本站使用 Cookies,继续浏览表示您同意我们使用 Cookies。 Cookies 和隐私政策

纯干货 | 网络安全态势洞察报告2019-07

2019年7月,互联网网络安全状况整体指标平稳,从各类监测数据显示,无论是恶意程序攻击、网络安全攻击还是高危漏洞数量,各项指标相对6月均有不同程度的下降。

另一方面,从深信服安全云脑捕获的攻击事件来看,7月几个大的安全事件均由邮件钓鱼攻击导致,多个行业和单位受到损害。鱼叉式网络钓鱼是盗取用户凭证和各种敏感信息的惯用伎俩,当前看来该类方法依然奏效。深信服安全团队提醒大家不要点击来历不明的邮件,注意加强安全防护意识。

7月,深信服安全云脑累计发现:

  • 恶意攻击17.68亿次,平均每天拦截恶意程序5863万次。活跃恶意程序28912个,其中感染型病毒4963个,占比17.17%;木马远控病毒13977个,占比48.34%。
  • 挖矿病毒种类472个,拦截次数10.52亿次,较6月上升0.6%,其中WannaMine病毒家族最为活跃。 

深信服漏洞监测平台对国内已授权的6549个站点进行漏洞监控,发现:

  • 高危站点3976个,高危漏洞135820个,漏洞类别主要是CSRF跨站请求伪造,信息泄露和XSS注入,共占比86%。
  • 监控在线业务8260个,共识别潜在篡改的网站有96个,篡改总发现率高达1.16%。

恶意程序活跃详情

2019年7月,病毒攻击的态势呈现下降态势,病毒拦截量比6月份下降约7.7%,近半年拦截恶意程序数量趋势如下图所示:

2019年7月,深信服安全云脑检测到的活跃恶意程序样本有28912个,其中木马远控病毒13977个,占比48.34%,蠕虫病毒7079个,占比24.48%,感染型病毒4963个,占比17.17%,勒索病毒511个,占比1.77%,挖矿病毒472个,占比1.63%。

7月总计拦截恶意程序17.68亿次,其中挖矿病毒的拦截量占比59.48%,其次是木马远控病毒(14.80%)、蠕虫病毒(10.95%)、感染型病毒(7.61%)、后门软件(6.59%)、勒索病毒(0.39%)。

勒索病毒活跃状况

2019年7月,共拦截勒索病毒数量683万次。其中,WannaCry、RazyCrypt、GandCrab依然是最活跃的勒索病毒家族,其中WannaCry家族7月拦截数量有583万次,危害依然较大。

从勒索病毒倾向的行业来看,企业感染病毒数量占总体的31%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:

从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是四川省和陕西省。




挖矿病毒活跃现状

2019年7月,深信服安全云脑共拦截挖矿病毒10.52亿次,其中最为活跃的挖矿病毒是WannaMineMinePoolXmrig,特别是WannaMine家族,共拦截4.71亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东省、北京市、浙江省等地,其中广东省感染量第一。

被挖矿病毒感染的行业分布如下图所示,其中企业受挖矿病毒感染情况最为严重。

感染型病毒活跃状况

2019年7月,深信服安全云脑检测并捕获感染型病毒样本4963个,共拦截1.17亿次。其中Virut家族是成为7月攻击态势最为活跃的感染型病毒家族,共被拦截7143万次,此家族占了所有感染型病毒拦截数量的61.27%;而排名第二第三的是Sality和Wapomi家族,7月拦截比例分别是为23.86%和4.98%。7月感染型病毒活跃家族TOP榜如下图所示:

在感染型病毒危害地域分布上,广东省病毒拦截量位列第一,占TOP10总量的39%,其次为浙江省和江苏省。

从感染型病毒攻击的行业分布来看,黑客更倾向于使用感染型病毒攻击企业、教育等行业。企业、教育的拦截数量占感染型病毒拦截总量的76%,具体感染行业分布如下图所示:

木马远控病毒活跃状况

深信服安全云脑在7月检测到木马远控病毒样本13977个,共拦截2.62亿次。其中最活跃的木马远控家族是Drivelife,拦截数量达6092万次,其次是Siscos、Injector。具体分布数据如下图所示:

对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占TOP10拦截量的26%;其次为北京市(14%)、广西壮族自治区(11%)、浙江省(11%)和山东省(7%)。此外湖南省、四川省、江苏省、上海市、福建省的木马远控拦截量也排在前列。

行业分布上,企业、教育行业是木马远控病毒的主要攻击对象。

蠕虫病毒活跃状况

2019年7月深信服安全云脑检测到蠕虫病毒样本7079个,共拦截1.94亿次,但通过数据统计分析来看,大多数攻击都是来自于Ramnit、Gamarue、Jenxcus、Dorkbot、Faedevour、Morto、Small家族,这些家族占据了7月全部蠕虫病毒攻击的96%,其中攻击态势最活跃的蠕虫病毒是Ramnit,占蠕虫病毒TOP10总量的49%。

从感染地域上看,广东省地区用户受蠕虫病毒感染程度最为严重,其拦截量占TOP10总量的28%;其次为湖南省(12%)、浙江省(10%)。

从感染行业上看,企业、教育等行业受蠕虫感染程度较为严重。

网络安全攻击趋势分析

深信服全网安全态势感知平台监测到全国36584个IP在7月所受网络攻击总量约为4.3亿次。7月攻击态势较上月有明显下降。下图为近半年深信服网络安全攻击趋势监测情况:

安全攻击趋势

下面从攻击类型分布和重点漏洞攻击分析2个维度展示7月现网的攻击趋势:

  • 攻击类型分布

通过对云脑日志数据分析可以看到,7月捕获攻击以WebServer漏洞利用、系统漏洞利用、信息泄漏、Web扫描、数据库漏洞利用等分类为主。其中WebServer漏洞利用类型的占比高达41.73%,攻击次数达1.7亿多次;系统漏洞利用类型均占比21.84%。

主要攻击种类和比例如下:

  • 重点漏洞攻击分析

通过对深信服安全云脑日志数据分析,针对漏洞的攻击情况筛选出7月攻击利用次数最高的漏洞TOP20。

其中漏洞被利用次数前三的漏洞分别是Apache HTTP Server mod_log_config 远程拒绝服务漏洞(保持不变)、Nginx URI Processing安全绕过漏洞和Apache Web Server ETag Header 信息泄露漏洞,命中次数分别为58527778、44965615和36628816。

高危漏洞攻击趋势跟踪

深信服安全团队对重要软件漏洞进行深入跟踪分析,近年来Java中间件远程代码执行漏洞频发,同时受永恒之蓝影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。

2019年7月,Windows SMB日志量仍达千万级,但结束了近几月持续上升的攻击趋势,其中依旧是拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多;Struts2系列漏洞近几月攻击次数在一千万至两千万之间波动,趋势较为平缓;Weblogic系列漏洞的攻击总体呈波动状态,本月有小幅上升;PHPCMS系列漏洞攻击次数近几月持续下降。

Windows SMB 系列漏洞攻击趋势跟踪情况:

Struts2系列漏洞攻击趋势跟踪情况:

Weblogic系列漏洞攻击趋势跟踪情况:

PHPCMS系列漏洞攻击趋势跟踪情况:

网络安全漏洞分析

全国网站漏洞类型统计

深信服网站安全监测平台7月对国内已授权的6549个站点进行漏洞监控,发现高危站点3976个,高危漏洞135820个,漏洞类别主要是CSRF跨站请求伪造,信息泄露和XSS注入,总占比86.50%,详细高危漏洞类型分布如下:

具体比例如下:

篡改情况统计

7月总监控在线业务8260个(去重),共识别潜在篡改的网站有96个(去重),篡改总发现率为1.16%。 其中首页篡改19个,二级页面篡改38个,多级页面篡改39个。

具体分布图如下图所示: