警惕这些企业常见网络安全威胁，每一个都真实发生过

网络攻击其实离我们并不远，在我们看不到的地方，它每时每刻都在上演。一不小心，我们很可能就陷入危险的境地。

2018年，广州市某停车场管理员报案，称其收费室电脑在夜间会“自动操作”，在无人使用的情况下“自己删除”相关停车收费数据。经取证分析，警方发现该信息系统被恶意装入“远程控制软件”，使得犯罪分子可远程控制收费室电脑，对停车收费资金数据进行删改等操作。

经调查发现，此案为该停车场物业管理公司财务经理、收费室管理员及收费系统运维公司经理互相勾结共同作案。犯罪人员利用职务之便，在停车场智能收费电脑以及个人手机安装了“远程控制软件”，盗取物业公司资产。据统计，该犯罪团伙共计侵吞停车费约30万元。

案例中，企业内部网络安全管理制度落实不到位的情况可能只是个例，但通过远程控制木马病毒等不同网络攻击手段窃取企业财产、数据等的事件却越来越普遍。为了应对更加猖獗的网络攻击，需要企业落实网络安全管理制度，也需要每一个职场人强化安全意识。

根据微步在线检测到的数据，这里我们将企业职场中经常会遇到的网络威胁梳理出来，并为企业职场人员提供相关的安全建议，助你在职场安全防护上更进一步。

勒索软件

案例回顾

2021年7月，美国软件开发商 Kaseya Ltd. 遭到勒索软件攻击，攻击主要集中在 Kaseya VSA 软件上。而攻击者正是 REvil 勒索软件团伙，勒索软件会锁住受害者的电脑，直到受害者支付数字赎金，通常以比特币形式支付。据了解，很多大型企业和技术服务供应商使用 Kaseya VSA 来管理软件更新，并向电脑网络上的系统发布软件更新。此次攻击事件可能已导致全球多达 4 万台电脑被感染。REvil 勒索软件团伙则索要7000万美元的赎金，以发布一个通用的的解码器。

攻击手段

勒索软件是一种恶意攻击，最常见的攻击媒介是网络钓鱼邮件和强制远程桌面协议（RDP），最终实现对企业的数据进行加密，并要求支付赎金才能恢复数据访问，或者窃取企业信息，要求支付额外费用，否则就将信息对外曝光，当前阶段主导了勒索软件市场的团伙为Conti和REvil，两个团伙均提供独立的勒索软件即服务(RaaS)平台。

个人防护建议

提高对钓鱼邮件的意识，不点击不明邮件及其包含的链接。如果遭到任何攻击行为，立即向企业IT人员报告，及时补救。另外对于系统官方升级需及时更新。

恶意软件

恶意软件是一个概括性的概念，指任何想要执行恶意未经授权的软件、固件或代码，这些程序将对系统的机密性、完整性或可用性会产生非常不利的影响。通常来说，恶意软件存在的形式，包括病毒、蠕虫、木马或其他基于代码感染主机的实体。间谍软件和某些形式的广告软件也属于恶意软件。

01

远程控制木马

案例回顾

近日，广州警方侦破一起利用木马程序远控摄像头的案件，犯罪分子自学破解技术，随机入侵密码设置简单的家用摄像头。据警方公布，该男子共入侵500多组监控摄像头，涉及婚纱店、商超换衣间及家庭卧室等私密场所，有的监控视频甚至还被售卖。这其中涉及到的攻击威胁即“远程控制木马”，旨在非法控制计算机信息系统、非法获取计算机信息系统数据。

攻击手段

远程控制木马是允许攻击者远程控制受感染系统的恶意软件。其可根据目的实现不同的功能，包括DDOS攻击，挖矿，控制文件管理，屏幕监控、命令执行、视频监控、语音聊天等，通过控制程序实现对目标的隐私或数据控制。常见的远控木马包括Byshell 木马、暗组远控木马、灰鸽子、黑洞、Zegost远控等。

个人防护建议

远控木马攻击范围广，任何一家企业都可能成为被攻击的对象。企业员工需采用高强度密码，避免使用弱密码，比如12345这样简单、有规律的密码，并且要定期更换密码。同时，建议及时更新病毒版本，打开系统自动更新并及时安装，不点击来源不明的邮件中包含的链接，并且到正规的网站或应用商店下载程序。

02

恶意病毒

案例回顾

2020年1月，国家计算机病毒应急处理中心发布公告显示，发现暴风激活工具15.0携带恶性病毒劫持用户浏览器主页，能够使谷歌、火狐、IE、百度、搜狗、UC、QQ等所有主流浏览器被病毒篡改并锁定，病毒作者从而实现通过导航网站流量分成。由于该木马运行之后会将病毒文件释放到Mlxg_km目录下面，于是根据首字母将其命名为“麻辣香锅病毒”。

攻击手段

各类激活工具与破解软件是该类病毒传播的重要途径，如暴风激活、小马激活、KMS激活等工具，而这些激活软件在下载之前，都会诱导用户将装在电脑里的杀毒软件关掉，以此躲避杀毒软件的查杀。

个人防护建议

慎用各种非官方激活工具，强烈建议选择官方途径进行激活，同时到正规网站或者应用商店下载程序，使用正版软件。为了保证电脑安全，请记得及时更新电脑补丁，修复漏洞，同时不要关闭杀毒软件。

03

挖矿木马

案例回顾

2018 年 9 月，微步在线监测发现国内知名下载平台“华军软件园”中提供的 NTFS For Mac 安装文件包含恶意代码，下载安装该程序后会引入针对 macOS 系统的挖矿木马，从而劫持电脑，让中毒电脑沦为“矿工”，该挖矿木马团伙为OSX伪装者，专门篡改主流MAC应用的dmg软件安装包并植入挖矿木马。

攻击手段

挖矿，简单来说就是通过大量计算机的运算，从而去获得各种数字加密货币，而加密货币又能兑换或交易成钱。随着数字货币价格上涨，挖矿木马攻击增多，入侵方式主要是利用漏洞、弱口令或者控制大量机器的僵尸网络进行。

在相关软件安装的同时，攻击者会将挖矿木马植入受害者主机，该木马通过连接攻击者自建的私有矿池实施挖取门罗币等的恶意活动。其中，OSX伪装者挖矿团伙是一个利用macos破解版软件来传播挖矿木马的一个团伙，常使用officeformac，lolformac，ntfsformac等破解版软件或者伪装的游戏软件进行传播，所以命名为OSX伪装者挖矿团伙。

个人防护建议

针对OSX伪装者挖矿团伙的攻击，建议检查是否使用ntfs4mac、office4mac、lol4mac 这三款软件，目前掌握情报发现这三款软件正在传播 macOS系统的挖矿木马，并通过各类渠道进行推广。另外，建议 Mac 用户在下载应用程序时务必通过官网渠道，切勿轻信所谓的“破解版”、“免费版”，防止被黑客利用。

04

蠕虫病毒

案例回顾

2018年，多家三家医院网站页面被植入感染型蠕虫病毒Ramnit，使得系统出现运行缓慢甚至崩溃的现象。已感染病毒的网页文件上传到网站，访问者均会被感染，并出现蠕虫式扩散。该医院网页被感染后，持续数日运行缓慢甚至崩溃，对办公及相关医疗服务造成严重影响。

攻击手段

Ramnit是一种影响Windows用户的计算机蠕虫，它通过可移动驱动器、公共FTP服务器上的受感染文件及合法网站或社交媒体上的恶意广告提供的攻击工具包进行传播，并与可能有害的应用程序捆绑在一起。蠕虫可以通过下载可执行的各种模块从受感染的计算机中窃取信息，还能充当后门，从而允许远程攻击者访问受感染的计算机。

个人防护建议

养成良好的上网习惯，不要轻易点击来路不明的网站链接，不慎感染Ramnit蠕虫病毒的用户，赛门铁克针对 Ramnit 病毒制作了专杀工具，被感染后可选择使用专杀工具：

https://www.broadcom.com/support/security-center/detected-writeup?docid=2015-022415-4725-99。

