返回頂部
隱藏或顯示

新聞動態

News

純干貨 | 網絡安全態勢洞察報告2018-11

/ 2018-12-17

網絡安全狀況概述

2018年11月,互聯網網絡安全狀況整體指標平穩,但是有兩個特征值得關注,一是數據泄露事件偶有發生,二是挖礦病毒熱度暫時未減。11月一知名國際酒店集團的數據庫被攻破,影響用戶近5億,保護數據安全越來越重要。比特幣匯率暴跌,但暫時未影響挖礦病毒的攻擊熱度,主要原因是一方面黑客創建“礦工”的門檻相對較低,另一方面國內仍有較多個人和企業網絡安全防護措施未做到位。此外,檢測數據顯示,網站漏洞問題依舊嚴峻,高危漏洞數量繼續攀升,教育和政府行業最值得關注。

  • ? 11月,深信服安全云腦累計攔截惡意程序17.8億次,平均每天攔截惡意程序5939萬次。

  • ? 安全云腦檢測到的活躍惡意程序有22531個,其中僵尸網絡7018個,占比31.15%;木馬遠控病毒4017個,占比17.83%。

  • ? 活躍挖礦病毒種類438個,攔截次數6.81億次,較10月有顯著增長。

  • ? 深信服全網安全態勢感知平臺檢測到全國30692個IP在11月受到網絡攻擊總量為5.58億次。攻擊類型以WebServer、System、WebScan分類為主,共占比81.58%。

  • ? 深信服漏洞監測平臺本月檢測到全國30692個站點,其中高危漏洞3477個,主要漏洞類別是信息泄露、XSS和CSRF跨站請求偽造。

  • ? 深信服云眼共發現篡改網站242例。篡改總發現率高達6.2%。共監控在線業務6644個,共有2768個網站發生過斷網事件。


惡意程序活躍詳情


2018年11月,深信服安全云腦檢測到的活躍惡意程序樣本有22531個,其中僵尸網絡7018個,占比31.15%;木馬遠控病毒4017個,占比17.83%,挖礦病毒438個,占比1.94%。

11月總計攔截惡意程序17.8億次,其中挖礦病毒的攔截量占比38%,其次是感染型病毒(26%)、木馬遠控病毒(14%)、僵尸網絡(9%),由下圖可知,挖礦病毒依然非常流行。

2018年11月惡意程序攔截量按類型分布

▲2018年11月惡意程序攔截量按類型分布


1、僵尸網絡活躍狀況

2018年11月,深信服安全云腦檢測并捕獲僵尸網絡樣本7018個,共攔截16176萬次。其中sality家族是本月攻擊態勢最為活躍的僵尸網絡家族,共被攔截7111萬次,此家族占了所有僵尸網絡攔截數量的44%;而mylobot家族則呈現上升趨勢,本月攔截比例為28%;攔截數量排名第三的家族是zegost,攔截數量占11%。11月份僵尸網絡活躍家族TOP榜如下圖所示:

2018年11月僵尸網絡活躍家族攔截數量TOP 10

▲2018年11月僵尸網絡活躍家族攔截數量TOP 10

在僵尸網絡危害地域分布上,廣東?。ú《靖腥玖浚┪涣腥珖谝?,占總量的18%,其次為湖南省和江蘇省。

2018年11月僵尸網絡活躍地區TOP10

▲2018年11月僵尸網絡活躍地區TOP10

從僵尸網絡攻擊的行業分布來看,黑客更傾向于使用僵尸網絡攻擊大企業、教育、政府等網絡安全相對薄弱的行業。大企業、教育和政府行業的攔截數量占僵尸網絡攔截總量的57%,具體感染行業TOP分布如下圖所示:

2018年11月僵尸網絡感染行業TOP10

▲2018年11月僵尸網絡感染行業TOP10

目前雖然僵尸網絡捕獲樣本數量有所下降,但其攻擊總數量卻在不斷上升。僵尸網絡目前作為流行病毒仍在快速發展,種類變化多樣,其質量和數量將不斷攀升,并且會越來越多的使用免殺技術。


