本站使用 Cookies,继续浏览表示您同意我们使用 Cookies。 Cookies 和隐私政策

  • 2019-02-28

纯干货|网络安全态势洞察报告2019-01

网络安全状况概述


2019年1月,整体而言,互联网网络安全状况指标平稳。从行业角度看,
针对医疗和服务业的攻击逐步增多,原因是这些行业拥有数据的价值正在增加。另一方面,勒索病毒作为破坏性最强、影响面广泛的一类恶意程序,该月出现多种勒索病毒变种肆虐,勒索病毒感染正处于愈演愈烈的态势,个人或企业应做好安全防护措施。此外,根据监测数据发现,网站攻击和网站漏洞数量在1月有所缓减,信息泄漏为目的的漏洞攻击形势依然较为严峻。

1月,深信服安全云脑累计发现:

  • 恶意攻击17.6亿次,平均每天拦截恶意程序5688万次。
  • 活跃恶意程序54993个,其中僵尸网络23730个,占比43.15%;木马远控病毒20162个,占比36.66%。活跃挖矿病毒种类704个,拦截次数10.71亿次,较之前有持续增长,其中NrsMiner变种非常活跃。

深信服漏洞监测平台对国内已授权的7329个站点进行漏洞监控,发现:

  • 高危站点2505个,其中高危漏洞5792个,主要漏洞类别是点击劫持、CSRF跨站请求伪造和信息泄露
  • 监控在线业务5870个,其中有246个在线业务发生过真实篡改,篡改占比高达4.19%

恶意程序活跃详情


2019年1月,深信服安全云脑检测到的活跃恶意程序样本有54993个,其中僵尸网络23730个,占比43.15%;木马远控病毒20162个,占比36.66%,挖矿病毒704个,占比1.28%。

1月总计拦截恶意程序17.6亿次,其中挖矿病毒的拦截量占比61%,其次是感染型病毒(16%)、木马远控病毒(11%)、蠕虫(7%)、后门软件(3%)、勒索软件(1%),由下图可知,挖矿病毒的拦截比例依然较大。

▲2019年1月恶意程序拦截量按类型分布

挖矿病毒活跃情况


2019年1月,深信服安全云脑共捕获挖矿病毒样本704个,拦截挖矿病毒10.71亿次,其中最为活跃的挖矿病毒是NrsMiner、MinePool、Xmrig、BitCoinMiner、WannaMine,特别是1月爆发的NrsMiner家族,共拦截4.38亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东、浙江、北京等地,其中广东省感染量全国第一。

▲2019年1月挖矿病毒活跃地域Top10


被挖矿病毒感染的行业分布如下图所示,其中企业受挖矿病毒感染情况最为严重,其次是政府教育行业。

▲2019年1月挖矿病毒感染行业TOP10


基于深信服对挖矿病毒主要特征的总结,发现黑客入侵挖矿的主要目标是存在通用安全漏洞的机器,所以预防入侵挖矿的主要手段就是发现和修复漏洞

1)根据业务情况尽量关闭非业务需要的端口,对于开放在外网上的服务,即使因为业务,也应限制访问来源。

2)建议关注操作系统和组件重大更新,如 WannaCry 传播使用的永恒之蓝漏洞,及时更新补丁或者升级组件。

3)为预防密码暴力破解导致的入侵,应更换默认的远程登录端口,设置复杂的登录密码,或者放弃使用口令登录,改使用密钥登录。

4)自检服务器上部署的业务,进行渗透测试,及早发现并修复业务漏洞,避免成为入侵点。

5)使用深信服下一代防火墙、EDR等安全产品,实时检测发现服务器上的安全漏洞并且及时修复。

此外,针对已经被入侵挖矿的情况,建议及时清理挖矿进程和恶意文件,同时排查入侵点并修复,从源头上进行有效解决。


僵尸网络病毒活跃情况


2019年1月,深信服安全云脑检测并捕获僵尸网络样本20162个,共拦截8756万次。其中Andromeda家族是成为本月攻击态势最为活跃的僵尸网络家族,共被拦截2732万次,此家族占了所有僵尸网络拦截数量的31%;而排名第二第三的Aenjaris和Moto家族拦截量呈现大幅增加,本月拦截比例分别是为15%和14%。1月份僵尸网络活跃家族TOP榜如下图所示:

▲2019年1月僵尸网络活跃家族拦截数量TOP10


在僵尸网络危害地域分布上,广东省(病毒拦截量)位列全国第一,占TOP10总量的38%,其次为浙江省内蒙古自治区

▲2019年1月僵尸网络活跃地区TOP10


从僵尸网络攻击的行业分布来看,黑客更倾向于使用僵尸网络攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占僵尸网络TOP10拦截总量的80%,具体感染行业TOP分布如下图所示:

▲2019年1月僵尸网络感染行业TOP10

 

木马远控病毒活跃状况


深信服安全云脑1月检测到木马远控病毒样本18501个,共拦截19612万次。其中最活跃的木马远控家族是Glupteba,拦截数量达3146万次,其次是XorDDos、Zusy。具体分布数据如下图所示:

▲2019年1月木马远控毒活跃家族TOP10


对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占TOP10拦截量的 25%;其次为浙江(16%)、北京(12%)、四川(11%)和江苏(8%)。此外湖北、山东、上海、福建、湖南的木马远控拦截量也排在前列。

▲2019年1月木马远控活跃地区TOP10


行业分布上,企业政府科研教育行业是木马远控病毒的主要攻击对象。

▲2019年1月木马远控病毒感染行业TOP10

 

蠕虫病毒活跃状况


2019年1月深信服安全云脑检测到蠕虫病毒样本2156个,共拦截8955万次,但通过数据统计分析来看,大多数攻击都是来自于Gamarue、Jenxcus、DorkBot、Palevo、Citeary、Vobfus、Conficker、Brontok、NgrBot家族,这些家族占据了1月全部蠕虫病毒攻击的98.9%,其中攻击态势最活跃的蠕虫病毒是Gamarue,占蠕虫病毒攻击总量的76%。

▲2019年1月蠕虫病毒活跃家族TOP10


从感染地域上看,广东地区用户受蠕虫病毒感染程度最为严重,其拦截量占TOP10比例的24%;其次为江西省(22%)、湖南省(13%)

▲2019年1月蠕虫病毒活跃地域TOP10


从感染行业上看,企业、教育等行业受蠕虫感染程度较为严重。

▲2019年1月蠕虫病毒感染行业分布TOP10

 

勒索病毒活跃状况


2019年1月,共检测到活跃勒索病毒样本量292个。其中,WannaCry、Razy、GandCrab、TeslaCrypt、Mamba、Locky依然是最活跃的勒索病毒家族,其中WannaCry家族本月拦截数量有300万次,危害依然较大。

从勒索病毒倾向的行业来看,企业和政府感染病毒数量占总体的55%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:

▲2019年1月勒索病毒感染行业TOP10

 

从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是浙江省福建省

▲2019年1月勒索病毒活跃地域TOP10


网络安全攻击趋势分析


深信服全网安全态势感知平台监测到全国30692个IP在1月内所受网络攻击总量约为12亿次。下图为近半年深信服网络安全攻击趋势监测情况:

▲近半年网络安全攻击趋势情况

 

本月安全攻击趋势


下面从攻击类型分布和命中情况分析2个纬度展示本月现网的攻击趋势:

攻击类型分布

通过对云脑日志数据分析可以看到,1月捕获攻击以Web扫描、WebServer漏洞利用、操作系统漏洞利用攻击和信息泄露攻击分类为主,以上四类攻击日志数占总日志数的73%。其中Web扫描类型的漏洞更是达到了26.73%,有近亿的命中日志;WebServer漏洞利用和操作系统漏洞利用攻击类型均占比18%。此外,信息泄露攻击、Webshell上传、SQL注入等攻击类型在1月的攻击数量有所增长。

▲2019年1月攻击类型分布

主要攻击种类和比例如下:


针对性漏洞攻击分析

(1)针对WEB漏洞的攻击情况分析统计

其中遭受攻击次数前三对应的漏洞分别是test.php、test.aspx、test.asp等文件访问检测漏洞、SQL注入攻击双引号语句检测漏洞和服务器目录浏览禁止信息泄露漏洞,攻击次数分别为75,352,863、21,599,200和21,182,625。

(2)针对系统中间件类漏洞的命中情况分析统计

通过对日志数据分析可以看到其中遭受攻击次数前三的漏洞分别是Microsoft Windows SMB Server SMBv1信息泄露漏洞、NTP Ntp_request.c 远程拒绝服务漏洞和Microsoft IIS畸形本地文件名安全绕过漏洞。

高危漏洞攻击趋势跟踪

深信服安全团队对重要软件漏洞进行深入跟踪分析,近年来Java中间件远程代码执行漏洞频发,同时受永恒之蓝影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式,2019年1月,Windows SMB日志量达千万级,相比上月小幅上升;Struts2系列漏洞,Weblogic系列漏洞和PHPCMS系列漏洞的攻击次数本月均大幅度减少。相关用户应重点关注。

  • Windows SMB 系列漏洞攻击趋势跟踪情况

  • Struts 2系列漏洞攻击趋势跟踪情况

  • Weblogic系列漏洞攻击趋势跟踪情况

  • PHPCMS系列漏洞攻击趋势跟踪情况


网络安全漏洞分析

本月漏洞收集情况

2019年1月深信服安全团队通过自动化手段筛选并收录国内外重点漏洞115条,其中WEB应用漏洞36条,操作系统漏洞50条,网络设备漏洞2条,服务器漏洞4条,客户端漏洞23条。收录的重要漏洞中包含34条0day漏洞。

从收集的重要漏洞分析攻击方法分布,可以看到,占比排名前三的分别是代码执行,信息泄露,和权限升级,分别占比20%,19%和15%,三类攻击方法占总数为54%;跨站点脚本攻击,验证绕过,内存损坏,拒绝服务攻击和缓冲区溢出的占比情况也排名靠前。

全国网站漏洞收集情况

深信服云眼网站安全监测平台本月对国内已授权的4282个站点进行漏洞监控,近一个月内发现的高危站点1364个,高危漏洞23477个,主要漏洞类别是信息泄露、XSS和CSRF跨站请求伪造等。高危漏洞类型分布如下:

具体比例如下:

篡改情况统计

1月共监控在线业务5870个(已去重),共检测到246个(已去重)个网站发生真实篡改,篡改总发现率高达4.19%。其中有202个识别为首页篡改,13个识别为二级目录篡改,31个识别为二层级以上的多层级篡改。

具体分布图如下图所示:

从上图可以看出,网站首页篡改为篡改首要插入位置,成为黑客利益输出首选。

猜你喜欢