèi)核級病毒，成為二號威脅，個人用戶切莫掉以輕心。

l近三年數(shù)據(jù)顯示，勒索攻擊已經(jīng)超過挖礦病毒，成為企業(yè)安全主要威脅來源，且數(shù)量遠超其他病毒威脅。

終端攻擊趨勢

“火絨威脅情報系統(tǒng)”監(jiān)測情況顯示，2023年火絨安全產(chǎn)品共攔截終端攻擊37.35億次，下半年攻擊逐漸減少并進入平緩期。從全國范圍來看，廣東、江蘇、山東成為易受惡意攻擊地區(qū)，其次為浙江、四川、福建、河南、北京、湖北、湖南。

2023年黑客主動向全網(wǎng)投放的病毒中，感染型病毒占32%、木馬病毒占22%、蠕蟲病毒占19%，三者仍然是終端安全的主要病毒威脅來源。其中，感染型病毒主要來自Synares、Virut、Sality、Ramnit四個家族，已感染數(shù)百萬終端。

由于感染型病毒具備隱蔽性、潛伏性等特征，往往難以分辨，用戶可通過兩種方式判別：一是看到以“Virus”開頭的火絨報毒提示，直接查殺即可（火絨查殺不會損壞程序、文檔）。二是需要警惕看似正常的軟件被報毒，其中很可能存在感染型病毒。

銀狐病毒活躍

銀狐病毒家族最早可以溯源到2022年底，2023年開始活躍，呈現(xiàn)眾多變種和傳播形式。最常見的是，該病毒以國內(nèi)企業(yè)的管理、財務(wù)、銷售人員為主要目標，偽裝成帶有關(guān)鍵詞的文件，誘騙用戶點擊運行。黑客則可以遠程控制受害者的終端，監(jiān)控電腦使用情況，并伺機盜取用戶敏感數(shù)據(jù)及財產(chǎn)信息。根據(jù)火絨威脅情報系統(tǒng)的梳理，2023年銀狐病毒及其重要變種的時間線為：

黑客通常利用釣魚郵件、通訊軟件、偽造軟件官網(wǎng)等手段，將后門病毒植入目標系統(tǒng)，收集敏感信息并執(zhí)行其他惡意模塊，以對受害者電腦進行遠程控制和橫向滲透，隨后發(fā)起DDoS攻擊和勒索攻擊等惡意行為，給用戶造成財產(chǎn)損失。銀狐病毒的攻擊流程，如下圖所示：

彈窗進入平緩期

互聯(lián)網(wǎng)彈窗廣告作為公眾詬病較集中的互聯(lián)網(wǎng)問題，國家相關(guān)部門于近兩年陸續(xù)發(fā)布管理規(guī)定，2022年9月施行的《互聯(lián)網(wǎng)彈窗信息推送服務(wù)管理規(guī)定》、2023年5月施行的《互聯(lián)網(wǎng)廣告管理辦法》，分別強化了對互聯(lián)網(wǎng)彈窗的約束力度，同時加大了對廣告參與主體違法行為的懲戒力度。

“火絨威脅情報系統(tǒng)”數(shù)據(jù)顯示，2023年火絨安全產(chǎn)品共攔截（不含用戶手動攔截）11.15億次彈窗廣告，明顯比去年減少一半，且各月總量持平，特殊促銷時間節(jié)點并未出現(xiàn)明顯波動情況。

軟件安裝攔截

軟件捆綁安裝也是互聯(lián)網(wǎng)用戶經(jīng)常遇到的問題之一，其花樣百出、防不勝防，用戶稍有不注意則下載到若干無用軟件，隨之而來的就是各種廣告彈窗、網(wǎng)頁篡改、系統(tǒng)卡頓、內(nèi)存不足等一系列問題，甚至存在個人隱私、財產(chǎn)信息泄露風險。

為了有效減少用戶在不知情的情況下被安裝不需要的軟件的風險，火絨產(chǎn)品會對曾經(jīng)被捆綁安裝的軟件進行識別，并及時提示用戶。2023年，火絨產(chǎn)品共提示軟件安裝8.61億次，除了常見軟件，殺毒軟件、瀏覽器、辦公軟件、游戲類軟件排名靠前，而在2022年，閱讀翻譯類工具則被攔截較多。

