上半年终端安全回顾：病毒攻击次数过亿 网络安全依旧需要常态响应

在过去的半年里，全球网络攻击行为不断出现，黑客攻击手段更新迭代，持续威胁终端安全，从而影响我们每个人的工作、生活和学习。

 

本文，以2021年上半年，“火绒威胁情报系统”和 “在线支持与响应平台”相关数据为基础，通过对整体安全形势、攻击类型、以及火绒安全服务响应数据进行分析，对当下终端安全形势进行展现，希望能为广大个人用户和企业用户保护终端安全带来参考价值。

 

一、病毒各种类、家族攻击终端频次过亿

通过“火绒威胁情报系统”数据统计显示，火绒帮助千万终端用户，拦截病毒攻击接近2亿次，日均拦截量超过百万次。

 

其中，对拦截量前十名的病毒数据进行分析，感染型病毒、后门病毒、蠕虫病毒、木马病毒等，依旧是影响广大终端安全的威胁存在（如下图）。这些常见的网络病毒，往往具备较强的传播特性和隐匿特征，从而以较大的体量存在于终端中。

 

 

对感染终端量排名前十的病毒数据进行分析，后门病毒感染最多的终端数量，排名第一；木马病毒出现次数最多。同时，金山、巧压等软件更是凭借知名的流氓行径，挤进了感染终端数量前十的病毒家族中（如下图）。

 

 

此外，流氓软件/广告软件带来的恶意行为，也依旧在侵扰广大用户。2014年以来，监管部门曾多次启动专项整治行动，就在近日，工信部再发布消息启动互联网行业专项整治行动，其中就包括弹窗欺骗。

 

根据“火绒威胁情报系统”数据显示，在2021年过去的前6个月里，火绒拦截流氓及广告问题超过4亿次。火绒一直以来都在加强对于流氓软件/广告软件的查杀，去年也已发布声明“彻底查杀广告软件”。同时，火绒对于恶意广告软件及其行为有着一套完整严谨的判断方式，可以做到从对普通软件安装的及时提醒，到对软件恶意推广模块的识别查杀以及帮助用户对弹窗等问题的管控。

 

二、攻击渠道多样

对2021年上半年，火绒安全【网络入侵拦截】、【横向渗透防护】、【Web服务保护】以及【暴破攻击防护】等功能所提供的服务数据进行分析整理，可以发现网络黑客常常利用系统漏洞、暴力破解等方式入侵受害者设备，从而达到获取隐私数据、获取权限、非法访问等目的。

 

1、横向渗透

2021年上半年，火绒【横向渗透防护】功能拦截超过三千万次的横向渗透攻击，其中，以黑客利用默认共享和远程服务创建进行横向渗透攻击为主，分别占比69%和30%（如下图）。正因为默认共享、远程服务创建这两种系统自带的功能容易被利用，所以常被黑客、病毒利用在内网进行横向渗透攻击，比如知名的DTStealr、Wannamine等病毒，均是用了此类攻击方式，在企业内进行传播。

 

2、暴破攻击

2021年上半年，火绒【暴破攻击防护】拦截潜在暴力破解攻击行为四千万次，对该数据进行盘点，利用暴破攻击方式发起的网络攻击事件中，SMB、RPC暴破问题依旧值得重视（如下图）。事实上，不管是个人还是企业用户，如有口令强度弱、密码复用等问题，都存在被黑客暴力破解的安全风险。

 

3、系统漏洞攻击

2021年上半年，火绒【网络入侵拦截】功能共帮助用户拦截漏洞攻击达1.5亿次。对拦截量数据进行分析，除依旧在全网大范围出现的“永恒之蓝”漏洞攻击外，常见的还包括MS08-067、CVE-2020-0796，以及永恒浪漫等漏洞攻击。系统老旧，打补丁不及时等都是造成漏洞攻击的重要原因（如下图）。如去年微软已停止支持Windows 7，市场上超过1/5的的用户还在使用该系统。

 

4、Web服务攻击

2021年上半年，火绒【Web服务保护】功能拦截漏洞攻击达150万次，根据数据分析，主要为CVE-2017-10271漏洞攻击、Apache.DeserRCE漏洞攻击、CVE-2007-1036漏洞攻击以及CVE-2019-2725漏洞攻击（如下图）。对于有网站的用户来说，如果不注意安全方面的问题，很容易被黑客针对上网行为或网站服务器等设备进行攻击行为。

  

三、安全服务现状：个人与企业用户面临威胁各有侧重

 

根据火绒“在线支持与响应平台”相关数据统计显示，2021年上半年，火绒安全应急响应团队一共处置了超过上千起安全服务响应事件，帮助求助的个人和企业用户维护了终端安全。包括：（1）未部署安全软件而向火绒求助的用户；（2）部分终端部署火绒；（3）对火绒日志的分析、巡检需求；（4）紧急威胁与攻击。

 

在2021年火绒个人用户的安全服务响应事件中，劫持首页与流氓软件成为个人用户寻求帮助的主要问题。特别是黑客常利用恶意驱动劫持、快捷方式劫持等方式劫持用户浏览器首页，造成锁首问题尤其严重（如下图）。

 

 

在2021年火绒企业用户的安全服务响应事件中，对企业攻击较多的是挖矿病毒、勒索病毒、蠕虫病毒和感染型病毒等，这些病毒或成片攻击企业网络攫取利益，或直接勒索获取巨额钱财。

 

以在企业用户安全事件中，攻击类型排名第一的挖矿病毒（如下图）为例，事实上在2019年和2020年火绒统计的企业问题中，挖矿病毒均占比第一。挖矿病毒通过不断更新传播方式，大量长期存在于用户设备上，挖矿获取利益。

 

随着大力实施网络强国战略、加强“数字中国”建设，互联网已广泛渗透到我国经济社会的方方面面。但与此同时，网络威胁问题日益突出，网络安全也被赋予了新的要求，需要全方面、多维度的防御与保护。作为终端安全厂商的火绒，将一如既然的专注技术提升和服务完善，努力为更多用户提供终端安全解决方案，牢固终端安全护城河！

 

 

补充阅读链接：

（1）2020火绒终端安全回顾：流氓病毒化病毒逐利化

（2）百万级感染量 感染型病毒猖狂在哪里？附火绒有效查杀方式

（3）根据火绒查杀数据发现 挖矿病毒的套路都在这里

（4）火绒将彻底查杀广告软件 首批包括50余款

本文始发于微信公众号（火绒安全实验室）：上半年终端安全回顾：病毒攻击次数过亿 网络安全依旧需要常态响应