1.1 網絡威脅簡介

互聯網發展至今，網絡威脅也從最早的黑客炫技，演化成以盈利或竊取信息為目標的有組織攻擊。網絡威脅主要有僵木蠕毒等惡意程序、分布式拒絕服務（DDoS）、網絡入侵攻擊、業務安全風險等。

1.1.1 什么是惡意程序

惡意程序是指數字世界中帶有攻擊意圖的程序實體，通常可以分為攻擊載荷、木馬、蠕蟲、感染型病毒。

1.攻擊載荷

攻擊載荷是指攻擊者發起初始攻擊并建立網絡連接的武器載體，按照功能可以分為投遞攻擊類、連接控制類、獨立攻擊類。投遞攻擊類有遠程攻擊類載荷、釣魚郵件、惡意文檔等，連接控制類有WebShell、反彈Shell、后門木馬（BackDoor）等，獨立攻擊類有SSH、RDP、Telnet等標準Shell，如圖1-1所示。

遠程攻擊類載荷的目標是實施網絡遠程入侵攻擊并獲得系統執行命令的權限，大名鼎鼎的“永恒之藍”漏洞的利用方式就屬此類。這類載荷往往體積較小，獲得系統權限之后通常僅執行下載等少量操作，如果不需要作為跳板進一步擴大戰果，這類載荷一般以內存態呈現，所以企業在選擇主機安全產品時需要測試其是否具備檢測遠程攻擊類載荷（內存馬檢測）的能力。

釣魚郵件是另一種常見的投遞攻擊類載荷。最常見的手段是投遞一個附件，如果你被誘導打開了附件里的文檔或程序，則可能會被種下后門木馬。隱蔽一些的手段會結合瀏覽器漏洞實施攻擊，郵件中是一個網址或帶鏈接的圖片，如果你的瀏覽器存在漏洞，有可能在點擊鏈接之后被攻陷。最高級的釣魚郵件會使用郵箱軟件0DAY或系統指針0DAY等“核武器”實施攻擊，只要你打開郵件，不需要任何操作，就可能被攻陷，即所謂的“看一眼就中毒”。

惡意文檔一般伴隨著釣魚攻擊出現，之所以單獨介紹，是因為除了郵件釣魚，攻擊者逐漸傾向使用聊天工具冒充合作伙伴、招聘HR等角色實施釣魚攻擊，發給你的文檔是包含漏洞利用代碼的。

WebShell是最常見的連接控制類載荷。當攻擊完成之后，如果目標是一個Web應用服務器，攻擊者會在合適的目錄下放置一個實施命令與控制的PHP或JSP腳本，通過網址訪問就能實施控制和竊取信息的操作。

反彈Shell是指失陷主機主動連接攻擊者服務器實施被控的腳本載荷，通常使用Bash、Telnet、Python、PHP等腳本編寫，并完成系統駐留，實施持久化攻擊。

后門木馬是指攻擊者完成入侵后植入的后門通道，用于遠程控制和執行命令，功能非常強大，可以截取屏幕，竊取數據，破壞系統，幾乎無所不能，是組建僵尸網絡和進行APT攻擊（定向持久攻擊）的關鍵武器。

標準Shell是指利用SSH、Telnet、RDP、灰鴿子遠程協助等軟件提供的遠程服務實施的攻擊，比如弱口令攻擊，一旦入侵成功，就可以使用系統提供的遠程服務實施控制和命令操作。

2.木馬

木馬是數量最多的一類惡意程序，各安全公司會根據危害類型將木馬進一步細分。常見的木馬有后門木馬、網銀木馬、盜號木馬、主頁木馬、廣告木馬、勒索木馬、挖礦木馬等，如圖1-2所示。

1）后門木馬。前文已介紹。

2）網銀木馬。21世紀初，網上購物和網銀支付得到了很大的發展，因此也出現了網銀（購）木馬。網銀木馬主要使用兩種方法：一種是直接盜取賬號和密碼，另一種是篡改支付過程中的收款賬號和收款金額。隨著銀行U盾、安全控件、多因子認證等防護措施的加強，網銀木馬在國內已經很少見了。

