新闻中心

      新闻中心  >  纯干货|网络安全态势洞察报告2019-01
      纯干货|网络安全态势洞察报告2019-01
      背景图 2019-02-28 00:00:00

      网络安全状况概述


      2019年1月,,,整体而言,,,互联网网络安全状况指标平稳。。。从行业角度看,,,,      针对医疗和服务业的攻击逐步增多,,,,原因是这些行业拥有数据的价值正在增加。。另一方面,,,,勒索病毒作为破坏性最强、、、、影响面广泛的一类恶意程序,,,,该月出现多种勒索病毒变种肆虐,,,,勒索病毒感染正处于愈演愈烈的态势,,,,个人或企业应做好安全防护措施。。。此外,,,,根据监测数据发现,,,,网站攻击和网站漏洞数量在1月有所缓减,,,信息泄漏为目的的漏洞攻击形势依然较为严峻。。。。

      1月,,,拓客猫软件安全云脑累计发现:

      • 恶意攻击17.6亿次,,,,平均每天拦截恶意程序5688万次。。。。
      • 活跃恶意程序54993个,,,,其中僵尸网络23730个,,占比43.15%;木马远控病毒20162个,,占比36.66%。。。。活跃挖矿病毒种类704个,,,拦截次数10.71亿次,,,较之前有持续增长,,其中NrsMiner变种非常活跃。。。

      拓客猫软件漏洞监测平台对国内已授权的7329个站点进行漏洞监控,,发现:

      • 高危站点2505个,,,其中高危漏洞5792个,,,主要漏洞类别是点击劫持、、、CSRF跨站请求伪造和信息泄露。。。。
      • 监控在线业务5870个,,,,其中有246个在线业务发生过真实篡改,,篡改占比高达4.19%。。。。

      恶意程序活跃详情

      2019年1月,,,,拓客猫软件安全云脑检测到的活跃恶意程序样本有54993个,,其中僵尸网络23730个,,,,占比43.15%;木马远控病毒20162个,,,,占比36.66%,,,,挖矿病毒704个,,,,占比1.28%。。。。

      1月总计拦截恶意程序17.6亿次,,,其中挖矿病毒的拦截量占比61%,,,其次是感染型病毒(16%)、、、木马远控病毒(11%)、、蠕虫(7%)、、后门软件(3%)、、、、勒索软件(1%),,由下图可知,,挖矿病毒的拦截比例依然较大。。。。

      ▲2019年1月恶意程序拦截量按类型分布

      挖矿病毒活跃情况


      2019年1月,,,拓客猫软件安全云脑共捕获挖矿病毒样本704个,,拦截挖矿病毒10.71亿次,,,,其中最为活跃的挖矿病毒是NrsMiner、、MinePool、、、、Xmrig、、、、BitCoinMiner、、、WannaMine,,,,特别是1月爆发的NrsMiner家族,,共拦截4.38亿次。。。。同时监测数据显示,,,被挖矿病毒感染的地域主要有广东、、浙江、、、、北京等地,,,其中广东省感染量全国第一。。

      ▲2019年1月挖矿病毒活跃地域Top10


      被挖矿病毒感染的行业分布如下图所示,,,其中企业受挖矿病毒感染情况最为严重,,,其次是政府教育行业。。。。

      ▲2019年1月挖矿病毒感染行业TOP10


      基于拓客猫软件对挖矿病毒主要特征的总结,,,发现黑客入侵挖矿的主要目标是存在通用安全漏洞的机器,,,所以预防入侵挖矿的主要手段就是发现和修复漏洞:

      1)根据业务情况尽量关闭非业务需要的端口,,,对于开放在外网上的服务,,即使因为业务,,也应限制访问来源。。

      2)建议关注操作系统和组件重大更新,,,,如 WannaCry 传播使用的永恒之蓝漏洞,,,及时更新补丁或者升级组件。。。

      3)为预防密码暴力破解导致的入侵,,,应更换默认的远程登录端口,,,设置复杂的登录密码,,,或者放弃使用口令登录,,,改使用密钥登录。。。。

      4)自检服务器上部署的业务,,,,进行渗透测试,,及早发现并修复业务漏洞,,,,避免成为入侵点。。。

      5)使用拓客猫软件下一代防火墙、、EDR等安全产品,,,实时检测发现服务器上的安全漏洞并且及时修复。。。

      此外,,针对已经被入侵挖矿的情况,,建议及时清理挖矿进程和恶意文件,,,,同时排查入侵点并修复,,,从源头上进行有效解决。。。。


      僵尸网络病毒活跃情况


      2019年1月,,拓客猫软件安全云脑检测并捕获僵尸网络样本20162个,,,,共拦截8756万次。。。其中Andromeda家族是成为本月攻击态势最为活跃的僵尸网络家族,共被拦截2732万次,,,,此家族占了所有僵尸网络拦截数量的31%;而排名第二第三的Aenjaris和Moto家族拦截量呈现大幅增加,,,本月拦截比例分别是为15%和14%。。。。1月份僵尸网络活跃家族TOP榜如下图所示:

      ▲2019年1月僵尸网络活跃家族拦截数量TOP10


      在僵尸网络危害地域分布上,,,广东省(病毒拦截量)位列全国第一,,占TOP10总量的38%,,其次为浙江省内蒙古自治区。。。

      ▲2019年1月僵尸网络活跃地区TOP10


      从僵尸网络攻击的行业分布来看,,,黑客更倾向于使用僵尸网络攻击企业、、、、教育、、政府等行业。。。。企业、、、教育、、、政府的拦截数量占僵尸网络TOP10拦截总量的80%,,,具体感染行业TOP分布如下图所示:

      ▲2019年1月僵尸网络感染行业TOP10

       

      木马远控病毒活跃状况


      拓客猫软件安全云脑1月检测到木马远控病毒样本18501个,,,,共拦截19612万次。。。其中最活跃的木马远控家族是Glupteba,,拦截数量达3146万次,,其次是XorDDos、、、Zusy。。。。具体分布数据如下图所示:

      ▲2019年1月木马远控毒活跃家族TOP10


      对木马远控病毒区域拦截量进行分析统计发现,,恶意程序拦截量最多的地区为广东省,,,,占TOP10拦截量的 25%;其次为浙江(16%)、、北京(12%)、、、四川(11%)和江苏(8%)。。此外湖北、、、、山东、、上海、、福建、、湖南的木马远控拦截量也排在前列。。。。

      ▲2019年1月木马远控活跃地区TOP10


      行业分布上,,,企业、、政府科研教育行业是木马远控病毒的主要攻击对象。。。

      ▲2019年1月木马远控病毒感染行业TOP10

       

      蠕虫病毒活跃状况


      2019年1月拓客猫软件安全云脑检测到蠕虫病毒样本2156个,,,共拦截8955万次,,,但通过数据统计分析来看,,,,大多数攻击都是来自于Gamarue、、、、Jenxcus、、DorkBot、、Palevo、、、Citeary、、Vobfus、、Conficker、、、、Brontok、、、、NgrBot家族,,,这些家族占据了1月全部蠕虫病毒攻击的98.9%,,,,其中攻击态势最活跃的蠕虫病毒是Gamarue,,,占蠕虫病毒攻击总量的76%。。。

      ▲2019年1月蠕虫病毒活跃家族TOP10


      从感染地域上看,,广东地区用户受蠕虫病毒感染程度最为严重,,,,其拦截量占TOP10比例的24%;其次为江西省(22%)、、、湖南省(13%)。。。

      ▲2019年1月蠕虫病毒活跃地域TOP10


      从感染行业上看,,,,企业、、、教育等行业受蠕虫感染程度较为严重。。

      ▲2019年1月蠕虫病毒感染行业分布TOP10

       

      勒索病毒活跃状况


      2019年1月,,,,共检测到活跃勒索病毒样本量292个。。。其中,,WannaCry、、Razy、、、GandCrab、、TeslaCrypt、、、Mamba、、、Locky依然是最活跃的勒索病毒家族,,,其中WannaCry家族本月拦截数量有300万次,,危害依然较大。。。。

      从勒索病毒倾向的行业来看,,企业和政府感染病毒数量占总体的55%,,,,是黑客最主要的攻击对象,,具体活跃病毒行业分布如下图所示:

      ▲2019年1月勒索病毒感染行业TOP10

       

      从勒索病毒受灾地域上看,,,广东地区受感染情况最为严重,,,其次是浙江省福建省。。。

      ▲2019年1月勒索病毒活跃地域TOP10


      网络安全攻击趋势分析


      拓客猫软件全网安全态势感知平台监测到全国30692个IP在1月内所受网络攻击总量约为12亿次。。。下图为近半年拓客猫软件网络安全攻击趋势监测情况:

      ▲近半年网络安全攻击趋势情况

       

      本月安全攻击趋势

      下面从攻击类型分布和命中情况分析2个纬度展示本月现网的攻击趋势:

      攻击类型分布

      通过对云脑日志数据分析可以看到,,,1月捕获攻击以Web扫描、、WebServer漏洞利用、、、、操作系统漏洞利用攻击和信息泄露攻击分类为主,,,以上四类攻击日志数占总日志数的73%。。。其中Web扫描类型的漏洞更是达到了26.73%,,,有近亿的命中日志;WebServer漏洞利用和操作系统漏洞利用攻击类型均占比18%。。。此外,,,信息泄露攻击、、、、Webshell上传、、SQL注入等攻击类型在1月的攻击数量有所增长。。

      ▲2019年1月攻击类型分布

      主要攻击种类和比例如下:


      针对性漏洞攻击分析

      (1)针对WEB漏洞的攻击情况分析统计

      其中遭受攻击次数前三对应的漏洞分别是test.php、、test.aspx、、test.asp等文件访问检测漏洞、、SQL注入攻击双引号语句检测漏洞和服务器目录浏览禁止信息泄露漏洞,,,攻击次数分别为75,352,863、、、21,599,200和21,182,625。。

      (2)针对系统中间件类漏洞的命中情况分析统计

      通过对日志数据分析可以看到其中遭受攻击次数前三的漏洞分别是Microsoft Windows SMB Server SMBv1信息泄露漏洞、、NTP Ntp_request.c 远程拒绝服务漏洞和Microsoft IIS畸形本地文件名安全绕过漏洞。。。

      高危漏洞攻击趋势跟踪

      拓客猫软件安全团队对重要软件漏洞进行深入跟踪分析,,,,近年来Java中间件远程代码执行漏洞频发,,,同时受永恒之蓝影响使得Windows SMB、、、、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式,,2019年1月,,,Windows SMB日志量达千万级,,相比上月小幅上升;Struts2系列漏洞,,Weblogic系列漏洞和PHPCMS系列漏洞的攻击次数本月均大幅度减少。。。。相关用户应重点关注。。。

      • Windows SMB 系列漏洞攻击趋势跟踪情况

      • Struts 2系列漏洞攻击趋势跟踪情况

      • Weblogic系列漏洞攻击趋势跟踪情况

      • PHPCMS系列漏洞攻击趋势跟踪情况


      网络安全漏洞分析

      本月漏洞收集情况

      2019年1月拓客猫软件安全团队通过自动化手段筛选并收录国内外重点漏洞115条,,,其中WEB应用漏洞36条,,操作系统漏洞50条,,,,网络设备漏洞2条,,,,服务器漏洞4条,,客户端漏洞23条。。。。收录的重要漏洞中包含34条0day漏洞。。

      从收集的重要漏洞分析攻击方法分布,,,可以看到,,占比排名前三的分别是代码执行,,,,信息泄露,,和权限升级,,,,分别占比20%,,19%和15%,,三类攻击方法占总数为54%;跨站点脚本攻击,,验证绕过,,内存损坏,,,拒绝服务攻击和缓冲区溢出的占比情况也排名靠前。。。

      全国网站漏洞收集情况

      拓客猫软件云眼网站安全监测平台本月对国内已授权的4282个站点进行漏洞监控,,,,近一个月内发现的高危站点1364个,,,,高危漏洞23477个,,,主要漏洞类别是信息泄露、、XSS和CSRF跨站请求伪造等。。。高危漏洞类型分布如下:

      具体比例如下:

      篡改情况统计

      1月共监控在线业务5870个(已去重),,共检测到246个(已去重)个网站发生真实篡改,,篡改总发现率高达4.19%。。。。其中有202个识别为首页篡改,,,,13个识别为二级目录篡改,,,31个识别为二层级以上的多层级篡改。。。。

      具体分布图如下图所示:

      从上图可以看出,,,网站首页篡改为篡改首要插入位置,,,,成为黑客利益输出首选。。

      站点地图