2020-20021年中国网络安全研究报告.doc

2020-20021年中国网络安全研究报告目录一、恶意软件与恶意网址2（一）恶意软件2（二）恶意网址7二、移动安全9（一）2020 年手机病毒概述9（二）2020 年 1 至 12 月手机病毒 Top510（三）2020 年手机漏洞 Top511三、企业安全11（一）2020 年重大企业网络安全事件11（二）2020 年漏洞分析15（三）2020 年全球 APT 攻击事件解读20（四）2020 年勒索病毒分析29（五）2020 年供应链攻击分析33四、趋势展望36（一）后疫情时代网络安全面临新的挑战36（二）勒索软件依旧流行，勒索方式向多重勒索方向发展36（三）垃圾邮件、钓鱼邮件攻击仍是需要重点关注的安全领域37（四）供应链攻击危害逐渐显现37（五）信息泄露依然形势严峻38专题 1：2020 年利用“新冠肺炎”为诱饵的网络攻击事件39一、事件概述39二、样本分析42三、关联分析55四、防范措施56专题 2：2020 年国内大量外贸物流企业遭受尼日利亚钓鱼组织攻击56一、钓鱼组织乔装甲乙双方 一封邮件获利 5 万美元56二、国内大量外贸物流企业已遭受攻击60三、攻击者以家庭为单位 父子作案分工明确61四、防范措施64附：2020 年国内重大网络安全政策法规64报告摘要2020 年瑞星“云安全”系统共截获病毒样本总量 1.48 亿个，病毒感染次数 3.52 亿次，病毒总体数量比 2019 年同期上涨 43.71%。广东省病毒感染人次为 3,427 万，位列全国第一，其次为山东省及北京市，分别为 2,787 万及 2,452 万。2020 年瑞星“云安全”系统共截获勒索软件样本 156 万个，感染次数为 86 万次；挖矿病毒样本总体数量为 922 万个，感染次数为 578 万次。勒索软件感染人次按地域分析，北京市排名第一，为 19 万；挖矿病毒感染人次按地域分析，新疆以 69 万次位列第一。2020 年瑞星“云安全”系统在全球范围内共截获恶意网址（URL）总量 6,693 万个，其中挂马类网站 4,305 万个，钓鱼类网站 2,388 万个。在中国范围内排名第一位为香港，总量为 61 万个，其次为河南省和江苏省，均为 55 万。 2020 年瑞星“云安全”系统共截获手机病毒样本 581 万个，病毒总体数量比 2019 年同期上涨 69.02%。病毒类型以信息窃取、资费消耗、流氓行为、恶意扣费等类型为主，其中信息窃取类 病毒占比 32.7%，位居第一。 2020 年企业安全事件：2020 年勒索软件攻击已突破历史最高点；APT 组织利用和 COVID-19 相 关话题的诱饵对全球各个组织实施攻击；7000 多名武汉返乡人员信息遭泄露；中国电信超 2 亿 条用户信息被卖；尼日利亚网络钓鱼组织对国内企业进行钓鱼攻击；Twitter 公司员工被钓鱼， 奥巴马、盖茨推特账号泄露被发布欺诈消息等。 2020 年 CVE 漏洞分析：CVE-2017-11882 Office 远程代码执行漏洞；CVE-2010-2568 Windows LNK 快捷方式漏洞；CVE-2016-7255 Win32k 特权提升漏洞；CVE-2017-0147 Windows SMB 协议 漏洞 MS17-010；CVE-2012-6422 Samsung Galaxy Android 设备内核安全漏洞等。3 2020 年全球 APT 攻击事件解读：APT 组织 UNC2452；APT 组织 OceanLotus；APT 组织 SideWinder； APT 组织 Darkhotel；APT 组织 Patchwork。 2020 年勒索病毒分析：据全球企业调查和风险咨询公司 Kroll 的报道，勒索软件是 2020 年最 常见的威胁，可能通过网络钓鱼电子邮件、漏洞、开放式远程桌面协议（RDP）和 Microsoft 专 有的网络通信协议等来发起攻击，传统企业、教育、医疗、政府机构遭受攻击最为严重，互联 网、金融、能源也遭到勒索病毒攻击影响。2020 年供应链攻击：随着黑客团伙等利用供应链攻击作为安全突破口对各大政府企业机构组织所进行的网络攻击安全事件不断发生,供应链攻击已成为 2020 年最具影响力的高级威胁之一。 供应链攻击一般利用产品软件官网或者软件包存储库等进行传播。 趋势展望：后疫情时代网络安全面临新的挑战；勒索软件依旧流行，勒索方式向多重勒索方向 发展；垃圾邮件、钓鱼邮件攻击仍是需要重点关注的安全领域；供应链攻击危害逐渐显现；信 息泄露安全形势严峻。7一、恶意软件与恶意网址（一）恶意软件1. 2020 年病毒概述(1) 病毒疫情总体概述2020 年瑞星“云安全”系统共截获病毒样本总量 1.48 亿个，病毒感染次数 3.52 亿次，病毒总体数量比 2019 年同期上涨 43.71%。报告期内，新增木马病毒 7,728 万个，为第一大种类病毒，占到 总体数量的 52.05%；排名第二的为蠕虫病毒，数量为 2,981 万个，占总体数量的 20.08%；感染型病 毒、灰色软件、后门等分别占到总体数量的 12.19%、9.59%和 3.75%，位列第三、第四和第五，除此 以外还包括漏洞攻击和其他类型病毒。图：2020 年病毒类型统计(2) 病毒感染地域分析报告期内，广东省病毒感染人次为 3,427 万次，位列全国第一，其次为山东省及北京市，分别为 2,787 万次及 2,452 万次。图：2020 年病毒感染地域分布 Top102. 2020 年病毒 Top10根据病毒感染人数、变种数量和代表性综合评估，瑞星评选出 2020 年 1 至 12 月病毒 Top10：3. 勒索软件和挖矿病毒勒索软件和挖矿病毒在 2020 年依旧占据着重要位置，报告期内瑞星“云安全”系统共截获勒索软件样本 156 万个，感染次数为 86 万次，病毒总体数量比 2019 年同期下降了 10.84%；挖矿病毒样本总体数量为 922 万个，感染次数为 578 万次，病毒总体数量比 2019 年同期上涨 332.32%。瑞星通过对捕获的勒索软件样本进行分析后发现，GandCrab 家族占比 67%，成为第一大类勒索 软件，其次是 Eris 家族，占到总量的 13%，第三是 LockScreen 家族，占到总量的 2%。图：2020 年勒索软件家族分类勒索软件感染人次按地域分析，北京市排名第一，为 19 万次，第二为山东省 7 万次，第三为广东省 6 万次。图：2020 年勒索软件感染地域分布 Top10挖矿病毒在 2020 年异常活跃，瑞星根据病毒行为进行统计，评出 2020 年挖矿病毒 Top10：挖矿病毒感染人次按地域分析，新疆以 69 万次位列第一，广东省和山东省分别位列二、三位，均为 45 万次。图：2020 年挖矿病毒感染地域分布 Top10（二）恶意网址1. 2020 年全球恶意网址概述2020 年瑞星“云安全”系统在全球范围内共截获恶意网址（URL）总量 6,693 万个，其中挂马类网站 4,305 万个，钓鱼类网站 2,388 万个。美国恶意 URL 总量为 2,443 万个，位列全球第一，其次是中国 598 万个和德国 200 万个，分别排在二、三位。图：2020 年全球恶意 URL 地域分布 Top102. 2020 年中国恶意网址概述报告期内，瑞星“云安全”系统所截获的恶意网址（URL）在中国范围内排名，第一位为香港， 总量为 61 万个，其次为河南省和江苏省，均为 55 万个。图：2020 年中国恶意 URL 地域分布 Top103. 2020 年钓鱼网站概述报告期内，瑞星“云安全”系统拦截钓鱼攻击次数总量为 251 万次，其中广西省为 64 万次，排名第一；其次为北京市和辽宁省，分别为 22 万次和 12 万次。20图：2020 年钓鱼攻击地域分布 Top10二、移动安全（一）2020 年手机病毒概述2020 年瑞星“云安全”系统共截获手机病毒样本 581 万个，病毒总体数量比 2019 年同期上涨69.02%。病毒类型以信息窃取、资费消耗、流氓行为、恶意扣费等类型为主，其中信息窃取类病毒 占比 32.7%，位居第一；其次是资费消耗类病毒占比 24.32%，第三名是流氓行为类病毒占比 13.45%。