3）盜號木馬。互聯網的發展使得大家擁有了很多賬號。在黑產眼里，這些賬號具備很高的價值，特別是聊天賬號和網游賬號。“盜號產業鏈”已經非常成熟。盜號的常用手法有鍵盤記錄、內存讀取、界面模仿等。

4）主頁木馬。瀏覽器的導航主頁是重要的流量入口，也是很多互聯網公司的重要收入來源。受利益驅動，鎖主頁的木馬一直流行至今。

5）廣告木馬。惡意彈廣告是木馬的另一種主流的變現模式。除了木馬，也有很多軟件違規彈廣告，特別是618、雙11等購物節，給網民的桌面帶來了極大的騷擾。有些木馬也會耍些小伎倆，不真正彈出窗口，改為在后臺刷廣告，以此來欺騙投放主的廣告費。

6）勒索木馬。早期的勒索木馬會鎖定系統要求贖金，現在主要對計算機（包括服務器）上的文件進行加密，支付贖金后提供解密。近年來，數字貨幣發展迅速。數字貨幣的匿名性使得交易難以追蹤，客觀上助長了黑產和網絡犯罪的發展。目前，幾乎所有的勒索木馬都采用數字貨幣支付贖金。

7）挖礦木馬。挖礦木馬也是數字貨幣發展的產物。和勒索木馬不同，挖礦木馬不會破壞文件，但會在后臺悄悄利用CPU和顯卡的計算能力為木馬作者挖取價值不菲的數字貨幣，而宿主唯一能感覺到的可能只是計算機運行速度變慢了。

3.蠕蟲

蠕蟲最大的特性是能夠自我復制、主動傳播。根據傳播方式不同，蠕蟲可以分為網絡蠕蟲、郵件蠕蟲、共享蠕蟲、聊天蠕蟲等，如圖1-3所示。

1）網絡蠕蟲。這類蠕蟲具備最強的傳播能力，利用內置的滲透技術自動尋找存在漏洞的目標并完成攻擊，在網絡世界中肆意穿行。大名鼎鼎的WannaCry就是這類蠕蟲。該蠕蟲利用了NSA（美國國家安全局）泄漏的“永恒之藍”等漏洞，在短時間內席卷了全球，并傳播勒索木馬，造成了經濟、生產的嚴重停擺。這類蠕蟲一旦放出來，就像打開的潘多拉魔盒，難以控制。WannaCry的作者加入了“自殺”開關，否則危害還將放大數倍。另外，2003年的“沖擊波”、2004年的“震蕩波”都屬于此類蠕蟲。

2）郵件蠕蟲。這類蠕蟲通常會收集失陷系統的郵箱列表，然后使用自帶的郵件引擎向這些郵箱發送病毒郵件，進一步感染和控制更多的計算機。隨著大數據挖掘技術在反垃圾郵件中的應用，此類蠕蟲的生存空間已經非常狹小。

3）共享蠕蟲。這類蠕蟲通過向共享目錄釋放病毒體進行傳播，通常需要誘騙用戶雙擊打開才能運行。但U盤類蠕蟲則會通過設置“自動播放”屬性在打開目錄時進行傳播。另外，配合lnk（快捷方式）漏洞，理論上可以實現在打開共享目錄時“看一眼就中毒”的能力。

4）聊天蠕蟲。這類蠕蟲通過聊天工具進行傳播，著名的有“QQ尾巴”“MSN書蟲”等。攻擊者會在聊天軟件或聊天室中發一些具有誘惑力的內容，附帶一個病毒鏈接。隨著聊天軟件聯合安全團隊的治理，此類蠕蟲也基本銷聲匿跡。

4.感染型病毒

感染型病毒等同于狹義上的病毒定義，主要特征是感染正常的應用程序并寄生在其中。在程序運行時，首先執行的是病毒代碼，然后再跳轉執行應用程序代碼。相對于木馬和蠕蟲，感染型病毒在編寫上更有技巧和難度，很難用普通殺毒軟件清除干凈。受網絡安全法及“熊貓燒香”案件的影響，近幾年沒有再出現新的感染型病毒。但古董病毒（ramint等）依舊潛伏在網絡的某個角落，時不時地進行一輪小范圍的攻擊。感染“熊貓燒香”之后的界面如圖1-4所示。

