近日，三六零公司（股票程式碼：601360。SH，以下簡稱“360”）網路安全響應中心（以下簡稱“360CERT”）釋出《網路安全十月月報》（以下簡稱“十月月報”），透過對十月份安全漏洞分析、網路安全重大事件、勒索病毒攻擊態勢等內容的梳理，為網路安全等相關人員提供精準的網路安全態勢走向，便於更好的掌握網路安全發展趨勢。

本月攻擊態勢主要聚焦了殭屍網路攻擊、釣魚郵件攻擊和針對Web應用和資料庫的攻擊三方面。其中，10月針對Web應用和資料庫的攻擊相比較9月呈現明顯的上升趨勢。而本月釣魚攻擊較為活躍，攻擊依然以投遞銀行木馬的垃圾郵件攻擊為主，此外，“看門狗”等針對特定人群的駭客團伙也十分活躍，這類駭客團伙主要透過即時通訊軟體進行釣魚檔案傳播，使用者執行釣魚檔案後，目標機器上被植入遠控木馬。與之前幾個月以偽裝成文件、圖片等可執行檔案為主的攻擊方式不同，本月攻擊者更多使用Office公式編輯器漏洞發起攻擊，有超過45%的攻擊是透過Office公式編輯器漏洞利⽤實現的。

安全漏洞

2021年10月 ，360CERT共收錄31個漏洞，其中嚴重7個，高危20個，中危3個，低危1個。主要漏洞型別包含⾝份驗證繞過、程式碼執⾏、記憶體越界寫、緩衝區溢位等。涉及的⼚商主要是Apache 、Adobe、Apple、Cisco、QNAP、Windows等。

在十月月報收錄的31個漏洞中，重點介紹了其中5個重點漏洞事件，包括CVE-2021-42013： Apache HTTP Server 路徑穿越漏洞、2021-10 補丁日： 微軟多個漏洞安全更新、CVE-2021-42340： Apache Tomcat 拒絕服務漏洞、2021-10 補丁日： Oracle多個產品漏洞和CVE-2021-22205：Gitlab 遠端命令執行漏洞。

安全事件

本月收錄安全事件236項，話題集中在資料洩露、惡意程式、網路攻擊方面，涉及的組織 有：Microsoft 、Google 、Twitter 、Facebook、Apple、FBI、YouTube等。涉及的行業主要包含IT服務業、製造業、金融業、政府機關及社會組織、醫療行業、交通運輸業等。其中本月收錄的16起重點事件中有11起為IT服務業領域發生的，IT服務業發生安全事件的佔比較上個月有所增長，從上個月的45。38%增長為十月的61。7%。

在十月月報中，重點梳理了8起APT事件。其中，NOBELIUM組織的新供應鏈攻擊活動成為本期熱點。微軟威脅情報中心檢測到與NOBELIUM組織相關的攻擊活動，該組織試圖攻擊多個雲服務提供商（CSP）、託管服務提供商（MSP）的客戶，以及由其他組織授予管理或特權訪問許可權的IT服務組織。自2021年5月以來，美國和歐洲各地的組織都受到過攻擊。微軟威脅情報中心估計，NOBELIUM組織已經發起了⼀場針對這些組織的攻擊活動，以利用提供商與政府、智庫和他們服務的其他公司之間現有的技術信任關係。

對此，十月月報給出了相應的安全建議，

網路防護方面

，重點要在網路邊界部署安全裝置，如防⽕牆、IDS、郵件閘道器等，要做好資產收集整理工作，關閉不必要且有風險的外網埠和服務，及時發現外網問題等；

系統防護方面

，及時對系統及各個服務元件進行版本升級和補丁更新，各主機安裝EDR產品，及時檢測威脅，嚴格做好主機的許可權控制等；

資料安全方面

，及時備份資料並確保資料安全，合理設定伺服器端各種檔案的訪問許可權，敏感資料建議存放到http無許可權訪問的目錄等；

安全管理方面

，網段之間進行隔離，避免造成大規模感染，主機整合化管理，出現威脅及時斷網，注重內部員工安全培訓等。

惡意程式

2021年10月，全球新增的活躍勒索病毒家族有 ：MacwLocker、DeepBlueMagic、yanluowang、Cring、Spook、BronyaHaxxor、Mallox等勒索病毒家族，其中MacwLocker是Evil Corp網路犯罪團伙為逃避美國製裁而更名的勒索軟體；yanluowang是⼀款國內未知團伙建立的針對國外企業進行攻擊的勒索軟體；Spook是本月⼀款新增的雙重勒索軟體，在其資料洩露網站已展示37個受害者；本月針對國內使用者進行攻擊的YourData以及BeijingCrypt兩個家族異常活躍。

其中，針對本月勒索病毒受害者所中勒索病毒家族進行統計，YourData家族佔比23。76%居首位，其次是佔比20。09%的BeiJingCrypt，phobos家族以13。39%位居第三。

當前，透過雙重勒索或多重勒索模式獲利的勒索病毒家族越來越多，勒索病毒所帶來的資料洩露的風險也越來越大。對此，十月月報中收錄了透過資料洩露獲利的勒索病毒家族佔比，該資料僅為未能第⼀時間繳納贖金或拒繳納贖金部分（已經⽀付贖⾦的企業或個⼈，可能不會出現在這個清單中）。

對此，360安全大腦也建議使用者不支付勒索病毒贖金，支付贖金不僅變相鼓勵了勒索攻擊行為，而且解密的過程還可能會帶來新的安全風險。可以嘗試透過備份、資料恢復、資料修復等手段挽回部分損失。