返回頂部
隱藏或顯示

新聞動態

News

純干貨 | 網絡安全態勢洞察報告2019-04

/ 2019-05-20

網絡安全狀況概述


2019年4月,互聯網網絡安全狀況整體指標平穩,但各類安全事件依然時有發生。從深信服安全云腦捕獲的攻擊事件來看,病毒攻擊手段多種多樣,包括繞過殺毒軟件無文件木馬攻擊,還有偽裝國家機關發送釣魚郵件進行攻擊等,隱蔽性更強,入侵后會上傳多種僵尸網絡木馬及挖礦程序,難以徹底清除。

信息泄露事件在4月頻發,包括某平臺超過1億用戶個人數據被暴露在互聯網,公職人員泄露公民信息獲利,三分之二的酒店網站泄露客人預訂信息給第三方等,給用戶人身安全、財產安全帶來了隱患。此外,監測數據顯示,網站攻擊數量在4月小幅上升,并且CSRF跨站請求偽造、點擊劫持等問題也較為嚴重。


4月,深信服安全云腦累計發現:

  • 惡意攻擊19.6億次,平均每天攔截惡意程序6533萬次。

  • 活躍惡意程序30035個,其中感染型病毒6852個,占比22.81%;木馬遠控病毒13733個,占比45.72%。挖礦病毒種類502個,攔截次數12.29億次,較3月上升25%,其中Minepool病毒家族最為活躍

深信服漏洞監測平臺對國內已授權的5661個站點進行漏洞監控,發現:

  • 高危站點1991個,高危漏洞24495個,漏洞類別主要是CSRF跨站請求偽造,占比88%。

  • 監控在線業務6724個,共識別潛在篡改的網站有179個,篡改總發現率高達2.66%


惡意程序活躍詳情


2019年4月,病毒攻擊的態勢在4月呈現上升態勢,病毒攔截量比3月份上升近20%,近半年攔截惡意程序數量趨勢如下圖所示:


2019年4月,深信服安全云腦檢測到的活躍惡意程序樣本有30035個,其中木馬遠控病毒13733個,占比45.72%,感染型病毒6852個,占比22.81%,蠕蟲病毒6461個,占比21.51%,挖礦病毒502個,占比1.67%,勒索病毒419個,占比1.4%。


4月總計攔截惡意程序19.60億次,其中挖礦病毒的攔截量占比62.72%,其次是木馬遠控病毒(12.57%)、蠕蟲病毒(12.5%)、感染型病毒(8.82%)、后門軟件(2.31%)、勒索病毒(0.97%)。


1. 勒索病毒活躍狀況


2019年4月,共攔截活躍勒索病毒1893萬次。其中,WannaCry、Razy、GandCrab依然是最活躍的勒索病毒家族,其中WannaCry家族4月攔截數量有1098萬次,危害依然較大。

從勒索病毒傾向的行業來看,企業和教育感染病毒數量占總體的51%,是黑客最主要的攻擊對象,具體活躍病毒行業分布如下圖所示:

從勒索病毒受災地域上看,廣東地區受感染情況最為嚴重,其次是四川省和浙江省

2.挖礦病毒活躍狀況


2019年4月,深信服安全云腦在全國共攔截挖礦病毒12.29億次,比3月上升25%,其中最為活躍的挖礦病毒是Minepool、Xmrig、Wannamine、Bitcoinminer,特別是Minepool家族,共攔截5.03億次。同時監測數據顯示,被挖礦病毒感染的地域主要有廣東、浙江、北京等地,其中廣東省感染量全國第一。

被挖礦病毒感染的行業分布如下圖所示,其中企業受挖礦病毒感染情況最為嚴重,感染比例和3月基本持平,其次是政府和教育行業。

3.感染型病毒活躍狀況


2019年4月,深信服安全云腦檢測并捕獲感染型病毒樣本6852個,共攔截1.73億次。其中Virut家族是4月攻擊態勢最為活躍的感染型病毒家族,共被攔截1.18億次,此家族占了所有感染型病毒攔截數量的68.15%;而排名第二第三的是Sality和Wapomi家族,4月攔截比例分別是18.34%和3.96%。4月份感染型病毒活躍家族TOP榜如下圖所示:

在感染型病毒危害地域分布上,廣東省(病毒攔截量)位列全國第一,占TOP10總量的35%,其次為廣西壯族自治區和浙江省

從感染型病毒攻擊的行業分布來看,黑客更傾向于使用感染型病毒攻擊企業、教育、政府等行業。企業、教育、政府的攔截數量占攔截總量的76%,具體感染行業分布如下圖所示:

4.木馬遠控病毒活躍狀況


深信服安全云腦4月全國檢測到木馬遠控病毒樣本13733個,共攔截2.46億次,攔截量較3月上升23%。其中最活躍的木馬遠控家族是Drivelife,攔截數量達5756萬次,其次是Zusy、Injector。具體分布數據如下圖所示:

對木馬遠控病毒區域攔截量進行分析統計發現,惡意程序攔截量最多的地區為廣東省,占TOP10攔截量的 30%,較3月份有所增加;其次為浙江(13%)、北京(12%)、四川(10%)和湖北(7%)。此外山東、上海、湖南、江西、江蘇的木馬遠控攔截量也排在前列。

行業分布上,企業、教育及政府行業是木馬遠控病毒的主要攻擊對象。

5.蠕蟲病毒活躍狀況


2019年4月深信服安全云腦在全國檢測到蠕蟲病毒樣本6461個,共攔截2.45億次,但通過數據統計分析來看,大多數攻擊都是來自于Ramnit、Gamarue、Jenxcus、Conficker、Dorkbot、Faedevour、Mydoom、Small家族,這些家族占據了4月全部蠕蟲病毒攻擊的97%,其中攻擊態勢最活躍的蠕蟲病毒是Ramnit,占蠕蟲病毒攻擊總量的48.52%。

從感染地域上看,廣東地區用戶受蠕蟲病毒感染程度最為嚴重,其攔截量占TOP10比例的30%;其次為湖南省(14%)、江西省(11%)。

從感染行業上看,企業、教育等行業受蠕蟲感染程度較為嚴重。

網絡安全攻擊趨勢分析


深信服全網安全態勢感知平臺監測到全國34808個IP在4月所受網絡攻擊總量約為4.8億次。4月攻擊態勢較上月有小幅上升。下圖為近半年深信服網絡安全攻擊趨勢監測情況:

1. 安全攻擊趨勢


下面從攻擊類型分布和重點漏洞攻擊分析2個緯度展示4月安全攻擊趨勢:


(1)攻擊類型分布


通過對深信服安全云腦日志數據分析可以看到,4月捕獲攻擊以WebServer漏洞利用、系統漏洞利用、Web掃描、信息泄露和Webshell上傳等分類為主。其中WebServer漏洞利用類型的占比更是高達52.30%,有近億的攻擊次數;系統漏洞利用類型占比17.80%;Web掃描類型的漏洞占比7.60%。

主要攻擊種類和比例如下:


(2)重點漏洞攻擊分析


通過對深信服安全云腦日志數據分析,針對漏洞的攻擊情況篩選出4月攻擊利用次數最高的漏洞TOP20。


其中攻擊次數前三的漏洞分別是Apache Web Server ETag Header 信息泄露漏洞、test.php、test.aspx、test.asp等文件訪問檢測漏洞和Microsoft Windows Server 2008/2012 - LDAP RootDSE Netlogon 拒絕服務漏洞,攻擊次數分別為21486195、18302033和18115723。整體較上月均有下降。



2. 高危漏洞攻擊趨勢跟蹤


深信服安全團隊對重要軟件漏洞進行深入跟蹤分析,近年來Java中間件遠程代碼執行漏洞頻發,同時受永恒之藍影響,使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式。


2019年4月,Windows SMB日志量達千萬級,近幾月攻擊持上升趨勢,其中攔截到的(MS17-010)Microsoft Windows SMB Server 遠程代碼執行漏洞攻擊利用日志最多;Struts2系列漏洞攻擊趨勢近幾月攻擊次數波動較大,Weblogic系列漏洞的攻擊也程波動狀態,4月僅攔截不到四十萬攻擊日志;PHPCMS系列漏洞結束了前幾月持續上升的趨勢。


Windows SMB 系列漏洞攻擊趨勢跟蹤情況:

Struts 2系列漏洞攻擊趨勢跟蹤情況:

Weblogic系列漏洞攻擊趨勢跟蹤情況:

PHPCMS系列漏洞攻擊趨勢跟蹤情況:

網絡安全漏洞分析


1. 全國網站漏洞類型統計


深信服網站安全監測平臺4月對國內已授權的5661個站點進行漏洞監控,4月發現的高危站點1991個,高危漏洞24495個,漏洞類別里CSRF跨站請求偽造占比88%,詳細高危漏洞類型分布如下:

具體比例如下:


2.篡改情況統計


深信服網站安全監測平臺4月共監控在線業務6724個,共識別潛在篡改的網站179個,篡改總發現率高達2.66%。

其中首頁篡改120個,二級頁面篡改46個,多級頁面篡改13個。

具體分布圖如下圖所示:

上圖可以看出,網站首頁篡改為篡改首要插入位置,成為黑客利益輸出首選。


近期流行攻擊事件及安全漏洞盤點


1.流行攻擊事件


(1)識別使用隨機后綴的勒索病毒Golden Axe

國外安全研究員在3月發現了一款名為Golden Axe的勒索病毒,Golden Axe是一款用go語言編寫的勒索病毒,使用基于RSA公匙加密體系的郵件加密軟件PGP開源代碼對文件進行加密。

具體詳見:識別使用隨機后綴的勒索病毒Golden Axe

(2)警惕!GandCrab5.2勒索病毒偽裝國家機關發送釣魚郵件進行攻擊

4月,包括金融行業在內的多家企業反饋,其內部員工收到可疑郵件。郵件發件人顯示為“National Tax Service”(譯為“國家稅務局”),郵箱地址為[email protected],意圖偽裝成美國政府專用的郵箱地址gov.us,郵件內容是傳訊收件人作為被告審訊。

具體詳見:警惕!GandCrab5.2勒索病毒偽裝國家機關發送釣魚郵件進行攻擊

(3)手把手教你解密Planetary勒索病毒

國外安全研究人員曝光了一種名為Planetary的勒索病毒家族,該勒索病毒家族最早于2018年12月被發現,使用AES-256加密算法加密文件,通常通過RDP爆破或垃圾郵件進行傳播,重點攻擊對象是使用英語的用戶群體,但在中國和日本地區都發現了遭到攻擊的用戶。

具體詳見:手把手教你解密Planetary勒索病毒

(4)linux挖礦病毒DDG改造后重出江湖蔓延Windows平臺

深信服安全團隊在4月捕獲了Linux、windows雙平臺的挖礦病毒樣本,通過安全人員分析確認,該木馬是通過redis漏洞傳播的挖礦木馬DDG的最新變種,使用當前最新的go語言1.10編譯并且使用了大量的基礎庫文件,該木馬會大量消耗服務器資源,難以清除并具有內網擴散功能。

具體詳見:linux挖礦病毒DDG改造后重出江湖蔓延Windows平臺

(5)【樣本分析】門羅幣挖礦+遠控木馬樣本分析

近期,深信服安全團隊在對可疑下載類樣本進行分析時,發現了一個門羅幣挖礦和木馬的雙功能樣本。該樣本會在執行挖礦的同時,通過C2配置文件,到指定站點下載具有遠控功能的樣本,獲取受害主機信息,并進一步控制受害主機。

具體詳見:【樣本分析】門羅幣挖礦+遠控木馬樣本分析

(6)真假文件夾?FakeFolder病毒再次搗亂企業內網

4月,深信服安全團隊接到客戶反饋,內網中出現了大量偽造成文件夾的可疑exe文件,刪掉以后仍會反復。經分析發現,這是一個蠕蟲病毒FakeFolder,該病毒會通過U盤及共享文件夾進行傳播,一旦主機感染了該病毒,系統中的文件夾都會被隱藏,取而代之的是一個偽裝的病毒文件,當用戶運行病毒文件時,也會彈出對應文件夾的窗口,因此不易被察覺;只要系統中還殘留著一個FakeFolder病毒文件,就會對主機進行反復感染。