除此之外，還有一類最難清除的病毒，業內通常命名為Rootkit、Bootkit。

1）Rootkit。安全軟件通過主動防御和強力殺毒功能來攔截和查殺病毒，往往具備系統權限，以取得對抗上的優勢。而Rootkit病毒則通過進入系統內核（相當于手機上獲得Root權限），取得了和殺毒軟件一樣的權限，進而可以實現隱藏（看不見）、加固（殺不掉）、破壞（反殺安全軟件）等動作，難以被清除。

2）Bootkit。這是比Rootkit更高一級的攻擊技術。通過感染磁盤引導區（MBR、VBR）、主板BIOS等硬件，取得比安全軟件更早的啟動機會。隨著這類代碼被公開披露，Bootkit技術被越來越多應用到黑產中，比較有名的是“暗云”系列、“異鬼”“隱魂”等。

Rootkit和Bootkit存在于系統底層，如圖1-5所示，理論上可以對操作系統核心做任何的修改和破壞。

針對Rootkit和Bootkit，安全軟件在處理時已經沒有太多的優勢，因此防御重點應該是加強對此類威脅在進入或執行階段的攔截。另外，此類病毒往往通過盜版系統傳播，能夠比安全軟件更早入駐系統，國內一流的安全廠商都在它們的管家或衛士產品上加入了“專殺代碼”進行清除，還單獨發布了“急救箱”進行強力清除。

1.1.2 經典網絡攻擊

1.僵木蠕毒攻擊

業內習慣把僵尸網絡、木馬、蠕蟲、感染型病毒合稱為僵木蠕毒。從攻擊路徑來看，蠕蟲和感染型病毒通過自身的能力進行主動傳播，木馬則需要渠道來進行投放，而由后門木馬（部分具備蠕蟲或感染傳播能力）構建僵尸網絡。下面揭示一下木馬的投放方法。

網絡下載是當前木馬攻擊的主要路徑。大部分人都會從網絡下載安裝軟件，如果不注意區分，就可能被病毒攻擊。一些不正規的網站、外掛網站、軟件（游戲）下載網站、小說網站往往會植入木馬牟取私利，“誘導安裝”傳播木馬如圖1-6所示。

有些朋友不以為然，認為只要不在網上下載文件，又奈我何？此時，網頁掛馬粉墨登場。網頁程序在瀏覽器中的執行權限是受到限制的，但黑產作者通過瀏覽器、Flash等組件的漏洞突破了該限制，獲得了更高的系統權限，此時，可以通過shellcode釋放和執行木馬。在用戶視角，他只是瀏覽了某個網頁，沒有下載和運行任何程序，結果還是中毒了，如圖1-7所示。

客戶端掛馬是網頁掛馬的升級版本，即使沒有瀏覽網頁，也有可能會中毒。那么，這是怎么發生的呢？互聯網廣告的蓬勃發展，使得很多軟件都會在適當的時機給用戶彈廣告推薦商品或推裝軟件來獲得收益。而大部分軟件的彈廣告模塊內置了Flash控件，如果Flash控件存在漏洞，則在軟件彈出廣告時，加載的廣告中含有惡意代碼（黑產作者故意投放到廣告中的），這樣木馬就進來了，如圖1-8所示。2017年警方抓獲的“雷勝”特大網絡犯罪團伙，就是熟練使用客戶端掛馬技術的黑產團伙。

聊天工具也是主要的攻擊路徑之一。聊天蠕蟲在軟件官方和安全團隊的技術打擊下，已經不再流行。現在針對聊天工具的攻擊方式主要有兩種：一種是在聊天群里分享帶毒鏈接，或者把木馬改為有誘惑性的文件名（比如“2018年各大互聯網公司年終獎披露”）上傳到聊天群里；另一種是定向攻擊，每一個案例都有劇本（經典劇本有“我的照片”“招聘職位描述”等），如圖1-9所示。

2. DDoS攻擊

DDoS攻擊是指在短時間內對服務器進行洪水般的超負載訪問攻擊，以擊垮服務器，使其不能為客戶服務。攻擊對象通常為游戲服務器、網站、業務服務器等，實施攻擊者主要是黑產控制的代理服務器或僵尸網絡。

