1.1 网络威胁简介

互联网发展至今，网络威胁也从最早的黑客炫技，演化成以盈利或窃取信息为目标的有组织攻击。网络威胁主要有僵木蠕毒等恶意程序、分布式拒绝服务（DDoS）、网络入侵攻击、业务安全风险等。

1.1.1 什么是恶意程序

恶意程序是指数字世界中带有攻击意图的程序实体，通常可以分为攻击载荷、木马、蠕虫、感染型病毒。

1.攻击载荷

攻击载荷是指攻击者发起初始攻击并建立网络连接的武器载体，按照功能可以分为投递攻击类、连接控制类、独立攻击类。投递攻击类有远程攻击类载荷、钓鱼邮件、恶意文档等，连接控制类有WebShell、反弹Shell、后门木马（BackDoor）等，独立攻击类有SSH、RDP、Telnet等标准Shell，如图1-1所示。

远程攻击类载荷的目标是实施网络远程入侵攻击并获得系统执行命令的权限，大名鼎鼎的“永恒之蓝”漏洞的利用方式就属此类。这类载荷往往体积较小，获得系统权限之后通常仅执行下载等少量操作，如果不需要作为跳板进一步扩大战果，这类载荷一般以内存态呈现，所以企业在选择主机安全产品时需要测试其是否具备检测远程攻击类载荷（内存马检测）的能力。

钓鱼邮件是另一种常见的投递攻击类载荷。最常见的手段是投递一个附件，如果你被诱导打开了附件里的文档或程序，则可能会被种下后门木马。隐蔽一些的手段会结合浏览器漏洞实施攻击，邮件中是一个网址或带链接的图片，如果你的浏览器存在漏洞，有可能在点击链接之后被攻陷。最高级的钓鱼邮件会使用邮箱软件0DAY或系统指针0DAY等“核武器”实施攻击，只要你打开邮件，不需要任何操作，就可能被攻陷，即所谓的“看一眼就中毒”。

恶意文档一般伴随着钓鱼攻击出现，之所以单独介绍，是因为除了邮件钓鱼，攻击者逐渐倾向使用聊天工具冒充合作伙伴、招聘HR等角色实施钓鱼攻击，发给你的文档是包含漏洞利用代码的。

WebShell是最常见的连接控制类载荷。当攻击完成之后，如果目标是一个Web应用服务器，攻击者会在合适的目录下放置一个实施命令与控制的PHP或JSP脚本，通过网址访问就能实施控制和窃取信息的操作。

反弹Shell是指失陷主机主动连接攻击者服务器实施被控的脚本载荷，通常使用Bash、Telnet、Python、PHP等脚本编写，并完成系统驻留，实施持久化攻击。

后门木马是指攻击者完成入侵后植入的后门通道，用于远程控制和执行命令，功能非常强大，可以截取屏幕，窃取数据，破坏系统，几乎无所不能，是组建僵尸网络和进行APT攻击（定向持久攻击）的关键武器。

标准Shell是指利用SSH、Telnet、RDP、灰鸽子远程协助等软件提供的远程服务实施的攻击，比如弱口令攻击，一旦入侵成功，就可以使用系统提供的远程服务实施控制和命令操作。

2.木马

木马是数量最多的一类恶意程序，各安全公司会根据危害类型将木马进一步细分。常见的木马有后门木马、网银木马、盗号木马、主页木马、广告木马、勒索木马、挖矿木马等，如图1-2所示。

1）后门木马。前文已介绍。

2）网银木马。21世纪初，网上购物和网银支付得到了很大的发展，因此也出现了网银（购）木马。网银木马主要使用两种方法：一种是直接盗取账号和密码，另一种是篡改支付过程中的收款账号和收款金额。随着银行U盾、安全控件、多因子认证等防护措施的加强，网银木马在国内已经很少见了。

3）盗号木马。互联网的发展使得大家拥有了很多账号。在黑产眼里，这些账号具备很高的价值，特别是聊天账号和网游账号。“盗号产业链”已经非常成熟。盗号的常用手法有键盘记录、内存读取、界面模仿等。

4）主页木马。浏览器的导航主页是重要的流量入口，也是很多互联网公司的重要收入来源。受利益驱动，锁主页的木马一直流行至今。

5）广告木马。恶意弹广告是木马的另一种主流的变现模式。除了木马，也有很多软件违规弹广告，特别是618、双11等购物节，给网民的桌面带来了极大的骚扰。有些木马也会耍些小伎俩，不真正弹出窗口，改为在后台刷广告，以此来欺骗投放主的广告费。

6）勒索木马。早期的勒索木马会锁定系统要求赎金，现在主要对计算机（包括服务器）上的文件进行加密，支付赎金后提供解密。近年来，数字货币发展迅速。数字货币的匿名性使得交易难以追踪，客观上助长了黑产和网络犯罪的发展。目前，几乎所有的勒索木马都采用数字货币支付赎金。

7）挖矿木马。挖矿木马也是数字货币发展的产物。和勒索木马不同，挖矿木马不会破坏文件，但会在后台悄悄利用CPU和显卡的计算能力为木马作者挖取价值不菲的数字货币，而宿主唯一能感觉到的可能只是计算机运行速度变慢了。

3.蠕虫

蠕虫最大的特性是能够自我复制、主动传播。根据传播方式不同，蠕虫可以分为网络蠕虫、邮件蠕虫、共享蠕虫、聊天蠕虫等，如图1-3所示。

1）网络蠕虫。这类蠕虫具备最强的传播能力，利用内置的渗透技术自动寻找存在漏洞的目标并完成攻击，在网络世界中肆意穿行。大名鼎鼎的WannaCry就是这类蠕虫。该蠕虫利用了NSA（美国国家安全局）泄漏的“永恒之蓝”等漏洞，在短时间内席卷了全球，并传播勒索木马，造成了经济、生产的严重停摆。这类蠕虫一旦放出来，就像打开的潘多拉魔盒，难以控制。WannaCry的作者加入了“自杀”开关，否则危害还将放大数倍。另外，2003年的“冲击波”、2004年的“震荡波”都属于此类蠕虫。

2）邮件蠕虫。这类蠕虫通常会收集失陷系统的邮箱列表，然后使用自带的邮件引擎向这些邮箱发送病毒邮件，进一步感染和控制更多的计算机。随着大数据挖掘技术在反垃圾邮件中的应用，此类蠕虫的生存空间已经非常狭小。

3）共享蠕虫。这类蠕虫通过向共享目录释放病毒体进行传播，通常需要诱骗用户双击打开才能运行。但U盘类蠕虫则会通过设置“自动播放”属性在打开目录时进行传播。另外，配合lnk（快捷方式）漏洞，理论上可以实现在打开共享目录时“看一眼就中毒”的能力。

4）聊天蠕虫。这类蠕虫通过聊天工具进行传播，著名的有“QQ尾巴”“MSN书虫”等。攻击者会在聊天软件或聊天室中发一些具有诱惑力的内容，附带一个病毒链接。随着聊天软件联合安全团队的治理，此类蠕虫也基本销声匿迹。

4.感染型病毒

感染型病毒等同于狭义上的病毒定义，主要特征是感染正常的应用程序并寄生在其中。在程序运行时，首先执行的是病毒代码，然后再跳转执行应用程序代码。相对于木马和蠕虫，感染型病毒在编写上更有技巧和难度，很难用普通杀毒软件清除干净。受网络安全法及“熊猫烧香”案件的影响，近几年没有再出现新的感染型病毒。但古董病毒（ramint等）依旧潜伏在网络的某个角落，时不时地进行一轮小范围的攻击。感染“熊猫烧香”之后的界面如图1-4所示。

除此之外，还有一类最难清除的病毒，业内通常命名为Rootkit、Bootkit。

1）Rootkit。安全软件通过主动防御和强力杀毒功能来拦截和查杀病毒，往往具备系统权限，以取得对抗上的优势。而Rootkit病毒则通过进入系统内核（相当于手机上获得Root权限），取得了和杀毒软件一样的权限，进而可以实现隐藏（看不见）、加固（杀不掉）、破坏（反杀安全软件）等动作，难以被清除。

2）Bootkit。这是比Rootkit更高一级的攻击技术。通过感染磁盘引导区（MBR、VBR）、主板BIOS等硬件，取得比安全软件更早的启动机会。随着这类代码被公开披露，Bootkit技术被越来越多应用到黑产中，比较有名的是“暗云”系列、“异鬼”“隐魂”等。

Rootkit和Bootkit存在于系统底层，如图1-5所示，理论上可以对操作系统核心做任何的修改和破坏。

针对Rootkit和Bootkit，安全软件在处理时已经没有太多的优势，因此防御重点应该是加强对此类威胁在进入或执行阶段的拦截。另外，此类病毒往往通过盗版系统传播，能够比安全软件更早入驻系统，国内一流的安全厂商都在它们的管家或卫士产品上加入了“专杀代码”进行清除，还单独发布了“急救箱”进行强力清除。

1.1.2 经典网络攻击

1.僵木蠕毒攻击

业内习惯把僵尸网络、木马、蠕虫、感染型病毒合称为僵木蠕毒。从攻击路径来看，蠕虫和感染型病毒通过自身的能力进行主动传播，木马则需要渠道来进行投放，而由后门木马（部分具备蠕虫或感染传播能力）构建僵尸网络。下面揭示一下木马的投放方法。

网络下载是当前木马攻击的主要路径。大部分人都会从网络下载安装软件，如果不注意区分，就可能被病毒攻击。一些不正规的网站、外挂网站、软件（游戏）下载网站、小说网站往往会植入木马牟取私利，“诱导安装”传播木马如图1-6所示。

有些朋友不以为然，认为只要不在网上下载文件，又奈我何？此时，网页挂马粉墨登场。网页程序在浏览器中的执行权限是受到限制的，但黑产作者通过浏览器、Flash等组件的漏洞突破了该限制，获得了更高的系统权限，此时，可以通过shellcode释放和执行木马。在用户视角，他只是浏览了某个网页，没有下载和运行任何程序，结果还是中毒了，如图1-7所示。

客户端挂马是网页挂马的升级版本，即使没有浏览网页，也有可能会中毒。那么，这是怎么发生的呢？互联网广告的蓬勃发展，使得很多软件都会在适当的时机给用户弹广告推荐商品或推装软件来获得收益。而大部分软件的弹广告模块内置了Flash控件，如果Flash控件存在漏洞，则在软件弹出广告时，加载的广告中含有恶意代码（黑产作者故意投放到广告中的），这样木马就进来了，如图1-8所示。2017年警方抓获的“雷胜”特大网络犯罪团伙，就是熟练使用客户端挂马技术的黑产团伙。

聊天工具也是主要的攻击路径之一。聊天蠕虫在软件官方和安全团队的技术打击下，已经不再流行。现在针对聊天工具的攻击方式主要有两种：一种是在聊天群里分享带毒链接，或者把木马改为有诱惑性的文件名（比如“2018年各大互联网公司年终奖披露”）上传到聊天群里；另一种是定向攻击，每一个案例都有剧本（经典剧本有“我的照片”“招聘职位描述”等），如图1-9所示。

2. DDoS攻击

DDoS攻击是指在短时间内对服务器进行洪水般的超负载访问攻击，以击垮服务器，使其不能为客户服务。攻击对象通常为游戏服务器、网站、业务服务器等，实施攻击者主要是黑产控制的代理服务器或僵尸网络。

我们把被后门木马控制的机器叫作“肉鸡”，而由大量肉鸡组成的能够统一接收指令并实施网络攻击的集合叫作“僵尸网络”，DDoS攻击是僵尸网络的主要业务之一。近年来，智能设备快速普及，但安全防护能力并没有同步跟上，使得大量的智能设备能够被轻易入侵并控制，导致僵尸网络的规模得到了成倍的扩张。Mirai是一个由网络摄像头、路由器等智能设备构成的僵尸网络，超强的DDoS攻击流量甚至使美国东海岸互联网停摆了半天时间。MyKings是全球范围内具有数百万肉鸡的多重（PC、IoT等）僵尸网络，除了DDoS攻击，还有虚拟币挖矿、提供代理服务等业务。

DDoS攻击中最难防御的是利用僵尸网络实施的低频CC攻击，攻击者模拟用户正常访问回包数据较大的网络接口，导致服务器消耗放大最终瘫痪。

3.黑客入侵攻击

很长一段时间，黑客入侵根据目的来划分主要有两种：一种是构建僵尸网络进行黑产牟利，另一种是通过高级攻击（APT）进行间谍破坏活动。这两种入侵攻击都比较注重隐蔽自身，实施持久性攻击。但随着数字货币的发展，近年来出现了一种新的攻击——入侵服务器加密数据或文档进行敲诈勒索。

办公计算机和服务器是一个企业重要的资产，但如果不注意安全防护，这些资产可能会和黑产共享。黑产人员通过网络攻击入侵个人计算机或服务器并植入后门，当资产数量形成一定的规模后，黑产人员可以通过发送指令进行DDoS攻击、弹广告等方式牟利，如图1-10所示。

在电影中，黑客往往无所不能。而现实中，黑客经常也确实无所不能。接下来，我通过两个故事来介绍对企业危害较大的APT攻击和勒索病毒攻击。

故事一：盗版游戏比正版游戏更新快

早些年，某知名游戏公司G公司的老总陈峰找到我，让我帮忙排查一起游戏服务端泄露的安全事件。

陈峰告诉我，他们公司的A游戏是代理H公司的，但是最近他们发现，外界出现了盗版私服，而且版本更新得比他们还快。H公司认为是他们出现了问题，理由是刚刚把新版发过来，外面的私服就跟着更新了，另外还发现有两名G公司员工向H公司投递了钓鱼邮件。

我一听来了兴趣，于是和小伙伴一起去了现场。经过三天的调查取证，确认G公司遭到了臭名昭著的Winnti组织的攻击。我告诉陈峰，Winnti是主要针对游戏公司的APT组织，窃取源代码或服务器程序搭建私服是其主要牟利手段之一，而这次攻击持续了两年之久。攻击过程如图1-11所示。

故事二：勒索信

李雷是一家物料加工厂的老板。这天，李雷还像往常一样早早起床，正准备出门的时候，工厂来电话了，大致意思就是工厂的计算机都中了病毒，无法正常开展工作了。李雷一听，赶紧开车奔向工厂，并向在安全公司工作的好朋友王毅求助。

李雷到达公司后，了解到公司大部分机器上的文件和数据都被加密了，重要的有财务的计算机、数据服务器、作业服务器等。加密的计算机上都留下了一封英文信件，信件大致意思是：我把你的文件都加密了，你可以通过邮件联系我尝试解密3个文件，额外的解密需要付费。李雷赶紧安排员工联系对方。（勒索病毒攻击中的“勒索信”如图1-12所示。）

没多久，王毅过来了，排查了半个小时有了结论：“计算机所中的是今年最流行的勒索病毒之一GlobeImposter，没有密钥无法解密。如果数据有备份的话，可以通过备份恢复。”在得知没有备份后，王毅接着说：“现在要紧的是拿回数据恢复生产。另外，黑客是通过445等端口暴力破解入侵暴露在公网上的服务器的，然后再对内网渗透，找到重要机器后，进行加密勒索。后面还要做好防御工作，免得下次再被攻击。”攻击路径示例如图1-13所示。

这时，攻击者的回复邮件也发过来了，对方要求支付1个比特币提供解密服务，按照当前的市场价格，约为10万人民币。但李雷没接触过比特币，不知道怎么支付。这时王毅又说：“勒索病毒已经产业化了，他们分工很明确，病毒作者和代理商合作分成，代理商会找到渠道商，渠道商实施攻击入侵并植入勒索病毒。但他们为了不被追查到，只支持比特币支付。这时，有一些人嗅到了商机，他们联系勒索代理商，专门解决支付难的问题，从中赚取回扣，而且价格往往比直接支付还要优惠。网上搜索勒索病毒文件恢复就能找到他们。”勒索病毒产业链如图1-14所示。

虽然不情愿，但为了尽快恢复生产，李雷还是通过支付赎金解决了问题，并按照王毅的建议，对计算机和服务器打了补丁，安装了杀毒软件，关闭了不必要的端口，还添置了数据自动备份的系统，也对内外网进行了隔离。吃一堑长一智，重要的是确保后续不会再出差错。

1.1.3 业务安全攻击

区别于网络安全攻击，业务安全攻击是指对企业提供的业务本身实施的攻击，受攻击对象包括软件（如手机应用、小程序等）、服务接口、营销活动等。攻击者不需要通过网络入侵就能达成目的。

常见的业务攻击有针对电商活动的“薅羊毛”攻击、针对各种社会紧缺资源的“占坑”攻击，针对业务数据的“爬虫”攻击、针对影视作品版权的“盗链”攻击等。这里介绍一下前三种攻击。

1.“薅羊毛”攻击

在电子商务活动中，商家为了使得广告投放更有效果，更能吸引用户，往往会做一些让利活动，如各种优惠券、抵扣券、秒杀活动等。通常情况下，这些让利会跟随广告触达用户。但实际上，这些活动早早被一些团伙盯上了。在活动出来之后，这些团伙利用“秒单”程序以毫秒级的速度抢单，往往几分钟就将优惠券一抢而光，随后进行转卖来赚取差价。安全研究员称这些团伙为“羊毛党”。这类攻击对商家的伤害非常大，使得商家的让利几乎没有到达目标用户，投放的广告效果也大打折扣。如果风险控制没有做好，这类攻击甚至可能会影响企业的发展。

2.“占坑”攻击

社会紧缺资源主要有火车票、医疗挂号等，而这些较少的资源却被少数人控制，然后高价卖给真正有需要的人，安全研究员把这类黑产团伙叫作“黄牛党”。有需求的人抢不到，为什么“黄牛党”却可以？这里以医疗挂号为例进行介绍。现在很多医院都支持线上挂号，“黄牛党”利用程序时刻监控着号源，当医院放号时，程序自动使用事先准备好的身份信息进行号源抢占。程序的操作是毫秒级的，凭人的手速是抢不过的，因此人们经常看到的就是“约满”。然后，“黄牛党”通过电商平台或者他们开发的山寨挂号网销售，患者线下提交需求和身份信息，“黄牛党”退订一个号源，然后通过程序利用患者的身份信息迅速挂号。通过黄牛挂号，付出的费用要比官方挂号高10倍以上。这类攻击往往不会损害医院或企业的利益，但用户会花费额外的费用。

3.“爬虫”攻击

常见的信息泄露有三种途径：黑客入侵“拖库”、内鬼泄密和“爬虫”攻击。这里介绍与业务安全相关的“爬虫”攻击。互联网下半场，传统行业纷纷出场，比如智慧交通、智慧医疗等，导致大量的数据进行互联互通。比如，通过一些医疗服务应用，我们可以挂号、查看病历和化验报告。这里出现了一个问题，这些应用的质量参差不齐，有些应用没有做权限控制或存在被绕过的漏洞，导致可以通过任意手机号查看别人的身份信息和就诊信息。被黑产发现之后，他们通过手机号码库进行遍历爬取，整合归档之后在暗网上售卖。“爬虫”攻击可能会导致企业的核心数据或用户的隐私数据泄露，应引起重视，企业应从网站建设、应用开发上做好权限控制，避免出现越权访问漏洞。