北京瑞星网安技术股份有限公司图：2020 年手机病毒类型比例（二）2020 年 1 至 12 月手机病毒 Top5（三）2020 年手机漏洞 Top5三、企业安全（一）2020 年重大企业网络安全事件1. 2020 年勒索软件攻击已突破历史最高点2020 年，据全球企业调查和风险咨询公司 Kroll 的报道，勒索软件是 2020 年最常见的威胁， 其可能通过网络钓鱼、电子邮件、漏洞、开放式远程桌面协议（RDP）和 Microsoft 专有的网络通信 协议等方式来发起攻击。勒索软件的攻击规模和频率居高不下，席卷了全球各个领域、各种规模的 企业，据统计 2020 年勒索软件的攻击事件已突破历史最高点，其中药物测试公司 HMR、IT 服务公司 Cognizant、巴西电力公司 Light S.A、跨国零售公司 Cencosud 等多个大型企业都于 2020 年遭受 过勒索攻击。2. APT 组织利用新冠相关话题为诱饵对全球各组织实施攻击2020 年新型冠状病毒肺炎疫情期间，发生了多起 APT 组织利用疫情相关信息作为诱饵的网络攻击事件，通过对诱饵文档中关键字符进行提取，发现中国、巴基斯坦、乌克兰、韩国等多个国家都是被频繁攻击的目标。经监测发现，APT 组织 Patchwork、OceanLotus、Kimsuky、Transparent Tribe、 Lazarus Group 以及 Sidewinder 等活动较为频繁，该类组织主要利用以疫情为话题的钓鱼邮件进行 入侵，攻击手法多采用宏、0day 或 Nday 漏洞等进行攻击。（详细分析见报告专题 1）3. 7000 多名武汉返乡人员信息遭泄露2020 年 1 月，新冠疫情引发全民关注，武汉作为疫情重灾区，武汉返乡人员也被列为重点关注对象。据南方都市报报道，多名武汉返乡人员信息被泄露，信息多达 7 千条，涉及姓名，电话号码， 身份证号，列车信息和具体住址等敏感信息。南都记者随机拨打了表中的几个电话进行确认，信息 均属实。因信息泄露，多名返乡人员收到了对其进行人身攻击的骚扰电话和信息。4. 中国电信超 2 亿条用户信息被卖2020 年 1 月，网曝中国电信超 2 亿条用户信息被卖。据相关的院裁判书显示，“2013 年至 2016年 9 月 27 日，被告人陈亚华从号百信息服务有限公司（为中国电信股份有限公司的全资子公司）数据库获取区分不同行业、地区的手机号码信息，并提供给被告人陈德武，而陈德武则以人民币 0.01元/条至 0.02 元/条不等的价格在网上出售，获利达 2000 余万元，涉及公民个人信息 2 亿余条。”5. 微盟某运维人员“删库”，致微盟损失巨大2020 年 2 月，微盟官方发布通报，通报中表示，“研发中心运维部核心运维人员贺某通过个人 VPN 登入公司内网跳板机，因个人精神、生活等原因对微盟线上生产环境进行了恶意破坏。”此次事 件影响恶劣，贺某被判处 6 年有期徒刑。据判决书道“微盟公司服务器内数据被全部删除，致使该公司运营自 2020 年 2 月 23 日 19 时起瘫痪，300 余万用户（其中付费用户 7 万余户）无法正常使用该公司信息产品，经抢修于同年 3 月 3 日 9 时恢复运营。截至 2020 年 4 月 30 日，造成微盟公司支付恢复数据服务费、商户赔付费及员工加班报酬等经济损失共计人民币 2260 余万元。”6. 黑客组织利用国内某 VPN 设备漏洞攻击我国驻外机构及部分政 府单位2020 年 3 月，国内某 SSL VPN 设备被曝出存在严重漏洞，能够通过劫持该 VPN 的安全服务从而 对受害者下发恶意文件。据安全厂商报道，已有黑客组织利用这个漏洞对我国政府单位及驻外机构 发起了网络攻击。通过对此次网络攻击的追踪溯源，攻击者是有着东亚背景的 APT 组织 Darkhotel。 据悉，此次攻击已使得数百台的 VPN 服务器失陷，还导致了中国在英国、意大利、泰国等多达 19 个 国家的驻外机构和部分国内政府机构受到影响。7. 青岛胶州 6000 余人就诊名单泄露，3 人被行拘2020 年 4 月，据胶州公安发布的警方通报表示，“胶州市民的微信群里出现中心医院出入人员名单信息，内容涉及 6000 余人的姓名、住址、联系方式、身份证号码等个人身份信息，造成了不良 社会影响。”据胶州市公安局调查显示，“叶某在工作中将接到的随访人员名单信息转发至所在公司 微信群，该群内的姜某将名单信息转发至家人群，其家人又继续转发传播。张某工作中将接到的随 访人员名单信息转发至家人微信群，其家人又继续转发传播。以上 3 人的行为，造成中心医院出入 人员名单在社会上被迅速转发传播，侵犯了公民的个人隐私。”8. 新型 PC 勒索病毒“WannaRen”开始传播，赎金为 0.05 个比特 币2020 年 4 月，网曝出现一种新型勒索病毒“WannaRen”，多个社区、论坛，有用户反映遇到勒索 加密。该病毒会加密 Windows 系统中的大部分文件，加密后的文件后缀名为.WannaRen，勒索信为繁 体中文，勒索赎金为 0.05 个比特币。据悉，该勒索和 2017 年的“WannaCry”勒索病毒行为类似， 主要借助 KMS 类的系统激活工具、下载工具等传播。目前，该病毒存在两个变种，一个通过文字发 送勒索信息，另一个通过图片发送勒索信息。9. 尼日利亚网络钓鱼组织对国内企业进行钓鱼攻击2020 年 6 月，瑞星发现尼日利亚网络钓鱼组织对国内大量进出口贸易、货运代理、船运物流等 企业进行猛烈的网络钓鱼攻击，这类组织通过搜索、购买或窃取等方式获取企业相关邮箱账号进行 钓鱼邮件投递，劫持企业公务往来邮件，伪装成买卖双方从而进行诈骗，以牟取暴利，该组织已收 集大量国内企业员工的公务和个人邮箱，或企业网站登录凭据等数据，这会导致国内诸多企业遭受 巨大的经济损失或信息被窃等风险。（详细分析见报告专题 2）10.Twitter 公司员工被钓鱼，致奥巴马、盖茨推特账号发布欺 诈消息2020 年 7 月，黑客团伙入侵推特（Twitter）网络，接管了多个政客、名人和企业家的推特账 户，如：美国前总统奥巴马、美国民主党总统候选人拜登、微软公司创始人比尔盖茨、亚马逊公司 创始人杰夫贝佐斯、金融大亨沃伦巴菲特、特斯拉 CEO 埃隆马斯克、纽约市前市长迈克尔布 隆伯格、歌手坎耶韦斯特、美国社交名媛金卡戴珊，以及苹果公司、优步公司的官推等。黑客利 用这些账号发布比特币钓鱼链接，声称任何人只要往某个比特币账户发送比特币，就会得到双倍回 报，且活动只限 30 分钟内参与。诈骗推文发布后几分钟内，一些比特币帐户显示收到超过 113,000 美元。此次受到影响的名人政要账号数量众多，可以说是推特历史上最大的安全事件。11. Windows XP 源代码泄露2020 年 9 月，Microsoft 的 Windows XP 和 Windows Server 2003 操作系统的源代码以 torrent 文件的形式发布在公告板网站 4chan 上。此次泄漏在网络上的 torrent 文件的大小总为 43GB，其中 包括 Windows Server 2003 和 Microsoft 开发的其他较旧操作系统的源代码，包括：Windows 2000， Windows CE 3，Windows CE 4，Windows CE 5，Windows Embedded 7，Windows Embedded CE，Windows NT 3.5，Windows NT 4，MS-DOS 3.30，MS-DOS 6.0。尽管微软对泄露的代码系统早已停止支持，但 是仍然有部分人群由于各样的原因，一直没有升级到最新的系统，不法分子有可能利用此次泄露的 源代码进行反向工程，以发现可利用的漏洞，这将在未来一段时间甚至长期影响相关用户的安全。12. 英特尔内部数据泄漏，涉及芯片机密和知识产权2020 年 8 月，据外媒报道，英特尔公司发生数据泄密事件，其 20GB 的内部机密文档被上传到 在线文档分享网站 MEGA 上。被公布的文件内包含与各种芯片组内部设计有关的英特尔知识产权内 容，比如 2016 年的 CPU 技术规格、产品指南和手册。该文件由瑞士软件工程师蒂尔科特曼（Till Kottmann）发布，其声称这些文件来自一名入侵英特尔的匿名黑客，英特尔也已在对此进行调查， 他们认为是有权限的个人下载并分享。13. 美国百万选民数据泄露2020 年 9 月，据俄罗斯媒体报道，一个 ID 为“Gorka9”的用户在某个论坛上表示可以免费访问密歇根州 760 万选民的个人信息。此外，暗网上还出现康涅狄格州、阿肯色州、佛罗里达州和北卡罗来纳州等 200 万至 600 万选民详细信息的数据库。研究人员表示，这些泄露信息是真实的选民数 据，其中包括姓名、出生日期、性别、选民登记日期、地址、邮政编码、电子邮件、选民登记号和投 票站号码。14. 330 万台老年机被植入木马，数百万条公民个人信息遭贩卖2020 年 11 月，据媒体报道称，多数老年机被植入木马病毒，借助木马程序获取手机号码信息， 并自动拦截验证码，以此来获取个人信息。这些获取的个人信息会进行 APP 注册，通过刷单获利， 也会打包出售给公民个人信息批发商，从中牟利。据悉，这些带有木马植入程序的老年机多达 330 余万台，出售获利竟有 790 余万元。15.富士康 100G 数据被盗，黑客勒索 2.2 亿元2020 年 12 月，据外媒 Bleeping Computer 报道，墨西哥的富士康工厂遭到了“DoppelPaymer” 勒索软件的攻击，导致其在墨西哥的生产设施出现问题。此次攻击感染了大约 1200 台服务器，攻击 者窃取的未加密文件约有 100GB，并将其 20TB 至 30TB 的备份数据删除。据悉，DoppelPaymer 勒索 软件攻击者要求富士康在一定期限内支付 1804.0955 比特币(价值约 2.2 亿元)，以换取加密密钥， 否则将公布被盗数据。16.美国网络安全公司 FireEye 遭黑客组织入侵，敏感工具被窃2020 年 12 月，全球最大的网络安全公司之一 FireEye（火眼）披露遭遇黑客入侵，黑客成功窃 取了 FireEye 渗透测试工具包。被盗工具数量大、范围广，从用于自动化侦查的简单脚本到类似于 CobaltStrike 和 Metasploit 等公开可用技术的整个框架。此外，FireEye 还拥有大量美国关键基础 设施和政府部门客户，FireEye 首席执行官 Kevin Mandia 在新闻发布中表示，攻击者还搜索了 FireEye 公司某些政府客户的信息。17.全球数家重要机构因 SolarWinds 供应链攻击而被黑客入侵2020 年 12 月，据美国安全公司 FireEye 称，代表外国政府从事攻击活动的黑客攻陷了软件提 供商 SolarWinds，并在旗下的 Orion 网络管理软件更新服务器中植入恶意代码，导致美国财政部、 美国 NTIA 等多个政府机构用户受到长期入侵和监视。此次攻击活动范围很广，影响了全球各地的公 共和私营组织，受害者包括北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘等实体行业。（二）2020 年漏洞分析1. 2020 年 CVE 漏洞利用率 Top10报告期内，从收集到的病毒样本分析来看攻击者利用最多的漏洞还是微软 Office 漏洞。CVE- 2017-11882、CVE-2017-0199 等因稳定性和易用性仍一直是钓鱼邮件等攻击者使用的最爱。攻击者 利用 Office 漏洞投递大量的 Emotet、AgentTesla、TrickBot 等间谍软件、银行木马。全球的外贸 行业深受其害，我国的对外贸易企业众多，大量企业被攻击，造成巨大经济损失。CVE-2017-0147 Windows SMB 协议 MS17-010 永恒之蓝漏洞在 2017 年爆发，虽然过去将近 3 年， 但仍是目前被病毒利用得最多的安全漏洞之一。虽然暴露在互联网中存在该漏洞的终端设备数量较 少，但是在企业内网环境中还有大量的终端设备该漏洞尚未修复，利用永恒之蓝的挖矿 DTLMiner、 EternalBlueMiner 等各种各样的挖矿病毒仍然在大量内网环境中传播发展。瑞星根据漏洞被黑客利用程度进行分析，评选出 2020 年 1 至 12 月份漏洞 Top10：1.1 CVE-2017-11882 Office 远程代码执行漏洞该漏洞又称公式编辑器漏洞，2017 年 11 月 14 日，微软发布了 11 月份的安全补丁更新，悄然 修复了潜伏 17 年之久的 Office 远程代码执行漏洞 CVE-2017-11882。该漏洞为 Office 内存破坏漏 洞，影响目前流行的所有 Office 版本，攻击者可以利用漏洞以当前登录的用户身份执行任意命令。 漏洞出现在模块 EQNEDT32.EXE 中，该模块为公式编辑器，在 Office 的安装过程中被默认安装，该 模块以 OLE 技术将公式嵌入在 Office 文档内。由于该模块对于输入的公式未作正确的处理，攻击者 可以通过刻意构造的数据内容覆盖掉栈上的函数地址，从而劫持程序流程，在登录用户的上下文环 境中执行任意命令。1.2 CVE-2010-2568 Windows LNK 快捷方式漏洞该漏洞影响 Windows XP SP3，Server 2003 SP2，Vista SP1 和 SP2，Server 2008 SP2 和 R2 及 Windows 7。Windows 没有正确地处理 LNK 文件，特制的 LNK 文件可能导致 Windows 自动执行快捷方 式文件所指定的代码。1.3 CVE-2016-7255 Win32k 特权提升漏洞CVE-2016-7255 漏洞是一个 Windows 内核提权漏洞，影响：Microsoft Windows VistaSP2，Windows Server 2008SP2 和 R2SP1，Windows7 SP1，Windows8.1，Windows Server 2012 Gold 和 R2， WindowsRT8.1，Windows10 Gold，1511，1607，Windows Server 2016。攻击者可利用该漏洞在内核 模式下执行任意代码。多个 APT 组织在攻击活动中使用了该内核提权漏洞进行攻击。1.4 CVE-2017-0147 Windows SMB 协议漏洞 MS17-0102017 年 5 月份 Shadow Brokers 公布了他们从 Equation Group 窃取的黑客工具，其中包含“永 恒之蓝”等多个 MS17-010 漏洞利用工具。MS17-010 对应 CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148 等多个 SMB 漏洞。这份工具的泄露直接导致 了后来 WannaCry 病毒的全球爆发，包括中国在内的至少 150 多个国家，30 多万用户中招，并且金 融、能源、医疗等众多行业皆受影响，据统计其造成损失高达 80 亿美元。此后各种利用 MS17-010 漏 洞的病毒疯狂增长，影响深远。 CVE-2012-6422 Samsung Galaxy Android 设备内核安全漏洞CVE-2012-6422 是一个内核安全漏洞，源于运行 Exynos4210 或 4412 处理器时，/dev/exynos- mem 使用弱权限(0666)。通过特制的应用程序（如 ExynosAbuse），攻击者利用该漏洞读取或写入任 意物理内存并获得特权。SamsungGalaxyS2，GalaxyNote2，MEIZUMX 以及其他 Android 设备中的内核 中存在此漏洞。 CVE-2009-0927AdobeAcrobat和ReaderCollabgetIcon() JavaScript 方式栈溢出漏洞Adobe Acrobat 和 Reader 没有正确地处理 PDF 文档中所包含的恶意 JavaScript。如果向 Collab 对象的 getIcon()方式提供了特制参数，就可以触发栈溢出，黑客可以成功利用这个漏洞允许以当前 登录用户的权限完全控制受影响的机器。1.7 CVE-2010-0188 TIFF 图像处理缓冲区溢出漏洞Adobe Reader 和 Acrobat TIFF 图像处理缓冲区溢出漏洞，Adobe 在解析 TIFF 图像文件的时 候，使用了开源库代码(libtiff)存在堆栈溢出的 bug，漏洞出在对 DotRange 属性的解析上。该漏洞 被多个 APT 组织在攻击行动中所使用。北京瑞星网安技术股份有限公司1.8 CVE-2012-4681 Oracle Java 任意代码执行漏洞该漏洞于 2012 年 8 月 26 日被安全公司 FireEye 所披露。该公司安全研究员 Atif Mushtaq 发现 CVE-2012-4681 漏洞最初的利用代码是部署在网站 ok.XXX4。当用户通过电子邮件等方式引导连 接到该网站时，网页内含的 Java 程序能够绕过 Java 的沙盒保护机制，并下载安装恶意程序 dropper（Dropper.MsPMs）。Oracle Java 7 Update 6 和其他版本中存在此漏洞，远程攻击者可利用恶意的javaapplet 绕过 Java 沙盒限制，从而在应用中执行任意代码。1.9 CVE-2017-0199 Microsoft Office 逻辑漏洞此漏洞主要是 word 在处理内嵌 OLE2Link 对象，并通过网络更新对象时没有正确处理 Content- Type 所导致的一个逻辑漏洞。该漏洞利用 Office OLE 对象链接技术，将包裹的恶意链接对象嵌在 文档中，Office 调用 URL Moniker 将恶意链接指向的 HTA 文件下载到本地，URL Moniker 通过识别 响应头中 content-type 的字段信息最后调用 mshta.exe 将下载到的 HTA 文件执行起来。1.10 CVE-2014-6352 Microsoft OLE 远程代码执行漏洞CVE-2014-6352 漏洞被认为可以绕过 CVE-2014-4114 补丁。此漏洞源于没有正确处理含有 OLE 对 象的 Office 文件，Microsoft Windows 在 OLE 组件的实现上存在此安全漏洞，未经身份验证的远程 攻击者可利用此漏洞执行远程代码。攻击者利用此漏洞可以在管理员模式或者关闭 UAC 的情况下实 现不弹出警告窗运行嵌入的恶意程序。2. 2020 年最热漏洞分析2.1 CVE-2020-1472 Netlogon 特权提升漏洞该漏洞是一个 NetLogon 特权提升漏洞。NetLogon 组件是 Windows 上一项重要的功能组件，用 于用户和机器在域内网络上的认证，以及复制数据库以进行域控备份，同时还用于维护域成员与域 之间、域与域控之间、域 DC 与跨域 DC 之间的关系。攻击者使用 Netlogon 远程协议(MS-NRPC)建立 与域控制器连接的易受攻击的 Netlogon 安全通道时，存在特权提升漏洞。成功利用此漏洞的攻击者 可以在网络中的设备上运行经特殊设计的应用程序。2.2 CVE-2020-0601 CryptoAPI 椭圆曲线密码证书检测绕过漏洞该漏洞存在于 CryptoAPI.dll 模块中，可用于绕过椭圆曲线密码（ECC）证书检测，攻击者可以 利用这个漏洞，使用伪造的代码签名证书对恶意的可执行文件进行签名，并以此恶意文件来进行攻击。此外由于 ECC 证书还广泛应用于通信加密中，攻击者成功利用该漏洞可以实现对应的中间人攻 击。2.3 CVE-2020-0796 SMB 远程代码执行漏洞该漏洞是一个 Windows 系统 SMB v3 的远程代码执行漏洞，攻击者利用该漏洞，向存在漏洞的受 害主机 SMB 服务发送一个特殊构造的数据包，即可远程执行任意代码。这是一个类似于 MS08-067， MS17-010 的“蠕虫级”漏洞，可以被病毒利用，造成类似于 Wannacry 病毒的大范围传播。2.4 CVE-2020-1350 Windows DNS 服务器远程代码执行漏洞该漏洞为 DNS Server 远程代码执行漏洞，是一个“蠕虫级”高危漏洞。漏洞源于 Windows DNS 服务器处理签名（SIG）记录查询的缺陷所致，超过 64 KB 的恶意 SIG 记录会导致堆缓冲区溢出，从 而使攻击者能够远程执行具有高特权的代码。攻击者可以发送特殊构造的数据包到目标 DNS Server 来利用此漏洞，进而可能达到远程代码执行的效果。