新闻中心

    新闻中心  >  纯干货 | 网络安全态势洞察报告2019-03
    纯干货 | 网络安全态势洞察报告2019-03
    背景图 2019-04-22 00:00:00

    网络安全状况概述


    2019年3月,,,,互联网网络安全状况整体指标平稳,,,但有几个特征值得关注。。一方面,,是勒索病毒依然猖獗,,,拓客猫软件安全云脑监测到Globelmposter、、、GandCrab、、、、Crysis等病毒活跃热度居高不下,,变种层出不穷,,,近期出现Globelmposter 4.0、、、、GandCrab 5.2等勒索变种。。。用户一旦遭受勒索病毒攻击,,,绝大多数文件将被加密,,且大多暂时无法解密,,造成无法估量的损失;另一方面,,,APT(高级持续性威胁)活跃程度在3月有所增加,,,针对性攻击更加明显,,各厂商也在密切关注,,,攻防博弈战激烈上演。。此外,,,,监测数据显示,,,,网站攻击数量在3月持续放缓,,,但网站漏洞问题依然严峻。。。

     

    3月,,,,拓客猫软件安全云脑累计发现:

    • 恶意攻击16.31亿次,,,,平均每天拦截恶意程序5261万次。。
    • 活跃恶意程序24439个,,其中感染型病毒4134个,,,占比16.92%;木马远控病毒7539个,,,占比30.85%。。。。挖矿病毒种类246个,,,拦截次数9.82亿次,,较上月有所上升,,,其中Xmrig病毒家族最为活跃。。。。

    拓客猫软件漏洞监测平台对国内已授权的6996个站点进行漏洞监控,,,发现:

    • 高危站点2721个,,,,高危漏洞60628个,,,主要漏洞类别是XSS注入、、信息泄漏、、、、CSRF跨站请求伪造。。。。
    • 监控在线业务6715个,,共有276个在线业务发生过真实篡改,,,篡改占比高达4.11%。。

     

    恶意程序活跃详情


    2019年3月,,病毒攻击的态势与2月相比有所上升,,,,病毒拦截量比2月份上升近16%,,,,近半年拦截恶意程序数量趋势如下图所示:

    2019年3月,,,,拓客猫软件安全云脑检测到的活跃恶意程序样本有24439个,,,,其中木马远控病毒7539个,,,占比30.85%,,感染型病毒4134个,,,,占比16.92%,,蠕虫病毒2631个,,,占比10.77%,,,挖矿病毒246个,,占比1.01%,,,勒索病毒188个,,,占比0.77%。。

    3月总计拦截恶意程序16.31亿次,,,,其中挖矿病毒的拦截量占比60.24%,,其次是感染型病毒(16.4%)、、木马远控病毒(12.29%)、、、蠕虫病毒(6.71%)、、、后门软件(3.01%)、、、勒索病毒(1.21%)。。

    勒索病毒活跃状况

    2019年3月,,,,共拦截活跃勒索病毒1967万次。。其中,,,WannaCry、、Razy、、Gandcrab、、、Revenge、、、Locky、、、、Teslacrypt、、、、Mamba、、、Badrabbit、、、Cerber、、、Cryptowall、、、Matrix、、、Paradise、、、、Torrentlocker依然是最活跃的勒索病毒家族,,,其中WannaCry家族本月拦截数量有1084万次,,危害依然较大。。

    从勒索病毒倾向的行业来看,,企业和教育感染病毒数量占总体的51%,,,,是黑客最主要的攻击对象。。具体活跃病毒行业分布如下图所示:


    从勒索病毒受灾地域上看,,,广东地区受感染情况最为严重,,,其次是浙江省江苏省。。。

    挖矿病毒活跃状况

    2019年3月,,拓客猫软件安全云脑在全国共拦截挖矿病毒9.82亿次,,,较2月环比增加7%,,,其中最为活跃的挖矿病毒是Xmrig、、、、WannaMine、、MinePool、、BitcoinMiner、、、、ZombieboyMiner、、FalseSign,,,特别是Xmrig家族,,,共拦截4.58亿次。。。同时监测数据显示,,,,被挖矿病毒感染的地域主要有浙江、、北京、、、、广东等地,,,其中浙江省感染量全国第一。。。。


    被挖矿病毒感染的行业分布如下图所示,,,其中政府受挖矿病毒感染情况最为严重,,感染比例和2月相比下降2个百分点,,其次是企业和教育行业。。

    感染型病毒活跃状况

    2019年3月,,,,拓客猫软件安全云脑检测并捕获感染型病毒样本4134个,,共拦截2.67亿次。。。其中Ramnit家族是成为本月攻击态势最为活跃的感染型病毒家族,共被拦截1.09亿次,,此家族占了所有感染型病毒拦截数量的40.77%;而排名第二第三的是Virut和Sality家族,,本月拦截比例分别是为39.79%和11.83%。。。。3月份感染型病毒活跃家族TOP榜如下图所示:


    在感染型病毒危害地域分布上,,,,广东省(病毒拦截量)位列全国第一,,占TOP10总量的25%,,其次为浙江省湖南省。。


    从感染型病毒攻击的行业分布来看,,,,黑客更倾向于使用感染型病毒攻击企业、、、教育、、、、政府等行业。。企业、、教育、、、、政府的拦截数量占拦截总量的75%,,,具体感染行业分布如下图所示:

    木马远控病毒活跃状况

    拓客猫软件安全云脑3月全国检测到木马远控病毒样本7539个,,共拦截2.00亿次,,拦截量较2月上升31%。。。。其中最活跃的木马远控家族是Injector,,,,拦截数量达2537万次,,,其次是Zusy、、、、XorDDos。。。。


    对木马远控病毒区域拦截量进行分析统计发现,,,恶意程序拦截量最多的地区为广东省,,占TOP10拦截量的 21%,,,与2月份基本持平;其次为浙江(17%)、、、、北京(13%)、、、四川(11%)和湖北(7%);此外山东、、、上海、、、、广西壮族自治区、、江苏、、、、福建的木马远控拦截量也排在前列。。。


    行业分布上,,企业、、、、教育及政府行业是木马远控病毒的主要攻击对象。。

    蠕虫病毒活跃状况

    2019年3月拓客猫软件安全云脑在全国检测到蠕虫病毒样本2631个,,,,共拦截1.09亿次。。通过数据统计分析来看,,,大多数攻击都是来自于Gamarue、、Jenxcus、、、、Dorkbot、、、、Mydoom、、、、Conficker、、Vobfus、、、、Palevo、、、Bondat、、、Buzus、、Phorpiex家族。。。。这些家族占据了3月全部蠕虫病毒攻击的98.8%,,,其中攻击态势最活跃的蠕虫病毒是Gamarue,,,,占蠕虫病毒攻击总量的67%。。


    从感染地域上看,,广东地区用户受蠕虫病毒感染程度最为严重,,,其拦截量占TOP10比例的28%;其次为江西省(16%)、、、湖南省(11%)。。。 


    从感染行业上看,,企业、、、教育等行业受蠕虫感染程度较为严重。。

    网络安全攻击趋势分析

    拓客猫软件全网安全态势感知平台监测到全国34808个IP在3月所受网络攻击总量约为4亿次。。。。本月攻击态势与前三个月相比明显下降。。。下图为近半年拓客猫软件网络安全攻击趋势监测情况:

    安全攻击趋势

    下面从攻击类型分布和重点漏洞攻击分析2个纬度展示3月现网的攻击趋势:

     

    攻击类型分布

    通过对拓客猫软件安全云脑数据分析可以看到,,,3月捕获攻击以系统漏洞利用、、、WebServer漏洞利用、、、、Web扫描等分类为主。。。。其中系统漏洞利用类型的占比更是高达28.70%,,,有近亿的命中日志;WebServer漏洞利用类型均占比23.34%;Web扫描类型的漏洞占比17.72%。。此外,,,信息泄露攻击、、、Webshell上传等攻击类型在3月的攻击数量有所增长。。。

     

    主要攻击种类和比例如下:

    重点漏洞攻击分析

    通过对拓客猫软件安全云脑数据进行分析,针对漏洞的攻击情况筛选出3月攻击利用次数TOP20的漏洞。。。。

    其中命中次数前三漏洞利用分别是test.php、、、test.aspx、、、test.asp等文件访问检测漏洞、、、Apache Web Server ETag Header 信息泄露漏洞和Microsoft Windows Server 2008/2012 - LDAP RootDSE Netlogon 拒绝服务漏洞,,,攻击次数分别为49,047,012、、、39,407,152和28,619,006。。。。较上月均有小幅上升。。

     

    高危漏洞攻击趋势

    拓客猫软件安全团队对重要软件漏洞进行深入跟踪分析,,,近年来Java中间件远程代码执行漏洞频发,,,,同时受永恒之蓝影响使得Windows SMB、、、、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。。。

    2019年3月,,,,Windows SMB日志量达千万级,,近几月攻击趋势持持续上升,,其中拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多;Struts2系列漏洞攻击趋势近几月攻击次数波动较大,,,Weblogic系列漏洞的攻击趋势结束了前几月的持续降低,,,,本月拦截到近两百万攻击日志;PHPCMS系列漏洞近几月攻击次数大幅上升,,近期应重点关注。。。。

     

    Windows SMB 系列漏洞攻击趋势跟踪情况


    Struts 2系列漏洞攻击趋势跟踪情况

    Weblogic系列漏洞攻击趋势跟踪情况


    PHPCMS系列漏洞攻击趋势跟踪情况

    网站安全分析

    网站漏洞类型统计

    拓客猫软件云眼网站安全监测平台3月对国内已授权的6966个站点进行漏洞监控,,,,3月发现的高危站点2721个,,,,高危漏洞60628个,,漏洞类别占比前三的分别是XSS注入,,信息泄露和CSRF跨站请求伪造,,,共占比79.68%,,具体比例如下:

    篡改攻击情况统计

    3月共监控在线业务6715个,,,,共识别潜在篡改的网站有276个,,,,篡改总发现率高达4.11%。。。其中首页篡改226个,,,二级页面篡改32个,,多级页面篡改18个。。。。篡改位置具体分布图如下图所示:

    可以看出,,网站首页篡改为篡改首要插入位置,,,,成为黑客利益输出首选。。

    站点地图