2020年，網(wǎng)絡(luò)安全挑戰(zhàn)再度升級，各行業(yè)數(shù)據(jù)泄露事件層出不窮。全球網(wǎng)絡(luò)安全行業(yè)正面臨著斯諾登事件以來最大的變革，而這個變革的導(dǎo)火索之一，正是2020年12月席卷美國政府機(jī)構(gòu)和全球重要組織的SolarWinds供應(yīng)鏈APT攻擊—過去十年最危險的網(wǎng)絡(luò)攻擊。以下，天暢信息整理了一些近期發(fā)生的網(wǎng)絡(luò)安全事件，以便大家了解全球最新安全威脅，及時做好安全加固，防患于未然。

重點(diǎn)關(guān)注沉睡多年的incaseformat蠕蟲病毒

1、沉睡多年的incaseformat蠕蟲病毒被喚醒

2021年1月13日，全國多個區(qū)域反饋感染所謂的incaseformat病毒，涉及政府、醫(yī)療、教育、運(yùn)營商等多個行業(yè)，且感染主機(jī)多為財務(wù)管理相關(guān)應(yīng)用系統(tǒng)。感染主機(jī)表現(xiàn)為所有非系統(tǒng)分區(qū)文件均被刪除，由于被刪除文件分區(qū)根目錄下均存在名為incaseformat.log的空文件，因此網(wǎng)絡(luò)上將此病毒命名為incaseformat。

從搜索引擎結(jié)果來看，該病毒最早出現(xiàn)時間為2009年，主流殺毒軟件廠商均將此病毒命名為Worm.Win32.Autorun，從名稱可以判斷該病毒為Windows平臺通過移動介質(zhì)傳播的蠕蟲病毒。病毒文件運(yùn)行后，首先復(fù)制自身到Windows目錄下（C:\windows\tsay.exe），文件圖標(biāo)偽裝為文件夾。

同時修改注冊表鍵值實(shí)現(xiàn)自啟動，涉及注冊表項(xiàng)為：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

病毒文件將在主機(jī)重啟后運(yùn)行，并開始遍歷所有非系統(tǒng)分區(qū)下目錄并設(shè)置為隱藏，同時創(chuàng)建同名的病毒文件。

該病毒由于編寫時對某時間判斷變量賦值錯誤，導(dǎo)致在2021年1月13日才觸發(fā)并執(zhí)行文件刪除的代碼邏輯，實(shí)際該病毒可能已在感染主機(jī)上駐留多年，但由于缺少主機(jī)防病毒軟件或白名單設(shè)置錯誤等原因，一直未能被發(fā)現(xiàn)。  由于病毒本身只能通過U盤等移動介質(zhì)進(jìn)行傳播，并無相關(guān)網(wǎng)絡(luò)傳播特征，此次在國內(nèi)多個行業(yè)出現(xiàn)大規(guī)模感染事件，猜測可能與相關(guān)應(yīng)用系統(tǒng)的供應(yīng)鏈或廠商運(yùn)維有關(guān)，如：軟件分發(fā)、更新升級、遠(yuǎn)程運(yùn)維等，具體傳播途徑還需做進(jìn)一步溯源分析。

處置建議

1、排查主機(jī)Windows目錄下是否存在圖標(biāo)為文件夾的tsay.exe文件，若存在該文件，及時刪除即可，刪除前切勿對主機(jī)執(zhí)行重啟操作。

2、火絨工程師提醒：切勿對被刪除文件的分區(qū)執(zhí)行寫操作，以免覆蓋原有數(shù)據(jù)，然后使用常見的數(shù)據(jù)恢復(fù)軟件，如Finaldata、recuva、DiskGenius等，即可恢復(fù)被刪除數(shù)據(jù)。