2.5 CVE-2020-0674 Internet Explorer 远程代码执行漏洞该漏洞存在于 Internet Explorer 浏览器脚本引擎 jscript.dll 文件中，Internet Explorer 浏览器脚本引擎在处理 IE 内存对象时存在远程代码执行漏洞。成功利用该漏洞的攻击者可获得和当 前用户相同的用户权限，如果当前用户为管理员权限，攻击者便能够控制受影响的系统，进而安装 程序、更改或删除数据、创建新账户等。攻击者通过该漏洞可以进行“挂马”活动，构造一个恶意网 站，诱使用户查看该网站，以此触发漏洞。2.6 CVE-2020-0688 微软 EXCHANGE 服务的远程代码执行漏洞该漏洞是一个 Exchange 服务上的漏洞，是由于 Exchange Control Panel(ECP)组件中使用了静 态秘钥（validationKey 和 decryptionKey）所导致的。利用这个漏洞，攻击者可通过 Exchange 服 务上的普通用户权限以 SYSTEM 身份执行任意代码，并完全控制目标 Exchange 服务器。2.7 CVE-2020-0787 Windows 本本地提权漏洞2020 年 3 月，微软公布了一个本地权限提升漏洞 CVE-2020-0787，攻击者在使用低权限用户登 录系统后，可以利用该漏洞构造恶意程序直接获取系统管理员或者 system 权限。该漏洞是由 BITS(Background Intelligent Transfer Service)服务无法正确处理符号链接导致，攻击者可通过 执行特制的应用程序利用该漏洞覆盖目标文件提升权限。2.8 CVE-2020-14386 Linux 内核权限提升漏洞该 漏 洞 为 Linux 内 核 权 限 提 升 漏 洞 。 Linux 发 行 版 高 于 4.6 的 内 核 版 本 的 源 码 net/packet/af_packet.c 在处理 AF_PACKET 时存在一处整数溢出漏洞。本地攻击者通过向受影响的 主机发送特制的请求内容，可以造成权限提升。2.9 CVE-2020-6519 Google Chrome 浏览器策略绕过漏洞该漏洞是一个基于 Chromium 的 Web 浏览器的漏洞，漏洞影响 Windows、Mac 和安卓平台基于 Chromium 的 Web 浏览器，攻击者利用该漏洞可以绕过 Chrome 73 及之后版本的内容安全策略（Content Security Policy，CSP）并执行任意恶意代码。2.10 CVE-2020-14882,CVE-2020-14883 Weblogic 远程执行漏洞这两个漏洞是 Weblogic 漏洞，Weblogic 是 Oracle 公司推出的 J2EE 应用服务器。CVE-2020- 14882 允许未授权用户绕过管理控制台的权限验证访问后台，CVE-2020-14883 允许后台任意用户通 过 HTTP 协议执行任意命令。攻击者通过这两个漏洞，构造特殊的 HTTP 请求，在未经身份验证的情 况下接管 WebLogic Server Console，并执行任意代码。（三）2020 年全球 APT 攻击事件解读1 APT 组织 UNC2452UNC2452 是 2020 年新的 APT 组织，由美国安全公司 FireEye 命名。该组织在 2020 年 12 月的时 候攻陷软件提供商 SolarWinds，并将具有传输文件、执行文件、分析系统、重启机器和禁用系统服 务等能力的 Sunburst 后门，插入到该企业旗下 Orion 网络管理软件中带 SolarWinds 数字签名的组 件 SolarWinds.Orion.Core.BusinessLayer.dll 中。SolarWinds 公司客户遍布全球，覆盖了政府、 军事、教育等大量重要机构和超过九成的世界 500 强企业。此次 APT 组织 UNC2452 利用 SolarWinds 供应链进行攻击的事件影响甚广，造成了极恶劣的影响，FireEye 称已在全球多个地区检测到攻击活 动，受害者包括北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘等实体企业。此次攻击事件中