具體詳見:真假文件夾?FakeFolder病毒再次搗亂企業內網

(7)警惕!利用Confluence最新漏洞傳播的Linux挖礦病毒seasame

4月,深信服EDR產品率先檢測到一款新型Linux挖礦木馬,經分析,該病毒利用Confluence漏洞傳播,通過定時下載對病毒體進行保活,同時由于病毒會殺掉包含“https://”、“http://”的進程,將導致用戶無法下載文件及訪問網頁,挖礦進程會導致服務器出現卡頓等異常現象。深信服安全團隊根據其母體文件名將其命名為seasame。

具體詳見:警惕!利用Confluence最新漏洞傳播的Linux挖礦病毒seasame

(8)謹防“神秘人”勒索病毒X_Mister偷襲

4月,國外某安全論壇公布了一款類似Globelmposter的新型勒索病毒,此勒索病毒的某些行為與Globelmposter類似,因聯系郵箱中帶有x_mister而被命名為X_Mister(“神秘人”)勒索病毒,該勒索病毒使用RSA+DES算法加密文件,自身不具備橫向感染功能,通常由攻擊者對目標進行RDP爆破后手動投放,或通過垃圾郵件傳播,且加密完成后會進行自刪除。

具體詳見:謹防“神秘人”勒索病毒X_Mister偷襲

(9)警惕“俠盜”團伙利用新型漏洞傳播GandCrab勒索“藍屏”變種

近期,深信服安全團隊捕獲到利用Confluence新型漏洞傳播勒索病毒的事件,已有政企機構受到攻擊,黑客團伙通過漏洞利用入侵服務器,上傳Downloader腳本文件,連接C&C端下載運行勒索病毒。通過樣本中提取的IP進行關聯,該攻擊事件與利用Confluence漏洞(CVE-2019-3396)傳播GandCrab勒索病毒攻擊事件有密切的關聯。

具體詳見:警惕“俠盜”團伙利用新型漏洞傳播GandCrab勒索“藍屏”變種


2. 安全漏洞事件


(1)【漏洞預警】Apache HTTP Server組件提權漏洞(CVE-2019-0211)

Apache HTTP Server官方發布了Apache HTTP Server 2.4.39版本的更新,該版本修復了一個漏洞編號為CVE-2019-0211的提權漏洞,漏洞等級高危,根據深信服安全團隊分析,該漏洞影響嚴重,攻擊者可以通過上傳攻擊腳本在目標服務器上進行提權攻擊,該漏洞在非*nix平臺不受影響。

具體詳見:【漏洞預警】Apache HTTP Server組件提權漏洞(CVE-2019-0211)

(2)【攻擊捕獲】JeeCMS漏洞竟淪為黑產SEO的秘密武器?

深信服安全感知平臺在4月發現客戶服務器中的文件遭篡改,植入博彩頁面。經排查,發現大量網頁文件被篡改,且被篡改的時間非常密集。

具體詳見:【攻擊捕獲】JeeCMS漏洞竟淪為黑產SEO的秘密武器?

(3)Apache Tomcat 遠程代碼執行漏洞(CVE-2019-0232)預警

4月,Apache Tomcat官方團隊在最新的安全更新中披露了一則Apache Tomcat 遠程代碼執行漏洞(CVE-2019-0232)。漏洞官方定級為 High,屬于高危漏洞。該漏洞本質是在啟用了enableCmdLineArguments的Windows上運行時,由于JRE將命令行參數傳遞給Windows的方式存在錯誤,通過此漏洞,CGI Servlet可以受到攻擊者的遠程執行代碼攻擊。

具體詳見:Apache Tomcat 遠程代碼執行漏洞(CVE-2019-0232)預警

(4)【漏洞預警】WebLogic任意文件上傳漏洞(CVE-2019-2618)

Oracle官方在最新的安全更新中披露了一則WebLogic任意文件上傳漏洞(CVE-2019-2618)。漏洞官方定級為High,屬于高危漏洞。該漏洞本質是通過OAM認證后,利用DeploymentService接口實現任意文件上傳。攻擊者可以利用該漏洞獲取服務器權限。

