一、2017年网络安全现状

1. 概述

2017年金山毒霸安全实验室捕获电脑病毒样本总量2319万个，比2016年总量3952万个下降41%。

2017年，金山毒霸安全实验室捕获手机可疑病毒样本总量3103万个，排重鉴定出手机病毒817万个，手机病毒相对去年的677万增长21%。我们观察到PC病毒大幅减少，而手机病毒依旧在增长。

猎豹安全大师2017年拦截各种广告推销、诈骗骚扰电话达1.13亿次，各类骚扰电话占比高达15.11%；拦截广告、诈骗短信2.41亿条，广告、诈骗短信占比约7.4%；平均每天11.27%的用户会收到各类广告、诈骗短信。

2017年，金山毒霸安全实验室检测到新增钓鱼网站153万个，比去年的193万下降26%。钓鱼网站对电脑和手机用户均会产生危害。手机端由于系统功能限制，安全软件的拦截能力会受限。因而，手机用户遭遇钓鱼网站的欺诈会更严重一些。

2. 2017年电脑病毒捕获情况

根据金山毒霸安全实验室监测结果，2017年全年捕获病毒样本总量为23187742个（排重后的数量），比2016的39528276个减少41.3%。2017年各月捕获数量如图1所示，其中12月达到全年最高值（230万个），4月为最低值（128万个）。

2017年捕获病毒样本月度统计 (来源：猎豹移动)

2017年全年监测到感染恶意程序的主机74983487余台，比2016年的81454908个减少7.9%。我们注意到捕获的病毒样本数量虽有大幅减少，但中毒电脑数量变化并不大。其中感染主机数量4月为全年最低点（322万台），8月达到全年最高值（828万台），如下图所示。

2017年感染主机数量月度统计(来源：猎豹移动)

2005年至2017年捕获恶意程序数量（排重后的数量）如下图所示，可以看出，PC病毒捕获数量已连续3年呈下降趋势。

2005-2017年捕获恶意程序数量趋势图 (来源：猎豹移动)

2017年，电脑病毒感染量按地区分布看，广东、江苏、山东等省份是病毒感染最严重的区域；西藏、青海、宁夏、内蒙等地为病毒感染较低的地区，其他省份居中。

3. 手机病毒及骚扰短信

2017年，金山毒霸安全实验室捕获手机可疑病毒样本总量3103万个，排重鉴定出手机病毒817万个，手机病毒相对去年的677万增长21%。手机病毒检出量仍呈现较快速增长。

猎豹安全大师2017年拦截各种广告推销、诈骗骚扰电话达1.13亿次，其中广告推销电话3225万次，诈骗电话1666万次，各类骚扰电话占比高达15.11%；拦截广告、诈骗短信2.41亿条，广告、诈骗短信占比约7.4%；平均每天11.27%的用户会收到各类广告、诈骗短信；全年广告、诈骗短信的拦截最高峰为双十一，是全年均值的3倍。

从地区分布来看，广东用户依旧是接收广告骚扰短信、诈骗短信最严重的省份。

4. 恶意网址

2017年，金山毒霸安全实验室共检出钓鱼网址153万个，相比去年的193万个下降了26%，平均每月检出12.7万个。

从钓鱼欺诈网站分类看，境外博彩类网站特别严重，占钓鱼网站总量的62%，排名第二的是虚假购物网站（16%），诱导支付和虚假彩票分别占4%和3%。

钓鱼网站服务器主要托管于境外，值得注意的是，有36.38%钓鱼网站服务器托管在香港，利益于境内严格的服务器管理制度，钓鱼网站托管在境内的仅占5.7%。

受钓鱼网站影响的人群数量惊人，金山毒霸安全实验室监测表明，用户访问到钓鱼网站的比例高达5.7%。金山毒霸全年拦截钓鱼网站56亿次，平均月超4670万次，每个网民每月访问钓鱼网站的多达5次。

钓鱼网站危害最严重的省份是广东、广西、福建。

钓鱼网站主要传播工具是社交媒体和搜索引擎推广，诈骗分子十分擅长使用这两类工具。短信群发钓鱼网站，由于工信部的严格管制及运营商的技术措施，只占5%的比例。

二、2017年重大网络安全事件回顾

1. 永恒之蓝漏洞与勒索病毒制造蠕虫灾难

5 月 12 日晚8 时左右，WannaCry（想哭）勒索软件全球爆发，存在漏洞的电脑开机上网就可被攻击。数小时之内，病毒席卷英国、俄罗斯、整个欧洲，迅速蔓延至国内高校校内网、大型企业内网和政府机构专网，桌面弹出支付比特币才能解密恢复文件，攻击造成教学系统、校园一卡通系统、加油站系统及众多政府机关网络瘫痪。

该病毒之所以快速蔓延，其根源在黑客组织“影子经纪人（Shadow Brokers）”将NSA（美国国家安全局）使用的武器级安全漏洞公开。尽管微软早在病毒事件爆发前发布了安全补丁，但众多内网用户并未及时修补，从而导致一场遍布全球的安全灾难。

继WannaCry（想哭）勒索蠕虫之后，又有NotPetya、Bad Rabbit等多款蠕虫病毒利用类似的攻击手机（漏洞+勒索）在欧洲多国传播，这些病毒的影响力都远逊于WannaCry勒索蠕虫。

在经过长达半年多的调查之后，美国政府正式宣告这次大规模的网络攻击来自朝鲜。

该病毒给所有网民的教训就是必须高度重视安全漏洞的影响，特别是安全专家们提及的网络战武器级高危漏洞，这类安全漏洞单点使用可以无形中渗透到保密级别很高的网络系统，大规模使用可以导致极为严重的后果。影子经纪人一直宣称要公开所有NSA的网络战兵器谱，但仅仅只放了几个出来。

及时修补安全漏洞才能在突然到来的蠕虫病毒攻击中成为幸存者。重要数据如果没有备份，在遭遇超强加密的勒索病毒时，将造成无法挽回的损失。

2. 国产流氓软件Fireball(火球)全球做恶

据国外安全公司CheckPoint发布报告称，发现一个由中国商业公司卿烨科技（rafotech）控制的Fireball(火球)病毒，该病毒感染全球约2.5亿部计算机。

火球病毒感染后会劫持用户浏览器，中毒电脑成为僵尸网络的一部分。Fireball病毒也是一个功能完善的病毒下载器，可以在中毒电脑执行任何代码。其核心功能是控制用户浏览器点击谷歌、雅虎网站的广告牟利。在其官网上，该公司是这样介绍的。卿烨科技是数字营销行业的领先跨国公司,强大的技术支持、优质的合作伙伴，为广告主提供精准的数字营销服务，丰富领先的变现方案，使每一个流量价值最大化。

3. 暗云木马大肆传播，格式化硬盘也无法清除

暗云木马是迄今为止最复杂的木马之一，曾经感染过数百万电脑，它用了很多复杂的新技术来长期潜伏在系统中，尤其是借助BootKit直接感染硬盘引导分区。

暗云木马变种会将攻击母体捆绑在游戏外挂或私服工具中，或者干脆假冒游戏外挂和私服工具，欺骗游戏玩家下载安装，并通过联网获得攻击指令。病毒作者可以非常灵活地控制中毒电脑，执行任意操作。

暗云病毒通过联网下载攻击指令，再将攻击代码在内存中运行，并不在本地硬盘上生成文件完成破坏或攻击目的。这是一种高超的攻击技巧，本地找不到完成攻击的文件，指令只在内存中，随时可以通过网络更换攻击方式。目前，我们监测到的攻击代码是刷流量牟利，以及发起DDoS攻击。

