网络安全状况概述
2019年5月,互联网安全状况整体指标相对平稳,但出现了一些影响较大的安全事件。
臭名远扬的勒索软件gandcrab背后的运营团队宣称“赚够了退休的钱,将停止gandcrab的更新”,其价值观影响极其恶劣。同时从深信服捕获的攻击事件来看,勒索病毒仍是主要危害,且勒索攻击者的针对性较强,主要结合社会工程、rdp远程爆破等手段投放病毒,制造行业和医疗行业在5月受灾较为严重。
微软在5月曝出多个安全漏洞,其中最为严重的是rdp(remote desktop protocol,远程桌面服务)远程代码执行漏洞,编号cve-2019-0708。由于该漏洞影响力和破坏力巨大,一旦被黑客利用,将会造成巨大损失。深信服已经多次提醒用户进行安全更新,做好针对该漏洞的防御措施。
此外,网络安全等级保护制度2.0国家标准正式发布,网络安全由此进入新的发展阶段,等级保护对象范围在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等,网络安全也越来越受到大众关注,同时也将面临新的挑战。
5月,深信服安全云脑累计发现:
-
恶意攻击17.93亿次,平均每天拦截恶意程序5784万次。
-
活跃恶意程序32150个,其中感染型病毒7844个,占比24.4%;木马远控病毒14324个,占比44.55%。挖矿病毒种类455个,拦截次数9.4亿次,较4月下降23%,其中wannamine病毒家族最为活跃。
深信服漏洞监测平台对国内已授权的5661个站点进行漏洞监控,发现:
-
高危站点3932个,高危漏洞102105个,漏洞类别主要是csrf跨站请求伪造,占比30%。
-
监控在线业务7776个,共识别潜在篡改的网站233个,篡改总发现率高达3.06%。
恶意程序活跃详情
2019年5月,病毒攻击结束了近月持续上升的态势,病毒拦截量比4月份下降近8%,近半年拦截恶意程序数量趋势如下图所示:
2019年5月,深信服安全云脑检测到的活跃恶意程序样本有32150个,其中木马远控病毒14324个,占比44.55%,感染型病毒7844个,占比24.4%,蠕虫病毒5813个,占比18.08%,勒索病毒535个,占比1.66%,挖矿病毒455个,占比1.42%。
5月总计拦截恶意程序17.93亿次,其中挖矿病毒的拦截量占比52.42%,其次是木马远控病毒(15.71%)、蠕虫病毒(11.97%)、后门软件(9.8%)、感染型病毒(8.94%)、勒索病毒(1.05%)。
1. 勒索病毒活跃状况
2019年5月,共拦截勒索病毒数量1881万次。其中,wannacry、razycrypt、gandcrab依然是最活跃的勒索病毒家族,其中wannacry家族本月拦截数量有932万次,危害较大。
从勒索病毒倾向的行业来看,企业和教育感染病毒数量占总体的59%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:
从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是湖南省和浙江省。
2. 挖矿病毒活跃状况
2019年5月,深信服安全云脑共拦截挖矿病毒9.40亿次,比四月下降23%,其中最为活跃的挖矿病毒是wannamine、minepool、xmrig,特别是wannamine家族,共拦截3.29亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东、北京、浙江等地,其中广东省感染量第一。
被挖矿病毒感染的行业分布如下图所示,其中企业受挖矿病毒感染情况最为严重,感染比例和4月基本持平,其次是政府和教育行业。
3. 感染型病毒活跃状况
2019年5月,深信服安全云脑检测并捕获感染型病毒样本7844个,共拦截1.60亿次。其中virut家族成为本月攻击态势最为活跃的感染型病毒家族,共被拦截1.02亿次,此家族占了所有感染型病毒拦截数量的63.78%;而排名第二第三的是sality和pioneer家族,本月拦截比例分别是为22.32%和4.24%。5月份感染型病毒活跃家族top榜如下图所示:
在感染型病毒危害地域分布上,广东省(病毒拦截量)位列第一,占top10总量的35%,其次为浙江省和广西壮族自治区。
从感染型病毒攻击的行业分布来看,黑客更倾向于使用感染型病毒攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占拦截总量的69%,具体感染行业分布如下图所示:
4. 木马远控病毒活跃状况
深信服安全云脑5月检测到木马远控病毒样本14324个,共拦截2.82亿次,拦截量较4月上升14%。其中最活跃的木马远控家族是drivelife,拦截数量达6138万次,其次是injector、zusy。具体分布数据如下图所示:
对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占top10拦截量的 29%,与4月份基本持平;其次为北京(12%)、浙江(11%)、广西壮族自治区(9%)和湖南(8%)。此外湖北、山东、江苏、四川、上海的木马远控拦截量也排在前列。
行业分布上,企业、教育及政府行业是木马远控病毒的主要攻击对象。
5. 蠕虫病毒活跃状况
2019年5月深信服安全云脑检测到蠕虫病毒样本5813个,共拦截2.15亿次,但通过数据统计分析来看,大多数攻击都是来自于ramnit、gamarue、jenxcus、dorkbot、faedevour、small家族,这些家族占据了5月全部蠕虫病毒攻击的95%,其中攻击态势最活跃的蠕虫病毒是ramnit,占蠕虫病毒top10总量的51%。
从感染地域上看,广东地区用户受蠕虫病毒感染程度最为严重,其拦截量占top10总量的31%;其次为湖南省(16%)、浙江省(10%)。
从感染行业上看,企业、教育等行业受蠕虫感染程度较为严重。
网络安全攻击趋势分析
深信服全网安全态势感知平台监测到全国32631个ip在5月所受网络攻击总量约为7亿次。本月攻击态势较4月有小幅上升,下图为近半年深信服网络安全攻击趋势监测情况:
1. 安全攻击趋势
下面从攻击类型分布和重点漏洞攻击分析2个维度展示本月的网络攻击趋势:
(1)攻击类型分布
通过对深信服安全云脑日志数据分析可以看到,5月捕获攻击以webserver漏洞利用、系统漏洞利用、sql注入攻击等分类为主。其中webserver漏洞利用类型的占比更是高达53.30%,攻击次数达3亿多次;系统漏洞利用类型占比15.50%;web扫描类型的漏洞占比8.60%。
主要攻击种类和比例如下:
(2)重点漏洞攻击分析
通过对深信服安全云脑日志数据分析,针对漏洞的攻击情况筛选出5月攻击利用漏洞的top20。
其中漏洞被利用次数前三的漏洞分别是apache http server mod_log_config 远程拒绝服务漏洞、apache web server etag header 信息泄露漏洞和netbios名称查询响应漏洞,利用次数分别为285,573,813、29,091,319和24,438,711,较上月均有上升。
2. 高危漏洞攻击趋势跟踪
深信服安全团队对重要软件漏洞进行深入跟踪分析,近年来java中间件远程代码执行漏洞频发,同时受永恒之蓝影响使得windows smb、struts2和weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。
2019年5月,windows smb拦截日志量达千万级,近几月攻击持上升趋势,其中拦截到的(ms17-010)microsoft windows smb server 远程代码执行漏洞攻击利用日志最多;struts2系列漏洞攻击趋势近几月攻击次数小幅上升,weblogic系列漏洞的攻击呈现波动状态,本月仅拦截二十万次攻击;phpcms系列漏洞攻击次数较上月小幅上升。
(1)windows smb 系列漏洞攻击趋势跟踪情况
(2)struts 2系列漏洞攻击趋势跟踪情况
(3)weblogic系列漏洞攻击趋势跟踪情况
(4)phpcms系列漏洞攻击趋势跟踪情况
网络安全漏洞分析
1. 全国网站漏洞类型统计
深信服网站安全监测平台5月对国内已授权的6130个站点进行漏洞监控,发现高危站点3932个,高危漏洞102105个,漏洞类别主要是csrf跨站请求伪造,信息泄露和xss注入,总占比79%,详细高危漏洞类型分布如下:
具体比例如下:
2. 篡改情况统计
5月总监控在线业务7776个(去重),共识别潜在篡改网站233个(去重),篡改总发现率高达3.06%。
其中凯发注册网站首页篡改79个,二级页面篡改132个,多级页面篡改22个,具体分布图如下图所示:
上图可以看出,网站二级篡改为篡改首要插入位置,成为黑客利益输出首选。
近期流行攻击事件及安全漏洞盘点
1. 流行攻击事件
(1)绕过杀软!sql server transact-sql 的无文件攻击姿势
近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装mykings、mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。经分析排查,该木马通过弱口令爆破sql server服务器后,利用sqlserver transact-sql存储c#编译恶意代码,通过mssql作业定时执行存储过程,在受害主机下载恶意程序。
具体详见:
(2)【安全研究】domain fronting域名前置网络攻击技术
domain fronting基于https通用规避技术,也被称为域前端网络攻击技术。这是一种用来隐藏metasploit,cobalt strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如amazon ,google,akamai 等大型厂商会提供一些域前端技术服务。
具体详见:
(3)警惕x3m勒索病毒——crypton
crypton勒索病毒最早出现在2017年2月份左右,曾有多家企业遭到攻击,近日深信服安全服务团队接到客户反馈,其主机被加密勒索,加密后缀为x3m。经过跟踪分析,深信服安全团队拿到了相应的样本,确认样本为crypton勒索病毒的变种版本,并对此勒索病毒样本进行深入的分析。
具体详见:
(4)警惕bizarro sundown(greenflash)漏洞利用工具包传播seon勒索病毒
近日,国外安全研究人员捕获到一款名为seon的勒索病毒,并且发现攻击者通过bizarro sundown(greenflash)漏洞利用工具包进行传播,该漏洞利用工具包常被用于传播各类勒索病毒,如gandcrab、locky、hermes等。seon勒索病毒使用aes算法加密文件,修改文件后缀为 .fixt,加密完成后弹出hta窗口与用户交互索要赎金。
具体详见:
(5)准备交赎金?当心phobos勒索病毒二次加密!
深信服安全团队接到多家企业反馈,其服务器遭到勒索病毒攻击,重要数据被加密。经安全团队专家排查,该病毒是近期较为活跃的一款勒索病毒,通常通过rdp暴力破解和人工投放的方式进行攻击,攻击者成功入侵后,通常会关闭系统的安全软件防护功能,运行勒索病毒,加密后会修改文件后缀为[原文件名] id[随机字符串] [邮箱地址].phobos。
具体详见:
(6)新型勒索病毒attention感染医疗与半导体行业
近日,深信服安全团队检测到一种全新的勒索病毒正在活跃,攻击者针对制造行业、医疗行业等目标,通过社会工程、rdp远程爆破等方式手动投放勒索病毒,且进行加密后会人工删除勒索病毒体和入侵日志。
具体详见:
(7)gandcrab再爆新变种,警惕deepblue变种感染
近日,深信服安全团队跟踪到多起gandcrab勒索病毒最新变种感染事件。由于感染主机桌面屏幕会被设置成为深蓝色,深信服将该变种命名为gandcrab勒索deepblue变种。
具体详见:
2. 安全漏洞事件
(1)【漏洞预警】remote desktop protocol任意代码执行漏洞(cve-2019-0708)
2019年5月14日,microsoft在最新的安全更新公告中披露了一则rdp远程代码执行漏洞。通过此漏洞,攻击者无需经过身份验证,只需要使用rdp连接到目标系统并发送特制请求,就可以在目标系统上远程执行代码。
具体详见:
(2)【漏洞预警】intel processor mds系列漏洞预警
2019年5月14日,intel官方披露了一系列推测性执行侧信道漏洞,统称为“microarchitectural data sampling”(mds)。该系列漏洞影响了一大批intel处理器,漏洞允许攻击者直接窃取cpu缓冲区中的用户级和系统级秘密信息,包括用户秘钥、密码和磁盘加密秘钥等重要信息。
具体详见:
(3)漏洞预警 | remote desktop protocol任意代码执行漏洞(cve-2019-0708)
2019年5月14日,microsoft在最新的安全更新公告中披露了一则rdp远程代码执行漏洞。通过此漏洞,攻击者无需经过身份验证,只需要使用rdp连接到目标系统并发送特制请求,就可以触发漏洞,实现在目标系统上远程执行代码。
具体详见:
(4)poc已公开!rdp远程代码执行漏洞被利用引发蓝屏
2019年5月31日,深信服安全团队发现公开的cve-2019-0708的poc已在github上流传,并第一时间进行复现以及分析。经测试,该poc可导致目标主机蓝屏崩溃,特此再次发出预警。
具体详见:
安全防护建议
黑客入侵的主要目标是存在通用安全漏洞的机器,所以预防病毒入侵的主要手段是发现和修复漏洞,深信服建议用户做好以下防护措施:
1. 杜绝使用弱口令,避免一密多用
系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,禁止密码重用的情况出现,尽量避免一密多用的情况。
2. 及时更新重要补丁和升级组件
建议关注操作系统和组件重大更新,如永恒之蓝漏洞,使用正确渠道,如微软凯发注册网站官网,及时更新对应补丁漏洞或者升级组件。
3. 部署加固软件,关闭非必要端口
服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、防范漏洞利用,同时限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访问控制acl策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,提高系统安全基线,防范黑客入侵。
4. 主动进行安全评估,加强人员安全意识
加强人员安全意识培养,不要随意点击来源不明的邮件附件,不从不明网站下载软件,对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患。
5. 建立威胁情报分析和对抗体系,有效防护病毒入侵
网络犯罪分子采取的战术策略也在不断演变,其攻击方式和技术更加多样化。对于有效预防和对抗海量威胁,需要选择更强大和更智能的防护体系。深信服下一代安全防护体系(深信服安全云、深信服下一代防火墙af、深信服安全感知平台sip、深信服终端检测与响应平台edr)通过联动云端、网络、终端进行协同响应,建立全面的事前检测预警、事中防御、事后处理的整套安全防护体系。云端持续趋势风险监控与预警、网络侧实时流量检测与防御、终端事后查杀与溯源,深度挖掘用户潜在威胁,立体全方位确保用户网络安全。
往期回顾
网站篡改现状调查丨国内网站内容篡改现状调查
2018年度丨纯干货 | 网络安全趋势年度报告