X

新聞動態

News

純干貨 | 網絡安全態勢洞察報告2019-03

/ 2019-04-22

網絡安全狀況概述

2019年3月,互聯網網絡安全狀況整體指標平穩,但有幾個特征值得關注。一方面,是勒索病毒依然猖獗,深信服安全云腦監測到Globelmposter、GandCrab、Crysis等病毒活躍熱度居高不下,變種層出不窮,近期出現Globelmposter 4.0、GandCrab 5.2等勒索變種。用戶一旦遭受勒索病毒攻擊,絕大多數文件將被加密,且大多暫時無法解密,造成無法估量的損失;另一方面,APT(高級持續性威脅)活躍程度在3月有所增加,針對性攻擊更加明顯,各廠商也在密切關注,攻防博弈戰激烈上演。此外,監測數據顯示,網站攻擊數量在3月持續放緩,但網站漏洞問題依然嚴峻。

3月,深信服安全云腦累計發現:

? 惡意攻擊16.31億次,平均每天攔截惡意程序5261萬次。

? 活躍惡意程序24439個,其中感染型病毒4134個,占比16.92%;木馬遠控病毒7539個,占比30.85%。挖礦病毒種類246個,攔截次數9.82億次,較上月有所上升,其中Xmrig病毒家族最為活躍。

深信服漏洞監測平臺對國內已授權的6996個站點進行漏洞監控,發現:

? 高危站點2721個,高危漏洞60628個,主要漏洞類別是XSS注入、信息泄漏、CSRF跨站請求偽造。

? 監控在線業務6715個,共有276個在線業務發生過真實篡改,篡改占比高達4.11%。


惡意程序活躍詳情

2019年3月,病毒攻擊的態勢與2月相比有所上升,病毒攔截量比2月份上升近16%,近半年攔截惡意程序數量趨勢如下圖所示:

▲近半年惡意程序攔截趨勢

2019年3月,深信服安全云腦檢測到的活躍惡意程序樣本有24439個,其中木馬遠控病毒7539個,占比30.85%,感染型病毒4134個,占比16.92%,蠕蟲病毒2631個,占比10.77%,挖礦病毒246個,占比1.01%,勒索病毒188個,占比0.77%。

3月總計攔截惡意程序16.31億次,其中挖礦病毒的攔截量占比60.24%,其次是感染型病毒(16.4%)、木馬遠控病毒(12.29%)、蠕蟲病毒(6.71%)、后門軟件(3.01%)、勒索病毒(1.21%)。

▲2019年3月惡意程序攔截類型分布

1、勒索病毒活躍狀況

2019年3月,共攔截活躍勒索病毒1967萬次。其中,WannaCry、Razy、Gandcrab、Revenge、Locky、Teslacrypt、Mamba、Badrabbit、Cerber、Cryptowall、Matrix、Paradise、Torrentlocker依然是最活躍的勒索病毒家族,其中WannaCry家族本月攔截數量有1084萬次,危害依然較大。

從勒索病毒傾向的行業來看,企業和教育感染病毒數量占總體的51%,是黑客最主要的攻擊對象。具體活躍病毒行業分布如下圖所示:

▲2019年3月勒索病毒感染行業分布

從勒索病毒受災地域上看,廣東地區受感染情況最為嚴重,其次是浙江省江蘇省。

▲2019年3月勒索病毒活躍地區TOP10

2、挖礦病毒活躍狀況

2019年3月,深信服安全云腦在全國共攔截挖礦病毒9.82億次,較2月環比增加7%,其中最為活躍的挖礦病毒是Xmrig、WannaMine、MinePool、BitcoinMiner、ZombieboyMiner、FalseSign,特別是Xmrig家族,共攔截4.58億次。同時監測數據顯示,被挖礦病毒感染的地域主要有浙江、北京、廣東等地,其中浙江省感染量全國第一。

