纯干货 | 网络安全态势洞察报告2019-04

网络安全状况概述

2019年4月，互联网网络安全状况整体指标平稳，但各类安全事件依然时有发生。从某公司安全云脑捕获的攻击事件来看，病毒攻击手段多种多样，包括绕过杀毒软件无文件木马攻击，还有伪装国家机关发送钓鱼邮件进行攻击等，隐蔽性更强，入侵后会上传多种僵尸网络木马及挖矿程序，难以彻底清除。

信息泄露事件在4月频发，包括某平台超过1亿用户个人数据被暴露在互联网，公职人员泄露公民信息获利，三分之二的酒店网站泄露客人预订信息给第三方等，给用户人身安全、财产安全带来了隐患。此外，监测数据显示，网站攻击数量在4月小幅上升，并且CSRF跨站请求伪造、点击劫持等问题也较为严重。

4月，某公司安全云脑累计发现：

o 恶意攻击19.6亿次，平均每天拦截恶意程序6533万次。

o 活跃恶意程序30035个，其中感染型病毒6852个，占比22.81%；木马远控病毒13733个，占比45.72%。挖矿病毒种类502个，拦截次数12.29亿次，较3月上升25%，其中Minepool病毒家族最为活跃。

某公司漏洞监测平台对国内已授权的5661个站点进行漏洞监控，发现：

o 高危站点1991个，高危漏洞24495个，漏洞类别主要是CSRF跨站请求伪造，占比88%。

o 监控在线业务6724个，共识别潜在篡改的网站有179个，篡改总发现率高达2.66%。

恶意程序活跃详情

2019年4月，病毒攻击的态势在4月呈现上升态势，病毒拦截量比3月份上升近20%，近半年拦截恶意程序数量趋势如下图所示：

2019年4月，某公司安全云脑检测到的活跃恶意程序样本有30035个，其中木马远控病毒13733个，占比45.72%，感染型病毒6852个，占比22.81%，蠕虫病毒6461个，占比21.51%，挖矿病毒502个，占比1.67%，勒索病毒419个，占比1.4%。

4月总计拦截恶意程序19.60亿次，其中挖矿病毒的拦截量占比62.72%，其次是木马远控病毒（12.57%）、蠕虫病毒（12.5%）、感染型病毒（8.82%）、后门软件（2.31%)、勒索病毒（0.97%)。

1. 勒索病毒活跃状况

2019年4月，共拦截活跃勒索病毒1893万次。其中，WannaCry、Razy、GandCrab依然是最活跃的勒索病毒家族，其中WannaCry家族4月拦截数量有1098万次，危害依然较大。

从勒索病毒倾向的行业来看，企业和教育感染病毒数量占总体的51%，是黑客最主要的攻击对象，具体活跃病毒行业分布如下图所示：

从勒索病毒受灾地域上看，广东地区受感染情况最为严重，其次是四川省和浙江省。

2. 挖矿病毒活跃状况

2019年4月，某公司安全云脑在全国共拦截挖矿病毒12.29亿次，比3月上升25%，其中最为活跃的挖矿病毒是Minepool、Xmrig、Wannamine、Bitcoinminer，特别是Minepool家族，共拦截5.03亿次。同时监测数据显示，被挖矿病毒感染的地域主要有广东、浙江、北京等地，其中广东省感染量全国第一。

被挖矿病毒感染的行业分布如下图所示，其中企业受挖矿病毒感染情况最为严重，感染比例和3月基本持平，其次是政府和教育行业。

3. 感染型病毒活跃状况

2019年4月，某公司安全云脑检测并捕获感染型病毒样本6852个，共拦截1.73亿次。其中Virut家族是4月攻击态势最为活跃的感染型病毒家族,共被拦截1.18亿次，此家族占了所有感染型病毒拦截数量的68.15%；而排名第二第三的是Sality和Wapomi家族，4月拦截比例分别是18.34%和3.96%。4月份感染型病毒活跃家族TOP榜如下图所示：

在感染型病毒危害地域分布上，广东省（病毒拦截量）位列全国第一，占TOP10总量的35%，其次为广西壮族自治区和浙江省。

从感染型病毒攻击的行业分布来看，黑客更倾向于使用感染型病毒攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占拦截总量的76%，具体感染行业分布如下图所示：

. 木马远控病毒活跃状况

某公司安全云脑4月全国检测到木马远控病毒样本13733个，共拦截2.46亿次，拦截量较3月上升23%。其中最活跃的木马远控家族是Drivelife，拦截数量达5756万次，其次是Zusy、Injector。具体分布数据如下图所示：

对木马远控病毒区域拦截量进行分析统计发现，恶意程序拦截量最多的地区为广东省，占TOP10拦截量的 30%，较3月份有所增加；其次为浙江（13%）、北京（12%）、四川（10%）和湖北（7%）。此外山东、上海、湖南、江西、江苏的木马远控拦截量也排在前列。

行业分布上，企业、教育及政府行业是木马远控病毒的主要攻击对象。

5. 蠕虫病毒活跃状况

2019年4月某公司安全云脑在全国检测到蠕虫病毒样本6461个，共拦截2.45亿次，但通过数据统计分析来看，大多数攻击都是来自于Ramnit、Gamarue、Jenxcus、Conficker、Dorkbot、Faedevour、Mydoom、Small家族，这些家族占据了4月全部蠕虫病毒攻击的97%，其中攻击态势最活跃的蠕虫病毒是Ramnit，占蠕虫病毒攻击总量的48.52%。

从感染地域上看，广东地区用户受蠕虫病毒感染程度最为严重，其拦截量占TOP10比例的30%；其次为湖南省（14%）、江西省（11%）。

从感染行业上看，企业、教育等行业受蠕虫感染程度较为严重。

网络安全攻击趋势分析

某公司全网安全态势感知平台监测到全国34808个IP在4月所受网络攻击总量约为4.8亿次。4月攻击态势较上月有小幅上升。下图为近半年某公司网络安全攻击趋势监测情况：

1. 安全攻击趋势

下面从攻击类型分布和重点漏洞攻击分析2个纬度展示4月安全攻击趋势：

（1）攻击类型分布

通过对某公司安全云脑日志数据分析可以看到，4月捕获攻击以WebServer漏洞利用、系统漏洞利用、Web扫描、信息泄露和Webshell上传等分类为主。其中WebServer漏洞利用类型的占比更是高达52.30%，有近亿的攻击次数；系统漏洞利用类型占比17.80%；Web扫描类型的漏洞占比7.60%。

主要攻击种类和比例如下

（2）重点漏洞攻击分析

通过对某公司安全云脑日志数据分析,针对漏洞的攻击情况筛选出4月攻击利用次数最高的漏洞TOP20。

其中攻击次数前三的漏洞分别是某公司 Web Server ETag Header 信息泄露漏洞、test.php、test.aspx、test.asp等文件访问检测漏洞和Microsoft Windows Server 2008/2012 - LDAP RootDSE Netlogon 拒绝服务漏洞，攻击次数分别为21486195、18302033和18115723。整体较上月均有下降。

2. 高危漏洞攻击趋势跟踪

某公司安全团队对重要软件漏洞进行深入跟踪分析，近年来Java中间件远程代码执行漏洞频发，同时受永恒之蓝影响，使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。

2019年4月，Windows SMB日志量达千万级，近几月攻击持上升趋势，其中拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多；Struts2系列漏洞攻击趋势近几月攻击次数波动较大，Weblogic系列漏洞的攻击也程波动状态，4月仅拦截不到四十万攻击日志；PHPCMS系列漏洞结束了前几月持续上升的趋势。

Windows SMB 系列漏洞攻击趋势跟踪情况：

Struts 2系列漏洞攻击趋势跟踪情况：

Weblogic系列漏洞攻击趋势跟踪情况：

PHPCMS系列漏洞攻击趋势跟踪情况：

网络安全漏洞分析

1. 全国网站漏洞类型统计

某公司网站安全监测平台4月对国内已授权的5661个站点进行漏洞监控，4月发现的高危站点1991个，高危漏洞24495个，漏洞类别里CSRF跨站请求伪造占比88%，详细高危漏洞类型分布如下：

具体比例如下：

2. 篡改情况统计

某公司网站安全监测平台4月共监控在线业务6724个，共识别潜在篡改的网站179个，篡改总发现率高达2.66%。

其中首页篡改120个，二级页面篡改46个，多级页面篡改13个。

具体分布图如下图所示：

上图可以看出，网站首页篡改为篡改首要插入位置，成为黑客利益输出首选。

近期流行攻击事件及安全漏洞盘点

1. 流行攻击事件

（1）识别使用随机后缀的勒索病毒Golden Axe

国外安全研究员在3月发现了一款名为Golden Axe的勒索病毒，Golden Axe是一款用go语言编写的勒索病毒，使用基于RSA公匙加密体系的邮件加密软件PGP开源代码对文件进行加密。

具体详见：识别使用随机后缀的勒索病毒Golden Axe

（2）警惕！GandCrab5.2勒索病毒伪装国家机关发送钓鱼邮件进行攻击

4月，包括金融行业在内的多家企业反馈，其内部员工收到可疑邮件。邮件发件人显示为“National Tax Service”（译为“国家税务局”），邮箱地址为lijinho@cgov.us，意图伪装成美国政府专用的邮箱地址gov.us，邮件内容是传讯收件人作为被告审讯。

具体详见：警惕！GandCrab5.2勒索病毒伪装国家机关发送钓鱼邮件进行攻击

（3）手把手教你解密Planetary勒索病毒

国外安全研究人员曝光了一种名为Planetary的勒索病毒家族，该勒索病毒家族最早于2018年12月被发现，使用AES-256加密算法加密文件，通常通过RDP爆破或垃圾邮件进行传播，重点攻击对象是使用英语的用户群体，但在中国和日本地区都发现了遭到攻击的用户。

具体详见：手把手教你解密Planetary勒索病毒

（4）linux挖矿病毒DDG改造后重出江湖蔓延Windows平台

某公司安全团队在4月捕获了Linux、windows双平台的挖矿病毒样本，通过安全人员分析确认，该木马是通过redis漏洞传播的挖矿木马DDG的最新变种，使用当前最新的go语言1.10编译并且使用了大量的基础库文件，该木马会大量消耗服务器资源，难以清除并具有内网扩散功能。

具体详见：linux挖矿病毒DDG改造后重出江湖蔓延Windows平台

（5）【样本分析】门罗币挖矿+远控木马样本分析

近期，某公司安全团队在对可疑下载类样本进行分析时，发现了一个门罗币挖矿和木马的双功能样本。该样本会在执行挖矿的同时，通过C2配置文件，到指定站点下载具有远控功能的样本，获取受害主机信息，并进一步控制受害主机。

具体详见：【样本分析】门罗币挖矿+远控木马样本分析

（6）真假文件夹？FakeFolder病毒再次捣乱企业内网

4月，某公司安全团队接到客户反馈，内网中出现了大量伪造成文件夹的可疑exe文件，删掉以后仍会反复。经分析发现，这是一个蠕虫病毒FakeFolder，该病毒会通过U盘及共享文件夹进行传播，一旦主机感染了该病毒，系统中的文件夹都会被隐藏，取而代之的是一个伪装的病毒文件，当用户运行病毒文件时，也会弹出对应文件夹的窗口，因此不易被察觉；只要系统中还残留着一个FakeFolder病毒文件，就会对主机进行反复感染。

具体详见：真假文件夹？FakeFolder病毒再次捣乱企业内网

（7）警惕！利用Confluence最新漏洞传播的Linux挖矿病毒seasame

4月，某公司EDR产品率先检测到一款新型Linux挖矿木马，经分析，该病毒利用Confluence漏洞传播，通过定时下载对病毒体进行保活，同时由于病毒会杀掉包含“https://”、“http://”的进程，将导致用户无法下载文件及访问网页，挖矿进程会导致服务器出现卡顿等异常现象。某公司安全团队根据其母体文件名将其命名为seasame。

具体详见：警惕！利用Confluence最新漏洞传播的Linux挖矿病毒seasame

（8）谨防“神秘人”勒索病毒X_Mister偷袭

4月，国外某安全论坛公布了一款类似Globelmposter的新型勒索病毒，此勒索病毒的某些行为与Globelmposter类似，因联系邮箱中带有x_mister而被命名为X_Mister（“神秘人”）勒索病毒，该勒索病毒使用RSA+DES算法加密文件，自身不具备横向感染功能，通常由攻击者对目标进行RDP爆破后手动投放，或通过垃圾邮件传播，且加密完成后会进行自删除。

具体详见：谨防“神秘人”勒索病毒X_Mister偷袭

（9）警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种

近期，某公司安全团队捕获到利用Confluence新型漏洞传播勒索病毒的事件，已有政企机构受到攻击，黑客团伙通过漏洞利用入侵服务器，上传Downloader脚本文件，连接C&C端下载运行勒索病毒。通过样本中提取的IP进行关联，该攻击事件与利用Confluence漏洞(CVE-2019-3396)传播GandCrab勒索病毒攻击事件有密切的关联。