4. 惠普隐藏键盘记录器，窃取信息

今年5月，惠普笔记本被曝出在音频驱动中存在一个内置键盘记录器监控用户的所有按键输入，这个按键记录器会通过监控用户所按下的键来记录所有的按键。

近期某部委下属网络安全和信息化领导小组办公室已经发布公告通报了惠普电脑存在隐藏键盘记录器问题。

研究人员指出，惠普的音频驱动文件中隐藏缺陷代码 (CVE-2017-8360) 的漏洞，它不但会抓取特殊键，而且还会记录每次按键并将其存储在人类可读取的文件中。

惠普公司是这样说的：“声卡驱动程序中部分调试代码被错误地保留下来，这是一个意外。这些代码的目的是帮助我们调试、解决驱动程序出现的问题”。并表示，“我们希望未来不会再出现类似问题。”

5. 全国爆发软件升级劫持攻击，升级时被调包

国内多款软件在升级更新时，遭遇网络流量劫持攻击，用户以为在升级，实际却把病毒安装到电脑上。

被伪装的软件没有数字签名，如下图：

此次流量劫持攻击影响多个省，攻击者利用此次攻击大量推广安装流氓软件并从中获益。

6. xshell 、CCleaner等工具被值入门后程序

今年8月，非常流行的服务器管理工具Xshell被发现安装包植入病毒。据分析，该次病毒传播高度怀疑是黑客入侵了Xshell相关开发人员的系统，在源码中植入后门，致使该公司发布的官方程序不幸带毒。继而威胁所有使用Xshell管理的服务器安全。

随后不久，安全专家发现，著名的系统清理软件CCleaner官方开发环境疑似被黑客入侵，在官方发行的软件中植入后门，下载该软件的用户安装后，电脑就会中毒。预计受影响的用户高达220万，病毒会收集中毒电脑的隐私信息。

这两起案例值得软件开发者高度关注，如果开发者系统被入侵，会造成极为严重的后果：因官方发行的软件带有发行商的数字签名，这些有签名的软件极易被系统和安全厂商判定为“可信”，大量用户从官方网站下载软件或更新软件就会中毒。

7.2017极为流行的挖矿病毒，海盗湾网站、中国电信天翼校园客户端不幸中招

2017年随着比特币价格一路高涨，众多病毒木马作者从中发现有利可图。他们利用木马后门控制成千上万台电脑、手机、网站、智能摄像头、家用路由器等等设备的资源采集比特币或其他加密币（俗称：挖矿）。

很不幸，中国电信部分省份的官方客户端就被植入挖矿病毒。校园网用户因此沦为黑客控制的肉鸡。

挖矿病毒感染电脑后会产生刷广告流量和挖矿两种危害。首先，病毒会创建一个隐藏的IE浏览器窗口，模拟用户操作鼠标、键盘点击广告，由于病毒屏蔽了广告页面的声音，用户难以发现自己已被挟持。其次，病毒会利用受害者电脑挖“门罗币”，病毒挖矿时将大量占用CPU资源，电脑由此会变慢、发热，用户能听到电脑风扇高速运行产生的噪音。

8. Windows激活工具被植入病毒“薅羊毛”

金山毒霸安全实验室监测发现，国内最流行的若干款Windows激活工具都被蓄意植入了“薅羊毛”病毒，“薅羊毛”病毒每天感染上万台电脑。

病毒会将多个浏览器主页锁定为2345，在用户网购时强行劫持浏览器，伪造推广业绩赚取佣金。

当用户浏览到京东、淘宝、蘑菇街、唯品会、苏宁、国美等电商网站时，并就会自动在浏览器地址栏插入自己的推广ID。这样，只要用这台电脑购物，病毒作者就能从中赚取佣金。

病毒会用一个不可见的浏览器窗口模拟点击视频网站广告链接，达到刷广告流量的目的。受影响的视频网站包括优酷、爱奇艺、搜狐、PPTV等等。按单个广告视频点击0.5元计算，该病毒每天仅靠虚假点击可以骗取收入上万元。

在金山毒霸公布该病毒的技术报告及作者信息之后，病毒作者迅速关闭了控制服务器，清空了Github空间，销声匿迹了。

在金山毒霸公布小马Windows激活工具带毒之后 ，又有其他安全厂商爆出其他盗版激活工具同样被植入病毒。网友在使用Windows、Office、Adobe全家桶等破解工具时，务必开启杀毒软件保护。避免自己的电脑成为别人薅羊毛或挖矿的工具。

9. 利用Office漏洞刻意构造攻击文档进行精准攻击

今年，一系列利用Office高危漏洞攻击的案例不断涌现，主要利用点：

1.CVE-2017-0199 :word在处理OLE2LINK对象时，对Content-Type处理不当，造成远程执行hta文件；

2.CVE-2017-8570 :ppt在处理Moniker对象时，会自动激活该对象，导致sct脚本执行；

3.CVE-2017-11826 :docx文档中，在处理font标签不当，造成的内存破坏进而结合堆喷射造成代码执行；

4.CVE-2017-8759 :在处理soap的location标签中，未考虑换行符，造成.net代码注入，通过引入新的SOAP XML指定SOAP WSDL模块解析完成代码执行；

5.CVE-2017-11882 :旧版的公式编辑器，存在栈溢出，由于没有任何漏洞缓解策略，可通过改返回地址为程序内WinExec函数进而执行代码，常见利用方式有

a. 通过WebDAV

b.使用mshta

c.结合office的自动释放机制执行

Office及Adobe Flash、PDF的高危安全漏洞，经常被用来刻意构造攻击文件，对特定目标进行精准攻击。大部分网民对文档攻击缺乏认知，安全软件的防御往往不如针对EXE的拦截响应快，攻击者容易得手。

10.个人信息保护任重道远

2017年，仍然观察到大量个人信息泄露事件。新华社的一篇报道曝光了多地反诈骗中心的调查结果：目前电信网络诈骗案件 90％ 以上是违法分子靠掌握公民详细信息进行的精准诈骗，从已破获案件看，“内鬼”监守自盗和黑客攻击仍是公民个人信息泄露的主要渠道。

2017年，许多年轻人为几千元的数码产品、几百块钱的化妆品卷入现金贷。参与借贷的人已不存在任何隐私，包括身份证、手机号、银行卡号、学生证、学信网帐号、支付宝帐号等等绝不可以泄露给他人的信息，均拱手交给高利贷组织。随之不断出现“女大学生裸 贷”、“某某学生借贷数十万被逼跳楼”之类的悲剧事件。

现金贷公司还会出于风控目的近乎公开的非法买卖个人信息，使用网络爬虫抓取个人信息。随着国家对现金贷的管制升级，大量现金贷公司业务停滞，破产倒闭者不在少数，这些组织和个人手里掌握的大量个人信息，随时会威胁贷款人的信息安全。

个人信息保护需要安全厂商、国家机关、存储数据的企业和组织，以及网民携手联防，仅靠任何单一的环节，并不能消除风险。

三、下一年会有什么？

除非比特币泡沫破裂，我们预计在今后相当长的时间里，挖矿病毒都将是最热门的攻击方式，不仅仅挖比特币，其他山寨币的挖矿病毒都会跟着火爆。

由于国内电商持续火爆，随着消费升级浪潮而来的，会有大量病毒以薅羊毛为盈利点。各自媒体平台、网络视频平台，都有一些流量奖励政策可被利用。点击欺诈是互联网诞生以来就存在的古老生意，预计刷广告流量的病毒仍然会有较高的感染率。

勒索病毒覆盖电脑和手机双平台，以加密文件勒索比特币或其他山寨币为手段的病毒仍将持续产生危害。

同时，我们推测，针对软件开发、分发领域的攻击仍将持续，软件开发者必须高度重视这类攻击，避免让自己的用户成为肉鸡。