|
纯干货 | 网络安全态势洞察报告2019-07
2019年7月,互联网网络安全状况整体指标平稳,从各类监测数据显示,无论是恶意程序攻击、网络安全攻击还是高危漏洞数量,各项指标相对6月均有不同程度的下降。
另一方面,从某公司安全云脑捕获的攻击事件来看,7月几个大的安全事件均由邮件钓鱼攻击导致,多个行业和单位受到损害。鱼叉式网络钓鱼是盗取用户凭证和各种敏感信息的惯用伎俩,当前看来该类方法依然奏效。某公司安全团队提醒大家不要点击来历不明的邮件,注意加强安全防护意识。
7月,某公司安全云脑累计发现: o 恶意攻击17.68亿次,平均每天拦截恶意程序5863万次。 o 活跃恶意程序28912个,其中感染型病毒4963个,占比17.17%;木马远控病毒13977个,占比48.34%。挖矿病毒种类472个,拦截次数10.52亿次,较6月上升0.6%,其中WannaMine病毒家族最为活跃。 某公司漏洞监测平台对国内已授权的6549个站点进行漏洞监控,发现: o 高危站点3976个,高危漏洞135820个,漏洞类别主要是CSRF跨站请求伪造,信息泄露和XSS注入,共占比86%。 o 监控在线业务8260个,共识别潜在篡改的网站有96个,篡改总发现率高达1.16%。
恶意程序活跃详情 2019年7月,病毒攻击的态势呈现下降态势,病毒拦截量比6月份下降约7.7%,近半年拦截恶意程序数量趋势如下图所示: 2019年7月,某公司安全云脑检测到的活跃恶意程序样本有28912个,其中木马远控病毒13977个,占比48.34%,蠕虫病毒7079个,占比24.48%,感染型病毒4963个,占比17.17%,勒索病毒511个,占比1.77%,挖矿病毒472个,占比1.63%。
7月总计拦截恶意程序17.68亿次,其中挖矿病毒的拦截量占比59.48%,其次是木马远控病毒(14.80%)、蠕虫病毒(10.95%)、感染型病毒(7.61%)、后门软件(6.59%)、勒索病毒(0.39%)。 1. 勒索病毒活跃状况 2019年7月,共拦截勒索病毒数量683万次。其中,WannaCry、RazyCrypt、GandCrab依然是最活跃的勒索病毒家族,其中WannaCry家族7月拦截数量有583万次,危害依然较大。 从勒索病毒倾向的行业来看,企业感染病毒数量占总体的31%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示: 从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是四川省和陕西省。 2. 挖矿病毒活跃状况 2019年7月,某公司安全云脑共拦截挖矿病毒10.52亿次,其中最为活跃的挖矿病毒是WannaMine、MinePool、Xmrig,特别是WannaMine家族,共拦截4.71亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东省、北京市、浙江省等地,其中广东省感染量第一。 被挖矿病毒感染的行业分布如下图所示,其中企业受挖矿病毒感染情况最为严重。 3. 感染型病毒活跃状况 2019年7月,某公司安全云脑检测并捕获感染型病毒样本4963个,共拦截1.17亿次。其中Virut家族是成为7月攻击态势最为活跃的感染型病毒家族,共被拦截7143万次,此家族占了所有感染型病毒拦截数量的61.27%;而排名第二第三的是Sality和Wapomi家族,7月拦截比例分别是为23.86%和4.98%。7月感染型病毒活跃家族TOP榜如下图所示: 在感染型病毒危害地域分布上,广东省病毒拦截量位列第一,占TOP10总量的39%,其次为浙江省和江苏省。 从感染型病毒攻击的行业分布来看,黑客更倾向于使用感染型病毒攻击企业、教育等行业。企业、教育的拦截数量占感染型病毒拦截总量的76%,具体感染行业分布如下图所示: 4. 木马远控病毒活跃状况 某公司安全云脑在7月检测到木马远控病毒样本13977个,共拦截2.62亿次。其中最活跃的木马远控家族是Drivelife,拦截数量达6092万次,其次是Siscos、Injector。具体分布数据如下图所示: 对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占TOP10拦截量的26%;其次为北京市(14%)、广西壮族自治区(11%)、浙江省(11%)和山东省(7%)。此外湖南省、四川省、江苏省、上海市、福建省的木马远控拦截量也排在前列。 行业分布上,企业、教育行业是木马远控病毒的主要攻击对象。 5. 蠕虫病毒活跃状况 2019年7月某公司安全云脑检测到蠕虫病毒样本7079个,共拦截1.94亿次,但通过数据统计分析来看,大多数攻击都是来自于Ramnit、Gamarue、Jenxcus、Dorkbot、Faedevour、Morto、Small家族,这些家族占据了7月全部蠕虫病毒攻击的96%,其中攻击态势最活跃的蠕虫病毒是Ramnit,占蠕虫病毒TOP10总量的49%。 从感染地域上看,广东省地区用户受蠕虫病毒感染程度最为严重,其拦截量占TOP10总量的28%;其次为湖南省(12%)、浙江省(10%)。 从感染行业上看,企业、教育等行业受蠕虫感染程度较为严重。
网络安全攻击趋势分析 某公司全网安全态势感知平台监测到全国36584个IP在7月所受网络攻击总量约为4.3亿次。7月攻击态势较上月有明显下降。下图为近半年某公司网络安全攻击趋势监测情况: 1. 安全攻击趋势 下面从攻击类型分布和重点漏洞攻击分析2个维度展示7月现网的攻击趋势: (1)攻击类型分布 通过对云脑日志数据分析可以看到,7月捕获攻击以WebServer漏洞利用、系统漏洞利用、信息泄漏、Web扫描、数据库漏洞利用等分类为主。其中WebServer漏洞利用类型的占比高达41.73%,攻击次数达1.7亿多次;系统漏洞利用类型均占比21.84%。 主要攻击种类和比例如下: (2)重点漏洞攻击分析 通过对某公司安全云脑日志数据分析,针对漏洞的攻击情况筛选出7月攻击利用次数最高的漏洞TOP20。 其中漏洞被利用次数前三的漏洞分别是某公司 HTTPServer mod_log_config 远程拒绝服务漏洞(保持不变)、Nginx URI Processing安全绕过漏洞和某公司Web Server ETag Header 信息泄露漏洞,命中次数分别为58527778、44965615和36628816。
2. 高危漏洞攻击趋势跟踪 某公司安全团队对重要软件漏洞进行深入跟踪分析,近年来Java中间件远程代码执行漏洞频发,同时受永恒之蓝影响使得WindowsSMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。
2019年7月,Windows SMB日志量仍达千万级,但结束了近几月持续上升的攻击趋势,其中依旧是拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多;Struts2系列漏洞近几月攻击次数在一千万至两千万之间波动,趋势较为平缓;Weblogic系列漏洞的攻击总体呈波动状态,本月有小幅上升;PHPCMS系列漏洞攻击次数近几月持续下降。
Windows SMB 系列漏洞攻击趋势跟踪情况: Struts2系列漏洞攻击趋势跟踪情况: Weblogic系列漏洞攻击趋势跟踪情况: PHPCMS系列漏洞攻击趋势跟踪情况:
网络安全漏洞分析 1. 全国网站漏洞类型统计 某公司网站安全监测平台7月对国内已授权的6549个站点进行漏洞监控,发现高危站点3976个,高危漏洞135820个,漏洞类别主要是CSRF跨站请求伪造,信息泄露和XSS注入,总占比86.50%,详细高危漏洞类型分布如下: 具体比例如下: 2. 篡改情况统计 7月总监控在线业务8260个(去重),共识别潜在篡改的网站有96个(去重),篡改总发现率为1.16%。 其中首页篡改19个,二级页面篡改38个,多级页面篡改39个。 具体分布图如下图所示:
近期流行攻击事件及安全漏洞盘点 1. 流行攻击事件 (1)Globelmposter勒索病毒最新变种预警:从“十二生肖”到“十二主神”,为何国内医疗行业最受伤? 近日,某公司安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例!
(2)感染数万设备!警惕ZombieBoy挖矿木马“丧尸式”传播 近日,某公司安全团队监测到一款名为ZombieBoy的木马悄然感染了国内外各个行业的用户主机。该木马包含了内网扫描、“永恒之蓝”漏洞利用、“双脉冲星”后门、挖矿工具等多个恶意模块,是一款集传播、远控、挖矿功能为一体的混合型木马。该木马的结构类似于“MassMine”,由于释放第一个恶意DLL文件时使用了一个名为ZombieBoy的工具,因此被命名为ZombieBoy挖矿木马。
(3)狼狈为奸!Trickbot银行木马下发Ryuk勒索病毒,大型企业损失惨重 近日,某公司安全团队捕获到一起利用Trickbot下发Ryuk勒索病毒的攻击事件。Ryuk勒索病毒最早于2018年8月被安全研究人员披露,名称来源于死亡笔记中的死神。该勒索病毒运营团伙最早通过远程桌面服务等方式针对大型企业进行攻击。
(4)Golang蠕虫泛滥?让我们揪出其始作俑者 近日,国外安全网站SECURITYWEEK披露,一款Go语言恶意软件正大量感染Linux服务器,其使用了多达6种传播感染方式,包含4个远程执行漏洞(ThinkPHP、THinkPHP2、Dural、Confluence),2个弱密码爆破攻击(SSH、Redis)。某公司安全团队对该蠕虫进行了追踪。
(5)进口勒索“美杜莎” (Medusa Ransom)作祟,盯上国内政企用户 近日,某公司安全团队接到国内首例Medusa勒索病毒入侵企业用户事件,用户发现web服务器业务中断,立刻重启服务器后使用某公司EDR查杀隔离病毒,结束加密进程,及时止损。经分析,该勒索病毒名为Medusa Ransom,最早于2018年在国外活动,加密后会修改桌面背景为古希腊神话中蛇发女妖“美杜莎”的图片。
(6)Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式攻击” 近日,某公司安全团队监测到针对进出口贸易企业、国内大型高新制造业的鱼叉式网络钓鱼攻击活动再次开始活跃。攻击者通过伪造政府部门邮件、企业内部邮件等方式向目标机构特定部门(如:采购部门、财务部门等)发起攻击,企图在目标主机分发银行木马,窃取机密信息。 (7)Invoice钓鱼邮件姿势多,进出口企业机密信息易泄漏 近日,某公司安全团队接到某大型进出口企业反馈,根据安全感知平台提示,内网部分邮箱遭受到恶意邮件的攻击。经安全研究人员分析发现,该恶意邮件包含一个疑似lokibot恶意软件的附件,主要是用于窃取用户各类账号密码等机密信息。通过过程中的一些数据分析确定这是一起针对特定行业的定向攻击事件。
2. 安全漏洞事件 (1)【漏洞预警】某公司axis远程命令执行漏洞 近日,某公司发现某公司axis组件远程命令执行漏洞利用方式。该漏洞本质是由于管理员对AdminService配置错误,当enableRemoteAdmin属性设置为true时,攻击者可以远程利用AdminService接口自行发布构造的WebService,再次访问生成的WebService接口时,就可以触发内部引用的类进行远程命令执行漏洞的利用。
(2)【漏洞预警】MailEnable漏洞(CVE-2019-12923~CVE-2019-12927) 近日,某公司安全团队发现邮件服务器MailEnable爆出了一组漏洞,第一时间进行跟踪以及分析预警。经研究发现,利用该组漏洞,攻击者可以实现用户数据增删改查、文件读取以及部分越权操作。
(3)【漏洞预警】微软七月补丁更新重要漏洞 2019年07月09日,Microsoft在7月份安全更新公告中修复77个漏洞,其中15个为高危漏洞,2个漏洞已知在野外被利用。
(4)【漏洞预警】Redis未授权访问高危漏洞 近日,某公司安全团队发现开源数据库Redis爆出了一个未授权访问漏洞,第一时间进行跟踪以及分析预警。经研究发现,利用该漏洞,攻击者可以实现反弹shell进行任意代码执行。
(5)【漏洞预警】MicrosoftWindows DHCP服务器远程代码执行漏洞(CVE-2019-0785) 2019年07月09日,Microsoft在7月份安全更新公告中披露了一则DHCP服务器远程代码执行漏洞。通过此漏洞,攻击者发送特制数据包到设置为故障转移模式的DHCP服务器,可以实现远程代码执行或使DHCP服务器拒绝响应。
(6)【漏洞预警】Discuz!ML 任意代码执行漏洞 2019年7月11日,网络上出现了一个Discuz!ML远程代码执行漏洞的PoC,经过某公司安全研究员验证分析发现,攻击者能够利用该漏洞在请求流量的cookie字段中(language参数)插入任意代码,执行任意代码,从而实现完全远程接管整个服务器的目的,该漏洞利用方式简单,危害性较大。
(7)【漏洞预警】fastjson远程代码执行漏洞 近日,fastjson远程代码执行漏洞的利用方式公开。此漏洞由于fastjson autotype在处理json对象时,对于@type的字段未能有效的进行安全验证,攻击者可以插入危险类,利用rmi接口调用远端服务器上的恶意文件执行命令。
(8)【漏洞预警】AtlassianJira远程命令执行漏洞 近日,AtlassianJira远程命令执行漏洞的利用方式公开。此漏洞由于Atlassian Jira中的Atlassian Jira Server和Jira Data Center模块存在模板注入,在表单插入java恶意代码,当服务端对传入数据进行解析时,会执行数据中插入的代码,并执行其中的命令,实现远程命令执行漏洞的利用。
(9)【漏洞预警】AtlassianCrowd远程命令执行 近日,AdobeColdfusion官方修复了Coldfusion软件中存在的一个远程代码执行漏洞,漏洞编号:CVE-2019-7839,该漏洞评分10分,漏洞等级严重,该漏洞影响范围较广,危害性较大,攻击者可以通过JNBridge技术不受限制地访问远程Java运行时环境,从而允许执行任意代码和系统命令。
(10)Drupal访问绕过漏洞预警 在2019年7月17日,Drupal官方发布了SA-CORE-2019-008安全公告,此次安全公告中Drupal官方修复了一个Drupal访问绕过漏洞(CVE-2019-6342),漏洞官方定级为严重。在Drupal 8.7.4中,当启用实验性工作空间模块时,会创建一个访问旁路条件,造成访问绕过漏洞。用户可以通过禁用Workspaces模块来进行缓解。该漏洞只影响Drupal 8.7.4版本,其他任何版本均不受影响。
(11) Sodinokibi勒索病毒利用Flash漏洞强势来袭 自GandCrab宣布停止运营以来,勒索病毒攻击事件并没有随着GandCrab的退出而减少,全球各地每天仍有用户因为数据遭到加密而损失惨重。在后来居上的各个勒索病毒家族中,Sodinokibi勒索已经成为了现在全球最流行的勒索病毒之一,也被称为GandCrab的“接班人”。
(12)【漏洞预警】FasterXML某公司-databind远程代码执行漏洞 近日,FasterXML某公司-databind远程代码执行漏洞的利用方式公开。此漏洞利用FasterXML某公司-databind的logback-core类建立JDBC连接,加载插入恶意代码的sql文件,获取服务器权限,实现远程代码执行漏洞的利用。
(13)【漏洞预警】ProFTPD远程命令执行漏洞(CVE-2019-12815) 2019年07月17日,ProFTPD正式修复了一个任意文件复制漏洞。通过此漏洞,攻击者向ProFTPD服务器发送SITE CPFR和SITE CPTO这两个命令,可以在未经许可的条件下复制ProFTPD服务器上的任意文件。
(14)【漏洞预警】Linux本地提权漏洞(CVE-2019-13272) 2019年07月20日,Linux正式修复了一个本地内核提权漏洞。通过此漏洞,攻击者可将普通权限用户提升为Root权限。
安全防护建议 黑客入侵的主要目标是存在通用安全漏洞的机器,所以预防病毒入侵的主要手段是发现和修复漏洞,某公司建议用户做好以下防护措施: 1. 杜绝使用弱口令,避免一密多用 系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,禁止密码重用的情况出现,尽量避免一密多用的情况。
2. 及时更新重要补丁和升级组件 建议关注操作系统和组件重大更新,如“永恒之蓝”漏洞,使用正确渠道,如微软官网,及时更新对应补丁漏洞或者升级组件。
3. 部署加固软件,关闭非必要端口 服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、防范漏洞利用,同时限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,提高系统安全基线,防范黑客入侵。
4. 主动进行安全评估,加强人员安全意识 加强人员安全意识培养,不要随意点击来源不明的邮件附件,不从不明网站下载软件,对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患。
5. 建立威胁情报分析和对抗体系,有效防护病毒入侵 网络犯罪分子采取的战术策略也在不断演变,其攻击方式和技术更加多样化。对于有效预防和对抗海量威胁,需要选择更强大和更智能的防护体系。某公司下一代安全防护体系(某公司安全云、某公司下一代防火墙AF、某公司安全感知平台SIP、某公司终端检测与响应平台EDR)通过联动云端、网络、终端进行协同响应,建立全面的事前检测预警、事中防御、事后处理的整套安全防护体系。云端持续趋势风险监控与预警、网络侧实时流量检测与防御、终端事后查杀与溯源,深度挖掘用户潜在威胁,立体全方位确保用户网络安全。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2019-9-4 10:05
发表于 2019-8-30 10:58
工程师1级