2019年度企业安全报告

目录

一、企业终端安全
（一）终端安全性分析
    1.企业终端病毒感染概况
    2.不同行业感染病毒类型分布情况
    3.不同病毒类型感染行业分布情况
（二）终端脆弱性分析
    1.企业终端漏洞修复情况
    2.常见服务器漏洞攻击类型
    3.2019热门高危漏洞
    4.企业网络端口开放情况
    5.高危端口开放情况
二、企业终端失陷危害分析
（一）失陷攻击简述
（二）失陷攻击的横向扩散与常驻
    1.内网传播
    2.持久化驻留方式
（三）企业终端失陷的后果
    1.敲诈勒索
    2.挖矿木马
    3.信息窃密
    4.刷量推广
    5.肉鸡后门
三、邮件安全
（一）邮件安全趋势
    1.垃圾邮件
    2.恶意邮件
（二）邮件安全案例
四、趋势预测
    1.高危漏洞频繁爆出，武器化对企业影响深远
    2.勒索病毒、挖矿木马持续传播
    3.高级可持续威胁攻击（APT）技术升级
    4.数据泄露问题愈发严重
    5.云计算的发展或将导致云安全事件的爆发
五、安全建议

一、企业终端安全

2019年针对企业终端的攻击依然未有放缓。攻击者通过漏洞利用、爆破攻击、社工钓鱼等方式攻陷企业服务器，通过内网横向渗透进一步攻陷更多办公机器；企业员工日常操作的不良上网习惯也给企业安全带来巨大威胁，比如使用盗版系统、破解补丁、游戏外挂等；针对Linux平台的攻击活动也逐渐增加。

本章节主要从企业终端的脆弱性、安全性做些归纳性的总结，希望对各企业服务器安全防范有所帮助。脆弱性主要分析终端设备容易被攻击入侵的原因，包括高危漏洞没有及时修复，开放的高危端口及企业员工安全意识等。安全性主要分析终端设备所面临的安全威胁，包括企业终端感染的主要病毒类型、企业染毒比例，及不同行业的感染病毒分布情况分析。

(一)终端安全性分析

1.企业终端病毒感染概况

根据腾讯安全威胁情报中心数据显示，平均每周拦截到病毒木马的终端中约12%的机器为企业终端。

拦截到病毒的所有终端中企业终端占比

在企业终端有40%的机器平均每周拦截至少一次病毒木马攻击。

企业终端拦截过病毒木马攻击的机器占比

在企业终端中，风险类软件感染占比最多（占比44%），其次为后门远控类木马（占比21%）。

企业终端染毒类型分布

2019年企业终端风险中，风险木马软件在病毒攻击事件中占比最高，达到44%。相对上半年占比提高了4%。风险木马软件染毒占比较高主要是因为其传播渠道有着广大的受众，其中最典型的就是各种软件下载器。由于杀毒软件对无提示强制捆绑推装等不合规的行为进行拦截，风险流氓软件的规避方法也无所不用其极，如下图场景中右侧第五个星标中隐藏了难以发现的勾选项，对其局部放大，发现有个可选择的√勾。

风险软件下载站实例

除了下载器捆绑传播,风险木马软件还通过搜索引擎竞价排名获得优先展示以最大化获取受众，此外游戏外挂、第三方工具、ghost系统等都有着广大的使用群体，导致风险木马软件感染量极大。

挖矿木马仍是企业服务器被攻陷后植入的主要木马类型。其入侵途径主要是爆破、漏洞攻击入侵。此外Linux平台上的挖矿木马也逐渐流行起来，如2019年9月大型挖矿僵尸网络WannaMine发起针对Linux系统的攻击，攻击者利用SSH弱口令爆破成功后会植入挖矿木，并通过SSH在内网横向传播。

勒索病毒整体攻击次数较上半年有下降趋势。虽然勒索病毒在染毒事件中的占比不高，但加密数据、锁定系统、针对企业数据价值勒索更加昂贵的赎金等行为令企业损失严重、破坏性极大，仍是当前企业需要重点防范的病毒类型。

2.不同行业感染病毒类型分布情况

风险木马类软件在各行业的染毒事件中占比最高(40%以上)，科技行业相对其他行业感染风险木马软件的比例更小，由于风险木马软件其感染主要是不良的上网习惯及缺乏安全意识引起的(如使用盗版软件或外挂工具等)，可能科技行业从业人员上网安全意识相对更高。

感染型木马在教育行业感染比例相对较高，可能和该行业频繁的文件交互传输有关。

不同行业感染病毒的类型分布

后门远控类木马是除了风险软件之外感染量最大的染毒类型，占比在20%左右。后门远控类木马有着极高的隐蔽性，接受远程指令执行信息窃取,截屏，文件上传等操作，对金融科技等信息敏感行业可造成极大危害。

2019年12月腾讯安全御见威胁情报中心检测到TrickBot银行木马活跃，黑客在钓鱼文档中嵌入恶意VBA代码，传播银行木马TrickBot。监测数据显示，该木马已影响我国部分企业，中毒电脑系统信息及访问国外银行的登录信息会被窃取。TrickBot在2016年左右被发现，会在受害者通过浏览器访问在线银行时窃取网银信息，攻击目标包括澳大利亚、新西兰、德国、英国、加拿大、美国、以色列和爱尔兰等国银行系统，有国外研究者认为该组织已收集了2.5亿个电子邮箱。

3. 不同病毒类型感染行业分布情况

教育行业染毒比例最高，感染型病毒感染机器中教育行业机器占比高达57%。其次为政府及科技行业，其中勒索病毒感染机器中政府机器占比23%。

不同病毒类型在行业中的分布

感染病毒的终端中教育行业机器占比最大，其中感染型病毒教育行业机器占比57%占比最高，挖矿木马教育行业染毒机器占比47.9%相对较低。为了提高感染成功率病毒木马往往使用具有诱惑性的字眼以欺骗受害者，如2019年12月御见威胁情报中心就捕获通过社会工程骗术传播的“老虎”挖矿木马（LaofuMiner）。攻击者将远控木马程序伪装成“火爆新闻”、“色情内容”、“隐私资料”、“诈骗技巧”等文件名，通过社交网络发送到目标电脑，受害者双击查看文件立刻被安装“大灰狼”远控木马。然后攻击者通过远控木马控制中毒电脑下载挖矿木马，中毒电脑随即沦为矿工。

(二)  终端脆弱性分析

漏洞利用及端口爆破是攻陷终端设备的重要手段，尤其是针对企业服务器的攻击，通过漏洞利用或爆破攻击公网环境下的服务器，随后进行内网横向渗透，整个过程中漏洞利用及端口爆破都是最常用的手段，如果企业安全管理员能及时安装补丁及关闭不必要的开放端口。

补齐防护短板，就可以最小的成本避免可能的高代价的损失。下面就常见的漏洞、攻击方式、和端口开放情况对终端脆弱性做些归纳性的总结，希望对各企业服务器安全防范有所帮助。

1.  企业终端漏洞修复情况

系统高危漏洞往往会被黑客利用进行入侵，但部分企业安全风险意识较为薄弱，据腾讯安全威胁情报中心数据显示，截止2019年12月底，仍有79%的企业终端上存在至少一个高危漏洞未修复。

在主要的高危漏洞中,LNK漏洞(CVE-2017-8464)补丁安装比例最高，RTF漏洞(CVE-2017-0199)补丁安装比例最低，仍有74%的机器未安装该补丁。在高级APT攻击活动中，利用漏洞文档进行邮件钓鱼攻击是常见的手段，机器失陷后给企业造成极大损失，因此建议企业客户需重视及时安装相关高危漏洞补丁。

2. 常见服务器漏洞攻击类型

回顾2018年企业服务器的网络安全，“Facebook”、“万豪”等数据泄露严重，“韩国平昌冬奥被网络入侵”、“台积电感染勒索病毒”等网络攻击事件，影响巨大。网络入侵攻击在航空、医疗、保险、电信、酒店、零售等行业均受影响，黑客攻击者，利用恶意软件、漏洞等方式攻陷企业服务器。

2019年全球网络安全形势依然严峻，据RBS统计，在2019年前三季度，数据泄露事件发生5183起（较去年同期增长33.3%），数据泄露条数达79亿（较去年同期增长112%）。而2019年的网络攻击，如“丰田汽车IT系统受黑客入侵”、“美国路易斯安那州政府计算机受网络攻击破坏”等网络攻击获得依然活跃。

企业、政府开放的服务器，如果存在简单的漏洞或简单的控制可能导致灾难性的后果，许多通过黑客攻击和恶意软件进行的入侵是可以预防的。下面就常见的漏洞、和攻击方式做些归纳性的总结，希望对各企业服务器安全防范有所帮助。

我们对暴露在公网的服务器做抽样分析发现，常见的攻击类型中，远程代码执行（RCE）、SQL注入、XSS攻击攻击类型比例较高，同时黑客为了获取服务器/网站的基本信息，常见的探测性扫描（Probe Scan）量同样非常高。

远程代码执行（RCE）

对服务器来说，这是一种最严重的安全问题，因为攻击者可远程执行任意命令、代码，实现完全控制服务器主机。例如攻击可通过Web应用等漏洞,入侵或上传WebShell，使用反向shell获得对服务器的控制权。反向shell是攻击者通过受害者出站连接来获得对受害者控制的常用方法。这种方法经常被使用，因为它很容易绕过防火墙限制，与入站连接不同，通常防火墙允许出站连接。一旦攻击者通过RCE获得对主机的控制权便完全控制了整个服务器系统，甚至可通过横向移动，控制内网其它主机、服务器。

SQL注入（SQLi）

是最早的，最流行和最危险的Web应用程序漏洞，黑客攻击者可以利用Web应用程序对数据库服务器（如MySQL，Microsoft SQL Server和Oracle）进行不安全的SQL查询。它利用了Web应用程序中的漏洞，这通常这些漏洞是由于代码错误导致的。使用SQL注入，攻击者可以将SQL命令发送到数据库服务器，允许他们对数据进行未经授权的访问，在一些极端情况下甚至可控制整个运行数据库服务器的系统。

SQLi也恰好是最容易理解的Web应用程序漏洞之一，拥有数百种免费的现成工具，使攻击者可以更快，更轻松地利用SQL注入漏洞。通过SQL注入漏洞，攻击者可以绕过Web应用程序的身份验证和授权机制，检索整个数据库的内容，泄取机密信息。甚至添加，修改和删除该数据库中的记录，从而影响其数据完整性。由于SQL注入会影响使用SQL数据库的Web应用程序，因此几乎每种类型的Web应用程序都需要注意它。

XSS(跨站脚本攻击)

与大多数影响服务器端资源的漏洞不同，跨站点脚本（XSS）是web应用中出现的漏洞。 跨站点脚本通常可以被认为是主要通过使用JavaScript的应用代码注入。XSS有许多变形，攻击者的目标是让受害者无意中执行恶意注入的脚本，该脚本在受信任的Web应用程序中运行。利用XSS攻击可以，实现窃取用户有权访问的敏感数据，甚至修改Web应用程序的，诱导、骗取用户向攻击者提交敏感数据。

Webshell

webshell并不是漏洞，从攻击角度看，可以理解成是攻击工具或方法，通常会结合服务器的组件、应用的漏洞达到入侵目的。我们从字面上理解，Web指的是在web服务器，而Shell就是用脚本程序，Webshell可以理解成是Web的管理工具，利用WebShell工具可以获得Web服务器的控制权限。

Webshell的功能强大，可以上传下载文件，查看数据库，甚至可以调用一些服务器上系统的相关命令（比如创建用户，修改删除文件之类的）。当被黑客利用时，则成了入侵攻击的利器，黑客攻击者可通过Web页面的上传漏洞或上传权限控制的不当，直接上传编写好的Webshell文件到服务器上，在通过页面访问以上传的Webshell文件便可实现入侵操作。常见的Webshell有PHP脚本木马，ASP脚本木马，JSP脚本木马等。我们在网络安全监测中，也发现大量的尝试上传WebShell的网络攻击活动。

3.  2019热门高危漏洞

服务器组件、应用的漏洞如果未及时修补，很可能会被黑客攻击者利用入侵，造成不可挽回的损失，以下总结了部分2019年新公开的热门漏洞，企业用户可参考对照自身的服务器组件、应用是否存在相应的漏洞，尽早修复，避免被利用入侵，造成损失。同时腾讯御界高级威胁检测平台支持最新的漏洞攻击检测，企业用户可部署御界检测，结合腾讯天幕或其它防护设备实现阻断攻击。

1)  Jackson

Jackson 是用来序列化和反序列化 json 的 Java 的开源框架，Jackson 是当前最流行的 json 解析器之一。

CVE-2019-12384

6月21日，Redhat官方发布jackson-databind漏洞（CVE-2019-12384）安全通告，多个Redhat产品受此漏洞影响，CVSS评分为8.1，漏洞利用复杂度高。7月22日，安全研究员Andrea Brancaleoni对此漏洞进行分析，并公布了该漏洞的分析文章。