▲2019年3月挖礦病毒活躍地區Top10

被挖礦病毒感染的行業分布如下圖所示,其中政府受挖礦病毒感染情況最為嚴重,感染比例和2月相比下降2個百分點,其次是企業和教育行業。

▲2019年3月挖礦病毒感染行業分布

3、感染型病毒活躍狀況

2019年3月,深信服安全云腦檢測并捕獲感染型病毒樣本4134個,共攔截2.67億次。其中Ramnit家族是成為本月攻擊態勢最為活躍的感染型病毒家族,共被攔截1.09億次,此家族占了所有感染型病毒攔截數量的40.77%;而排名第二第三的是Virut和Sality家族,本月攔截比例分別是為39.79%和11.83%。3月份感染型病毒活躍家族TOP榜如下圖所示:

▲2019年3月感染性病毒家族攔截TOP10

在感染型病毒危害地域分布上,廣東省(病毒攔截量)位列全國第一,占TOP10總量的25%,其次為浙江省湖南省。

▲2019年3月感染型病毒活躍地區TOP10

從感染型病毒攻擊的行業分布來看,黑客更傾向于使用感染型病毒攻擊企業、教育、政府等行業。企業、教育、政府的攔截數量占攔截總量的75%,具體感染行業分布如下圖所示:

▲2019年3月感染型病毒感染行業TOP10

4、木馬遠控病毒活躍狀況

深信服安全云腦3月全國檢測到木馬遠控病毒樣本7539個,共攔截2.00億次,攔截量較2月上升31%。其中最活躍的木馬遠控家族是Injector,攔截數量達2537萬次,其次是Zusy、XorDDos。

▲2019年3月木馬遠控病毒攔截TOP

對木馬遠控病毒區域攔截量進行分析統計發現,惡意程序攔截量最多的地區為廣東省,占TOP10攔截量的 21%,與2月份基本持平;其次為浙江(17%)、北京(13%)、四川(11%)和湖北(7%);此外山東、上海、廣西壯族自治區、江蘇、福建的木馬遠控攔截量也排在前列。

▲2019年3月木馬遠控病毒活躍地區TOP10

行業分布上,企業、教育及政府行業是木馬遠控病毒的主要攻擊對象。

▲2019年3月木馬遠控病毒感染行業分布

5、蠕蟲病毒活躍狀況

2019年3月深信服安全云腦在全國檢測到蠕蟲病毒樣本2631個,共攔截1.09億次。通過數據統計分析來看,大多數攻擊都是來自于Gamarue、Jenxcus、Dorkbot、Mydoom、Conficker、Vobfus、Palevo、Bondat、Buzus、Phorpiex家族。這些家族占據了3月全部蠕蟲病毒攻擊的98.8%,其中攻擊態勢最活躍的蠕蟲病毒是Gamarue,占蠕蟲病毒攻擊總量的67%。

▲2019年3月蠕蟲病毒活躍家族TOP10

從感染地域上看,廣東地區用戶受蠕蟲病毒感染程度最為嚴重,其攔截量占TOP10比例的28%;其次為江西省(16%)、湖南省(11%)。

▲2019年3月蠕蟲病毒活躍地區TOP10

從感染行業上看,企業、教育等行業受蠕蟲感染程度較為嚴重。

▲2019年3月蠕蟲病毒感染行業分布


網絡安全攻擊趨勢分析

深信服全網安全態勢感知平臺監測到全國34808個IP在3月所受網絡攻擊總量約為4億次。本月攻擊態勢與前三個月相比明顯下降。下圖為近半年深信服網絡安全攻擊趨勢監測情況:

▲近半年網絡安全攻擊趨勢情況

1、安全攻擊趨勢

下面從攻擊類型分布和重點漏洞攻擊分析2個緯度展示3月現網的攻擊趨勢:

? 攻擊類型分布

通過對深信服安全云腦數據分析可以看到,3月捕獲攻擊以系統漏洞利用、WebServer漏洞利用、Web掃描等分類為主。其中系統漏洞利用類型的占比更是高達28.70%,有近億的命中日志;WebServer漏洞利用類型均占比23.34%;Web掃描類型的漏洞占比17.72%。此外,信息泄露攻擊、Webshell上傳等攻擊類型在3月的攻擊數量有所增長。

▲2019年3月攻擊類型統計

主要攻擊種類和比例如下:

? 重點漏洞攻擊分析

通過對深信服安全云腦數據進行分析,針對漏洞的攻擊情況篩選出3月攻擊利用次數TOP20的漏洞。

其中命中次數前三漏洞利用分別是test.php、test.aspx、test.asp等文件訪問檢測漏洞、Apache Web Server ETag Header 信息泄露漏洞和Microsoft Windows Server 2008/2012 - LDAP RootDSE Netlogon 拒絕服務漏洞,攻擊次數分別為49,047,012、39,407,152和28,619,006。較上月均有小幅上升。

2、高危漏洞攻擊趨勢

深信服安全團隊對重要軟件漏洞進行深入跟蹤分析,近年來Java中間件遠程代碼執行漏洞頻發,同時受永恒之藍影響使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式。

2019年3月,Windows SMB日志量達千萬級,近幾月攻擊趨勢持持續上升,其中攔截到的(MS17-010)Microsoft Windows SMB Server 遠程代碼執行漏洞攻擊利用日志最多;Struts2系列漏洞攻擊趨勢近幾月攻擊次數波動較大,Weblogic系列漏洞的攻擊趨勢結束了前幾月的持續降低,本月攔截到近兩百萬攻擊日志;PHPCMS系列漏洞近幾月攻擊次數大幅上升,近期應重點關注。

? Windows SMB 系列漏洞攻擊趨勢跟蹤情況

? Struts 2系列漏洞攻擊趨勢跟蹤情況

? Weblogic系列漏洞攻擊趨勢跟蹤情況

? PHPCMS系列漏洞攻擊趨勢跟蹤情況


網站安全分析

1、網站漏洞類型統計

深信服云眼網站安全監測平臺3月對國內已授權的6966個站點進行漏洞監控,3月發現的高危站點2721個,高危漏洞60628個,漏洞類別占比前三的分別是XSS注入,信息泄露和CSRF跨站請求偽造,共占比79.68%,具體比例如下:

2、篡改攻擊情況統計

3月共監控在線業務6715個,共識別潛在篡改的網站有276個,篡改總發現率高達4.11%。其中首頁篡改226個,二級頁面篡改32個,多級頁面篡改18個。篡改位置具體分布圖如下圖所示:

可以看出,網站首頁篡改為篡改首要插入位置,成為黑客利益輸出首選。


近期流行攻擊事件及安全漏洞盤點

1、流行攻擊事件盤點

(1)“驅動人生”木馬最新變種襲擊MSSQL數據庫

近期,驅動人生供應鏈傳播的木馬病毒再次升級變異,大面積襲卷國內政府、醫院以及各大企業。這次變種在原有攻擊模塊的基礎上,新增了MSSQL爆破攻擊的功能,更為致命的是,當病毒爆破成功后,還會將用戶密碼改為ksa8hd4,m@~#$%^&*(),嚴重影響了正常業務。

具體詳見:攻擊MSSQL數據庫!“驅動人生”木馬最新變種襲擊多行業

(2)GandCrab 5.2版本發布

GandCrab勒索病毒是2018年勒索病毒家族中最活躍的家族,GandCrab5.2為該家族最新變種,近期在國內較多的已投遞惡意郵件的方式進行攻擊,郵件內容通常帶有恐嚇性質。

具體詳見:5.2版本發布:被各大安全廠商“掏空”的GandCrab又有新的變種了?

