美国CPI今晚来袭，拐点将至？美联储还能嘴硬多久******

　　对于美国政府和美联储而言，通胀依然是眼前最重要的经济问题。外界正在密切关注周四将发布的2022年12月消费者价格指数CPI数据，超预期降温的数据可能让有关提前结束加息周期的猜测进一步升温，从而加剧风险资产的波动性。

　　不过美联储态度明面上尚未发生变化，多位官员连番发表鹰派言论，市场与美联储之间有关政策路径的博弈正在展开。

　　CPI月率或意外转跌

　　作为2月决议声明前为数不多的重磅数据，即将公布的通胀数据重要性不言而喻。华尔街最新预计，去年12月美国CPI同比增长从此前的7.1%放缓至6.5%，不考虑能源和食品的核心CPI同比增长5.7%。值得注意的是，CPI环比增速可能降至零以下，如果成为现实将是2020年5月以来的首次。

　　能源价格回落被视为物价降温的主要动力。美国汽车协会AAA数据显示，去年12月美国汽油价格下跌逾12%，燃料价格是过去一年CPI上行的重要推手。与此同时，受供应链瓶颈缓和及全球经济下行压力影响，上月工业金属等原材料价格也呈现调整态势。

　　上游原材料价格变动减轻了企业的成本压力。随着消费需求降温，去年底美国工厂活动持续承压。供应管理协会(ISM)12月制造业活动指数进一步回落至48.4，创2020年5月以来最低水平。分项指标中，生产价格指数已经回落到疫情以来的最低水平。

　　作为通胀的另一大组成部分，住房通胀压力也在缓解。抵押贷款利率飙升打压了房地产市场销售，房价涨幅迅速收窄，也影响了租房市场。美联储主席鲍威尔在去年12月议息会议后的新闻发布会上也提及了房租问题，认为只要租赁通胀指标持续下降，住房服务通胀会在某个时候开始回落。

　　根据Realtor.com的数据，全美租金涨幅已经连续十个月放缓，11月同比增速降至3.4%，这是19个月以来的最小涨幅。克利夫兰联储近日公布的研究指出，租金数据走势往往比CPI中的住房指标领先一年左右。

　　高盛首席经济学家哈齐乌斯(Jan Hatzius)本周发布报告表示，抵押贷款利率提高导致美国住房市场疲软，这将有助于将今年的核心通货膨胀率降至3%以下，低于联邦公开市场委员会FOMC 3.5%的预测。

　　相比之下，服务业通胀依然棘手。服务业从业人员占据美国就业的大部分，去年10月，服务业通胀一度增长超7%，这是自1982年以来的最快速度。嘉信理财指出，目前劳动力市场最紧张的行业基本都集中在服务业，这也推高了薪资压力和潜在的通胀风险。不过经济放缓已经开始冲击服务业，在连续扩张30个月之后，美国ISM非制造业指数在2022年年末跌破荣枯线，消费需求在经济不确定性下大幅萎缩，并开始影响包括科技在内的部分行业的就业岗位。

　　牛津经济研究院高级经济学家施瓦茨(Bob Schwartz)此前在接受第一财经记者采访时表示，服务价格对经济降温的抵抗力更强，与劳动力成本的联系更为紧密。尽管就业市场有所降温，但整体依然火热，低失业率环境下不少企业依然面临招聘困境和用工成本的挑战。

　　结合去年的市场情况，最新通胀数据可能会引发市场巨震。摩根大通分析师泰勒(Andrew Tyler)预计，任何显示美联储抗通胀行动取得进展的迹象都会刺激美股。“通胀降温应该有助于熊市反弹，因为现有的仓位部署可能导致市场对空头回补反应过度。如果CPI跌破6.4%，标普500指数或将上涨3%至3.5%。”他写道。

