启明星辰集团发布《2019-2020网络安全态势观察报告》-2020/8/17

本文转载自启明星辰集团有限公司微信公众号：
下载链接：https://www.venustech.com.cn/uploads/2020/08/170947121504.pdf
本报告的研究数据和分析资料来自于启明星辰金睛安全研究团队、启明星辰云众可信、
启明星辰核心技术研究院、启明星辰工业互联网安全团队，统计数据来自于 VenusEye 威胁
情报中心，启明星辰漏洞扫描团队和启明星辰应急响应中心。本报告主要针对 2019 年至
2020 年上半年的网络安全状况进行统计、研究和分析。本报告提供给媒体、公众和相关政
府及行业机构作为互联网信息安全状况的介绍和研究资料，请相关单位酌情使用。如若本报
告阐述之状况、数据与其他机构研究结果有差异，请使用方自行辨别，启明星辰公司不承担
与此相关的一切法律责任。
过去一年多，各种 APT 攻击事件、勒索挖矿事件，数据泄露事件，漏洞攻击事件仍然不
绝于耳。从 ATT&CK 模型框架的兴起到实战化攻防环境的建立，从反序列化漏洞的攻防博弈
到 VPN 漏洞的异军突起，从不断“APT”化发展的勒索攻击到广撒网的挖矿活动，从不断受地
缘政治影响的 APT 攻击到新冠疫情引发的花式攻击，从 MaaS 模式的逐渐成熟到恶意软件
家族间“合作”案例的逐渐增多……层出不穷的网络安全事件时刻提醒着我们越来越严峻的网
络安全态势，同时引发网络安全从业者的一次次思考。
过去十年来，攻击者的技战术思路以及网络安全攻防体系也在发生着深刻的变化。网络
攻击正变得更加隐蔽，有针对性、有组织性和逐利性，网络安全产品使用者更加关注产品和
服务的有效性，网络安全厂商面临的问题更加具有挑战性。
在二十一世纪第二个十年开始之际，我们理应在这个时候对过去一年乃至过去十年的网
络安全状况进行回顾和总结。这既是对过去一年多面临的诸多网络安全问题的总结和反思，
也是对未来十年网络安全趋势的展望和思考。
因此，启明星辰金睛安全研究团队、VenusEye 威胁情报中心、启明星辰核心技术研究
院、启明星辰云众可信、启明星辰漏洞扫描产品中心、启明星辰工业互联网安全团队、启明
星辰应急响应中心联合发布《2019~2020 网络安全态势观察报告》，以观察者的视角尝试剖
析 2019 年全年至 2020 年上半年网络安全形势及其变化，希望以此为各行业以及相关企事
业单位提供网络安全战略和决策的参考。
关于作者 .................................................................................................................... 5
启明星辰金睛安全研究团队 ................................................................................. 6
VenusEye 威胁情报中心 ......................................................................................... 6
启明星辰云众可信 .................................................................................................... 6
启明星辰核心技术研究院 ...................................................................................... 6
启明星辰漏洞扫描产品中心 ................................................................................. 6
启明星辰应急响应中心 .......................................................................................... 7
工业互联网安全团队 ............................................................................................... 7
概述 ............................................................................................................................ 7
1、网络攻防框架“ATT&CK”不断升温，“实战化攻防”持续影响网络安全
行业 ............................................................................................................................... 8
2、反序列化漏洞渐成 Web 攻击首要威胁，VPN 等网关型漏洞成新攻
击入口 ........................................................................................................................ 10
3、地下黑色产业链愈发成熟，恶意软件家族体系化“协同作战” ......... 11
4、近年来罕有 Office 高危漏洞出现，冷门而有效的攻击方式更受关注
...................................................................................................................................... 12
5、地缘政治因素导致 APT 攻击愈演愈烈，APT 攻击武器泄露导致网