3、病毒清理

用戶也可通過以下手工方式進(jìn)行清理修復(fù)：

1)  通過任務(wù)管理器結(jié)束病毒相關(guān)進(jìn)程（ttry.exe）

2)  刪除Windows目錄下駐留文件tsay.exe和ttry.exe及注冊表相關(guān)啟動項(xiàng)（RunOnce）

3)  恢復(fù)上述被病毒篡改的用于隱藏文件及擴(kuò)展名的相關(guān)注冊表項(xiàng)

蠕蟲病毒“incaseformat”23日還會發(fā)作 火絨無需升級即可查殺火絨安全軟件（個人版、企業(yè)版）無需升級即可對該病毒進(jìn)行攔截并查殺。蠕蟲病毒因其會偽裝成其他文件、不斷復(fù)制自身的特性，具有非常強(qiáng)的傳播性。即便被安全軟件查殺，也經(jīng)常會被用戶錯當(dāng)成“誤殺”，進(jìn)行信任處理。也因此，蠕蟲病毒在企業(yè)內(nèi)網(wǎng)中的活躍度一直居高不下。學(xué)校、打印店等也是蠕蟲病毒的重災(zāi)區(qū)?；鸾q工程師再次提醒廣大用戶，若遇到安全軟件頻繁報毒的情況，很大概率就是感染了蠕蟲病毒，應(yīng)第一時間咨詢安全廠商，不要輕易對其進(jìn)行信任。

用戶在病毒沒有刪除用戶文件前，可以使用火絨查殺功能處理此病毒，不會對用戶文件有任何傷害。同時建議用戶開啟火絨【免疫防護(hù)】功能，可確保即使信任該病毒，火絨仍會對其進(jìn)行攔截。位置：防護(hù)中心>系統(tǒng)防護(hù)>系統(tǒng)加固>智能防護(hù)>【啟用系統(tǒng)免疫】

2、SolarWinds供應(yīng)鏈攻擊滲透

美國司法部證實(shí)，SolarWinds供應(yīng)鏈攻擊背后的黑客試圖入侵其IT系統(tǒng)，包括啟用SolarWinds Orion軟件后門中的木馬訪問權(quán)限，借此遍歷司法部內(nèi)部網(wǎng)絡(luò)、甚至竊取到部分員工的電子郵件賬戶。

SolarWinds供應(yīng)鏈攻擊滲透了五角大樓、美國財政部、白宮、國家核安全局在內(nèi)的幾乎所有關(guān)鍵部門，包括電力、石油、制造業(yè)等十多個關(guān)鍵基礎(chǔ)設(shè)施中招，思科、微軟、英特爾、VMware、英偉達(dá)等科技巨頭以及超過9成的財富500強(qiáng)企業(yè)“躺槍”，被CISA定義為“美國關(guān)鍵基礎(chǔ)設(shè)施迄今面臨的最嚴(yán)峻的網(wǎng)絡(luò)安全危機(jī)”。

從目前公開的調(diào)查結(jié)果來看，SolarWinds供應(yīng)鏈攻擊對全球各國關(guān)鍵基礎(chǔ)設(shè)施安全防御體系來說都是一個極富沖擊性的事件—大量傳統(tǒng)網(wǎng)絡(luò)安全工具、措施和策略失效，奧巴馬以來“重攻輕守，以攻代守“的美國國家網(wǎng)絡(luò)空間安全戰(zhàn)略遭受嚴(yán)重打擊。而SolarWinds公司作為一家垂直領(lǐng)域的領(lǐng)導(dǎo)型科技企業(yè)，糟糕的網(wǎng)絡(luò)安全意識和實(shí)踐在此次事件中曝光，SolarWinds面臨的，也許不僅僅是股價暴跌。

3、支付卡處理巨頭 TSYS 遭到勒索軟件攻擊

TSYS 是北美第三大金融機(jī)構(gòu)的第三方支付處理器，也是歐洲的主要處理器。TSYS 提供支付處理服務(wù)、商業(yè)服務(wù)和其他支付服務(wù)解決方案，包括預(yù)付借記卡和工資卡。2020年12 月 8 日， Conti 勒索軟件團(tuán)伙（也稱“Ryuk”）發(fā)布消息稱其從 TSYS 網(wǎng)絡(luò)中刪除了超過 10G 的數(shù)據(jù)，并聲稱到目前為止公布的數(shù)據(jù)只占他們在 TSYS 內(nèi)部引爆勒索軟件之前從該公司卸載的信息的 15%。

4、健康寶現(xiàn)個人信息安全漏洞

近日，疑似明星北京“健康寶”照片被泄露一事備受關(guān)注。有網(wǎng)友通過輸入明星姓名加身份證號，無需人臉識別，可查詢到其在北京“健康寶”上的認(rèn)證照片，疑似30余位明星的照片被傳播，這些信息甚至在相關(guān)一些群組內(nèi)被出售?！吨腥A人民共和國刑法》第二百五十三條之一規(guī)定：

違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下的有期徒刑，并處罰金。對于“侵犯公民個人信息罪“定罪的難點(diǎn)在于確認(rèn)出售個人信息的是誰。

黃牛們顯然不是源頭，我們呼吁國家加強(qiáng)對不規(guī)范APP等的監(jiān)管，重重把關(guān)，從源頭上降低信息泄露的可能。

5、意大利移動運(yùn)營商被黑

沃達(dá)豐（Vodafone）旗下的意大利移動運(yùn)營商Ho Mobile證實(shí)發(fā)生大規(guī)模數(shù)據(jù)泄露，目前正采取一種罕見的措施，替換所有受影響客戶的SIM卡。黑客竊取大約250萬客戶的個人信息。

該數(shù)據(jù)泄露事件上月（2020年12月28日）首次曝光，當(dāng)時一名安全分析師在一個黑暗的網(wǎng)絡(luò)論壇上發(fā)現(xiàn)了要出售的電信公司數(shù)據(jù)庫（下圖）。

6、加密貨幣服務(wù)商 Akropolis 遭黑客攻擊

加密貨幣借貸服務(wù)公司 Akropolis 遭到“閃電貸”攻擊，黑客竊取了價值約 200 萬美元的 Dai 加密貨幣。閃電貸攻擊是針對運(yùn)行 DeFi（去中心化金融）平臺的加密貨幣服務(wù)的常見攻擊方式，這類平臺允許用戶使用加密貨幣借款或貸款，投機(jī)價格變化，并從加密貨幣儲蓄的賬戶中賺取利息。閃存貸攻擊是黑客從 DeFi 平臺（如 Akropolis）貸款時，利用平臺代碼中的漏洞來逃避貸款機(jī)制并竊走資金。

7、日產(chǎn)公司源代碼泄露

繼去年本田遭遇勒索軟件攻擊、奔馳數(shù)據(jù)泄露、伊始川崎重工和日產(chǎn)公司又接連曝出數(shù)據(jù)泄露事故。

日產(chǎn)北美公司一臺配置錯誤（使用了默認(rèn)的管理員用戶名密碼組合：admin/admin）的Bitbucket Git服務(wù)器的信息在Telegram頻道和黑客論壇上開始傳播，直到周三該服務(wù)器才脫機(jī)。據(jù)悉，該服務(wù)器是存有日產(chǎn)北美公司開發(fā)和正在使用的移動應(yīng)用程序和內(nèi)部工具的源代碼，目前已在線泄漏。

數(shù)據(jù)泄露依然是最大的云安全威脅，而配置錯誤是數(shù)據(jù)泄露的主要原因配置錯誤和變更控制不充分的關(guān)鍵原因包括：

• 云端資源的復(fù)雜性使其難以配置；

• 不要期望傳統(tǒng)的控制和變更管理方法在云中有效；

• 使用自動化和技術(shù)，這些技術(shù)會連續(xù)掃描錯誤配置的資源。