(3)數百以色列熱門網站成為耶路撒冷攻擊活動目標,向Windows用戶傳播JCry勒索病毒

2019年3月,國外黑客組織針對數百個備受歡迎的以色列網站發起了一系列攻擊活動,活動命名為耶路撒冷,其目的是通過JCry勒索病毒感染Windows用戶,為了達到這個目的,攻擊者修改了來自nagich.com的流行網絡輔助功能插件的DNS記錄,當訪問者訪問使用此插件的網站時,將加載惡意腳本而不是合法插件。

具體詳見:數百以色列熱門網站成為耶路撒冷攻擊活動目標,向Windows用戶傳播JCry勒索病毒

(4)預警!Globelmposter 4.0最新變種來襲,多家企業感染

深信服安全團隊一直持續關注并跟蹤Globelmposter勒索病毒家族,多次發布此勒索病毒相應的預警報告,近期又發現一例最新Globelmposter 4.0變種樣本。

具體詳見:預警!Globelmposter 4.0最新變種來襲,多家企業中招

(5)WannaMine升級到V4.0版本,警惕感染!

近期,多個企業反饋大量主機和服務器存在卡頓和藍屏現象,該企業用戶中的是最新型的WannaMine變種,此病毒變種是基于WannaMine3.0改造,又加入了一些新的免殺技術,傳播機制與WannaCry勒索病毒一致。

具體詳見:WannaMine升級到V4.0版本,警惕感染!

(6)Paradise勒索病毒再度來襲

Paradise(天堂)勒索病毒最早出現在2018年七月份左右,感染多家企業。此次的變種借用了CrySiS家族的勒索信息,代碼結構也跟早期版本有了很大的區別。

具體詳見:“天堂”竟然伸出惡魔之手?Paradise勒索病毒再度席卷

(7)全球最大鋁生產商挪威海德魯(Norsk Hydro)遭到LockerGoga勒索病毒攻擊

據外媒報道,全球最大鋁生產商之一挪威海德魯(Norsk Hydro)公司于本月19號遭到一款新型勒索軟件LockerGoga攻擊,企業IT系統遭到破環,被迫臨時關閉多個工廠并將挪威、卡塔爾和巴西等國家的工廠運營模式改為“可以使用的”手動運營模式,以繼續執行某些運營。

具體詳見:全球最大鋁生產商挪威海德魯(Norsk Hydro)遭到LockerGoga勒索病毒攻擊

(8)高齡病毒“熊貓燒香”仍未退休

近期,深信服安全團隊收到客戶反饋,其內網多臺主機中的文件感染了病毒,影響正常業務。經分析,該病毒為“熊貓燒香”病毒變種,雖然該病毒已有十余年歷史,但由于其具有很強的感染及傳播性,依然很容易在缺少防護的企業內網中傳播開來。

具體詳見:高齡病毒“熊貓燒香”還沒退休?

(9)華碩軟件更新服務器遭黑客劫持,自動更新向用戶下發惡意程序

卡巴斯基實驗室(Kaspersky Lab)于3月25日曝光華碩(ASUS)的軟件更新服務器曾在去年遭到黑客入侵,并以更新的名義在用戶的電腦上植入一個惡意程序;此次攻擊事件雖然因為自動更新策略影響了大量用戶,但真正的攻擊活動似乎只針對惡意程序中硬編碼了MAC地址哈希值的600多臺特定設備。

具體詳見:華碩軟件更新服務器遭黑客劫持,自動更新向用戶下發惡意程序


2、安全漏洞事件盤點

(1)【漏洞預警】Apache Solr Deserialization 遠程代碼執行漏洞(CVE-2019-0192)

Apache Solr官方團隊在最新的安全更新中披露了一則Apache Solr Deserialization 遠程代碼執行漏洞(CVE-2019-0192)。漏洞官方定級為 High,屬于高危漏洞。該漏洞本質是ConfigAPI允許通過HTTP POST請求配置Solr的JMX服務器。攻擊者可以通過ConfigAPI將其配置指向惡意RMI服務器,利用Solr的不安全反序列化來觸發Solr端上的遠程代碼執行。

具體詳見:【漏洞預警】Apache Solr Deserialization 遠程代碼執行漏洞(CVE-2019-0192)

(2)【漏洞預警】Zimbra 郵件系統遠程代碼執行漏洞(CVE-2019-9621 CVE-2019-9670)

