概述

《火絨安全2023年終端安全洞察報告》以“火絨威脅情報系統”為統計基礎，匯總梳理2023全年終端攻擊威脅態勢。希望為個人用戶和企業客戶提供更真實、更直觀、更全面的終端威脅感知，幫助大家提高風險預防意識，有效采取防御措施應對潛在終端安全威脅。

l火絨安全產品共攔截終端攻擊37.35億次，下半年攻擊逐漸減少并進入平緩期。

l黑客主動向全網投放的病毒中，感染型病毒占32%、木馬病毒占22%、蠕蟲病毒占19%。其中，感染型病毒已感染數百萬終端。

l銀狐病毒家族成為年度最活躍家族，最早可以溯源到2022年底，2023年開始活躍，呈現眾多變種和傳播形式。

l火絨產品共提示軟件安裝8.61億次，除了常見軟件，殺毒軟件、瀏覽器、辦公軟件、游戲類軟件排名靠前。

l火絨安全技術人員協助處理的個人終端問題中，勒索病毒已經僅次于內核級病毒，成為二號威脅，個人用戶切莫掉以輕心。

l近三年數據顯示，勒索攻擊已經超過挖礦病毒，成為企業安全主要威脅來源，且數量遠超其他病毒威脅。

終端攻擊趨勢

“火絨威脅情報系統”監測情況顯示，2023年火絨安全產品共攔截終端攻擊37.35億次，下半年攻擊逐漸減少并進入平緩期。從全國范圍來看，廣東、江蘇、山東成為易受惡意攻擊地區，其次為浙江、四川、福建、河南、北京、湖北、湖南。

2023年黑客主動向全網投放的病毒中，感染型病毒占32%、木馬病毒占22%、蠕蟲病毒占19%，三者仍然是終端安全的主要病毒威脅來源。其中，感染型病毒主要來自Synares、Virut、Sality、Ramnit四個家族，已感染數百萬終端。

由于感染型病毒具備隱蔽性、潛伏性等特征，往往難以分辨，用戶可通過兩種方式判別：一是看到以“Virus”開頭的火絨報毒提示，直接查殺即可（火絨查殺不會損壞程序、文檔）。二是需要警惕看似正常的軟件被報毒，其中很可能存在感染型病毒。

銀狐病毒活躍

銀狐病毒家族最早可以溯源到2022年底，2023年開始活躍，呈現眾多變種和傳播形式。最常見的是，該病毒以國內企業的管理、財務、銷售人員為主要目標，偽裝成帶有關鍵詞的文件，誘騙用戶點擊運行。黑客則可以遠程控制受害者的終端，監控電腦使用情況，并伺機盜取用戶敏感數據及財產信息。根據火絨威脅情報系統的梳理，2023年銀狐病毒及其重要變種的時間線為：

黑客通常利用釣魚郵件、通訊軟件、偽造軟件官網等手段，將后門病毒植入目標系統，收集敏感信息并執行其他惡意模塊，以對受害者電腦進行遠程控制和橫向滲透，隨后發起DDoS攻擊和勒索攻擊等惡意行為，給用戶造成財產損失。銀狐病毒的攻擊流程，如下圖所示：

彈窗進入平緩期

互聯網彈窗廣告作為公眾詬病較集中的互聯網問題，國家相關部門于近兩年陸續發布管理規定，2022年9月施行的《互聯網彈窗信息推送服務管理規定》、2023年5月施行的《互聯網廣告管理辦法》，分別強化了對互聯網彈窗的約束力度，同時加大了對廣告參與主體違法行為的懲戒力度。

“火絨威脅情報系統”數據顯示，2023年火絨安全產品共攔截（不含用戶手動攔截）11.15億次彈窗廣告，明顯比去年減少一半，且各月總量持平，特殊促銷時間節點并未出現明顯波動情況。

軟件安裝攔截

軟件捆綁安裝也是互聯網用戶經常遇到的問題之一，其花樣百出、防不勝防，用戶稍有不注意則下載到若干無用軟件，隨之而來的就是各種廣告彈窗、網頁篡改、系統卡頓、內存不足等一系列問題，甚至存在個人隱私、財產信息泄露風險。

為了有效減少用戶在不知情的情況下被安裝不需要的軟件的風險，火絨產品會對曾經被捆綁安裝的軟件進行識別，并及時提示用戶。2023年，火絨產品共提示軟件安裝8.61億次，除了常見軟件，殺毒軟件、瀏覽器、辦公軟件、游戲類軟件排名靠前，而在2022年，閱讀翻譯類工具則被攔截較多。

微軟系統漏洞

2023年，火絨安全產品共攔截2.26億次漏洞攻擊，其中攔截1.67億次微軟系統漏洞攻擊，攔截1317萬次Web漏洞攻擊。

微軟去年對外披露了1374個漏洞，包含高危漏洞88個，嚴重漏洞859個。遠程執行代碼漏洞一旦被成功利用后，攻擊者能夠在目標計算機上遠程執行任意代碼，對用戶形成嚴重的安全風險。

Web漏洞攻擊

2023年特別是上半年Web漏洞攻擊持續上漲，疫情期間越來越多的企業加速數字化轉型的步伐，新系統、新軟件、新技術不斷被應用，其中漏洞被利用風險隨之增長。此外，CVE-2017-10271、CNVD-2021-30167、CVE-2007-1036、CVE-2019-2725連續多年成為易被利用的Web漏洞，針對這些舊漏洞，外界擁有特定開發的漏洞利用代碼或工具，黑客更方便拿來攻擊未更新修復的目標。

個人終端應急服務

根據”火絨在線支持和響應中心“處理的個人終端問題顯示，個人終端常見病毒中，內核級病毒占40%、勒索病毒占31%、流氓軟件占13%。內核級病毒（Rootkit）一直是困擾用戶的頭號病毒威脅，其主要被用于劫持用戶流量。火絨安全2023年發布多篇病毒報告，揭示了Rootkit病毒利用傳奇私服、天龍八部游戲私服，劫持用戶訪問的網頁到指定網站，并進行信息收集和數據篡改等惡意活動。

勒索病毒已經成為個人終端安全二號威脅，個人用戶切莫掉以輕心，一次鏈接點擊、一次文件下載，都有可能進入黑客的圈套。

從勒索病毒類型來看，個人終端和企業終端遭遇的勒索病毒主要來自TellYouThePass、Phobos、Mallox三大家族：

l TellYouThePass勒索軟件家族在國內出現于2020年，通過軟件漏洞進行攻擊，并且可在短時間內對大量設備進行加密，針對包括政府機構在內的全行業。

l Phobos勒索軟件家族從2019年初期開始在全球流行，通過RDP暴力破解和釣魚郵件等方式擴散到企業與個人用戶中，并持續更新和演變，成為勒索軟件家族中新興的一個大家族。

l Mallox勒索軟件家族首次出現于2021年，專注于MS-SQL和暴力攻擊，會定期公開被入侵的組織和盜取的數據，利用地下論壇宣傳其服務并招募生態組織。

企業終端應急響應

近三年數據顯示，勒索攻擊已經超過挖礦病毒，成為企業安全主要威脅來源，且數量遠超其他病毒威脅。勒索攻擊目標集中在IT互聯網（28%）、制造業（25%）、醫療保健行業（19%）。這三大行業與大眾生產、生活緊密相關，擁有大規模的個人數據、商業信息，某個環節出現安全風險，都容易出現牽一發而動全身的情況。

勒索攻擊作為成熟的攻擊手段，擁有完整的商業模式（RaaS），RaaS運營商通常提供易于使用的攻擊工具和界面，這些工具涵蓋各種功能，如暴力破解、端口掃描、漏洞掃描、加密文件、生成勒索信息、管理支付渠道等。這使得攻擊者無需編寫復雜的代碼或具備深入的技術知識，便可輕松定制和啟動攻擊，他們可以是專業的黑客團隊、犯罪組織，也可以是技術能力較低的個人。

此外，支付方式的匿名性（通常要求使用加密貨幣進行贖金支付），使得攻擊者能夠在不被追蹤的情況下收取贖金，增加了勒索攻擊的成功幾率。因此，勒索攻擊的易操作性、成功機率、支付匿名性使得越來越多的攻擊者，采用這種形式獲利。我們則需要加強網絡安全意識、采取防御措施和及時更新系統，來應對這些威脅。

勒索攻擊防護建議

1、使用能夠檢測和阻止已知勒索軟件變體的反惡意軟件或安全軟件。

2、實時監測和檢測網絡活動，及時發現和應對異常行為，以遏制勒索軟件攻擊的擴散。

3、定期進行安全審計和評估，以識別網絡和系統漏洞，并確保所有安全控制措施到位并正常運行。

4、對員工定期開展網絡安全培訓，加強員工的網絡安全意識，包括識別和應對勒索軟件等網絡威脅。

5、定期對重要文件和數據進行非本地備份，并設置訪問限制，以降低勒索軟件造成的影響。

黑客攻擊階段

面對日益嚴峻的網絡攻擊態勢，如果企業不能有效預估和應對網絡攻擊，就可能導致重大損失。火絨安全團隊通過對病毒的各種攻擊方式分析發現，黑客會在攻擊前期，對目標企業進行探測，以期找到企業系統中的弱點，隨后利用各種手段入侵目標系統或局域網，成功入侵系統后，會為其后續的攻擊和竊取潛在利益做準備。

火絨安全產品除了不斷加強病毒的攔截、查殺以外，始終關注對攻擊渠道的防御。從病毒層面、系統層面、網絡層面設置多重防護，極大減少黑客攻擊和潛在安全風險。

綜上所述，黑客會利用各種病毒、漏洞、技術，破壞網絡系統，竊取敏感信息，甚至進行網絡勒索等犯罪行為。因此，保護計算機終端免受黑客攻擊至關重要，以下是一些常見的措施，可以提高系統和數據的安全性：

1、更新和升級軟件：保持操作系統、應用程序和安全軟件為最新版本，可以修復已知的漏洞和弱點，提高系統的安全性。

2、使用安全軟件：安裝和定期更新可靠的安全軟件，以檢測和阻止惡意網絡攻擊。

3、使用強密碼和多因素身份驗證：為所有賬戶設置獨特、復雜的密碼，并啟用多因素身份驗證，增加賬戶的安全性。

4、定期備份數據：定期備份重要數據，防止數據丟失或被勒索軟件加密。

5、實施訪問控制：設置相應網絡訪問限制并分配適當權限，以防止未經授權的訪問和數據泄露。

關于火絨安全

火絨安全成立于2011年，是一家專注、純粹的終端安全公司，致力于在終端領域提供專業的安全產品和優質的用戶服務，并持續對外賦能反病毒引擎等相關自主研發技術。

火絨安全個人產品“火絨安全軟件”擁有數千萬用戶，憑借干凈、輕巧、強大的特點收獲良好的大眾口碑與推薦。企業產品“火絨終端安全管理系統”是秉承“情報驅動安全”理念，全面實施EDR運營體系的一款反病毒&終端安全管理軟件。

“火絨終端安全管理系統”充分滿足各企事業單位在當前互聯網威脅環境下的電腦終端防護需求。產品支持Windows、Linux、macOS等主流操作系統，深度適配統信、鯤鵬、神州網信、中科方德、海光、龍芯等國產操作系統與CPU。目前，“火絨終端安全管理系統”已部署超百萬終端，覆蓋政企、制造、醫院、IT互聯網、能源、汽車、交通等眾多行業。

完整版報告下載：

https://down5.huorong.cn/doc/report/HUORONG-Data-Report-2024(02-23).pdf