一、 前言

2019年6月，多家媒體報導，美國總統川普允許網路司令部對伊朗的火箭及導彈發射系統發起攻擊。有報導稱該攻擊使伊朗這一武器系統“癱瘓”。6月24日伊朗通訊和資訊科技部長穆罕默德·賈哈米發推特稱：“美方盡全力對伊朗發動網路攻擊，但是失敗了。2018年伊朗的網路防火牆阻止了3300萬次網路攻擊。”

在網路安全風險高發的大背景下，我國於2016年出臺了《網路安全法》，並在 2019年5月釋出了安全等級保護2.0(簡稱等保2.0)相關國家標準，將於2019年12月1日開始正式實施。等保2.0實現了對雲端計算、大資料、物聯網、移動互聯和工業控制資訊系統等保護物件全覆蓋。這意味著企事業單位和政府機關等主體需要進一步加大對資訊保安產品和服務的投入。

近年來對企業安全影響最深遠的事件是以WannaCry為代表的勒索病毒爆發。一方面其開啟“永恆之藍漏洞”這個近年最強的公開攻擊工具使用的潘多拉魔盒，另一方面也把勒索病毒這一形態推向了網路安全攻防的最熱點。後續模仿者有利用“永恆之藍”傳播挖礦木馬，也有進一步整合多種攻擊武器，傳播勒索病毒索要贖金。GranCrab勒索病毒就是其中的佼佼者。

2019年6月GandCrab勒索病毒運營方突然宣佈將停止更新，同時透露了一個驚人的盈利數字 -- GandCrab病毒產業鏈收益高達20億美元。這一病毒的發展過程中，各類安全廠商和羅馬尼亞警方始終對其圍追堵截。羅馬尼亞警方和安全廠商Bitdefender通過攻破其伺服器獲取金鑰的方式，面向受害者釋出解密工具。但遺憾的是，仍有大量受害者感染該病毒並選擇了繳納贖金。在這個案例的“激勵”下，大量的黑產從業者會繼續開發和傳播勒索病毒牟利。

綜上，對企業和政府機構而言，網路安全建設絕不僅是滿足監管需求，而是切實的規避安全風險。一款病毒製造者獲利20億美元的背後，其同時造成的企業生產中斷，公共事務網站停擺等損失會遠遠超過這個數字。臺積電生產線感染WannaCry全線停擺綜合損失即高達1.7億美金。

本文以騰訊安全御見威脅情報中心安全大資料為基礎，從終端安全、伺服器安全、網站安全和郵件安全等緯度剖析2019年上半年企業使用者安全趨勢。

二、 企業終端安全現狀

終端裝置是企業的重要資產，包括員工使用的PC計算機，伺服器(檔案伺服器、郵件伺服器等)，此外還包括印表機、攝像頭等IoT裝置。這些終端裝置也成為了黑客攻擊的重要目標。本文第二章將從企業終端的安全性，脆弱性，及郵件安全三部分對企業終端資產所面臨的威脅進行分析。

脆弱性主要分析終端裝置容易被攻擊入侵的原因，包括高危漏洞沒有及時修復，開放的高危埠及企業員工安全意識等。

安全性主要分析終端裝置所面臨的安全威脅，包括上半年企業終端感染的主要病毒型別，企業染毒比例，及不同行業的感染病毒分佈情況分析。

(一) 終端安全性分析

1. 企業終端病毒感染概況

根據騰訊安全御見威脅情報中心資料顯示，上半年每週平均約23%的企業發生過終端病毒木馬攻擊事件，其中風險類軟體感染佔比最多（佔40%），其次為後門遠控類木馬（佔14%）。

企業終端風險中，感染風險軟體的仍排行第一，佔比達到40%。部分終端失陷後，攻擊者植入遠控木馬（佔14%），並利用其作為跳板，部署漏洞攻擊工具再次攻擊內網其它終端，最終植入挖礦木馬或者勒索病毒。另外，企業內檔案共享等機制也使得感染型病毒持續佔據10%左右的比例。

風險軟體主要是指其行為在灰色地帶打擦邊球，如流氓推裝、刷量、彈騷擾廣告等，風險類軟體之所以會有如此高的感染量和其推廣傳播方式密切相關。和勒索病毒挖礦木馬等通過漏洞利用，暴力破解等“高難度”的攻擊傳播方式不一樣，風險軟體的推廣傳播更加明目張膽，比如購買通過搜尋引擎關鍵字，捆綁正常軟體進行傳播。

騰訊安全御見威脅情報中心曾披露某病毒團伙通過購買“flash player”等關鍵字，利用搜尋引擎廣告推廣，中招使用者累計達數十萬之多（可參考：一款利用搜尋引擎推廣的病毒下載器，推裝超30款軟體，已感染數十萬臺電腦）。此外，各軟體下載站的“高速下載器”,、ghost系統站點、遊戲外掛站點、破解工具等都是重要傳播渠道。這些渠道都有著較大且穩定的受眾群體，導致風險軟體成為終端安全的重災區。

挖礦木馬同比提高近5%，幾乎成為當前流行黑產團伙的必備元件。隨著比特幣、門羅幣、以太坊幣等數字加密幣的持續升值，挖礦成了黑產變現的重要渠道。我們預計挖礦木馬佔比仍將繼續上升。

勒索病毒同比變化不大，但近年新的勒索病毒層出不窮，一旦攻擊成功危害極大。部分受害企業被迫交納“贖金”或“資料恢復費”，勒索病毒仍是當前企業需要重點防範的病毒型別。

2. 不同行業感染病毒型別分佈情況

風險類軟體在各行業的染毒佔比最高，此外後門遠控類木馬在科技行業的染毒比例相對較高為26%，可能和科技行業中的間諜活動更加頻繁相關。

風險類軟體在教育，醫療等多個行業中的染毒比例都是最高的，而且往往都有感染量大的特點，主要原因是傳播渠道廣泛，包括下載器、ghost系統站點、遊戲外掛站點、流氓軟體等，此外使用者對這類風險軟體的感知不是很明顯導致沒有及時防毒清理。

騰訊安全於2019年4月揪出年度最大病毒團伙，高峰時控制上千萬臺電腦，包括幽蟲、獨狼、雙槍、紫狐、貪狼等多個病毒木馬家族，這些木馬利用盜版Ghost系統、啟用破解工具、熱門遊戲外掛等渠道傳播，通過多種流行的黑色產業變現牟利：包括，雲端控制下載更多木馬、強制安裝網際網路軟體、篡改鎖定使用者瀏覽器、刷量、挖礦等等。該病毒團伙在2018年7-8月為活躍高峰，被該病毒團伙控制的電腦仍在200-300萬臺。

3. 行業感染病毒對比

教育科研行業成為病毒感染的重災區，在主要的病毒型別遠控、挖礦、勒索、感染型病毒中，教育科研行業的感染裝置佔比最高(接近或超過50%)。

在統計中教育科研行業主要包括中小學，高校及科研機構，在各型別病毒中其染毒比例最高，尤其是感染型病毒，其染毒比例高達58%，這和該行業頻繁的文件傳送及移動介質頻繁使用交叉感染有關。

除了教育科研行業，政府機關及高科技企業在各型別病毒中的染毒比例也較高，染毒佔比在14%到22%之間。遠控類木馬針對政府機關及高科技企業的攻擊活動頻繁，攻擊成功後竊取機密檔案等敏感資訊。

騰訊安全御見威脅情報中心2019年5月捕獲到一批針對政府和企業的攻擊事件，通過傳送釣魚郵件，誘導使用者開啟帶有惡意巨集程式碼的word格式附件，開啟附件後下載執行遠控木馬家族NetWiredRC，木馬會竊取中毒電腦的機密資訊上傳到控制者伺服器。

(二) 終端脆弱性分析

漏洞利用及埠爆破是攻陷終端裝置的重要手段，回顧2018年企業伺服器的網路安全事件，可以發現資料洩露事件高發。航空、醫療、保險、電信、酒店、零售等行業均受影響。攻擊者利用爆破、漏洞等方式攻陷企業伺服器。2019年全球利用企業伺服器產品漏洞的攻擊依然未有放緩。簡單的漏洞或缺乏簡單的策略控制可能導致災難性的後果，下面就常見的漏洞、攻擊方式、和埠開放情況對終端脆弱性做些歸納性的總結，希望對各企業伺服器安全防範有所幫助。

1. 企業終端漏洞修復情況

系統高危漏洞往往會被黑客利用進行入侵，但部分企業安全風險意識較為薄弱，據騰訊安全御見威脅情報中心資料顯示，截止6月底，仍有83%的企業終端上存在至少一個高危漏洞未修復。

在主要的高危漏洞中,永恆之藍系列漏洞補丁安裝比例最高，“永恆之藍”最早於2017年被黑客組織影子經紀人洩漏,隨後被大範圍傳播利用，其中影響最為廣泛的WannaCry勒索軟體利用該漏洞進行蠕蟲式傳播一時間席捲全球。雖然該漏洞補丁安裝比例較高，但仍有不少機器仍未安裝補丁，騰訊安全御見威脅情報中心監測到一款通過“驅動人生”系列軟體升級通道傳播的木馬，僅2個小時受攻擊使用者就高達10萬，就是利用“永恆之藍”高危漏洞進行擴散傳播。

RDS(遠端桌面服務)漏洞(CVE-2019-0708)是今年五月份披露的高危漏洞，仍有大量機器沒修復該漏洞(42%),其危害程度不亞於永恆之藍系列漏洞，攻擊者通過利用此漏洞，可以在遠端且未經授權的情況下，直接獲取目標 Windows 伺服器許可權，遠端執行程式碼。

2. 常見伺服器漏洞攻擊型別

1) 系統元件類漏洞攻擊

我們對暴露在公網的伺服器做抽樣分析發現，常見的系統元件漏洞攻擊型別中，遠端程式碼執行（RCE）、SQL隱碼攻擊、XSS攻擊型別比例最高。

遠端程式碼執行（RCE）漏洞是伺服器上一種最嚴重的安全隱患，攻擊者可遠端執行任意命令、程式碼，實現完全控制伺服器主機。例如攻擊可通過Web應用等漏洞,入侵或上傳WebShell，使用反向shell獲得對伺服器的控制權。

反向shell是攻擊者通過受害者出站連線來獲得對受害者控制的常用方法。這種方法經常被使用，因為它很容易繞過防火牆限制，與入站連線不同，通常防火牆允許出站連線。一旦攻擊者通過RCE獲得對主機的控制權便完全控制了整個伺服器系統，甚至可通過橫向移動，控制內網其它主機、伺服器。

SQL隱碼攻擊（SQLi）是最早、最流行和最危險的Web應用程式漏洞，黑客攻擊者可以利用Web應用程式對資料庫伺服器（如MySQL，Microsoft SQL Server和Oracle）進行不安全的SQL查詢。它利用了Web應用程式中的漏洞，這通常這些漏洞是由於程式碼錯誤導致的。

使用SQL隱碼攻擊，攻擊者可以將SQL命令傳送到資料庫伺服器，允許他們對資料進行未經授權的訪問，在一些極端情況下甚至可控制整個執行資料庫伺服器的系統。SQLi也恰好是最容易理解的Web應用程式漏洞之一，擁有數百種免費的現成工具，使攻擊者可以更快，更輕鬆地利用SQL隱碼攻擊漏洞。

通過SQL隱碼攻擊漏洞，攻擊者可以繞過Web應用程式的身份驗證和授權機制，檢索整個資料庫的內容，洩取機密資訊。甚至新增，修改和刪除該資料庫中的記錄，從而影響其資料完整性。由於SQL隱碼攻擊會影響使用SQL資料庫的Web應用程式，因此幾乎每種型別的Web應用程式都需要注意它。

XSS(跨站指令碼攻擊), 與大多數影響伺服器端資源的漏洞不同，跨站點指令碼（XSS）是Web應用中出現的漏洞。 跨站點指令碼通常可以被認為是主要通過使用JavaScript的應用程式碼注入。XSS有許多變形，攻擊者的目標是讓受害者無意中執行惡意注入的指令碼，該指令碼在受信任的Web應用程式中執行。利用XSS攻擊可以實現竊取敏感資料，甚至修改Web應用程式的，誘導、騙取使用者向攻擊者提交敏感資料。

2) 配置類漏洞攻擊

2019年全球利用企業伺服器產品漏洞的攻擊依然未有放緩，資料洩露事件高發。航空、醫療、保險、電信、酒店、零售等行業均受影響。攻擊者利用爆破、漏洞攻擊等方式攻陷企業伺服器，簡單的漏洞或缺乏簡單的控制可能導致災難性的後果，而實際上許多通過黑客攻擊和惡意軟體進行的入侵是可以預防的。下面就常見的漏洞、和攻擊方式做些歸納性的總結。

暴力破解(Brute Force), 是企圖破解使用者名稱、密碼。通過查詢隱藏的網頁，或者使用試錯等方法找到用於加密的金鑰。我們這裡說的爆破登入也屬於暴力破解，簡單來說就是用大量的身份認證資訊來不斷嘗試登入目標系統，找到正確的登入資訊（賬號與密碼）。一般黑客攻擊者會採用工具進行爆破，利用字典（含有大量登入資訊）批量爆破。常用的爆破工具有Burpsuite、Hydra等。

暴力破解這是一種比較古老的攻擊方法，但它仍然有效並且受到黑客的歡迎。根據密碼的長度和複雜程度，破解密碼可能需要幾秒到幾年的時間，但事實上黑客通過弱口令字典和一些已洩露的使用者賬戶資料字典，可能僅需幾秒便可以完成對一個伺服器的爆破登入。

對企業來說，黑客通常通過RDP、SSH等協議爆破登入到伺服器，下面是我們對部分已檢測到攻擊的伺服器做抽樣分析得到黑客常用於爆破登入的協議統計。發現針對外網目標進行RDP、SMTP、SMB協議爆破攻擊最為常見。

黑客成功入侵區域網之後對內的爆破攻擊，使用的協議與外網有較大不同，SMB攻擊最為常見，其次是遠端桌面連線爆破和SSH爆破。

弱口令(Weak Password)，如果說系統和一些應用元件存在的漏洞是程式碼錯誤造成的，那弱口令漏洞則是使用者人為創造的漏洞。弱口令一般是指很容易被人類和計算機(暴力破解工具)猜測到的口令。

人們經常使用明顯的密碼，如他們的孩子的名字或他們的家庭號碼或者使用一些簡單是字母、數字組合如“123”、“abc”，作為重要應用、系統的登入口令，以避免忘記。然而，密碼越簡單越有規律，就越容易被檢測用於爆破登入。黑客利用弱口令字典，使用爆破工具，數秒甚至數毫秒便可以完成一次對伺服器的入侵。在企業網路安全中，因為一些使用的不當伺服器會存在弱口令漏洞而被入侵，所以說“人才是最大的漏洞”。

根據騰訊安全御見威脅情報中心檢測，黑客最常用來進行弱口令爆破的密碼如下。

3. 2019上半年熱門高危漏洞

》 WebLogic反序列化高危漏洞

CNVD-C-2019-48814(CVE-2019-2725), 2019年 4月17日國家資訊保安漏洞共享平臺（CNVD）公開了Oracle Weblogic反序列化遠端程式碼執行漏洞（CNVD-C-2019-48814）,攻擊者可以傳送精心構造的惡意 HTTP 請求，利用該漏洞，未經授權便可獲得伺服器許可權，實現遠端程式碼執行。而當時官方補丁尚未釋出，漏洞處於0day狀態，並且POC已在野公開。直到4月26日Oracle官方緊急釋出修復補丁，並且該漏洞被定為 CVE-2019-2725。在此期間騰訊安全御見威脅情報中心已捕獲多起利用CVE-2019-2725 漏洞傳播勒索病毒事件。

漏洞影響版本：Oracle WebLogic Server 10.*，Oracle WebLogic Server 12.1.3

CVE-2019-2729：對CVE-2019-2725漏洞補丁的繞過，和CVE-2019-2725一樣，都是圍繞著 XMLDecoder 的補丁與補丁的繞過，攻擊者可以傳送精心構造的惡意 HTTP 請求，利用該漏洞，未經授權便可獲得伺服器許可權，實現遠端程式碼執行。

漏洞影響版本：Oracle WebLogic 10.3.6，Oracle WebLogic Server 12.1.3，Oracle WebLogic Server 12.2.1.3

》 Exim 遠端命令執行漏洞

CVE-2019-10149（2019.5）：安全研究人員在Exim郵件伺服器最新改動進行程式碼審計過程中發現Exim存在一個遠端命令執行，漏洞編號為CVE-2019-10149攻擊者可以以root許可權使用execv()來執行任意命令，遠端利用該漏洞，遠端攻擊者需要與存在漏洞的伺服器建立7天的連線（每隔幾分鐘傳送1個位元組）

漏洞影響版本：Exim Version >= 4.87，Exim Version <= 4.91

》 微軟遠端桌面服務漏洞(BlueKeep)

CVE-2019-0708（2019.5）： 5月14日微軟官方釋出安全補丁，修復了Windows遠端桌面服務的遠端程式碼執行漏洞，該漏洞影響了Windows XP，Windows7，Windows2003，Windows2008，Windows2008R2 等在內的常用Windows桌面以及伺服器作業系統。此漏洞是預身份驗證，無需使用者互動。其危害程度不亞於CVE-2017-0143 EternalBlue，當未經身份驗證的攻擊者使用RDP（常見埠3389）連線到目標系統併傳送特製請求時，可以在目標系統上執行任意命令。甚至傳播惡意蠕蟲，感染內網其他機器。

類似於2017年爆發的WannaCry等惡意勒索軟體病毒。雖然具體利用細節沒有公佈，但BlueKeep漏洞公佈不久便有POC在暗網交易。各大安全廠商也和黑客攻擊者展開了時間賽跑，一方面安全廠商積極推送修復補丁，並嘗試重現利用。騰訊御界威脅情報中心也在第一時間重現了利用，並推出了修復、攔截攻擊方案。

漏洞影響版本：Windows XP，Windows7，Windows2003，Windows2008，Windows2008R2

》 Windows NTLM認證漏洞

CVE-2019-1040（2019.6）： 6月12日，微軟官方在6月的補丁日中釋出了漏洞 CVE-2019-1040的安全補丁, 漏洞存在於Windows大部分版本中，攻擊者可以利用該漏洞繞過NTLM MIC的防護機制，通過修改已經協商簽名的身份驗證流量，然後中繼到另外一臺伺服器，同時完全刪除簽名要求。該攻擊方式可使攻擊者在僅有一個普通域賬號的情況下，遠端控制域中任意機器（包括域控伺服器），影響非常嚴重。

漏洞影響版本：Windows7，Windows 8.1，Windows10，Windows2008，Windows2008R2，Windows Server 2012，Windows Server 2012R2，Windows Server 2016，Windows Server 2019

》 國產辦公/郵箱系統漏洞

2019上半年，除了上面提到的常見的系統應用外，國內一些常用的辦公、郵件等系統也被爆出高危漏洞，影響較大。

1）Coremail配置資訊洩露漏洞

CNVD-2019-16798，2019.5，由於Coremail郵件系統的mailsms模組引數大小寫敏感存在缺陷，使得攻擊者利用該漏洞，在未授權的情況下，通過遠端訪問URL地址獲取Coremail伺服器的系統配置檔案，造成資料庫連線引數等系統敏感配置資訊洩露。

漏洞影響版本：Coremail XT 3.0.1至XT 5.0.9版本

2）致遠 OA A8 遠端Getshell 漏洞

2019.6,致遠互聯旗下產品致遠OA A8辦公自動化軟體被發現存在遠端Getshell漏洞。致遠互聯是中國協同管理軟體及雲服務的廠商，致遠OA A8 是一款流行的協同管理軟體，很多大型企業都有應用。致遠A8系統，被發現存在遠端任意檔案上傳檔案上傳漏洞，攻擊者上傳精心構造的惡意檔案，成功利用漏洞後可造成Getshell。漏洞細節已被公開，並且已經被在野利用。

漏洞影響版本：A8+V7.0 SP3、A8+ V6.1 SP2

4. 企業埠開放情況

企業在網路空間的基礎設施包含網站伺服器以及執行在伺服器上的各種應用、服務，承載了包括網站、電子郵件、檔案傳輸等各種網路通訊功能。他們在網際網路上的機器語言表現形式是以基於TCP和UDP的各種埠的網路通訊。

5. 高危埠開放情況

我們將黑客攻擊頻次較高的常用埠劃為高危埠，並抽樣對Web伺服器等網際網路空間資產做了空間測繪，發現仍有33%的資產開放著這些高危埠，存在較高的安全隱患。

除了22、1900等埠，還有較大比重的郵件服務、資料庫服務等埠暴露在公網上。

22埠是Linux平臺預設的SSH遠端連線服務埠， 而3389 是Windows預設的遠端桌面的服務（RDP, Remote Desktop Protocol）埠，通過SSH、RDP遠端連線是非常方便的對伺服器的操作方式，所以很多伺服器管理員都會開啟22、3389埠遠端桌面服務。因而很多黑客攻擊者很喜歡對22、3389埠嘗試入侵，例如通過爆破，如果伺服器存在弱密碼登入的，很容易就被爆破成功，進而伺服器被黑客控制。

7001埠是WebLogic的預設埠，WebLogic近期被爆出多個可被遠端攻擊的高危漏洞，如果漏洞未能及時修復，則不排除有遠端攻擊的可能。

1900 UDP埠 源於SSDP Discovery Service服務。通過使用SSDP協議對埠1900進行掃描可以發現UPnP（即插即用協議）裝置，攻擊者可以利用這些裝置發動DDoS攻擊，製造出大量流量，可導致目標企業的網站和網路癱瘓。

根據測繪結果分析，仍有部分伺服器資產開放了445埠。如果這些伺服器沒有打上相應的補丁，那麼仍然存在被勒索病毒攻擊的風險。即便是打上了補丁，也仍然需要面對勒索病毒變種的攻擊。

(三) 郵件安全

一封電子郵件從廣義上來看，可以被分類為“正常郵件”與“非正常郵件”。我們在“郵件安全”這部分，將“非正常郵件”分為“垃圾郵件”與“惡意郵件”兩大類，且由於“惡意郵件”對企業使用者的危害程度更大，因此我們重點通過案例總結2019上半年中的惡意郵件的影響情況。

1. 郵件安全趨勢

1) 垃圾郵件

根據友商卡巴斯基公開報告資料，在2019年第一季度全球郵件通訊中的垃圾郵件佔比超過55.97%，與2018年第四季度基本持平。其中3月份的垃圾郵件佔比最高，達到56.33%。

為了對抗各類郵箱反過濾機制，垃圾郵件無縫不入，從廣撒網式分發到精準傳送，如下 “代開發票”垃圾郵件就通過濫用VMware官方賬號繫結修改機制以達到繞過郵箱過濾機制效果。

2) 惡意郵件

從惡意行為的角度來看，惡意郵件可以分為如下幾種：騙回復敏感資訊；騙開啟釣魚頁面連結；騙開啟帶毒附件。企業使用者日常容易遇到後兩種案例，典型代表如帶惡意附件的魚叉郵件。魚叉郵件是一種針對特定人員或特定公司的員工進行定向傳播攻擊。網路犯罪分子首先會精心收集目標物件的資訊，使“誘餌”更具誘惑力。然後結合目標物件資訊，製作相應主題的郵件和內容，騙取目標執行惡意附件。

根據友商卡巴斯基公開報告資料，目前在全球的郵件流量中排名前十的惡意軟體家族如下（2019Q1）：

從攻擊手段來看，有5類是通過直接投遞病毒實體檔案進行攻擊，4類通過office文件進行攻擊，1類通過PDF文件釣魚攻擊。其中最值得關注的仍然是office類攻擊（office漏洞或者巨集），缺乏安全知識的使用者較容易忽略安裝office補丁，或者輕易允許巨集程式碼執行。

從國內觀察郵件安全情況，騰訊御界高階威脅檢測系統每日捕獲到的魚叉郵件多為“訂單類與支付類”，訂單類主題關鍵字涉及“訂單”、“採購單”、“Purchase Order”、“Request For Quotation”等；支付類主題關鍵字涉及有“Invoice（發票）”、“Payment”、“Balance Payment Receipts”等，並且此兩類郵件的內容通常與主題相符合以誘導使用者點選惡意附件。

如下圖與“訂單”相關的郵件，通過將帶有惡意巨集程式碼的word文件偽裝為附件“訂單列表”，誘使使用者開啟文件並觸發惡意巨集程式碼或者漏洞執行，最終實現投放“NetWiredRC”遠控木馬。

還有一類也很常見的就是無主題郵件，此類郵件缺少主題甚至正文，只攜帶惡意附件，主要原因有兩方面：

a. 縮短魚叉郵件製作時間；

b. 為了方便群發郵件，每個群體都會有其特點，不易找到共同點。

在2017年爆發了WannaCry（永恆之藍）勒索病毒後，很多變形後的勒索軟體就是通過空白主題的郵件進行廣泛傳播的。

2. 郵件安全案例

魚叉郵件主要以投遞“竊密”、“遠控”木馬為目的，近年來為了快速變現而投遞勒索病毒的趨勢也開始變多。2019年上半年，騰訊安全等共釋出18次關於郵件安全的告警，其中騰訊安全御見威脅情報中心釋出了16例有關惡意郵件的分析報告。從危害行為來看，以勒索為目的的惡意郵件有10例，包含8個主流勒索軟體家族；以遠控竊密為目的的惡意郵件有8例。從攻擊手段來看，使用群發魚叉郵件有8例，使用定製魚叉郵件3例，利用office巨集程式碼下載惡意本體有5例，使用軟體的元件漏洞進行攻擊的有2例。

》最受攻擊者青睞的office漏洞CVE-2017-11882

利用office軟體的公式編輯器漏洞CVE-2017-11882實現隱祕遠端下載的惡意郵件是十分常見的。使用者容易誤以為文件中不會有惡意程式碼。更重要的是，由於郵件來源和內容往往被高度偽裝，使用者很容易放下防備心開啟文件，進而導致釋放病毒。雖然該漏洞的補丁早在2017年11月公佈提供修復，但實際上Office安全漏洞的修復率比系統補丁修復率要低得多，因此公式編輯器漏洞高成功率也是被廣泛利用的主要原因。

2019年3月,騰訊安全御見威脅情報中心再次捕獲到針對外貿行業的攻擊樣本。攻擊者將惡意word文件作為附件，向外貿從業人員傳送“報價單”等相關主題的魚叉郵件，受害者一旦開啟附件，惡意word文件便會利用CVE-2017-11882漏洞執行惡意程式碼，並釋放fareit等竊密木馬。

釋放的竊密木馬會竊取中毒電腦敏感資訊，包括使用者名稱密碼、應用程式列表、郵件資訊、FTP類工具軟體的登入憑證、多款主流瀏覽器的登入憑證。

》總收入20億美金的Gandcrab勒索病毒

2019年3月13日，騰訊安全御見威脅情報中心檢測到，不法分子正使用GandCrab5.2勒索病毒對我國部分政府部門工作人員進行魚叉郵件攻擊，使用的郵件主題名為“你必須在3月11日下午3點向警察局報到！”，該病毒由於使用RSA+Salsa20加密方式，無私鑰常規情況下難以解密。

三、 企業終端失陷攻擊分析

(一) 失陷攻擊簡述

迄今為止，絕大多數企業都還是以防火牆為基礎劃分出企業內網和公眾網路的邊界，並基於此構建安全體系。企業內網被認為是可信區間，為了便於開展日常工作，通常都不會對員工在內網中訪問各種資源設定嚴格限制。

因此，當病毒突破外圍防火牆進入內網環境之後，將會在內網肆意擴散。病毒為了讓其自身惡意行為實現效益最大化，首先會通過開機啟動實現常駐於使用者系統，然後會嘗試內網橫向傳播。接下來我們從“內網傳播”與“持久化駐留方式”兩個維度總結今年上半年企業終端受攻擊情況。

(二) 失陷攻擊的橫向擴散與常駐

1. 內網傳播

1) 漏洞利用

從針對系統元件的漏洞攻擊情況來看，今年上半年事件頻發的內網病毒傳播事件最熱門的仍然是利用內網SMB共享服務漏洞進行傳播的“永恆之藍漏洞”，而利用該漏洞進行廣泛傳播的最為臭名昭著的病毒當屬“永恆之藍下載器”挖礦病毒。該病毒從2018年12月14日開始至今已經更新迭代超過15個版本，持續更新內網橫向傳播攻擊方法。從應急響應現場中我們發現絕大多數是由於沒能補上“永恆之藍漏洞”而導致被反覆攻陷。

2) 弱口令爆破攻擊

弱密碼爆破攻擊在入侵內網以及作為橫向擴散的手段都具有奇效。我們對部分已檢測的伺服器做抽樣分析發現，弱密碼爆破攻擊集中發生在工作時間之外（早上9點之前，晚上6點之後），如下圖所示。

3) 檔案共享

從應急響應現場中我們發現，檔案共享目錄、可移動介質仍然是蠕蟲病毒、感染型病毒、office文件病毒在內網傳播的感染重災區。這三類病毒一般都以竊取敏感資訊為主要目的。蠕蟲具備自複製能力，可以將自身偽裝為正常檔案誘導使用者，在不經意間便觸發感染所有可訪問的可移動介質與檔案共享目錄。感染型病毒雖然不具備自複製能力，但會感染所有可執行程式，但同樣能通過檔案共享進行傳播。而office文件病毒一般會通過感染Normal模板或者載入項進而感染每一個office文件，如果該文件通過可移動介質與檔案共享目錄進行分享，則會導致橫向傳播。

2. 持久化駐留方式

1) 常駐於登錄檔相關啟動位置或啟動資料夾

常駐於這兩個位置是最為簡單方便的，但是也是最容易被攔截查殺的。因此病毒為了實現簡單方便的常駐且能達到避免查殺的效果，通常會從免殺角度進一步對病毒進行優化，包括但不限於加殼混淆、增肥對抗等。從每日攔截的寫入/執行資料來看， 被寫入啟動項的惡意指令碼型別檔案的佔比最高，其次是惡意可執行檔案，這兩種型別的檔案格式大部分都進行了混淆增肥對抗。在惡意指令碼型別檔案中，最常用的指令碼格式是VBS（佔比為38.3%），如下圖所示。

2) 常駐於任務排程程式

通過將自身寫入任務排程程式實現常駐，相對於登錄檔與啟動資料夾要更為隱蔽和靈活。而相對於病毒本體的常駐，利用系統白檔案實現遠端下載的方式更為靈活隱蔽。白利用遠端下載的技巧常被利用於任務排程程式中。今年上半年最常利用任務排程程式實現常駐的病毒家族是“永恆之藍下載器”，也被稱作“DtlMiner”，佔比達78.68%，具體如下圖所示。

被惡意利用的系統元件數量佔比如下圖所示，PowerShell利用佔比最高，達84.2%：

“永恆之藍下載器”在更新迭代的多個版本中，曾多次對抗殺軟，以躲避殺軟對其任務計劃項的攔截與查殺。例如，在對抗殺軟攔截層面，迭代為以“/xml”引數完成任務排程程式配置的載入，在對抗殺軟查殺層面，迭代為對特徵字串的切分拼接。除此之外，由於Windows平臺下的系統元件的容錯性較高，比如Regsvr32、PowerShell等，一些病毒從容錯性的角度對執行的Regsvr32、PowerShell命令進行免殺處理。隨著相關係統元件的更新迭代，如果其容錯性再提高，則可能會出現更多針對其容錯性的複合利用。

3) 常駐於WMI類屬性

這種啟動方式要比上述的幾個啟動位置更加隱蔽，從我們監測到的資料裡有接近23%的WMI類屬性被寫入了惡意指令碼、被編碼過的可執行程式與shellcode，其中就包含了臭名昭著的WannaMine和MyKings病毒家族的惡意程式碼。從目前收集的資料來看，WMI類屬性的濫用主要被用於惡意推廣，包括桌面惡意推廣快捷方式（佔43.7%），具體資料如下圖所示。