漏洞影响版本：Jackson-databind 2.X < 2.9.9.1

CVE-2019-14361、CVE-2019-14379

2019年7月，Jackson官方发布安全issue，披露Jackson存在最新的反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14379)，可对6月21日 披露的CVE-2019-12384漏洞绕过，成功利用可实现远程代码执行。

漏洞影响版本：Jackson-databind < 2.9.9.2；Jackson-databind < 2.10.0；Jackson-databind < 2.7.9.6；Jackson-databind < 2.8.11.4

2)  Fastjson

Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法，把JSON Parse的性能提升到极致，是目前Java语言中最快的JSON库。fastjson接口简单易用，已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。

CNVD-2019-22238

2019年7月，Fastjson<=1.2.47 被爆出存在高危远程代码执行漏洞，该漏洞是fastjson于2017年3月爆出的远程代码执行漏洞（CNVD-2017-02833）新的绕过利用方式，攻击者可以通过此漏洞绕过黑名单策略执行远程代码，从而入侵服务器。

漏洞影响版本：Fastjson<1.2.48

CNVD-2019-30716

2019年9月，Fastjson爆出存在远程拒绝服务漏洞，攻击者构造特定json字符串请求，可远程使服务器内存和CPU等资源耗尽，造成拒绝服务。

漏洞影响版本：Fastjson<1.2.60；Fastjson sec < sec06

CNVD-2019-32498

2019年9月，Fastjson<=1.2.60版本被曝存在新的远程代码执行漏洞，攻击者可利用漏洞构造特定的恶意请求到远程Fastjson服务器，获取主机远程控制权限。Fastjson随后官方发布了1.2.61新版本，增加了autoType安全黑名单,修复了1.2.60版本的RCE（远程代码执行）漏洞，但是新版本刚发布不到一周时间，又被爆出，成功绕过了黑名单防护，可利用fastjson反序列化特性造成RCE。

漏洞影响版本：Fastjson<1.2.62

3)  Windows RDS漏洞

CVE-2019-1181、CVE-2019-1182，2019年8月13，在微软的发布的月补丁更新中，包含类似之前“BlueKeep”的远程桌面服务（Remote Desktop Services ）高危漏洞，攻击者可以利用该漏洞在无需用户交互的情况下实现蠕虫攻击或攻击指定服务器。意味着，存在漏洞的计算机只要联网，勿须任何操作，就可能遭遇黑客远程攻击，运行恶意代码。

这类攻击可能导致蠕虫病毒爆发，就如前些年我们看到冲击波病毒、震荡波病毒，以及WannaCry勒索蠕虫病毒爆发类似。

漏洞影响版本：Windows 7、Windows8.1、Windows10、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server, version 1803、Windows Server, version 1903

4)  微软远程桌面服务漏洞(BlueKeep)

CVE-2019-0708, 2019年9月，在2019年的 5月14日微软官方发布安全补丁，修复了Windows远程桌面服务的远程代码执行漏洞（CVE-2019-0708），此漏洞是预身份验证，无需用户交互。其危害程度不亚于MS17-010漏洞，当未经身份验证的攻击者使用RDP（常见端口3389）连接到目标系统并发送特制请求时，可以在目标系统上执行任意命令，甚至传播恶意蠕虫，感染内网其他机器，类似于2017年爆发的WannaCry等恶意勒索软件病毒。

漏洞一经公布便受到各大安全厂商、安全研究人士和黑客的高度关注，不久便发现疑似有POC在暗网交易。经过几个月的发酵，9月7日 这个号称比肩MS17-010漏洞(CVE-2019-0708)的利用EXP被公开，Metasploit在推特上发布了漏洞利用视频和EXP。经过安全厂商和安全研究人士的验证，被公开的EXP真实有效。随着漏洞利用的相关技术的扩散，漏洞利用的成本进一步降低，给网络安全带来蠕虫级的安全威胁，目前对该漏洞攻击最有效的预防方式便是安装修复补丁。

漏洞影响版本：Windows XP，Windows7，Windows2003，Windows2008，Windows2008R2

5)  PhpStudy后门

phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer，一次性安装，无须配置即可使用，是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境，还包括了开发工具、开发手册等。

2019年9月，杭州公安曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。毫不夸张地说，该事件构成2019年影响国内的最大供应链攻击事件。

事件曝光后，腾讯安全御见威胁情报中心便发现，后门利用方式很快在网络上通过一些非公开的渠道传播。同时腾讯安全御见威胁情报中心监测到有团伙利用phpStudy RCE（远程代码执行）后门批量抓“肉鸡”，该团伙手握四大远控木马：Nitol、大灰狼、魑魅魍魉、Gh0st，入侵后完全控制采用phpStudy搭建的服务器，并下发DDoS攻击指令，对目标计算机进行网络攻击。

另外需要补充说明的是，此次事件PhpStudy官网积极配合杭州公安的调查取证，在2019年1月修复被篡改的地方，可到官网下载最新版替换。

影响版本：Phpstudy 2016；Phpstudy 2018 的php-5.2.17、php-5.4.45

6)  Internet Explorer远程代码执行漏洞

CVE-2019-1367，2019年09月23日，微软发布了针对IE浏览器组件jscript.dll的漏洞修复补丁，该漏洞由Google威胁分析小组的安全研究员发现，成功利用此漏洞会破坏内存，可以在当前用户的上下文中实现UAF，执行任意代码。

如果当前用户使用管理用户权限登录（大部分个人电脑会以管理员权限登录），则成功利用此漏洞的攻击者可以控制受影响的系统。然后，攻击者可以安装程序、查看、更改或删除数据，或创建具有完全用户权限的新帐户。

攻击者可以构造一个利用漏洞的网页，诱使用户查看该网站（例如，通过发送电子邮件）；或者攻击者还可以利用广泛存在的互联网软件内嵌广告页面进行挂马攻击，类似攻击曾经制造过严重的病毒感染事件。

据公开的信息，来自韩国的专业APT组织Darkhotel曾利用CVE-2019-1367漏洞进行野外攻击，目前微软官方更新通过修改脚本引擎处理内存中对象的方式发布紧急更新解决此漏洞。安全研究人员判断该漏洞的相关代码已通过网络扩散，被黑灰产业利用的可能性正在增加。而专业APT组织，更加擅长伪造欺诈邮件，通过邮件投放利用漏洞的攻击文档。

影响版本：IE 9、10、11版本，该漏洞在Windows专业版、Windows家庭版环境严重程度为“严重”，在Windows Server版操作系统严重程度为“中等”，因IE浏览器在Server操作系统运行在“受限模式”，减轻了漏洞风险

7)  Php-fpm

CVE-2019-11043，2019年10月，php-fpm的远程代码执行漏洞被公开，php5.4版本未受影响，php5.6以上版本会造成服务崩溃，php7.0以上版本可以执行远程命令执行,配合不恰当的Nginx配置即可触发，因为该配置已被广泛使用，所以危害较大。

影响版本：PHP 5.6-7.x，Nginx>=0.7.31

4.  企业网络端口开放情况

网络空间的基础设施包含网站的服务器以及运行在服务器上的各种应用、服务。网络空间的基础设施承载了包括网站、电子邮件、文件传输等各种网络通信功能。它们在互联网上的机器语言表现形式是以基于TCP和UDP的各种端口的网络通信。根据腾讯T-Sec网络资产风险监测系统（腾讯御知）空间测绘的数据显示，网络资产端口TOP端口开放情况如下：

5.  高危端口开放情况

我们将常见且黑客攻击频次较高的端口划为高危端口，并抽样对WEB服务器等互联网空间资产做了空间测绘，发现有大量的资产开放了高危端口，存在较高的安全隐患。除了22、1900等端口之外，还有较大比重的邮件服务、数据库服务等端口暴露在公网上。

22端口是Linux平台默认的SSH远程连接服务端口， 而3389 是Windows默认的远程桌面的服务（RDP, Remote Desktop Protocol）端口，通过SSH、RDP远程连接是非常方便的对服务器的操作方式，所以很多服务器管理员都会开启22、3389端口远程桌面服务。

因而很多黑客攻击者很喜欢对22、3389端口尝试入侵，例如通过爆破，如果服务器存在弱密码登录的，很容易就被爆破成功，进而服务器被黑客控制。特别是今年曝光的 BlueKeep(CVE-2019-0708),Windows RDS(CVE-2019-1181) ，均是Windows 远程桌面服务的漏洞并且危害巨大，而3389又是Windows远程桌面的默认端口，开放3389的Windows服务器更容易受到入侵攻击。建议服务器修改默认的远程连接端口，如无必要的可关闭。

7001端口是WebLogic的默认端口，2019年WebLogic被爆出了多个可被远程攻击的高危漏洞，并且已有黑客组织利用最的Weblogic漏洞入侵，投放勒索病毒。如果漏洞未能及时修复，则不排除被远程攻击、控制的可能。

1900 UDP端口 源于SSDP Discovery Service服务。通过使用SSDP协议对端口1900进行扫描可以发现UPnP（即插即用协议）设备，攻击者可以利用这些设备发动DDos攻击，制造出大量流量，可导致目标企业的网站和网络瘫痪。

根据测绘结果分析，2019年服务器445端口开放的比例相对上半年有所减低，仍有部分服务器资产开放了445端口。我们所熟悉的永恒之蓝勒索病毒就是利用445端口传播，如果这些服务器没有打上相应的补丁，那么仍然存在被勒索病毒攻击的风险，即便是打上了补丁，也仍然需要面对勒索病毒变种的攻击。

二、企业终端失陷危害分析

(一) 失陷攻击简述

迄今为止，绝大多数企业都还是以防火墙为基础划分出企业内网和公众网络的边界，并基于此构建安全体系。企业内网被认为是可信区间，为了便于开展日常工作，通常都不会对员工在内网中访问各种资源设置严格限制。

因此，当病毒突破外围防火墙进入内网环境之后，将会在内网肆意扩散。病毒为了让其自身恶意行为实现效益最大化，首先会通过开机启动实现常驻于用户系统，然后会尝试内网横向传播。接下来我们从“内网传播”与“持久化驻留方式”两个维度总结今年企业终端受攻击情况。

(二) 失陷攻击的横向扩散与常驻

1.  内网传播

1)  漏洞利用

从针对系统组件的漏洞攻击情况来看，今年事件频发的内网病毒传播事件仍然是利用内网SMB共享服务漏洞进行传播的“永恒之蓝漏洞”，而利用该漏洞进行广泛传播的最为臭名昭著的病毒仍然是“永恒之蓝下载器”挖矿病毒。该病毒从2018年12月14日开始至今已经更新迭代超过15个版本，持续更新内网横向传播攻击方法。从应急响应现场中我们发现绝大多数是由于没能补上“永恒之蓝漏洞”而导致被反复攻陷。

2)  弱口令爆破攻击

弱密码爆破攻击在入侵内网以及作为横向扩散的手段都具有奇效。我们对部分已检测的服务器做抽样分析发现，弱密码爆破攻击集中发生在工作时间之外（凌晨12点到6点之间），如下图所示。

黑客成功入侵局域网之后对内的爆破攻击，使用的协议与外网有较大不同，SMB攻击最为常见，其次是远程桌面连接爆破和SSH爆破。

3)  文件共享

从应急响应现场中我们发现，文件共享目录、可移动介质仍然是蠕虫病毒、感染型病毒、office文档病毒在内网传播的感染重灾区。这三类病毒一般都以窃取敏感信息为主要目的。

蠕虫具备自复制能力，可以将自身伪装为正常文件诱导用户，在不经意间便触发感染所有可访问的可移动介质与文件共享目录。感染型病毒虽然不具备自复制能力，但会感染所有可执行程序，但同样能通过文件共享进行传播。而office文档病毒一般会通过感染Normal模板或者加载项进而感染每一个office文档，如果该文档通过可移动介质与文件共享目录进行分享，则会导致横向传播。

2.  持久化驻留方式

1)  常驻于注册表相关启动位置或启动文件夹

常驻于这两个位置是最为简单方便的，但是也是最容易被拦截查杀的。因此病毒为了实现简单方便的常驻且能达到避免查杀的效果，通常会从免杀角度进一步对病毒进行优化，包括但不限于加壳混淆、增肥对抗等。

从今年拦截的写入/执行数据可知， 被写入文件夹启动项的恶意脚本类型文件的占比最高，其次是恶意可执行文件，这两种类型的文件格式大部分都进行了混淆增肥对抗。在恶意脚本类型文件中，最常用的脚本格式是VBS（VBE是加密后的VBS脚本，可直接双击运行，与VBS脚本共占比为64%），如下图所示。

2)  常驻于任务计划

通过将自身写入任务计划实现常驻，相对于注册表与启动文件夹要更为隐蔽和灵活。而相对于病毒本体的常驻，利用系统白文件实现远程下载的方式更为灵活隐蔽。白利用远程下载的技巧常被利用于任务计划中。从今年的任务计划查杀数据可知，“永恒之蓝下载器” 病毒家族，占比达90%，比上半年统计所得占比增长约11%，如下图所示。

被恶意利用的系统组件数量占比如下图所示，利用PowerShell组件实现远程下载占比达90%（在该占比中，通过使用cmd命令拼接“PowerShell”字符串以绕过特征匹配占比达75%），如下图所示：

由于Windows平台下的系统组件的容错性较高，比如Regsvr32、PowerShell等，一些病毒从容错性的角度对执行的Regsvr32、PowerShell命令进行免杀处理。随着相关系统组件的更新迭代，如果其容错性再提高，则可能会出现更多针对其容错性的复合利用。

3)  常驻于WMI类属性

这种启动方式要比上述的几个启动位置更加隐蔽，从我们监测到的数据里有约25%的WMI类属性被写入了恶意脚本、被编码过的可执行程序与shellcode，其中高占比的病毒家族仍然与上半年一致， MyKings和WannaMine。从目前收集的数据来看，WMI类属性的滥用主要被用于恶意推广，包括桌面恶意推广快捷方式（占36%），具体数据如下图所示。

企业终端设备失陷后常见的危害包括:信息窃密包括屏幕截图重要文件上传等，敲诈勒索，系统破坏如锁定机器或加密删除文件导致不可逆损坏，挖矿占用系统资源导致机器卡慢，植入后门远控接管机器，此外恶意推装刷量等行为虽然危害相对不那么大，但这些风险的存在对设备安全存在巨大的安全隐患，企业管理人员不可轻视。

(三)  企业终端失陷的后果

1.   敲诈勒索

勒索病毒通过恐吓、绑架用户文件或破坏用户计算机等方式，向用户勒索数字货币。通过加密用户系统内的重要资料文档，再结合虚拟货币实施完整的犯罪流程依然为当前犯罪人员使用的最主要勒索形式。2019全年中，勒索病毒攻击以1月份攻击次数最多，整体攻击次数较上半年有下降趋势。

勒索病毒的勒索破坏形式主要是数据加密，通过加密重要的文档，图片等多种类型数据以获取勒索的筹码。通过系统锁定进行勒索也逐渐流行，如重写MBR锁定计算机导致无法开机等，通过破坏锁定计算机给受害者造成心理压力以提高勒索的成功率，以系统锁定的勒索方式更多寄生在以易语言为代表编写的外挂，辅助工具中。

重大案例情报：

（1）2019年1月，腾讯安全御见威胁情报中心检测到charm勒索病毒在国内开始活跃，该勒索病毒攻击目标主要为企业Windows服务器

（2）2019年2月，腾讯安全御见威胁情报中心检测到新型勒索病毒Clop在国内开始传播，国内某企业被攻击后造成大面积感染，由于该病毒暂无有效的解密工具，致使受害企业大量数据被加密而损失严重

（3）2019年4月，腾讯安全御见威胁情报中心检测到，Stop勒索病毒变种（后缀.raldug）在国内有部分感染，并且有活跃趋势。该勒索病毒在国内主要通过软件捆绑、垃圾邮件等方式进行传播。

（4）2019年5月，美国海港城市、巴尔的摩市政府大约1万台电脑被勒索病毒入侵，导致所有政府雇员无法登陆电子邮件系统，房地产交易无法完成，市政府陷入瘫痪一个多月。

（5）2019年6月1日，最流行的勒索病毒之一GandCrab运营团队表示GandCrab勒索病毒将停止更新。

（6）2019年9月22日，国内某大型建筑设计有限公司遭到勒索病毒攻击，被勒索的每台电脑要给出1.5个比特币才能解锁，该公司的电脑全面崩溃，所有图纸都无法外发。

（7）2019年10月，全球最大的助听器制造商之一Demant遭受勒索病毒入侵，该公司是目前听力行业唯一产品线涵盖助听器、人工中耳、骨导助听器、电子耳蜗及调频语训系统的全面听力解决方案提供者，全球听力检测设备领域的领先者，攻击导致的造成的损失高达9500W美元。

（8）2019年12月，Maze（迷宫）勒索团伙向Southwire集团勒索600W美元，Southwire是北美领先的电线电缆制造商之一，勒索团伙声称：如果Southwire不交赎金，则会在网络上公布该公司的泄漏的120G重要数据。

2.  挖矿木马

2019年三月份挖矿木马感染处于峰值，随后逐步下降，感染量基本稳定持平。被植入挖矿木马的服务器其感染渠道主要是通过爆破进行入侵，最常见的有MSSQL，RDP爆破。此外永恒之蓝等高危系统漏洞也是被利用入侵的重要手段。感染了挖矿木马的机器会被消耗掉大量的系统资源，造成系统卡慢，此外还可能有信息窃取，植入后门等潜在风险。

2019年典型挖矿木马事件：

（1）2019年8月腾讯安全御见威胁情报中心监测到“Agwl”团伙在近期的入侵行动将Linux系统纳入攻击范围。“Agwl”团伙于2018年7月被御见威胁情报中心发现，其攻击特点为探测phpStudy搭建的网站，并针对其网站搭建时使用的默认的MySQL弱口令进行爆破登录，从而植入挖矿以及远控木马。

（2）2019年9月大型挖矿僵尸网络WannaMine发起针对Linux系统的攻击，攻击者利用SSH弱口令爆破成功后会植入shell后门以及rootkit后门程序，并通过SSH在内网横向传播，受害机器接收远程指令安装（包括但不限于）挖矿木马、DDoS攻击模块。

（3）2019年10月腾讯安全御见威胁情报中心检测到“快Go矿工”（KuaiGoMiner）挖矿木马攻击。该木马利用NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”攻击工具针对互联网上的机器进行扫描攻击，并在攻击成功后植入挖矿和远控木马，已控制数万台电脑。因其使用的C2域名中包含“kuai-Go”，御见威胁情报中心将其命名为“快Go矿工”（KuaiGoMiner）。 

（4）2019年10月腾讯安全御见威胁情报中心检测到Sality感染型病毒活跃，该病毒同时传播“剪切板大盗”木马盗取数字加密货币。Sality病毒利用自己建立的P2P网络，传播以盗取、劫持虚拟币交易为目的的剪切板大盗木马，将会对虚拟币交易安全构成严重威胁。

（5）2019年11月腾讯安全御见威胁情报中心检测到挖矿蠕虫病毒BuleHero于11月11日升级到4.0版。在此次更新中，BuleHero引入了多种新漏洞的使用，包括2019年9月20日杭州警方公布的“PHPStudy“后门事件中涉及的模块漏洞利用。

（6）2019年11月腾讯安全御见威胁情报中心检测到KingMiner变种攻击，KingMiner是一种针对Windows服务器MSSQL进行爆破攻击的门罗币挖矿木马。该木马最早于2018年6月中旬首次出现，并在随后迅速发布了两个改进版本。攻击者采用了多种逃避技术来绕过虚拟机环境和安全检测，导致一些反病毒引擎无法准确检测。

（7）2019年12月御见威胁情报中心发现了通过社会工程骗术传播的“老虎”挖矿木马（LaofuMiner）。攻击者将远控木马程序伪装成“火爆新闻”、“色情内容”、“隐私资料”、“诈骗技巧”等文件名，通过社交网络发送到目标电脑，受害者双击查看文件立刻被安装“大灰狼”远控木马。然后攻击者通过远控木马控制中毒电脑下载挖矿木马，中毒电脑随即沦为矿工。

3.  信息窃密

信息窃密类木马其主要目的是获取机器上的机密敏感信息，科研机构、高校、高科技企业及政府机关等最易受到这类木马攻击，窃取的信息包括失陷机器相关信息(MAC及IP地址，操作系统版本等)，个人或企业信息(如企业员工联系方式，企业邮箱等)，重要机密文件等等。2019年典型的信息窃密类安全事件如下：

（1）2019年9月腾讯安全御见威胁情报中心检测到“商贸信”钓鱼邮件攻击出现新一轮增长。在此次攻击中，黑客精心构造的带有office公式编辑器漏洞CVE-2017-11882或宏代码的恶意文档，将其作为附件批量发送至外贸行业企业邮箱中，在其打开文档中招后植入远控木马NanoCore进行机密信息窃取和远程控制，本次攻击高峰时期每天成功投递超3000个邮件地址。

（2）2019年10月腾讯安全御见威胁情报中心监测到多家企业收到钓鱼邮件攻击，宏病毒会下载Emotet银行木马执行进行信息窃密。数据显示Emotet木马针对国内的攻击呈明显上升趋势，从事进出口贸易的企业是Emotet银行木马的主要目标。

（3）2019年11月腾讯安全御见威胁情报中心检测到以窃取机密为目的的大量钓鱼邮件攻击，主要危害我国外贸行业、制造业及互联网行业。攻击者搜集大量待攻击目标企业邮箱，然后批量发送伪装成“采购订单”的钓鱼邮件。若企业用户误解压执行附件，会导致多个“窃密寄生虫”（Parasite Stealer）木马被下载安装，之后这些木马会盗取多个浏览器记录的登录信息、Outlook邮箱密码及其他机密信息上传到指定服务器。

（4）2019年12月腾讯安全御见威胁情报中心检测到TrickBot银行木马活跃，黑客在钓鱼文档中嵌入恶意VBA代码，传播银行木马TrickBot。监测数据显示，该木马已影响我国部分企业，中毒电脑系统信息及访问国外银行的登录信息会被窃取。TrickBot在2016年左右被发现，会在受害者通过浏览器访问在线银行时窃取网银信息，攻击目标包括澳大利亚、新西兰、德国、英国、加拿大、美国、以色列和爱尔兰等国银行系统，有国外研究者认为该组织已收集了2.5亿个电子邮箱。

4.  刷量推广

刷量推广类病毒木马主要是通过下载器、ghost系统、流氓软件推装，游戏外挂等传播。

此外还会通过搜索引擎竞价排名推广以获得更大的受众面，为了诱导用户下载往往会伪装成知名的第三方软件官网，如flashplayer,photoshop等。其获利渠道主要是主页锁定，软件推装，暗刷，广告弹窗等。

伪装成第三方软件诱导下载:

2019年典型的刷量推广类安全事件如下：

（1）2019年11月腾讯安全御见威胁情报中心监测发现有大量恶意篡改浏览器主页的恶意插件通过一个名为“简压”的软件疯狂传播，借助“简压”庞大的用户基数，很短时间内已感染国内超5万台电脑。为避免被安全软件监测系统发现，该违规插件会刻意避开北上广等11个城市不发作，本次恶意行为的目的是在双11电商节之前通过劫持用户浏览器牟利。

（2）2019年11月腾讯安全御见威胁情报中心监测发现一木马团伙通过20余款热门游戏外挂（包括谨哥辅助、极品辅助盒子等）传播木马，通过劫持浏览器主页、进行广告推广获利。

（3）2019年12月腾讯安全御见威胁情报中心检测到有黑产团伙通过SQL爆破投放紫狐木马，紫狐木马安装后通过流氓推装软件刷量获利。紫狐木马家族最先出现在2018年，通过下载器进行传播，一直活跃至今，之后还多次通过刷量软件进行传播。

5.  肉鸡后门

攻击者攻陷一台主机获得其控制权后，往往会在主机上植入后门，安装木马程序，以便下一次入侵时使用。后门木马会长期驻留在受害机器上，接受远控指令执行定期更新，远程下载执行，键盘监控，文件窃取上传等功能。此外，随着IoT物联网设备的增加，针对IoT设备的攻击也越来越频繁，攻击成功后植入后门，组建僵尸网络，挖矿，DDoS攻击等进行获利。2019年典型的肉鸡后门类安全攻击事件如下：

（1）2019年10月腾讯安全御见威胁情报中心检测到“月光（MoonLight）” 蠕虫病毒感染呈上升趋势，该病毒主要危害教育行业。病毒会记录键盘输入信息发送至远程服务器、对中毒电脑进行远程控制、组建僵尸网络，对指定目标进行DDoS攻击。

（2）2019年11月腾讯安全御见威胁情报中心发现一起针对SQL数据库的爆破攻击事件，攻击成功后会根据系统环境下发远控木马、植入Webshell、在目标服务器创建管理员用户。本次攻击的失陷服务器已达数百台之多。

（3）2019年12月腾讯安全御见威胁情报中心检测到利用钓鱼邮件传播NetWire RAT变种木马的攻击活跃。攻击者将“订单询价”为主题的邮件发送至受害者邮箱，中毒电脑即被远程控制。NetWire是一种活跃多年的，公开的远程访问木马（RAT），该木马至少从2012年开始就被犯罪分子和APT组织使用。

三、邮件安全

一封电子邮件从广义上来看，可以被分类为“正常邮件”与“非正常邮件”。我们在“邮件安全”这部分，将“非正常邮件”分为“垃圾邮件”与“恶意邮件”两大类，且由于“恶意邮件”对企业用户的危害程度更大，因此我们重点通过案例总结2019的恶意邮件的影响情况。

(一)  邮件安全趋势

1. 垃圾邮件

根据友商卡巴斯基公开报告数据，在2019年第二、三季度全球邮件通信中的垃圾邮件占比为56.26％，较第一、二季度的平均百分比下降1.38%。其中8月份的垃圾邮件占比最高，达到57.78％。

腾讯御界高级威胁检测系统检测到每天有大量垃圾邮件通过参杂成语释义、敏感词混淆等手段实现各类邮箱反过滤机制的对抗。

2.  恶意邮件

从恶意行为的角度来看，恶意邮件可以分为如下几种：诱导回复敏感信息；诱导打开钓鱼页面链接；诱导打开带毒附件。企业用户日常容易遇到后两种案例，典型代表如带恶意附件的鱼叉邮件。鱼叉邮件是一种针对特定人员或特定公司的员工进行定向传播攻击。网络犯罪分子首先会精心收集目标对象的信息，使“诱饵”更具诱惑力。然后结合目标对象信息，制作相应主题的邮件和内容，骗取目标运行恶意附件。

根据友商卡巴斯基公开报告数据，2019年第三季度共检测到48089352个恶意电子邮件附件，比第二季度增加近500万个。7月份是最活跃的月份，有1700万邮件。

目前在全球的邮件流量中排名前十的恶意邮件附件如下（2019Q3）：

从上图中的Top10报毒名可知，有7类是通过直接投递可执行文件进行攻击，2类通过office文档进行攻击，1类通过PDF文档钓鱼攻击。其中最值得关注的仍然是利用office组件漏洞进行的攻击，缺乏安全知识的用户较容易因忽略安装office补丁或者轻易允许宏代码运行而触发病毒代码。

从国内观察邮件安全情况，腾讯T-Sec高级威胁检测系统（腾讯御界）每日捕获到的鱼叉邮件仍然是金融财务相关的主题占主要部分，并且邮件内容通常与主题相符合以诱导用户点击恶意附件。

如下图与“订单”相关的邮件，通过将带有精心构造的“CVE-2017-8570”漏洞利用代码的word文档伪装为附件“订单列表”，诱使用户打开文档以触发漏洞代码逻辑，最终实现投放“NetWiredRC”远控木马。

还有一类也很常见的就是无主题邮件，此类邮件缺少主题甚至正文，只携带恶意附件，主要原因有两方面：

a)   缩短鱼叉邮件制作时间；

b)   为了方便群发邮件，每个群体都会有其特点，不易找到共同点。

在2017年爆发了WannaCry（永恒之蓝）勒索病毒后，很多变形后的勒索软件就是通过空白主题的邮件进行广泛传播的。

(二)  邮件安全案例

鱼叉邮件主要以投递“窃密”、“远控”、“勒索”木马为目的，近年来为了快速变现而投递勒索病毒的趋势也开始变多。

2019年，腾讯安全威胁情报中心发布22起关于邮件安全的告警。从攻击目的来看，以后门远控为目的的恶意邮件攻击有10起。其中，有5起与“黑格莎”、“APT37”、“响尾蛇”、“海莲花”、“商贸信”等专业APT组织攻击相关。以传播勒索病毒为目的的恶意邮件攻击7起，分别对应7个不同的勒索病毒家族；以窃密为目的的恶意邮件攻击5起，均采用Office漏洞进行攻击。

Ø  最受攻击者青睐的office漏洞CVE-2017-11882

利用office软件的公式编辑器漏洞CVE-2017-11882实现隐秘远程下载的恶意邮件是十分常见的。用户容易误以为文档中不会有恶意代码。更重要的是，由于邮件来源和内容往往被高度伪装，用户很容易放下防备心打开文档，进而导致释放病毒。虽然该漏洞的补丁早在2017年11月公布提供修复，但实际上Office安全漏洞的修复率比系统补丁修复率要低得多，因此公式编辑器漏洞高成功率也是被广泛利用的主要原因。

2019年9月,腾讯安全威胁情报中心捕获到大量针对外贸行业的攻击样本。攻击者将“NanoCore”商业远控木马作为附件，向外贸从业人员发送贸易订单相关主题的鱼叉邮件，受害者一旦打开附件，恶意word文档便会利用CVE-2017-11882漏洞或恶意宏代码执行恶意代码，实现远控木马的投放。

最终执行的NanoCore RAT功能强大，可执行各种恶意操作，如文件操作，注册表编辑，进程控制，文件传输，远程命令执行，键盘记录等。相关邮件内容如下图所示。

Ø  sodinokibi勒索病毒大量攻击中韩企业

继2019年上半年臭名昭著的GandCrab病毒宣布“退休”后，作为“接班人”的Sodinokibi勒索病毒影响面逐渐扩大。2019年10月，腾讯安全御见威胁情报中心检测到，大量借助钓鱼邮件传播的sodinokibi勒索病毒攻击中韩两国企业，中招用户被勒索0.15个比特币（当时价值为7800元）。境内中招企业主要集中在广东、山东、江苏、上海、北京等地，主要受害企业包括IT公司、科研和技术服务机构，以及传统制造企业。相关邮件内容如下图所示。

四、趋势预测

1.  高危漏洞频繁爆出，武器化对企业影响深远

在2019上半年，安全研究员发现微软的远程桌面服务中存在一个名为BlueKeep的漏洞（CVE-2019-0708），攻击者可无需用户验证实现远程代码执行，获得机器的控制权。随后该漏洞的利用就被打包到工具包中在网上公开售卖；在，也持续爆出PHP远程代码执行、phpStudy后门通信连接尝试等高危漏洞，该类漏洞比较容易被利用，并且容易引发供应链攻击等严重后果。

因此，企业需要在日常关注漏洞威胁情报，及时修复高危漏洞。

2.  勒索病毒、挖矿木马持续传播

随着各企业安全意识提高、防御体系完善，勒索挖矿的攻击成本变得越来越高。但该犯罪形式带来高额回报，在2019年勒索挖矿依然处于持续传播状态。挖矿木马往往能够隐藏在系统中后台运行，难以被发现；勒索病毒由于带来的破坏巨大，企业往往会为了尽可能挽回损失而向黑客缴纳高额赎金。