具体详见：警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种

2. 安全漏洞事件

（1）【漏洞预警】某公司 HTTP Server组件提权漏洞(CVE-2019-0211)

某公司 HTTP Server官方发布了某公司 HTTP Server 2.4.39版本的更新，该版本修复了一个漏洞编号为CVE-2019-0211的提权漏洞，漏洞等级高危，根据某公司安全团队分析，该漏洞影响严重，攻击者可以通过上传攻击脚本在目标服务器上进行提权攻击，该漏洞在非*nix平台不受影响。

具体详见：【漏洞预警】某公司 HTTP Server组件提权漏洞(CVE-2019-0211)

（2）【攻击捕获】JeeCMS漏洞竟沦为黑产SEO的秘密武器？

某公司安全感知平台在4月发现客户服务器中的文件遭篡改，植入**页面。经排查，发现大量网页文件被篡改，且被篡改的时间非常密集。

具体详见：【攻击捕获】JeeCMS漏洞竟沦为黑产SEO的秘密武器？

（3）某公司 Tomcat 远程代码执行漏洞（CVE-2019-0232）预警

4月，某公司 Tomcat官方团队在最新的安全更新中披露了一则某公司 Tomcat 远程代码执行漏洞（CVE-2019-0232）。漏洞官方定级为 High，属于高危漏洞。该漏洞本质是在启用了enableCmdLineArguments的Windows上运行时，由于JRE将命令行参数传递给Windows的方式存在错误，通过此漏洞，CGI Servlet可以受到攻击者的远程执行代码攻击。

具体详见：某公司 Tomcat 远程代码执行漏洞（CVE-2019-0232）预警

（4）【漏洞预警】WebLogic任意文件上传漏洞（CVE-2019-2618）

Oracle官方在最新的安全更新中披露了一则WebLogic任意文件上传漏洞（CVE-2019-2618）。漏洞官方定级为High，属于高危漏洞。该漏洞本质是通过OAM认证后，利用DeploymentService接口实现任意文件上传。攻击者可以利用该漏洞获取服务器权限。

具体详见：【漏洞预警】WebLogic任意文件上传漏洞（CVE-2019-2618）

（5）【漏洞预警】Spring Cloud Config目录遍历漏洞（CVE-2019-3799）

Spring官方团队在最新的安全更新中披露了一则Spring Cloud Config目录遍历漏洞（CVE-2019-3799）。漏洞官方定级为 High，属于高危漏洞。该漏洞本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件,攻击者可以构造恶意URL实现目录遍历漏洞的利用。

具体详见：【漏洞预警】Spring Cloud Config目录遍历漏洞（CVE-2019-3799）

（6）【漏洞预警】WebLogic wls-async 反序列化远程命令执行漏洞

CNVD安全公告中披露了一则WebLogic wls-async 反序列化远程命令执行漏洞（CNVD-C-2019-48814）。漏洞定级为 High，属于高危漏洞。该漏洞本质是由于 wls9-async组件在反序列化处理输入信息时存在缺陷，未经授权的攻击者可以发送精心构造的恶意 HTTP 请求，获取服务器权限，实现远程命令执行。

具体详见：【漏洞预警】WebLogic wls-async 反序列化远程命令执行漏洞

安全防护建议

黑客入侵的主要目标是存在通用安全漏洞的机器，所以预防病毒入侵的主要手段是发现和修复漏洞，某公司建议用户做好以下防护措施：

1. 杜绝使用弱口令，避免一密多用

与系统、应用相关的用户账号，应杜绝使用弱口令，同时使用高复杂强度的密码，尽量是包含大小写字母、数字、特殊符号等的混合密码，尽量避免一密多用的情况。

2. 及时更新重要补丁和升级组件

关注操作系统和组件的重大更新，如永恒之蓝漏洞。使用正确渠道，如微软官网，及时更新对应补丁漏洞或者升级组件。

3. 部署加固软件，关闭非必要端口

在服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能，防范漏洞利用，同时限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访问控制ACL策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问。采用白名单机制，只允许开放特定的业务必要端口，提高系统安全基线，防范黑客入侵。

路过了解一下

了解风云变幻，要多看看这些

了解一下，万一以后用得上。

为什么这篇文章的链接都打不开？

了解一下，万一以后用得上。

可怕的数字！！！

让人害怕的数字

19.6亿次，好可怕的数字