去年的 WannCry 勒索病毒，讓全社會都關注到了這類新生的惡意軟件。從去年下半年開始，勒索病毒在國內的攻擊重點開始轉向了各類服務器，尤其以windows服務器為甚。黑客利用弱口令和各類系統漏洞，軟件漏洞向服務器遠程滲透投毒，經常出現一個服務集群多臺主機被感染的情況，造成的影響輕則服務中斷，有嚴重的更影響到整個公司的運營，已經成為影響企業安全的一大問題。

趨勢與攔截數據

針對服務器的爆破攻擊，一直是服務器主機面臨的一大類安全風險，我們對過去近兩個月來的爆破攻擊攔截量進行了統計，雖然從數據波峰來看漲勢并不明顯，但波谷卻一直在穩步提升，整體趨勢還是有進一步提升的風險性。

圖1

自去年（2017年）下半年以來，服務器入侵就成為了勒索病毒傳播的主流手段。到本年度，通過入侵服務器植入勒索病毒的疫情已經在所有勒索事件中的絕對主力，反倒是之前規模較大的個人PC用戶中招情況有所好轉。

與針對個人用戶的勒索攻擊有所不同，通過入侵服務器植入勒索病毒的方法受服務器整體數量和植入方式的影響，導致整體感染量級不會像個人PC一樣，動輒上千。服務器一般數據資產價值要大大高于個人PC，雖然感染的絕對量沒有個人PC用戶高，但造成的損失和影響范圍缺遠高于個人PC用戶。此外，值得注意的是，雖然針對服務器的入侵手段目前還是以RDP弱口令入侵為主要的入侵方案——這主要還是得益于該方案技術成熟且廣泛適用于大多數Windows服務器系統。但通過漏洞入侵系統也漸成趨勢：以目前流行的WebLogic漏洞入侵案例來說，就是利用了WebLogic的WLC組建漏洞對服務器實施滲透入侵。這主要是由于去年爆出的WLC組建CVE-2017-10271漏洞導致——雖然該漏洞已經在去年10月被Oracle修復，但由于服務器系統中運行的服務往往不能輕易中斷，更新經常不夠及時，也有部分管理員不愿進行更新。導致黑客可以利用已公開的漏洞攻擊那些尚未修復漏洞的服務。此類入侵手段將會成為黑客入侵服務器勒索投毒的新突破口，也希望廣大的服務器管理員能提起重視，及時關注安全趨勢并修復有漏洞的軟件。

被攻擊用戶分析

我們對今年被攻擊用戶的情況從行業分布、地域分布、系統、被攻擊原因等多方面做了統計分析，希望能幫助廣大管理員提高安全防護效果。

1. 行業分布

我們對今年1月到4月中招反饋情況統計分析發現，互聯網，工業企業，對外貿易與批發零售，政府機構合計占比超過一半。其中尤以中小企業與中小互聯網企業最為突出，企業在網絡安全方面投入不足，而產品銷售維護又嚴重依賴互聯網信息系統，在中招之后只能選擇支付贖金解決，這也進一步刺激了黑客的攻擊行為。對外貿易與批發零售行業，由于對外交流廣泛，也容易成為境外黑客的攻擊目標。地方政府機構服務器、網站，一直以來都是黑客攻擊重災區，由于缺乏專業的安全運維，漏洞修補不及時，被黑客攻擊拿下。

圖2

 2. 地域分布

從地域分布看，信息產業發達的廣東省首當其沖，位列第一，占比接近一半。之后是江蘇，浙江，山東，歐洲服務器租用 云服務器，上海，北京等。地域分布情況看，主要和信息產業發展情況相關。

圖3：全國各地區感染量占比分布圖

3. 系統分布

從操作系統分布來看，作為服務器使用，感染勒索病毒的機器中，windows server 2008與windows server 2008 R2是絕對的主力，很多用戶使用的還是較老版本的操作系統，甚至有已經停止支持多年的Windows server 2003。

圖4

 4. 被攻擊原因分布

我們統計到的攻擊原因看，第一大類是由“弱口令”造成的，遠程桌面服務被爆破，黑客遠程登錄用戶計算機投毒，占比超過一半。從我們實地調查分析情況看，很多遠程爆破并不是短時間完成的，而是持續一段時間的攻擊。用戶在攻擊過程中并未察覺異常，直至機器被拿下并投毒，再去查看日志才發現的問題！