news

/ 2019-05-20

网络安全状况概述


2019年4月,互联网网络安全状况整体指标平稳,但各类安全事件依然时有发生。从深信服安全云脑捕获的攻击事件来看,病毒攻击手段多种多样,包括绕过杀毒软件无文件木马攻击,还有伪装国家机关发送钓鱼邮件进行攻击等,隐蔽性更强,入侵后会上传多种僵尸网络木马及挖矿程序,难以彻底清除。

信息泄露事件在4月频发,包括某平台超过1亿用户个人数据被暴露在互联网,公职人员泄露公民信息获利,三分之二的酒店网站泄露客人预订信息给第三方等,给用户人身安全、财产安全带来了隐患。此外,监测数据显示,网站攻击数量在4月小幅上升,并且csrf跨站请求伪造、点击劫持等问题也较为严重。


4月,深信服安全云脑累计发现:

  • 恶意攻击19.6亿次,平均每天拦截恶意程序6533万次。

  • 活跃恶意程序30035个,其中感染型病毒6852个,占比22.81%;木马远控病毒13733个,占比45.72%。挖矿病毒种类502个,拦截次数12.29亿次,较3月上升25%,其中minepool病毒家族最为活跃

深信服漏洞监测平台对国内已授权的5661个站点进行漏洞监控,发现:

  • 高危站点1991个,高危漏洞24495个,漏洞类别主要是csrf跨站请求伪造,占比88%。

  • 监控在线业务6724个,共识别潜在篡改的网站有179个,篡改总发现率高达2.66%


恶意程序活跃详情


2019年4月,病毒攻击的态势在4月呈现上升态势,病毒拦截量比3月份上升近20%,近半年拦截恶意程序数量趋势如下图所示:


2019年4月,深信服安全云脑检测到的活跃恶意程序样本有30035个,其中木马远控病毒13733个,占比45.72%,感染型病毒6852个,占比22.81%,蠕虫病毒6461个,占比21.51%,挖矿病毒502个,占比1.67%,勒索病毒419个,占比1.4%。


4月总计拦截恶意程序19.60亿次,其中挖矿病毒的拦截量占比62.72%,其次是木马远控病毒(12.57%)、蠕虫病毒(12.5%)、感染型病毒(8.82%)、后门软件(2.31%)、勒索病毒(0.97%)。


1. 勒索病毒活跃状况


2019年4月,共拦截活跃勒索病毒1893万次。其中,wannacry、razy、gandcrab依然是最活跃的勒索病毒家族,其中wannacry家族4月拦截数量有1098万次,危害依然较大。

从勒索病毒倾向的行业来看,企业和教育感染病毒数量占总体的51%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:

从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是四川省和浙江省

2.挖矿病毒活跃状况


2019年4月,深信服安全云脑在全国共拦截挖矿病毒12.29亿次,比3月上升25%,其中最为活跃的挖矿病毒是minepool、xmrig、wannamine、bitcoinminer,特别是minepool家族,共拦截5.03亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东、浙江、北京等地,其中广东省感染量全国第一。

被挖矿病毒感染的行业分布如下图所示,其中企业受挖矿病毒感染情况最为严重,感染比例和3月基本持平,其次是政府和教育行业。

3.感染型病毒活跃状况


2019年4月,深信服安全云脑检测并捕获感染型病毒样本6852个,共拦截1.73亿次。其中virut家族是4月攻击态势最为活跃的感染型病毒家族,共被拦截1.18亿次,此家族占了所有感染型病毒拦截数量的68.15%;而排名第二第三的是sality和wapomi家族,4月拦截比例分别是18.34%和3.96%。4月份感染型病毒活跃家族top榜如下图所示:

在感染型病毒危害地域分布上,广东省(病毒拦截量)位列全国第一,占top10总量的35%,其次为广西壮族自治区和浙江省

从感染型病毒攻击的行业分布来看,黑客更倾向于使用感染型病毒攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占拦截总量的76%,具体感染行业分布如下图所示:

4.木马远控病毒活跃状况


深信服安全云脑4月全国检测到木马远控病毒样本13733个,共拦截2.46亿次,拦截量较3月上升23%。其中最活跃的木马远控家族是drivelife,拦截数量达5756万次,其次是zusy、injector。具体分布数据如下图所示:

对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占top10拦截量的 30%,较3月份有所增加;其次为浙江(13%)、北京(12%)、四川(10%)和湖北(7%)。此外山东、上海、湖南、江西、江苏的木马远控拦截量也排在前列。

行业分布上,企业、教育及政府行业是木马远控病毒的主要攻击对象。

5.蠕虫病毒活跃状况


2019年4月深信服安全云脑在全国检测到蠕虫病毒样本6461个,共拦截2.45亿次,但通过数据统计分析来看,大多数攻击都是来自于ramnit、gamarue、jenxcus、conficker、dorkbot、faedevour、mydoom、small家族,这些家族占据了4月全部蠕虫病毒攻击的97%,其中攻击态势最活跃的蠕虫病毒是ramnit,占蠕虫病毒攻击总量的48.52%。

从感染地域上看,广东地区用户受蠕虫病毒感染程度最为严重,其拦截量占top10比例的30%;其次为湖南省(14%)、江西省(11%)。

从感染行业上看,企业、教育等行业受蠕虫感染程度较为严重。

网络安全攻击趋势分析


深信服全网安全态势感知平台监测到全国34808个ip在4月所受网络攻击总量约为4.8亿次。4月攻击态势较上月有小幅上升。下图为近半年深信服网络安全攻击趋势监测情况:

1. 安全攻击趋势


下面从攻击类型分布和重点漏洞攻击分析2个纬度展示4月安全攻击趋势:


(1)攻击类型分布


通过对深信服安全云脑日志数据分析可以看到,4月捕获攻击以webserver漏洞利用、系统漏洞利用、web扫描、信息泄露和webshell上传等分类为主。其中webserver漏洞利用类型的占比更是高达52.30%,有近亿的攻击次数;系统漏洞利用类型占比17.80%;web扫描类型的漏洞占比7.60%。

主要攻击种类和比例如下:


(2)重点漏洞攻击分析


通过对深信服安全云脑日志数据分析,针对漏洞的攻击情况筛选出4月攻击利用次数最高的漏洞top20。


其中攻击次数前三的漏洞分别是apache web server etag header 信息泄露漏洞、test.php、test.aspx、test.asp等文件访问检测漏洞和microsoft windows server 2008/2012 - ldap rootdse netlogon 拒绝服务漏洞,攻击次数分别为21486195、18302033和18115723。整体较上月均有下降。



2. 高危漏洞攻击趋势跟踪


深信服安全团队对重要软件漏洞进行深入跟踪分析,近年来java中间件远程代码执行漏洞频发,同时受永恒之蓝影响,使得windows smb、struts2和weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。


2019年4月,windows smb日志量达千万级,近几月攻击持上升趋势,其中拦截到的(ms17-010)microsoft windows smb server 远程代码执行漏洞攻击利用日志最多;struts2系列漏洞攻击趋势近几月攻击次数波动较大,weblogic系列漏洞的攻击也程波动状态,4月仅拦截不到四十万攻击日志;phpcms系列漏洞结束了前几月持续上升的趋势。


windows smb 系列漏洞攻击趋势跟踪情况:

struts 2系列漏洞攻击趋势跟踪情况:

weblogic系列漏洞攻击趋势跟踪情况:

phpcms系列漏洞攻击趋势跟踪情况:

网络安全漏洞分析


1. 全国网站漏洞类型统计


深信服网站安全监测平台4月对国内已授权的5661个站点进行漏洞监控,4月发现的高危站点1991个,高危漏洞24495个,漏洞类别里csrf跨站请求伪造占比88%,详细高危漏洞类型分布如下:

具体比例如下:


2.篡改情况统计


深信服网站安全监测平台4月共监控在线业务6724个,共识别潜在篡改的网站179个,篡改总发现率高达2.66%。

其中凯发注册网站首页篡改120个,二级页面篡改46个,多级页面篡改13个。

具体分布图如下图所示:

上图可以看出,网站凯发注册网站首页篡改为篡改首要插入位置,成为黑客利益输出首选。


近期流行攻击事件及安全漏洞盘点


1.流行攻击事件


(1)识别使用随机后缀的勒索病毒golden axe

国外安全研究员在3月发现了一款名为golden axe的勒索病毒,golden axe是一款用go语言编写的勒索病毒,使用基于rsa公匙加密体系的邮件加密软件pgp开源代码对文件进行加密。

具体详见:

(2)警惕!gandcrab5.2勒索病毒伪装国家机关发送钓鱼邮件进行攻击

4月,包括金融行业在内的多家企业反馈,其内部员工收到可疑邮件。邮件发件人显示为“national tax service”(译为“国家税务局”),邮箱地址为lijinho@cgov.us,意图伪装成美国政府专用的邮箱地址gov.us,邮件内容是传讯收件人作为被告审讯。

具体详见:

(3)手把手教你解密planetary勒索病毒

国外安全研究人员曝光了一种名为planetary的勒索病毒家族,该勒索病毒家族最早于2018年12月被发现,使用aes-256加密算法加密文件,通常通过rdp爆破或垃圾邮件进行传播,重点攻击对象是使用英语的用户群体,但在中国和日本地区都发现了遭到攻击的用户。

具体详见:

(4)linux挖矿病毒ddg改造后重出江湖蔓延windows平台

深信服安全团队在4月捕获了linux、windows双平台的挖矿病毒样本,通过安全人员分析确认,该木马是通过redis漏洞传播的挖矿木马ddg的最新变种,使用当前最新的go语言1.10编译并且使用了大量的基础库文件,该木马会大量消耗服务器资源,难以清除并具有内网扩散功能。

具体详见:

(5)【样本分析】门罗币挖矿 远控木马样本分析

近期,深信服安全团队在对可疑下载类样本进行分析时,发现了一个门罗币挖矿和木马的双功能样本。该样本会在执行挖矿的同时,通过c2配置文件,到指定站点下载具有远控功能的样本,获取受害主机信息,并进一步控制受害主机。

具体详见:

(6)真假文件夹?fakefolder病毒再次捣乱企业内网

4月,深信服安全团队接到客户反馈,内网中出现了大量伪造成文件夹的可疑exe文件,删掉以后仍会反复。经分析发现,这是一个蠕虫病毒fakefolder,该病毒会通过u盘及共享文件夹进行传播,一旦主机感染了该病毒,系统中的文件夹都会被隐藏,取而代之的是一个伪装的病毒文件,当用户运行病毒文件时,也会弹出对应文件夹的窗口,因此不易被察觉;只要系统中还残留着一个fakefolder病毒文件,就会对主机进行反复感染。

具体详见:

(7)警惕!利用confluence最新漏洞传播的linux挖矿病毒seasame

4月,深信服edr产品率先检测到一款新型linux挖矿木马,经分析,该病毒利用confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。深信服安全团队根据其母体文件名将其命名为seasame。

具体详见:

(8)谨防“神秘人”勒索病毒x_mister偷袭

4月,国外某安全论坛公布了一款类似globelmposter的新型勒索病毒,此勒索病毒的某些行为与globelmposter类似,因联系邮箱中带有x_mister而被命名为x_mister(“神秘人”)勒索病毒,该勒索病毒使用rsa des算法加密文件,自身不具备横向感染功能,通常由攻击者对目标进行rdp爆破后手动投放,或通过垃圾邮件传播,且加密完成后会进行自删除。

具体详见:

(9)警惕“侠盗”团伙利用新型漏洞传播gandcrab勒索“蓝屏”变种

近期,深信服安全团队捕获到利用confluence新型漏洞传播勒索病毒的事件,已有政企机构受到攻击,黑客团伙通过漏洞利用入侵服务器,上传downloader脚本文件,连接c&c端下载运行勒索病毒。通过样本中提取的ip进行关联,该攻击事件与利用confluence漏洞(cve-2019-3396)传播gandcrab勒索病毒攻击事件有密切的关联。

具体详见:


2. 安全漏洞事件


(1)【漏洞预警】apache http server组件提权漏洞(cve-2019-0211)

apache http server官方发布了apache http server 2.4.39版本的更新,该版本修复了一个漏洞编号为cve-2019-0211的提权漏洞,漏洞等级高危,根据深信服安全团队分析,该漏洞影响严重,攻击者可以通过上传攻击脚本在目标服务器上进行提权攻击,该漏洞在非*nix平台不受影响。

具体详见:

(2)【攻击捕获】jeecms漏洞竟沦为黑产seo的秘密武器?