　　美联储保持嘴硬

　　与上周类似，本周以来多位美联储官员在讲话中继续传递“鹰派情绪”。旧金山联储主席戴利(Mary Daly)和亚特兰大联储主席博斯蒂克(Raphael Bostic)均暗示利率不仅需要继续上涨至5%以上，而且可能在一段时间内保持不变。美联储理事鲍曼(Michelle Bowman)认为，加息将持续到有令人信服的迹象表明通胀已经达到顶峰，并处于明显下降趋势，然后才会调整货币政策。

　　然而紧缩政策正在让经济不确定性升温。考虑到仍处于激进的紧缩周期中，周二世界银行预计今年美国经济增长将大幅放缓，落后于全球扩张的步伐。数据显示，美国内生产总值(GDP)增长率预计为0.5%，比此前的预测大幅下修1.9个百分点。

　　根据CME FedWatch工具，当前市场预计美联储在2月、3月分别加息25个基点的可能性徘徊于70%，而本轮加息周期的终端利率目标区间指向4.75%至5%，同时四季度有望降息。受此影响，美元指数震荡回落，目前已经较去年9月创下的20年高位跌去近11%，投资者押注通胀降温和经济风险将让美联储提前转向。

　　施瓦茨向第一财经记者表示，美联储离考虑政策转向还很遥远。但从强调考虑货币政策的累积效应的角度看，经济压力下未来逐步放缓加息步伐是合理的。他预计未来可能还有50-75个基点的加息空间，随后将保持一段时间，目前降息显然还不在美联储内部的讨论范围内。

　　而摩根大通CEO 戴蒙(Jamie Dimon)认为，加息到5%的水平可能还不够，美联储可能需要加息至超出当前预期的水平，有50%的概率升至6%。他在接受美媒采访时表示，虽然美联储之前的步伐有点慢，现在正在迎头赶上。风险依然存在，比如俄乌冲突和量化紧缩的影响。因此他赞成美联储考虑暂停加息，以了解加息的全部影响。

莫再等闲视之！挖矿病毒其实与你近在咫尺******

　　近年来，由于虚拟货币的暴涨，受利益驱使，黑客也瞄准了虚拟货币市场，其利用挖矿脚本来实现流量变现，使得挖矿病毒成为不法分子利用最为频繁的攻击方式之一。

　　由亚信安全梳理的《2021年度挖矿病毒专题报告》（简称《报告》）显示，在过去的一年，挖矿病毒攻击事件频发，亚信安全共拦截挖矿病毒516443次。从2021年1月份开始，挖矿病毒有减少趋势，5月份开始，拦截数量逐步上升，6月份达到本年度峰值，拦截次数多达177880次。通过对数据进行分析发现，6月份出现了大量挖矿病毒变种，因此导致其数据激增。

　　不仅老病毒变种频繁，新病毒也层出不穷。比如，有些挖矿病毒为获得利益最大化，攻击企业云服务器；有些挖矿病毒则与僵尸网络合作，快速抢占市场；还有些挖矿病毒在自身技术上有所突破，利用多种漏洞攻击方法。不仅如此，挖矿病毒也在走创新路线，伪造CPU使用率，利用Linux内核Rootkit进行隐秘挖矿等。

　　从样本数据初步分析来看，截止到2021年底，一共获取到的各个家族样本总数为12477248个。其中，Malxmr家族样本总共收集了约300万个，占比高达67%，超过了整个挖矿家族收集样本数量的一半；Coinhive家族样本一共收集了约84万个，占比达到18%；Toolxmr家族样本一共收集了约64万个，占比达到14%。排名前三位的挖矿病毒占据了整个挖矿家族样本个数的99%。

