《2021年度公有云安全报告》发布：深度剖析网络安全事件九大特点

2021年，是全球网络安全行业跌宕起伏的一年。这一年，勒索软件危害全球，众多知名跨国企业遭遇勒索软件攻击，造成严重经济损失，部分攻击事件影响到国计民生。由此吸引多国政界对勒索软件攻击事件高度重视，推动针对勒索软件的全球治理进程。

“没有网络安全就没有国家安全”。 2021年，一批保障网络安全、数据安全的法律法规先后开始实施。同时，为实现“双碳”承诺目标，政府强化了对挖矿木马产业的全链条治理，虚拟货币相关业务活动均被列入“非法金融活动"。比特币矿场、虚拟货币交易所等被逐出中国。国家层面的治理行动对勒索软件、挖矿木马黑灰产业起到“稳准狠”的效果。

勒索软件、挖矿木马、高级持续性威胁仍是主要网络攻击非法牟利的手段，成为近年来影响范围最广的主要网络安全威胁。腾讯安全威胁情报中心对2021年截获的各类网络安全事件进行统计分析，整理出《2021年公有云安全报告》（以下简称《报告》），总结当前网络安全事件的特点，用以指引安全运维人员采取相应的技术措施更好地防范网络安全威胁。

（报告海报)

一、恶意软件逐年增加且增加迅猛，日均截获量近14万个

报告显示了2021年腾讯安全恶意软件的截获情况：

1、全年截获恶意软件样本总量超过5100万个，相比去年的4642万个增长接近10%；

2、平均每天截获新增恶意样本近14万个，超过去年日均12.7万个；

3、从恶意样本类型构成占比数据看，DDoS木马、蠕虫病毒、后门木马、挖矿木马、Spyware（不请自来的捆绑安装、具备恶意弹窗等行为的软件）占比较去年有所上升；

二、勒索软件成企业最大安全难题，具有明显APT化特征

勒索软件2021年全年拦截量波动幅度较大，10月达到全年峰值。腾讯安全专家在分析勒索软件技术特点后，发现其具有明显APT化特征，同时攻击者最初入侵手段表现为“漏洞攻击+爆破弱口令攻击”，攻击形式十分暴力。

此外，勒索软件的勒索目标往往是高价值政企机构，专业攻击者的勒索金额甚至动辄千万元起步，且普遍采用RaaS（勒索即服务）的运营模式。值得注意的是，勒索软件团伙滥用窃取的机密数据的行为致使企业面临数据泄露、经济损失及商誉受损三大困境。

三、挖矿木马逐渐成为企业潜在安全风险，拦截量呈波动上升趋势

四、漏洞武器是黑客最爱，漏洞利用成黑客攻击云主机主要通道

据腾讯安全产品拦截到的漏洞攻击性质统计，2021年黑客最常利用的漏洞武器为各种远程代码执行（RCE），其次是扫描探测（指敏感信息探测、WebShell上传探测等），各类命令注入攻击则位居第三。

漏洞利用是黑客云主机攻击的主要通道之一，腾讯安全根据最活跃恶意软件家族使用的漏洞武器，整理出了2021年度黑客最爱的漏洞武器TOP10：

五、弱密码爆破依然是黑客云主机攻击的主要通道

同时，腾讯安全专家对黑客爆破的用户名进行分析后发现，administrator、root、admin、test、user等系统默认用户名是最常被爆破的用户名，专家建议安全运维人员可通过腾讯云防火墙配置使用微信扫描二维码取代用户名密码登录服务器。

六、云上资产基线管理现状不乐观

安全基线检测数据显示，云上资产基线管理现状不容乐观，每月发现的安全基线问题在百万量级，存在隐患的基线问题占比超过80%，主要安全基线风险涵盖未限制匿名FTP、未限制root登陆FTP、MongoDB未禁用systemLog.quiet配置、MongoDB未配置新日志追加策略、MongoDB未禁用本地主机身份验证绕过等。

腾讯安全专家表示，政企机构通过腾讯主机安全（云镜）专业版的基线管理方案指引，可检查存在风险的配置项，对所发现的基线风险逐一进行修改调整，使之满足等保合规等技术要求，进而大幅提升黑客攻击的门槛，避免系统配置不当造成的黑客入侵隐患。

七、2021年度最活跃的勒索软件家族TOP10

在深度剖析公有云用户面临的主要风险后，腾讯安全团队整理出了2021年度最活跃的勒索软件家族TOP 10，并简要分析了其战术特点：

八、2021年度最活跃的挖矿木马家族TOP10

与此同时，《报告》整理出了2021年度最活跃的挖矿木马家族TOP 10：

九、2021重大网络安全事件TOP10

《报告》回顾了2021年重大网络安全事件，同时详细梳理了TOP10事件的来龙去脉。腾讯安全云鼎实验室协助完成了Saltstack多个高危漏洞的修复，同时，腾讯云原生安全漏洞检测响应平台通过主机安全（云镜）、腾讯安全Cyber-Holmes引擎、腾讯安全WeDetect分析引擎有效检测到Confluence远程代码执行漏洞、YAPI远程代码执行0day漏洞的在野利用。

2021年重大网络安全事件TOP 10具体如下：

报告对新的一年新安全风险做了初步评估，判断勒索软件风险将会持续。尽管已有多国政府开始联手打击勒索软件，采取了一系列的管制措施，例如共享勒索软件威胁情报、国际通缉、制裁加密货币交易所等，但目前观察到的结果是：一个勒索软件家族被执法机构打击倒下——停止运营、开放源码，一群勒索软件会重新站起来——开放的勒索软件源码被更多团伙重新改版传播。

随着国家重拳出击，挖矿木马的危害可能得到一定遏制。一系列关于网络安全的法律制度出台，会推动政企机构不断完善网络安全体系。在经历2021年底全球互联网Log4j高危漏洞（Log4Shell）事件之后，全行业对有关开源软件供应链风险更加重视。政企机构安全运维团队宜尽早开展对业务系统使用开源组件的基本情况进行调研，对可能存在的风险进行预判，政企机构和安全厂商联手联合制定开源组件安全漏洞事件响应预案（漏洞临时缓解方案和完整处置方案），以预防突发安全事件。

由于多方面的原因，高级持续性威胁（APT）已日趋多见，事关国计民生的各个领域已进入攻击者视野。APT组织所采用的攻击技战术武器引领着网络攻击手法的新方向，许多攻击武器已被黑灰产业大量模仿，比如Cobalt Strike的破解、改版版本已被黑灰产业大量使用。

伴随着网络黑灰产业对Cobalt Strike后门、域名伪造、域前置、云函数/服务等新攻击手法的应用，增加了流量检测溯源的难度，攻防双方的技术对抗强度将会持续增强。新威胁对以往的安全解决方案构成挑战，XDR（扩展威胁检测与响应）一体化安全解决方案正逐步成为行业共识，未来将逐步得到普及应用。 

智能路由器、网络摄像头、小型NAS云存储等IoT设备被僵尸网络大规模利用漏洞入侵的事件多次出现。2021年因美国燃油管道供应商的业务系统被勒索软件攻击，直接引发有关工业互联网系统安全的讨论，亦对我国迈向工业4.0构成挑战，提醒工业领域、安全厂商需投入更多精力应对工业互联网安全威胁。

扫描以下二维码关注“腾讯安全威胁情报中心”公众号，掌握最新的网络安全威胁情报。