2、木馬遠控病毒活躍狀況

木馬遠控病毒可以在軟件供應鏈、盜版系統等多個環節被大規模植入,并試圖獲取在用戶機器上執行任意代碼的高權限,使用戶設備淪為“肉雞”。被感染的設備可能被黑客進一步構建僵尸網絡、搶奪瀏覽器主頁、靜默推裝軟件等牟取到巨額利益,使用戶遭受嚴峻的安全威脅。

深信服安全云腦11月檢測到木馬遠控病毒樣本4017個,共攔截23933萬次。其中最活躍的木馬遠控家族是zusy,攔截數量達5596萬次,其次是glupteba、anyun。具體分布數據如下圖所示:

2018年11月惡意程序攔截量按類型分布

▲2018年11月惡意程序攔截量按類型分布

對木馬遠控病毒區域攔截量進行分析統計發現,惡意程序攔截量最多的地區為江西省,占全國攔截量的 11.97%;其次為浙江(11.05%)、江蘇(8.34%)、山東(7.15%)和湖南(6.98%)。此外廣東、上海、湖北、四川、北京的木馬遠控攔截量也排在前列。

2018年11月木馬遠控病毒活躍地區TOP10分布

▲2018年11月木馬遠控病毒活躍地區TOP10分布

行業分布上,大企業、教育及科研行業是木馬遠控病毒的主要攻擊對象。

2018年11月木馬遠控病毒感染行業TOP10分布

▲2018年11月木馬遠控病毒感染行業TOP10分布


3、蠕蟲病毒活躍狀況

2018年11月深信服安全云腦檢測到蠕蟲病毒樣本3396個,共攔截14604萬次,但通過數據分析來看,大多數攻擊都是來自于gamarue、conficker、palevo、vobfus、microfake、ngrbot、bondat、brontok、phorpiex、ramnit家族,這些家族占據了11月全部蠕蟲病毒攻擊的99.8%,其中攻擊態勢最活躍的蠕蟲病毒是gamarue,占蠕蟲病毒攻擊總量的80%。

2018年11月蠕蟲病毒活躍家族TOP10分布

▲2018年11月蠕蟲病毒活躍家族TOP10分布

從感染地域上看,江西地區用戶受蠕蟲感染程度最為嚴重,其攔截量占比 35.5%;其次為廣東?。?4.6%)、江蘇?。?9.2%)。

2018年11月蠕蟲病毒活躍地域TOP10分布

▲2018年11月蠕蟲病毒活躍地域TOP10分布

從感染行業上看,大企業、教育和政府行業受蠕蟲感染程度較為嚴重。

2018年11月蠕蟲病毒感染行業分布TOP10分布

▲2018年11月蠕蟲病毒感染行業分布TOP10分布


4、挖礦病毒活躍狀況

2018年11月,比特幣等加密貨幣匯率暴跌,但挖礦病毒攻擊總量并未減少,主要是黑客創建“礦工”的門檻并不高,加之國內用戶網絡安全防護措施未做到位,導致挖礦病毒依然非常流行。

11月,深信服安全云腦共捕獲挖礦病毒樣本438個,攔截挖礦病毒6.81億次,其中最為活躍的挖礦病毒是xmrig、wannamine、zombieboyminer、bitcoinminer、minepool。同時檢測數據顯示,被挖礦病毒感染的地域主要有廣東、上海、北京等地,其中廣東省感染量全國第一。

2018年11月挖礦病毒活躍地域TOP10分布

▲2018年11月挖礦病毒活躍地域TOP10分布

被挖礦病毒感染的行業分布如下圖所示,其中政府受挖礦病毒感染情況最為嚴重,其次是大企業和教育行業。

2018年11月挖礦病毒感染行業TOP10分布

▲2018年11月挖礦病毒感染行業TOP10分布


5、勒索病毒活躍狀況

2018年11月,從深信服安全云腦檢測的數據顯示,勒索病毒近期持續呈現活躍態勢且病毒木馬攻擊手法的專業性較之前有了明顯的提升,11月共檢測到活躍勒索病毒樣本量242個。其中,GandCrab、Wannacry、Teslacrypt和Locky依然是最活躍的勒索病毒家族,特別是GandCrab家族通過幾次變種更新后,本月攔截數量呈快速上升趨勢。

