本站使用 cookies,继续浏览表示您同意我们使用 cookies。
2019年7月,互联网网络安全状况整体指标平稳,从各类监测数据显示,无论是恶意程序攻击、网络安全攻击还是高危漏洞数量,各项指标相对6月均有不同程度的下降。
另一方面,从深信服安全云脑捕获的攻击事件来看,7月几个大的安全事件均由邮件钓鱼攻击导致,多个行业和单位受到损害。鱼叉式网络钓鱼是盗取用户凭证和各种敏感信息的惯用伎俩,当前看来该类方法依然奏效。深信服安全团队提醒大家不要点击来历不明的邮件,注意加强安全防护意识。
7月,深信服安全云脑累计发现:
深信服漏洞监测平台对国内已授权的6549个站点进行漏洞监控,发现:
2019年7月,病毒攻击的态势呈现下降态势,病毒拦截量比6月份下降约7.7%,近半年拦截恶意程序数量趋势如下图所示:
2019年7月,深信服安全云脑检测到的活跃恶意程序样本有28912个,其中木马远控病毒13977个,占比48.34%,蠕虫病毒7079个,占比24.48%,感染型病毒4963个,占比17.17%,勒索病毒511个,占比1.77%,挖矿病毒472个,占比1.63%。
7月总计拦截恶意程序17.68亿次,其中挖矿病毒的拦截量占比59.48%,其次是木马远控病毒(14.80%)、蠕虫病毒(10.95%)、感染型病毒(7.61%)、后门软件(6.59%)、勒索病毒(0.39%)。
2019年7月,共拦截勒索病毒数量683万次。其中,wannacry、razycrypt、gandcrab依然是最活跃的勒索病毒家族,其中wannacry家族7月拦截数量有583万次,危害依然较大。
从勒索病毒倾向的行业来看,企业感染病毒数量占总体的31%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:
从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是四川省和陕西省。
2019年7月,深信服安全云脑共拦截挖矿病毒10.52亿次,其中最为活跃的挖矿病毒是wannamine、minepool、xmrig,特别是wannamine家族,共拦截4.71亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东省、北京市、浙江省等地,其中广东省感染量第一。
被挖矿病毒感染的行业分布如下图所示,其中企业受挖矿病毒感染情况最为严重。
2019年7月,深信服安全云脑检测并捕获感染型病毒样本4963个,共拦截1.17亿次。其中virut家族是成为7月攻击态势最为活跃的感染型病毒家族,共被拦截7143万次,此家族占了所有感染型病毒拦截数量的61.27%;而排名第二第三的是sality和wapomi家族,7月拦截比例分别是为23.86%和4.98%。7月感染型病毒活跃家族top榜如下图所示:
在感染型病毒危害地域分布上,广东省病毒拦截量位列第一,占top10总量的39%,其次为浙江省和江苏省。
从感染型病毒攻击的行业分布来看,黑客更倾向于使用感染型病毒攻击企业、教育等行业。企业、教育的拦截数量占感染型病毒拦截总量的76%,具体感染行业分布如下图所示:
深信服安全云脑在7月检测到木马远控病毒样本13977个,共拦截2.62亿次。其中最活跃的木马远控家族是drivelife,拦截数量达6092万次,其次是siscos、injector。具体分布数据如下图所示:
对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占top10拦截量的26%;其次为北京市(14%)、广西壮族自治区(11%)、浙江省(11%)和山东省(7%)。此外湖南省、四川省、江苏省、上海市、福建省的木马远控拦截量也排在前列。
行业分布上,企业、教育行业是木马远控病毒的主要攻击对象。
2019年7月深信服安全云脑检测到蠕虫病毒样本7079个,共拦截1.94亿次,但通过数据统计分析来看,大多数攻击都是来自于ramnit、gamarue、jenxcus、dorkbot、faedevour、morto、small家族,这些家族占据了7月全部蠕虫病毒攻击的96%,其中攻击态势最活跃的蠕虫病毒是ramnit,占蠕虫病毒top10总量的49%。
从感染地域上看,广东省地区用户受蠕虫病毒感染程度最为严重,其拦截量占top10总量的28%;其次为湖南省(12%)、浙江省(10%)。
从感染行业上看,企业、教育等行业受蠕虫感染程度较为严重。
深信服全网安全态势感知平台监测到全国36584个ip在7月所受网络攻击总量约为4.3亿次。7月攻击态势较上月有明显下降。下图为近半年深信服网络安全攻击趋势监测情况:
下面从攻击类型分布和重点漏洞攻击分析2个维度展示7月现网的攻击趋势:
通过对云脑日志数据分析可以看到,7月捕获攻击以webserver漏洞利用、系统漏洞利用、信息泄漏、web扫描、数据库漏洞利用等分类为主。其中webserver漏洞利用类型的占比高达41.73%,攻击次数达1.7亿多次;系统漏洞利用类型均占比21.84%。
主要攻击种类和比例如下:
通过对深信服安全云脑日志数据分析,针对漏洞的攻击情况筛选出7月攻击利用次数最高的漏洞top20。
其中漏洞被利用次数前三的漏洞分别是apache http server mod_log_config 远程拒绝服务漏洞(保持不变)、nginx uri processing安全绕过漏洞和apache web server etag header 信息泄露漏洞,命中次数分别为58527778、44965615和36628816。
深信服安全团队对重要软件漏洞进行深入跟踪分析,近年来java中间件远程代码执行漏洞频发,同时受永恒之蓝影响使得windows smb、struts2和weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。
2019年7月,windows smb日志量仍达千万级,但结束了近几月持续上升的攻击趋势,其中依旧是拦截到的(ms17-010)microsoft windows smb server 远程代码执行漏洞攻击利用日志最多;struts2系列漏洞近几月攻击次数在一千万至两千万之间波动,趋势较为平缓;weblogic系列漏洞的攻击总体呈波动状态,本月有小幅上升;phpcms系列漏洞攻击次数近几月持续下降。
windows smb 系列漏洞攻击趋势跟踪情况:
struts2系列漏洞攻击趋势跟踪情况:
weblogic系列漏洞攻击趋势跟踪情况:
phpcms系列漏洞攻击趋势跟踪情况:
深信服网站安全监测平台7月对国内已授权的6549个站点进行漏洞监控,发现高危站点3976个,高危漏洞135820个,漏洞类别主要是csrf跨站请求伪造,信息泄露和xss注入,总占比86.50%,详细高危漏洞类型分布如下:
具体比例如下:
7月总监控在线业务8260个(去重),共识别潜在篡改的网站有96个(去重),篡改总发现率为1.16%。 其中凯发注册网站首页篡改19个,二级页面篡改38个,多级页面篡改39个。
具体分布图如下图所示: