2017年中国 络安全 告

本 告涵盖恶意软件与恶意 址、移动安全、互联 安全、趋势展望等多个章节，从解各方面分析 2017 中国 络安全态势。

一、恶意软件与恶意 址

（一）恶意软件

1. 2017年病毒概述

（1）病毒疫情总体概述

2017年瑞星“云安全”系统共截获病毒样本总量5,003万个，病毒感染次数29.1亿次，病毒总体数量比2016年同期上涨15.62%。 

告期内，新增木马病毒占总体数量的51.83%，依然是第一大种类病毒。蠕虫病毒为第二大种类病毒，占总体数量的24.49%，第三大种类病毒为灰色软件病毒（垃圾软件、广告软件、黑客工具、恶意软件），占总体数量的10.77%。

告期内，CVE-2017-0147漏洞利用占比55%，位列第一位。该漏洞便是“永恒之蓝”漏洞，它是 2017年泄露的NSA 络武器库中的一款攻击程序，其中利用了多个Windows SMB服务的零日漏洞。“永恒之蓝”威力巨大，利用此工具可以非常简单地入侵Windows系统。在今年5月，臭名昭著的勒索蠕虫WannaCry利用的便是“永恒之蓝”，从而造成了波及全球的破坏。

（2）病毒感染地域分析

告期内，北京市病毒感染3.01亿人次，位列全国第一，其次为新疆省2.49亿人次及广东省2.03亿人次。

2. 2017年病毒Top10

根据病毒感染人数、变种数量和代表性进行综合评估，瑞星评选出了2017年1至6月病毒Top10：

3. 2017年中国勒索软件感染现状

告期内，瑞星“云安全”系统共截获勒索软件样本92.99万个，感染共计1,346万次，其中广东省感染262万次，位列全国第一，其次为上海市159万次，北京市131万次及江苏省98万次。

（二）恶意 址

1. 2017年全球恶意 址总体概述

2017年瑞星“云安全”系统在全球范围内共截获恶意 址（URL）总量8,011万个，其中挂马 站4,275万个，诈骗 站3,735万个。美国恶意URL总量为2,684万个，位列全球第一，其次是中国1,350万个，韩国507万个，分别为二、三位。

2. 2017年中国恶意 址总体概述

告期内，北京市恶意 址（URL）总量为558万个，位列全国第一，其次是陕西省233万个，以及江苏省100万个，分别为二、三位。 

注：上述恶意URL地址为恶意URL服务器的物理地址。

3. 2017年中国诈骗 站概述

2017年瑞星“云安全”系统共拦截诈骗 站攻击740万余次，广东受诈骗 站攻击97万次，位列第一位，其次是北京市受诈骗 站攻击92万次，第三名是浙江省受诈骗 站攻击75万次。

告期内，恶意推广类诈骗 站占51%，位列第一位，其次是赌博类诈骗 站占22%，情色类诈骗 站占12%，分别为二、三位。

4. 2017年中国主要省市访问诈骗 站类型

告期内，北京、河北、湖南等地区访问的诈骗 站类型以情色论坛为主，广东、黑龙江等地区则以在线赌博为主，辽宁、上海、浙江等地区则以恶意推广为主，其余地区访问恶意软件诈骗 站居多。

5. 诈骗 站趋势分析

2017年情色、赌博类诈骗 站占比较多，这些 站大多通过非法手段进行传播，赌博类诈骗 站利用高利润的方式吸引用户，前期平台方会在后台操作让用户少输多赢，当用户产生一定的兴趣后，再进行后台操作赢取用户钱财。诈骗 站的传播途径：

利用微信朋友圈以软文方式进行诱导传播。

利用QQ群发方式进行范围传播。

利用短信群发平台以中奖方式进行传播。

利用游戏辅助软件进行传播。

利用大型互联 平台发布信息进行传播。

6. 2017年中国挂马 站概述

2017年瑞星“云安全”系统共拦截挂马 站攻击540万余次，北京市受挂马攻击356万次，位列第一位，其次是陕西省受挂马攻击153万次。

7. 挂马 站趋势分析

2017年挂马攻击相对减少，攻击者一般自建一些导航类或色情类 站，吸引用户主动访问。有些 站会锁定用户浏览器主页，当用户访问会自动跳转到指定的恶意 站，大部分恶意 站会挂载木马程序诱导用户下载，进而窃取用户的账户信息，非法分子利用窃取的信息进行诈骗或资金盗刷。挂马防护手段主要为：

 更新到最新的浏览器版本。

 禁止浏览陌生邮件或手机短信发送的链接 址。

 禁止浏览不正规或非法 站。

 禁止在非正规 站下载软件程序。

 安装杀毒防护软件。

二、移动互联 安全

（一）手机安全

1.2017年手机病毒概述

2017年瑞星“云安全”系统共截获手机病毒样本505万个，新增病毒类型以流氓行为、信息窃取、系统破坏、资费消耗四类为主，其中流氓行为类病毒占比23.3%，位居第一。其次是隐私窃取类病毒占比22.3%，第三名是系统破坏类病毒，占比19%。

2.2017年手机病毒Top5

3. 2017年Android手机漏洞Top5

（二）2017年移动安全事件

1.共享单车扫码诈骗事件 

2017年2月，有人发现共享单车的“扫码骑走”上方还贴着其他二维码，贴上去的二维码扫描之后立刻出现了转账提示！用户手机扫描此类二维码后，或被要求直接转账，或被要求下载可疑软件，致使资金账户面临被盗刷的风险。

2.315曝光人脸识别技术成手机潜在威胁

2017年315晚会上，技术人员演示了人脸识别技术的安全漏洞利用，不管是通过3D建模将照片转化成立体的人脸模型，还是将普通静态自拍照片变为动态模式，都可以骗过手机上的人脸识别系统。此外，315还揭露了公共充电桩同样是手机的潜在威胁，用户使用公共充电桩的时候，只要点击“同意”按钮，犯罪分子就可以控制手机，窥探手机上的密码、账 ，并通过被控制的手机进行消费。

3.勒索病毒伪装成《王者荣耀辅助工具》袭击移动设备 

2017年6月，一款冒充“王者荣耀辅助工具”的勒索病毒，通过PC端和手机端的 交平台、游戏群等渠道大肆扩散，威胁几乎所有Android平台，设备一旦感染后，病毒将会把手机里面的照片、下载、云盘等目录下的个人文件进行加密，如不支付勒索费用，文件将会被破坏，还会使系统运行异常。

4.亚马逊、小红书用户信息泄露助长电话诈骗

2017年6月，亚马逊和小红书 站用户遭遇信息泄露危机，大量个人信息外泄导致电话诈骗猛增。据了解，亚马逊多位用户遭遇冒充“亚马逊客服”的退款诈骗电话，其中一位用户被骗金额高达43万，小红书50多位用户也因此造成80多万的损失。

5.病毒伪装“Google Play”盗取用户隐私

2017年6月，一款伪装成“Google Play”的病毒潜伏在安卓应用市场中，该病毒会伪装成正常的Android market app，潜伏在安卓手机ROM中或应用市场中诱导用户下载安装。该病毒安装后无启动图标，运行后，会向系统申请大量高危权限(发短信和静默安装等)，随后伪装成GooglePlay应用并安装和隐藏在Android系统目录下。因为在“/system/app/”路径下的app默认都是拥有system权限的，所以该病毒样本可以在用户不知情的情况下，在后台静默下载并安装应用到手机当中，还会获取用户手机中的隐私信息，给用户造成系统不稳定或隐私泄露等安全性问题。

6.手机共享充电可能会泄露个人隐私

在公共场合使用免费充电桩充电时，许多人都不太注意手机上“是否开启USB调试”或“是否信任该设备”的提示信息，如果用户点击“是”或“信任”按钮，就相当于让充电设备掌握了手机的绝对控制权，黑客就可以随意窃取手机里的信息。

7.安卓爆重大安全漏洞黑客可以任意篡改App

2017年12月，谷歌通过其官方 站通告了一个高危漏洞CVE-2017-13156（发现厂商将其命名为Janus），该漏洞可以让攻击者无视安卓签名机制，通过绕过应用程序签名验证的形式，对未正确签名的官方应用植入任意恶意代码，目前安卓5.0—8.0等版本系统均受影响，预计每日上千万的活跃安卓应用将存在被利用可能，巨大的潜在威胁风险使得Janus漏洞成为了安卓系统年度大漏洞！

友安装这些仿冒App后，不仅会泄露个人账 、密码、照片、文件等隐私信息，手机更可能被植入木马病毒，进而导致手机被ROOT，甚至被远程操控。

三、互联 安全

（一）2017年全球 络安全事件解读

1.The Shadow Brokers泄露方程式大量0day漏洞

2017年4月，The Shadow Brokers再度放出大量“方程式组织”使用的黑客工具，包括OddJob、EasyBee、EternalRomance、FuzzBunch、EducatedScholar、EskimoRoll、EclipsedWing、EsteemAudit、EnglishMansDentist、MofConfig、ErraticGopher、EmphasisMine、EmeraldThread、EternalSynergy、EwokFrenzy、ZippyBeer、ExplodingCan、DoublePulsar等。其中有多个可以远程攻击Windows的0day漏洞。受影响的Windows 版本包括Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8、Windows 2008、Windows 2008 R2、Windows Server 2012 SP0等。这次泄露的工具也直接导致了后来WannaCry、Petya的全球爆发。

2.WannaCry勒索袭击全球

2017年5月，一款名为WannaCry的勒索病毒席卷全球，包括中国、美国、俄罗斯及欧洲在内的100多个国家，我国部分高校内 、大型企业内 和政府机构专 遭受攻击较为严重。勒索软件利用的是微软SMB远程代码执行漏洞CVE-2017-0144，微软已在今年3月份发布了该漏洞补丁。2017年4月黑客组织影子经纪人（The Shadow Brokers）公布的方程式组织（Equation Group）使用的“EternalBlue”中包含了该漏洞利用程序，而该勒索软件的攻击者在借鉴了“EternalBlue”后发起了这次全球性大规模勒索攻击。

3.Petya病毒借勒索之名袭击多国

2017年6月，一个名为“Petya（中文音译彼佳）”的新勒索病毒再度肆虐全球，包括乌克兰首都国际机场、乌克兰国家储蓄银行、邮局、地铁、船舶公司、俄罗斯的石油和天然气巨头 Rosneft、 丹麦的航运巨头马士基公司、美国制药公司默克公司、美国律师事务所DLAPiper、乌克兰一些商业银行以及部分私人公司、零售企业和政府系统，甚至是核能工厂都遭到了攻击。影响的国家有英国、乌克兰、俄罗斯、印度、荷兰、西班牙、丹麦等。与WannaCry相比，该病毒会加密NTFS分区，覆盖MBR，阻止机器正常启动，影响更加严重。

4.Xshell和CClearner被植入后门

2017年7月，著名服务器终端管理软件Xshell在发布的5.0 Build 1322官方版本中被植入后门，用户下载或更新到该版本均会中招。由于相关软件在国内程序开发和运维人员中被广泛使用，可能会导致大量用户服务器账 密码泄露。