本报告的研究数据和分析资料来自于启明星辰金睛安全研究团队，统计数据来自于启明 星辰 VenusEye 威胁情报中心，启明星辰漏洞扫描团队和启明星辰安全应急响应中心。主要 针对 2018 年至 2019 年上半年的网络安全状况进行统计、研究和分析。本报告提供给媒体、 公众和相关政府及行业机构作为互联网信息安全状况的介绍和研究资料，请相关单位酌情使 用。如若本报告阐述之状况、数据与其他机构研究结果有差异，请使用方自行辨别，启明星 辰公司不承担与此相关的一切法律责任。 启明星辰金睛安全研究团队 启明星辰金睛安全研究团队是启明星辰集团专业从事威胁分析的团队。其主要职责是对 现有产品产生的安全事件日志、样本数据进行挖掘、分析，并向用户提供专业分析报告。该 团队会依据数据产生的威胁情报，对其中采用的各种攻防技术做深入的跟踪和分析，并且给 出专业的分析结果、提出专业建议，为用户决策提供帮助。 VenusEye 威胁情报中心 VenusEye 威胁情报中心（www.venuseye.com.cn）是由启明星辰集团倾力打造的集威胁 情报收集、分析、处理、发布和应用为一体的威胁情报服务系统，是启明星辰多年网络安全 研究和积累的集中体现。系统以自有情报和第三方交换情报为基础数据，综合运用静态分析、 动态分析、大数据关联分析、深度学习、多源情报聚合等先进技术，生产和提供高质量的威 胁情报信息。 启明星辰安全应急响应中心 启明星辰安全应急响应中心是启明星辰集团成立的针对重要网络安全事件进行快速预 警、应急响应的安全协调中心。为企业级用户提供高危漏洞、重大安全事件预警通告、安全 周报和相关产品解决方案。 启明星辰安全应急响应中心成立至今，已经发布 252 篇预警通告、59 期安全周报、协 调处置网络安全事件 300 多起。 启明星辰漏洞扫描产品中心 启明星辰漏洞扫描产品中心是从事漏洞评估与管理产品的专业化团队，不断突破漏洞评 估相关核心技术，在工控漏洞评估、漏洞智能管理、产品国产化等多方面持续领先。2018 年,“天镜脆弱性扫描与管理系统”在漏洞评估与管理市场排名第一（CCID 发布中国漏洞评估 与管理市场研究报告 2018） ，树立了启明星辰漏洞评估与管理产品的领导者地位和市场品牌。 启明星辰漏洞扫描产品中心于 2000 年开始研发天镜脆弱性扫描与管理系统，研发了具 有自主知识产权的漏洞评估与管理产品系列产品，包括天镜系统漏洞评估工具、天镜 Web 应用检测系统、天镜无线安全评估工具、天镜工控漏洞评估工具、天镜工控等保检查工具箱、 天镜网络安全应急处置工具箱、天镜漏洞管理平台、天镜国产化漏洞扫描产品等。 自互联网诞生以来，各种网络犯罪就以惊人的速度在全世界范围广泛蔓延。 特别是近年来，随着云计算、大数据、物联网、移动互联网等新一代信息技术的快速发 展，网络攻击无论从其频率、复杂性还是针对的目标来看都在大幅度增加。 过去一年多，网络安全总体态势虽不像 2017 年那样“波澜壮阔”，但也绝对不是“一帆风 顺”，各种各样的网络安全事件不断吸引着人们的眼球，同时引发网络安全从业者的一次次 深思。 从 2018 年初曝光的各种芯片漏洞，到不死的“永恒之蓝”漏洞，再到被广泛应用的各类 Web 应用漏洞、IoT 漏洞；从趋于定向化和敏捷化的勒索攻击，到各类挖矿攻击的全面铺开； 从一次次数据泄露事件的曝光，到几乎每天曝光一次的 APT 攻击活动。不绝于耳的网络安 全事件让我们深切感受到攻击者的手段更加武器化，经济利益驱使下黑客的攻击方式更加理 性化，网络攻击更加产业化，国与国之间的攻防对抗更加常态化，网络攻击面更加扩大化。 过去一年多的网络安全事件时刻提醒着我们面临的日益严峻的网络安全状况。我们理应 在合适的时候进行回顾和总结，这既是对过去这一年多面临的诸多网络安全问题的总结和反 思，也是对未来网络安全趋势的展望和思考。 因此，启明星辰金睛安全研究团队、VenusEye 威胁情报中心、启明星辰漏洞扫描产品 中心、启明星辰安全应急响应中心联合发布《2018~2019 网络安全态势观察报告》 ，以观察 者的视角尝试剖析 2018 年全年至 2019 年上半年网络安全形势及其变化，希望以此为各行 业以及相关企事业单位提供网络安全战略和决策的参考。 概述 1、应用广泛的软硬件曝出多个重大漏洞，漏洞从曝光到被利用的时间越来 越短 .......................................................... 7 2、恶意软件即服务（MaaS）趋势明显，地下产业链日趋成熟 .......... 8 3、Office 公式编辑器漏洞与恶意宏利用横行，黑客青睐攻击面广且稳定的 攻击方式 ...................................................... 8 4、越来越多 APT 攻击被曝光，攻击隐匿性进一步增强 ................ 9 5、勒索攻击趋于定向化，版本迭代进入“敏捷化”时代 ............. 11 6、挖矿攻击增长明显，逐渐成为黑客获利的最佳途径 ............... 11 7、针对 IoT 设备的攻击呈爆发式增长，IoT 蠕虫较往年增长数倍 ...... 11 8、各类数据泄露事件频发，数据安全越来越受重视 ................. 