深信服安全感知平台在4月发现客户服务器中的文件遭篡改,植入博彩页面。经排查,发现大量网页文件被篡改,且被篡改的时间非常密集。

具体详见:

(3)apache tomcat 远程代码执行漏洞(cve-2019-0232)预警

4月,apache tomcat官方团队在最新的安全更新中披露了一则apache tomcat 远程代码执行漏洞(cve-2019-0232)。漏洞官方定级为 high,属于高危漏洞。该漏洞本质是在启用了enablecmdlinearguments的windows上运行时,由于jre将命令行参数传递给windows的方式存在错误,通过此漏洞,cgi servlet可以受到攻击者的远程执行代码攻击。

具体详见:

(4)【漏洞预警】weblogic任意文件上传漏洞(cve-2019-2618)

oracle官方在最新的安全更新中披露了一则weblogic任意文件上传漏洞(cve-2019-2618)。漏洞官方定级为high,属于高危漏洞。该漏洞本质是通过oam认证后,利用deploymentservice接口实现任意文件上传。攻击者可以利用该漏洞获取服务器权限。

具体详见:

(5)【漏洞预警】spring cloud config目录遍历漏洞(cve-2019-3799)

spring官方团队在最新的安全更新中披露了一则spring cloud config目录遍历漏洞(cve-2019-3799)。漏洞官方定级为 high,属于高危漏洞。该漏洞本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件,攻击者可以构造恶意url实现目录遍历漏洞的利用。

具体详见:

(6)【漏洞预警】weblogic wls-async 反序列化远程命令执行漏洞

cnvd安全公告中披露了一则weblogic wls-async 反序列化远程命令执行漏洞(cnvd-c-2019-48814)。漏洞定级为 high,属于高危漏洞。该漏洞本质是由于 wls9-async组件在反序列化处理输入信息时存在缺陷,未经授权的攻击者可以发送精心构造的恶意 http 请求,获取服务器权限,实现远程命令执行。

具体详见:

安全防护建议


黑客入侵的主要目标是存在通用安全漏洞的机器,所以预防病毒入侵的主要手段是发现和修复漏洞,深信服建议用户做好以下防护措施:


1.杜绝使用弱口令,避免一密多用

与系统、应用相关的用户账号,应杜绝使用弱口令,同时使用高复杂强度的密码,尽量是包含大小写字母、数字、特殊符号等的混合密码,尽量避免一密多用的情况。


2.及时更新重要补丁和升级组件

关注操作系统和组件的重大更新,如永恒之蓝漏洞。使用正确渠道,如微软凯发注册网站官网,及时更新对应补丁漏洞或者升级组件。


3.部署加固软件,关闭非必要端口

在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能,防范漏洞利用,同时限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访问控制acl策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问。采用白名单机制,只允许开放特定的业务必要端口,提高系统安全基线,防范黑客入侵。


4.主动进行安全评估,加强人员安全意识

加强人员安全意识培养,不要随意点击来源不明的邮件附件,不从不明网站下载软件,对来源不明的文件,包括下载邮件附件、上传文件等要先杀毒处理。定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患。


5.建立威胁情报分析和对抗体系,有效防护病毒入侵

网络犯罪分子采取的战术策略也在不断演变,其攻击方式和技术更加多样化。为了有效预防和对抗海量威胁,需要选择更强大和更智能的防护体系。深信服下一代安全防护体系(深信服安全云、深信服下一代防火墙af、深信服安全感知平台sip、深信服终端检测与响应平台edr)通过联动云端、网络、终端进行协同响应,建立事前检测预警、事中防御、事后响应的全面安全防护体系。云端持续趋势风险监控与预警、网络侧实时流量检测与防御、终端事后查杀与溯源,深度挖掘用户潜在威胁,立体全方位确保用户网络安全。


往期回顾

3月丨纯干货 | 网络安全态势洞察报告2019-03

2月丨纯干货 | 网络安全态势洞察报告2019-02

1月丨纯干货 | 网络安全态势洞察报告2019-01

网站篡改现状调查丨国内网站内容篡改现状调查

2018年度丨纯干货 | 网络安全趋势年度报告



  • / 2020-01-06
  • / 2020-01-06
  • / 2020-01-06

©2000-2020    深信服科技股份有限公司    凯发注册网站的版权所有   

"));
网站地图