Harioboy水坑攻击这点事

【文章摘要】 2017年Q3互联网平安讲述：PC端平安情形、移动端平安情形和Q3热门平安事宜的回首和清点。

讲述摘要

注：讲述内数据统计均来自腾讯反病毒实验室

PC端平安情形：

Ø截止到2017年9月尾，PC端总计已阻挡病毒15.2亿次，平均每月阻挡木马病毒近1.7亿次，较Q2季度统计没有发生太大转变，从7月至9月整体病毒阻挡次数稍有下降，从1.7亿次阻挡下降到1.64亿阻挡，这说明前端病毒活跃量稍有下降趋势。

Ø截止到2017年9月尾，PC端总计发现3.6亿次用户机械中木马病毒，平均每月为3,900万中毒机械举行病毒查杀，相比Q2季度统计平均数据的3,880万略有增进。

Ø2017年Q3季度病毒样本从病毒种类上木马类占总体数目的66.77%，依然是第一大种类病毒，相比Q2季度数据53.80%增进了12.97%。Adware类为第二大病毒类，占总体数目的25.28%，但相比Q2季度的39.02%，Adware类数目有所下降，降幅达13.74%。后门类为第三大病毒类，占总体数目的5.37%，相比Q2季度的5.13%并无太大转变。

移动端平安情形：

Ø2017年Q3统计Android样本数据显示，总计已检测Android病毒样本量320多万个，平均每月检测Android病毒样本110万个。

Ø凭据2017年Q3季度获取到的安卓病毒样本剖析，从病毒种类上来看整体排名并没有转变，排名第一位的仍然是PUA类（灰色软件）病毒，占总体病毒量的45.11%，相比Q2季度的34.56%增进了10.55%。SMS类为第二大病毒种类，占总体数目的18.51%，相比Q2季度的13.99%增进了4.52%。Spy类为第三大病毒种类，占总体数目的4.91%，相比Q2季度的8.63%下降了3.72%。

Q3热门平安事宜：

Ø着名终端治理软件Xshell多个产物被植入后门

Ø58人被抓，腾讯协助警方斩断DDoS黑产全链条

Ø一款针对全球各领事馆和大使馆的恶意软件Gazer

Ø泛起首个AndroidDDoS恶意程序WireXBotnet

Ø着名清算软件CCleaner被熏染，逾200万用户受影响

前言

一、推动互联网平安生长，国家与社会共同在起劲

回首2017年7月至9月，整个Q3季度无论社会各界照样国家政府都在努力推动互联网平安生长。自6月1日《网络平安法》的周全实行，促使互联网平安产业生长进入有法可依的阶段，快速推动了整个产业的生长。

8月15日，腾讯主理以“平安新秩序毗邻新时机”为主题的第三届中国互联网平安首脑峰会在国家会议中心召开，来自全球的顶尖平安专家就金融平安、大数据与云平安、人工智能与平安伦理、平安法治治理、智能硬件与物联网平安等多个议题探讨全新环境和形势下网络平安的新秩序构建、平安毗邻数字经济的新生长时机。

9月16日，以“网络平安为人民，网络平安靠人民”为主题的2017年国家网络平安宣传周在上海拉开帷幕。9月16日至24日在天下范围开展以宣传网络强国战略思想、国家网络平安有关法律法规和政策尺度为焦点的网络平安宣传周流动，这是增强宽大网民网络平安意识，提升基本互联网防护手艺，营造平安康健文明网络环境的公共平台。同时展现近年来我国网络平安事业取得的成就，搜集业内专家共同为网络平安进一步生长建言献策，提倡全民普遍介入网络平安建设。

二、正规软件被行使事宜频发，企业平安防护需提升

在2017年Q3季度中，泛起过多起正规软件厂商服务器被黑客入侵，将后门程序植入到正规软件中的事宜，如Xshell事宜、CCleaner事宜等，在厂商并不知情的情形下，带有后门的软件推送给通俗用户安装，导致数百万网民网络平安受到影响。