我們把被后門木馬控制的機器叫作“肉雞”，而由大量肉雞組成的能夠統一接收指令并實施網絡攻擊的集合叫作“僵尸網絡”，DDoS攻擊是僵尸網絡的主要業務之一。近年來，智能設備快速普及，但安全防護能力并沒有同步跟上，使得大量的智能設備能夠被輕易入侵并控制，導致僵尸網絡的規模得到了成倍的擴張。Mirai是一個由網絡攝像頭、路由器等智能設備構成的僵尸網絡，超強的DDoS攻擊流量甚至使美國東海岸互聯網停擺了半天時間。MyKings是全球范圍內具有數百萬肉雞的多重（PC、IoT等）僵尸網絡，除了DDoS攻擊，還有虛擬幣挖礦、提供代理服務等業務。

DDoS攻擊中最難防御的是利用僵尸網絡實施的低頻CC攻擊，攻擊者模擬用戶正常訪問回包數據較大的網絡接口，導致服務器消耗放大最終癱瘓。

3.黑客入侵攻擊

很長一段時間，黑客入侵根據目的來劃分主要有兩種：一種是構建僵尸網絡進行黑產牟利，另一種是通過高級攻擊（APT）進行間諜破壞活動。這兩種入侵攻擊都比較注重隱蔽自身，實施持久性攻擊。但隨著數字貨幣的發展，近年來出現了一種新的攻擊——入侵服務器加密數據或文檔進行敲詐勒索。

辦公計算機和服務器是一個企業重要的資產，但如果不注意安全防護，這些資產可能會和黑產共享。黑產人員通過網絡攻擊入侵個人計算機或服務器并植入后門，當資產數量形成一定的規模后，黑產人員可以通過發送指令進行DDoS攻擊、彈廣告等方式牟利，如圖1-10所示。

在電影中，黑客往往無所不能。而現實中，黑客經常也確實無所不能。接下來，我通過兩個故事來介紹對企業危害較大的APT攻擊和勒索病毒攻擊。

故事一：盜版游戲比正版游戲更新快

早些年，某知名游戲公司G公司的老總陳峰找到我，讓我幫忙排查一起游戲服務端泄露的安全事件。

陳峰告訴我，他們公司的A游戲是代理H公司的，但是最近他們發現，外界出現了盜版私服，而且版本更新得比他們還快。H公司認為是他們出現了問題，理由是剛剛把新版發過來，外面的私服就跟著更新了，另外還發現有兩名G公司員工向H公司投遞了釣魚郵件。

我一聽來了興趣，于是和小伙伴一起去了現場。經過三天的調查取證，確認G公司遭到了臭名昭著的Winnti組織的攻擊。我告訴陳峰，Winnti是主要針對游戲公司的APT組織，竊取源代碼或服務器程序搭建私服是其主要牟利手段之一，而這次攻擊持續了兩年之久。攻擊過程如圖1-11所示。

故事二：勒索信

李雷是一家物料加工廠的老板。這天，李雷還像往常一樣早早起床，正準備出門的時候，工廠來電話了，大致意思就是工廠的計算機都中了病毒，無法正常開展工作了。李雷一聽，趕緊開車奔向工廠，并向在安全公司工作的好朋友王毅求助。

李雷到達公司后，了解到公司大部分機器上的文件和數據都被加密了，重要的有財務的計算機、數據服務器、作業服務器等。加密的計算機上都留下了一封英文信件，信件大致意思是：我把你的文件都加密了，你可以通過郵件聯系我嘗試解密3個文件，額外的解密需要付費。李雷趕緊安排員工聯系對方。（勒索病毒攻擊中的“勒索信”如圖1-12所示。）

沒多久，王毅過來了，排查了半個小時有了結論：“計算機所中的是今年最流行的勒索病毒之一GlobeImposter，沒有密鑰無法解密。如果數據有備份的話，可以通過備份恢復。”在得知沒有備份后，王毅接著說：“現在要緊的是拿回數據恢復生產。另外，黑客是通過445等端口暴力破解入侵暴露在公網上的服務器的，然后再對內網滲透，找到重要機器后，進行加密勒索。后面還要做好防御工作，免得下次再被攻擊。”攻擊路徑示例如圖1-13所示。

