新闻中心

    新闻中心  >  纯干货 | 网络安全态势洞察报告2019-04
    纯干货 | 网络安全态势洞察报告2019-04
    背景图 2019-05-20 00:00:00

    网络安全状况概述

    2019年4月,,互联网网络安全状况整体指标平稳,,但各类安全事件依然时有发生。。。从拓客猫软件安全云脑捕获的攻击事件来看,,,,病毒攻击手段多种多样,,,,包括绕过杀毒软件无文件木马攻击,,,还有伪装国家机关发送钓鱼邮件进行攻击等,,,,隐蔽性更强,,,入侵后会上传多种僵尸网络木马及挖矿程序,,,难以彻底清除。。。。
    信息泄露事件在4月频发,,,,包括某平台超过1亿用户个人数据被暴露在互联网,,公职人员泄露公民信息获利,,,,三分之二的酒店网站泄露客人预订信息给第三方等,,,给用户人身安全、、、、财产安全带来了隐患。。此外,,,,监测数据显示,,,网站攻击数量在4月小幅上升,,,并且CSRF跨站请求伪造、、点击劫持等问题也较为严重。。。。
    4月,,,,拓客猫软件安全云脑累计发现: 恶意攻击19.6亿次,,平均每天拦截恶意程序6533万次。。。。 活跃恶意程序30035个,,,其中感染型病毒6852个,,占比22.81%;木马远控病毒13733个,,,占比45.72%。。。挖矿病毒种类502个,,,,拦截次数12.29亿次,,,,较3月上升25%,,,其中Minepool病毒家族最为活跃。。
    拓客猫软件漏洞监测平台对国内已授权的5661个站点进行漏洞监控,,,,发现: 高危站点1991个,,高危漏洞24495个,,,,漏洞类别主要是CSRF跨站请求伪造,,,,占比88%。。。。 监控在线业务6724个,,,,共识别潜在篡改的网站有179个,,篡改总发现率高达2.66%。。

    恶意程序活跃详情

    2019年4月,,,,病毒攻击的态势在4月呈现上升态势,,病毒拦截量比3月份上升近20%,,,近半年拦截恶意程序数量趋势如下图所示:
    2019年4月,,,拓客猫软件安全云脑检测到的活跃恶意程序样本有30035个,,,其中木马远控病毒13733个,,占比45.72%,,,,感染型病毒6852个,,,占比22.81%,,,,蠕虫病毒6461个,,,占比21.51%,,,挖矿病毒502个,,,,占比1.67%,,,勒索病毒419个,,,,占比1.4%。。。

    4月总计拦截恶意程序19.60亿次,,,,其中挖矿病毒的拦截量占比62.72%,,,,其次是木马远控病毒(12.57%)、、蠕虫病毒(12.5%)、、感染型病毒(8.82%)、、、、后门软件(2.31%)、、、、勒索病毒(0.97%)。。。。


    勒索病毒活跃状况

    2019年4月,,,,共拦截活跃勒索病毒1893万次。。。。其中,,,,WannaCry、、、、Razy、、、GandCrab依然是最活跃的勒索病毒家族,,,其中WannaCry家族4月拦截数量有1098万次,,,,危害依然较大。。。。

    从勒索病毒倾向的行业来看,,,,企业和教育感染病毒数量占总体的51%,,,是黑客最主要的攻击对象,,,,具体活跃病毒行业分布如下图所示:
    从勒索病毒受灾地域上看,,广东地区受感染情况最为严重,,其次是四川省和浙江省。。。

    挖矿病毒活跃状况

    2019年4月,,拓客猫软件安全云脑在全国共拦截挖矿病毒12.29亿次,,,,比3月上升25%,,,,其中最为活跃的挖矿病毒是Minepool、、、、Xmrig、、、Wannamine、、、Bitcoinminer,,,,特别是Minepool家族,,,,共拦截5.03亿次。。同时监测数据显示,,被挖矿病毒感染的地域主要有广东、、、浙江、、、、北京等地,,,其中广东省感染量全国第一。。。。
    被挖矿病毒感染的行业分布如下图所示,,,,其中企业受挖矿病毒感染情况最为严重,,感染比例和3月基本持平,,,其次是政府和教育行业。。。

    感染型病毒活跃状况

    2019年4月,,,,拓客猫软件安全云脑检测并捕获感染型病毒样本6852个,,共拦截1.73亿次。。其中Virut家族是4月攻击态势最为活跃的感染型病毒家族,共被拦截1.18亿次,,,此家族占了所有感染型病毒拦截数量的68.15%;而排名第二第三的是Sality和Wapomi家族,,,,4月拦截比例分别是18.34%和3.96%。。。。4月份感染型病毒活跃家族TOP榜如下图所示:
    在感染型病毒危害地域分布上,,广东省(病毒拦截量)位列全国第一,,,占TOP10总量的35%,,,其次为广西壮族自治区和浙江省。。
    从感染型病毒攻击的行业分布来看,,,黑客更倾向于使用感染型病毒攻击企业、、、教育、、、政府等行业。。。。企业、、、教育、、政府的拦截数量占拦截总量的76%,,,,具体感染行业分布如下图所示:

    木马远控病毒活跃状况

    拓客猫软件安全云脑4月全国检测到木马远控病毒样本13733个,,,,共拦截2.46亿次,,,,拦截量较3月上升23%。。。其中最活跃的木马远控家族是Drivelife,,,,拦截数量达5756万次,,,,其次是Zusy、、、、Injector。。具体分布数据如下图所示:
    对木马远控病毒区域拦截量进行分析统计发现,,,,恶意程序拦截量最多的地区为广东省,,占TOP10拦截量的 30%,,较3月份有所增加;其次为浙江(13%)、、、北京(12%)、、四川(10%)和湖北(7%)。。。。此外山东、、上海、、湖南、、江西、、江苏的木马远控拦截量也排在前列。。。
    行业分布上,,,,企业、、教育及政府行业是木马远控病毒的主要攻击对象。。。

    蠕虫病毒活跃状况

    2019年4月拓客猫软件安全云脑在全国检测到蠕虫病毒样本6461个,,共拦截2.45亿次,,,,但通过数据统计分析来看,,,,大多数攻击都是来自于Ramnit、、、、Gamarue、、、Jenxcus、、Conficker、、、、Dorkbot、、、、Faedevour、、、Mydoom、、、Small家族,,,,这些家族占据了4月全部蠕虫病毒攻击的97%,,其中攻击态势最活跃的蠕虫病毒是Ramnit,,,,占蠕虫病毒攻击总量的48.52%。。。
    从感染地域上看,,广东地区用户受蠕虫病毒感染程度最为严重,,,,其拦截量占TOP10比例的30%;其次为湖南省(14%)、、、、江西省(11%)。。
    从感染行业上看,,,,企业、、教育等行业受蠕虫感染程度较为严重。。。

    网络安全攻击趋势分析

    拓客猫软件全网安全态势感知平台监测到全国34808个IP在4月所受网络攻击总量约为4.8亿次。。4月攻击态势较上月有小幅上升。。。。下图为近半年拓客猫软件网络安全攻击趋势监测情况:

    安全攻击趋势

    下面从攻击类型分布和重点漏洞攻击分析2个纬度展示4月安全攻击趋势:
    攻击类型分布
    通过对拓客猫软件安全云脑日志数据分析可以看到,,,4月捕获攻击以WebServer漏洞利用、、系统漏洞利用、、、、Web扫描、、、、信息泄露和Webshell上传等分类为主。。。其中WebServer漏洞利用类型的占比更是高达52.30%,,,,有近亿的攻击次数;系统漏洞利用类型占比17.80%;Web扫描类型的漏洞占比7.60%。。
    主要攻击种类和比例如下:

    重点漏洞攻击分析
    通过对拓客猫软件安全云脑日志数据分析,针对漏洞的攻击情况筛选出4月攻击利用次数最高的漏洞TOP20。。。。
    其中攻击次数前三的漏洞分别是Apache Web Server ETag Header 信息泄露漏洞、、test.php、、test.aspx、、、、test.asp等文件访问检测漏洞和Microsoft Windows Server 2008/2012 - LDAP RootDSE Netlogon 拒绝服务漏洞,,,,攻击次数分别为21486195、、、18302033和18115723。。。。整体较上月均有下降。。。

    高危漏洞攻击趋势跟踪

    拓客猫软件安全团队对重要软件漏洞进行深入跟踪分析,,,近年来Java中间件远程代码执行漏洞频发,,,同时受永恒之蓝影响,,使得Windows SMB、、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。。。。
    2019年4月,,,,Windows SMB日志量达千万级,,,,近几月攻击持上升趋势,,其中拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多;Struts2系列漏洞攻击趋势近几月攻击次数波动较大,,,Weblogic系列漏洞的攻击也程波动状态,,,4月仅拦截不到四十万攻击日志;PHPCMS系列漏洞结束了前几月持续上升的趋势。。

    Windows SMB 系列漏洞攻击趋势跟踪情况:
    Struts 2系列漏洞攻击趋势跟踪情况:
    Weblogic系列漏洞攻击趋势跟踪情况:
    PHPCMS系列漏洞攻击趋势跟踪情况:

    网络安全漏洞分析

    全国网站漏洞类型统计

    拓客猫软件网站安全监测平台4月对国内已授权的5661个站点进行漏洞监控,,,4月发现的高危站点1991个,,,高危漏洞24495个,,,,漏洞类别里CSRF跨站请求伪造占比88%,,,详细高危漏洞类型分布如下:
    具体比例如下:

    篡改情况统计

    拓客猫软件网站安全监测平台4月共监控在线业务6724个,,,共识别潜在篡改的网站179个,,,篡改总发现率高达2.66%。。。 其中首页篡改120个,,,二级页面篡改46个,,多级页面篡改13个。。。。
    具体分布图如下图所示:

    上图可以看出,,网站首页篡改为篡改首要插入位置,,,成为黑客利益输出首选。。。。

    近期流行攻击事件及安全漏洞盘点

    流行攻击事件

    识别使用随机后缀的勒索病毒Golden Axe
    国外安全研究员在3月发现了一款名为Golden Axe的勒索病毒,,Golden Axe是一款用go语言编写的勒索病毒,,,,使用基于RSA公匙加密体系的邮件加密软件PGP开源代码对文件进行加密。。。
    具体详见:
    警惕!!GandCrab5.2勒索病毒伪装国家机关发送钓鱼邮件进行攻击
    4月,,包括金融行业在内的多家企业反馈,,,其内部员工收到可疑邮件。。。。邮件发件人显示为“National Tax Service”(译为“国家税务局”),,,邮箱地址为lijinho@cgov.us,,意图伪装成美国政府专用的邮箱地址gov.us,,,,邮件内容是传讯收件人作为被告审讯。。。。
    具体详见:
    手把手教你解密Planetary勒索病毒
    国外安全研究人员曝光了一种名为Planetary的勒索病毒家族,,该勒索病毒家族最早于2018年12月被发现,,,,使用AES-256加密算法加密文件,,,通常通过RDP爆破或垃圾邮件进行传播,,重点攻击对象是使用英语的用户群体,,,但在中国和日本地区都发现了遭到攻击的用户。。
    具体详见:
    linux挖矿病毒DDG改造后重出江湖蔓延Windows平台
    拓客猫软件安全团队在4月捕获了Linux、、windows双平台的挖矿病毒样本,,,,通过安全人员分析确认,,,,该木马是通过redis漏洞传播的挖矿木马DDG的最新变种,,,,使用当前最新的go语言1.10编译并且使用了大量的基础库文件,,该木马会大量消耗服务器资源,,难以清除并具有内网扩散功能。。
    具体详见:linux挖矿病毒DDG改造后重出江湖蔓延Windows平台
    【样本分析】门罗币挖矿+远控木马样本分析
    近期,,,,拓客猫软件安全团队在对可疑下载类样本进行分析时,,,,发现了一个门罗币挖矿和木马的双功能样本。。。该样本会在执行挖矿的同时,,,通过C2配置文件,,,,到指定站点下载具有远控功能的样本,,获取受害主机信息,,,并进一步控制受害主机。。
    具体详见:
    真假文件夹????FakeFolder病毒再次捣乱企业内网
    4月,,拓客猫软件安全团队接到客户反馈,,内网中出现了大量伪造成文件夹的可疑exe文件,,删掉以后仍会反复。。。。经分析发现,,这是一个蠕虫病毒FakeFolder,,,,该病毒会通过U盘及共享文件夹进行传播,,,,一旦主机感染了该病毒,,,,系统中的文件夹都会被隐藏,,,取而代之的是一个伪装的病毒文件,,,,当用户运行病毒文件时,,,也会弹出对应文件夹的窗口,,因此不易被察觉;只要系统中还残留着一个FakeFolder病毒文件,,,,就会对主机进行反复感染。。
    具体详见:
    警惕!!!利用Confluence最新漏洞传播的Linux挖矿病毒seasame
    4月,,拓客猫软件EDR产品率先检测到一款新型Linux挖矿木马,,,,经分析,,该病毒利用Confluence漏洞传播,,通过定时下载对病毒体进行保活,,同时由于病毒会杀掉包含“https://”、、、“https://”的进程,,,将导致用户无法下载文件及访问网页,,,,挖矿进程会导致服务器出现卡顿等异常现象。。。拓客猫软件安全团队根据其母体文件名将其命名为seasame。。
    具体详见:
    谨防“神秘人”勒索病毒X_Mister偷袭
    4月,,,国外某安全论坛公布了一款类似Globelmposter的新型勒索病毒,,此勒索病毒的某些行为与Globelmposter类似,,因联系邮箱中带有x_mister而被命名为X_Mister(“神秘人”)勒索病毒,,,,该勒索病毒使用RSA+DES算法加密文件,,自身不具备横向感染功能,,通常由攻击者对目标进行RDP爆破后手动投放,,或通过垃圾邮件传播,,,且加密完成后会进行自删除。。
    具体详见:谨防“神秘人”勒索病毒X_Mister偷袭
    警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种
    近期,,,,拓客猫软件安全团队捕获到利用Confluence新型漏洞传播勒索病毒的事件,,,已有政企机构受到攻击,,,,黑客团伙通过漏洞利用入侵服务器,,,上传Downloader脚本文件,,,连接C&C端下载运行勒索病毒。。。通过样本中提取的IP进行关联,,,该攻击事件与利用Confluence漏洞(CVE-2019-3396)传播GandCrab勒索病毒攻击事件有密切的关联。。
    具体详见:

    安全漏洞事件

    【漏洞预警】Apache HTTP Server组件提权漏洞(CVE-2019-0211)
    Apache HTTP Server官方发布了Apache HTTP Server 2.4.39版本的更新,,,,该版本修复了一个漏洞编号为CVE-2019-0211的提权漏洞,,漏洞等级高危,,根据拓客猫软件安全团队分析,,该漏洞影响严重,,,攻击者可以通过上传攻击脚本在目标服务器上进行提权攻击,,该漏洞在非*nix平台不受影响。。。
    具体详见:【漏洞预警】Apache HTTP Server组件提权漏洞(CVE-2019-0211)
    【攻击捕获】JeeCMS漏洞竟沦为黑产SEO的秘密武器???
    拓客猫软件安全感知平台在4月发现客户服务器中的文件遭篡改,,植入博彩页面。。经排查,,,,发现大量网页文件被篡改,,且被篡改的时间非常密集。。。
    具体详见:
    Apache Tomcat 远程代码执行漏洞(CVE-2019-0232)预警
    4月,,,,Apache Tomcat官方团队在最新的安全更新中披露了一则Apache Tomcat 远程代码执行漏洞(CVE-2019-0232)。。。漏洞官方定级为 High,,,属于高危漏洞。。该漏洞本质是在启用了enableCmdLineArguments的Windows上运行时,,,由于JRE将命令行参数传递给Windows的方式存在错误,,,,通过此漏洞,,CGI Servlet可以受到攻击者的远程执行代码攻击。。。
    具体详见:
    【漏洞预警】WebLogic任意文件上传漏洞(CVE-2019-2618)
    Oracle官方在最新的安全更新中披露了一则WebLogic任意文件上传漏洞(CVE-2019-2618)。。。漏洞官方定级为High,,,属于高危漏洞。。该漏洞本质是通过OAM认证后,,利用DeploymentService接口实现任意文件上传。。。攻击者可以利用该漏洞获取服务器权限。。。。
    具体详见:
    【漏洞预警】Spring Cloud Config目录遍历漏洞(CVE-2019-3799)
    Spring官方团队在最新的安全更新中披露了一则Spring Cloud Config目录遍历漏洞(CVE-2019-3799)。。。漏洞官方定级为 High,,,,属于高危漏洞。。该漏洞本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件,攻击者可以构造恶意URL实现目录遍历漏洞的利用。。。。
    具体详见:
    【漏洞预警】WebLogic wls-async 反序列化远程命令执行漏洞
    CNVD安全公告中披露了一则WebLogic wls-async 反序列化远程命令执行漏洞(CNVD-C-2019-48814)。。。。漏洞定级为 High,,,属于高危漏洞。。。。该漏洞本质是由于 wls9-async组件在反序列化处理输入信息时存在缺陷,,,,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,,,,获取服务器权限,,,,实现远程命令执行。。
    具体详见:【漏洞预警】WebLogic wls-async 反序列化远程命令执行漏洞

    安全防护建议

    黑客入侵的主要目标是存在通用安全漏洞的机器,,所以预防病毒入侵的主要手段是发现和修复漏洞,,拓客猫软件建议用户做好以下防护措施:

    杜绝使用弱口令,,,避免一密多用

    与系统、、应用相关的用户账号,,应杜绝使用弱口令,,,,同时使用高复杂强度的密码,,尽量是包含大小写字母、、、数字、、、特殊符号等的混合密码,,尽量避免一密多用的情况。。

    及时更新重要补丁和升级组件

    关注操作系统和组件的重大更新,,,如永恒之蓝漏洞。。。使用正确渠道,,,如微软官网,,,,及时更新对应补丁漏洞或者升级组件。。

    部署加固软件,,,,关闭非必要端口

    在服务器上部署安全加固软件,,通过限制异常登录行为、、、开启防爆破功能,,,防范漏洞利用,,,,同时限制服务器及其他业务服务网可进行访问的网络、、、主机范围。。。有效加强访问控制ACL策略,,,细化策略粒度,,按区域按业务严格限制各个网络区域以及服务器之间的访问。。采用白名单机制,,只允许开放特定的业务必要端口,,提高系统安全基线,,,,防范黑客入侵。。

    主动进行安全评估,,,加强人员安全意识

    加强人员安全意识培养,,不要随意点击来源不明的邮件附件,,不从不明网站下载软件,,,,对来源不明的文件,,,包括下载邮件附件、、、上传文件等要先杀毒处理。。。。定期开展对系统、、、应用以及网络层面的安全评估、、渗透测试以及代码审计工作,,主动发现目前系统、、、、应用存在的安全隐患。。

    建立威胁情报分析和对抗体系,,,有效防护病毒入侵

    网络犯罪分子采取的战术策略也在不断演变,,,其攻击方式和技术更加多样化。。。为了有效预防和对抗海量威胁,,,需要选择更强大和更智能的防护体系。。。

    拓客猫软件下一代安全防护体系(拓客猫软件安全云、、、拓客猫软件下一代防火墙AF、、、拓客猫软件安全感知平台SIP、、拓客猫软件终端检测与响应平台EDR)通过联动云端、、、、网络、、、终端进行协同响应,,,,建立事前检测预警、、、事中防御、、、、事后响应的全面安全防护体系。。云端持续趋势风险监控与预警、、、网络侧实时流量检测与防御、、终端事后查杀与溯源,,深度挖掘用户潜在威胁,,,立体全方位确保用户网络安全。。
    站点地图