我们可以看到，黑客已经不再依赖于传统的系统破绽举行大范围攻击，而是接纳多种渠道并用的方式扩大病毒的流传。黑客只要通过入侵正规软件厂商的服务器，即可在短时间内让厂商的所有用户中毒，这远比黑客自己流传病毒容易得多。

这些平安事宜的发生也并非有时，这说明当前企业网络平安防护微弱、内部IT治理混乱、员工平安风险意识不够等问题是当前企业普遍存在的，如何将这些问题逐一解决，是企业治理者需要去思索并落实的主要问题。若是企业自身并没有搭建网络平安防护的能力，那就让专业的人来做专业的事，接入互联网平安公司让专业的人来为自己企业的平安生长保驾护航。

三、关于腾讯反病毒实验室

腾讯反病毒实验室作为耕作在网络平安反病毒第一战线上的一员，有责任自动担负保障国家、民众互联网平安的社会责任。

腾讯反病毒实验室成立于2010年，始终致力于互联网平安防护、盘算机与移动端恶意软件检测查杀、网络威胁情报预警等事情。通过“自研引擎能力、平安事宜运营、哈勃剖析平台”的“三剑合璧”，对”平安查杀能力、破绽监测能力及病毒样本剖析“提供了周全、系统、一体化的产物运营式的尺度化防护，为腾讯平安实力进一步提供了壮大手艺支持，也为网民构建了平安的上网环境。

实验室拥有专业的反病毒团队，在自主反病毒引擎TAV研发上深耕多年，拥有多项自主知识产权病毒检测专利。在AV-C、AV-TEST等国际平安评测中反超国际老牌杀毒软件，多次取得大满贯的成就，这也解释中国自主研发的杀毒引擎已经到达了世界先进水平。

一、PC平安方面

腾讯电脑管家英文版延续通过VB100,ICSA等认证测试，不仅2016年以来在赛可达测试获得6次第一的成就，更是在AV-C2016年国际评测中作为海内唯一参测产物，5项测试A+评级，获得年度声誉产物称呼，单项奖项斩获消灭测试金奖（排名第一）、检出测试银奖两项大奖，比肩卡巴斯基，比特梵德，小红伞国际着名厂商。

二、移动平安方面

在移动威胁检测能力方面，腾讯手机管家则在2016年以来AV-Test国际评测中，延续9次满分13分通过，海内独树一帜。

三、动态检测方面

反病毒实验室哈勃动态剖析系统为网民提供了未知文件动态检测能力，实时辅助网民检测、剖析可疑文件。

四、威胁情报方面

反病毒实验建立了威胁情报监控平台，可实时监控、探测、挖掘互联网平安威胁情报，实时向社会民众讲述网络平安风险，可在腾讯电脑管家官方网站“平安舆情”中获取最新信息，也可以关注腾讯反病毒实验室民众号获取最新信息资讯。

第一章PC端恶意程序

一、恶意程序阻挡量与中毒机械量

（一）恶意程序阻挡量

凭据腾讯反病毒实验室统计数据显示，截止到2017年9月尾，PC端总计已阻挡病毒15.2亿次，平均每月阻挡木马病毒近1.7亿次。每月平均阻挡次数相对稳固，较Q2季度统计没有发生太大转变。

从Q3季度统计数据中可以看到从7月至9月整体病毒阻挡次数稍有下降，从7月1.7亿次阻挡下降到9月1.64亿阻挡，这说明前端病毒活跃量稍有下降趋势。详细数值如：图1。

图1

2017年Q3季度整体病毒阻挡量约为5亿次，相较于2017年Q2季度病毒阻挡量环比下降6%。详细数值如：图2。

图2

但相较于2016年Q3季度病毒阻挡量同比增进了112%，从2016年与2017年Q3季度病毒阻挡量对比来看，恶意程序数目同比翻倍。详细数值如：图3。

图3

（二）中毒机械量

截止到2017年9月尾，PC端总计发现3.6亿次用户机械中木马病毒，平均每月为3,900万中毒机械举行病毒查杀，相较Q2统计平均数据的3,880万略有增进。详细数值如图4。

图4

2017年Q3季度相比Q2季度中毒机械数略有增进，机械数目增进了3%。从Q1到Q3季度数据来看，中毒机械数在缓慢增进。详细数值如图5。

图5

2017年Q3季度相较于2016年Q3季度中毒机械数目同比增进53%，从2014至2017年Q3数据来看，同季度中毒机械数目有显著回升迹象。详细数值如：图6。

图6

二、恶意程序详细分类

（一）恶意程序种类及量级上的分类

2017年Q3季度凭据获取到的病毒样本剖析，从病毒种类上，木马类占总体数目的66.77%，依然是第一大种类病毒，相比Q2季度数据53.80%增进了12.97%。

Adware类（广告软件、强制安装、网络用户隐私、弹垃圾信息等）为第二大病毒类，占总体数目的25.28%，但相比Q2季度的39.02%，Adware类数目有所下降，降幅达13.74%。

后门类为第三大病毒类，占总体数目的5.37%，相比Q2季度的5.13%并无太大转变。

通过以上数据可以看出，相比2017年Q2季度，病毒种类及排名均无转变，仅在数目占比上有所差异。详细数值如图7。

图7

从病毒样本的数目上来划分，可以看到图8中排在第一位仍然是木马类，占了恶意程序总量的70.41%，相比Q2季度的36.76%增进了33.65%。

排在第二位的是PE熏染型，占总体数目的12.37%。相比Q2季度数据，PE熏染型病毒总量跨越了Adware样本量成为第二位，而Adware下滑到了第三位，Adware样本量从Q2季度的29.12%下降到了8.35%，降幅到达20.77%。

图8

从种类上PE熏染型病毒的种类并不多，只占了恶意程序种类中的0.25%，排在最后一位，但在病毒阻挡量上PE熏染型病毒却排在了第二位，仅次于木马类型。这与PE熏染型病毒制作难度、流传特点有关。

PE熏染型病毒制作难度大、黑客等编程职员需要掌握的手艺多、成本高、开发时间久等因素有关。熏染型病毒种类虽然不多，然则熏染型病毒的流传性很大，存活时间相对也对照久，因此，种类少的PE熏染型种类在样本流传量级上占了一定的比例，这也是由于熏染型病毒具有熏染、流传的特征。

（二）木马类的详细分类

在第一大病毒类木马类中，可以详细划分为多种类型的木马病毒。有下载其他有害软件的程序，勒索软件，释放有害软件的程序，偷取个人信息，银行盗号诈骗，社交软件工具盗号，虚伪反病毒软件，DDoS攻击软件，游戏盗号软件，以及流量点击等有害程序。其中排名第一位的是下载类木马，占所有种类的45.04%。排在第二位的勒索病毒种类占到了13.40%。详细数值如图9。

图9

木马病毒种类多只能说明病毒的变种多，其背后可能来自许多个差别的作恶团伙。但若是从木马病毒样本的数目上来划分，可以看到图9中排在第一位是Dropper类木马病毒（释放有害文件木马），占所有阻挡量的88.63%。Dropper类数据相比2017年Q2季度和68.60%，增进了20.03%。

两张饼图对比可以看到，Dropper类虽然在病毒种类上没有下载类种类多，但在数目级上远远跨越了下载类，这说明此类木马流传的最普遍，数目最多，受害的用户也最多。

勒索类病毒相比Q2季度有所下降，从Q2季度的11.69%下降至1.24%，降幅到达10.45%。详细数值如图10。

图10

（三）PE熏染型病毒分类

从网络的病毒样本来看，PE熏染型病毒种类上并不太多，但在用户侧仍然十分活跃，对比Q2与Q3季度数据，排名前三位的仍然是PolyRansom、Nimnul、Virut病毒，仅顺序发生了转变。

在PE熏染型病毒中，排在第一位的是Virut病毒，占所有熏染型病毒的49.82%，相比Q2季度的10.71%，增进了39.11%，这说明近期此类型病毒有所发作。而在Q2季度中排名第一的PolyRansom病毒降幅较大，位列第三，从Q2季度的39.50%下降到9.39%，下降了30.11%，流传趋势显著获得控制。Nimnul病毒排名本季度与Q2季度相同，排名第二没有转变，但病毒总量上从23.51%下降到了12.27%，流传趋势也有所收敛。详细数据如图11。

图11

由于熏染型病毒差别于通俗的木马病毒，熏染型病毒会通过修改宿主程序代码的方式将恶意代码寄生在宿主历程中运行，而每个文件被熏染后的哈希（Hash，文件内数据的”信息摘要“）值都市转变，因此，被熏染型病毒熏染后的文件是无法举行”云查杀“的。

因此，杀毒引擎能否修复被熏染的文件，体现了反病毒引擎对熏染型病毒修复的能力。现在腾讯反病毒实验室的自研TAV反病毒引擎可以查杀并修复国际、海内盛行的种种熏染型病毒。

（四）非PE病毒分类

凭据网络的非PE病毒样本统计，Q3季度中VBS样本类排名第一位，占所有非PE病毒样本的75.69%，其主要缘故原由是存在一类熏染型病毒，会熏染HTML网页并插入VBS剧本代码，一旦HTML网页被执行后，便会执行这段恶意的VBS代码，释放出一个恶意的可执行文件并加载运行。

排名在第二位的是HTML类型病毒，占所有非PE病毒样本的18.31%。第三名为JS剧本类，占比为18.31%。第四名为PDF，占比为0.46%。详细数据如图12。

图12

三、中毒用户地域漫衍

新型勒索软件Bad Rabbit在东欧诸国爆发

凭据中毒PC数目统计，从都会漫衍来看都会排名转变不是稀奇大，依旧是互联网较为蓬勃的都会用户中毒情形较多，天下阻挡病毒排名第一的都会依然为深圳市，占所有阻挡量的4.64%。

第二名为广州市，占所有阻挡量的3.69%，相比Q2季度的3.39%增进了0.30%，排名上升一位。

第三名为武汉市，占所有阻挡量的3.24%，相比Q2季度的2.03%增进了1.21%，病毒阻挡量趋势显著上扬，从Q2季度的第10位上升至第三位。详细数据如图13。

图13

从省级地域漫衍数据来看，中毒PC数目最多的照样广东省，排在天下第一省，占所有阻挡量的13.41%，与Q2季度相比转变不大。排在第二位的是河南省，相比Q2季度排名上升了3位，占所有阻挡量的7.18%，占比增进了0.99%。第三名为山东省，与Q2季度排名没有转变，但占比有所下降，从Q2季度的7.12%下降到5.96%，降幅到达1.16%。详细数据如图14。

图14

四、破绽相关病毒详情

行使系统或软件的破绽可以快速流传木马病毒，黑客由其青睐系统破绽，5月份发作的WannaCry病毒就是行使windows系统破绽举行流传，才能够使病毒在短时间内影响到全球100多个国家和地区。7月在全球范围内流传的钓鱼邮件木马Globelmposter也多是行使office软件的破绽运行恶意程序的。越来越多的黑客使用已知或未知的破绽举行病毒木马流传，因此，破绽相关类病毒样本出现了增进趋势。

（一）破绽病毒分类详情

破绽病毒样本主要漫衍在Windows、Linux、Android平台上，通过对获取到的破绽类型样本统计，可以看到Windows平台占比最多，其中非PE类型的破绽样本到达69.60%，PE类型破绽样本到达23.00%，Windows平台破绽样本总量可到达所有平台所有破绽样本总量的92.6%。随着Android系统使用量的增进，Android平台破绽样本也跨越了Linux平台，占比到达3.93%，Linux平台占比为3.47%。详细数值如图15。

图15

（二）Linux平台破绽病毒详情

在Linux平台上，排名第一的破绽攻击样本名为Exploit.Linux.Lotoor，占所有样本中的69.21%，这类样本实际上是行使Linux破绽举行权限提升，以便黑客获得更高的系统权限，执行其他恶意操作。详细数值如图16。

图16

（三）Android平台破绽病毒详情

在Android平台上，排名第一的破绽攻击样本名为Exploit.AndroidOS.Lotoor，占所有样本中的81.19%，此类名字与Linux平台上的名字相同，功效同样也是为了提升病毒的系统权限。由于Android是基于Linux内核开发并完善的，因此在内核层面他们是共通的。详细数值如图17。

图17

（四）Windows平台破绽病毒详情

在网络到的Windows平台破绽样本中，非PE类型破绽病毒量级最大，占到了所有破绽样本的69.60%。

而在非PE类型破绽病毒样本中，可以分为多种类型的文件，其中，排名第一位的是PDF类，占所有非PE破绽病毒的35.74%。排名第二位的是OLE类，此类通常为复合文档，以office文档居多，占所有非PE破绽病毒的29.93%。排名第三位的是SWF类，通常是指Adobe的Flash破绽，占所有非PE破绽病毒的18.97%。详细数值如图18。

图18

Windows平台上的PE类型破绽样本到达23.00%，在这部门破绽样本中以排名第一位的名为Exploit.Win32.BypassUAC，主要是绕过Windows系统UAC。用户帐户控制（UserAccountControl，简写作UAC)是微软公司在其WindowsVista及更高版本操作系统中接纳的一种控制机制。其原理是通知用户是否对应用程序使用硬盘驱动器和系统文件授权，以到达辅助阻止恶意程序损坏系统的效果。详细数值如图19。

图19

（五）非PE类破绽攻击病毒常用编程语言详情

在网络到的破绽相关非PE样本中，使用JS剧本编写的病毒文件最多，占了所有病毒量的97.41%，可见险些所有破绽相关的非PE类型病毒都使用JS剧本语言编写，而使用其他编程语言的病毒样本只占了2.59%。

排名第二位的编程语言为VBS，占所有病毒量的1.27%，在Windows平台上VBS类型的病毒量对照大，但应用到破绽攻击相关的VBS样本相对并不是太多，大多是通过Office宏病毒的方式存在。

值得注意的是，现在Windows平台加入的PowerShell也正在被黑客行使，Metasploit中也加入了相当多的PowerShell攻击剧本，通过PowerShell执行ShellCode、上传、下载等。详细数值如图20。

图20

（六）使用JS剧本语言编写破绽攻击病毒详情

JS剧本语言由于其语言的灵活性，通常许多应用程序都市使用到JS剧本，如在网页HTML中使用JS、在PDF文档中使用JS等，因此，行使JS剧本语言所写的破绽攻击样本也是最多的。

在网络到的使用JS剧本所写的破绽攻击相关样本中，以Exploit.JS.Pdfka为最多，占此类所有样本的86.87%，由此可以看到，在PDF破绽行使中，使用最多的攻击语言是JS，这也是由于PDF中可以使用JS剧本的缘故原由。详细数值如图21。

图21

在统计的数据中可以看到排名第三位的是名为Exploit.JS.Angler的样本报毒名，此类样本是行使AnglerExploitKit所天生的样本，AnglerExploitKit是着名的钓鱼攻击工具包，其中包含了异常多的破绽行使工具，此钓鱼攻击工具包在2013年才泛起，短短几年时间，就成为了野外行使最常用的破绽行使工具包之一。

（七）OLE破绽攻击病毒详情

通过对OLE破绽攻击样本的数据统计，可发现在OLE破绽攻击中行使微软办公软件office破绽样本最多，其中以word文档居首，今年对照严重的OLE破绽就是CVE-2017-0199,可以看到在活跃的病毒样本中可以找到此破绽样本。

凭据其他报毒名CVE号统计可以看出，行使老破绽来举行攻击的样本跨越了昔时新增的破绽，因此，无论企业照样通俗用户都应该实时更新破绽补丁，而不应该在意补丁是否为昔时最新，图表中可以看到，2010年的CVE号也占了不少比例。详细数值如图22。

图22

第二章Android端恶意程序

一、恶意程序检丈量

2017年Q3统计Android样本数据显示，总计已检测Android病毒样本量320多万个，平均每月检测Android病毒样本110万个。通过数据可以看到Android病毒样本从7月至9月整体趋势在缓慢下降。详细数值如：图23。