(三) 供應鏈攻擊

供應鏈是涉及生產、分配、處理、維護貨物的活動系統，以便將資源從供應商轉移到最終消費者手中。在網際網路行業中，該供應鏈環節也完全適用。一個軟體從供應商到消費者使用，會經歷開發、分發安裝、使用、更新的環節，而供應鏈攻擊則是黑客通過攻擊各環節的漏洞，植入惡意病毒木馬，利用正常軟體的正常分發渠道達到傳播木馬的目的。

由於供應鏈攻擊對於被攻擊者而言沒有任何感知，因此一直被黑客所青睞。以往供應鏈攻擊往往多見於APT（高階持續性威脅）攻擊，而在近幾年，供應鏈攻擊趨勢開始有穩定增長，攻擊事件層出不窮，日常網路攻擊中越來越多的見到供應鏈攻擊的手段。

在2018年年度企業安全總結報告中，騰訊安全御見威脅情報中心預測針對軟體供應鏈的攻擊會更加頻繁。在2019上半年，以“永恆之藍”木馬下載器為典型的供應鏈攻擊“大展身手”，儘管爆發了有半年之多，但是如今依然有不少企業深受其害。

1. “永恆之藍”木馬下載器案例

2018年12月14日下午約17點，騰訊安全御見威脅情報中心監測到一款通過“驅動人生”系列軟體升級通道傳播的永恆之藍木馬下載器突然爆發，僅2個小時受攻擊使用者就高達10萬，當天騰訊安全御見情報中心全國首發預警。該病毒會通過雲控下發惡意程式碼，包括收集使用者資訊、挖礦等，同時利用“永恆之藍”高危漏洞進行擴散。

但14日的爆發僅僅是個開始，儘管驅動人生公司第一時間將受到木馬影響的升級通道進行了緊急關閉，但永恆之藍木馬下載器的幕後控制者並沒有就此放棄行動，而是藉助其已經感染的機器進行持續攻擊：包括通過雲控指令下發挖礦模組，在中招機器安裝多個服務以及通過新增計劃任務獲得持續執行的機會，後續版本在攻擊模組新增SMB爆破、遠端執行工具psexec攻擊、利用Powershell版mimikatz獲取密碼，以增強其擴散傳播能力。根據騰訊安全御見威脅情報中心監測，僅2019年上半年就變種十餘次，是影響範圍最大的攻擊之一。在下半年或許有更頻繁的更新、攻擊。

2. “CAXA數碼大方”畫圖軟體案例

2019年4月，騰訊安全御見威脅情報中心檢測到，有多個“CAXA數碼大方”元件均在被ramnit家族感染型病毒感染之後簽署上了官方有效的數字簽名，被感染的元件具有正常的數字簽名資訊以及與官方包釋出的一致的證照指紋。

四、 企業終端失陷危害分析

終端裝置感染病毒失陷後會對企業造成不同程度的危害,常見的危害如敲詐勒索，挖礦佔用系統資源，資訊竊密，失陷裝置被植入後門變成肉雞等。其中企業客戶感知最明顯的為勒索病毒，感染後會加密或刪除重要資料檔案後進行敲詐勒索，有時即使交付贖金也不一定可以解密，對企業造成重大損失。隨著數字貨幣的興起，感染挖礦木馬的裝置也越來越多，挖礦類病毒木馬會佔用系統大量資源，造成系統執行卡慢等。除了挖礦、勒索、資訊竊密，有些危害難以被受害者察覺，如被植入後門，風險流氓軟體主頁劫持，靜默刷量等，但這些風險的存在對裝置安全存在巨大的安全隱患，企業管理人員不可輕視。

(一) 敲詐勒索

2019上半年中，勒索病毒依然是破壞力最強影響面最廣的一類惡意程式，通過恐嚇、綁架使用者檔案或破壞使用者計算機等方式，向使用者勒索數字貨幣。在19年上半年累計感染攻擊數超250w，其中以2019年1月份最為活躍，2月到6月整體較為平穩，近期略有上升趨勢。

最為活躍的仍是GandCrab勒索病毒家族，在歐洲警方和安全廠商的多次打擊並接管其伺服器後，GandCrab於6月1日宣佈停止後續更新。但在利益的驅使下， Sodinokibi勒索病毒很快接管GandCrab的傳播渠道，呈後來居上之勢。

重大案例情報：

（1）2019年1月，騰訊安全御見威脅情報中心檢測到charm勒索病毒在國內開始活躍，該勒索病毒攻擊目標主要為企業Windows伺服器

（2）2019年2月，騰訊安全御見威脅情報中心檢測到新型勒索病毒Clop在國內開始傳播，國內某企業被攻擊後造成大面積感染，由於該病毒暫無有效的解密工具，致使受害企業大量資料被加密而損失嚴重。

（3）2019年2月，騰訊安全御見威脅情報中心接到山東某企業反饋，該公司電腦被Aurora勒索病毒加密。

（4）2019年4月，騰訊安全御見威脅情報中心檢測發現，勒索病毒Mr.Dec家族新變種出現，該勒索病毒主要通過垃圾郵件傳播。

（5）2019年4月，騰訊安全御見威脅情報中心檢測到，Stop勒索病毒變種（字尾.raldug）在國內有部分感染，並且有活躍趨勢。該勒索病毒在國內主要通過軟體捆綁、垃圾郵件等方式進行傳播。

（6）2019年5月，騰訊安全御見威脅情報中心檢測到國內發生大量藉助釣魚郵件方式傳播的sodinokibi勒索攻擊。該勒索病毒不光使用Web相關漏洞傳播，還會偽裝成稅務單位、私發機構，使用釣魚欺詐郵件來傳播。

（7）2019年5月，騰訊安全御見威脅情報中心檢測發現，JSWorm勒索病毒JURASIK變種在國內傳播，該勒索病毒會加密企業資料庫資料。

（8）2019年5月，美國海港城市、巴爾的摩市政府大約1萬臺電腦被勒索病毒入侵，導致所有政府僱員無法登陸電子郵件系統，房地產交易無法完成，市政府陷入癱瘓一個多月。

（9）2019年6月1日，最流行的勒索病毒之一GandCrab運營團隊表示GandCrab勒索病毒將停止更新。

（10）2019年6月，騰訊安全御見威脅情報中心檢測發現，新型勒索病毒Maze在國內造成部分感染。該勒索病毒擅長使用Fallout EK漏洞利用工具，通過網頁掛馬等方式傳播。

（11）2019年6月，世界上最大的飛機零部件供應商之一ASCO遭遇勒索病毒攻擊，造成了四個國家的工廠停產。

(二) 挖礦木馬

挖礦木馬通過佔用計算機大量資源，用於數字加密貨幣的挖掘。隨著挖礦產幣效率的降低，在2019年上半年挖礦木馬的傳播趨勢也逐漸下降。但是近來數字貨幣價值暴漲，或許會直接導致挖礦木馬的新一輪爆發。

（1）2019年1月，騰訊安全御見威脅情報中心檢測到針對phpStudy網站伺服器進行批量入侵的挖礦木馬。攻擊者對網際網路上的伺服器進行批量掃描，發現易受攻擊的phpStudy系統後，利用使用者在安裝時未進行修改的MySQL弱密碼進行登入，並進一步植入WebShell，然後通過Shell下載挖礦木馬挖門羅幣。

（2）2019年3月，騰訊安全御見威脅情報中心發現新型挖礦木馬“匿影”。該木馬自帶NSA全套武器庫，對企業內網安全威脅極大。

（3）2019年3月，騰訊安全御見威脅情報中心發現針對MySql伺服器進行掃描爆破的挖礦木馬攻擊。

（4）2019年4月，騰訊安全御見威脅情報中心發現WannaMine採用“無檔案”攻擊組成挖礦殭屍網路，攻擊時執行遠端Powershell程式碼，全程無檔案落地。

（5）2019年4月，騰訊安全御見威脅情報中心檢測到“Blouiroet”挖礦木馬復甦。該木馬會首先結束所有其他挖礦木馬程式，獨佔系統資源運營門羅幣挖礦程式。

（6）2019年5月，騰訊安全御見威脅情報中心捕獲到新的挖礦木馬家族NSAMsdMiner，該木馬使用NSA武器的永恆之藍、永恆浪漫、永恆冠軍、雙脈衝星4個工具進行攻擊傳播。

（7）2019年6月，騰訊安全御見威脅情報中心捕獲到一個利用多種方式在內網攻擊傳播的挖礦木馬SpreadMiner。該木馬會利用永恆之藍漏洞（MS17-010）攻擊內網；利用Lnk漏洞（CVE-2017-8464）通過共享木馬和移動儲存裝置感染傳播；同時還對MS SQL伺服器進行弱口令爆破攻擊。

(三) 資訊竊密

資訊竊密類木馬其主要目的是獲取機器上的機密敏感資訊，科研機構、高校、高科技企業及政府機關等最易受到這類木馬攻擊，竊取的資訊包括失陷機器相關資訊(MAC及IP地址，作業系統版本等)，個人或企業資訊(如企業員工聯絡方式，企業郵箱等)，重要機密檔案等等。2019年上半年典型的資訊竊密類安全事件如下：

1.騰訊安全御見威脅情報中心於今年五月截獲一竊密團伙利用Office漏洞植入竊密木馬，瞄準企業機密資訊，備用病毒超60個。

2.迅銷集團旗下日本電商網站賬戶遭黑客攻擊，旗下品牌優衣庫、GU銷售網站逾46萬名客戶個人資訊遭未授權訪問，造成資訊洩露。

3.Capital One資料洩漏事件，Capital One表示黑客獲得了包括信用評分和銀行賬戶餘額在內的資訊，以及約14萬名客戶的社會安全號碼，據Capital One統計，資料洩露影響了全美約1億人和加拿大約600萬人。

4.騰訊安全御見截獲一病毒團伙，病毒攻克1691臺伺服器，超3300萬個郵箱密碼洩漏，包括Yahoo、Google、AOL、微軟在內的郵箱服務均在被攻擊之列。

5.騰訊御界捕獲到一批針對政府和企業的釣魚郵件攻擊，攻擊者假冒某知名快遞公司郵箱給客戶傳送電子發票，通過偽造郵件中的危險附件和連結將目標誘騙到釣魚網站，騙取企業帳號密碼。

(四) 刷量推廣

部分病毒木馬感染機器後，主要是通過刷量，主頁鎖定，軟體推裝獲利，直接危害雖然沒有敲詐勒索，資訊竊密那麼大，但風險木馬的存在對中招裝置有著巨大的安全隱患，風險軟體內嵌的廣告頁常因漏洞或人為因素植入掛馬程式碼。此外，強制鎖定主頁，流氓推裝等行為也給使用者帶來很大的困擾。這類病毒木馬通過下載器、ghost系統、遊戲外掛、流氓軟體等互相傳播，因此有感染量巨大的特點。2019年4月份騰訊安全就披露了一特大病毒團伙，高峰時感染機器裝置超千萬臺。2019年上半年典型的刷量推廣類安全事件如下：

1.騰訊安全御見威脅情報中心發現一病毒團伙通過偽裝多款知名軟體的官方下載站傳播病毒下載器，傳播渠道是通過購買搜尋引擎廣告來獲得流量，被病毒團伙使用的關鍵字包括谷歌瀏覽器、flash player等知名軟體,靜默推裝超過30款軟體，此外還會通過鎖定瀏覽器主頁及新增網址收藏夾等獲得收益。每天中招下載的使用者近萬，累計已有數十萬使用者電腦被感染。

2.騰訊安全揪出年度最大病毒團伙，高峰時控制近4000萬臺電腦，包括幽蟲、獨狼、雙槍、紫狐、貪狼等多個病毒木馬家族，這些木馬利用盜版Ghost系統、啟用破解工具、熱門遊戲外掛等渠道傳播，通過多種流行的黑色產業變現牟利：包括，雲端控制下載更多木馬、強制安裝網際網路軟體、篡改鎖定使用者瀏覽器、刷量、挖礦等等。

該病毒團伙在2018年7-8月為活躍高峰，當時被感染的電腦在3000萬-4000萬臺之間。至當期報告發布時，被該病毒團伙控制的電腦仍在200-300萬臺。

3.獨狼木馬家族已被騰訊電腦管家多次披露，今年上半年持續活躍，除了主頁鎖定，還推裝廣告彈窗木馬程式，自動彈出“最熱搜”等廣告彈窗，即使把廣告程式檔案刪除了也會被反覆釋放。

(五) 肉雞後門

攻擊者攻陷一臺主機獲得其控制權後，往往會在主機上植入後門，安裝木馬程式，以便下一次入侵時使用。後門木馬會長期駐留在受害機器上，接受遠控指令執行定期更新，遠端下載執行，鍵盤監控，檔案竊取上傳等功能。此外，隨著IoT物聯網裝置的增加，針對IoT裝置的攻擊也越來越頻繁，攻擊成功後植入後門，組建殭屍網路，挖礦，DDoS攻擊等進行獲利。2019年上半年典型的肉雞後門類安全攻擊事件如下：

1.2019年7月份捕獲一利用Avtech攝像監控等IoT裝置漏洞（CNVD-2016-08737）進行入侵的攻擊事件。攻擊者利用AVTECH DVR裝置中的命令注入漏洞實現遠端sh指令碼下載執行，最後植入bot後門, 發起DDoS網路攻擊活動。全球約有160多萬Avtech裝置，這些智慧攝像頭裝置、DVR裝置均存在被漏洞攻擊的風險。

2.2019年7月騰訊安全御見威脅情報中心監測到“Agwl”團伙在入侵行動中將Linux系統納入攻擊範圍，攻擊成功後植入挖礦以及遠控木馬。

3.2019年4月，騰訊安全御見威脅情報中心檢測到一款Office啟用工具被捆綁傳播遠端控制木馬，黑客將惡意程式碼和正常的啟用程式打包在資原始檔中，木馬會蒐集敏感資訊上傳並對電腦進行遠端控制。

五、 企業終端威脅預測

1. 勒索病毒持續影響

隨著挖礦等新型“黑產”的興起，網路犯罪分子的注意力也逐漸從勒索病毒轉移到其他“黑產”事業。2016-2018年期間，勒索病毒的活躍度持續下降。但防範勒索病毒的攻擊，依然是企業終端安全的重要事項。我們觀察到，勒索病毒的攻擊目標從攻擊個人使用者，逐漸轉變為攻擊手段更集中、針對性更強，以攻擊企業使用者為主。2019年勒索病毒的活躍度逐漸平穩，但近期有上升趨勢。

隨著GandCrab宣佈停運，新秀Sodinokibi開始大量接替GandCrab原有的病毒傳播渠道，技術專家一度懷疑GandCrab勒索病毒停止傳播只是障眼法，該犯罪團伙可能改頭換面，繼續經營新的勒索病毒。同時我們還觀測到，Ryuk家族的勒索病毒活躍度逐漸升高，有進一步大規模擴散的趨勢。勒索病毒家族不斷的新出，可以預見在未來相當長一段時間內，勒索病毒破壞活動依然持續，企業對勒索病毒的防範依然不可鬆懈。

2. BlueKeep為代表的漏洞逐漸武器化，對企業影響深遠

安全研究員發現微軟的遠端桌面服務中存在一個名為BlueKeep的漏洞（CVE-2019-0708），攻擊者可無需與使用者端互動，即可實現遠端程式碼執行，進而獲得系統控制權。利用此漏洞的惡意軟體可能從易受攻擊的計算機之間互相傳播，與2017年蔓延全球的WannaCry惡意軟體類似。

近期BlueKeep 漏洞利用工具，開始被公開售賣。7.24日美國公司Immunity，一家專業出售商業化滲透測試套件的公司，開始在推特上公開叫賣，出售其商業漏洞利用工具（Canvas），其中便包含BlueKeep的漏洞利用。雖然Canvas 價格高昂，但對黑客來說，破解其授權並非難事，一旦新版工具洩露出來，或許將會對企業造成類似WannaCry的破壞力。

3. 5G時代即將到來，將進一步擴大網路攻擊範圍

在2018年5G 網路基礎已陸續開始部署，2019年6月，中國5G商用牌照正式發放，標誌著中國正式進入5G商用元年，5G將迎來加速發展。一方面，越來越多的裝置將接入物聯網，更多的裝置可能受到攻擊。另外，近年來，大量的殭屍網路感染物聯網，典型的有Gafgtyt殭屍網路，通過感染大量的物聯網裝置構成的殭屍網路，通常可發起DDoS等攻擊，隨著更多的裝置接入物聯網，此類殭屍網路的攻擊方式可能會發生改變，如變成竊取個人、企業的隱私、機密等，危害行將進一步擴大。

另一方面5G時代的到來，更多的本地應用將可放到雲上，雖然雲端計算可以幫助我們簡化本地領域的安全問題，但隨著個人、企業更多的業務都放到雲上，黑客也將把更多注意放到雲上，雲安全也應引起廣大企業的重視。

六、 企業安全威脅防護建議

(一) 企業伺服器端

企業常見的伺服器包括包括郵件伺服器、DNS伺服器、VPN伺服器，這些基礎設施的安全性往往會影響到企業重要業務。例如攻擊者可通過賬號爆破、弱口令密碼登入、DoS攻擊、系統配置漏洞等方式入侵。

企業伺服器常見的安全防護方案，是防火牆、IDS、IPS、防毒軟體等防護產品，對風險流量、郵件、檔案告警、攔截過濾，同時要注意排查是否存在弱口令登入漏洞等系統配置漏洞。

推薦企業使用者使用騰訊御界高階威脅檢測系統，御界高階威脅檢測系統，基於騰訊反病毒實驗室的安全能力、依託騰訊在雲和端的海量資料，研發出的獨特威脅情報和惡意檢測模型系統。通過對企業網路出入網路流量的智慧分析，從中發現黑客入侵或病毒木馬連線內網的線索。

(二) 企業客戶端

企業應部署客戶端防病毒軟體，讓企業網路的所有節點都具有最新的病毒防範能力。推薦使用騰訊御點終端安全管理系統，管理員可以掌控全網的安全動態，及時發現和清除病毒威脅。

1. 漏洞修補

企業所有終端節點：包括伺服器和客戶端都應及時安裝作業系統和主要應用軟體的安全補丁，減少病毒木馬利用系統漏洞入侵的可能性。企業內網使用騰訊御點終端威脅管理系統可以全網統一安裝系統補丁，提升客戶端的安全性。

2. 使用更高版本的作業系統，新版本作業系統的攻擊門檻較高

比如將內網終端系統升級到最新的Windows 10，普通攻擊者攻擊得逞的可能性會降低。

3. 加強員工網路安全防護意識，包括不限於：

1) 不要輕易下載不明軟體程式

2) 不要輕易開啟不明郵件夾帶的可疑附件

3) 及時備份重要的資料檔案

4) 其它

4. 其它必要措施：

1) 關閉不必要的埠，如：445、135，139等，對3389，5900等埠可進行白名單配置，只允許白名單內的IP連線登陸。

2) 關閉不必要的檔案共享，如有需要，請使用ACL和強密碼保護來限制訪問許可權，禁用對共享資料夾的匿名訪問。

3) 採用高強度的密碼，避免使用弱口令，並定期更換。

4) 對沒有互聯需求的伺服器/工作站內部訪問設定相應控制，避免可連外網伺服器被攻擊後作為跳板進一步攻擊其他伺服器。