7月企业终端病毒态势分析报告

终端是政企内部网络不可或缺的组成部分，其安全状况与组织内每个成员息息相关。在很多情况下，终端也是内部网络和外部网络的连接点，是外部恶意程序进入内部网络常见的入口节点，因此终端一旦失守，整个办公或生产网络就有可能沦陷，给政企带来巨额损失。

《企业终端病毒态势分析报告》 是“360终端安全实验室”定期发布的面向政企网络的终端病毒态势分析报告。

病毒是企业终端遇到的第一安全事件，本次报告将从蠕虫病毒、勒索软件、挖矿木马、漏洞利用等四类主流风险入手，以每日感染病毒的终端为基本单位，通过对政企终端感染病毒情况的分析，帮助客户看清风险态势，为安全决策提供更有力的参考依据。

本报告数据来自360企业安全公有云安全监测数据，监测时间段为2018年7月1日-2018年7月31月，监测数据内容为360企业级终端安全产品对特定威胁的云查杀主动请求数量，对于本地已经可以查杀的病毒，不在统计之列。这些数据可以在一定程度上反映出相关机构遭到特定类型活跃病毒攻击的数量和强度。

第一章：终端病毒感染数量分析

“360终端安全实验室”监测数据显示， 7 月感染病毒的政企单位数量，比 6 月增长了 10 %。其中单日出现过终端被病毒感染的政企单位数量比 6 月增长了 11.7 %；而单日感染病毒终端数超过 50 的政企单位数量，则比 6 月下降了 11.6 %。

7月，病毒感染最高峰出现在 7 月 25 日（星期三），最低谷则出现在 7 月 1 日（星期日）。

数据解读：这说明病毒更偏爱小微企业，这是由于小微企业对安全重视程度和投入程度不够导致的，相反中大型企业，往往有完善的安全机制，安全状况要优于小微企业。

第二章：终端病毒感染占比分析

7 月，在受害政企终端中，蠕虫病毒依然是最大的毒瘤，占比高达 84.1 %，比 6 月的 81.0 % 有所上升；漏洞利用占比达 10.5 %，比 6 月的 16.2 %有较大幅度的下降；勒索软件占比为 5.3 %，比 6 月的 2.2 %有较大幅度上升；挖矿木马仅占 0.1 %，比 6 月的 0.6 %有大幅下降。

数据解读：根据数据显示，蠕虫病毒与勒索软件的比重都有所上升，这说明大部分企业并没有及时进行补丁更新，360终端安全实验室在这里强烈建议企业使用360天擎终端补丁管理工具对企业补丁进行统一的编排和管理。

第三章：终端病毒感染行业环比分析

7月，除企业用户外，病毒最喜欢攻击的行业依然是“卫生”，占比高达  18.0 %，攻击比例比 6 月的 22.0 % 有所下降；其次是“能源”、“政府”，占比分别是 17.3 %（↓）和 12.3 %（↑）。

数据解读：从数据上看，卫生、能源、政府行业为病毒泛滥的重灾区，建议继续加大安全建设，并适时建设高级威胁和智能威胁对抗能力，以防止更多高级威胁与智能威胁入侵。

第四章：不同行业病毒感染类型分析

从行业维度看，各行业中不同类型病毒的感染状况如图所示。

需要特别注意的是，在染毒终端中，卫生、公检法行业感染蠕虫病毒的比例明显高于其他行业，政府、教育行业感染挖矿木马的比例明显高于其他行业，电信、金融行业感染漏洞利用的比例明显高于其他行业，交通、教育行业感染勒索软件的比例明显高于其他行业。

数据解读：建议各行业用户在整体提升病毒防范能力的同时，也加强针对性的防范，以免给病毒可趁之机。

第五章：不同类型病毒感染行业分析

从病毒类型维度看，各行业感染不同类型的病毒状况如图所示。

7 月，勒索软件最喜欢攻击的行业依然是“能源”，占比高达 10.2 %（↓），其次是交通、政府，占比分别是 8.6%（↓）、8.2%（↓）。

漏洞利用喜欢攻击的行业则由“卫生”变为“能源”，但攻击占比高达 13.7 %（↓），其次是政府、金融，占比分别是 10.4%（↓）、7.1%（↑）。

挖矿木马最喜欢攻击的行业则由“交通”变为“政府”，攻击占比高达 24.2%（↑），其次是交通、教育，占比分别是 9.1%（↓）、9.1%（↑）。

蠕虫病毒最喜欢攻击的行业依然是“卫生”，攻击占高达 20.8 %（↓），其次是能源、政府，占比分别为 18.3%（↑）、12.7%（↑）。

第六章：企业安全防护建议

360终端安全实验室提醒广大政企客户，为了更好地保障终端安全，需要注意以下事项：

1.及时更新最新的补丁库
根据360企业安全集团终端安全多年的运营经验，病毒大规模爆发的原因都是因为补丁安装不及时所致，因此及时更新补丁是安全运维工作的重中之重，但是很多政企单位由于业务的特殊性，对打补丁流程要求非常严格，导致补丁更新不及时。

360终端安全产品已经集成了先进的补丁管理功能，基于业界最佳的补丁管理实践，能够进行补丁编排，对补丁按照场景进行灰度发布，并且对微软更新的补丁进行了二次运营，解决了很多的兼容性问题，能够最大程度上解决政企单位的补丁难打问题，帮助政企提升网络的安全基线。

2.杜绝弱口令问题
弱口令是目前主机安全入侵的第一大安全隐患，大部分大规模泛滥的病毒都内置了弱口令字典，能够轻松侵入含有弱口令的企业网络，企业应该坚决杜绝弱口令。

360终端安全实验室建议登录口令尽量采用大小写、字母、数字、特殊符号混合的组合结构，且口令位数应足够长，并在登陆安全策略里限制登录失败次数、定期更换登录口令等。多台机器不使用相同或相似的口令，不使用默认的管理员名称如admin、不使用默认密码如admin、不使用简单密码如：admin123、12345678、666666等。

3.重要资料定期隔离备份
企业客户应尽量建立单独的文件服务器进行重要文件的存储备份，即使条件不允许也应对重要的文件进行定期隔离备份。

4.提高企业网络安全基线
掌握日常的安全配置技巧，如对共享文件夹设置访问权限，尽量采用云协作或内部搭建的wiki系统实现资料共享；尽量关闭3389、445、139、135等不用的高危端口，禁用Office宏等。

如果没有这类安全经验也可以使用360终端威胁评估产品（ETA）来对终端安全进行整体风险评估，360终端威胁评估产品（ETA）同时采用中国安全基线标准（CGDCC）和美国安全基线标准（USGCB），拥有数百种安全基线的检测能力和终端的深度安全检测能力，可以很好地帮助政企来评估内部终端的安全。

5.保持软件使用的可信
平时要养成良好的安全习惯，不要点击陌生链接、来源不明的邮件附件，打开前使用安全扫描并确认安全性，尽量从官网等可信渠道下载软件，目前通过软件捆绑来传播的病毒也在逐渐增多，尤其是移动应用环境，被恶意程序二次打包的APP在普通的软件市场里非常常见。

360终端安全产品家族中的软件管家，基于多年的安全软件运营经验，能够为企业用户量身定做一个可信的安全软件使用环境，避免员工任意安装软件而带来的病毒入侵风险。

6.选择正确的反病毒软件
随着威胁的发展，威胁开始了海量化和智能化趋势。对于海量化的威胁，就需要利用云计算的能力来对抗威胁海量化的趋势，因此在选择反病毒软件时，需要选择具备云查杀能力的反病毒软件。

360终端安全的天擎终端安全管理系统，基于云查杀技术和多年来威胁样本运营经验，已经具备150亿威胁样本的查杀能力，而且还首创了白名单技术，并拥有10亿量级的白名单库，而且内置云查杀、QVM、AVE、QEX、主动防御等多种引擎，能够深度解决企业网络的病毒威胁。

7.建立高级威胁深度分析与对抗能力
对于威胁的智能化趋势，很多智能威胁通过多种手段来躲避传统反病毒软件的查杀，这时就需要企业要具备高级威胁深度分析和对抗能力。

360终端安全响应系统基于业内公认的EDR思想，能够以终端的维度、事件的维度和时间的维度来分析网络中出现的高级威胁事件，能够为客户提供三维的立体威胁分析能力。后端利用大数据技术，能够监控终端上的所有灰文件的行为，内置AI模型，能够有效地识别传统反病毒软件识别不了的高级威胁入侵事件，帮助客户发现APT样本、流量病毒、挖矿木马、勒索软件等新型威胁。

附录A关于360终端安全实验室
360终端安全实验室依托于360在互联网为13亿用户提供终端安全防护的经验积累，以360新一代终端安全管理平台为依托，为客户提供简单有效的终端安全管理理念、完整的终端解决方案和定制化的安全服务，帮助广大政企客户解决内网安全与管理问题，保障企业网络的终端安全。

360终端安全实验室由多名经验丰富的恶意代码研究专家组成，重点着力于常见病毒、木马、蠕虫、勒索软件等恶意代码的原理分析和研究，同时研究针对性的查杀和反制技术，具备重大恶性恶意代码事件快速响应和处置能力。

360终端安全实验室自成立以来，致力为中国企业客户提供快速的恶意代码预警和处置服务，在曾经流行的WannaCry、Petya、Bad Rabbit的恶意代码处置过程中表现优异，受到国内企业客户的广泛好评。

360终端安全实验室将在安全研究报告、重大漏洞发现、重大项目合作和安全专家培养方面持续发力，未来将和更多的国内外大型系统和应用软件厂商合作，进行漏洞分析、软件供应链安全层面的深度研究，共同致力于为国内乃至全球客户提供持续的终端安全能力。

附录B关于360天擎新一代终端安全管理系统
360天擎新一代终端安全管理系统是360企业安全集团为解决政企机构终端安全问题而推出的一体化解决方案。

360天擎新一代终端安全管理系统以功能一体化、平台一体化、数据一体化为设计理念，以安全防护为核心，以运维管控为重点，以可视化管理为支撑，以可靠服务为保障，能够帮助企业客户构建终端防病毒、入侵防御、安全管理、软件分发、补丁管理、安全U盘、服务器加固、安全准入、非法外联、运维管控、主机审计、移动设备管理、资产发现、身份认证、数据加密、数据防泄露等十六大基础安全能力；能够帮助企业客户构建终端威胁检测、终端威胁响应、终端威胁鉴定等高级威胁对抗能力；最终能够为企业客户提供安全规划、战略分析和安全决策等终端安全治理能力。

360天擎新一代终端安全管理系统基于先进的技术、先进的理念和先进的功能，已经成为百万政企客户千万级终端的信赖之选。

附录C关于360补丁情报运营
补丁是抵御病毒入侵的最重要一道防线，也是成本最低的防线，例如今年5月份大面积爆发的勒索病毒，如果企业提前安装了补丁，是就不会出现被病毒感染并勒索的情况。由于国内企业缺乏补丁运营的意识和专业知识，导致企业重业务、轻补丁，给了漏洞型病毒以可乘之机。

360企业安全漏洞补丁运营团队基于对安全和补丁管理的理解，除了为企业客户提供了强大的补丁运维工具之外，还实时跟踪微软补丁发布环节，并站在企业的角度，对所有补丁进行了严格的测试和评估，向企业客户推出360补丁运营情报，为企业客户提供更为精准的补丁运维建议。

360企业安全漏洞补丁运营团队在实际运营中发现，微软发布的补丁会出现各种兼容性问题，有些补丁在某些场景下会出现安装失败的情况，这些情况微软并没有提供更详细的说明和企业运营方案。

360企业安全漏洞补丁运营团队则在以下六个方面对微软发布的补丁进行了验证，并向企业客户输出有价值的补丁运营情报：

1.        系统依赖环境评估。有些补丁会对物理环境进行依赖，通过系统依赖环境评估找出补丁的环境依赖，并提供专业补丁运维建议。
2.        错误测试。对微软发布的补丁进行错误测试，防止出现各种兼容性错误。
3.        安全社区反馈验证。对安全社区里反馈的补丁问题进行二次验证。
4.        企业客户反馈验证。对于一些客户反馈的问题进行进一步验证，形成通用情报。
5.        云兼容测试。利用360大数据分析能力，根据海量用户升级行为来发现补丁的兼容性问题。

附录D关于本报告研究对象
蠕虫病毒是利用网络进行复制和传播的恶意程序，能够大量占用客户的网络资源，造成网络严重拥堵；

勒索软件又称敲诈者病毒，是近两年来影响最大的病毒族群，感染后会加密客户的文档，并向客户索要数字货币，作为文档解密的赎金；

挖矿木马是指非法植入客户的服务器或云主机，利用客户的计算资源生成数字货币的恶意程序；挖矿木马往往是远程控制程序，会给政企客户带来很大的安全隐患；

漏洞利用是一类特殊的恶意文件，很多是感染型病毒创建的快捷方式文件，这些文件利用系统漏洞引诱用户点击，其次很多是黑客工具类软件，还有一类是作为漏洞利用常规攻击手段的非系统（PE）文件。
来源 360企业安全

好！。