返回頂部
隱藏或顯示

新聞動態

News

純干貨 | 網絡安全態勢洞察報告2019-05

/ 2019-06-17

網絡安全狀況概述


2019年5月,互聯網安全狀況整體指標相對平穩,但出現了一些影響較大的安全事件。

臭名遠揚的勒索軟件GandCrab背后的運營團隊宣稱“賺夠了退休的錢,將停止GandCrab的更新”,其價值觀影響極其惡劣。同時從深信服捕獲的攻擊事件來看,勒索病毒仍是主要危害,且勒索攻擊者的針對性較強,主要結合社會工程、RDP遠程爆破等手段投放病毒,制造行業和醫療行業在5月受災較為嚴重。

微軟在5月曝出多個安全漏洞,其中最為嚴重的是RDP(Remote Desktop Protocol,遠程桌面服務)遠程代碼執行漏洞,編號CVE-2019-0708。由于該漏洞影響力和破壞力巨大,一旦被黑客利用,將會造成巨大損失。深信服已經多次提醒用戶進行安全更新,做好針對該漏洞的防御措施。

此外,網絡安全等級保護制度2.0國家標準正式發布,網絡安全由此進入新的發展階段,等級保護對象范圍在傳統系統的基礎上擴大了云計算、移動互聯、物聯網、大數據等,網絡安全也越來越受到大眾關注,同時也將面臨新的挑戰。

5月,深信服安全云腦累計發現:

  • 惡意攻擊17.93億次,平均每天攔截惡意程序5784萬次。

  • 活躍惡意程序32150個,其中感染型病毒7844個,占比24.4%;木馬遠控病毒14324個,占比44.55%。挖礦病毒種類455個,攔截次數9.4億次,較4月下降23%,其中WannaMine病毒家族最為活躍

深信服漏洞監測平臺對國內已授權的5661個站點進行漏洞監控,發現:

  • 高危站點3932個,高危漏洞102105個,漏洞類別主要是CSRF跨站請求偽造,占比30%。

  • 監控在線業務7776個,共識別潛在篡改的網站233個,篡改總發現率高達3.06%。


惡意程序活躍詳情


2019年5月,病毒攻擊結束了近月持續上升的態勢,病毒攔截量比4月份下降近8%,近半年攔截惡意程序數量趨勢如下圖所示:

2019年5月,深信服安全云腦檢測到的活躍惡意程序樣本有32150個,其中木馬遠控病毒14324個,占比44.55%,感染型病毒7844個,占比24.4%,蠕蟲病毒5813個,占比18.08%,勒索病毒535個,占比1.66%,挖礦病毒455個,占比1.42%。

5月總計攔截惡意程序17.93億次,其中挖礦病毒的攔截量占比52.42%,其次是木馬遠控病毒(15.71%)、蠕蟲病毒(11.97%)、后門軟件(9.8%)、感染型病毒(8.94%)、勒索病毒(1.05%)。

1. 勒索病毒活躍狀況


2019年5月,共攔截勒索病毒數量1881萬次。其中,WannaCry、RazyCrypt、GandCrab依然是最活躍的勒索病毒家族,其中WannaCry家族本月攔截數量有932萬次,危害較大。

從勒索病毒傾向的行業來看,企業和教育感染病毒數量占總體的59%,是黑客最主要的攻擊對象,具體活躍病毒行業分布如下圖所示:

從勒索病毒受災地域上看,廣東地區受感染情況最為嚴重,其次是湖南省和浙江省。

2. 挖礦病毒活躍狀況


2019年5月,深信服安全云腦共攔截挖礦病毒9.40億次,比四月下降23%,其中最為活躍的挖礦病毒是WannaMine、MinePool、Xmrig,特別是WannaMine家族,共攔截3.29億次。同時監測數據顯示,被挖礦病毒感染的地域主要有廣東、北京、浙江等地,其中廣東省感染量第一。

被挖礦病毒感染的行業分布如下圖所示,其中企業受挖礦病毒感染情況最為嚴重,感染比例和4月基本持平,其次是政府和教育行業。

3. 感染型病毒活躍狀況


2019年5月,深信服安全云腦檢測并捕獲感染型病毒樣本7844個,共攔截1.60億次。其中Virut家族成為本月攻擊態勢最為活躍的感染型病毒家族,共被攔截1.02億次,此家族占了所有感染型病毒攔截數量的63.78%;而排名第二第三的是Sality和Pioneer家族,本月攔截比例分別是為22.32%和4.24%。5月份感染型病毒活躍家族TOP榜如下圖所示:

在感染型病毒危害地域分布上,廣東省(病毒攔截量)位列第一,占TOP10總量的35%,其次為浙江省和廣西壯族自治區。

從感染型病毒攻擊的行業分布來看,黑客更傾向于使用感染型病毒攻擊企業、教育、政府等行業。企業、教育、政府的攔截數量占攔截總量的69%,具體感染行業分布如下圖所示:

4. 木馬遠控病毒活躍狀況


深信服安全云腦5月檢測到木馬遠控病毒樣本14324個,共攔截2.82億次,攔截量較4月上升14%。其中最活躍的木馬遠控家族是Drivelife,攔截數量達6138萬次,其次是Injector、Zusy。具體分布數據如下圖所示:

對木馬遠控病毒區域攔截量進行分析統計發現,惡意程序攔截量最多的地區為廣東省,占TOP10攔截量的 29%,與4月份基本持平;其次為北京(12%)、浙江(11%)、廣西壯族自治區(9%)和湖南(8%)。此外湖北、山東、江蘇、四川、上海的木馬遠控攔截量也排在前列。

行業分布上,企業、教育及政府行業是木馬遠控病毒的主要攻擊對象。

5. 蠕蟲病毒活躍狀況


2019年5月深信服安全云腦檢測到蠕蟲病毒樣本5813個,共攔截2.15億次,但通過數據統計分析來看,大多數攻擊都是來自于Ramnit、Gamarue、Jenxcus、Dorkbot、Faedevour、Small家族,這些家族占據了5月全部蠕蟲病毒攻擊的95%,其中攻擊態勢最活躍的蠕蟲病毒是Ramnit,占蠕蟲病毒TOP10總量的51%。

從感染地域上看,廣東地區用戶受蠕蟲病毒感染程度最為嚴重,其攔截量占TOP10總量的31%;其次為湖南省(16%)、浙江省(10%)。

從感染行業上看,企業、教育等行業受蠕蟲感染程度較為嚴重。

網絡安全攻擊趨勢分析


深信服全網安全態勢感知平臺監測到全國32631個IP在5月所受網絡攻擊總量約為7億次。本月攻擊態勢較4月有小幅上升,下圖為近半年深信服網絡安全攻擊趨勢監測情況:

1. 安全攻擊趨勢


下面從攻擊類型分布和重點漏洞攻擊分析2個維度展示本月的網絡攻擊趨勢:

(1)攻擊類型分布

通過對深信服安全云腦日志數據分析可以看到,5月捕獲攻擊以WebServer漏洞利用、系統漏洞利用、SQL注入攻擊等分類為主。其中WebServer漏洞利用類型的占比更是高達53.30%,攻擊次數達3億多次;系統漏洞利用類型占比15.50%;Web掃描類型的漏洞占比8.60%。

主要攻擊種類和比例如下:

(2)重點漏洞攻擊分析

通過對深信服安全云腦日志數據分析,針對漏洞的攻擊情況篩選出5月攻擊利用漏洞的TOP20。

其中漏洞被利用次數前三的漏洞分別是Apache HTTP Server mod_log_config 遠程拒絕服務漏洞、Apache Web Server ETag Header 信息泄露漏洞和NetBIOS名稱查詢響應漏洞,利用次數分別為285,573,813、29,091,319和24,438,711,較上月均有上升。

2. 高危漏洞攻擊趨勢跟蹤


深信服安全團隊對重要軟件漏洞進行深入跟蹤分析,近年來Java中間件遠程代碼執行漏洞頻發,同時受永恒之藍影響使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式。

2019年5月,Windows SMB攔截日志量達千萬級,近幾月攻擊持上升趨勢,其中攔截到的(MS17-010)Microsoft Windows SMB Server 遠程代碼執行漏洞攻擊利用日志最多;Struts2系列漏洞攻擊趨勢近幾月攻擊次數小幅上升,Weblogic系列漏洞的攻擊呈現波動狀態,本月僅攔截二十萬次攻擊;PHPCMS系列漏洞攻擊次數較上月小幅上升。


(1)Windows SMB 系列漏洞攻擊趨勢跟蹤情況

(2)Struts 2系列漏洞攻擊趨勢跟蹤情況

(3)Weblogic系列漏洞攻擊趨勢跟蹤情況

(4)PHPCMS系列漏洞攻擊趨勢跟蹤情況

網絡安全漏洞分析


1. 全國網站漏洞類型統計


深信服網站安全監測平臺5月對國內已授權的6130個站點進行漏洞監控,發現高危站點3932個,高危漏洞102105個,漏洞類別主要是CSRF跨站請求偽造,信息泄露和XSS注入,總占比79%,詳細高危漏洞類型分布如下:

具體比例如下:

2. 篡改情況統計


5月總監控在線業務7776個(去重),共識別潛在篡改網站233個(去重),篡改總發現率高達3.06%。

其中首頁篡改79個,二級頁面篡改132個,多級頁面篡改22個,具體分布圖如下圖所示:

上圖可以看出,網站二級篡改為篡改首要插入位置,成為黑客利益輸出首選。


近期流行攻擊事件及安全漏洞盤點


1. 流行攻擊事件


(1)繞過殺軟!SQL Server Transact-SQL 的無文件攻擊姿勢


近日,深信服安全團隊捕獲到一起繞過殺毒軟件的無文件攻擊事件,被入侵的主機或服務器會被安裝Mykings、Mirai、暗云等多種僵尸網絡木馬及挖礦程序,并且難以徹底清除。經分析排查,該木馬通過弱口令爆破SQL Server服務器后,利用sqlserver Transact-SQL存儲C#編譯惡意代碼,通過MSSQL作業定時執行存儲過程,在受害主機下載惡意程序。

具體詳見:繞過殺軟!SQL Server Transact-SQL 的無文件攻擊姿勢

(2)【安全研究】Domain fronting域名前置網絡攻擊技術

Domain Fronting基于HTTPS通用規避技術,也被稱為域前端網絡攻擊技術。這是一種用來隱藏Metasploit,Cobalt Strike等團隊控制服務器流量,以此來一定程度繞過檢查器或防火墻檢測的技術,如Amazon ,Google,Akamai 等大型廠商會提供一些域前端技術服務。

具體詳見:【安全研究】Domain fronting域名前置網絡攻擊技術

(3)警惕x3m勒索病毒——CryptON

CryptON勒索病毒最早出現在2017年2月份左右,曾有多家企業遭到攻擊,近日深信服安全服務團隊接到客戶反饋,其主機被加密勒索,加密后綴為x3m。經過跟蹤分析,深信服安全團隊拿到了相應的樣本,確認樣本為CryptON勒索病毒的變種版本,并對此勒索病毒樣本進行深入的分析。

具體詳見:警惕x3m勒索病毒——CryptON

(4)警惕Bizarro Sundown(GreenFlash)漏洞利用工具包傳播Seon勒索病毒

近日,國外安全研究人員捕獲到一款名為Seon的勒索病毒,并且發現攻擊者通過Bizarro Sundown(GreenFlash)漏洞利用工具包進行傳播,該漏洞利用工具包常被用于傳播各類勒索病毒,如GandCrab、Locky、Hermes等。Seon勒索病毒使用AES算法加密文件,修改文件后綴為 .FIXT,加密完成后彈出hta窗口與用戶交互索要贖金。

具體詳見:警惕Bizarro Sundown(GreenFlash)漏洞利用工具包傳播Seon勒索病毒

(5)準備交贖金?當心Phobos勒索病毒二次加密!

深信服安全團隊接到多家企業反饋,其服務器遭到勒索病毒攻擊,重要數據被加密。經安全團隊專家排查,該病毒是近期較為活躍的一款勒索病毒,通常通過RDP暴力破解和人工投放的方式進行攻擊,攻擊者成功入侵后,通常會關閉系統的安全軟件防護功能,運行勒索病毒,加密后會修改文件后綴為[原文件名]+id[隨機字符串]+[郵箱地址].phobos。

具體詳見:準備交贖金?當心Phobos勒索病毒二次加密!

(6)新型勒索病毒Attention感染醫療與半導體行業

近日,深信服安全團隊檢測到一種全新的勒索病毒正在活躍,攻擊者針對制造行業、醫療行業等目標,通過社會工程、RDP遠程爆破等方式手動投放勒索病毒,且進行加密后會人工刪除勒索病毒體和入侵日志。

具體詳見:新型勒索病毒Attention感染醫療與半導體行業

(7)GandCrab再爆新變種,警惕DeepBlue變種感染

近日,深信服安全團隊跟蹤到多起GandCrab勒索病毒最新變種感染事件。由于感染主機桌面屏幕會被設置成為深藍色,深信服將該變種命名為GandCrab勒索DeepBlue變種。

具體詳見:GandCrab再爆新變種,警惕DeepBlue變種感染

2. 安全漏洞事件


(1)【漏洞預警】Remote Desktop Protocol任意代碼執行漏洞(CVE-2019-0708)

2019年5月14日,Microsoft在最新的安全更新公告中披露了一則RDP遠程代碼執行漏洞。通過此漏洞,攻擊者無需經過身份驗證,只需要使用RDP連接到目標系統并發送特制請求,就可以在目標系統上遠程執行代碼。