從勒索病毒傾向的行業來看,大企業和教育行業感染病毒數量占總體的50%,是黑客最主要的攻擊對象,具體活躍病毒行業分布如下圖所示:

2018年11月勒索病毒感染行業TOP10分布

▲2018年11月勒索病毒感染行業TOP10分布

從勒索病毒受災地域上看,廣東地區受感染情況最為嚴重,其次是山西省和內蒙古自治區。

2018年11月勒索病毒活躍地域TOP10分布

▲2018年11月勒索病毒活躍地域TOP10分布

從趨勢上看,勒索病毒攻擊的操作系統類型將越來越多,同時定向攻擊能力也將更加突出,深信服建議企業用戶可以通過建立健全的安全防御機制、使用正規有效的安全防御軟件、規范系統管理者的權限、及時更新漏洞補丁等措施來增強防御能力。


網絡安全攻擊趨勢分析


深信服全網安全態勢感知平臺檢測到全國30692個IP11月所受網絡攻擊總量為558296415次。下圖為近半年深信服網絡安全攻擊趨勢檢測情況:

近半年網絡安全攻擊趨勢情況

▲近半年網絡安全攻擊趨勢情況


1、本月安全攻擊趨勢

下面從攻擊類型分布和命中情況分析2個緯度展示本月現網的攻擊趨勢:


攻擊類型分布

通過對云腦日志數據分析可以看到,本月捕獲攻擊以WebServer、System、WebScan分類為主,以上三類攻擊日志數占總日志數的81.58%。其中Web網站類型的漏洞更是達到了43.05%,有2億多的命中日志;System漏洞占比30.10%。

2018年11月攻擊類型分布

▲2018年11月攻擊類型分布

主要攻擊種類和比例如下:

主要攻擊種類


命中情況分析

(1)針對WEB漏洞的命中情況分析統計

其中命中次數前三的規則id對應的漏洞分別是test.php、test.aspx、test.asp等文件訪問檢測漏洞、服務器目錄瀏覽禁止信息泄露漏洞和發現PHP webshell上傳行為漏洞,命中次數分別為43,667,626、15,558,029和13,517,505。

針對WEB漏洞的命中情況分析統計

(2)針對系統中間件類漏洞的命中情況分析統計

針對系統中間件類漏洞的命中情況分析統計


2、高危漏洞攻擊趨勢跟蹤

深信服北研安全團隊對重要軟件漏洞進行深入跟蹤分析,近年來Java中間件遠程代碼執行漏洞頻發,同時受“永恒之藍”影響使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式,日志量可達千萬級,PHPCMS作為國內CMS的領跑者漏洞也長期受到攻擊者的關注,每月捕獲的攻擊日志也接近百萬級。相關用戶應重點關注。


Windows SMB 系列漏洞攻擊趨勢跟蹤情況

Windows SMB 系列漏洞攻擊趨勢跟蹤情況


Struts 2系列漏洞攻擊趨勢跟蹤情況

Struts 2系列漏洞攻擊趨勢跟蹤情況


Weblogic系列漏洞攻擊趨勢跟蹤情況

Weblogic系列漏洞攻擊趨勢跟蹤情況


PHPCMS系列漏洞攻擊趨勢跟蹤情況

PHPCMS系列漏洞攻擊趨勢跟蹤情況


網絡安全漏洞分析


1、本月漏洞收集情況

2018年11月深信服北研安全團隊通過自動化手段篩選并收錄國內外重點漏洞158條,其中WEB應用漏洞75條,操作系統漏洞50條,網絡設備漏洞10條,服務器漏洞11條,客戶端漏洞12條。收錄的重要漏洞中包含59條0day漏洞。

漏洞收集統計趨勢

▲漏洞收集統計趨勢

從收集的重要漏洞分析攻擊方法分布,可以看到,遠程代碼執行和權限升級占比最高18%;信息披露、拒絕服務攻擊和命令注入分別占比16%、11%和9%;跨站腳本攻擊漏洞占比7%;驗證繞過漏洞占比6%等等。

2018年11月漏洞攻擊方法分布

▲2018年11月漏洞攻擊方法分布


2、全國網站漏洞收集情況

深信服云眼網站安全監測平臺本月對國內已授權的4282個站點進行漏洞監控,11月發現的高危站點1364個,高危漏洞23477個,主要漏洞類別是信息泄露、XSS和CSRF跨站請求偽造等。高危漏洞類型分布如下:

2018年11月高危漏洞類型分布

▲2018年11月高危漏洞類型分布

具體比例如下:

2018年11月高危漏洞類型分布


3、篡改情況統計

本月共監控在線業務7812個,共檢測到487個網站發生真實篡改,其中有402個識別為首頁篡改,29個識別為二級目錄篡改,56個識別為二層級以上的多層級篡改。具體分布圖如下圖所示:


篡改情況統計

上圖可以看出,網站首頁篡改為篡改首要插入位置,成為黑客利益輸出首選。


近期流行攻擊事件及安全漏洞盤點


1、流行攻擊事件

(1)國內首例!Lucky勒索病毒攻擊Linux與Windows

深信服安全團隊發現一針對Linux服務器,并實現Windows跨平臺攻擊的新型勒索病毒,該勒索病毒加密后綴為.lucky,其傳播模塊復用了Satan的傳播方式,實現了Linux下的自動化傳播,深信服將其命名為Lucky勒索病毒。

具體詳見:國內首例!Lucky勒索病毒攻擊Linux與Windows


(2)警惕!WannaMine 3.0變種來襲

多家企業反饋大量PC和服務器存在卡頓和藍屏現象,通過深信服終端檢測平臺(EDR產品)進行全網掃描后發現感染相同病毒。經過深信服安全專家深入分析,發現這是一種最新型的WannaMine變種。

具體詳見:警惕!WannaMine 3.0變種來襲


(3)捕獲一起惡意入侵事件的攻擊溯源

深信服安全團隊接到客戶本地的安全感知報警,提示有惡意的CC訪問連接報警,訪問惡意域名down.mys2018.xyz達到了1057次、訪問my2018.zxy達到了490次主機直接被標記為了已失陷,經過較多的殺毒軟件查殺均未查殺出異常,后續經過相關的排查發現服務器存在較大的安全隱患,與Myking團伙有較大的關聯。

具體詳見:捕獲一起惡意入侵事件的攻擊溯源


(4)簡單!有效!深信服率先發布Oracle數據庫勒索病毒自檢工具

近日,Oracle數據庫勒索病毒又開始活躍,其實這并非新病毒,早在2年前,即2016年11月就發現了,深信服一直持續關注此病毒。不確認是否中招的用戶,深信服率先提供簡單、有效的自檢工具,一鍵運行,無需安裝,即可快速判斷是否感染了Oracle數據庫勒索病毒。

具體詳見:簡單!有效!深信服率先發布Oracle數據庫勒索病毒自檢工具


(5)從某電商釣魚事件探索黑客“一站式服務”

深信服EDR安全團隊,整理分析了一起某電商釣魚事件,通過關聯信息,發現背后可能存在一個“產業鏈齊全”的黑客團伙,研究發現其具備“一站式服務”的黑客攻擊手段。

具體詳見:從某電商釣魚事件探索黑客“一站式服務”


(6)勒索病毒攻防演練

勒索病毒GlobeImposter頻頻在行業專網肆虐,究竟是如何入侵、如何傳播?深信服的AF\SIP\EDR又是如何防御?效果如何?

