/ 2018-11-19
网络安全状况概述
2018年10月,我国互联网网络安全状况总体平稳,没有出现影响互联网正常运行的重大网络安全事件,但恶意程序数量持续高速上涨并且具有明显趋利性。此外,监测显示,10月恶意程序和网站漏洞攻击数量较上月有所上升,挖矿病毒和勒索病毒变种迅速,加密手段升级,未来很有可能呈现爆发趋势。
10月,深信服安全云脑累计拦截恶意程序16.92亿次,平均每天拦截恶意程序5458万次。安全云脑监测到的活跃恶意程序超过11200个,其中,活跃僵尸网络种类6359个,占比56.78%;活跃挖矿病毒种类虽然只有25个,但是拦截次数超过3099万次,说明挖矿病毒依然非常流行。本月检测到的高危漏洞3594个,主要漏洞类型是csrf跨站请求伪造、拒绝服务和xss注入。
恶意程序活跃详情分析
1、僵尸主机活跃状况
2018年10月,深信服安全云脑检测并拦截僵尸网络样本6359个,总体数量呈上升趋势。其中gamarue家族是该月攻击态势更为活跃的僵尸网络家族,共被拦截3696万次。(gamarue是一种严重的侵入性恶意软件,它可以通过受感染的usb驱动器和计算机外部硬盘驱动器进行传播,病毒可以上传感染设备的敏感信息,造成信息泄露,也可下载并执行其他恶意软件,给受感染的设备带来更大的安全威胁。)10月份僵尸网络活跃家族top榜如下图所示:
在僵尸网络危害地域分布上,广东省居首,其次为浙江省和江苏省。
从僵尸网络攻击的行业分布来看,黑客更倾向于使用僵尸网络攻击大企业、政府、教育等网络安全相对薄弱的行业。
攻击者构建大型僵尸网络的能力正在变得越来越强,随着各种僵尸网络变种源码泄露在互联网上,之后还会出现更多不同类型且破坏力更强的僵尸网络攻击。用户应该及时做好系统升级、漏洞补丁修复和病毒查杀等工作,以尽可能抵御攻击,降低安全风险。
2、木马远控病毒活跃状况
深信服安全云脑10月检测到木马远控病毒样本232个,木马远控病毒更活跃的家族依然是anyun,此家族占所有木马远控病毒攻击数量的86%,相比之前有明显的上涨。而dunihi家族则呈现下降趋势,本月拦截比例为6%,数量排名第三的家族是ztorg。具体数据如下图所示:
对木马远控病毒受感染的区域进行分析统计发现,广东省受到的危害更大,其病毒感染量占全国总数的36%以上,其次是浙江省和四川省。
行业分布上,大企业和政府是木马远控病毒的主要攻击对象。
2018年10月各式各样的蠕虫病毒多达数千个变种,但通过数据分析来看,大多数攻击都是来自于ramnit、autorun、rimecud、malrun、vb、small、generic、swpatch、bladabindi、mydoom家族,这些家族占据了10月全部蠕虫病毒攻击的77%。
4、挖矿病毒活跃状况
虚拟化货币钱包因其地址的隐蔽性,一直是犯罪分子获利的重要选择,这也导致了大量加密货币勒索病毒和挖矿病毒的爆发。根据深信服截获的挖矿病毒数据显示,挖矿病毒层出不穷,这也是今年网络安全的又一特征。
2018年10月,深信服安全云脑共拦截挖矿病毒超过1.4亿次。10月更为活跃的挖矿病毒是bitcoinminer,该病毒通过潜在的垃圾网站来攻击运行ssh的服务器和联网设备以进行传播。感染了bitcoinminer病毒的僵尸主机会打开远程桌面协议端口,攻击者就利用该端口来诱骗用户安装挖矿机,然后进行加密货币的挖掘操作。
从挖矿病毒感染的地域上看,被攻击的地域主要有广东、浙江、北京等地。
5、勒索病毒活跃状况
勒索病毒长久以来都是不法分子使用的攻击方式之一。近期从深信服安全云脑监测的数据显示,勒索病毒近期持续呈现活跃态势,勒索病毒的传播进一步强化,10月共检测到活跃勒索病毒样本量65个。
从检测的勒索病毒家族分布上看,wannacry、teslacrypt和locky依然是更活跃的勒索病毒家族,而gandcrab家族通过几次变种更新(近期升级到gandcrab5.0.5)也呈现上升趋势,此家族主要传播方式依然是撒网式水坑攻击,采用rsa aes加密算法,将系统中的大部分文档文件加密为随机后缀名的文件,然后对用户进行勒索,10月有多家医疗机构因新变种导致业务瘫痪,在福建、浙江、山西、吉林、贵州、天津多个省份均有感染案例。具体活跃病毒家族如下图所示:
由于勒索病毒攻击可以带来巨大、直接的收益,因此勒索病毒不可能在短期内消失,网络犯罪分子采取的战术策略也在不断演变,其攻击方式更加多样化。对于勒索软件的变种,深信服建议企业用户部署防火墙、邮件网关等产品作为首道防线,将行为监控和漏洞防护产品作为辅助措施,并加以edr终端安全产品来有效阻止威胁。
网络安全攻击流量分析
深信服全网安全态势感知平台监测到10月全国有23078个ip遭受了118584691次的网络攻击,攻击以webserver漏洞利用、系统漏洞利用攻击、web扫描、服务器敏感信息枚举等类型为主,主要攻击类型统计分布如下图所示。
主要攻击种类和比例如下:
网络安全漏洞分析
深信服网站安全监测平台10月对国内已授权的8081个站点进行漏洞监控,发现高危站点1928个,高危漏洞3594个,主要漏洞类别是csrf跨站请求伪造、拒绝服务和xss注入,高危漏洞类型分布如下。
具体比例如下:
近期流行攻击事件及安全漏洞盘点
1、流行攻击事件
(1)blackheart勒索病毒再度来袭
blackheart(黑心)勒索病毒家族是一款使用net语言进行编写的勒索病毒,之前深信服edr安全团队已经报道过它的变种家族样本捆绑知名的远程软件anydesk进行传播,此次深信服edr安全团队发现的是其家族的新变种。
具体详见:
(2)krakencryptor2.0.7勒索变种来袭
近期,深信服安全团队在分析安全云脑全网威胁数据时,发现了一个在国内出现的新勒索家族krakencryptor,发现版本为krakencryptor2.0.7。该版本为目前发现的新版本,且从10月22号之后,陆陆续续有客户通过安全云脑对该样本进行了检测。
具体详见:
(3)blackout勒索病毒再度来袭
近期,深信服安全团队发现blackout家族新变种样本,采用rsa aes加密算法对文件进行加密,加密后的文件无法解密还原。
具体详见:
(4)伪装成docx文档的新型勒索病毒pylocky
pylocky主要通过垃圾邮件进行传播,病毒母体伪装成docx文件图标,其攻击目标以欧州国家为主,有些变种样本,还使用了正规的数字签名,签名信息为la crem ltd,该勒索病毒使用rsa加密算法,加密后的文件无法还原。
具体参见:
(5)gandcrab5.0.4勒索变种来袭,国内部分医疗机构业务瘫痪
近期,深信服安全团队发现gandcrab5.0.3升级版本gandcrab5.0.4在国内有呈现爆发的趋势,已造成国内部分医疗行业出现业务瘫痪,影响医院正常看病治疗。
具体详见:
(6)深信服发现rapid勒索病毒新变种
近期,深信服安全团队接到国内企业反馈其中了勒索病毒。确认为rapid勒索家族的变种,该病毒同样采用rsa aes加密算法,将系统中的大部分文档文件加密为no_more_ransom后缀名的文件,然后对用户进行勒索。
具体详见:
(7)billgates僵尸网络依然活跃,警惕成为肉机
近期,深信服edr安全团队追踪到不少企业级用户linux服务器感染此病毒,billgates僵尸网络依然较为活跃,提醒广大用户小心中招。
具体详见:
2、安全漏洞事件
(1)【漏洞预警】win10操作系统任意文件删除漏洞
2018年10月23日,安全研究人员在github上公布了新的win10x64版的任意文件删除漏洞,在github上的sandboxescaper上有着完整的漏洞利用程序源码以及release版的demo,并且被其他安全研究专家证实该漏洞可以在win10上复现。
具体详见:
(2)struts2漏洞变形攻击
近期,深信服应用防火墙安全团队捕获到大量struts2漏洞变形攻击,平均每周受攻击已达百万次。
分析详情参见:
(3)【漏洞预警】weblogic反序列化漏洞cve-2018-3191
oracle官方发布了10月份的关键补丁更新cpu(critical patch update),其中包含一个远程代码执行漏洞,漏洞威胁等级为高危,漏洞对应的cve编号为cve-2018-3191。
