本报告涵盖恶意软件与恶意网址、移动安全、互联网安全、趋势展望等多个章节，从解各方面分析 2017 中国网络安全态势。

一、恶意软件与恶意网址

（一）恶意软件

1. 2017年病毒概述

（1）病毒疫情总体概述

2017年瑞星“云安全”系统共截获病毒样本总量5,003万个，病毒感染次数29.1亿次，病毒总体数量比2016年同期上涨15.62%。

报告期内，新增木马病毒占总体数量的51.83%，依然是第一大种类病毒。蠕虫病毒为第二大种类病毒，占总体数量的24.49%，第三大种类病毒为灰色软件病毒（垃圾软件、广告软件、黑客工具、恶意软件），占总体数量的10.77%。

报告期内，CVE-2017-0147漏洞利用占比55%，位列第一位。该漏洞便是“永恒之蓝”漏洞，它是 2017年泄露的NSA网络武器库中的一款攻击程序，其中利用了多个Windows SMB服务的零日漏洞。“永恒之蓝”威力巨大，利用此工具可以非常简单地入侵Windows系统。在今年5月，臭名昭著的勒索蠕虫WannaCry利用的便是“永恒之蓝”，从而造成了波及全球的破坏。

（2）病毒感染地域分析

报告期内，北京市病毒感染3.01亿人次，位列全国第一，其次为新疆省2.49亿人次及广东省2.03亿人次。

2. 2017年病毒Top10

根据病毒感染人数、变种数量和代表性进行综合评估，瑞星评选出了2017年1至6月病毒Top10：

3. 2017年中国勒索软件感染现状

报告期内，瑞星“云安全”系统共截获勒索软件样本92.99万个，感染共计1,346万次，其中广东省感染262万次，位列全国第一，其次为上海市159万次，北京市131万次及江苏省98万次。

（二）恶意网址

1. 2017年全球恶意网址总体概述

2017年瑞星“云安全”系统在全球范围内共截获恶意网址（URL）总量8,011万个，其中挂马网站4,275万个，诈骗网站3,735万个。美国恶意URL总量为2,684万个，位列全球第一，其次是中国1,350万个，韩国507万个，分别为二、三位。

2. 2017年中国恶意网址总体概述

报告期内，北京市恶意网址（URL）总量为558万个，位列全国第一，其次是陕西省233万个，以及江苏省100万个，分别为二、三位。

注：上述恶意URL地址为恶意URL服务器的物理地址。

3. 2017年中国诈骗网站概述

2017年瑞星“云安全”系统共拦截诈骗网站攻击740万余次，广东受诈骗网站攻击97万次，位列第一位，其次是北京市受诈骗网站攻击92万次，第三名是浙江省受诈骗网站攻击75万次。

报告期内，恶意推广类诈骗网站占51%，位列第一位，其次是赌博类诈骗网站占22%，情色类诈骗网站占12%，分别为二、三位。

4. 2017年中国主要省市访问诈骗网站类型

报告期内，北京、河北、湖南等地区访问的诈骗网站类型以情色论坛为主，广东、黑龙江等地区则以在线赌博为主，辽宁、上海、浙江等地区则以恶意推广为主，其余地区访问恶意软件诈骗网站居多。

5. 诈骗网站趋势分析

2017年情色、赌博类诈骗网站占比较多，这些网站大多通过非法手段进行传播，赌博类诈骗网站利用高利润的方式吸引用户，前期平台方会在后台操作让用户少输多赢，当用户产生一定的兴趣后，再进行后台操作赢取用户钱财。诈骗网站的传播途径：

Ø 利用微信朋友圈以软文方式进行诱导传播。 Ø 利用QQ群发方式进行范围传播。 Ø 利用短信群发平台以中奖方式进行传播。 Ø 利用游戏辅助软件进行传播。 Ø 利用大型互联网平台发布信息进行传播。

6. 2017年中国挂马网站概述

2017年瑞星“云安全”系统共拦截挂马网站攻击540万余次，北京市受挂马攻击356万次，位列第一位，其次是陕西省受挂马攻击153万次。

7. 挂马网站趋势分析

2017年挂马攻击相对减少，攻击者一般自建一些导航类或色情类网站，吸引用户主动访问。有些网站会锁定用户浏览器主页，当用户访问会自动跳转到指定的恶意网站，大部分恶意网站会挂载木马程序诱导用户下载，进而窃取用户的账户信息，非法分子利用窃取的信息进行诈骗或资金盗刷。挂马防护手段主要为：