络军火民用化 ........................................................................................................... 13
6、勒索攻击越来越趋于“APT”化，逐渐瞄准大型且有实力的价值型目
标 .................................................................................................................................. 14
7、网络攻击向 5G、云计算、容器等新领域延伸，渗透攻击面不断延
伸扩张 ........................................................................................................................ 14
8、“新冠病毒疫情”成年度黑客最关注话题，黑客针对疫情期间的网络
环境特点发动全方位攻击 .................................................................................... 15
9、网络攻防安全演习和靶场建设如火如荼，人才培养和攻防环境建设
备受重视 .................................................................................................................... 16
10、区块链加密数字资产犯罪仍呈高发态势，DeFi 借贷平台未来或成
黑客重点攻击对象 .................................................................................................. 18
11、针对工控环境的攻击呈高发态势，勒索攻击成为其首要威胁 ...... 18
漏洞攻击态势观察 ................................................................................................. 21
1.1 年度新增漏洞数据分析 ................................................................................ 21
1.2 年度新增热门漏洞盘点 ................................................................................ 25
僵尸网络及木马态势观察 ..................................................................................... 30
2.1 僵尸网络感染态势分析 ................................................................................ 30
2.2 典型流行木马家族分析 ................................................................................ 36
3.1 Web 漏洞安全态势 ......................................................................................... 54
3.2 Webshell 管理工具攻防态势 ....................................................................... 61
Office 攻击态势观察 ............................................................................................. 66
4.1 2019 年 Office 恶意样本攻击态势综述 .................................................... 66
4.2 典型攻击技术分析 ......................................................................................... 68
APT 组织攻击态势观察 ......................................................................................... 97
5.1 APT 组织攻击态势综述 ................................................................................. 97
5.2 针对我国攻击的 APT 组织 ......................................................................... 102
5.3 国际上的 APT 组织攻击活动 .................................................................... 136
勒索挖矿攻击态势观察 ....................................................................................... 140
6.1 勒索攻击态势综述 ....................................................................................... 140
6.2 主要勒索软件家族介绍 .............................................................................. 149