具體詳見:勒索病毒攻防演練


(7)BlackHeart勒索病毒再度來襲

BlackHeart(黑心)勒索病毒家族是一款使用NET語言進行編寫的勒索病毒,之前深信服EDR安全團隊已經報道過它的變種家族樣本捆綁知名的遠程軟件AnyDesk進行傳播,此次深信服EDR安全團隊發現的是它的一個家族最新變種。

具體詳見:BlackHeart勒索病毒再度來襲


(8)KrakenCryptor2.0.7勒索變種來襲!

深信服安全團隊在分析安全云腦全網威脅數據時,發現了國內出現一新勒索家族KrakenCryptor,版本號為KrakenCryptor2.0.7,為目前發現的最新版本。且自10月22號以來,陸續有用戶受該病毒感染,病毒處于活躍狀態。

具體詳見:KrakenCryptor2.0.7勒索變種來襲!


2、安全漏洞事件

(1)【漏洞預警】PHPCMS 2008遠程代碼注入漏洞(CVE-2018-19127)預警

PHPCMS 2008版本被爆出遠程代碼注入漏洞,漏洞CVE編號為:CVE-2018-19127。該漏洞利用向PHPCMS網站路徑可控的緩存文件寫入任意內容,從而可以寫入PHP代碼,獲取網站WebShell,最終獲取到網站的最高權限。該漏洞利用難度小,并且危害性極大。

具體詳見:【漏洞預警】PHPCMS 2008遠程代碼注入漏洞(CVE-2018-19127)預警


(2)那些年讓我們心驚膽戰的IIS漏洞

目前IIS一共發行12個版本,從IIS 1.0版本至IIS 10.0版本,IIS 1.0-4.0已經基本退出市場,IIS 5.0-10.0是Web市場主要使用的網站服務器。千里目實驗室針對IIS近十幾年(2005年以后)的35個漏洞進行了整理和分析。

具體詳見:那些年讓我們心驚膽戰的IIS漏洞


(3)CMS真的安全嗎?(三)洞鑒Discuz!

Discuz!建站系統推出時間很長,使用面廣,但由于PHP較強的靈活性以及其他安全原因,從誕生之初就不斷爆出各種高危漏洞。因此,Discuz!的安全性一直以來被備受質疑。

具體詳見:CMS真的安全嗎?(三)洞鑒Discuz!


(4)Microsoft SQL Server漏洞淺析

近幾年Microsoft SQL Server數據庫爆發的漏洞數量與其它類型數據庫相比,所暴露出來的漏洞相對較少。深信服千里目實驗室挑選兩個可利用性高,且具有代表性的漏洞進行分析。

具體詳見:Microsoft SQL Server漏洞淺析


(5)【漏洞預警】libssh身份驗證繞過(cve-2018-10933)

2018年10月16日,libssh發布更新,該更新修復了一個身份驗證繞過漏洞,漏洞的CVE編號為CVE-2018-10933,目前github上已有可利用的poc。

具體詳見:【漏洞預警】libssh身份驗證繞過(cve-2018-10933)


(6)打開JBoss的潘多拉魔盒——JBoss高危漏洞分析

近幾年JBoss爆發的漏洞數量與其他著名的中間(Weblogic,Jenkins,WebSphere)等相比,數量相對較少。然而,由于最近幾年Java反序列化漏洞的肆虐,JBoss也深受其害,相繼爆發了三個著名的高危漏洞。

具體詳見:打開JBoss的潘多拉魔盒——JBoss高危漏洞分析


(7)微軟漏洞CVE-2017-11885分析與利用

根據微軟官網對CVE-2017-11885的描述,該漏洞幾乎可以通殺微軟的全版本操作系統,有關該漏洞的POC在exploit-db上于2018年5月份被披露,該POC僅僅針對windows server 2003進行了測試。

具體詳見:微軟漏洞CVE-2017-11885分析與利用


往期回顧


10月丨純干貨 | 10月份網絡安全狀況最新分析報告

©2000-2018    深信服科技股份有限公司    版權所有     粵ICP備08126214號-5

粵公網安備

粵公網安備44030502002384號

一本道在线综合久久88