【网络安全状况概述】
2019年1月,整体而言,互联网网络安全状况指标平稳。从行业角度看,针对医疗和服务业的攻击逐步增多,原因是这些行业拥有数据的价值正在增加。另一方面,勒索病毒作为破坏性最强、影响面广泛的一类恶意程序,该月出现多种勒索病毒变种肆虐,勒索病毒感染正处于愈演愈烈的态势,个人或企业应做好安全防护措施。此外,根据监测数据发现,网站攻击和网站漏洞数量在1月有所缓减,信息泄漏为目的的漏洞攻击形势依然较为严峻。
1月,深信服安全云脑累计发现:
● 恶意攻击17.6亿次,平均每天拦截恶意程序5688万次。
● 活跃恶意程序54993个,其中僵尸网络23730个,占比43.15%;木马远控病毒20162个,占比36.66%。活跃挖矿病毒种类704个,拦截次数10.71亿次,较之前有持续增长,其中nrsminer变种非常活跃。
深信服漏洞监测平台对国内已授权的7329个站点进行漏洞监控,发现:
● 高危站点2505个,其中高危漏洞5792个,主要漏洞类别是点击劫持、csrf跨站请求伪造和信息泄露。
● 监控在线业务5870个,其中有246个在线业务发生过真实篡改,篡改占比高达4.19%。
【恶意程序活跃详情】
2019年1月,深信服安全云脑检测到的活跃恶意程序样本有54993个,其中僵尸网络23730个,占比43.15%;木马远控病毒20162个,占比36.66%,挖矿病毒704个,占比1.28%。
1月总计拦截恶意程序17.6亿次,其中挖矿病毒的拦截量占比61%,其次是感染型病毒(16%)、木马远控病毒(11%)、蠕虫(7%)、后门软件(3%)、勒索软件(1%),由下图可知,挖矿病毒的拦截比例依然较大。
▲2019年1月恶意程序拦截量按类型分布
1、挖矿病毒活跃情况
2019年1月,深信服安全云脑共捕获挖矿病毒样本704个,拦截挖矿病毒10.71亿次,其中最为活跃的挖矿病毒是nrsminer、minepool、xmrig、bitcoinminer、wannamine,特别是1月爆发的nrsminer家族,共拦截4.38亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东、浙江、北京等地,其中广东省感染量全国第一。
▲2019年1月挖矿病毒活跃地域top10
被挖矿病毒感染的行业分布如下图所示,其中企业受挖矿病毒感染情况最为严重,其次是政府和教育行业。
▲2019年1月挖矿病毒感染行业top10
基于深信服对挖矿病毒主要特征的总结,发现黑客入侵挖矿的主要目标是存在通用安全漏洞的机器,所以预防入侵挖矿的主要手段就是发现和修复漏洞:
1)根据业务情况尽量关闭非业务需要的端口,对于开放在外网上的服务,即使因为业务,也应限制访问来源。
2)建议关注操作系统和组件重大更新,如 wannacry 传播使用的永恒之蓝漏洞,及时更新补丁或者升级组件。
3)为预防密码暴力破解导致的入侵,应更换默认的远程登录端口,设置复杂的登录密码,或者放弃使用口令登录,改使用密钥登录。
4)自检服务器上部署的业务,进行渗透测试,及早发现并修复业务漏洞,避免成为入侵点。
5)使用深信服下一代防火墙、edr等安全产品,实时检测发现服务器上的安全漏洞并且及时修复。
此外,针对已经被入侵挖矿的情况,建议及时清理挖矿进程和恶意文件,同时排查入侵点并修复,从源头上进行有效解决。
2、僵尸网络病毒活跃情况
2019年1月,深信服安全云脑检测并捕获僵尸网络样本20162个,共拦截8756万次。其中andromeda家族是成为本月攻击态势最为活跃的僵尸网络家族,共被拦截2732万次,此家族占了所有僵尸网络拦截数量的31%;而排名第二第三的aenjaris和moto家族拦截量呈现大幅增加,本月拦截比例分别是为15%和14%。1月份僵尸网络活跃家族top榜如下图所示:
▲2019年1月僵尸网络活跃家族拦截数量top10
在僵尸网络危害地域分布上,广东省(病毒拦截量)位列全国第一,占top10总量的38%,其次为浙江省和内蒙古自治区。
▲2019年1月僵尸网络活跃地区top10
从僵尸网络攻击的行业分布来看,黑客更倾向于使用僵尸网络攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占僵尸网络top10拦截总量的80%,具体感染行业top分布如下图所示:
▲2019年1月僵尸网络感染行业top10
3、木马远控病毒活跃状况
深信服安全云脑1月检测到木马远控病毒样本18501个,共拦截19612万次。其中最活跃的木马远控家族是glupteba,拦截数量达3146万次,其次是xorddos、zusy。具体分布数据如下图所示:
▲2019年1月木马远控毒活跃家族top10
对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占top10拦截量的 25%;其次为浙江(16%)、北京(12%)、四川(11%)和江苏(8%)。此外湖北、山东、上海、福建、湖南的木马远控拦截量也排在前列。
▲2019年1月木马远控活跃地区top10
行业分布上,企业、政府及科研教育行业是木马远控病毒的主要攻击对象。
▲2019年1月木马远控病毒感染行业top10
4、蠕虫病毒活跃状况
2019年1月深信服安全云脑检测到蠕虫病毒样本2156个,共拦截8955万次,但通过数据统计分析来看,大多数攻击都是来自于gamarue、jenxcus、dorkbot、palevo、citeary、vobfus、conficker、brontok、ngrbot家族,这些家族占据了1月全部蠕虫病毒攻击的98.9%,其中攻击态势最活跃的蠕虫病毒是gamarue,占蠕虫病毒攻击总量的76%。
▲2019年1月蠕虫病毒活跃家族top10
从感染地域上看,广东地区用户受蠕虫病毒感染程度最为严重,其拦截量占top10比例的24%;其次为江西省(22%)、湖南省(13%)。
▲2019年1月蠕虫病毒活跃地域top10
从感染行业上看,企业、教育等行业受蠕虫感染程度较为严重。
▲2019年1月蠕虫病毒感染行业分布top10
5、勒索病毒活跃状况
2019年1月,共检测到活跃勒索病毒样本量292个。其中,wannacry、razy、gandcrab、teslacrypt、mamba、locky依然是最活跃的勒索病毒家族,其中wannacry家族本月拦截数量有300万次,危害依然较大。
从勒索病毒倾向的行业来看,企业和政府感染病毒数量占总体的55%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:
▲2019年1月勒索病毒感染行业top10
从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是浙江省和福建省。
▲2019年1月勒索病毒活跃地域top10
【网络安全攻击趋势分析】
深信服全网安全态势感知平台监测到全国30692个ip在1月内所受网络攻击总量约为12亿次。下图为近半年深信服网络安全攻击趋势监测情况:
▲近半年网络安全攻击趋势情况
1、本月安全攻击趋势
下面从攻击类型分布和命中情况分析2个纬度展示本月现网的攻击趋势:
-
攻击类型分布
通过对云脑日志数据分析可以看到,1月捕获攻击以web扫描、webserver漏洞利用、操作系统漏洞利用攻击和信息泄露攻击分类为主,以上四类攻击日志数占总日志数的73%。其中web扫描类型的漏洞更是达到了26.73%,有近亿的命中日志;webserver漏洞利用和操作系统漏洞利用攻击类型均占比18%。此外,信息泄露攻击、webshell上传、sql注入等攻击类型在1月的攻击数量有所增长。
▲2019年1月攻击类型分布
主要攻击种类和比例如下:
-
针对性漏洞攻击分析
(1)针对web漏洞的攻击情况分析统计
其中遭受攻击次数前三对应的漏洞分别是test.php、test.aspx、test.asp等文件访问检测漏洞、sql注入攻击双引号语句检测漏洞和服务器目录浏览禁止信息泄露漏洞,攻击次数分别为75,352,863、21,599,200和21,182,625。
(2)针对系统中间件类漏洞的命中情况分析统计
通过对日志数据分析可以看到其中遭受攻击次数前三的漏洞分别是microsoft windows smb server smbv1信息泄露漏洞、ntp ntp_request.c 远程拒绝服务漏洞和microsoft iis畸形本地文件名安全绕过漏洞。
2、高危漏洞攻击趋势跟踪
深信服安全团队对重要软件漏洞进行深入跟踪分析,近年来java中间件远程代码执行漏洞频发,同时受永恒之蓝影响使得windows smb、struts2和weblogic漏洞成为黑客最受欢迎的漏洞攻击方式,2019年1月,windows smb日志量达千万级,相比上月小幅上升;struts2系列漏洞,weblogic系列漏洞和phpcms系列漏洞的攻击次数本月均大幅度减少。相关用户应重点关注。
-
windows smb 系列漏洞攻击趋势跟踪情况
-
struts 2系列漏洞攻击趋势跟踪情况
-
weblogic系列漏洞攻击趋势跟踪情况
-
phpcms系列漏洞攻击趋势跟踪情况
【网络安全漏洞分析】
1、本月漏洞收集情况
2019年1月深信服安全团队通过自动化手段筛选并收录国内外重点漏洞115条,其中web应用漏洞36条,操作系统漏洞50条,网络设备漏洞2条,服务器漏洞4条,客户端漏洞23条。收录的重要漏洞中包含34条0day漏洞。
从收集的重要漏洞分析攻击方法分布,可以看到,占比排名前三的分别是代码执行,信息泄露,和权限升级,分别占比20%,19%和15%,三类攻击方法占总数为54%;跨站点脚本攻击,验证绕过,内存损坏,拒绝服务攻击和缓冲区溢出的占比情况也排名靠前。
2、全国网站漏洞收集情况
深信服云眼网站安全监测平台本月对国内已授权的4282个站点进行漏洞监控,近一个月内发现的高危站点1364个,高危漏洞23477个,主要漏洞类别是信息泄露、xss和csrf跨站请求伪造等。高危漏洞类型分布如下:
具体比例如下:
3、篡改情况统计
1月共监控在线业务5870个(已去重),共检测到246个(已去重)个网站发生真实篡改,篡改总发现率高达4.19%。其中有202个识别为凯发注册网站首页篡改,13个识别为二级目录篡改,31个识别为二层级以上的多层级篡改。
具体分布图如下图所示:
从上图可以看出,网站凯发注册网站首页篡改为篡改首要插入位置,成为黑客利益输出首选。
【近期流行攻击事件及安全漏洞盘点】
1、流行攻击事件
(1)攻击数据库服务器!gandcrab5.1勒索病毒来袭
深信服安全团队在国内跟踪发现了一新型的勒索病毒变种,确认为gandcrab家族的最新版本gandcrab5.1。国内感染案例以rdp爆破为主,通过人工入侵和手工投毒,专门攻击数据库服务器。
具体详见:
(2)mirai挖矿致使机器不休假!
具体详见:
(3)matrix勒索病毒prcp变种侵入政企单位,警惕感染
深信服安全团队在国内跟踪发现了一种新型的病毒变种,确认为matrix勒索病毒prcp变种。该变种主要通过rdp爆破进行传播,会扫描局域网内主机,并加密局域网共享目录文件夹下的文件。
具体详见:
(4)ai 安全深信服安全感知精准识别海莲花apt事件
深信服安全团队收到某大型客户反馈内网主机出现大量异常dns请求,安全感知报警提示为主机存在隧道通信,通过安全人员对主机进一步检查发现内网主机存在一个异常的通信进程对外发送大量的53端口的请求,经过edr病毒分析专家逆向结果与威胁情报关联,确定病毒是国外apt组织"oceanlotus"常用的cc通信模块。
具体详见:
(5)警惕!一款注入型勒索病毒ryuk,拉开2019年勒索病毒攻击的序幕
ryuk勒索病毒最新于2018年8月由国外某安全公司进行报道,短短两周内净赚超过64万美元的比特币,同时跟踪发现它与hermes勒索病毒相关联,此外也有消息称hermes勒索病毒与朝鲜黑客组织lazarus有关联。
具体详见:
(6)globelmposter4.0最新变种来袭
在2018年12月份,深信服安全团队又第一时间跟踪发现一例新的globelmposter勒索病毒变种,加密后缀".fuck"。
具体详见:
深信服安全团队用安全感知平台在国内发现一种新型的mirai变种,该变种会进行门罗币挖矿并且通过ssh爆破来实现传播。
(7)过节不忘提高警惕!圣诞专版病毒fileslocker2.1勒索国内法院
深信服安全团队跟踪到多个法院用户感染fileslocker勒索病毒最新版本fileslocker2.1,该版本专门为庆祝圣诞节而设计命名,中招用户除了系统被加密破坏之外,还有来自勒索作者的节日问候。
具体详见:
2、安全漏洞事件
(1)【漏洞预警】microsoft exchange 任意用户提权攻击预警
自微软公布了一月份的安全更新不久,国外安全研究员发现了一个exchange server任意用户伪造漏洞(cve-2018-8581),可利用此漏洞获取域服务管理控制权限,进一步获得域服务中的所有账户信息。目前,该漏洞的poc和相关利用方式已被公布,且微软尚未对此漏洞发布安全补丁,使用了microsoft exchange的用户可参考深信服提供的临时防护方案进行有效防护。
具体详见:
(2)【漏洞预警】thinkphp 5.1-5.2 全版本远程代码执行漏洞预警
2019年1月11日,某安全团队公布了一篇thinkphp 5.0.*远程代码执行漏洞文档,公布了一个thinkphp 5.0.*远程代码执行漏洞。2019年1月15日,某安全研究员公布了一篇thinkphp 5.1-5.2全版本远程代码执行漏洞的文章,文章中的该漏洞与thinkphp 5.0.*远程代码执行漏洞原理相似,攻击者可利用该漏洞在一定条件下获取目标服务器的最高权限。
具体详见:
(3)【漏洞预警】thinkphp 5.0.* 远程代码执行漏洞
2019年1月11日,某安全团队发布了一篇thinkphp 5.0.*远程代码执行漏洞文档,该漏洞主要存在于request (thinkphp/library/think/request.php)类中,thinkphp 5.0.24以下版本由于在此类中未做好安全过滤,导致了一个thinkphp 5.0.*远程代码执行漏洞。
具体详见:
往期回顾
网站篡改现状调查丨
2018年度丨
12月丨
11月丨
10月丨