微軟系統(tǒng)漏洞

2023年，火絨安全產(chǎn)品共攔截2.26億次漏洞攻擊，其中攔截1.67億次微軟系統(tǒng)漏洞攻擊，攔截1317萬次Web漏洞攻擊。

微軟去年對外披露了1374個漏洞，包含高危漏洞88個，嚴重漏洞859個。遠程執(zhí)行代碼漏洞一旦被成功利用后，攻擊者能夠在目標計算機上遠程執(zhí)行任意代碼，對用戶形成嚴重的安全風險。

Web漏洞攻擊

2023年特別是上半年Web漏洞攻擊持續(xù)上漲，疫情期間越來越多的企業(yè)加速數(shù)字化轉(zhuǎn)型的步伐，新系統(tǒng)、新軟件、新技術(shù)不斷被應用，其中漏洞被利用風險隨之增長。此外，CVE-2017-10271、CNVD-2021-30167、CVE-2007-1036、CVE-2019-2725連續(xù)多年成為易被利用的Web漏洞，針對這些舊漏洞，外界擁有特定開發(fā)的漏洞利用代碼或工具，黑客更方便拿來攻擊未更新修復的目標。

個人終端應急服務(wù)

根據(jù)”火絨在線支持和響應中心“處理的個人終端問題顯示，個人終端常見病毒中，內(nèi)核級病毒占40%、勒索病毒占31%、流氓軟件占13%。內(nèi)核級病毒（Rootkit）一直是困擾用戶的頭號病毒威脅，其主要被用于劫持用戶流量?；鸾q安全2023年發(fā)布多篇病毒報告，揭示了Rootkit病毒利用傳奇私服、天龍八部游戲私服，劫持用戶訪問的網(wǎng)頁到指定網(wǎng)站，并進行信息收集和數(shù)據(jù)篡改等惡意活動。

勒索病毒已經(jīng)成為個人終端安全二號威脅，個人用戶切莫掉以輕心，一次鏈接點擊、一次文件下載，都有可能進入黑客的圈套。

從勒索病毒類型來看，個人終端和企業(yè)終端遭遇的勒索病毒主要來自TellYouThePass、Phobos、Mallox三大家族：

l TellYouThePass勒索軟件家族在國內(nèi)出現(xiàn)于2020年，通過軟件漏洞進行攻擊，并且可在短時間內(nèi)對大量設(shè)備進行加密，針對包括政府機構(gòu)在內(nèi)的全行業(yè)。

l Phobos勒索軟件家族從2019年初期開始在全球流行，通過RDP暴力破解和釣魚郵件等方式擴散到企業(yè)與個人用戶中，并持續(xù)更新和演變，成為勒索軟件家族中新興的一個大家族。

l Mallox勒索軟件家族首次出現(xiàn)于2021年，專注于MS-SQL和暴力攻擊，會定期公開被入侵的組織和盜取的數(shù)據(jù)，利用地下論壇宣傳其服務(wù)并招募生態(tài)組織。

企業(yè)終端應急響應

近三年數(shù)據(jù)顯示，勒索攻擊已經(jīng)超過挖礦病毒，成為企業(yè)安全主要威脅來源，且數(shù)量遠超其他病毒威脅。勒索攻擊目標集中在IT互聯(lián)網(wǎng)（28%）、制造業(yè)（25%）、醫(yī)療保健行業(yè)（19%）。這三大行業(yè)與大眾生產(chǎn)、生活緊密相關(guān)，擁有大規(guī)模的個人數(shù)據(jù)、商業(yè)信息，某個環(huán)節(jié)出現(xiàn)安全風險，都容易出現(xiàn)牽一發(fā)而動全身的情況。

勒索攻擊作為成熟的攻擊手段，擁有完整的商業(yè)模式（RaaS），RaaS運營商通常提供易于使用的攻擊工具和界面，這些工具涵蓋各種功能，如暴力破解、端口掃描、漏洞掃描、加密文件、生成勒索信息、管理支付渠道等。這使得攻擊者無需編寫復雜的代碼或具備深入的技術(shù)知識，便可輕松定制和啟動攻擊，他們可以是專業(yè)的黑客團隊、犯罪組織，也可以是技術(shù)能力較低的個人。

此外，支付方式的匿名性（通常要求使用加密貨幣進行贖金支付），使得攻擊者能夠在不被追蹤的情況下收取贖金，增加了勒索攻擊的成功幾率。因此，勒索攻擊的易操作性、成功機率、支付匿名性使得越來越多的攻擊者，采用這種形式獲利。我們則需要加強網(wǎng)絡(luò)安全意識、采取防御措施和及時更新系統(tǒng)，來應對這些威脅。

勒索攻擊防護建議

1、使用能夠檢測和阻止已知勒索軟件變體的反惡意軟件或安全軟件。

2、實時監(jiān)測和檢測網(wǎng)絡(luò)活動，及時發(fā)現(xiàn)和應對異常行為，以遏制勒索軟件攻擊的擴散。

3、定期進行安全審計和評估，以識別網(wǎng)絡(luò)和系統(tǒng)漏洞，并確保所有安全控制措施到位并正常運行。

4、對員工定期開展網(wǎng)絡(luò)安全培訓，加強員工的網(wǎng)絡(luò)安全意識，包括識別和應對勒索軟件等網(wǎng)絡(luò)威脅。

5、定期對重要文件和數(shù)據(jù)進行非本地備份，并設(shè)置訪問限制，以降低勒索軟件造成的影響。

黑客攻擊階段

面對日益嚴峻的網(wǎng)絡(luò)攻擊態(tài)勢，如果企業(yè)不能有效預估和應對網(wǎng)絡(luò)攻擊，就可能導致重大損失?；鸾q安全團隊通過對病毒的各種攻擊方式分析發(fā)現(xiàn)，黑客會在攻擊前期，對目標企業(yè)進行探測，以期找到企業(yè)系統(tǒng)中的弱點，隨后利用各種手段入侵目標系統(tǒng)或局域網(wǎng)，成功入侵系統(tǒng)后，會為其后續(xù)的攻擊和竊取潛在利益做準備。

火絨安全產(chǎn)品除了不斷加強病毒的攔截、查殺以外，始終關(guān)注對攻擊渠道的防御。從病毒層面、系統(tǒng)層面、網(wǎng)絡(luò)層面設(shè)置多重防護，極大減少黑客攻擊和潛在安全風險。

綜上所述，黑客會利用各種病毒、漏洞、技術(shù)，破壞網(wǎng)絡(luò)系統(tǒng)，竊取敏感信息，甚至進行網(wǎng)絡(luò)勒索等犯罪行為。因此，保護計算機終端免受黑客攻擊至關(guān)重要，以下是一些常見的措施，可以提高系統(tǒng)和數(shù)據(jù)的安全性：

1、更新和升級軟件：保持操作系統(tǒng)、應用程序和安全軟件為最新版本，可以修復已知的漏洞和弱點，提高系統(tǒng)的安全性。

2、使用安全軟件：安裝和定期更新可靠的安全軟件，以檢測和阻止惡意網(wǎng)絡(luò)攻擊。

3、使用強密碼和多因素身份驗證：為所有賬戶設(shè)置獨特、復雜的密碼，并啟用多因素身份驗證，增加賬戶的安全性。

4、定期備份數(shù)據(jù)：定期備份重要數(shù)據(jù)，防止數(shù)據(jù)丟失或被勒索軟件加密。

5、實施訪問控制：設(shè)置相應網(wǎng)絡(luò)訪問限制并分配適當權(quán)限，以防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露。

關(guān)于火絨安全

火絨安全成立于2011年，是一家專注、純粹的終端安全公司，致力于在終端領(lǐng)域提供專業(yè)的安全產(chǎn)品和優(yōu)質(zhì)的用戶服務(wù)，并持續(xù)對外賦能反病毒引擎等相關(guān)自主研發(fā)技術(shù)。

火絨安全個人產(chǎn)品“火絨安全軟件”擁有數(shù)千萬用戶，憑借干凈、輕巧、強大的特點收獲良好的大眾口碑與推薦。企業(yè)產(chǎn)品“火絨終端安全管理系統(tǒng)”是秉承“情報驅(qū)動安全”理念，全面實施EDR運營體系的一款反病毒&終端安全管理軟件。

“火絨終端安全管理系統(tǒng)”充分滿足各企事業(yè)單位在當前互聯(lián)網(wǎng)威脅環(huán)境下的電腦終端防護需求。產(chǎn)品支持Windows、Linux、macOS等主流操作系統(tǒng)，深度適配統(tǒng)信、鯤鵬、神州網(wǎng)信、中科方德、海光、龍芯等國產(chǎn)操作系統(tǒng)與CPU。目前，“火絨終端安全管理系統(tǒng)”已部署超百萬終端，覆蓋政企、制造、醫(yī)院、IT互聯(lián)網(wǎng)、能源、汽車、交通等眾多行業(yè)。

完整版報告下載：

https://down5.huorong.cn/doc/report/HUORONG-Data-Report-2024(02-23).pdf