具體詳見:【漏洞預警】Remote Desktop Protocol任意代碼執行漏洞(CVE-2019-0708)

(2)【漏洞預警】Intel Processor MDS系列漏洞預警

2019年5月14日,Intel官方披露了一系列推測性執行側信道漏洞,統稱為“Microarchitectural Data Sampling”(MDS)。該系列漏洞影響了一大批Intel處理器,漏洞允許攻擊者直接竊取CPU緩沖區中的用戶級和系統級秘密信息,包括用戶秘鑰、密碼和磁盤加密秘鑰等重要信息。

具體詳見:【漏洞預警】Intel Processor MDS系列漏洞預警

(3)漏洞預警 | Remote Desktop Protocol任意代碼執行漏洞(CVE-2019-0708)

2019年5月14日,Microsoft在最新的安全更新公告中披露了一則RDP遠程代碼執行漏洞。通過此漏洞,攻擊者無需經過身份驗證,只需要使用RDP連接到目標系統并發送特制請求,就可以觸發漏洞,實現在目標系統上遠程執行代碼。

具體詳見:漏洞預警 | Remote Desktop Protocol任意代碼執行漏洞(CVE-2019-0708)

(4)POC已公開!RDP遠程代碼執行漏洞被利用引發藍屏

2019年5月31日,深信服安全團隊發現公開的CVE-2019-0708的POC已在github上流傳,并第一時間進行復現以及分析。經測試,該POC可導致目標主機藍屏崩潰,特此再次發出預警。

具體詳見:POC已公開!RDP遠程代碼執行漏洞被利用引發藍屏

安全防護建議


黑客入侵的主要目標是存在通用安全漏洞的機器,所以預防病毒入侵的主要手段是發現和修復漏洞,深信服建議用戶做好以下防護措施:

1. 杜絕使用弱口令,避免一密多用

系統、應用相關的用戶杜絕使用弱口令,同時,應該使用高復雜強度的密碼,盡量包含大小寫字母、數字、特殊符號等的混合密碼,禁止密碼重用的情況出現,盡量避免一密多用的情況。

2. 及時更新重要補丁和升級組件

建議關注操作系統和組件重大更新,如永恒之藍漏洞,使用正確渠道,如微軟官網,及時更新對應補丁漏洞或者升級組件。

3. 部署加固軟件,關閉非必要端口

服務器上部署安全加固軟件,通過限制異常登錄行為、開啟防爆破功能、防范漏洞利用,同時限制服務器及其他業務服務網可進行訪問的網絡、主機范圍。有效加強訪問控制ACL策略,細化策略粒度,按區域按業務嚴格限制各個網絡區域以及服務器之間的訪問,采用白名單機制只允許開放特定的業務必要端口,提高系統安全基線,防范黑客入侵。

4. 主動進行安全評估,加強人員安全意識

加強人員安全意識培養,不要隨意點擊來源不明的郵件附件,不從不明網站下載軟件,對來源不明的文件包括郵件附件、上傳文件等要先殺毒處理。定期開展對系統、應用以及網絡層面的安全評估、滲透測試以及代碼審計工作,主動發現目前系統、應用存在的安全隱患。

5. 建立威脅情報分析和對抗體系,有效防護病毒入侵

網絡犯罪分子采取的戰術策略也在不斷演變,其攻擊方式和技術更加多樣化。對于有效預防和對抗海量威脅,需要選擇更強大和更智能的防護體系。深信服下一代安全防護體系(深信服安全云、深信服下一代防火墻AF、深信服安全感知平臺SIP、深信服終端檢測與響應平臺EDR)通過聯動云端、網絡、終端進行協同響應,建立全面的事前檢測預警、事中防御、事后處理的整套安全防護體系。云端持續趨勢風險監控與預警、網絡側實時流量檢測與防御、終端事后查殺與溯源,深度挖掘用戶潛在威脅,立體全方位確保用戶網絡安全。


往期回顧

4月丨純干貨 | 網絡安全態勢洞察報告2019-04

3月丨純干貨 | 網絡安全態勢洞察報告2019-03

2月丨純干貨 | 網絡安全態勢洞察報告2019-02

1月丨純干貨 | 網絡安全態勢洞察報告2019-01

網站篡改現狀調查丨國內網站內容篡改現狀調查

2018年度丨純干貨 | 網絡安全趨勢年度報告

©2000-2019    深信服科技股份有限公司    版權所有    粵ICP備08126214號-5

粵公網安備

粵公網安備44030502002384號

陕西十一选五开奖结果走势图