Ø 更新到最新的浏览器版本。 Ø 禁止浏览陌生邮件或手机短信发送的链接网址。 Ø 禁止浏览不正规或非法网站。 Ø 禁止在非正规网站下载软件程序。 Ø 安装杀毒防护软件。

二、移动互联网安全

（一）手机安全

1.2017年手机病毒概述

2017年瑞星“云安全”系统共截获手机病毒样本505万个，新增病毒类型以流氓行为、信息窃取、系统破坏、资费消耗四类为主，其中流氓行为类病毒占比23.3%，位居第一。其次是隐私窃取类病毒占比22.3%，第三名是系统破坏类病毒，占比19%。

2.2017年手机病毒Top5

3. 2017年Android手机漏洞Top5

（二）2017年移动安全事件

1.共享单车扫码诈骗事件

2017年2月，有人发现共享单车的“扫码骑走”上方还贴着其他二维码，贴上去的二维码扫描之后立刻出现了转账提示！用户手机扫描此类二维码后，或被要求直接转账，或被要求下载可疑软件，致使资金账户面临被盗刷的风险。

2.315曝光人脸识别技术成手机潜在威胁

2017年315晚会上，技术人员演示了人脸识别技术的安全漏洞利用，不管是通过3D建模将照片转化成立体的人脸模型，还是将普通静态自拍照片变为动态模式，都可以骗过手机上的人脸识别系统。此外，315还揭露了公共充电桩同样是手机的潜在威胁，用户使用公共充电桩的时候，只要点击“同意”按钮，犯罪分子就可以控制手机，窥探手机上的密码、账号，并通过被控制的手机进行消费。

3.勒索病毒伪装成《王者荣耀辅助工具》袭击移动设备

2017年6月，一款冒充“王者荣耀辅助工具”的勒索病毒，通过PC端和手机端的社交平台、游戏群等渠道大肆扩散，威胁几乎所有Android平台，设备一旦感染后，病毒将会把手机里面的照片、下载、云盘等目录下的个人文件进行加密，如不支付勒索费用，文件将会被破坏，还会使系统运行异常。

4.亚马逊、小红书用户信息泄露助长电话诈骗

2017年6月，亚马逊和小红书网站用户遭遇信息泄露危机，大量个人信息外泄导致电话诈骗猛增。据了解，亚马逊多位用户遭遇冒充“亚马逊客服”的退款诈骗电话，其中一位用户被骗金额高达43万，小红书50多位用户也因此造成80多万的损失。

5.病毒伪装“Google Play”盗取用户隐私

2017年6月，一款伪装成“Google Play”的病毒潜伏在安卓应用市场中，该病毒会伪装成正常的Android market app，潜伏在安卓手机ROM中或应用市场中诱导用户下载安装。该病毒安装后无启动图标，运行后，会向系统申请大量高危权限(发短信和静默安装等)，随后伪装成GooglePlay应用并安装和隐藏在Android系统目录下。因为在“/system/app/”路径下的app默认都是拥有system权限的，所以该病毒样本可以在用户不知情的情况下，在后台静默下载并安装应用到手机当中，还会获取用户手机中的隐私信息，给用户造成系统不稳定或隐私泄露等安全性问题。

6.手机共享充电可能会泄露个人隐私

在公共场合使用免费充电桩充电时，许多人都不太注意手机上“是否开启USB调试”或“是否信任该设备”的提示信息，如果用户点击“是”或“信任”按钮，就相当于让充电设备掌握了手机的绝对控制权，黑客就可以随意窃取手机里的信息。

7.安卓爆重大安全漏洞黑客可以任意篡改App

2017年12月，谷歌通过其官方网站通告了一个高危漏洞CVE-2017-13156（发现厂商将其命名为Janus），该漏洞可以让攻击者无视安卓签名机制，通过绕过应用程序签名验证的形式，对未正确签名的官方应用植入任意恶意代码，目前安卓5.0—8.0等版本系统均受影响，预计每日上千万的活跃安卓应用将存在被利用可能，巨大的潜在威胁风险使得Janus漏洞成为了安卓系统年度大漏洞！

网友安装这些仿冒App后，不仅会泄露个人账号、密码、照片、文件等隐私信息，手机更可能被植入木马病毒，进而导致手机被ROOT，甚至被远程操控。

三、互联网安全

（一）2017年全球网络安全事件解读

1.The Shadow Brokers泄露方程式大量0day漏洞

2017年4月，The Shadow Brokers再度放出大量“方程式组织”使用的黑客工具，包括OddJob、EasyBee、EternalRomance、FuzzBunch、EducatedScholar、EskimoRoll、EclipsedWing、EsteemAudit、EnglishMansDentist、MofConfig、ErraticGopher、EmphasisMine、EmeraldThread、EternalSynergy、EwokFrenzy、ZippyBeer、ExplodingCan、DoublePulsar等。其中有多个可以远程攻击Windows的0day漏洞。受影响的Windows 版本包括Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8、Windows 2008、Windows 2008 R2、Windows Server 2012 SP0等。这次泄露的工具也直接导致了后来WannaCry、Petya的全球爆发。

2.WannaCry勒索袭击全球

2017年5月，一款名为WannaCry的勒索病毒席卷全球，包括中国、美国、俄罗斯及欧洲在内的100多个国家，我国部分高校内网、大型企业内网和政府机构专网遭受攻击较为严重。勒索软件利用的是微软SMB远程代码执行漏洞CVE-2017-0144，微软已在今年3月份发布了该漏洞补丁。2017年4月黑客组织影子经纪人（The Shadow Brokers）公布的方程式组织（Equation Group）使用的“EternalBlue”中包含了该漏洞利用程序，而该勒索软件的攻击者在借鉴了“EternalBlue”后发起了这次全球性大规模勒索攻击。

3.Petya病毒借勒索之名袭击多国

2017年6月，一个名为“Petya（中文音译彼佳）”的新勒索病毒再度肆虐全球，包括乌克兰首都国际机场、乌克兰国家储蓄银行、邮局、地铁、船舶公司、俄罗斯的石油和天然气巨头 Rosneft、 丹麦的航运巨头马士基公司、美国制药公司默克公司、美国律师事务所DLAPiper、乌克兰一些商业银行以及部分私人公司、零售企业和政府系统，甚至是核能工厂都遭到了攻击。影响的国家有英国、乌克兰、俄罗斯、印度、荷兰、西班牙、丹麦等。与WannaCry相比，该病毒会加密NTFS分区，覆盖MBR，阻止机器正常启动，影响更加严重。

4.Xshell和CClearner被植入后门

2017年7月，著名服务器终端管理软件Xshell在发布的5.0 Build 1322官方版本中被植入后门，用户下载或更新到该版本均会中招。由于相关软件在国内程序开发和运维人员中被广泛使用，可能会导致大量用户服务器账号密码泄露。

无独有偶，2017年9月，著名系统优化工具CCleaner的某个版本被发现植入后门，大量使用该工具的用户将面临泄密风险。这是继Xshell后门事件后，又一起严重的软件供应链来源攻击事件。CCleaner是一款免费的系统优化和隐私保护工具，主要用来清除Windows系统不再使用的垃圾文件，以腾出更多硬盘空间，并且还具有清除上网记录等功能。

5.WPA2协议曝高危漏洞

2017年10月，国外研究人员Mathy Vanhoef在WPA2协议中发现严重安全漏洞，几乎影响所有Wi-Fi设备，当一台设备加入一个受保护的Wi-Fi网络时，一个名为四次握手的流程便会发生，这种“握手”会确保客户端与接入点都能拥有正确的登录信息，并生成一个新的加密密钥来保护网络流量。这个加密密钥会在四向握手的第三步安装，但如果接入点认为消息丢失，有时会重复发送相同的密钥。

研究发现，攻击者可以迫使接入点安装相同的加密密钥，这样便可借此攻击加密协议，并破解数据。攻击者可以利用 KRACK攻击读取敏感信息，如信用卡账号、密码、聊天信息、电子邮件、照片等。

6.蓝牙协议爆严重安全漏洞

2017年8月，物联网安全研究公司Armis在蓝牙协议中发现了8个零日漏洞，这些漏洞将影响超过53亿设备——从Android、iOS、Windows以及Linux系统设备到使用短距离无线通信技术的物联网设备，利用这些蓝牙协议漏洞，Armis构建了一组攻击向量(attack vector)“BlueBorne”，演示中攻击者完全接管支持蓝牙的设备，传播恶意软件，甚至建立一个“中间人”（MITM）连接。

7.BadRabbit突袭东欧

2017年10月，新型勒索病毒BadRabbit在东欧爆发,乌克兰、俄罗斯等企业及基础设施受灾严重。该病毒会伪装成flash_player，诱导用户下载，当用户下载后，病毒会加密特定格式文件，修改MBR，并索要比特币。BadRabbit可以通过弱口令和漏洞在局域网扩散，成为勒索病毒蠕虫化的典型代表。

8.大量家庭摄像头被入侵

2017年6月，央视曝光大量家庭摄像头遭入侵。很多人家里都装有智能摄像头，下载一个相关联的应用程序，就可以随时用手机查看家里情况，但是由于很多智能摄像头存在弱口令、漏洞等问题，导致大量家庭摄像头遭入侵。一旦攻击者入侵成功，便可以远程观看受害者家中视频。

9.FireBall火球病毒感染超过2.5亿电脑

2017年6月，由中国商业公司控制的Fireball(火球)病毒，感染全球约2.5亿部计算机，感染最严重的国家是印度、巴西和墨西哥。火球病毒通过捆绑正常软件传播，中毒电脑浏览器主页、默认搜索页会被锁定且难以更改，黑客利用广告插件植入广告获利，去年一年获利近8000万元。

（二）2017年APT攻击事件

1.白象APT组织

白象APT组织，又称摩诃草组织（APT-C-09）、丰收行动、HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork。该组织是一个来自于南亚地区的境外APT组织，最早由安全公司Norman于2013年曝光。该组织在针对中国地区的攻击中，主要针对政府机构与科研教育领域。

中国在过去五年持续遭到白象APT组织的网络攻击，该组织主要使用鱼叉攻击，同时也使用基于即时通讯工具和社交网络作为恶意代码的投递途径。其攻击使用的恶意代码主要针对Windows系统，整个攻击过程使用了大量系统漏洞，其中至少包括一次0day漏洞攻击。

2、越南背景APT32攻击亚洲国家

APT32又称海莲花、OceanLotus、APT32，有信息表明该组织为越南背景，主要针对东南亚国家进行攻击，其中包括越南周边国家的政府、公司等机构，越南被攻击的主要目标为，跨国公司在越南的分公司和全球咨询公司在越南的办事处，以及持不同政见者和记者。

2012年开始攻击中国的政府、海事机构、科研院所、航运企业等。主要通过水坑攻击和鱼叉邮件进行攻击。水坑攻击下载的样本伪装为浏览器和flash更新、字体等。鱼叉邮件攻击中所发送的邮件附件，文件名非常具有针对性，预先对国内时事热点和被攻击单位业务进行了一定的了解，攻击成功率高。

攻击主要特点为：

（1）善于使用白利用，曾利用过谷歌、赛门铁克等公司带有数字签名的软件。 （2）攻击网站较为明目张胆，替换下载链接，植入恶意脚本，伪装flash更新，伪装字体。 （3）定制后门和开源工具相结合，善于使用Meterpreter、Cobalt Strike。 （4）掌握的资源较丰富，提前收集过被攻击者的情报，善于使用社工。

3、Turla监视全球领事馆和大使馆

Turla由BAE研究员首次发现，又称 Waterbug 、Venomous Bear、Krypton。自2007年以来一直处于活跃状态，其主要针对欧洲外交部等政府机构与军工企业展开攻击活动。2017年8月30日ESET发布研究报告披露，Turla使用隐秘后门“Gazer”监控全球的领事馆和大使馆。恶意软件 Gazer 由开发人员采用C++程序编写，经鱼叉式钓鱼攻击进行传播，可由攻击者通过C＆C服务器远程接收加密指令，并可使用受损合法网站（多数使用 WordPress）作为代理规避安全软件检测。

有趣的是，不仅早期版本的Gazer签发了Comodo颁发的 “Solid Loop Ltd”有效证书，而最新版本也签发了“Ultimate Computer Support Ltd.”颁发的SSL证书。ESET公司在报告中指出，除了将后门与合法Flash Player安装程序捆绑在一起之外，Turla组织使用的URL及IP地址来自Adobe的合法基础设施，从而让受害者误以为自己在下载合法软件。

潜在攻击途径可能包括：

（1）劫持受害者组织机构网络内的设备，利用其充当中间人（简称MitM）攻击的跳板。 （2）攻击者可能入侵目标网关，借此拦截组织内网与互联网之间的所有输入与输出流量。