×

纯干货 | 网络安全态势洞察报告2019-06
  

sangfor资讯 137921人觉得有帮助

{{ttag.title}}
纯干货 | 网络安全态势洞察报告2019-06

网络安全状况概述

      2019年6月,互联网网络安全状况整体指标平稳,但是有两个重要特征值得关注。

      一方面,病毒攻击态势呈上升趋势,整体较上月增加7%。其中挖矿病毒活跃程度增加较多,其病毒攻击的拦截量较5月增加11%,安全防护薄弱的企业是主要受灾对象,教育行业、政企单位的感染程度也有所增加。挖矿病毒的近期活跃程度增加可能与比特币价格持续走高有关。

      另一方面,多个严重漏洞披露。Microsoft在官方安全更新公告中一共披露了88个漏洞的相关信息,其中21个获得了“严重”评级,这是微软有史以来漏洞严重程度最高的一次排名。Oracle官方安全公告中披露了高危漏洞(漏洞编号:CVE-2019-2729),WebLogic 远程命令执行漏洞。Adobe Coldfusion公布了Coldfusion软件中存在的一个远程代码执行漏洞(漏洞编号:CVE-2019-7839),漏洞等级严重。Netflix公司已经确定了几个TCP网络FreeBSD 和Linux内核中的漏洞,其中最严重的是Linux 内核中TCP SACK机制远程拒绝服务漏洞。某公司已针对严重漏洞发布了相应预警,及时提醒用户进行补丁升级,做好安全防护措施。

6月,某公司安全云脑累计发现:
恶意攻击19.05亿次,平均每天拦截恶意程序6350万次。
活跃恶意程序29111个,其中感染型病毒5487个,占比18.85%;木马远控病毒13459个,占比46.23%。挖矿病毒种类541个,拦截次数10.46亿次,较5月上升11%,其中WannaMine病毒家族最为活跃。

某公司网站安全监测平台对国内已授权的5661个站点进行漏洞监控,发现:
高危站点2721个,高危漏洞24495个,漏洞类别主要是CSRF跨站请求伪造,占比88%。
监控在线业务6724个,共识别潜在篡改的网站有179个,篡改总发现率高达2.66%。

恶意程序活跃详情

      2019年6月,病毒攻击在6月呈现上升态势,病毒拦截量比5月份(17.9亿次)上升近7%,近半年拦截恶意程序数量趋势如下图所示:
      2019年6月,某公司安全云脑检测到活跃恶意程序样本29111个,其中木马远控病毒13459个,占比46.23%;蠕虫病毒7461个,占比25.63%;感染型病毒5487个,占比18.85%;勒索病毒632个,占比2.17%;挖矿病毒541个,占比1.86%。

