纯干货 | 网络安全态势洞察报告2019-04
  

sangfor资讯 7415

{{ttag.title}}
本帖最后由 sangfor资讯 于 2019-5-21 17:57 编辑



网络安全状况概述
2019年4月,互联网网络安全状况整体指标平稳,但各类安全事件依然时有发生。从某公司安全云脑捕获的攻击事件来看,病毒攻击手段多种多样,包括绕过杀毒软件无文件木马攻击,还有伪装国家机关发送钓鱼邮件进行攻击等,隐蔽性更强,入侵后会上传多种僵尸网络木马及挖矿程序,难以彻底清除。

信息泄露事件在4月频发,包括某平台超过1亿用户个人数据被暴露在互联网,公职人员泄露公民信息获利,三分之二的酒店网站泄露客人预订信息给第三方等,给用户人身安全、财产安全带来了隐患。此外,监测数据显示,网站攻击数量在4月小幅上升,并且CSRF跨站请求伪造、点击劫持等问题也较为严重。

4月,某公司安全云脑累计发现:
o 恶意攻击19.6亿次,平均每天拦截恶意程序6533万次。
o 活跃恶意程序30035个,其中感染型病毒6852个,占比22.81%;木马远控病毒13733个,占比45.72%。挖矿病毒种类502个,拦截次数12.29亿次,较3月上升25%,其中Minepool病毒家族最为活跃
某公司漏洞监测平台对国内已授权的5661个站点进行漏洞监控,发现:
o 高危站点1991个,高危漏洞24495个,漏洞类别主要是CSRF跨站请求伪造,占比88%。
o 监控在线业务6724个,共识别潜在篡改的网站有179个,篡改总发现率高达2.66%。


恶意程序活跃详情
2019年4月,病毒攻击的态势在4月呈现上升态势,病毒拦截量比3月份上升近20%,近半年拦截恶意程序数量趋势如下图所示:

2019年4月,某公司安全云脑检测到的活跃恶意程序样本有30035个,其中木马远控病毒13733个,占比45.72%,感染型病毒6852个,占比22.81%,蠕虫病毒6461个,占比21.51%,挖矿病毒502个,占比1.67%,勒索病毒419个,占比1.4%。
4月总计拦截恶意程序19.60亿次,其中挖矿病毒的拦截量占比62.72%,其次是木马远控病毒(12.57%)、蠕虫病毒(12.5%)、感染型病毒(8.82%)、后门软件(2.31%)、勒索病毒(0.97%)。

1. 勒索病毒活跃状况
2019年4月,共拦截活跃勒索病毒1893万次。其中,WannaCry、Razy、GandCrab依然是最活跃的勒索病毒家族,其中WannaCry家族4月拦截数量有1098万次,危害依然较大。
从勒索病毒倾向的行业来看,企业和教育感染病毒数量占总体的51%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:

从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是四川省和浙江省


2. 挖矿病毒活跃状况
2019年4月,某公司安全云脑在全国共拦截挖矿病毒12.29亿次,比3月上升25%,其中最为活跃的挖矿病毒是Minepool、Xmrig、Wannamine、Bitcoinminer,特别是Minepool家族,共拦截5.03亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东、浙江、北京等地,其中广东省感染量全国第一。

被挖矿病毒感染的行业分布如下图所示,其中企业受挖矿病毒感染情况最为严重,感染比例和3月基本持平,其次是政府和教育行业。

3. 感染型病毒活跃状况
2019年4月,某公司安全云脑检测并捕获感染型病毒样本6852个,共拦截1.73亿次。其中Virut家族是4月攻击态势最为活跃的感染型病毒家族,共被拦截1.18亿次,此家族占了所有感染型病毒拦截数量的68.15%;而排名第二第三的是Sality和Wapomi家族,4月拦截比例分别是18.34%和3.96%。4月份感染型病毒活跃家族TOP榜如下图所示:

在感染型病毒危害地域分布上,广东省(病毒拦截量)位列全国第一,占TOP10总量的35%,其次为广西壮族自治区和浙江省。

从感染型病毒攻击的行业分布来看,黑客更倾向于使用感染型病毒攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占拦截总量的76%,具体感染行业分布如下图所示:

. 木马远控病毒活跃状况
某公司安全云脑4月全国检测到木马远控病毒样本13733个,共拦截2.46亿次,拦截量较3月上升23%。其中最活跃的木马远控家族是Drivelife,拦截数量达5756万次,其次是Zusy、Injector。具体分布数据如下图所示:

对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占TOP10拦截量的 30%,较3月份有所增加;其次为浙江(13%)、北京(12%)、四川(10%)和湖北(7%)。此外山东、上海、湖南、江西、江苏的木马远控拦截量也排在前列。

行业分布上,企业、教育及政府行业是木马远控病毒的主要攻击对象。

5. 蠕虫病毒活跃状况
2019年4月某公司安全云脑在全国检测到蠕虫病毒样本6461个,共拦截2.45亿次,但通过数据统计分析来看,大多数攻击都是来自于Ramnit、Gamarue、Jenxcus、Conficker、Dorkbot、Faedevour、Mydoom、Small家族,这些家族占据了4月全部蠕虫病毒攻击的97%,其中攻击态势最活跃的蠕虫病毒是Ramnit,占蠕虫病毒攻击总量的48.52%。

从感染地域上看,广东地区用户受蠕虫病毒感染程度最为严重,其拦截量占TOP10比例的30%;其次为湖南省(14%)、江西省(11%)。

从感染行业上看,企业、教育等行业受蠕虫感染程度较为严重。


网络安全攻击趋势分析
某公司全网安全态势感知平台监测到全国34808个IP在4月所受网络攻击总量约为4.8亿次。4月攻击态势较上月有小幅上升。下图为近半年某公司网络安全攻击趋势监测情况:

1. 安全攻击趋势
下面从攻击类型分布和重点漏洞攻击分析2个纬度展示4月安全攻击趋势:

(1)攻击类型分布
通过对某公司安全云脑日志数据分析可以看到,4月捕获攻击以WebServer漏洞利用、系统漏洞利用、Web扫描、信息泄露和Webshell上传等分类为主。其中WebServer漏洞利用类型的占比更是高达52.30%,有近亿的攻击次数;系统漏洞利用类型占比17.80%;Web扫描类型的漏洞占比7.60%。

主要攻击种类和比例如下

(2)重点漏洞攻击分析
通过对某公司安全云脑日志数据分析,针对漏洞的攻击情况筛选出4月攻击利用次数最高的漏洞TOP20。
其中攻击次数前三的漏洞分别是某公司 Web Server ETag Header 信息泄露漏洞、test.php、test.aspx、test.asp等文件访问检测漏洞和Microsoft Windows Server 2008/2012 - LDAP RootDSE Netlogon 拒绝服务漏洞,攻击次数分别为21486195、18302033和18115723。整体较上月均有下降。

2. 高危漏洞攻击趋势跟踪
某公司安全团队对重要软件漏洞进行深入跟踪分析,近年来Java中间件远程代码执行漏洞频发,同时受永恒之蓝影响,使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。
2019年4月,Windows SMB日志量达千万级,近几月攻击持上升趋势,其中拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多;Struts2系列漏洞攻击趋势近几月攻击次数波动较大,Weblogic系列漏洞的攻击也程波动状态,4月仅拦截不到四十万攻击日志;PHPCMS系列漏洞结束了前几月持续上升的趋势。

Windows SMB 系列漏洞攻击趋势跟踪情况:

Struts 2系列漏洞攻击趋势跟踪情况:

Weblogic系列漏洞攻击趋势跟踪情况:

PHPCMS系列漏洞攻击趋势跟踪情况:


网络安全漏洞分析
1. 全国网站漏洞类型统计
某公司网站安全监测平台4月对国内已授权的5661个站点进行漏洞监控,4月发现的高危站点1991个,高危漏洞24495个,漏洞类别里CSRF跨站请求伪造占比88%,详细高危漏洞类型分布如下:

具体比例如下:

2. 篡改情况统计

某公司网站安全监测平台4月共监控在线业务6724个,共识别潜在篡改的网站179个,篡改总发现率高达2.66%。
其中首页篡改120个,二级页面篡改46个,多级页面篡改13个。
具体分布图如下图所示:

上图可以看出,网站首页篡改为篡改首要插入位置,成为黑客利益输出首选。


近期流行攻击事件及安全漏洞盘点
1. 流行攻击事件
(1)识别使用随机后缀的勒索病毒Golden Axe
国外安全研究员在3月发现了一款名为Golden Axe的勒索病毒,Golden Axe是一款用go语言编写的勒索病毒,使用基于RSA公匙加密体系的邮件加密软件PGP开源代码对文件进行加密。

(2)警惕!GandCrab5.2勒索病毒伪装国家机关发送钓鱼邮件进行攻击
4月,包括金融行业在内的多家企业反馈,其内部员工收到可疑邮件。邮件发件人显示为“National Tax Service”(译为“国家税务局”),邮箱地址为lijinho@cgov.us,意图伪装成美国政府专用的邮箱地址gov.us,邮件内容是传讯收件人作为被告审讯。

(3)手把手教你解密Planetary勒索病毒
国外安全研究人员曝光了一种名为Planetary的勒索病毒家族,该勒索病毒家族最早于2018年12月被发现,使用AES-256加密算法加密文件,通常通过RDP爆破或垃圾邮件进行传播,重点攻击对象是使用英语的用户群体,但在中国和日本地区都发现了遭到攻击的用户。

(4)linux挖矿病毒DDG改造后重出江湖蔓延Windows平台
某公司安全团队在4月捕获了Linux、windows双平台的挖矿病毒样本,通过安全人员分析确认,该木马是通过redis漏洞传播的挖矿木马DDG的最新变种,使用当前最新的go语言1.10编译并且使用了大量的基础库文件,该木马会大量消耗服务器资源,难以清除并具有内网扩散功能。

(5)【样本分析】门罗币挖矿+远控木马样本分析
近期,某公司安全团队在对可疑下载类样本进行分析时,发现了一个门罗币挖矿和木马的双功能样本。该样本会在执行挖矿的同时,通过C2配置文件,到指定站点下载具有远控功能的样本,获取受害主机信息,并进一步控制受害主机。

(6)真假文件夹?FakeFolder病毒再次捣乱企业内网
4月,某公司安全团队接到客户反馈,内网中出现了大量伪造成文件夹的可疑exe文件,删掉以后仍会反复。经分析发现,这是一个蠕虫病毒FakeFolder,该病毒会通过U盘及共享文件夹进行传播,一旦主机感染了该病毒,系统中的文件夹都会被隐藏,取而代之的是一个伪装的病毒文件,当用户运行病毒文件时,也会弹出对应文件夹的窗口,因此不易被察觉;只要系统中还残留着一个FakeFolder病毒文件,就会对主机进行反复感染。

(7)警惕!利用Confluence最新漏洞传播的Linux挖矿病毒seasame
4月,某公司EDR产品率先检测到一款新型Linux挖矿木马,经分析,该病毒利用Confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。某公司安全团队根据其母体文件名将其命名为seasame。

(8)谨防“神秘人”勒索病毒X_Mister偷袭
4月,国外某安全论坛公布了一款类似Globelmposter的新型勒索病毒,此勒索病毒的某些行为与Globelmposter类似,因联系邮箱中带有x_mister而被命名为X_Mister(“神秘人”)勒索病毒,该勒索病毒使用RSA+DES算法加密文件,自身不具备横向感染功能,通常由攻击者对目标进行RDP爆破后手动投放,或通过垃圾邮件传播,且加密完成后会进行自删除。

(9)警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种
近期,某公司安全团队捕获到利用Confluence新型漏洞传播勒索病毒的事件,已有政企机构受到攻击,黑客团伙通过漏洞利用入侵服务器,上传Downloader脚本文件,连接C&C端下载运行勒索病毒。通过样本中提取的IP进行关联,该攻击事件与利用Confluence漏洞(CVE-2019-3396)传播GandCrab勒索病毒攻击事件有密切的关联。

2. 安全漏洞事件
(1)【漏洞预警】某公司 HTTP Server组件提权漏洞(CVE-2019-0211)
某公司 HTTP Server官方发布了某公司 HTTP Server 2.4.39版本的更新,该版本修复了一个漏洞编号为CVE-2019-0211的提权漏洞,漏洞等级高危,根据某公司安全团队分析,该漏洞影响严重,攻击者可以通过上传攻击脚本在目标服务器上进行提权攻击,该漏洞在非*nix平台不受影响。

(2)【攻击捕获】JeeCMS漏洞竟沦为黑产SEO的秘密武器?
某公司安全感知平台在4月发现客户服务器中的文件遭篡改,植入**页面。经排查,发现大量网页文件被篡改,且被篡改的时间非常密集。

(3)某公司 Tomcat 远程代码执行漏洞(CVE-2019-0232)预警
4月,某公司 Tomcat官方团队在最新的安全更新中披露了一则某公司 Tomcat 远程代码执行漏洞(CVE-2019-0232)。漏洞官方定级为 High,属于高危漏洞。该漏洞本质是在启用了enableCmdLineArguments的Windows上运行时,由于JRE将命令行参数传递给Windows的方式存在错误,通过此漏洞,CGI Servlet可以受到攻击者的远程执行代码攻击。

(4)【漏洞预警】WebLogic任意文件上传漏洞(CVE-2019-2618)
Oracle官方在最新的安全更新中披露了一则WebLogic任意文件上传漏洞(CVE-2019-2618)。漏洞官方定级为High,属于高危漏洞。该漏洞本质是通过OAM认证后,利用DeploymentService接口实现任意文件上传。攻击者可以利用该漏洞获取服务器权限。

(5)【漏洞预警】Spring Cloud Config目录遍历漏洞(CVE-2019-3799)
Spring官方团队在最新的安全更新中披露了一则Spring Cloud Config目录遍历漏洞(CVE-2019-3799)。漏洞官方定级为 High,属于高危漏洞。该漏洞本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件,攻击者可以构造恶意URL实现目录遍历漏洞的利用。

(6)【漏洞预警】WebLogic wls-async 反序列化远程命令执行漏洞
CNVD安全公告中披露了一则WebLogic wls-async 反序列化远程命令执行漏洞(CNVD-C-2019-48814)。漏洞定级为 High,属于高危漏洞。该漏洞本质是由于 wls9-async组件在反序列化处理输入信息时存在缺陷,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限,实现远程命令执行。


安全防护建议
黑客入侵的主要目标是存在通用安全漏洞的机器,所以预防病毒入侵的主要手段是发现和修复漏洞,某公司建议用户做好以下防护措施:
1. 杜绝使用弱口令,避免一密多用
与系统、应用相关的用户账号,应杜绝使用弱口令,同时使用高复杂强度的密码,尽量是包含大小写字母、数字、特殊符号等的混合密码,尽量避免一密多用的情况。

2. 及时更新重要补丁和升级组件
关注操作系统和组件的重大更新,如永恒之蓝漏洞。使用正确渠道,如微软官网,及时更新对应补丁漏洞或者升级组件。

3. 部署加固软件,关闭非必要端口
在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能,防范漏洞利用,同时限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问。采用白名单机制,只允许开放特定的业务必要端口,提高系统安全基线,防范黑客入侵。






打赏鼓励作者,期待更多好文!

打赏
2人已打赏

新手981388 发表于 2019-5-22 12:45
  
路过了解一下
鬼子姜 发表于 2019-5-23 16:17
  
了解风云变幻,要多看看这些
白露为霜 发表于 2019-5-24 14:14
  
了解一下,万一以后用得上。
饕餮2018 发表于 2019-6-4 22:28
  
为什么这篇文章的链接都打不开?
左手 发表于 2019-6-13 10:01
  
了解一下,万一以后用得上。
会飞的癞蛤蟆 发表于 2019-6-15 17:06
  
可怕的数字!!!
新手756451 发表于 2019-6-15 19:13
  
让人害怕的数字
新手915440 发表于 2019-6-15 19:36
  
19.6亿次,好可怕的数字
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
干货满满
每日一问
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
安装部署配置
功能体验
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
每周精选
排障那些事
深信服技术支持平台
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

461
247
13

发帖

粉丝

关注

本版达人

feeling

本周分享达人

新手29676...

本周提问达人