2020火绒终端安全回顾：流氓病毒化病毒逐利化

前言

2020年，疫情冲击了各行各业，线上工作需求激增，远程上课、居家办公等一度成为主流，同时也让终端安全防护面临更多的挑战与考验。

在此，火绒根据“在线支持与响应平台”、“火绒威胁情报系统”捕获到的威胁数据，制作并发布本篇《火绒关于2020年度终端安全研究报告》，总结本年度互联网终端安全状况，分析全年威胁趋势，为用户提供可行的防护建议。

一、病毒攻势不减企业个人受威胁类型不同

对于个人用户来说，以Rootkit病毒为主。根据平台数据显示，个人用户遭遇到的Rootkit病毒占所有病毒数的58%，恶意行为多以锁定浏览器首页为主，其较为出名的家族MLXG、SysRoll等更是在全年不间断更新与安全厂商对抗的技术。

对于企业用户而言，蠕虫挖矿类问题和勒索病毒为最主要的安全问题。两者在所有病毒问题中占比均在1/4左右。无论是蠕虫挖矿还是勒索病毒，都在一直持续传播或更新技术模块，并会利用内网渗透的攻击模式，尤其给企业带来巨大的安全威胁。

二、漏洞攻击持续覆盖全网 SMBGhost成在野攻击新兴漏洞

无论个人版用户还是企业版用户，漏洞威胁一直都是主要的安全议题之一。2020年我们对漏洞修复、防御方面也在持续跟进，帮助用户预防、抵御安全风险。

对于2020年爆出的漏洞来说，在野攻击最为活跃的漏洞为CVE-2020-0796，由于该漏洞极易被黑客利用，所以在爆出后不久就被黑客加入到了攻击模块中，给互联网安全造成了一定的影响。

三、广告软件无底线推广近98%通过下载器传播

2020年整年，广告软件问题尤为凸显。从平台数据来看，广告软件绝大部分通过捆绑推广的方式传播，其中，97.88%的广告软件来自下载站下载器推广，仅有0.21%是用户主动下载安装。此外，2020年有超过1/4的用户电脑遭受过广告软件的侵扰。

广告软件除了疯狂弹窗外，还会静默推广其它软件、替换浏览器中的各类设置、暗刷指定网站的关键字搜索排名、劫持流量，甚至收集用户个人隐私数据、云控“复活”等。基于广告软件无底线传播侵扰用户，火绒在2020年也将对其查杀策略调整为彻底查杀。

病毒威胁

个人终端病毒威胁

根据火绒平台数据统计，2020年个人用户遇到的主要病毒问题是Rootkit（内核后门病毒）。Rootkit病毒通常通过灰色软件（激活工具、私服登录器、外挂程序等）进行传播，其恶意行为主要是锁定用户首页。由于部分个人用户对灰色软件存在“刚需”，导致给此类病毒的提供了传播渠道。2020年个人终端主要的安全问题统计情况，如下图所示：

个人终端主要安全问题

Rootkit

Rootkit(内核后门病毒)可以对操作系统内核进行劫持，通过隐藏病毒进程、注册表、文件相关操作等方式与安全软件进行对抗。常见的Rootkit会锁定用户首页、劫持流量或者下发其他恶意模块。2020年Rootkit相关报告，见附录报告列表。

2020年较为活跃的Rootkit家族有两个，MLXG和SysRoll。根据火绒"在线支持和响应平台"数据统计，在2020年MLXG和SysRoll病毒问题趋势，如下图所示：

2020年MLXG, SysRoll活跃趋势图

MLXG病毒主要存在于暴风激活、KMS、小马激活等激活工具中，当用户使用上述激活工具后，浏览器首页会被强制锁定为带推广号的网址导航页，并使用内核级对抗手段使安全软件无法正常运行。2020年出现的MLXG病毒，可能是激活工具的缘故，影响的范围较广，每次更新后相关的问题数会明显上升，并且在火绒更新专杀工具后迅速下降。

SysRoll病毒主要通过传奇私服登录器，传奇私服辅助等进行传播，本身较为小众，影响的范围较小，但也一直活跃和更新。感染SysRoll病毒的用户浏览器首页会被强制锁定到传奇私服的页面。

激活工具、私服登录器和外挂辅助等灰色软件是病毒传播的一个重要途径。这些灰色软件会诱导用户在安装时先退出或卸载安全软件，从而躲避杀软查杀。当这些内核后门病毒加载执行后，病毒模块便会受到病毒驱动的保护，普通扫描就无法查杀病毒文件。所以当用户遇到顽固的锁首病毒时，可以尝试使用火绒提供的专杀工具配合全盘查杀清除病毒。

企业终端病毒威胁

对于企业用户来说，2020年所遇到的安全问题主要集中在蠕虫挖矿问题和勒索病毒问题。此类病毒问题常见的传播手段主要有：系统漏洞、弱口令暴破、共享目录传播等。由于部分企业业务需要员工远程办公，通常将一些运行在本地服务器中的业务发布到公网中。如果这类服务器存在上述安全风险就有可能被攻陷，从而沦为攻击内网的跳板。

通过平台数据统计，我们发现2020年企业遇到的安全问题中，因为此类问题而导致内网沦陷的情况屡见不鲜。2020年相关报告，见附录报告列表。2020年企业终端主要安全问题，如下图所示：

2020年企业终端主要安全问题

蠕虫挖矿

挖矿病毒通过植入挖矿模块到受害主机，占用计算机的计算资源和消耗电力挖取数字货币，从而使机器卡顿甚至卡死，严重影响用户的正常使用。

2020年多个挖矿病毒家族仍然活跃，传播方式多样且不断进行更新，但整体呈波动下降趋势。2020年蠕虫挖矿类病毒相关报告，见附录报告列表[5]。2020年挖矿病毒的总体活跃趋势，如下图所示：

2020年挖矿病毒活跃趋势

根据火绒"在线支持和响应平台"统计的，2020年火绒处理的所有挖矿病毒问题中，不同病毒家族所占比例如下图所示：

2020年挖矿病毒问题家族比例图

在比例图上，主要的挖矿病毒家族都使用“永恒之蓝”漏洞在内网传播。同时一些病毒还可以进行RDP爆破、SMB爆破、数据库爆破等弱口令爆破攻击，感染更多内网中的机器进行挖矿。

在2020年火绒跟进响应的挖矿病毒中，DTStealer（又名“驱动人生”或者“永恒之蓝下载器”）出现的频率最高。相较于其他几个病毒，DTStealer 传播手段更为丰富（集合了”永恒之蓝“漏洞攻击、登录凭证抓取、爆破攻击，感染网络硬盘和移动设备等多种方式），并且紧随安全威胁动态，不断更新组件。比如SMBGhost漏洞爆出后不久，DTStealer便将其加入到横向传播的相关模块中。

火绒不仅可以对挖矿病毒和挖矿组件进行查杀，还可以有效的阻断挖矿病毒在内网中的传播途径。对于永恒之蓝，SMBGhost等高危漏洞，火绒的网络入侵拦截和对外攻击检测功能可以有效的防御攻击和阻止对外攻击。同时远程登录防护功能可以阻断病毒的RDP、SMB等爆破连接，【横向渗透防护】功能也可以有效的拦截病毒的横向传播行为，阻止挖矿病毒的进一步传播。关于【横向渗透防护】功能相关报告，见附录报告列表。

勒索病毒

随着 “勒索即服务”（Ransomware-as-a-Service，简称RaaS）的勒索病毒运作模式逐渐增多，黑客通过这种运作模式降低了勒索病毒开发和传播门槛，从而扩大了勒索病毒在互联网中的影响范围。在2020年火绒跟进响应的主要勒索病毒现场中，排名前五的勒索病毒均使用RaaS模式进行运作。

2020年对互联网影响最大的勒索病毒当属GlobeImposter、Phobos和Crysis，上述三个病毒家族就占据了勒索病毒问题中的绝大多数。2020年勒索病毒相关报告，见附录报告列表[7]。全年勒索病毒问题占比情况，如下图所示：

勒索病毒问题占比图

2020年所遇到的勒索病毒问题中，企业问题高居不下，且企业终端被黑客入侵植入勒索病毒的情况屡见不鲜。

经过火绒分析统计，有高达79%的勒索病毒攻击事件是由黑客入侵引发。在被黑客入侵的勒索病毒事件中，又有78%的现场为黑客通过RDP（Remote Desktop Protocol，即远程桌面协议）远程登录的方式植入、执行勒索病毒。为了躲避安全软件查杀，在黑客远程登录到用户终端后，首先会尝试使用内核级工具、或直接通过安全软件的功能入口结束安全软件进程，再投放勒索病毒对终端数据进行加密，从而提高勒索加密等恶意行为的完成度。相关病毒事件数据，如下图所示：

勒索病毒主要传播方式

勒索病毒植入途径占比图

特别需要关注，一些企业内部服务器通常会对外网开放服务端口，进而使此类服务器极易成为黑客进入企业内网的跳板。通过数据统计，我们发现有38%的勒索病毒问题与企业所使用的服务器相关，甚至个别企业对外网开放的服务器中存在较为严重安全问题，如：弱口令、高危系统漏洞等。

此外，由于企业内部所使用的第三方软件在连接数据库和远程终端时，通常会使用软件提供的默认密码，致使企业使用的财税软件、OA系统、ERP管理系统极易成为黑客入侵的突破口。相关数据，如下图所示：

企业勒索病毒问题终端类型占比图

近年来，黑客针对企业用户的勒索病毒攻击事件逐渐增多，数据安全对于企业用户来说愈发重要。如2020年12月，富士康位于墨西哥工厂的服务器也曾被黑客入侵，数量众多的服务器数据被加密，并被索要上亿人民币赎金。

除勒索外，个别黑客还会在勒索加密数据文件前窃取用户数据，对于不愿交出赎金的用户，黑客会通过“暗网”等渠道泄露用户的关键数据，使中毒用户遭受到严重的数据财产损失。

针对通过RDP远程登录执行勒索病毒的攻击现场，火绒企业版中的【终端动态认证】功能，可以帮助用户抵御来自黑客的RDP远程登录，从而有效降低黑客勒索加密用户数据的概率。关于【终端动态认证】功能相关报告，见附录报告列表。

感染型病毒

感染型病毒以寄生的方式将恶意代码附着于正常文件中，并通过被感染的文件进行传播。2020年感染型病毒感染终端范围Top20，如下图所示：

2020年感染型病毒感染终端范围TOP20

感染型病毒不仅可以感染可执行文件，还可以感染文档、带有脚本的工程文件（如Maya, AutoCAD）、图片、网页文件等。由于被感染的文档只有在执行后才会释放出原始的文档，导致用户为了使用文档而不得不执行病毒，从而使病毒进一步传播，感染更多终端。

对于感染型病毒，火绒的处理策略是清除被感染文件中的病毒代码，同时我们也在不断更新以支持更多的感染型病毒的清除。2020年火绒新增了对 “Spreadoc”（感染文档）、“普天同庆”（感染Maya工程文件）等多种感染型病毒的清除方案。2020年感染型病毒相关报告，见附录报告列表。

由于企业中大量使用局域网共享和U盘进行数据交换，因此当感染型病毒不能及时完整的清除，那么整个内网环境就有可能被反复感染，频繁报毒。感染型病毒的相关处理方法见附录。

企业安全报告

2020年度，火绒在为企业提供在线支持与应急响应服务过程时，会对用户常遇到的安全问题，和用户常忽视的安全风险进行归纳与总结，并在火绒对外平台以报告的形式向用户及时预警，帮助企业发现企业网络中可能存在的安全薄弱点，进行针对性的安全加固和防护。

此部分为火绒对本年度“企业安全”相关报告文档进行整理回顾：

“弱口令”问题是本年度火绒对企业提供服务时，最常发现的安全问题之一。

根据火绒火绒工程师全年排查问题发现，造成上述问题原因包括诸如企业未对系统自带的“默认账户”进行管控、系统、业务账号使用的密码强度不足，黑客通过暴破、社工等方式导致企业泄露账号、密码，对企业造成严重安全风险。

2020年火绒涉及“弱口令”报告如下：

《默认账户居然是黑客入侵高频通道火绒防护措施在这里》

《勒索病毒持续高发企业用户如何警惕弱口令防护短板》

“横向渗透”是企业遭遇的另一大常见安全问题。根据火绒在帮助企业用户处理相关问题时，发现有近半数都涉及到了横向渗透的攻击方式。

黑客一旦从外网进入目标局域网控制某一个终端，就可以利用同一局域网的信任关系，如共享权限、密码、凭据等，入侵其它终端，做更大范围的渗透攻击，由点到面，不断获取并控制高价值的目标终端，最终穿透整个局域网。

2020年火绒涉及“横向渗透”报告如下：

《企业域控服务器遭遇渗透火绒企业版切断黑客入侵攻击链》

此外，还有一些长期对企业造成困扰的问题，火绒对此类问题进行处理后，也会将问题以报告的方式对其他用户提供支持，期望减少此类安全问题对用户造成的困扰，例如：企业内文件共享可能遇到的安全问题与处理方法、企业内常见挖矿病毒与处理方法、勒索病毒的变化趋势与防护方式等。

2020年火绒涉及上述问题报告如下：

《企业安全须知：别让共享网络成为病毒传播径道》

《根据火绒查杀数据发现挖矿病毒的套路都在这里》

《根据近期勒索病毒变化趋势与响应揭露企业用户易踩陷阱》

针对企业发起的攻击越来越多，无论是挖矿、勒索还是数据窃取，对企业来说都会造成较大损失，及时以合理、高效的方式加固企业网络安全环境，防御未来可能遭受的攻击。火绒也会持续关注各类安全事件，提供更完善的防护。

漏洞威胁

2020年，微软官方共公布了1256个漏洞补丁，其中有190个漏洞级别为“Critical”（高危），1057个为“Important”（重要），火绒都会及时响应预警，并提供修复方式。2020年微软漏洞类型占比，如下图所示：

2020年微软漏洞类型占比图

EternalBlue（永恒之蓝）

软件漏洞长期以来都是病毒传播的主要渠道，通过对2020年漏洞攻击数据的统计，我们发现远程漏洞攻击中依然以“永恒之蓝”为主，在整体的漏洞攻击事件中占比近90%。2020年漏洞攻击总量占比，如下图所示：

2020年漏洞攻击总量占比

在野进行攻击的漏洞事件中EternalBlue（永恒之蓝）漏洞占据了绝大多数，使用该漏洞进行传播的病毒主要包括前文中所说的与挖矿相关的病毒家族，如DTStealer、WannaMine、匿影、紫狐等。2020年EternalBlue漏洞攻击的影响趋势，如下图所示：

2020年EternalBlue漏洞攻击的影响趋势

CVE-2020-0796（SMBGhost）

2020年爆出的高危漏洞中，CVE-2020-0796（或SMBGhost）漏洞对2020年互联网安全的整体影响相对较大。该漏洞爆出后，在较短的时间内就被引入到了一些蠕虫病毒（如DTStealer等）的横向传播模块中，从而造成了更大范围的安全威胁。

除了新漏洞以外，较为老旧的MS08-067漏洞在野攻击情况也依然频繁。除EternalBlue外，其他漏洞攻击影响趋势，如下图所示：

2020年主要漏洞攻击的影响趋势（除EternalBlue）

其它高危漏洞

在2020年爆出的漏洞中，虽然在前文中我们只看到CVE-2020-0796漏洞对互联网安全的影响，但是在这一年中还有一些高危漏洞即使现在被黑客使用的频率有限，但也极易被黑客用于进行病毒传播和攻击渗透。此类漏洞列表：

1. Windows TCP/IP 远程执行代码漏洞(CVE-2020-16898)

2. Netlogon特权提升漏洞(CVE-2020-1472)

3. Windows DNS服务器远程执行代码漏洞(CVE-2020-1350)

4. Windows NTFS远程执行代码漏洞(CVE-2020-17096)

5. Windows网络文件系统远程执行代码漏洞(CVE-2020-17051)

针对漏洞，除了定期使用【漏洞修复】功能进行扫描修复外，还可以通过开启【网络入侵拦截】功能进行防护。我们会不断跟进相关漏洞防御功能，将易被黑客或病毒使用的漏洞加入到相应的漏洞防御规则中，保护用户免受漏洞攻击所产生的安全威胁。

2020年漏洞相关通告、报告，见附录报告列表。

广告软件

广告软件的来源

广告软件通常没有正规的下载官网，大部分均通过捆绑推广的方式进行传播，且安装较为隐蔽，令用户难以察觉，只有在弹窗时才发现被捆绑安装；即使存在下载官网，整个官网也大都结构简陋，除了提供软件下载链接外不具备其它功能。除此之外，该类软件也会互相静默推广。

面对这些层出不穷，卸载不掉的广告软件，我们统计并归类了2020年全年的广告软件类问题发现，用户电脑中的广告软件97.88%都来自于下载器推广，仅有0.21%是用户主动下载安装。相关数据如下图所示：

广告软件来源数据统计

由此可见，下载器是广告软件传播的最大渠道，因此我们在【程序执行控制】功能中加入了【下载站下载器】的拦截规则对下载器进行拦截，相关报告见附录报告列表。

广告软件的危害

相比于其它恶意病毒攻击事件，广大用户在日常生活中更容易被广告软件所困扰。在2020年，火绒针对广告软件进行了持续追踪，该类软件长期霸占用户电脑用以牟取利益。

首先是广告弹窗骚扰。2020年中，根据火绒“在想支持和响应平台”对广告弹窗相关问题的统计，我们发现自疫情复工开始到“618”电商活动前后，广告弹窗问题逐渐凸显。从去年问题趋势来看，“双十一”和“双十二”前后虽然相对于上半年数据增长不明显，但总量也有所增加。2020年广告弹窗问题趋势图，如下图所示：

2020年广告弹窗问题趋势图

通过统计2020年全年广告弹窗问题相关的关键词，我们将问题出现频率较高的关键词以词云的形式进行了汇总。广告弹窗问题相关关键词热度，如下图所示：

广告弹窗问题相关关键词热度

广告软件除了花样百出的弹窗方式之外，还具有如下恶意行为：静默推广其它软件、替换浏览器中的各类设置，包括首页、书签、收藏夹、新标签页、历史记录等、暗刷指定网站的关键字搜索排名、劫持流量、收集用户个人隐私数据、云控“复活”等。

更令人意想不到的是，一些大型软件厂商凭借用户基数大，粘性高也会做出上述广告软件相关的越权行为，严重降低了用户的软件体验感及信任度。

由于用户早已习惯此类软件的使用，即使得知该软件具有广告软件类恶意行为，也只能被动接受，从而导致这些软件厂商在用户电脑上更加肆无忌惮，为所欲为，受害用户苦不堪言。火绒2020年相关报告，见附录报告列表。相关弹窗广告，如下图所示：

广告弹窗图

广告软件的受害比

广告软件数量庞大，受害用户数不胜数。我们统计了2020年全年相关数据发现，超过四分之一的用户都遭受过广告软件的侵扰。相关数据如下图所示：

广告类病毒机器占比

广告软件家族TOP20

广告软件家族众多，我们统计了2020年全年各个广告软件家族所影响的机器数，并做出TOP20排名。值得一提的是，和去年所统计的广告软件家族排行相比“Adware/HelperHaoZip”依旧稳居第一。相关数据如下图所示：

2020年广告软件家族TOP20

广告软件查杀策略变化

在如今流量既是利益的环境下，广告软件的弹窗，推广等恶意行为更加疯狂，甚至这些软件逐渐批量化，产业化，规模化。部分还会通过规避城市，躲避安全软件等方式与安全软件进行对抗，长久扎根于用户电脑之中。

针对此类软件的恶意行为，火绒也一直积极开发并完善相关功能来保护用户电脑。如：【文件实时监控】、【软件安装拦截】、【下载器拦截】、【弹窗拦截】等。

但是由于广告软件自身的特殊灰色性质，增加了部分安全厂商对其鉴定的难度。这也导致了此类软件愈发层出不穷，肆无忌惮的把用户电脑当成牟取利益的赚钱工具，逐渐越过安全底线，尽最大可能的榨干用户电脑存在的流量、隐私价值。让用户及部分安全厂商处于对抗的劣势方。仅靠提示拦截已经不足以帮助用户免受广告软件的侵犯，我们决定在严格判断、认定后，将彻底查杀此类软件，不给其更新、“复活”对抗的机会。查杀程度随之升级，由此前的查杀部分广告模块覆盖为整个广告软件，彻底杜绝广告软件的侵扰。