网思科平智能防御体系目前已经在诸多领域进行部署，包括金融、能源、政府、国防和运营商等重点行业。通过防御体系监测诸多攻击风险，现简要分享如下。

本警情只提供概述性描述，具体的样本，报告和IOC等详细信息请联系公司客服。

一.疑似勒索软件Wanncry的横向攻击蠕虫被发现

事件地点 某大型能源企业

事件时间 12/27/2017

样本类型 蠕虫病毒

事件关联 Wanncry勒索事件

事件描述

该集团部署网思科平的终端侦测与响应系统（EDR），在警情分析过程中，威胁分析师们发现某终端内存在高风险威胁动作，经过分析和排查，发现该终端“Morto蠕虫”的变种，通过样本详细分析并结合相关的威胁情报，发现该样本与Wanncry事件有直接关联，样本最新的更新时间为18/04/2017，离该集团大规模感染Wanncry只相隔20天。有充分的证据表明，该样本在本次勒索事件中承担着攻击载荷投递等重要工作，且其在内网传播的方式更加贴近实战，和2018年预测的主流攻击一致，属于国家组织行为的攻击手法。

在此之前，我们认为只有Trojan.Alphanc和Trojan.Bravonc两类木马负责了整个勒索攻击事件的载荷投递，此次发现为国内首次。

二.僵尸网络病毒TheMoon被发现

事件地点 某大型能源集团

事件时间 3/5/2018

样本类型 僵尸网络病毒

事件关联 TheMoon 僵尸网络

该集团部署网思科平的网蝎服务器威胁监测系统，在警情分析过程中，威胁分析师们发现某终端内存在高风险威胁动作，经过分析和排查，发现该终端感染了针对IoT设备的病毒，通过样本详细分析并结合相关的威胁情报，发现该样本隶属于TheMoon僵尸网络家族，该僵尸网络近期较为活跃，其一旦感染内网，便利用IoT设备漏洞以蠕虫式的传播手段扩大感染面积，并将已感染的网络作为其代理资源池，并通过母体接收模块执行其它恶意行为。

近期IoT设备安全问题频发，这些问题主要表现为传统安全问题在新领域的复制，直接导致严防死守的网络环境出现了一捅就破的窗户纸，这使得IoT设备成为越来越多的攻击者的目标。通过部署网思科平的网蝎服务器威胁监测系统，能够将整个防御体系立体化，成为保护生产环境安全的坚实盾牌，避免百密而一疏的情况发生。