本站使用 Cookies,继续浏览表示您同意我们使用 Cookies。 Cookies 和隐私政策

  • 2019-03-15

纯干货|网络安全态势洞察报告2019-02

网络安全情况概述


2019年2月,整体而言互联网网络安全状况指标平稳,但依然面临着严峻的考验。一方面,老病毒和漏洞经久不衰,新的安全事件层出不穷,利用“驱动人生”供应链传播的木马病毒升级变异,以及WinRAR压缩软件曝出高危漏洞,影响范围广泛;另一方面,被攻击的设备场景影响不断扩大,包括NVR(视频监控)设备场景、IoT设备场景等都面临着被病毒进一步入侵的风险。但监测数据显示,网站攻击和网站漏洞数量连续多个月上升之后在本月放缓。


2月,深信服安全云脑累计发现:

  • 恶意攻击14.1亿次,平均每天拦截恶意程序5037万次。
  • 活跃恶意程序15961个,其中感染性病毒6836个,占比42.83%;木马远控病毒5320个,占比33.33%。挖矿病毒种类443个,拦截次数9.16亿次,较之前有所下降,其中Xmrig病毒家族最为活跃

深信服全网安全态势感知平台对国内已授权的6996个站点进行漏洞监控,发现:

  • 高危站点2463个,高危漏洞5888个,主要漏洞类别是点击劫持、CSRF跨站请求伪造和信息泄露
  • 监控在线业务5870个,共有249个在线业务发生过真实篡改,篡改占比高达4.24%

恶意程序活跃详情


2019年2月,病毒攻击的态势在本月有所缓解,病毒拦截量比1月份下降近20%,近半年拦截恶意程序数量趋势如下图所示:


2019年2月,深信服安全云脑检测到的活跃恶意程序样本有15961个,较1月份明显下降,其中感染性病毒6836个,占比42.83%;木马远控病毒5320个,占比33.33%,挖矿病毒443个,占比1.37%。

2月总计拦截恶意程序14.1亿次,比1月份下降20%,其中挖矿病毒的拦截量占比65%,其次是感染型病毒(14%)、木马远控病毒(11%)、蠕虫(6%)、后门软件(3%),具体分布如下图所示:


挖矿病毒活跃情况


2019年2月,深信服安全云脑共拦截挖矿病毒9.16亿次,比一月份下降14%,其中最为活跃的挖矿病毒家族是Xmrig、Wannamine、Minepool、Bitcoinminer、Zombieboyminer、Falsesign,特别是Xmrig家族,共拦截4.12亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东、浙江、北京等地,其中广东省感染量依然是全国第一,感染比例上升1%。


被挖矿病毒感染的行业分布中,政府受挖矿病毒感染情况最为严重,感染比例和1月基本持平,其次是企业和教育行业。


感染性病毒活跃状况


2019年2月,深信服安全云脑检测并捕获感染性病毒样本6836个,共拦截19147万次。其中Virut家族是成为本月攻击态势最为活跃的感染性病毒家族,共被拦截8418万次,此家族占了所有感染性病毒拦截数量的44%;而排名第二第三的是RamnitSality家族,本月拦截比例分别是为37%和11%。


在感染性病毒危害地域分布上,广东省(病毒拦截量)位列全国第一,占TOP10总量的28%,其次为浙江省和湖南省


从感染性病毒攻击的行业分布来看,黑客更倾向于使用感染性病毒攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占拦截总量的75%,具体感染行业分布如下图所示:


木马远控病毒活跃状况


深信服安全云脑2月检测到木马远控病毒样本5320个,共拦截15271万次,拦截量较1月下降22%。其中最活跃的木马远控家族是Zusy,拦截数量达2405万次,其次是XorDDos、Injector。Glupteba病毒感染趋势下降,本月拦截量占木马远控病毒的比例为7.38%。


对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占TOP10拦截量的21%,比1月份下降4%;其次为浙江(17%)、北京(14%)、四川(11%)湖北(7%)。此外江苏、山东、上海、福建、山西的木马远控拦截量也排在前列。


行业分布上,企业、政府及教育行业是木马远控病毒的主要攻击对象。其中企业占TOP10拦截量的32%,较1月份基本持平。


蠕虫病毒活跃状况


2019年2月深信服安全云脑检测到蠕虫病毒样本1185个,共拦截8901万次,但通过数据统计分析来看,大多数攻击都是来自于Gamarue、Jenxcus、Dorkbot、Mydoom、Palevo、Vobfus、Buzus、Phorpiex、Ngrbot家族,这些家族占据了2月全部蠕虫病毒攻击的98.8%,其中攻击态势最活跃的蠕虫病毒是Gamarue,占蠕虫病毒攻击总量的85%。


从感染地域上看,广东地区用户受蠕虫病毒感染程度最为严重,其拦截量占TOP10比例的33%;其次为江苏省(14%)、湖南省(12%)


从感染行业上看,企业、政府等行业受蠕虫感染程度较为严重。


勒索病毒活跃状况


2019年2月,共检测到活跃勒索病毒样本量115个。其中,Wannacry、Razy、Gandcrab、Revenge、Teslacrypt、Locky、Mamba等依然是最活跃的勒索病毒家族,其中Wannacry家族本月拦截数量有1156万次,危害依然较大。

从勒索病毒倾向的行业来看,企业和政府感染病毒数量占总体的52%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:


从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是福建省和浙江省

网络安全攻击趋势分析


深信服全网安全态势感知平台监测到全国34808个IP在2月所受网络攻击总量约为6亿次。本月攻击态势与前三个月相比明显下降。下图为近半年深信服网络安全攻击趋势监测情况:


本月安全攻击趋势

下面从攻击类型分布和重点漏洞攻击分析2个纬度展示本月现网的攻击趋势:


攻击类型分布

通过对云脑日志数据分析可以看到,2月捕获攻击以系统漏洞利用攻击、Web扫描、WebServer漏洞利用、信息泄露攻击、Webshell上传、Dns服务器漏洞攻击和暴力破解等分类为主。其中系统漏洞利用类型的占比更是高达36.70%,有近亿的命中日志;Web扫描类型的漏洞占比29.10%;WebServer漏洞利用类型均占比13.30%。此外,信息泄露攻击、Webshell上传等攻击类型在2月的攻击数量有所增长。

主要攻击种类和比例如下:


重要漏洞攻击分析

通过对云脑日志数据分析,针对漏洞的攻击情况筛选初本月攻击利用次数TOP20的漏洞。

其中攻击次数前三的漏洞分别是test.php、test.aspx、test.asp等文件访问检测漏洞、服务器目录浏览禁止信息泄露漏洞和Apache Web Server ETag Header信息泄露漏洞,攻击次数分别为59,185,795、20,276,680和18,424,531。


篡改攻击情况统计


2月共监控在线业务5870个(去重),共检测到249个网站发生真实篡改,篡改总发现率高达4.24%。

其中博彩、色情、游戏类篡改是黑帽SEO篡改的主流类型。相比过去,医疗、代孕广告类数量减少,可能和监管机关对非正规医疗机构推广限制有关。

此外,近期呈现一种重要的网站黑帽SEO趋势:注册已经被政府机关抛弃但曾用过的域名用来搭建博彩等暴利网站,大量政府机关含有旧域名链接的网页就成了非法站点的天然外链,被利用提升其PR值。


高危漏洞攻击趋势跟踪


深信服安全团队对重要软件漏洞进行深入跟踪分析,近年来Java中间件远程代码执行漏洞频发,同时受“永恒之蓝”影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。

2019年2月,Windows SMB日志量达千万级,近几月攻击态势持缓步上升趋势;Weblogic系列漏洞的攻击趋势近几月持续降低,Weblogic系列漏洞利用热度降低;Struts2系列漏洞,PHPCMS系列漏洞本月攻击次数大幅上升,近期应重点关注。

  • Windows SMB 系列漏洞攻击趋势跟踪情况


  • Struts 2系列漏洞攻击趋势跟踪情况


  • Weblogic系列漏洞攻击趋势跟踪情况


  • PHPCMS系列漏洞攻击趋势跟踪情况

网络安全漏洞分析

本月漏洞收集情况

2019年2月深信服安全团队通过自动化手段筛选并收录国内外重点漏洞168条,包含34条0day漏洞。二月漏洞收集数量较1月相比有所上升

对所收集的重要漏洞的攻击方法进行统计,可以看到,信息泄露类型的漏洞所占比例最大(23%),其次代码执行,跨站点脚本攻击,验证绕过,缓冲区溢出和权限升级等类型的漏洞也占比排名考靠前。

全国网站漏洞类型统计


深信服云眼网站安全监测平台在2月对国内已授权的6966个站点进行漏洞监控,发现的高危站点2463个,高危漏洞5888个,漏洞类别占比前三的分别是点击劫持、CSRF跨站请求伪造和信息泄露。高危漏洞类型分布如下:

具体比例如下: