莫再等闲视之�����!挖矿病毒其实与你近在咫尺******
近年来�����,由于虚拟货币的暴涨,受利益驱使,黑客也瞄准了虚拟货币市场,其利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁�����的攻击方式之一�����。
由亚信安全梳理�����的《2021年度挖矿病毒专题报告》(简称《报告》)显示�����,在过去�����的一年�����,挖矿病毒攻击事件频发,亚信安全共拦截挖矿病毒516443次。从2021年1月份开始,挖矿病毒有减少趋势,5月份开始,拦截数量逐步上升�����,6月份达到本年度峰值�����,拦截次数多达177880次。通过对数据进行分析发现�����,6月份出现了大量挖矿病毒变种,因此导致其数据激增�����。
不仅老病毒变种频繁,新病毒也层出不穷�����。比如,有些挖矿病毒为获得利益最大化,攻击企业云服务器�����;有些挖矿病毒则与僵尸网络合作,快速抢占市场;还有些挖矿病毒在自身技术上有所突破,利用多种漏洞攻击方法。不仅如此�����,挖矿病毒也在走创新路线,伪造CPU使用率�����,利用Linux内核Rootkit进行隐秘挖矿等�����。
从样本数据初步分析来看,截止到2021年底�����,一共获取到�����的各个家族样本总数为12477248个。其中�����,Malxmr家族样本总共收集了约300万个�����,占比高达67%,超过了整个挖矿家族收集样本数量�����的一半�����;Coinhive家族样本一共收集了约84万个,占比达到18%;Toolxmr家族样本一共收集了约64万个,占比达到14%。排名前三位的挖矿病毒占据了整个挖矿家族样本个数�����的99%�����。
挖矿病毒主要危害有哪些?
一�����是能源消耗大�����,与节能减排相悖而行�����。
虽然挖矿病毒单个耗电量不高,能耗感知性不强,但挖矿病毒相比于专业“挖矿”,获得同样算力价值�����的前提下,耗电量是后者的500倍。
二是降低能效�����,影响生产。
挖矿病毒最容易被感知到的影响就�����是机器性能会出现严重下降�����,影响业务系统�����的正常运行�����,严重时可能出现业务系统中断或系统崩溃。直接影响企业生产�����,给企业带来巨大经济损失�����。
三�����是失陷主机沦为肉鸡�����,构建僵尸网络�����。
挖矿病毒往往与僵尸网络紧密结合,在失陷主机感染挖矿病毒的同时�����,可能已经成为黑客控制的肉鸡电脑,黑客利用失陷主机对网内其他目标进行攻击�����,这些攻击包括内网横向攻击扩散、对特定目标进行DDoS攻击�����、作为黑客下一步攻击�����的跳板、将失陷主机作为分发木马的下载服务器或C&C服务器等�����。
四是失陷主机给企业带来经济及名誉双重损失�����。
失陷主机在感染挖矿病毒同时,也会被安装后门程序�����,远程控制软件等。这些后门程序长期隐藏在系统中�����,达到对失陷主机的长期控制目�����的,可以向主机中投放各种恶意程序�����,盗取服务器重要数据,使受害企业面临信息泄露风险。不仅给而企业带来经济损失,还会带来严重�����的名誉损失�����。
2021年挖矿病毒家族分布
挖矿病毒如何进入系统而最终获利�����?
挖矿病毒攻击杀伤链包括:侦察跟踪、武器构建�����、横向渗透、荷载投递�����、安装植入、远程控制和执行挖矿七个步骤�����。
通俗地说,可以这样理解:
攻击者首先搜寻目标的弱点
↓
使用漏洞和后门制作可以发送�����的武器载体�����,将武器包投递到目标机器
↓
在受害者�����的系统上运行利用代码�����,并在目标位置安装恶意软件,为攻击者建立可远程控制目标系统的路径
↓
释放挖矿程序�����,执行挖矿,攻击者远程完成其预期目标�����。
图片来源网络
挖矿病毒攻击手段不断创新�����,呈现哪些新趋势�����?
●漏洞武器和爆破工具�����是挖矿团伙最擅长使用�����的入侵武器�����,他们使用新漏洞武器�����的速度越来越快�����,对防御和安全响应能力提出了更高要求�����;
●因门罗币的匿名性极好,已经成为挖矿病毒首选货币�����。同时“无文件”“隐写术”等高级逃逸技术盛行�����,安全对抗持续升级�����;
●国内云产业基础设施建设快速发展,政府和企业积极上云,拥有庞大数量工业级硬件�����的企业云和数据中心将成为挖矿病毒重点攻击目标;
●为提高挖矿攻击成功率�����,一方面挖矿病毒采用了Windows和Linux双平台攻击�����;另一方面则持续挖掘利益最大化“矿机”,引入僵尸网络模块,使得挖矿病毒整体的攻击及传播能力得到明显的提升�����。
用户如何做好日常防范?
1�����、优化服务器配置并及时更新
开启服务器防火墙�����,服务只开放业务端口,关闭所有不需要�����的高危端口。比如,137、138�����、445�����、3389等�����。
关闭服务器不需要的系统服务、默认共享�����。
及时给服务器�����、操作系统�����、网络安全设备、常用软件安装最新的安全补丁�����,及时更新 Web 漏洞补丁�����、升级Web组件,防止漏洞被利用,防范已知病毒�����的攻击�����。
2、强口令代替弱密码
设置高复杂度密码�����,并定期更换�����,多台主机不使用同一密码�����。
设置服务器登录密码强度和登录次数限制。
在服务器配置登录失败处理功能�����,配置并启用结束会话�����、限制非法登录次数和当登录次数链接超时自动退出等相关防范措施�����。
3、增强网络安全意识
加强所有相关人员�����的网络安全培训,提高网络安全意识。
不随意点击来源不明的邮件�����、文档�����、链接,不要访问可能携带病毒的非法网站�����。
若在内部使用U盘,需要先进行病毒扫描查杀�����,确定无病毒后再完全打开使用。
(策划:李政葳 制作:黎梦竹)
养老“第三支柱”如何撑起来?金融机构等积极性高涨******
养老“第三支柱”如何撑起来?
阅读提示
截至2022年底�����,个人养老金缴费人数613万人�����,总缴费金额142亿元……个人养老金制度实施后�����,金融机构等积极性高涨,个人养老金行情迅速升温�����。目前�����,收入较高且接近退休年龄�����的人群积极性较高�����。未来�����,个人养老金制度有待进一步调整优化,进一步提升产品吸引力�����。
去年12月底�����,在北京一家国企工作�����的张华开通了个人养老金账户�����,并“顶格”存入了1.2万元�����,为自己的未来养老“支”起了第三支柱�����。
2022年11月25日,人社部、财政部�����、国家税务总局三部门发布通知�����,明确个人养老金制度在北京、天津、上海等36个先行城市和地区启动实施。银行金融机构等积极性高涨�����,个人养老金行情迅速升温�����。
数据显示�����,截至2022年底,个人养老金参加人数1954万人�����,缴费人数613万人,总缴费金额142亿元。人们对个人养老金到底�����是怎么看�����的�����?《工人日报》记者对此进行了采访�����。
金融机构等积极性高涨
2022年12月初�����,为了帮在银行工作的高中同学完成年底工作量考核,在天津一家设计院工作的刘伟线上开通了个人养老金账户,并存入了1元钱。“过程不复杂�����,填写相关信息,进行短信验证,就开户成功了”�����。
记者在采访中发现�����,有不少人和刘伟一样�����,是被在银行工作�����的熟人拉着入局的�����。
个人养老金制度开始试点后,首批有23家银行可以开通个人养老金账户,包括6大国有银行�����、12家股份制银行以及5家城商行。
一场客户争夺战也由此打响�����。各大银行纷纷通过返现金、赠送消费券�����、积分等手段“拉新”�����。2022年12月29日,词条“每周60个新开户指标�����,个人养老金争夺战下�����的银行理财经理‘喊苦’”一度冲上热搜。
刘伟在开户后�����,获得了50元现金返现�����。对于�����是否继续往个人养老金账户存钱,他仍持观望态度。
税优�����是个人养老金的吸引力之一。按照制度安排�����,个人养老金开户后,可以在综合所得或经营所得中按照个人养老金的实际缴费金额进行税前抵扣。刘伟表示�����,自己的年收入在12万元左右�����,本身交税就不多,因此减税效果并不明显�����,可以再等等看。
个人养老金背后�����的“两本账”
与持观望态度�����的刘伟不同,在北京一家国企工作�����的张华开通个人养老金账户经过了深思熟虑�����。
2016年开始,他所在的企业开始为职工缴纳企业年金�����,这为张华�����的养老支起了第二支柱�����。这次开通个人养老金账户,张华是想“支”起第三支柱,为自己养老多一份保障�����。
张华今年35岁�����,年收入在35万元左右�����,他给记者算了这样一笔减税账�����。
除去包括房贷、赡养老人两项专项附加扣除在内�����的各项扣除�����,他年度应纳税所得额约在18万元左右�����,适用于20%�����的税率档位。如果能再扣除1.2万元的个人养老金�����,那一年可以少交税2400元,按60岁退休计算,他可以少交6万元�����。
关于投资收益�����,根据制度安排�����,在投资环节�����,计入个人养老金资金账户的投资收益暂不征收个税;在领取环节�����,个人领取的个人养老金,不并入综合所得�����,单独按照3%�����的税率计算缴纳个税。
张华告诉记者�����,对于养老产品投资�����,他更看重�����的�����是稳健性�����,而非高收益�����。因此�����,他更倾向于选择相对保守的储蓄�����,“相当于为未来养老多存了一笔钱”。
按照3%�����的年化收益率计算�����,张华如果每年持续缴纳1.2万元,缴纳25年至退休,缴税后�����,他能从个人养老金账户中拿到43.71万元�����。
在福州一家国有银行工作人员张欢看来,个人养老金更适合年收入在20万元以上�����的人群�����。在她接触的开户客户中,收入较高且接近退休年龄�����的人群,积极性普遍较高。
提升个人养老金制度吸引力
由于个人养老金采取市场化运营�����,不可避免地会存在投资风险�����。那么,普通人该如何合理使用存入养老金个人账户里的资金购买养老金融产品?
中国养老金融50人论坛秘书长董克用建议,投资者要根据自己的年龄�����、财务情况和心理承受能力进行投资�����。比如�����,年轻人可以选择购买风险相对高的养老基金和养老理财产品�����,中年人投资要趋向稳健,接近退休年龄�����的人�����,可以选择相对保守的养老储蓄产品。
根据规定�����,个人养老金产品由金融监管部门确定�����,进入个人养老金“白名单”�����的产品要具备运作安全、成熟稳定、标的规范�����、侧重长期保值4个属性�����,从而更好保障退休人员的生活。《个人养老金实施办法》也强调�����,销售机构要以“销售适当性”为原则�����,做好风险提示�����,不得主动向参加人推介超出其风险承受能力的个人养老金产品�����。
下一步,个人养老金制度如何更好地完善、发展?中国人民银行前行长�����、全国社保基金理事会前理事长戴相龙建议,今后�����,可以把个人养老金最高限额提高到1.8万元以上,扩大税收优惠�����。同时,对个人养老金�����的投资收益率实行保底,加大政策扶持力度�����,以进一步提升大家参与个人养老金的热情�����。
“为了适应劳动力市场灵活化趋势�����,未来的个人养老金制度可以考虑将第二支柱(企业年金和职业年金)和第三支柱(个人储蓄型养老保险和商业养老保险)打通�����,或者建立两者之间的衔接办法�����。”中国人民大学教授、中国社会保障学会秘书长鲁全指出,目前�����,第二支柱是由劳动者和用人单位共同缴费,如果劳动者换了工作�����,新单位又没有企业年金计划,那么他�����的第二支柱就会中断。他建议�����,增强第二支柱和第三支柱之间�����的协同功能。(文中刘伟 张华 张欢为化名)
王维砚
(文图�����:赵筱尘 巫邓炎)
[责编:天天中]
微信好友 
朋友圈 
)
玛雅彩票地图