一、暗处的攻击：木马病毒

木马病毒同样威胁政府、企业等机构的网络安全。前面章节已经介绍了一般的民用木马病毒对用户的危害，本章主要通过实际案例介绍一些专门针对企业的木马病毒攻击。

（一）WannaCry攻击案例

1．某大型能源机构遭大面积感染

（1）场景回顾

2017年5月12日14:26,360互联网安全中心发现安全态势异常，启动黄色应急响应程序，安全卫士在其官方微博上发布永恒之蓝紧急预警。5月13日凌晨1:23,360安全监测与响应中心接到某大型能源企业的求助，反映其内部生产设备发现大规模病毒感染迹象，部分生产系统已被迫停产。安全服务人员在接到求助信息后，立即赶往该单位总部了解实际感染情况。

（2）案例分析

初步诊断认为：WannaCry病毒已在该机构全国范围内的生产系统中大面积传播和感染，短时间内病毒已在全国各地迅速扩散，但仍处于病毒传播初期；其办公网环境、各地业务终端（专网环境）都未能幸免，系统面临崩溃，业务无法开展，事态非常严重。

进一步研究发现：该机构大规模感染WannaCry的原因与该机构业务系统架构存在一定的关联；用户系统虽然处于隔离网，但是存在隔离不彻底的问题；且存在某些设备、系统的协同机制通过445端口来完成的情况。

（3）处置方案

安全服务人员第一时间建议全网断开445端口，迅速对中招计算机与全网机器进行隔离，形成初步处置措施。随后，针对该企业实际情况，制定了应急处置措施，提供企业级免疫工具并开始布防。该企业在全国范围内发送紧急通知，发布内部应急处理和避免感染病毒的终端扩大传播的公告。

5月16日，病毒蔓延得到有效控制，染毒终端数量未继续增长，基本完成控制及防御工作。整个过程中，该企业和安全厂商全力协作配合，监控现场染毒情况、病毒查杀情况，最终使病毒得到有效控制。

2．某市视频监控系统遭破坏

（1）场景回顾

2017年5月13日凌晨3:00,360安全监测与响应中心接到某市级单位电话求助，称其在全市范围内的视频监控系统突然中断服务，大量监控设备断开，系统基本瘫痪。安全服务人员第一时间进行了远程协助，初步判断：猜测是监控系统的服务器遭到攻击，感染勒索病毒，进而感染终端计算机，建议立即逐台关闭Server服务，并运行免疫工具，同时提取病毒样本进行分析。

（2）案例分析

安全服务人员现场实地勘察后发现：确实是该视频监控系统的服务器中招，罪魁祸首正是WannaCry，并且由于服务器中招已经使部分办公终端中招。溯源分析显示，WannaCry先在一台视频网络服务器上发作，然后迅速扩散，导致该视频专网终端及部分服务器（约20台）设备被病毒感染，数据均被加密，大量监控摄像头断开连接。断网将对当地的生产生活产生重要影响。

（3）处置方案

安全服务人员首先在交换机上配置445端口阻塞策略；其次，分发勒索病毒免疫工具，在未被感染的终端和服务器上运行，防止病毒进一步扩散；另外，对于在线终端，第一时间推送病毒库更新和漏洞补丁库；由于部分被加密的服务器在被感染之前对重要数据已经做了备份，因此对这些服务器进行系统还原，并及时采取封端口、打补丁等措施，避免再次感染。

至5月16日，该机构的视频监控系统已经完全恢复正常运行，除13日凌晨被感染的终端及服务器外，没有出现新的被感染主机。

3．某新能源汽车厂商的工业控制系统被勒索

（1）场景回顾

2017年6月9日，某新能源汽车制造商的工业控制系统开始出现异常。当日晚19:00，该机构生产流水线的一个核心部分，即动力电池生产系统瘫痪。这意味着所有电动车的电力电机都将无法出货，对该企业的生产产生了极其重大的影响。

实际上，这是WannaCry的二次突袭，而该企业的整个生产系统已经幸运地躲过了5月份的第一次攻击，却没有躲过第二次。监测显示，这种第二次攻击才被感染的情况大量存在，并不是偶然的。

（2）案例分析

安全服务人员现场实际勘测发现：该机构的工业控制系统已经被WannaCry感染，而其办公终端系统基本无恙，这是因为其办公终端系统上安装了比较完善的企业级终端安全软件。但该企业的工业控制系统，尚未部署任何安全措施。感染原因主要是系统存在公开暴露在互联网上的接口。后经综合检测分析显示，该企业生产系统中感染WannaCry的终端数量竟然占到了整个生产系统计算机终端数量的20%。

事实上，该企业此前早已制定了工业控制系统的安全升级计划，但由于其生产线上的设备环境复杂，操作系统五花八门（包括Windows CE终端、Windows XP终端及其他各种各样的终端），硬件设备也新老不齐（事后测试发现，其流水线上最老的计算机设备有10年以上历史），部署安全措施面临巨大的兼容性考验，所以整个工业控制系统的安全措施迟迟没有部署。

（3）处置方案

因该厂商的生产系统中没有企业级终端安全软件，所以只能逐一对其计算机进行排查。一日之后也仅仅能把动力电池的生产系统救活。此后，自6月9日起一直到7月月底，该企业生产网里的带毒终端才全部清理干净。经过此次事件，该机构对工业控制系统的安全性更加重视，目前已经部署了工业控制安全防护措施。经过测试和验证，兼容性问题最终得到很好解决。

（二）Petya在乌克兰的攻击

（1）病毒简介

类Petya病毒是2017年全球流行并造成严重破坏的一类勒索软件。具体包括Petya病毒、NotPetya病毒和BadRabbit病毒（坏兔子）三种。从纯粹的技术角度看，类Petya病毒的三个子类并不属于同一木马家族，但由于其攻击行为具有很多相似之处，因此很多安全工作者将其归并为一类勒索软件，即类Petya病毒。

Petya病毒主要通过诱导用户下载的方式进行传播。病毒会修改中招机器的MBR（Master Boot Record，主引导记录）并重启设备。重启后，被感染计算机中MBR区的恶意代码会删除磁盘文件索引（相当于删除所有文件），导致系统崩溃和文件丢失。

NotPetya主要通过永恒之蓝漏洞进行初次传播。破坏方式与Petya相同（具体实现技术细节略有不同）。其后期版本还会通过局域网弱口令或漏洞进行二次传播。2017年6月爆发在乌克兰、俄罗斯等多个国家的勒索软件攻击事件，实际上就是NotPetya的攻击活动。由于其行为与Petya案类似，因此一开始被很多人误认为是Petya病毒攻击。因为NotPetya存在破坏性删除文件的行为，所以，即便支付了赎金，数据恢复的可能性也不大。关于NotPetya的真实攻击目的，业界存在很多不同的看法。

BadRabbit主要通过诱导用户下载进行初次传播。通过一般的勒索软件常用的不对称加密算法加密用户文件，并修改MBR，导致用户无法进入系统。同时，还会通过局域网弱口令或漏洞进行二次传播。

（2）场景回顾

2017年6月27日晚，乌克兰、俄罗斯、印度、西班牙、法国、英国，以及欧洲其他多国遭受大规模“类Petya”勒索病毒袭击。该病毒远程锁定设备，然后索要赎金。其中，乌克兰地区受灾最为严重，政府、银行、电力系统、通信系统、机场等都受到了不同程度的影响。首都基辅的鲍里斯波尔国际机场（Boryspil International Airport）、乌克兰国家储蓄银行（Oschadbank）、船舶公司（AP Moller-Maersk）、俄罗斯石油公司（Rosneft）和乌克兰一些商业银行，以及部分私人公司、零售企业和政府系统都遭到了攻击。

（3）案例分析

根据事后的分析发现，此次事件之所以在短时间内肆虐，是因为其利用了乌克兰流行的会计软件M.E.Doc进行传播。这款软件是乌克兰政府要求企业安装的，覆盖率接近50%。更为严重的是，根据安全机构的研究显示，M.E.Doc公司的升级服务器在问题爆发前三个月就已经被控制。也就是说，攻击者控制了乌克兰50%的公司的办公软件升级达三个月之久。类Petya攻击只是这个为期三个月的控制的最后终结，目的就是进行尽可能多的破坏，避免取证。至于在之前的三个月中进行了什么活动，已无法得知。

（三）服务器勒索攻击案例

1．某关键基础设施的公共服务器被加密

（1）病毒简介

勒索病毒是个舶来品，无论是英文版的勒索信息，还是比特币这一赎金交付方式，都透露着浓浓的国际化味道。而最近，360威胁情报中心却发现一款国产化的勒索病毒。该病毒为国内黑客制造，并第一次以乐队名字MCR命名，即MCR勒索病毒。该病毒在2017年7月首次出现，采用Python语言编写。

该病毒加密文件后，文件扩展名会变为“.MyChemicalRomance4EVER”。而扩展名中的“MyChemicalRomance”，其实是源自一支美国新泽西州的同名朋克乐队。该乐队成立于2002年，2013年宣告解散。

该勒索软件的特点是，在加密的文件类型列表中，除大量的文档类型外，还包括比特币钱包文件和一些较重要的数据库文件。另一个更大的特点是，该木马不同于以往的勒索软件使用不对称加密算法，而是采用了AES对称加密算法，并且用于加/解密的密钥是硬编码在脚本中的（MyChemicalRomance4EVER_tkfy_lMCR）。因为使用对称加密算法，并且密钥可以从脚本中获得，所以在不支付赎金的情况下，被加密的文件资料也比较容易解密恢复。

（2）场景回顾

2017年8月5日，某公共服务系统工作人员在对服务器进行操作时发现服务器上的Oracle数据库后缀名变成了“.MyChemicalRomance4EVER”，所有文件无法打开。该IT人员怀疑自己的服务器被勒索软件加密，因此向360安全监测与响应中心进行求助。

（3）案例分析

安全人员现场勘测发现，该公共服务系统感染的是MCR勒索病毒。该病毒名字很“朋克”，但传播方式却颇为老套，即伪装成一些对广大网民比较有吸引力的软件对外发布，诱导受害者下载并执行。例如，在现场截获并分析的样本就自称是一款名为VortexVPN的VPN软件。除此之外，还有类似于PornDownload、ChaosSet、BitSearch等的各种工具软件。

与众不同的是，这款病毒是用Python语言编写的木马脚本，再打包成一个．exe的可执行程序。首先，木马会判断自身进程名是否为systern.exe。如果不是，则将自身复制为C:\Users\Public\systern.exe并执行。随后，木马释放s.bat批处理脚本，关闭各种数据库、Web服务及进程。最后，就是遍历系统中所有文件并加密再留下勒索信息了。当然，为了避开敏感的系统文件，代码有意避开了“C:\Documents and Settings”和“C:\Windows”两个目录。最终木马会调用系统的wevtutil命令，对系统日志中的“系统”、“安全”和“应用程序”三部分日志内容进行清理，并删除自身，以求不留痕迹。

（4）处置方案

安全服务人员发现该勒索软件程序漏洞，可直接利用360解密工具恢复数据。在未向黑客支付一分钱的前提下，该单位成功恢复了所有被加密的文件。应建议企业员工：不要下载来源不明的程序；安装杀毒软件并开启监控；不要相信所谓外挂、××工具、××下载器一类的程序宣称的“杀软误报”论（某些病毒制造者会在网上发帖宣称某些软件被安全软件报毒是因为安全软件的误报，从而迷惑普通网民）。

2．某云平台服务上托管的服务器被加密

（1）病毒简介

2016年2月，在国外最先发现的一款能够通过Java Applet传播的跨平台（Windows、MacOS）恶意软件Crysis开始加入勒索功能，并于8月被发现用于攻击澳大利亚和新西兰的企业。Crysis恶意软件甚至能够感染VMware虚拟机，还能够全面收集受害者的系统用户名和密码、键盘记录、系统信息、屏幕截屏、聊天信息、控制麦克风和摄像头，现在又加入了勒索功能，其威胁性大有取代TeslaCrypt和对手Locky勒索软件的趋势。

Crysis勒索软件的可怕之处在于其使用暴力攻击手段，任何一个技能娴熟的黑客都可以使用多种特权升级技术来获取系统的管理权限，寻找到更多的服务器和加密数据来索取赎金。主要攻击目标包括：Windows服务器（通过远程爆破RDP账户密码入侵）、MAC、PC等。该勒索软件最大的特点是除加密文档外，可执行文件也加密，只保留系统启动运行关键文件，破坏性极大。

（2）场景回顾

2017年10月15日，某云平台服务商发现托管在自己机房的用户服务器上的数据均被加密，大量合同文件、财务报表等都无法打开。

（3）案例分析

安全服务人员现场实际勘测发现：该机构的公共服务器被暴露在公网环境中，并且使用的是弱密码；黑客通过暴力破解，获取到该服务器的密码，并使用远程登录的方式，成功登录到该服务器上。黑客在登录服务器后，手动释放了Crysis病毒。

（4）处置方案

因其服务器上存储着大量重要信息，对企业发展至关重要，所以该企业选择支付赎金，恢复所有被加密的文档。

3．江苏某大型房地产企业服务器被加密

（1）病毒简介

GlobeImposter病毒最早出现在2016年12月左右，第一个版本存在漏洞，可解密，但后期版本只能通过支付赎金解密。2017年5月出现新变种，7、8月初进入活跃期。该病毒从勒索文档的内容看与Globe家族有一定的相似性。

（2）场景回顾

2017年7月12日，某大型房地产企业发现自己的服务器数据库被加密，该企业的IT人员担心受到责罚，隐瞒实际情况未上报。10月18日，该企业领导在查询数据时，发现服务器上的数据被加密，且已长达数月之久，于是向360安全监测与响应中心求助。

（3）案例分析

安全人员实际勘测发现：攻击者主要是使用带有恶意附件的邮件进行钓鱼攻击。受害者在单击附件中的VBS脚本文件，即GlobeImposter病毒后，VBS脚本文件负责从网络上下载勒索软件，通过rundll32.exe（一个系统程序）并带指定启动参数进行加载。样本执行后在内存中解密，解密后才是真正的功能代码。该勒索软件会对系统中的文件进行扫描，对磁盘上指定类型的文件进行加密，被样本加密后的文件后缀为．thor。样本加密文件所使用的密钥随机生成，加密算法为AES-CBC-256，使用样本内置的RSA公钥，通过RSA-1024算法对随机生成的AES加密密钥进行加密处理。

（4）处置方案

由于距离加密时间太久，黑客密钥已经过期，因此被加密的数据和文件无法恢复，使该企业造成了大量的财产损失。

4．某市政务系统的服务器被加密

（1）病毒简介

CryptON病毒最早出现在2016年12月，该病毒是Cry9、Cry36、Cry128、Nemsis等勒索病毒的统称，早期版本可通过对比加密和未加密的文件来暴力运算破解获取解密密钥，后期版本无法解密。

（2）场景回顾

2017年11月26日，某市政务系统服务器上的数据库、业务系统无法使用，文件内容无法存储，所有文件均无法打开。该机构进行紧急求助。

（3）案例分析

安全服务人员现场勘测发现：该系统感染的勒索软件为CryptON病毒。攻击者首先使该机构的IT运维人员的计算机感染木马程序，之后在IT人员登录服务器时窃取账号和密码，再通过窃得的账号和密码远程登录到服务器上，最后释放勒索软件。

（4）处置方案

由于CryptON病毒的不可解性，要想恢复数据文件，只能支付赎金。该机构在得知只有支付赎金才能解密的情况下，放弃数据恢复，直接重装系统，并加强对运维人员计算机的监控与管理。

5．某知名咨询公司的两台服务器被加密

（1）场景回顾

2017年11月，某知名咨询公司发现其服务器上所有文件被加密，怀疑感染了勒索病毒，并进行紧急求助。

根据该企业IT人员介绍：被锁定的服务器一共有两台，一台是主服务器，存储了大量该咨询公司为国内外多家大型企业提供咨询服务的历史资料，十分珍贵；而另一台是备份服务器，主要是出于安全考虑，用于备份主服务器资料。两台设备同时被锁，意味着备份数据已不存在。同时，目前只要将U盘插入服务器，U盘数据也会被立即加密。在发现服务器中毒后，企业人员对当日与服务器连接过的所有办公终端进行了排查，未发现任何中毒迹象。

（2）案例分析

安全服务人员现场勘测发现：该企业未曾部署过任何企业级安全软件或设备，其服务器上安装的是某品牌免费的个人版安全软件，所有（200余台）办公计算机安装的也是个人版安全软件，且未进行统一要求。中招服务器升级过5月的漏洞补丁，后续未再升级；同时，其内部办公终端与服务器之间也没有进一步的安全防护措施，仅仅靠用户名和密码来进行验证。

经确认，该公司两台服务器感染的勒索软件为Crysis的变种，文件被加密后的后缀名为．java，目前这个勒索软件无解。这个勒索软件家族有一个特点就是针对服务器，攻击的方式都是通过远程桌面进入，爆破方式植入。而之所以会发生U盘插入后数据全部被加密的情况，是因为服务器上的勒索软件一直没有停止运行。

（3）处置方案

在安全服务人员的远程指导下，该企业IT人员首先断开服务器的网络连接；随后卸载服务器上已经安装的安全软件。这一步的处置措施十分必要，因为一旦安全软件发挥作用杀掉了勒索软件，那么对于已经感染勒索软件的计算机来说，有可能导致勒索软件被破坏，被加密的数据无法恢复。

因被加密的两台服务器上存储着该企业及其重要的资料，且无其他备份，所以该企业在得知无法解密的情况下，选择向攻击者支付赎金，进而恢复文件。

攻击者显然对该企业的网络服务系统进行了长期、细致的研究，同时攻击主服务器和备份服务器是经过精心设计和周密考虑的。

（四）其他木马病毒攻击案例

1．某电商企业用户订单信息被竞品窃取

（1）场景回顾

2016年，某互联网特殊品类电商企业频频发生用户订单信息泄露事件，并因此接到了大量用户的反馈与投诉。根据用户反馈情况显示：很多用户刚刚在该电商平台上表示出购买意向，便立即接到了该电商平台的某个主要竞争对手的营销电话，而且营销信息非常精准，不仅能准确说出用户的相关信息，而且对用户想要购买的商品了如指掌。在竞品营销电话的鼓动之下，很多用户选择了去竞品平台进行购物。很显然，该电商平台的用户订单信息泄露了，而且其竞争对手几乎可以实时获取该平台的用户订单信息。

根据该电商企业的粗略评估：在用户订单信息泄露现象出现的1个多月内，共有2000多位用户被竞品的营销电话挖走，每个用户被挖走平均会给该企业造成至少1000元的经济损失。

（2）案例分析

为查明问题，杜绝隐患，该电商企业对此事件展开调查。360的安全专家在协助初步调查及进行内部数据流清理时发现，该企业业务及数据流向十分复杂，一般简单检测手段很难发现问题。为此，360与该企业共同制定了以下系统性排查方案：

外网探测，从外网进行探测，以确定该电商网站是否存在安全漏洞；

内网排查，检查是否存在已被入侵的主机服务器或办公终端；

数据审计，在内网关键数据流节点增加审计手段，以便发现异常并监测数据流向；

内部审查，由该企业自行展开内部人员审查，以排除可能存在的内鬼。

经过2个月左右的全面排查，最终发现该电商企业及其网站系统存在以下多处安全隐患：

该电商企业的供应商使用的系统存在未授权访问接口，可以遍历网站内部数据；

内网部分服务器已被植入木马程序，而木马程序能够被植入的主要原因是某内部系统未设置访问控制策略，导致攻击者可以从互联网直接访问其内网系统；

该企业确实存在内鬼。

（3）处置方案

上述隐患排除后，该企业再未接到类似的用户反馈或投诉。

2．某能源企业新建办公楼因“裸奔”被入侵

（1）场景回顾

2016年，某大型能源企业的一个地方公司搬迁。新办公楼建设完成后急于启用，因此在未部署任何网络安全防护措施的情况下，便开始入住和办公，整个办公楼中的计算机和网络系统在约一个月内几乎完全“裸奔”。

（2）案例分析

该企业开始在新办公楼中全面部署安全防护系统时才发现，整个办公楼中已经有至少数十台办公计算机感染木马病毒，办公系统中的多台服务器被入侵和控制。

在随后进行的进一步深入调查中发现，该企业的某些核心计算机设备在最近一个月中遭到了高级组织的网络攻击，该企业在全国建设的某些管网图、勘探图等机密资料可能已经被窃。