具体详见:
(4)【漏洞预警】weblogic java反序列化漏洞cve-2018-3245
oracle官方发布了10月份的关键补丁更新cpu(critical patch update),其中包含一个远程代码执行漏洞,漏洞威胁等级为高危,漏洞对应的cve编号为cve-2018-3245。
具体详见:
(5)【漏洞预警】libssh身份验证绕过(cve-2018-10933)
2018年10月16日,libssh发布更新,该更新修复了一个身份验证绕过漏洞,漏洞的cve编号为cve-2018-10933,目前github上已有可利用的poc。
具体详见:
(6)打开jboss的潘多拉魔盒——jboss高危漏洞分析
近几年jboss爆发的漏洞数量与其他著名的中间(weblogic,jenkins,websphere)等相比,数量相对较少。然而,由于近几年java反序列化漏洞的肆虐,jboss也深受其害,相继爆发了三个著名的高危漏洞。
分析详情参见:
(7)微软漏洞cve-2017-11885分析与利用
根据微软凯发注册网站官网对cve-2017-11885的描述,该漏洞几乎可以通杀微软的全版本操作系统,有关该漏洞的poc在exploit-db上于2018年5月份被披露,该poc仅仅针对windows server 2003进行了测试。
具体详见:
近几年,网络安全事件频发,大到企业政府机构,小到普通网民无不感受到来自网络攻击的巨大杀伤力。那么,中国的网络安全现状究竟如何?《深信服月度网络安全状况分析报告》将从整体网络安全状况、恶意程序活跃情况、安全攻击流量分析、安全漏洞分析以及近期流行攻击事件及漏洞盘点等分析网络安全现状及趋势。
知己知彼,方能百战不怠。信服君将每月推送月度网络安全状况分析报告,敬请期待!
2018年10月,我国互联网网络安全状况总体平稳,没有出现影响互联网正常运行的重大网络安全事件,但恶意程序数量持续高速上涨并且具有明显趋利性。此外,监测显示,10月恶意程序和网站漏洞攻击数量较上月有所上升,挖矿病毒和勒索病毒变种迅速,加密手段升级,未来很有可能呈现爆发趋势。
10月,深信服安全云脑累计拦截恶意程序16.92亿次,平均每天拦截恶意程序5458万次。安全云脑监测到的活跃恶意程序超过11200个,其中,活跃僵尸网络种类6359个,占比56.78%;活跃挖矿病毒种类虽然只有25个,但是拦截次数超过3099万次,说明挖矿病毒依然非常流行。本月检测到的高危漏洞3594个,主要漏洞类型是csrf跨站请求伪造、拒绝服务和xss注入。
恶意程序活跃详情分析
1、僵尸主机活跃状况
2018年10月,深信服安全云脑检测并拦截僵尸网络样本6359个,总体数量呈上升趋势。其中gamarue家族是该月攻击态势更为活跃的僵尸网络家族,共被拦截3696万次。(gamarue是一种严重的侵入性恶意软件,它可以通过受感染的usb驱动器和计算机外部硬盘驱动器进行传播,病毒可以上传感染设备的敏感信息,造成信息泄露,也可下载并执行其他恶意软件,给受感染的设备带来更大的安全威胁。)10月份僵尸网络活跃家族top榜如下图所示:
▲ 僵尸网络活跃家族拦截数量top 10
在僵尸网络危害地域分布上,广东省居首,其次为浙江省和江苏省。
▲ 僵尸网络活跃行业分布top 10
从僵尸网络攻击的行业分布来看,黑客更倾向于使用僵尸网络攻击大企业、政府、教育等网络安全相对薄弱的行业。
▲ 僵尸网络活跃行业分布top 10
攻击者构建大型僵尸网络的能力正在变得越来越强,随着各种僵尸网络变种源码泄露在互联网上,之后还会出现更多不同类型且破坏力更强的僵尸网络攻击。用户应该及时做好系统升级、漏洞补丁修复和病毒查杀等工作,以尽可能抵御攻击,降低安全风险。
2、木马远控病毒活跃状况
深信服安全云脑10月检测到木马远控病毒样本232个,木马远控病毒更活跃的家族依然是anyun,此家族占所有木马远控病毒攻击数量的86%,相比之前有明显的上涨。而dunihi家族则呈现下降趋势,本月拦截比例为6%,数量排名第三的家族是ztorg。具体数据如下图所示:
▲ 木马远控病毒活跃家族top 10
对木马远控病毒受感染的区域进行分析统计发现,广东省受到的危害更大,其病毒感染量占全国总数的36%以上,其次是浙江省和四川省。
▲ 木马远控病毒活跃地区分布top 10
行业分布上,大企业和政府是木马远控病毒的主要攻击对象。
▲ 木马远控病毒活跃行业top 10
2018年10月各式各样的蠕虫病毒多达数千个变种,但通过数据分析来看,大多数攻击都是来自于ramnit、autorun、rimecud、malrun、vb、small、generic、swpatch、bladabindi、mydoom家族,这些家族占据了10月全部蠕虫病毒攻击的77%。
▲ 木马病毒活跃家族分布
4、挖矿病毒活跃状况
虚拟化货币钱包因其地址的隐蔽性,一直是犯罪分子获利的重要选择,这也导致了大量加密货币勒索病毒和挖矿病毒的爆发。根据深信服截获的挖矿病毒数据显示,挖矿病毒层出不穷,这也是今年网络安全的又一特征。
2018年10月,深信服安全云脑共拦截挖矿病毒超过1.4亿次。10月更为活跃的挖矿病毒是bitcoinminer,该病毒通过潜在的垃圾网站来攻击运行ssh的服务器和联网设备以进行传播。感染了bitcoinminer病毒的僵尸主机会打开远程桌面协议端口,攻击者就利用该端口来诱骗用户安装挖矿机,然后进行加密货币的挖掘操作。
从挖矿病毒感染的地域上看,被攻击的地域主要有广东、浙江、北京等地。
▲ 挖矿病毒活跃地域分布
勒索病毒长久以来都是不法分子使用的攻击方式之一。近期从深信服安全云脑监测的数据显示,勒索病毒近期持续呈现活跃态势,勒索病毒的传播进一步强化,10月共检测到活跃勒索病毒样本量65个。
从检测的勒索病毒家族分布上看,wannacry、teslacrypt和locky依然是更活跃的勒索病毒家族,而gandcrab家族通过几次变种更新(近期升级到gandcrab5.0.5)也呈现上升趋势,此家族主要传播方式依然是撒网式水坑攻击,采用rsa aes加密算法,将系统中的大部分文档文件加密为随机后缀名的文件,然后对用户进行勒索,10月有多家医疗机构因新变种导致业务瘫痪,在福建、浙江、山西、吉林、贵州、天津多个省份均有感染案例。具体活跃病毒家族如下图所示:
▲ 勒索病毒活跃家族top 10
由于勒索病毒攻击可以带来巨大、直接的收益,因此勒索病毒不可能在短期内消失,网络犯罪分子采取的战术策略也在不断演变,其攻击方式更加多样化。对于勒索软件的变种,深信服建议企业用户部署防火墙、邮件网关等产品作为首道防线,将行为监控和漏洞防护产品作为辅助措施,并加以edr终端安全产品来有效阻止威胁。
网络安全攻击流量分析
深信服全网安全态势感知平台监测到10月全国有23078个ip遭受了118584691次的网络攻击,攻击以webserver漏洞利用、系统漏洞利用攻击、web扫描、服务器敏感信息枚举等类型为主,主要攻击类型统计分布如下图所示。
▲ 主要攻击类型统计
主要攻击种类和比例如下:
从上述数据可知,相比9月份,webserver漏洞利用攻击依然为占比更高的攻击类型。
网络安全漏洞分析
深信服网站安全监测平台10月对国内已授权的8081个站点进行漏洞监控,发现高危站点1928个,高危漏洞3594个,主要漏洞类别是csrf跨站请求伪造、拒绝服务和xss注入,高危漏洞类型分布如下。
▲ 高危漏洞类型分布
具体比例如下:
近期流行攻击事件及安全漏洞盘点
1、流行攻击事件
(1)blackheart勒索病毒再度来袭
blackheart(黑心)勒索病毒家族是一款使用net语言进行编写的勒索病毒,之前深信服edr安全团队已经报道过它的变种家族样本捆绑知名的远程软件anydesk进行传播,此次深信服edr安全团队发现的是其家族的新变种。
具体详见:
(2)krakencryptor2.0.7勒索变种来袭
近期,深信服安全团队在分析安全云脑全网威胁数据时,发现了一个在国内出现的新勒索家族krakencryptor,发现版本为krakencryptor2.0.7。该版本为目前发现的新版本,且从10月22号之后,陆陆续续有客户通过安全云脑对该样本进行了检测。
具体详见:
(3)blackout勒索病毒再度来袭
近期,深信服安全团队发现blackout家族新变种样本,采用rsa aes加密算法对文件进行加密,加密后的文件无法解密还原。
具体详见:
(4)伪装成docx文档的新型勒索病毒pylocky
pylocky主要通过垃圾邮件进行传播,病毒母体伪装成docx文件图标,其攻击目标以欧州国家为主,有些变种样本,还使用了正规的数字签名,签名信息为la crem ltd,该勒索病毒使用rsa加密算法,加密后的文件无法还原。
具体参见:
(5)gandcrab5.0.4勒索变种来袭,国内部分医疗机构业务瘫痪
近期,深信服安全团队发现gandcrab5.0.3升级版本gandcrab5.0.4在国内有呈现爆发的趋势,已造成国内部分医疗行业出现业务瘫痪,影响医院正常看病治疗。
具体详见:
(6)深信服发现rapid勒索病毒新变种
近期,深信服安全团队接到国内企业反馈其中了勒索病毒。确认为rapid勒索家族的变种,该病毒同样采用rsa aes加密算法,将系统中的大部分文档文件加密为no_more_ransom后缀名的文件,然后对用户进行勒索。
具体详见:
(7)billgates僵尸网络依然活跃,警惕成为肉机
近期,深信服edr安全团队追踪到不少企业级用户linux服务器感染此病毒,billgates僵尸网络依然较为活跃,提醒广大用户小心中招。
具体详见:
2、安全漏洞事件
(1)【漏洞预警】win10操作系统任意文件删除漏洞
2018年10月23日,安全研究人员在github上公布了新的win10x64版的任意文件删除漏洞,在github上的sandboxescaper上有着完整的漏洞利用程序源码以及release版的demo,并且被其他安全研究专家证实该漏洞可以在win10上复现。
具体详见:
(2)struts2漏洞变形攻击
近期,深信服应用防火墙安全团队捕获到大量struts2漏洞变形攻击,平均每周受攻击已达百万次。
分析详情参见:
(3)【漏洞预警】weblogic反序列化漏洞cve-2018-3191
oracle官方发布了10月份的关键补丁更新cpu(critical patch update),其中包含一个远程代码执行漏洞,漏洞威胁等级为高危,漏洞对应的cve编号为cve-2018-3191。
具体详见:
(4)【漏洞预警】weblogic java反序列化漏洞cve-2018-3245
oracle官方发布了10月份的关键补丁更新cpu(critical patch update),其中包含一个远程代码执行漏洞,漏洞威胁等级为高危,漏洞对应的cve编号为cve-2018-3245。
具体详见:
(5)【漏洞预警】libssh身份验证绕过(cve-2018-10933)
2018年10月16日,libssh发布更新,该更新修复了一个身份验证绕过漏洞,漏洞的cve编号为cve-2018-10933,目前github上已有可利用的poc。
具体详见:
(6)打开jboss的潘多拉魔盒——jboss高危漏洞分析
近几年jboss爆发的漏洞数量与其他著名的中间(weblogic,jenkins,websphere)等相比,数量相对较少。然而,由于近几年java反序列化漏洞的肆虐,jboss也深受其害,相继爆发了三个著名的高危漏洞。
分析详情参见:
(7)微软漏洞cve-2017-11885分析与利用
根据微软凯发注册网站官网对cve-2017-11885的描述,该漏洞几乎可以通杀微软的全版本操作系统,有关该漏洞的poc在exploit-db上于2018年5月份被披露,该poc仅仅针对windows server 2003进行了测试。
具体详见:
近几年,网络安全事件频发,大到企业政府机构,小到普通网民无不感受到来自网络攻击的巨大杀伤力。那么,中国的网络安全现状究竟如何?《深信服月度网络安全状况分析报告》将从整体网络安全状况、恶意程序活跃情况、安全攻击流量分析、安全漏洞分析以及近期流行攻击事件及漏洞盘点等分析网络安全现状及趋势。
知己知彼,方能百战不怠。信服君将每月推送月度网络安全状况分析报告,敬请期待!