去年的 WannCry 勒索病毒，讓全社會都關注到了這類新生的惡意軟件。從去年下半年開始，勒索病毒在國內(nèi)的攻擊重點開始轉(zhuǎn)向了各類服務器，尤其以windows服務器為甚。黑客利用弱口令和各類系統(tǒng)漏洞，軟件漏洞向服務器遠程滲透投毒，經(jīng)常出現(xiàn)一個服務集群多臺主機被感染的情況，造成的影響輕則服務中斷，有嚴重的更影響到整個公司的運營，已經(jīng)成為影響企業(yè)安全的一大問題。

趨勢與攔截數(shù)據(jù)

針對服務器的爆破攻擊，一直是服務器主機面臨的一大類安全風險，我們對過去近兩個月來的爆破攻擊攔截量進行了統(tǒng)計，雖然從數(shù)據(jù)波峰來看漲勢并不明顯，但波谷卻一直在穩(wěn)步提升，整體趨勢還是有進一步提升的風險性。

圖1

自去年（2017年）下半年以來，服務器入侵就成為了勒索病毒傳播的主流手段。到本年度，通過入侵服務器植入勒索病毒的疫情已經(jīng)在所有勒索事件中的絕對主力，反倒是之前規(guī)模較大的個人PC用戶中招情況有所好轉(zhuǎn)。

與針對個人用戶的勒索攻擊有所不同，通過入侵服務器植入勒索病毒的方法受服務器整體數(shù)量和植入方式的影響，導致整體感染量級不會像個人PC一樣，動輒上千。服務器一般數(shù)據(jù)資產(chǎn)價值要大大高于個人PC，雖然感染的絕對量沒有個人PC用戶高，但造成的損失和影響范圍缺遠高于個人PC用戶。此外，值得注意的是，雖然針對服務器的入侵手段目前還是以RDP弱口令入侵為主要的入侵方案——這主要還是得益于該方案技術成熟且廣泛適用于大多數(shù)Windows服務器系統(tǒng)。但通過漏洞入侵系統(tǒng)也漸成趨勢：以目前流行的WebLogic漏洞入侵案例來說，就是利用了WebLogic的WLC組建漏洞對服務器實施滲透入侵。這主要是由于去年爆出的WLC組建CVE-2017-10271漏洞導致——雖然該漏洞已經(jīng)在去年10月被Oracle修復，但由于服務器系統(tǒng)中運行的服務往往不能輕易中斷，更新經(jīng)常不夠及時，也有部分管理員不愿進行更新。導致黑客可以利用已公開的漏洞攻擊那些尚未修復漏洞的服務。此類入侵手段將會成為黑客入侵服務器勒索投毒的新突破口，也希望廣大的服務器管理員能提起重視，及時關注安全趨勢并修復有漏洞的軟件。

被攻擊用戶分析

我們對今年被攻擊用戶的情況從行業(yè)分布、地域分布、系統(tǒng)、被攻擊原因等多方面做了統(tǒng)計分析，希望能幫助廣大管理員提高安全防護效果。

1. 行業(yè)分布

我們對今年1月到4月中招反饋情況統(tǒng)計分析發(fā)現(xiàn)，互聯(lián)網(wǎng)，工業(yè)企業(yè)，對外貿(mào)易與批發(fā)零售，政府機構合計占比超過一半。其中尤以中小企業(yè)與中小互聯(lián)網(wǎng)企業(yè)最為突出，企業(yè)在網(wǎng)絡安全方面投入不足，而產(chǎn)品銷售維護又嚴重依賴互聯(lián)網(wǎng)信息系統(tǒng)，在中招之后只能選擇支付贖金解決，這也進一步刺激了黑客的攻擊行為。對外貿(mào)易與批發(fā)零售行業(yè)，由于對外交流廣泛，也容易成為境外黑客的攻擊目標。地方政府機構服務器、網(wǎng)站，一直以來都是黑客攻擊重災區(qū)，由于缺乏專業(yè)的安全運維，漏洞修補不及時，被黑客攻擊拿下。

圖2

 2. 地域分布

從地域分布看，信息產(chǎn)業(yè)發(fā)達的廣東省首當其沖，位列第一，占比接近一半。之后是江蘇，浙江，山東，歐洲服務器租用 云服務器，上海，北京等。地域分布情況看，主要和信息產(chǎn)業(yè)發(fā)展情況相關。

圖3：全國各地區(qū)感染量占比分布圖

3. 系統(tǒng)分布

從操作系統(tǒng)分布來看，作為服務器使用，感染勒索病毒的機器中，windows server 2008與windows server 2008 R2是絕對的主力，很多用戶使用的還是較老版本的操作系統(tǒng)，甚至有已經(jīng)停止支持多年的Windows server 2003。

圖4

 4. 被攻擊原因分布

我們統(tǒng)計到的攻擊原因看，第一大類是由“弱口令”造成的，遠程桌面服務被爆破，黑客遠程登錄用戶計算機投毒，占比超過一半。從我們實地調(diào)查分析情況看，很多遠程爆破并不是短時間完成的，而是持續(xù)一段時間的攻擊。用戶在攻擊過程中并未察覺異常，直至機器被拿下并投毒，再去查看日志才發(fā)現(xiàn)的問題！