图23

二、恶意程序详细分类

（一）恶意程序种类及量级上的分类

凭据2017年Q3季度获取到的安卓病毒样本剖析，从病毒种类上来看整体排名并没有转变，排名第一位的仍然是PUA类（灰色软件）病毒，占总体病毒量的45.11%，相比Q2季度的34.56%增进了10.55%。

SMS类为第二大病毒种类，占总体数目的18.51%，相比Q2季度的13.99%增进了4.52%。Spy类为第三大病毒种类，占总体数目的4.91%，相比Q2季度的8.63%下降了3.72%。详细数值如图24。

图24

从安卓病毒样本的数目级上来划分，可以看到排在第一位的仍然是PUA，但排在第二位的变成了Ransom类，占所有安卓病毒数目的23.65%，相比Q2季度的13.03%增进了10.62%，可见在Q3季度安卓移动端巧取豪夺类病毒增进迅速。排在第三位的是Banker类病毒，占所有安卓病毒数目的5.80%，相比Q2季度的2.42%增进了3.38%，相比Q2季度已经翻倍。详细数据如图25。

图25

三、Q3季度Android端恶意程序案例

（一）首次发现AndroidDDoS恶意程序

在2017年的Q3季度中，首次泛起了带有DDoS功效的Android病毒，这标志着黑客最先行使移动装备组织提议DDoS攻击。

WireX寄生于GooglePlayer应用市场,常见的软件名为Network、FilterFile等，WireX潜入用户装备安装启动后门模块，通过用户的手机DDos攻击了多个内容分发网络（CDN）和内容提供商(好比Akamai，Cloudflare)。

（二）Android勒索病毒泛起定制化工具

在8月份，一个名为“梦工厂”勒索病毒天生器泛起在网络上，该勒索病毒天生器主要通过网络网盘流传，并增加了开通VIP服务收费的功效。恶意使用者通过支付开通VIP服务后，即可使用资源目录下的种种锁机apk文件，进而天生批量勒索病毒，通过网络恶意推广诱导用户中招，乘隙勒索“解锁费”。

“梦工厂”勒索病毒天生器的原理在于，软件作者整合了一些常见手艺类型和派别的锁屏样本，降低了勒索病毒的手艺制作成本，同时也可能导致勒索病毒的进一步泛滥。

（三）Android银行相关木马发作

在Q3季度中，越来越多的Android银行相关类木马集中发作，这正是由于移动支付的快速生长，让藏在暗处的黑客最先觊觎用户放在手机中的钱财。

其中一款名为RedAlert2.0新型Android木马已熏染GooglePlay商铺上跨越60款银行与社交媒体应用，木马可以让黑客窃取用户敏感信息、挟制短信邮件，并阻止与银行、金融机构相关的所有来电呼叫，研究职员发现，这个木马在黑客论坛中售价为500美元。

附录12017年Q3季度网络平安事宜清点

一、着名终端治理软件Xshell多个产物被植入后门

Xshell是一款壮大、著名的终端模拟软件，被普遍地用于服务器运维和治理，它提供业界领先的性能和壮大功效，在免费终端模拟软件中有着不能替换的职位。

Xshell在7月18日公布的5.0官方版本被植入后门，用户下载、更新到该版本均会中招。该恶意的后门代码存在于有正当署名的nssock2.dll模块中。从后门代码的剖析来看，该代码是由于攻击者入侵的开发者的主机或者编译系统并向源码中插入后门导致的。该后门代码可导致用户远程登录的信息泄露。

XmanagerEnterprise、Xmanager、Xshell、Xftp、Xlpd五款软件存在平安破绽，官方已于8月5日紧要修复，并公布更新版本。

二、着名清算软件CCleaner被熏染，逾200万用户受影响

9月18日，Piriform官方公布平安通告，通告称旗下的CCleaner软件被窜改并植入了恶意代码，恶意代码会偷偷执行Floxif木马，窃取受害者隐私，甚至还会下载运行其它木马，造成更严重的危害，由于整个程序带有CCleaner的正版数字署名，这一下载行为不会引起任何异常报警，用户也毫无察觉。