6.3 挖矿攻击态势综述 ....................................................................................... 151
6.4 主要挖矿木马家族介绍 .............................................................................. 155
IoT 设备攻击态势观察 ........................................................................................ 159
7.1 IoT 设备攻击态势综述 ................................................................................. 159
7.2 主要攻击 IoT 设备的僵尸网络分析 ........................................................ 161
“新冠疫情”热点攻击事件态势观察 ................................................................... 177
8.1 APT 组织攻击活动 ......................................................................................... 177
8.2 网络黑产活动 ................................................................................................. 186
总结 ........................................................................................................................ 193
攻防本质是人与人之间的对抗，网络安全逐渐回归以人为中心的本源
.................................................................................................................................... 193
人工智能与网络安全结合从炒作走向现实 .................................................. 194
工业互联网或成网络安全下一个焦点，必须从战略高度重视工业互联
网安全能力建设 .................................................................................................... 195
面对不断延长的攻击链和“实战化攻防”大环境，网络安全产品与服务
水平亟待提升 ......................................................................................................... 195
结语 ........................................................................................................................... 196
启明星辰金睛安全研究团队
启明星辰金睛安全研究团队是启明星辰集团专业从事威胁分析的团队。其主要职责是对
现有产品产生的安全事件日志、样本数据进行挖掘、分析，并向用户提供专业分析报告。该
团队会依据数据产生的威胁情报，对其中采用的各种攻防技术做深入的跟踪和分析，并且给
出专业的分析结果、提出专业建议，为用户决策提供帮助。
e VenusEye 威胁情报中心
VenusEye 威胁情报中心（www.venuseye.com.cn）是由启明星辰集团倾力打造的集威胁
情报收集、分析、处理、发布和应用为一体的威胁情报服务系统，是启明星辰多年网络安全
研究和积累的集中体现。VenusEye 威胁情报中心以自有情报和第三方交换情报为基础数据，
综合运用静态分析、动态分析、大数据关联分析、深度学习、多源情报聚合等先进技术，生
产和提供高质量的威胁情报信息。
启明星辰 云众可信
启明星辰云众可信是启明星辰集团旗下品牌，专注于网络安全攻防领域，秉承“专业、
创新、极致、担当”的理念，为党政军和企业用户提供高品质的产品及服务。核心产品：红蓝
网络攻防平台、网络空间靶场、可信众测平台。安全服务：攻防演练、可信众测、暗网监控、
渗透测试、代码审计、应急响应、安全评估、安全培训等。
启明星辰核心技术研究院
启明星辰核心技术研究院是启明星辰集团的网络安全前沿技术研究部门，成立于 2011
年。与启明星辰博士后工作站紧密结合，由博士及硕士研究人员组成的团队近年来致力于大
数据安全分析、机器学习/深度学习在网络安全中的应用、人工智能安全、区块链安全等多
项网络安全前沿技术领域的研究工作，为启明星辰的技术创新提供重要支持。
启明星辰漏洞扫描产品中心
启明星辰漏洞扫描产品中心是从事漏洞评估与管理产品的专业化团队，不断突破漏洞评
估相关核心技术，在工控漏洞评估、漏洞智能管理、产品国产化等多方面持续领先。2018
年,“天镜脆弱性扫描与管理系统”在漏洞评估与管理市场排名第一（CCID 发布中国漏洞评估
与管理市场研究报告 2018），树立了启明星辰漏洞评估与管理产品的领导者地位和市场品牌。
启明星辰漏洞扫描产品中心于 2000 年开始研发天镜脆弱性扫描与管理系统，研发了具
有自主知识产权的漏洞评估与管理产品系列产品，包括天镜系统漏洞评估工具、天镜 Web
应用检测系统、天镜无线安全评估工具、天镜工控漏洞评估工具、天镜工控等保检查工具箱、
天镜网络安全应急处置工具箱、天镜漏洞管理平台、天镜国产化漏洞扫描产品等。
启明星辰应 急响应中心
启明星辰应急响应中心是启明星辰集团成立的针对重要网络安全事件进行快速预警、应
急响应的安全协调中心。为企业级用户提供高危漏洞、重大安全事件预警通告、安全周报和
相关应急处置方案。
启明星辰应急响应中心成立至今，已经发布 768 篇预警通告、110 期安全周报、协调处
置网络安全事件 300 多起。
工业互联网安全团队
工业互联网安全团队成立于 2014 年，参与了包括等保 2.0 在内的工业信息安全相关国
家标准、行业标准近 20 个，已获得国家专项课题已达到 20 个，并已与东方电气、赛迪、泰
尔实验室、国网思极网安等合作伙伴一道共建工业信息安全生态圈。
1 1 、 网络攻防框架“ ATT&CK ”不断升温， ， “实战化攻防”持续
影响 网络安全行业
过去一年多，网络攻防框架 ATT&CK 在网络安全行业广受欢迎，这可以从 ATT&CK 在
Google Trends 上过去一年多的趋势变化看出端倪。
图 1 Google ATT&CK 热词态势
ATT&CK 是一套由攻击者经常会使用的多种战术和攻击技术组成的知识库，它基于攻防
视角让安全人员采用一种通用的语言描述和分类攻击者的行动。
ATT&CK 的相关分析和运用方法的流行，为安全攻防行业的理论探索和进步做出了重大
贡献。对于攻方来说 ATT&CK 可以为其提供先进的攻击思路和技术并进行模拟沙盘推演；对
于守方来讲可以最大限度和最快速度了解攻击领域的先进技术，帮助防守方评估安全产品，
提升产品有效性。ATT&CK 是攻守双方的通用语言，攻可看攻击路径，防可看防守覆盖面，
是攻防领域的大百科全书。
越来越多的网络安全企业开始从不同维度引入 ATT&CK 框架。
这其中结合的最好的领域是针对威胁的安全研究方面。过去每家网络安全企业都会发布
关于 APT 组织的攻击事件报告，通过文本的形式描述攻击的手法。但这种“讲故事”的方式不
够“结构化”，无法形成相关图表，厂商和厂商之间缺乏通用语言来对攻击事件进行描述。
ATT&CK 则提供了统一且结构化的方式描述攻击者手法与行为，只用一张框架就能看出攻击
者所使用的策略与手法。
在产品结合方面，无论是 ATT&CK 和流检测产品、沙箱检测产品、EDR 还是 SOC 等似
乎都找到了一些契合点。但有些产品或场景的落地似乎又有点勉强，有些“赶潮流”的意味。
一方面是由于 ATT&CK 在落地产品层面上还存在一些成熟度的问题。有统计显示，ATT&CK
在针对文件威胁行为的描述上占大多数，这就导致了 ATT&CK“重”EDR 或沙箱产品“轻”网络
侧产品的问题。很多 EDR 或沙箱产品会将一个文件的具体行为分解后映射到不同攻击阶段
中。而现实攻击过程中，恶意文件起到的作用大多是攻击中的一个阶段，多为最初的载荷投
递阶段，内网横向移动阶段或达成攻击目标的阶段，单单凭一个恶意文件的行为就映射到多
个攻击阶段则会混淆产品对整个攻击过程的还原。另一方面，ATT&CK 是完全基于攻击者视
角而设计的，有些技术更多的是描述攻击过程中的一种技术或思路，在产品中可能很难抽丝
剥茧看到其本质。此外，ATT&CK 的技术并非都能落地产品，比如一些网络流量加密的问题
会导致大部分“命令与控制”阶段的技术无法检测。此外即使已经把一些攻击事件归纳到了相
关技术中，在上层平台进行汇聚时也会由于多源数据的关联问题导致无法真正把攻击场景还
原出来。但我们坚信，ATT&CK 是当前最接地气的网络攻防框架，在未来检测技术不断提升
的大背景下，ATT&CK 一定能成为安全产品实现攻击链还原的利器。
基于对过去一年多各类攻击事件的汇总，我们总结出 2019 年~2020 年上半年 ATT&CK
常用攻击技术，如下表：
攻击阶段 常用技术
初始访问 有效账户，利用公开服务漏洞，钓鱼邮件
执行 命令行，脚本执行，powershell，WMI，
rundll32，任务计划
持久化 有效账户，Webshell，账户创建，计划任务
权限提升 有效账户，Webshell
防御规避 有效账户，脚本执行，禁用安全工具，代码
混淆，伪装，注册表修改，rundll32，痕迹清
除，文件删除
凭证访问 凭证转储
发现 网络配置发现，系统用户发现，账户发现，
系统信息发现，网络连接发现，进程发现，
文件和目录发现
横向移动 远程文件拷贝，远程桌面
收集 本地数据收集
命令与控制 远程文件拷贝，常用端口，标准应用协议
泄露 数据压缩，通过命令与控制通道泄露
影响 数据加密，禁止系统恢复
表 1 2019~2020 H1 攻击中常用的 ATT&CK 技术
在接下来的部分章节（APT 组织态势，勒索攻击态势）中，我们也会总结过去一年多相
关事件的 ATT&CK 常用技术。
2 2 、 反序列化 漏洞 渐成 成 W Wb eb 攻击 首要威胁， ，N VPN 等网关型漏洞
成 新攻击入口
2019 年全年，启明星辰收录的安全漏洞总数共计 15 046 个，比上一年度增加了 10%左
右。其中超危漏洞和高危漏洞分别同比增长 67%和 49%。虽然 2019 年新增漏洞数目较之前
有进一步上涨，但实际在野利用漏洞中的一半以上仍然是 2018 年以及之前的老漏洞。以下
是过去一年多热门流行漏洞前 10 名：
漏洞编号（名称）
“永恒之蓝”系列漏洞
CVE-2017-11882/CVE-2017-0798
CVE-2018-20250
CVE-2017-0199
CVE-2019-2725/2729
CVE-2019-19781
CVE-2017-17215
CVE-2017-5638（S2-045）
CVE-2019-11510
CVE-2012-0158
表 2 2019~2020 年流行漏洞 TOP10
造成上述现象的原因主要有以下两点：一是漏洞利用的稳定性和复杂性问题，2019 年
虽然出现了很多看似影响范围大的漏洞，如微软远程桌面系列漏洞、SMB 协议相关漏洞。但
实际上能真正利用的并不多。由于远程环境的复杂性，不但需要触发漏洞，还要考虑到内存
排布、控制 EIP 等各种不确定的因素。再加上在高版本 Windows 中引入的各种缓解措施，
导致利用难度进一步提升；二是不少用户仍然抱有侥幸心理，以为即使不打补丁攻击也不会
找上门，这使得攻击者即使使用成本较低的旧漏洞也能保持较高的成功率。
但有两个现象特别值得留意：一是反序列化漏洞逐渐成为 Web 漏洞的主要威胁。序列
化是把对象转换成字节流，然后保存在内存、文件、数据库中；反序列化是它的逆过程，由
字节流还原成对象。但如果 Java 应用可以对任意数据做反序列化处理，攻击者就可以通过
构造恶意输入，让反序列化产生非预期的对象来执行任意代码。反序列化带来的安全隐患由
来已久，且并非 Java 语言特有，在其他例如 PHP 和 Python 语言中也有类似的问题。在各
类应用中实现反序列化攻击需要两个条件：一个是使用了公共库或者是 JDK 存在利用链，另
一个是存在反序列化的入口点，且攻击载荷绕过黑白名单的检测。过去一年多，反序列化漏
洞造成的危害非常之大且范围很广，主要影响集中在 Weblogic、Websphere 中间件及
Fastjson、Apache Shiro、Apache Dubbo 等第三方应用中，而漏洞的修复方式多数为利用类
的黑名单修补，可以预见未来各个应用反序列化漏洞的黑名单依旧会被反复绕过且成为攻击
者实战中的利器。二是 VPN 等网关类漏洞的异军突起。VPN（Virtual Private Network）是企
业进出数据的重要关口，它通过对数据包的加密和数据包目标地址的转换实现远程访问，在
企业政府机构远程办公中起着举足轻重的地位。2019 年到 2020 年上半年是 VPN 漏洞曝光
最多的时期，Pulse Secure、Palo Alto Networks、Fortinet、Cisco 和 Citrix 以及国内某知名品
牌 VPN 产品都被曝出严重漏洞。加之新冠疫情在 2020 年上半年的蔓延，远程办公需求迅速
增加，各种 VPN 使用量增加了三成左右，这都使得 VPN 漏洞得以快速被黑客关注并在实战
中应用。
3 3、 、 地下 黑色产业链 愈发成熟， ， 恶意软件家族体系化“协同作
战”
正如我们去年报告中预测的那样，恶意软件即服务（MaaS）模式下的地下黑色产业链
愈发成熟，已经形成了从恶意代码编写、恶意代码免杀、恶意代码托管到恶意软件分发的完
整体系。几乎所有的网络犯罪行为都基于类似模式，无论是小型黑客、黑产团伙还是 APT 组
织都能获得其所需要的服务，并且完全匿名化。因为这些服务的存在，会导致网络犯罪的人
数越来越多，即使没有任何网络安全知识的人都能通过购买这些服务来进行网络犯罪活动。
图 2 恶意软件即服务模式
过去一年多，在 MaaS 模式下，我们观察到不同黑产团伙利用相同的恶意软件进行了“各
具特色”的攻击，同一款恶意软件在不同的攻击活动中也发挥了不同功能，甚至恶意软件开
发者为了区分不同的投递方式在恶意软件中加入相应的“标签”以示区别。以下是过去一年多
我们观察到的不同攻击活动中常见的恶意软件投递关系图：
图 3 恶意软件投递分发关系图
在这些攻击组合中，最为常见的主要有以下几种：
Emotet→TrickBot→Ryuk
Emotet→Dridex→Bitpaymer
Emotet→IcedID/Bokbot→TrickBot
Ursnif→Dridex→TrickBot
4 4 、 近年来罕有 e Office 高危漏洞出现 ， 冷门 而有效的攻击方
式 更受 关注
自 2017 年大量 Office 0day 漏洞爆发以来，近两年没有出现新的如同公式编辑器漏洞
一样使用简单且功能强大的攻击方式，因此恶意样本使用的攻击技术没有发生显著的变化。
在攻防对抗的过程中，攻击者逐渐开始尝试使用不常见文件类型以及 Office 中一些被遗忘
的冷门特性作为攻击载体，以更低的成本复用原有的攻击代码来绕过检测。这种反检测的思
路取得了不错的效果，以 Excel 4.0 宏为例，样本数量与去年相比有大幅增长。
图 4 Excel4.0 宏样本捕获情况
5 5 、 地缘政治因素导致 T APT 攻击 愈演愈烈， ，T APT 攻击武器泄露
导致 网络军火民用化
在处理不可调和的地缘政治矛盾时，APT 攻击是除了军事打击之外最为隐蔽和有效的攻
击方式。越来越多的政府开始组建国家级 APT 攻击组织，只要存在政治目的和经济利益，
APT 攻击就不会停止。过去一年多，国际间各种矛盾冲突不断，而作为政治手段延伸的 APT
攻击，往往也伴随着各类冲突事件发生。
发生日期 主要事件
2019 年 3 月 美国针对南美国家发动攻击，导致委内瑞拉大规模停电
2019 年 4 月 APT28 攻击乌克兰干扰其 2019 年大选活动
2019 年 6 月 美国政府加强对俄电网数字入侵。同月，阿根廷、乌拉圭等南美国家
遭受网络攻击，大规模断电断网席卷南美
2019 年 9 月 Kimsuky 组织以核威慑、核潜艇、朝鲜经济制裁等内容进行攻击活动
2019 年 10 月 乌克兰外交官、政府和军事官员以及执法部门人员，遭遇 APT 组织
Gamaredon 定向打击
2019 年 10 月 APT28 针对世界反兴奋剂机构和国际体育组织进行攻击，以报复俄罗
斯在许多赛事中被拒绝参加
2019 年 11 月 印度独立网络核电站 Kudankulam 遭遇疑似朝鲜 APT 组织 Lazarus 攻
击
2019 年 11 月 拍拍熊针对巴勒斯坦政府攻击，意图影响巴勒斯坦大选
2019 年 12 月 IBM 披露中东工业和能源行业，遭伊朗 APT34（Oilrig）恶意数据擦除
软件 ZeroCleare 的“摧毁型”攻击
表 3 2019 年“地缘政治”因素引发的 APT 攻击事件
0
200
400
600
800
1000
1200
1400
1600
1800
q1 q2 q3 q4
Excel 4.0宏样本捕获情况
通过以上事件不难看出，地区政治局势越紧张、地域安全形势越复杂的地区，APT 攻击
往往也最为严重。
过去一年多，APT 攻击武器使用的泛化趋势明显。中东地区活跃度最高的黑客组织之一
伊朗 APT34（Oilrig），在四月份发生了一系列工具代码泄露事件。同样来自伊朗的 APT 组织
MuddyWater 的攻击工具，也被黑客直接从工具泄露转为公开拍卖。这些 APT 组织的代码
包、数据包和渗透攻击工具，在黑客眼中是最强的军火武器，而这也进一步催生了 APT 攻
