-
2019-11-07
-
纯干货 | 2019 Q3网络安全态势报告
网络安全状况概述
第三季度发现感染范围较大的勒索病毒是GlobeImposter和Sodinokibi家族,攻击次数最多的家族是WannaMine挖矿病毒;2019年第三季度新增漏洞呈现上升趋势;CSRF跨站请求伪造以及信息泄露问题位居漏洞数量前列。
具体情况如下:- 恶意程序方面
勒索软件的攻击趋势整体呈波动增加态势,其投放速度加快,版本迭代更加敏捷;季度加密数字货币价格的波动下降,恶意挖矿攻击也出现缓减,WannaMine、Xmrig、CoinMiner家族仍然流行;供应链木马的活跃程度增加明显,其中广东地区拦截数量最多。
- 网站安全态势方面
第三季度网站攻击总量整体较之前下降明显,捕获攻击类型以Web扫描、信息泄露和Webshell攻击利用等分类为主。
- 漏洞态势方面
2019年第三季度新增漏洞数量平均每月1738个,相比之前前半年每月有明显增加,而高危以上漏洞新增数量保持稳定。漏洞类型中以信息发现、链接失效和CSRF跨站请求为主;跟踪的主要漏洞中,Weblogic系列漏洞的攻击总体呈波动状态,攻击数量大幅上升。
恶意程序安全态势
勒索软件--季度持续活跃,迭代更频繁
近几年勒索软件是最有利可图的恶意软件类型之一。最初,恶意攻击主要目的是盗取信息,并保持对资源及系统的长期访问。但是勒索软件的出现改变了这一情况,从暗中访问变成明目张胆地敲诈勒索。同时比特币等加密数字货币的快速发展,使得恶意攻击者可以轻易逃避被追踪的风险,从而轻松获利,并为下一代勒索软件的开发提供资金支持。
根据2019年第三季度深信服安全团队跟踪的一些勒索病毒及响应的勒索攻击案例,发现不管是之前的GandCrab 勒索病毒,还是现在的GlobeImposter,都是采用RaaS(勒索软件即服务)模式进行分发,病毒开发投放速度更快。GlobeImposter变种,GlobeImposter2.0变种、“十二生肖”以及“十二主神”等,均是在短短几个月内不断更新变种。下图是深信服安全团队跟踪Globelmposter勒索病毒的时间线,可以看出勒索病毒的投放速度快,版本迭代频繁:
▲Globelmposter勒索病毒演进时间线
3月总计拦截恶意程序16.31亿次,其中挖矿病毒的拦截量占比60.24%,其次是感染型病毒(16.4%)、木马远控病毒(12.29%)、蠕虫病毒(6.71%)、后门软件(3.01%)、勒索病毒(1.21%)。
▲2019年第三季度勒索病毒攻击趋势
- 高发勒索家族
在2019年第三季度,从勒索病毒家族的数据中发现了一些细微变化:Sodinokibi作为GandCrab勒索病毒的“继承者”,本季度活跃度明显提升,跻身第三季度高发家族前列;WannaCry虽然已经爆发许久,但是仍有较多用户不注意修复漏洞,仍然会被该病毒“光顾”。国内高发的勒索病毒家族主要有Sodinokibi、Globelmposter、WannaCry、CrySiS、CryptON等:
▲2019年第三季度高发勒索病毒家族
- 行业分布
勒索病毒攻击目标来看,企业、科研教育成为勒索病毒的主要目标行业,拦截总占比达到51%;在企业受害用户中,文件服务器、财务服务器等存储重要数据文件的服务器通常是攻击者的首要目标:
▲ 勒索病毒感染行业分布
- 攻击传播方式
从深信服第三季度应急响应的大量案例上看,RDP暴力破解仍是使用最广泛的攻击方式。恶意攻击者一般首先通过爆破的方式得到公网某台机器的远程桌面登陆口令,操作上传病毒后,然后利用这台机器作为跳板进行内网横向移动,经常会发现在被入侵的系统内部会有多台设备同时被感染相同的勒索病毒。因此,将服务器3389端口映射到公网并使用简单密码,非常容易受到病毒入侵。
勒索病毒攻击方式如下:
▲勒索病毒攻击方式分布
挖矿病毒--加密货币价格波动下降,恶意挖矿行为放缓
近几年,利用加密数字货币的攻击主要是在勒索软件和恶意挖矿木马上,而恶意挖矿攻击已经逐渐超过勒索攻击成为针对加密数字货币的主要威胁。相比勒索获得的经济,加密货币挖矿的收入更加具有持续性,并且风险更小,越来越多的恶意攻击者逐渐转为兜售风险较低的加密货币挖矿软件。随着季度加密数字货币价格的波动下降,近期恶意挖矿攻击出现小幅下降。
- 挖矿流量拦截趋势
虽然第三季度恶意挖矿攻击数量存在波峰和波谷,但从深信服在DNS层上观察到的与恶意加密货币挖矿相关的流量总量看来,加密货币挖矿活动呈逐步下降的态势。
▲2019年挖矿流量拦截情况
▲2019年第三季度比特币价格走势
由于虚拟货币易于部署且发现之后造成的风险较低,恶意攻击者仍在继续推动恶意加密挖矿活动。恶意挖矿相关的病毒在未来一段时间内仍会保持热门。
- 挖矿木马家族及攻击方式
恶意加密货币挖矿软件可以通过各种方式进入用户的环境,例如以下几种:
▲感染挖矿病毒的几种方式
活跃挖矿木马家族包括CoinMiner、WannaMine、Xmrig、BitcoinMiner、Tanlang、ShadowMiner、ZombieBoyMiner、Myking、Malxmr和Bluehero,分布比例如下图所示。
▲挖矿病毒活跃TOP家族
- 恶意挖矿拦截量地域分布
在挖矿木马拦截地域分布上,广东省挖矿病毒全国拦截量第一,占TOP20总量的19.58%,其次为浙江省和北京市。
▲2019年第三季度挖矿病毒拦截情况
- 挖矿病毒主要拦截行业分布
从防御者的角度来看,恶意加密货币挖矿值得高度关注。与计算机上的任何软件一样,恶意加密货币将对整体系统性能产生负面影响。黑客会想尽一切手段利用有网络配置或整体安全策略安全漏洞的主机/服务器。
从挖矿病毒拦截行业分布来看,恶意攻击者更倾向于攻击企业、政府、教育行业。企业的拦截数量占拦截总量的41.67%,具体拦截行业分布如下图所示:
▲挖矿病毒拦截行业分布
木马远控--供应链木马活跃程度持续增加
- 木马远控各家族拦截情况
▲远控木马病毒各家族拦截量
- 木马远控病毒区域拦截情况
▲木马远控病毒拦截地区分布
- 木马远控病毒行业拦截情况
行业分布上,企业、科研教育及政府行业是木马远控病毒的主要攻击对象。
▲木马远控病毒拦截行业分布
蠕虫病毒--政企及科研教育单位易感染
- 蠕虫病毒家族拦截情况
▲蠕虫病毒TOP家族拦截量
- 蠕虫病毒拦截地域分布
从蠕虫病毒拦截地域上看,广东省地区拦截量占TOP10总量的20.62%;其次为北京市(9.07%)、湖南省(8.91%)。
▲蠕虫病毒TOP地区拦截量
- 蠕虫病毒拦截行业分布
从蠕虫病毒拦截行业上看,企业、科研教育等行业拦截数量占比较高。
▲蠕虫病毒拦截行业分布
网站安全态势
网站安全攻击量有下降,信息泄露问题占比依然重
▲近半年网络安全攻击趋势情况
▲ 2019年第三季度网站攻击类型分布
▲详细攻击种类和比例
北京地区拦截的网站攻击次数最多
对深信服监测到的全国各区域第三季度拦截的网站攻击数量进行统计分析,排名前三的区域分别是北京、广东和云南。企业、政府及科研教育行业拦截的攻击数量最多。
售前咨询
售后咨询
申请合作
联系我们
