纯干货 | 网络安全态势洞察报告2019-03-深信服

新闻中心

新闻中心 > 纯干货 | 网络安全态势洞察报告2019-03

纯干货 | 网络安全态势洞察报告2019-03

2019-04-22 00:00:00

网络安全状况概述

2019年3月，互联网网络安全状况整体指标平稳，但有几个特征值得关注。一方面，是勒索病毒依然猖獗，深信服安全云脑监测到Globelmposter、GandCrab、Crysis等病毒活跃热度居高不下，变种层出不穷，近期出现Globelmposter 4.0、GandCrab 5.2等勒索变种。用户一旦遭受勒索病毒攻击，绝大多数文件将被加密，且大多暂时无法解密，造成无法估量的损失；另一方面，APT（高级持续性威胁）活跃程度在3月有所增加，针对性攻击更加明显，各厂商也在密切关注，攻防博弈战激烈上演。此外，监测数据显示，网站攻击数量在3月持续放缓，但网站漏洞问题依然严峻。

3月，深信服安全云脑累计发现：

恶意攻击16.31亿次，平均每天拦截恶意程序5261万次。
活跃恶意程序24439个，其中感染型病毒4134个，占比16.92%；木马远控病毒7539个，占比30.85%。挖矿病毒种类246个，拦截次数9.82亿次，较上月有所上升，其中Xmrig病毒家族最为活跃。

深信服漏洞监测平台对国内已授权的6996个站点进行漏洞监控，发现：

高危站点2721个，高危漏洞60628个，主要漏洞类别是XSS注入、信息泄漏、CSRF跨站请求伪造。
监控在线业务6715个，共有276个在线业务发生过真实篡改，篡改占比高达4.11%。

恶意程序活跃详情

2019年3月，病毒攻击的态势与2月相比有所上升，病毒拦截量比2月份上升近16%，近半年拦截恶意程序数量趋势如下图所示：

2019年3月，深信服安全云脑检测到的活跃恶意程序样本有24439个，其中木马远控病毒7539个，占比30.85%，感染型病毒4134个，占比16.92%，蠕虫病毒2631个，占比10.77%，挖矿病毒246个，占比1.01%，勒索病毒188个，占比0.77%。

3月总计拦截恶意程序16.31亿次，其中挖矿病毒的拦截量占比60.24%，其次是感染型病毒（16.4%）、木马远控病毒（12.29%）、蠕虫病毒（6.71%）、后门软件（3.01%)、勒索病毒（1.21%)。

勒索病毒活跃状况

2019年3月，共拦截活跃勒索病毒1967万次。其中，WannaCry、Razy、Gandcrab、Revenge、Locky、Teslacrypt、Mamba、Badrabbit、Cerber、Cryptowall、Matrix、Paradise、Torrentlocker依然是最活跃的勒索病毒家族，其中WannaCry家族本月拦截数量有1084万次，危害依然较大。

从勒索病毒倾向的行业来看，企业和教育感染病毒数量占总体的51%，是黑客最主要的攻击对象。具体活跃病毒行业分布如下图所示：

从勒索病毒受灾地域上看，广东地区受感染情况最为严重，其次是浙江省和江苏省。

挖矿病毒活跃状况

2019年3月，深信服安全云脑在全国共拦截挖矿病毒9.82亿次，较2月环比增加7%，其中最为活跃的挖矿病毒是Xmrig、WannaMine、MinePool、BitcoinMiner、ZombieboyMiner、FalseSign，特别是Xmrig家族，共拦截4.58亿次。同时监测数据显示，被挖矿病毒感染的地域主要有浙江、北京、广东等地，其中浙江省感染量全国第一。