12 9、工控环境、云环境成黑客新宠，各类针对性安全事件频发 ......... 14 一、漏洞攻击态势观察 1.1 年度漏洞攻击态势分析 ...................................... 18 1.2 年度最具影响力漏洞 ........................................ 19 1.3 年度最流行漏洞 ............................................ 22 二、僵尸网络及木马态势观察 2.1 僵尸网络感染态势分析 ...................................... 26 2.2 通过邮件传播的木马攻击态势分析 ............................ 29 2.3 通过邮件传播的流行木马分析 ................................ 35 三、恶意文档攻击态势观察 3.1 Office 恶意样本攻击态势综述 ............................... 49 3.2 宏技术分析 ............................................... 57 3.3 典型漏洞技术分析.......................................... 70 四、APT 组织攻击态势观察 4.1 APT 组织攻击态势综述 ..................................... 113 4.2 针对我国攻击的活跃 APT 组织 ............................... 118 4.3 针对外国攻击的活跃 APT 组织 ............................... 154 五、勒索挖矿攻击态势观察 5.1 勒索攻击态势综述......................................... 187 5.2 主要勒索病毒家族介绍 ..................................... 192 5.3 挖矿攻击态势综述......................................... 193 5.4 主要挖矿木马家族介绍 ..................................... 199 六、IoT 设备安全态势观察 6.1 IoT 设备攻击态势综述 ..................................... 201 6.2 主要攻击 IoT 设备的病毒家族介绍 ........................... 206 七、总结 7.1 网络空间成为国家级对抗战场 应加强国家关键基础设施保护 .... 210 7.2 网络安全强国建设必须依靠强大的“中国芯” ................. 210 7.3 大量新技术应用带来的安全问题给网络安全行业带来新挑战 ..... 211 7.4 外部环境变化给网络安全提出新要求 安全厂商应加强产品的实战能力 和闭环能力 .................................................. 211 7.5 安全威胁来自于各个方向且日趋复杂 需要面向客户的独立安全运营模 式才能有效面对 .............................................. 212 7.6 结语 .................................................... 212 1、应用广泛的软硬件曝出多个重大漏洞，漏洞从曝光到被利 用的时间越来越短 过去一年多，应用广泛的软硬件被曝出多个重大漏洞，给网络安全带来了极大挑战。 这其中影响力最大的当属 CPU 芯片的多个漏洞。这些漏洞涉及了过去十年间的绝大部 分 CPU 型号，给互联网造成了一次史无前例的技术危机。 2018 年年中，影响包括苹果、博通、英特尔和高通等大型厂商所生产的设备固件以及 操作系统的高危蓝牙漏洞被曝光。攻击者可以利用其发起中间人攻击，进而窃取或篡改设备 间的加密通信数据，甚至植入恶意软件。 2018 年年中，BEC、SocialChain、Hexagon、EOS 等接连曝出智能合约漏洞，攻击者通 过构造并发布包含恶意代码的智能合约，进而控制网络中所有节点，控制虚拟货币交易，获 取交易所中的数字货币，关键的用户资料和隐私数据等。 2018 年全年，WebLogic、Struts2、ThinkPHP 等影响面广的 Web 应用框架被曝多个严 重漏洞，给各类网站安全带来严重威胁。 另外，从漏洞曝光到被利用实施攻击的时间已经变得越来越短，攻击者对于漏洞利用代 码的开发正在变得日益敏捷。我们从以下几个近两年影响力较大的漏洞可以看出这一趋势： 漏洞名称 曝光时间 被利用时间 “永恒之蓝”漏洞 2017 年 3 月 2017 年 5 月 WebLogic WLS 组件漏洞 2017 年 10 月 2017 年 12 月 2018 年 3 月 28 日 2018 年 4 月 12 日 2018 年 5 月 3 日 2018 年 5 月 8 日 2018 年