具體詳見:【漏洞預警】WebLogic任意文件上傳漏洞(CVE-2019-2618)

(5)【漏洞預警】Spring Cloud Config目錄遍歷漏洞(CVE-2019-3799)

Spring官方團隊在最新的安全更新中披露了一則Spring Cloud Config目錄遍歷漏洞(CVE-2019-3799)。漏洞官方定級為 High,屬于高危漏洞。該漏洞本質是允許應用程序通過spring-cloud-config-server模塊獲取任意配置文件,攻擊者可以構造惡意URL實現目錄遍歷漏洞的利用。

具體詳見:【漏洞預警】Spring Cloud Config目錄遍歷漏洞(CVE-2019-3799)

(6)【漏洞預警】WebLogic wls-async 反序列化遠程命令執行漏洞

CNVD安全公告中披露了一則WebLogic wls-async 反序列化遠程命令執行漏洞(CNVD-C-2019-48814)。漏洞定級為 High,屬于高危漏洞。該漏洞本質是由于 wls9-async組件在反序列化處理輸入信息時存在缺陷,未經授權的攻擊者可以發送精心構造的惡意 HTTP 請求,獲取服務器權限,實現遠程命令執行。

具體詳見:【漏洞預警】WebLogic wls-async 反序列化遠程命令執行漏洞

安全防護建議


黑客入侵的主要目標是存在通用安全漏洞的機器,所以預防病毒入侵的主要手段是發現和修復漏洞,深信服建議用戶做好以下防護措施:


1.杜絕使用弱口令,避免一密多用

與系統、應用相關的用戶賬號,應杜絕使用弱口令,同時使用高復雜強度的密碼,盡量是包含大小寫字母、數字、特殊符號等的混合密碼,盡量避免一密多用的情況。


2.及時更新重要補丁和升級組件

關注操作系統和組件的重大更新,如永恒之藍漏洞。使用正確渠道,如微軟官網,及時更新對應補丁漏洞或者升級組件。


3.部署加固軟件,關閉非必要端口

在服務器上部署安全加固軟件,通過限制異常登錄行為、開啟防爆破功能,防范漏洞利用,同時限制服務器及其他業務服務網可進行訪問的網絡、主機范圍。有效加強訪問控制ACL策略,細化策略粒度,按區域按業務嚴格限制各個網絡區域以及服務器之間的訪問。采用白名單機制,只允許開放特定的業務必要端口,提高系統安全基線,防范黑客入侵。


4.主動進行安全評估,加強人員安全意識

加強人員安全意識培養,不要隨意點擊來源不明的郵件附件,不從不明網站下載軟件,對來源不明的文件,包括下載郵件附件、上傳文件等要先殺毒處理。定期開展對系統、應用以及網絡層面的安全評估、滲透測試以及代碼審計工作,主動發現目前系統、應用存在的安全隱患。


5.建立威脅情報分析和對抗體系,有效防護病毒入侵

網絡犯罪分子采取的戰術策略也在不斷演變,其攻擊方式和技術更加多樣化。為了有效預防和對抗海量威脅,需要選擇更強大和更智能的防護體系。深信服下一代安全防護體系(深信服安全云、深信服下一代防火墻AF、深信服安全感知平臺SIP、深信服終端檢測與響應平臺EDR)通過聯動云端、網絡、終端進行協同響應,建立事前檢測預警、事中防御、事后響應的全面安全防護體系。云端持續趨勢風險監控與預警、網絡側實時流量檢測與防御、終端事后查殺與溯源,深度挖掘用戶潛在威脅,立體全方位確保用戶網絡安全。


往期回顧

3月丨純干貨 | 網絡安全態勢洞察報告2019-03

2月丨純干貨 | 網絡安全態勢洞察報告2019-02

1月丨純干貨 | 網絡安全態勢洞察報告2019-01

網站篡改現狀調查丨國內網站內容篡改現狀調查

2018年度丨純干貨 | 網絡安全趨勢年度報告



©2000-2019    深信服科技股份有限公司    版權所有    粵ICP備08126214號-5

粵公網安備

粵公網安備44030502002384號

白小姐三点传密彩图