      6月总计拦截恶意程序19.05亿次,其中挖矿病毒的拦截量占比54.92%,其次是木马远控病毒(16.24%)、蠕虫病毒(11.29%)、感染型病毒(8.48%)、后门软件(8.04%)、勒索病毒(0.88%)。
1. 勒索病毒活跃状况
      2019年6月,共拦截勒索病毒攻击1667万次。其中,WannaCry、GlobeImposter、GandCrab依然是最活跃的几个勒索病毒家族,其中WannaCry家族6月拦截数量803万次,危害依然较大。
从勒索病毒倾向的行业来看,企业政府感染病毒数量占总体的60%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:
从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是浙江省和北京市。
2. 挖矿病毒活跃状况
      2019年6月,某公司安全云脑共拦截挖矿病毒10.46亿次,其中最为活跃的挖矿病毒是WannaMineXmrig,特别是WannaMine家族,共拦截4.43亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东省、北京市、浙江省等地,其中广东省感染量第一。
      被挖矿病毒感染的行业分布如下图所示,其中企业受挖矿病毒感染情况最为严重,其次是政府和教育行业。
3. 感染型病毒活跃状况
      2019年6月,某公司安全云脑检测并捕获感染型病毒样本5487个,共拦截1.61亿次。其中Virut家族是成为6月攻击态势最为活跃的感染型病毒家族,共被拦截1.04亿次,此家族占了所有感染型病毒拦截数量的64.40%;而排名第二第三的是Sality和Wapomi家族,6月拦截比例分别是为22.18%和4.43%。6月感染型病毒活跃家族TOP榜如下图所示:
      在感染型病毒危害地域分布上,广东省(病毒拦截量)位列第一,占TOP10总量的33%,其次为广西壮族自治区和浙江省。
      从感染型病毒攻击的行业分布来看,黑客更倾向于使用感染型病毒攻击企业、教育、科研教育等行业。企业、教育、科研教育的拦截数量占感染型病毒拦截总量的67%,具体感染行业分布如下图所示:
4. 木马远控病毒活跃状况
      某公司安全云脑本月检测到木马远控病毒样本13459个,共拦截3.09亿次。其中最活跃的木马远控家族是Drivelife,拦截数量达7163万次,其次是Zusy、Siscos。具体分布数据如下图所示:
      对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占TOP10拦截量的24%;其次为北京市(12%)、广西壮族自治区(11%)、浙江省(11%)和山东省(8%)。此外湖南省、四川省、上海市、湖北省、江苏省的木马远控拦截量也排在前列。
      行业分布上,企业、教育及政府行业是木马远控病毒的主要攻击对象。
5. 蠕虫病毒活跃状况
      2019年6月某公司安全云脑检测到蠕虫病毒样本7461个,共拦截2.15亿次,但通过数据统计分析来看,大多数攻击都是来自于Ramnit、Gamarue、Jenxcus、Dorkbot、Faedevour、Morto、Small家族,这些家族占据了6月全部蠕虫病毒攻击的94%,其中攻击态势最活跃的蠕虫病毒是Ramnit,占蠕虫病毒TOP10总量的50%。
      从感染地域上看,广东省地区用户受蠕虫病毒感染程度最为严重,其拦截量占TOP10总量的30%;其次为湖南省(15%)、浙江省(11%)。
      从感染行业上看,企业、教育等行业受蠕虫感染程度较为严重。



网络安全攻击趋势分析
      某公司全网安全态势感知平台监测到全国32631个IP在6月所受网络攻击总量约为7.7亿次。6月攻击态势较上月有小幅上升。下图为近半年某公司网络安全攻击趋势监测情况:

1. 安全攻击趋势
下面从攻击类型分布和重点漏洞攻击分析2个纬度展示6月现网的攻击趋势:
(1)攻击类型分布
通过对某公司安全云脑日志数据分析可以看到,6月捕获攻击以WebServer漏洞利用、系统漏洞利用、Web扫描、信息泄露、Webshell上传、数据库漏洞利用等分类为主。其中WebServer漏洞利用类型的占比更是高达67.50%,攻击次数达5亿多次;系统漏洞利用类型均占比13.70%。主要攻击种类和比例如下:
(2)重点漏洞攻击分析
      通过对某公司安全云脑日志数据分析,针对漏洞的攻击情况筛选出6月攻击利用次数最高的漏洞TOP20。
      其中漏洞被利用次数前三的分别是某公司 HTTPServer mod_log_config 远程拒绝服务漏洞(保持不变)、NetBIOS名称查询响应漏洞Nginx URI Processing安全绕过漏洞,命中次数分别为423,215,695、29,664,036和29,612,680。较5月均有上升。
2. 高危漏洞攻击趋势跟踪
某公司安全团队对重要软件漏洞进行深入跟踪分析,近年来Java中间件远程代码执行漏洞频发,同时受“永恒之蓝”影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。
2019年6月,Windows SMB日志量达千万级,近几月攻击持上升趋势,其中拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多;Struts2系列漏洞本月攻击次数较前几月下降,Weblogic系列漏洞的攻击总体程波动状态,但近三个月较为平缓,本月仅拦截不到二十万攻击日志;PHPCMS系列漏洞攻击次数较上月下降。

Windows SMB 系列漏洞攻击趋势跟踪情况:
Weblogic 系列漏洞攻击趋势跟踪情况:
Struts 2 系列漏洞攻击趋势跟踪情况:
PHPCMS 系列漏洞攻击趋势跟踪情况:



网络安全漏洞分析
1. 全国网站漏洞类型统计
      某公司网站安全监测平台6月对国内已授权的8764个站点进行漏洞监控,近一个月内发现的高危站点5237个,高危漏洞149267个,漏洞类别主要是CSRF跨站请求伪造XSS注入信息泄露,总占比83%,详细高危漏洞类型分布如下:
具体比例如下:
2. 篡改情况统计
      6月总监控在线业务7260个(去重),共识别潜在篡改的网站有140个(去重),篡改总发现率为19.2%。
      其中首页篡改25个,二级页面篡改56个,多级页面篡改36个。
具体分布图如下图所示:

上图可以看出,网站二级篡改为篡改首要插入位置,成为黑客利益输出首选。

近期流行攻击事件及安全漏洞盘点
1. 流行攻击事件
(1)建筑行业出现集中式感染CrySiS勒索病毒
近日,某公司接到多个建筑行业客户反馈,服务器被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力破解等方式有针对性的入侵建筑行业,提醒该行业客户提高警惕。
(2)GoldBrute僵尸网络横空出世
近日,当黑客们还在绞尽脑汁地想着如何使用BlueKeep漏洞俘获肉鸡时,一个僵尸网络病毒突然横空出世,对全球1,500,000+个设备进行扫描。该病毒名为GoldBrute,通过传统的RDP爆破方式进行传播,被该病毒感染的主机会受C&C服务器104.156.249.231所操控。

(3)Bluehero挖矿蠕虫变种空降!
近日,某公司安全团队捕获到Bluehero挖矿蠕虫最新变种,该挖矿蠕虫集多种功能为一体,释放后门程序窃取主机信息,释放Mimikatz模块、嗅探模块、“永恒之蓝”攻击模块、LNK漏洞利用模块(CVE-2017-8464)进行传播和反复感染,最终释放挖矿模块进行挖矿。

(4)GandCrab最终版解密工具发布!
6月17日,Bitdefender发布了GandCrab勒索病毒V1、V4以及V5-V5.2版本的解密工具,这意味着不向勒索软件运营商妥协的受害者们,终于可以恢复被加密的数据。

2. 安全漏洞事件
(1)Vim编辑器本地代码执行漏洞预警(CVE-2019-12735)
Vim编辑器在8.1.1365和Neovim 0.3.6 之前版本存在严重的代码执行漏洞,当通过Vim编辑器打开特殊构造的文件,且Vim编辑器的ModelLine被启用,就会触发本地文件代码执行漏洞。虽然此漏洞是本地漏洞,如若结合社会工程学的方式进行攻击,危害不容小觑,容易造成重要敏感信息泄露,甚至会导致服务器被攻击者控制。

(2)微软六月补丁日重点漏洞预警
2019年6月11日,Microsoft发布了六月份安全补丁更新。在官方的安全更新公告中一共披露了88个漏洞的相关信息,其中21个获得了“严重”评级,这是微软有史以来漏洞严重程度最高的一次排名。截至目前为止,尚未发现这88个漏洞的在野利用。

(3)【漏洞预警】Coremail多版本配置文件读取漏洞
在2019年6月14日,Coremail 配置文件读取漏洞PoC爆出,经过某公司安全研究员验证分析,发现利用该漏洞能够读取 Coremail 邮件服务器敏感配置文件,配置文件中包括邮件服务存储路径、数据库连接地址、账号以及密码等敏感信息,该漏洞危害较大,影响较广。
(4)【漏洞预警】OracleWebLogic 远程命令执行 0day(CVE-2019-2725补丁绕过)漏洞
近日,某公司安全团队发现了在野的Oracle WebLogic 远程命令执行漏洞最新利用方式,该漏洞的利用方式与官方4月修复的CVE-2019-2725漏洞利用方式极为相似,此攻击可以绕过官方四月份发布的安全补丁。
(5)【更新】CVE-2019-1040Windows NTLM篡改漏洞分析
2019年6月11日,Microsoft发布了六月份安全补丁更新。在该安全更新补丁中,对CVE-2019-1040漏洞进行了修复。攻击者利用该漏洞可以绕过NTLM中的MIC(Message Integrity Code)。攻击者可以修改已经协商签名的身份验证流量,然后中继到另外一台服务器,同时完全删除签名要求。通过该攻击方式可使攻击者在仅有一个普通域账号的情况下,运程控制域中任意机器(包括域控服务器)。
(6)【漏洞预警】Linux 内核中TCP SACK机制远程拒绝服务漏洞
近日,Netflix公司已经确定了几个TCP网络FreeBSD和Linux内核中的漏洞。这些漏洞特别涉及最小段大小(MSS)和TCP选择性确认(SACK)功能。最严重的,被称为“SACK Panic”,可以在Linux内核上远程触发内核崩溃,从而影响系统的可用性。

(7)【更新】OracleWebLogic 远程命令执行(CVE-2019-2729)漏洞预警
近日,Oracle官方安全公告中披露了 CVE-2019-2729 WebLogic 远程命令执行漏洞,漏洞定级为高危漏洞。该漏洞本质是由于 wls9-async 组件在反序列化处理输入信息时存在缺陷,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限,实现远程命令执行。

(8)【漏洞预警】WebSphere远程代码执行漏洞
近日,metasploit团队更新了WebSphere远程代码执行漏洞(CVE-2019-4279)的检测方式。由于服务器在进行反序列化操作时并没有对数据进行安全验证,攻击者可以构造恶意的序列化数据,在服务器执行反序列化操作时执行内部包含的命令,实现远程代码执行漏洞的利用。

(9)【漏洞预警】Coldfusion远程代码执行漏洞(CVE-2019-7839)
近日,AdobeColdfusion官方修复了Coldfusion软件中存在的一个远程代码执行漏洞,漏洞编号CVE-2019-7839,该漏洞评分10分,漏洞等级严重,该漏洞影响范围较广,危害性较大,攻击者可以通过JNBridge技术不受限制地访问远程Java运行时环境,从而允许执行任意代码和系统命令。

安全防护建议
      黑客入侵的主要目标是存在通用安全漏洞的机器,所以预防病毒入侵的主要手段是发现和修复漏洞,某公司建议用户做好以下防护措施:
1. 杜绝使用弱口令,避免一密多用
      系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,禁止密码重用的情况出现,尽量避免一密多用的情况。

2. 及时更新重要补丁和升级组件
      建议关注操作系统和组件重大更新,如“永恒之蓝”漏洞,使用正确渠道,如微软官网,及时更新对应补丁漏洞或者升级组件。

3. 部署加固软件,关闭非必要端口
服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、防范漏洞利用,同时限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,提高系统安全基线,防范黑客入侵。

4. 主动进行安全评估,加强人员安全意识
      加强人员安全意识培养,不要随意点击来源不明的邮件附件,不从不明网站下载软件,对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患。

5. 建立威胁情报分析和对抗体系,有效防护病毒入侵
      网络犯罪分子采取的战术策略也在不断演变,其攻击方式和技术更加多样化。对于有效预防和对抗海量威胁,需要选择更强大和更智能的防护体系。某公司下一代安全防护体系(某公司安全云、某公司下一代防火墙AF、某公司安全感知平台SIP、某公司终端检测与响应平台EDR)通过联动云端、网络、终端进行协同响应,建立全面的事前检测预警、事中防御、事后处理的整套安全防护体系。云端持续趋势风险监控与预警、网络侧实时流量检测与防御、终端事后查杀与溯源,深度挖掘用户潜在威胁,立体全方位确保用户网络安全。

往期回顾
网站篡改现状调查丨国内网站内容篡改现状调查

打赏鼓励作者,期待更多好文!

打赏
15人已打赏

avic 发表于 2019-7-17 16:18
  
沙发沙发
avic 发表于 2019-7-17 16:20
  
697480 发表于 2019-7-17 17:35
  
板凳
marco 发表于 2019-7-18 08:45
  
学习了。感谢。
NONO 发表于 2019-7-18 09:13
  
谢谢分享
D调的土豆 发表于 2019-7-18 09:13
  
打卡学习
adds 发表于 2019-7-19 19:02
  
感谢小编的小辛苦汇总。
狗蛋 发表于 2019-7-19 23:16
  
很不错的安全动态
笑熬浆糊 发表于 2019-7-20 07:56
  
打卡学习
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人