网络钓鱼

钓鱼网站/钓鱼邮件

案例回顾

2019年7月初，韶关市翁源县公安局接到当地多个单位报警称，其单位均收到兄弟单位的不明邮件，工作人员未详细辨识，点击该邮件里附带的链接内容后，该单位的用户账号和密码被盗。据了解，在点击该链接内容后，该单位保存的邮箱通讯录好友也均收到相同的“木马链接”。经调查，犯罪嫌疑人为30岁男子黄某，为钱财编写仿造网易邮箱登录界面，窃取他人邮箱账号、密码的钓鱼网站。该钓鱼网站通过大量发送冒充兄弟单位签名含有木马链接的邮件，引诱收信人点击打开邮件。收件人一旦打开邮件，邮件内的木马程序就会盗取收件人的邮箱账户及密码，并回传到嫌疑人的电脑上，同时木马邮件又会利用邮箱通讯录向其他邮箱继续传播。

攻击手段

钓鱼网站是指欺骗用户的虚假网站。“钓鱼网站”的页面与真实网站界面基本一致，欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站是互联网中最常碰到的一种诈骗方式，通常伪装成银行及电子商务，从而窃取用户提交的银行账号、密码等私密信息的网站。

而钓鱼邮件则是利用伪装成受害者“熟悉”的人或者品牌方的电子邮件，欺骗收件人将账号、密码等信息回复给指定接收者，或引导收件人点击特制的钓鱼网站，输入信用卡或银行卡等账号密码，导致信息被盗。

个人防护建议

识别钓鱼网站，可通过多种方式。

首先，可通过微步情报验证恶意网站，登录https://x.threatbook.cn/输入网址查询，鉴别网站是否恶意。

其次，查验“可信网站”标识，即点击网站页面底部的“可信网站”标识确认网站的真实身份。

再次，查看安全证书，大型电子商务网站均应用了可信证书类产品，这类网站网址为“https”开头，如果发现不是“https”开头，应谨慎对待。

另外，可以通过查询ICP备案查询网站的基本情况、网站拥有者等情况、以及通过比较域名及比较网站内容是否一致的方式，比较真伪。

此外，收到邮件后注意发件人邮箱地址、姓名等是否与真实完全一致，注意邮件内容，如出现索要登录密码、点击链接地址、有邮件附件等情况，需要特别注意，不要随意点击，更不要随便下载。

凭证盗取

VPN凭证泄露

案例回顾

2021年9月，有攻击者在黑客论坛免费公布了一份近50万条Fortinet VPN设备登录凭证清单，据安全研究人员分析，其中包含12856台设备上的498908名用户的VPN登录凭证。这些Fortinet VPN设备的IP分布在全球各地，其中位于中国（大陆+台湾）的设备占比11.89%。

攻击手段

虚拟专用网络(Virtual Private Network，即VPN)，主要通过对数据包的加密和数据包目标地址的转换实现远程访问。在企业网络中有广泛应用，如让外地员工访问到企业的内网资源，利用VPN即可进行加密访问。攻击者如果获取到员工的VPN登录账号密码，即可进入企业内网，窃取企业敏感信息与数据。

个人防护建议

不点击不明链接，不可将自己的VPN账号密码告知企业外部人员，并且强烈建议设置复杂不规律高强度密码，且定期进行更改，提升安全性。

作为普通的职场人，我们通常不会意识到网络安全威胁，因为我们当下所处的环境，是被现有安全设备保护的环境。真实的情况是，企业每天都在感受来自网络防护城墙之外，恶意攻击者持续不断的攻击。

对于企业而言，需要增强的不仅仅是安全检测与防护技术，还有企业员工的安全意识。在面对网络攻击时，人依旧是最薄弱的环节。报告显示，企业60%的数据泄露来自内部威胁，也就是员工的无意识与操作疏忽，最常见的就是网络钓鱼链接点击。一旦员工有了更强烈的安全意识，网络安全这场持久战就打开了新的局面。