　　挖矿病毒主要危害有哪些？

　　一是能源消耗大，与节能减排相悖而行。

　　虽然挖矿病毒单个耗电量不高，能耗感知性不强，但挖矿病毒相比于专业“挖矿”，获得同样算力价值的前提下，耗电量是后者的500倍。

　　二是降低能效，影响生产。

　　挖矿病毒最容易被感知到的影响就是机器性能会出现严重下降，影响业务系统的正常运行，严重时可能出现业务系统中断或系统崩溃。直接影响企业生产，给企业带来巨大经济损失。

　　三是失陷主机沦为肉鸡，构建僵尸网络。

　　挖矿病毒往往与僵尸网络紧密结合，在失陷主机感染挖矿病毒的同时，可能已经成为黑客控制的肉鸡电脑，黑客利用失陷主机对网内其他目标进行攻击，这些攻击包括内网横向攻击扩散、对特定目标进行DDoS攻击、作为黑客下一步攻击的跳板、将失陷主机作为分发木马的下载服务器或C&C服务器等。

　　四是失陷主机给企业带来经济及名誉双重损失。

　　失陷主机在感染挖矿病毒同时，也会被安装后门程序，远程控制软件等。这些后门程序长期隐藏在系统中，达到对失陷主机的长期控制目的，可以向主机中投放各种恶意程序，盗取服务器重要数据，使受害企业面临信息泄露风险。不仅给而企业带来经济损失，还会带来严重的名誉损失。

　　2021年挖矿病毒家族分布

　　挖矿病毒如何进入系统而最终获利？

　　挖矿病毒攻击杀伤链包括：侦察跟踪、武器构建、横向渗透、荷载投递、安装植入、远程控制和执行挖矿七个步骤。

　　通俗地说，可以这样理解：

　　攻击者首先搜寻目标的弱点

　　↓

　　使用漏洞和后门制作可以发送的武器载体，将武器包投递到目标机器

　　↓

　　在受害者的系统上运行利用代码，并在目标位置安装恶意软件，为攻击者建立可远程控制目标系统的路径

　　↓

　　释放挖矿程序，执行挖矿，攻击者远程完成其预期目标。

　　图片来源网络

　　挖矿病毒攻击手段不断创新，呈现哪些新趋势？

　　●漏洞武器和爆破工具是挖矿团伙最擅长使用的入侵武器，他们使用新漏洞武器的速度越来越快，对防御和安全响应能力提出了更高要求；

　　●因门罗币的匿名性极好，已经成为挖矿病毒首选货币。同时“无文件”“隐写术”等高级逃逸技术盛行，安全对抗持续升级；

　　●国内云产业基础设施建设快速发展，政府和企业积极上云，拥有庞大数量工业级硬件的企业云和数据中心将成为挖矿病毒重点攻击目标；

　　●为提高挖矿攻击成功率，一方面挖矿病毒采用了Windows和Linux双平台攻击；另一方面则持续挖掘利益最大化“矿机”，引入僵尸网络模块，使得挖矿病毒整体的攻击及传播能力得到明显的提升。

　　用户如何做好日常防范？

　　1、优化服务器配置并及时更新

　　开启服务器防火墙，服务只开放业务端口，关闭所有不需要的高危端口。比如，137、138、445、3389等。

　　关闭服务器不需要的系统服务、默认共享。

　　及时给服务器、操作系统、网络安全设备、常用软件安装最新的安全补丁，及时更新 Web 漏洞补丁、升级Web组件，防止漏洞被利用，防范已知病毒的攻击。

　　2、强口令代替弱密码

　　设置高复杂度密码，并定期更换，多台主机不使用同一密码。

　　设置服务器登录密码强度和登录次数限制。

　　在服务器配置登录失败处理功能，配置并启用结束会话、限制非法登录次数和当登录次数链接超时自动退出等相关防范措施。

　　3、增强网络安全意识

　　加强所有相关人员的网络安全培训，提高网络安全意识。

　　不随意点击来源不明的邮件、文档、链接，不要访问可能携带病毒的非法网站。

　　若在内部使用U盘，需要先进行病毒扫描查杀，确定无病毒后再完全打开使用。

　　（策划：李政葳 制作：黎梦竹）