這時，攻擊者的回復郵件也發過來了，對方要求支付1個比特幣提供解密服務，按照當前的市場價格，約為10萬人民幣。但李雷沒接觸過比特幣，不知道怎么支付。這時王毅又說：“勒索病毒已經產業化了，他們分工很明確，病毒作者和代理商合作分成，代理商會找到渠道商，渠道商實施攻擊入侵并植入勒索病毒。但他們為了不被追查到，只支持比特幣支付。這時，有一些人嗅到了商機，他們聯系勒索代理商，專門解決支付難的問題，從中賺取回扣，而且價格往往比直接支付還要優惠。網上搜索勒索病毒文件恢復就能找到他們。”勒索病毒產業鏈如圖1-14所示。

雖然不情愿，但為了盡快恢復生產，李雷還是通過支付贖金解決了問題，并按照王毅的建議，對計算機和服務器打了補丁，安裝了殺毒軟件，關閉了不必要的端口，還添置了數據自動備份的系統，也對內外網進行了隔離。吃一塹長一智，重要的是確保后續不會再出差錯。

1.1.3 業務安全攻擊

區別于網絡安全攻擊，業務安全攻擊是指對企業提供的業務本身實施的攻擊，受攻擊對象包括軟件（如手機應用、小程序等）、服務接口、營銷活動等。攻擊者不需要通過網絡入侵就能達成目的。

常見的業務攻擊有針對電商活動的“薅羊毛”攻擊、針對各種社會緊缺資源的“占坑”攻擊，針對業務數據的“爬蟲”攻擊、針對影視作品版權的“盜鏈”攻擊等。這里介紹一下前三種攻擊。

1.“薅羊毛”攻擊

在電子商務活動中，商家為了使得廣告投放更有效果，更能吸引用戶，往往會做一些讓利活動，如各種優惠券、抵扣券、秒殺活動等。通常情況下，這些讓利會跟隨廣告觸達用戶。但實際上，這些活動早早被一些團伙盯上了。在活動出來之后，這些團伙利用“秒單”程序以毫秒級的速度搶單，往往幾分鐘就將優惠券一搶而光，隨后進行轉賣來賺取差價。安全研究員稱這些團伙為“羊毛黨”。這類攻擊對商家的傷害非常大，使得商家的讓利幾乎沒有到達目標用戶，投放的廣告效果也大打折扣。如果風險控制沒有做好，這類攻擊甚至可能會影響企業的發展。

2.“占坑”攻擊

社會緊缺資源主要有火車票、醫療掛號等，而這些較少的資源卻被少數人控制，然后高價賣給真正有需要的人，安全研究員把這類黑產團伙叫作“黃牛黨”。有需求的人搶不到，為什么“黃牛黨”卻可以？這里以醫療掛號為例進行介紹。現在很多醫院都支持線上掛號，“黃牛黨”利用程序時刻監控著號源，當醫院放號時，程序自動使用事先準備好的身份信息進行號源搶占。程序的操作是毫秒級的，憑人的手速是搶不過的，因此人們經常看到的就是“約滿”。然后，“黃牛黨”通過電商平臺或者他們開發的山寨掛號網銷售，患者線下提交需求和身份信息，“黃牛黨”退訂一個號源，然后通過程序利用患者的身份信息迅速掛號。通過黃牛掛號，付出的費用要比官方掛號高10倍以上。這類攻擊往往不會損害醫院或企業的利益，但用戶會花費額外的費用。

3.“爬蟲”攻擊

常見的信息泄露有三種途徑：黑客入侵“拖庫”、內鬼泄密和“爬蟲”攻擊。這里介紹與業務安全相關的“爬蟲”攻擊。互聯網下半場，傳統行業紛紛出場，比如智慧交通、智慧醫療等，導致大量的數據進行互聯互通。比如，通過一些醫療服務應用，我們可以掛號、查看病歷和化驗報告。這里出現了一個問題，這些應用的質量參差不齊，有些應用沒有做權限控制或存在被繞過的漏洞，導致可以通過任意手機號查看別人的身份信息和就診信息。被黑產發現之后，他們通過手機號碼庫進行遍歷爬取，整合歸檔之后在暗網上售賣。“爬蟲”攻擊可能會導致企業的核心數據或用戶的隱私數據泄露，應引起重視，企業應從網站建設、應用開發上做好權限控制，避免出現越權訪問漏洞。