由于这种犯罪形式的匿名性，导致只能在少数情况下将犯罪分子绳之以法。因此在2020年，想必依然会有黑客铤而走险，持续传播勒索病毒、挖矿木马。

3.  高级可持续威胁攻击（APT）技术升级

纵观2019年，网络攻击频发，全球的网络安全形势不容乐观，根据腾讯安全御见情报中心的研究，中国依然是APT攻击的主要受害国，受到来自于东亚、东南亚、南亚、欧美等各个区域的网络威胁。APT攻击不再局限于窃取敏感材料，攻击目标开始跟民生相关，如阿根廷、委内瑞拉的大断电等。随着大量的APT攻击武器库的泄露，使得网络安全形势更加严峻，如军用网络武器的民用化等， APT木马的攻击文件特征更倾向于无文件化，使用签名证书；流量通信更倾向于SSL加密通信。这给安全研究者的追踪、溯源带来了一定的困难。在2020年，APT将依然是个硝烟弥漫的战场。

4.  数据泄露问题愈发严重

在2019年，数据泄露事件层出不穷，典型的事件有：Facebook明文存储用户密钥，影响全球数亿用户，最终以50亿美元与FTC达成和解，但在12月某一数据库依然发生了数据泄露，波及全球2.67亿用户；英国航空由于其网站和app遭遇黑客攻击，数十万客户的信用卡数据被盗导致面临1.83亿英镑的罚款；美国房地产剧透FAFC泄露了数亿份自2003年以来的保险文件，数据包括银行账号、对账单、抵押贷款等用户隐私信息等。

随着大数据时代到来，数据价值的体现有目共睹，同时数据隐私安全问题也变得尤为重要，黑产们无时不刻盯着这块蛋糕。

5.  云计算的发展或将导致云安全事件的爆发

近几年随着云计算的进步，越来越多的企业选择将业务转移到云上，5G的普及也将会加速这一发展趋势。但随之而来的是云安全事件频发，由于安全意识疏忽、配置不当等问题，导致严重的数据泄露。典型案例有在2019年9月，韩国工业制造商DK-LOK的一个不安全的AWS数据库泄露了公司与其客户之间的机密电子邮件和通信。

在2020年，企业将持续上云，黑客也会更多的关注云上的业务攻击，这需要引起广大企业的重视。

五、安全建议

(一)常规安全强化建议

1.   建议企业服务器关闭非必须启用的网络端口（如135、139、445），方法可参考：https://guanjia.qq.com/web_clinic/s8/585.html；

2.   企业内网通过密码安全策略强制使用高强度密码，切勿使用弱口令，切勿一个密码通用于多台服务器，防止黑客暴力破解；

3.   定期对服务器进行加固，尽早修复企业服务器相关组件的安全漏洞，并及时进行漏洞修复；

4.   推荐企业对关键业务系统启用专业备份系统，并保留多个备份、异地备份，以防万一。

(二)腾讯安全的整体解决方案

1.   企业云上业务

推荐企业针腾讯云上业务开通腾讯云T-Sec安全运营中心，实现云上业务的事前安全预防、事中事件监测与威胁检测及事后响应处置的全流程安全管理。

事前环节安全运营中心可打通云上各类云产品实现云上资产的自动化动态盘点，通过云原生的云产品配置风险检查功能识别云上配置风险，同时通过互联网攻击面测绘实现云上高危端口暴露及组件暴露的自动化检查。

事中环节，安全运营中心打通云上各类安全产品，形成云上安全产品告警的统一监测，并提供互联网流量威胁感知功能，帮助用户识别云上攻击和失陷主机外联行为。

事后环节，安全运营中心内置安全编排剧本，可对特定安全事件实现自动化的响应处置。同时安全运营中心采集云上安全产品日志、云产品安全配置日志及用户操作行为日志等各类安全日志，实现云上安全日志审计与调查溯源。

安全运营中心通过安全仪表盘、安全报表及安全大屏等多种安全可视化能力实现云上安全态势及安全建设成果的可视化展示。

企业用户可扫描以下二维码，免费试用腾讯云安全运营中心。

2.   暂未采用云上业务的企业用户可部署腾讯安全T-Sec安全运营中心（私有云）进行集中化安全运营。

以安全检测、事件关联及智能分析为核心功能，并以腾讯威胁情报、3D可视化为特色，通过海量数据多维度分析、对威胁及时预警并做出智能处置。适用于多种安全运营管理场景，帮助企业打造全网安全态势可知、可见、可控的闭环。（https://cloud.tencent.com/product/soc-private）

扫描以下二维码可了解更多相关信息。

3.   推荐采用腾讯安全威胁情报系列产品和服务

SaaS形式自动化威胁情报查询产品“T-Sec-威胁情报云查服务”，满足对IP/Domain/文件等对象的威胁查询、SaaS形式威胁情报查询及溯源产品“T-Sec高级威胁追溯系统”。只需要打开浏览器便可查询各种威胁详情和恶意团伙背景等相关信息、私有化形式产品。

参考链接：https://cloud.tencent.com/product/tics

T-Sec威胁情报平台（TIP）是把腾讯安全威胁情报能力变成一套可本地部署的威胁情报管理平台，目的是帮助客户在内网/专网/私有云等环境实现威胁情报管理和查询。

T-Sec 高级威胁追溯系统，助力用户进行线索研判、攻击定性和关联分析，追溯威胁源头，有效预测威胁的发生并及时预警。

参考链接：https://cloud.tencent.com/product/atts

4.   腾讯T-Sec 网络资产风险检测系统（腾讯御知）可全面检测企业网络资产是否受安全漏洞影响。

腾讯T-Sec 网络资产风险检测系统（腾讯御知）是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险，包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。

企业用户可扫描以下二维码，免费使用腾讯T-Sec 网络资产风险检测系统（腾讯御知）。

5.   推荐企业用户部署腾讯安全T-Sec高级威胁检测系统（腾讯御界）对黑客攻击行为进行检测。

腾讯安全T-Sec高级威胁检测系统，是基于腾讯安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接：https://cloud.tencent.com/product/nta

6.   企业终端系统保护

终端电脑可部署腾讯安全T-Sec终端安全管理系统（御点）拦截病毒木马攻击，更多信息参考链接：https://s.tencent.com/product/yd/index.html。

腾讯安全T-Sec终端安全管理系统（御点）支持集中检测、修复各终端系统存在的安全漏洞，最大限度降低内网系统被病毒木马攻击的可能性。企业网管可部署所有终端系统启用文档守护者功能自动备份电脑重要资料文件，最大限度减少勒索病毒造成的破坏。