事实上，从8月2日CCleaner就已经被攻击，官方编译的主程序文件被植入恶意代码，但官方直到9月12日才发现异常，当天就公布了清洁的CCleaner，14日又升级了CCleanerCloud。

据平安机构估量，约有227万用户已经安装了受熏染的软件。

三、平安公司CarbonBlack客户数据泄露，TB级别隐私数据流出

平安公司CarbonBlack现在为美国近三十个最大的公营及私营公司提供平安产物，客户中还包罗硅谷领先的互联网搜索、社交媒体、政府和金融相关企业。

8月9日，平安公司CarbonBlack被控泄露TB级别其客户企业的秘密数据。泄露的数据来自多家财富1000企业，数据内容包罗了用户秘密数据、财政纪录、网络情报和其它敏感数据。

平安治理计谋提供商DirectDefense的公然博客中写道，这些企业所接纳的CarbonBlackEDR（终端检测及响应）平安解决方案中存在问题，正在泄露数十万个敏感文件。面临指控，平安公司CarbonBlack则示意并非是他们将客户敏感数据泄露出去，相反，正是这些使用EDR方案的企业自己，也许是有时地，将自己的敏感数据泄露在云端服务器上。

四、58人被抓，腾讯协助警方斩断DDoS黑产全链条

江苏省某网络公司服务器频仍遭到DDoS流量攻击，导致挂载在服务器上的多个网站无法正常运营，损失严重。据了解，此次DDoS攻击是网站经营者的营业偕行恶意竞争打压，雇佣黑客实行DDoS攻击网络的犯罪行为。随后，在腾讯“守护者设计”平安团队的协助下，江苏省徐州市公安局网安支队凭据网络攻击溯源寻踪，开展DDoS黑产袭击行动，打掉了这个DDoS攻击黑产团伙，抓获漫衍于天下15省30多个市的犯罪嫌疑人58人，包罗发单人、肉鸡商、实行攻击人、出量人、担保人、黑客攻击软件作者等DDoS黑产链条中的种种角色，对该类型的攻击犯罪形成了有力震慑。

五、针对全球各领事馆和大使馆的恶意软件Gazer

8月31日，外洋平安研究员发现了一款针对全球范围内各领事馆、部委及大使馆用以监视政府和外交官的恶意软件。从2016年起，恶意软件就最先行使一个叫做为Gazer的后门，这个后门被认为是由之前与俄罗斯情报机构相关的Turla高级连续威胁（APT）黑客组织留下的。

Gazer后门使用C++编写，通过鱼叉式钓鱼邮件流传。它分两个步骤完成对目的盘算机的挟制。恶意软件先行使Skipper后门(此前与Turla相关)，然后安装Gazer组件。它可以通过其用于监视其预期目的的高级方式及其在受熏染装备上保持连续性的能力，将其自身隐藏在受害者的盘算机上，并长时间窃取信息。

六、泛起首个AndroidDDoS恶意程序WireXBotnet

WireX最早泛起在2017年8月2日，那时发现有少数的Android装备被熏染。之后不到两个星期，被WireX熏染的Android装备数目已经多达数万台，这是首个AndroidDDoS恶意程序。

WireX寄生于GooglePlayer应用市场,常见的软件名为Network、FilterFile等，WireX潜入用户装备安装启动后门模块，通过用户的手机DDos攻击了多个内容分发网络（CDN）和内容提供商(好比Akamai，Cloudflare)。一旦中招以后，你的手机就会成为犯罪团伙的肉鸡，犯罪团伙可以行使安装的后门程序发送DDoS，会导致手机流量消耗可能导致上网变卡。

七、Globelmposter钓鱼邮件勒索病毒在全球流传

Globelmposter钓鱼邮件很早就在外洋流传，自7月24号起，腾讯发现海内最先遭受攻击，且规模越来越大，作恶方式，手艺手段也不断更新。

Globelmposter是通过运行带有宏的word文档，来执行恶意行为的。若是用户电脑word开启了宏，运行word后会从C&C服务器下载样本。最终用户电脑会被通盘加密勒索，被加密文件后缀名为707、725、726等。

2017年10月25、26日安全舆情