國外安全研究人員Tint0在博客中披露了一個針對Zimbra 郵件系統進行綜合利用來達到遠程代碼執行效果的漏洞(CVE-2019-9621 CVE-2019-9670)。此漏洞的主要利用手法是通過XXE(XML 外部實體注入)漏洞讀取localconfig.xml配置文件來獲取Zimbra admin ldap password,接著通過SOAP AuthRequest 認證得到Admin Authtoken,最后使用全局管理令牌通過ClientUploader擴展上傳Webshell到Zimbra服務器,從而實現通過Webshell來達到遠程代碼執行效果。

具體詳見:【漏洞預警】Zimbra 郵件系統遠程代碼執行漏洞(CVE-2019-9621 CVE-2019-9670)

(3)【漏洞預警】WordPress Social Warfare Plugin 遠程代碼執行漏洞

2019年3月25日,國外安全研究人員在大量攻擊數據中發現了一個WordPress plugins Social Warfare遠程代碼執行漏洞,此漏洞允許攻擊者接管整個WordPress站點并管理您的主機帳戶上的所有文件和數據庫,從而實現完全遠程接管整個服務器的目的。

具體詳見:【漏洞預警】WordPress Social Warfare Plugin 遠程代碼執行漏洞


安全防護建議

黑客入侵的主要目標是存在通用安全漏洞的機器,所以預防病毒入侵的主要手段是發現和修復漏洞,深信服建議用戶做好以下防護措施:

(1)杜絕使用弱口令,避免一密多用

系統、應用相關的用戶杜絕使用弱口令,同時,應該使用高復雜強度的密碼,盡量包含大小寫字母、數字、特殊符號等的混合密碼,禁止密碼重用的情況出現,盡量避免一密多用的情況。

(2)及時更新重要補丁和升級組件

建議關注操作系統和組件重大更新,如永恒之藍漏洞,使用正確渠道,如微軟官網,及時更新對應補丁漏洞或者升級組件。

(3)部署加固軟件,關閉非必要端口

服務器上部署安全加固軟件,通過限制異常登錄行為、開啟防爆破功能、防范漏洞利用,同時限制服務器及其他業務服務網可進行訪問的網絡、主機范圍。有效加強訪問控制ACL策略,細化策略粒度,按區域按業務嚴格限制各個網絡區域以及服務器之間的訪問,采用白名單機制只允許開放特定的業務必要端口,提高系統安全基線,防范黑客入侵。

(4)主動進行安全評估,加強人員安全意識

加強人員安全意識培養,不要隨意點擊來源不明的郵件附件,不從不明網站下載軟件,對來源不明的文件包括郵件附件、上傳文件等要先殺毒處理。定期開展對系統、應用以及網絡層面的安全評估、滲透測試以及代碼審計工作,主動發現目前系統、應用存在的安全隱患。

(5)建立威脅情報分析和對抗體系,有效防護病毒入侵

網絡犯罪分子采取的戰術策略也在不斷演變,其攻擊方式和技術更加多樣化。對于有效預防和對抗海量威脅,需要選擇更強大和更智能的防護體系。深信服下一代安全防護體系(深信服安全云、深信服下一代防火墻AF、深信服安全感知平臺SIP、深信服終端檢測與響應平臺EDR)通過聯動云端、網端、終端進行協同響應,建立全面覆蓋風險預警、事中防御、事后檢測與響應的整體安全防護體系。云端持續風險與預警,網端持續檢測與防御,終端持續監測與響應,有效并深度挖掘用戶潛在威脅,確保網絡安全。


往期回顧

2月純干貨 | 網絡安全態勢洞察報告2019-02

1月純干貨 | 網絡安全態勢洞察報告2019-01

網站篡改現狀調查國內網站內容篡改現狀調查

2018年度純干貨 | 網絡安全趨勢年度報告

12月純干貨 |  網絡安全態勢洞察報告2018-12

11月純干貨 |  網絡安全態勢洞察報告2018-11

10月純干貨 |  10月份網絡安全狀況最新分析報告

©2000-2018    深信服科技股份有限公司    版權所有     粵ICP備08126214號-5

粵公網安備

粵公網安備44030502002384號

一本道在线综合久久88