击武器的使用泛化、网络军火的民用化。
APT 攻击武器使用的泛化使低端攻击者发起的复杂攻击逐渐增多。各种技术水平的攻击
者如今都可以入手一系列在线黑市工具，包括操作指南、程序和基于云的网络钓鱼即服务解
决方案，低端攻击者还从社交媒体中过滤有用信息，交叉比对公司站点，积累攻击原始信息，
从而组织起较为复杂的攻击。
6 6 、 勒索攻击越来越趋于“A A PT ”化 ， 逐渐瞄准大型且有实力
的价值型目标
过去一年多，勒索软件无论从家族数量还是变种数量来说较之前均有所下降，但这并不
代表利用勒索软件的攻击偃旗息鼓，相反我们看到勒索攻击事件量出现上升态势。
勒索攻击已由 2014 年开始的广泛无目的的传播阶段以及 2017 年 WannaCry 开启的大
规模自动化传播阶段逐步进化到以人为核心（Human Operated）的“APT 化”攻击阶段。攻击
者通过前期“踩点”获得被攻击目标的网络环境脆弱性，再使用弱口令、爆破，Nday/0day 漏
洞等进入到被攻击目标的网络环境中，再通过权限提升，凭证窃取，内网横向移动等技术逐
渐接触到目标核心系统，最终投放勒索软件一击致命。
攻击者瞄准的目标也不再限于中小企业，而是更有实力支付赎金的大型企业目标，这一
攻击方式被称为大型狩猎游戏（Big Game Hunting）。甚至即使未得到赎金，攻击者也会尝
试通过泄露受害者的机密文件进行二次敲诈，受害者往往会因为担心事件被披露给公司带来
不良影响而不得不支付赎金。
同时，RaaS 模式下的勒索软件也开始广泛和僵尸网络以及 APT 攻击结合。Emotet、
TrickBot、Dridex 纷纷成为勒索软件的传播前站，TA505、FIN6 等组织利用勒索软件攻击了
多个重要目标。
我们预计，未来勒索攻击会进一步往“专，精”方向发展。“专”是指大规模勒索攻击可能
很难再现或是昙花一现，攻击者会更多从攻击成本和回报率的角度考虑攻击目标的选择；“精”
是指攻击者在选中攻击目标后可能会定制特种勒索软件来提高攻击成功率。
7 7 、 网络攻击向 5G 、 云计算 、 容器等新领域延伸 ， 渗透 攻击
面 不断延伸 扩张
信息技术日新月异的迅猛发展，互联网与新兴领域深度融合，数以亿计的物联网设备、
芯片、云端、容器都会成为网络攻击的切入点，围绕新领域和新技术的网络渗透攻击会暴露
出这些领域存在的种种安全风险及问题。
随着物联网和 5G 通信技术逐渐普及和深入人们生活的各个方面，网络攻击或许在毫秒
间瞬间瘫痪掉整片的网络通信系统，进而瘫痪所有与网络相关的物联网基础设施、系统、数
据、应用及活动。从目前的分析来看，未来 5G 安全将面临前所未有的安全挑战，短期内 5G
的安全特性难以发挥，伪基站问题将长期存在。5G 新技术带来新的安全挑战，网络切片技
术使得网络边界模糊，5G 对用户位置隐私的保护提出更高要求，5G 低时延业务扩大了网络
安全的攻击面。5G 技术在促进物联网发展的同时，必然会成为黑客攻击的重点目标。
2019 年约有 57%的公司使用云计算、容器技术开发企业应用系统，比例上高于 2018 年
的 49%。在过去的一年中，我们已经看到了网络攻击对容器的威胁。随着容器的增长以及管
理 DevOps 基础架构的复杂性，这些威胁只会在不久的将来继续存在。尤其是谷歌
Kubernetes（K8S）项目成为了容器编排事实上的业界标准，越来越多的企业和开发人员已
经将自己的工作转移到了 K8S 上。尽管 K8S 具有很多优势，但是统一和集中化的容器生成、
分发、编排、同步和管控也在安全方面带来了新的挑战。攻击方法手法多种多样，例如：
（1）攻击者可以在自己控制的容器内将宿主机 Docker 守护进程监听的 Unix 域套接字
（/var/run/docker.sock）挂载，容器逃逸就变得相当容易，这些容器逃逸问题直接影响到了
承载容器底层基础设施的保密性、完整性和可用性。
（2）使用统一集中管理的容器，在使用容器编排上的漏洞很容易被攻击者利用。
（3）K8S 部署后需要监控的东西向流量增加，尤其是在宿主机和云计算环境中，这些
监控流量为攻击者的渗透提供了便利。
（4）如果将 K8S 集群部署在公有云中，则云凭据（密码，证书，token 等）泄露可能
导致整个集群被接管，有权访问云账户凭据的攻击者可以任意访问操控整个集群。
（5）如果开启了 Docker 的远程管理端口并暴露在公网，则可以通过该端口直接以 root
权限无密码访问主机，并通过 API 远程操作 Docker 资源，包括不限于镜像，容器，极容易
被攻击者利用。过去一年多，我们发现 AESDDoS、XORDDoS，Kaiji 等僵尸木马通过扫描互
联网的 2375 端口入侵 docker 服务器，进而感染 docker 镜像使之用于挖矿，DDoS 等攻击。
图 5 Docker 攻击工具
8 8、 、 “ 新冠 病毒 疫情 ” 成年度黑客最关注话题 ， 黑客针对疫情
期间的 网络 环境 特点 发动全方位攻击
2020 年年初爆发的“新冠病毒疫情”已经蔓延到全世界几乎每一个角落，严重影响全球
经济社会发展。疫情的爆发使得大多数人不得不在家开启远程办公模式，大量远程控制工具
的使用和端口的开放加大了网络被攻击的安全风险。一些黑客趁此机会利用热点信息发起攻
击，疫情的不确定性和人们的恐惧性心理给攻击者创造了千载难逢的好机会。
过去几个月，我们观察到多种利用新冠疫情开展的网络攻击活动。白象、海莲花、蔓灵
花、TA505、Lazarus 等活跃的 APT 组织以“冠状病毒预防”、“疫情情况上报”等为诱饵发起钓
鱼攻击；各种网络黑产团伙也蠢蠢欲动，通过“改造”已有木马进行攻击活动：LokiBot，Trickbot，
NanoCore，AgentTesla，HawkEye 等几乎所有常见的木马都被加入了疫情元素进行传播。
此外，疫情的爆发使得远程办公软件、远程会议等软件的使用量急剧增加。部分黑客将
目光转移到了这些常用的远程办公软件，利用它们传播恶意软件，Zoom 就是其中最典型的
案例。
9 9、 、 网络攻防安全， 演习和靶场建设如火如荼， 人才 培养和 攻防
环境 建设备受重视
网络空间安全的本质是对抗。随着网络攻击者的技术实力不断提高，网络攻击面不断扩
大，爆发出来的攻击事件也在不断增加，用户不断涌现出对网络攻防对抗的建设需求。常见
解决方案是加强人才培养力度，完善攻防支撑基础条件建设，举办红蓝双方攻防安全演习和
建设具备行业特色的网络安全靶场。
（1）网络攻防安全演习
网络攻防安全演习通过对攻防双方队伍实施“背靠背”的对抗，考验防守方的安全防护能
力以及对安全事件的监测发现能力和应急处置能力。通过对抗、复盘和研讨，协助用户发现
系统威胁和隐患，总结经验教训，对提升网络安全保障整体能力和水平具有突出价值。
网络攻防安全演习能够汇集演习数据，衡量安全团队的表现，对攻防双方进行评分考核，
并通过分析研判专家审查结果，重新评估网络安全防御态势和应急响应措施，因此，举办网
络攻防安全演练具有积极意义。从国家组织的网络攻防演练看，“网络风暴（Cyber Storm）”、
“锁盾（Locked Shields）”、“网络欧洲（Cyber Europe）”等网络攻防安全演习，形成了跨国
家、跨领域、跨部门以及军政民多方参与的一体化模式，网络攻防安全演习成为了检验网络
强国地位的利器。
（2）网络安全攻防演习平台是保证演习顺利进行的有效支撑
网络攻防安全演习通常包含攻击方、防守方、组织方三方，并配备实战攻防演习平台。
网络安全攻防演习平台面向大型网络真实攻防场景和需求，着力解决演练组织、演练过程等
阶段存在的信息分散、不规范、效率低、态势维度单一、风险管控与综合评估手段弱等问题。
协助用户发现系统威胁、隐患，检验并提升其威胁事件监测发现、威胁情报分析、追踪溯源
等网络防御能力与应急响应协同能力，为真实网络攻防对抗演练、大型网络攻防演示验证等
提供有力支撑。
图 6 某网络攻防演习平台
平台中的红蓝双方以实际运行的信息系统作为演习目标，通过有监督的攻防对抗，最大
限度地模拟真实的网络攻击，以检验信息系统的安全性和运维保障的有效性。演习平台在保
障业务系统安全性的前提下，明确目标系统，不限制攻击路径，不限制用户提权、控制业务、
取数据的方法，保障演习顺利进行。
（3）网络攻防靶场建设
当前全球网络安全的形势愈发严峻，国际强国围绕信息获取、利用和控制的竞争日趋激
烈，信息的竞争归根到底是人才的竞争。网络安全攻防靶场平台通过虚拟环境与真实设备相
结合，建立网络安全防御和核心应用系统仿真环境，并进行统一集中管理、态势展示、优化
调整，是进行网络攻防实验的专业实验平台，更是培养网络安全顶尖人才、演练攻防战术方
法的练兵场。
我国发展建设网络安全攻防靶场起步较晚，大多依靠高等院校的网络安全实验室建设，
仅有部分科研实验室和行业专用试验场等，其主要功能是研究电子信息对抗与仿真技术、为
行业产品进行试验及检测等。从体系应用角度来讲，我国现有的网络试验环境或测试环境规
模还较小，且主要针对某一专业领域，尚不适用于体系化的网络空间安全科研试验与测试评
估。在国家网络靶场建设方面，无论从靶场基础理论研究、关键技术和产品研发，还是网络
空间安全风险评估研究，我国都还存在着不小的差距。
2019 年，政企客户更加注重网络攻防靶场建设，例如电力、金融、警务等，这些攻防
靶场针对政企领域的自身特点，加大网络安全教学实训，以教学演练、技能竞赛、态势展示、
效能评估等技术为牵引，建设具备行业特色的网络靶场和攻防训练系统，提供网络攻防模拟
仿真虚拟环境，试验新型网络攻击和防御技术，开展攻击过程还原与实验推演，对目标设备
进行逆向分析和漏洞挖掘，从而提升从业人员的网络安全知识和技术能力，实现网络空间对
抗能力的跃升。
1 10 0 、 区块链加密数字资产犯罪仍呈高发态势，i DeFi 借贷平台
未来或成黑客重点攻击对象
加密货币交易所聚集大量资金，经常成为黑客的目标。尽管近几年交易所不断地加强安
全性，但是黑客也一直在寻找新的可攻击漏洞。黑客通过交易所平台漏洞、智能合约漏洞、
钓鱼攻击、恶意软件等攻击数字货币交易所盗取数字货币。
2019 年 5 月 8 日，世界最大加密货币交易所币安（Binance）发生黑客攻击事件丢失
7000 枚比特币，价值约 4100 万美元。币安发布声明称发现了大规模的系统攻击，在这次攻
击中，黑客团体使用了复合型的攻击技术，包括网络钓鱼，病毒等其他攻击手段来盗取加密
资产。”
2019 年 5 月，韩国最大的加密货币交易所 Bihumb 遭遇黑客攻击，导致大约 1900 万美
元被盗。
2019 年 7 月，日本最大的加密货币交易所 BitPoint 称遭受了黑客攻击，攻击者窃取了
价值 35 亿日元（约 3200 万美元）的 BTC、BCH、LTC、XRP 和 ETH。
2020 年 2 月 5 日，意大利加密货币交易所 Altsbit 被黑客攻击中几乎损失了所有资金，
将于 2020 年 5 月关闭其服务。
2020 年 2 月 27 日至 28 日，OKEx 和 Bitfinex 等著名交易平台网站遭到网络攻击。
此外，DeFi 产品大都基于智能合约和交互协议搭建，代码普遍开源，资产完全在链上，
目前防范仍不足，未来或成为黑客重点攻击的对象。
2020 年 02 月 15 日，DeFi 项目 bZx 团队在官方电报群上发出公告，称有黑客对 bZx 协
议进行了漏洞攻击，02 月 18 日，bZx 再次遭遇了类似的攻击。
2020 年 4 月 18 日，DeFi 平台 Uniswap 被黑客攻击，损失 1278 枚 ETH（价值约 22
万美元）
2020 年 4 月 19 日，Lendf.Me DeFi 被黑客攻击，累计损失约为 2524 万美元。
2020 年 4 月 21 日，DeFi 平台 PegNet 遭遇了 51%攻击。PegNet 是一个去中心化交易
平台，用户可以在这里进行 42 种不同资产的交易。
11 、针对 工控环境 的攻击呈高发态势，勒索攻击成为 其首要
威胁
与传统网络环境相比，工控环境面临的安全风险远高于传统的 IT 网络系统，甚至是双
重叠加的，既有来自于传统 IT 网络系统的风险，也有来自于自身特点的安全风险。首先，
工控环境里大量的工业主机都是通用的计算机设备。据不完全统计，在工控环境里，Windows
操作系统仍然占据了工业企业服务器和工业内网主机中的绝大多数，其中 Windows XP 的使
用比例依然超过 40%，Windows 7 数量占据首位。而这两款操作系统已分别于 2014 年和 2020
年停止提供升级服务。操作系统潜在的漏洞风险，加上内部安全意识的缺乏和安全管理措施
的疏忽导致大量工业内网终端主机常常是处于“无补丁”“无防护”的脆弱状态，终端主机极容
易受各类恶意软件或病毒的攻击，一旦感染将迅速蔓延至整个工业内网，造成工业企业的巨
大损失。工业主机安全问题已经成为工控环境的首要安全风险。其次，包括工控设备自身操
作系统漏洞、应用软件漏洞及工业协议的安全性缺陷等工业系统自身的漏洞问题也不容忽
视。启明星辰 2019 年收录的工控系统相关漏洞 450 余个，其中缓冲区溢出、输入验证错误、
授权问题等是工控系统最为突出的问题。
过去一年多，针对工控环境的攻击呈现高发态势。但不同于十年前攻击成本较高的“震
网”攻击，黑客借助成本低廉的勒索病毒即可瘫痪工控环境中的主机，无需对工控协议有较
深了解。以下是过去一年多针对工控环境的勒索攻击事件：
时间 相关事件
2019 年 1 月 攻击者利用 LockerGoga 勒索软件对亚创集团进行了勒索攻
击。1 月 28 日，亚创集团发布声明，称技术专家正在对此次勒索事
件进行取证跟进。由于此次勒索事件，亚创集团暂停了全球多项业
务。
2019 年 3 月 3 月 19 日，挪威海德鲁（Norsk Hydro）公司举行新闻发布会
称 3 月 18 日午夜，公司遭到勒索软件攻击，致使主机死机，导致生
产业务中断。参会的 NorCERT（挪威国家应急响应中心）代表称此
次攻击事件是由一个名为 LockerGoga 的勒索软件发起的，可能涉
及到对海德鲁公司的 ActiveDirectory 系统的攻击。
2019 年 4 月 4 月 15 日，美国自来水公司 Odintsovsky Vodokanal 被勒索软
件攻击。该恶意软件对受感染设备和网络共享上的数据都进行了加
密，危及到公司的技术文档，客户数据以及帐单系统。
2019 年 4 月 克利夫兰霍普金斯国际机场遭遇攻击，黑客利用勒索软件破坏
了信息系统。
2019 年 6 月 6 月 7 日，勒索软件最先袭击了 ASCO 比利时公司的 Zaventem
工厂，由于被勒索软件感染导致 IT 系统瘫痪、工厂无法运营，该公
司目前已有 1000 名工人休假。另外，ASCO 也关闭了德国、加拿大
和美国的工厂，位于法国和巴西的非生产办事处未受影响。
2019 年 7 月 7 月 25 日，南非约翰内斯堡 City Power 电力公司遭勒索软件攻
击，导致一些居民区的电力中断。由@CityPowerJhb 官方 Twitter 账
号公布的信息可知，这家企业负责为当地居民提供预付费电力供应，
但恶意软件加密了该公司的数据库、内部网络、Web Apps、以及官
方网站。
2019 年 10 月 德国自动化工具厂商皮尔兹（Pilz）在遭受勒索软件 BitPaymer
感染后已经宕机了超过一周的时间。根据该公司的网站消息，自
2019 年 10 月 13 日以来，该公司在全球范围内的所有服务器和 PC
工作站，包括通信设施，都受到了影响。为预防起见，该公司从网
络中删除了所有计算机系统并阻止了对公司网络的访问。Pilz 员工
花了三天时间才恢复电子邮件服务的访问，又花了三天才恢复其国
际电子邮件服务，直到 21 日才恢复对产品订单和交货系统的访问。
该公司的生产能力没有受到影响。
2019 年 11 月 11 月 10 日，墨西哥国有石油公司 Pemex 遭受到勒索软件攻
击，被索要 565 个比特币，约 490 万美元的赎金。不过 Pemex 表
示，只有不到 5%的电脑受到了影响。不过根据内部备忘录的说法，
要求所有员工切勿打开电脑，在本周晚些时候再重新开机，但拒绝
按攻击者的要求在 48 小时内支付赎金。
2020 年 4 月 攻击者利用 Ragnar Locker 勒索软件袭击了葡萄牙跨国能源公
司 EDP（Energias de Portugal），并且索要 1580 的比特币赎金（折
合约 1090 万美元/990 万欧元）
2020 年 6 月 本田汽车因勒索软件攻击而造成系统瘫痪。
2020 年 7 月 勒索软件 Sodinokibi 感染了巴西电力公司 Light SA。
2020 年 7 月 Maze 勒索攻击团伙发起针对 X-FAB 发起网络攻击，X-FAB 从
事混合信号集成电路(IC)的硅晶片制造，主要应用于汽车、通信、消
费电子和其他工业领域，该集团发通告称遭受网络攻击，被迫关闭
了在德国，法国，马来西亚和美国的六个生产厂。
表 4 2019~2020 年针对工控环境的勒索攻击事件汇总
以上是我们以观察者视角对过去一年多网络安全态势的总体分析和观点，鉴于网络威胁
的复杂性和研究方向的限制，以上观点可能会具有一定的局限性，仅作为企业和组织进行网
络安全态势研判和分析的参考。
下面我们将从漏洞攻击、僵尸网络及木马、Web 攻击，Office 恶意文档、APT 攻击、
挖矿勒索、IoT 安全，与新冠疫情相关的攻击等八个方面对过去一年多的网络安全态势进行
详细解读。
1.1 年度新增漏洞数据分析
2019 年至 2020 年上半年，启明星辰收录的漏洞总数为 21 369 条，2019 年和 2018 年
相比同比增加 10.4%。其中超危漏洞 2 039 条，高危漏洞 5 807 条，分别较 2018 年同比增加
67.8%和 49.0%。
年份 等级 超危 高危 中危 低危 总数
2018 1 215 3 897 6 491 2 014 13 617
2019 2 039 5 807 6 639 561 15 046
2020 上半年 779 2 608 2 537 399 6 323
表 5 2019~2020 上半年漏洞收录数量
注：2018 年度报告中的漏洞部分主要参照 CVSS2.0 标准进行整理；本年度报告中的漏洞部
分主要参照 CVSS3.0 标准进行整理。CVSS3.0 增加了超危分类，且在评分方法以及威胁等级
划分方面都有修订。因此在本报告显示的 2018 年数据与 2018 年报告中略有不同。
从收录的漏洞覆盖的厂商来看，Oracle、Microsoft、Intel、Cisco、Dell、Netgear 等重要0daybank