被挖矿病毒感染的行业分布如下图所示，其中政府受挖矿病毒感染情况最为严重，感染比例和2月相比下降2个百分点，其次是企业和教育行业。

感染型病毒活跃状况

2019年3月，深信服安全云脑检测并捕获感染型病毒样本4134个，共拦截2.67亿次。其中Ramnit家族是成为本月攻击态势最为活跃的感染型病毒家族,共被拦截1.09亿次，此家族占了所有感染型病毒拦截数量的40.77%；而排名第二第三的是Virut和Sality家族，本月拦截比例分别是为39.79%和11.83%。3月份感染型病毒活跃家族TOP榜如下图所示：

在感染型病毒危害地域分布上，广东省（病毒拦截量）位列全国第一，占TOP10总量的25%，其次为浙江省和湖南省。

从感染型病毒攻击的行业分布来看，黑客更倾向于使用感染型病毒攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占拦截总量的75%，具体感染行业分布如下图所示：

木马远控病毒活跃状况

深信服安全云脑3月全国检测到木马远控病毒样本7539个，共拦截2.00亿次，拦截量较2月上升31%。其中最活跃的木马远控家族是Injector，拦截数量达2537万次，其次是Zusy、XorDDos。

对木马远控病毒区域拦截量进行分析统计发现，恶意程序拦截量最多的地区为广东省，占TOP10拦截量的 21%，与2月份基本持平；其次为浙江（17%）、北京（13%）、四川（11%）和湖北（7%）；此外山东、上海、广西壮族自治区、江苏、福建的木马远控拦截量也排在前列。

行业分布上，企业、教育及政府行业是木马远控病毒的主要攻击对象。

蠕虫病毒活跃状况

2019年3月深信服安全云脑在全国检测到蠕虫病毒样本2631个，共拦截1.09亿次。通过数据统计分析来看，大多数攻击都是来自于Gamarue、Jenxcus、Dorkbot、Mydoom、Conficker、Vobfus、Palevo、Bondat、Buzus、Phorpiex家族。这些家族占据了3月全部蠕虫病毒攻击的98.8%，其中攻击态势最活跃的蠕虫病毒是Gamarue，占蠕虫病毒攻击总量的67%。

从感染地域上看，广东地区用户受蠕虫病毒感染程度最为严重，其拦截量占TOP10比例的28%；其次为江西省（16%）、湖南省（11%）。

从感染行业上看，企业、教育等行业受蠕虫感染程度较为严重。

网络安全攻击趋势分析

深信服全网安全态势感知平台监测到全国34808个IP在3月所受网络攻击总量约为4亿次。本月攻击态势与前三个月相比明显下降。下图为近半年深信服网络安全攻击趋势监测情况：

安全攻击趋势

下面从攻击类型分布和重点漏洞攻击分析2个纬度展示3月现网的攻击趋势：

攻击类型分布

通过对深信服安全云脑数据分析可以看到，3月捕获攻击以系统漏洞利用、WebServer漏洞利用、Web扫描等分类为主。其中系统漏洞利用类型的占比更是高达28.70%，有近亿的命中日志；WebServer漏洞利用类型均占比23.34%；Web扫描类型的漏洞占比17.72%。此外，信息泄露攻击、Webshell上传等攻击类型在3月的攻击数量有所增长。

主要攻击种类和比例如下：

重点漏洞攻击分析

通过对深信服安全云脑数据进行分析,针对漏洞的攻击情况筛选出3月攻击利用次数TOP20的漏洞。

其中命中次数前三漏洞利用分别是test.php、test.aspx、test.asp等文件访问检测漏洞、Apache Web Server ETag Header 信息泄露漏洞和Microsoft Windows Server 2008/2012 - LDAP RootDSE Netlogon 拒绝服务漏洞，攻击次数分别为49,047,012、39,407,152和28,619,006。较上月均有小幅上升。

高危漏洞攻击趋势

深信服安全团队对重要软件漏洞进行深入跟踪分析，近年来Java中间件远程代码执行漏洞频发，同时受永恒之蓝影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。

2019年3月，Windows SMB日志量达千万级，近几月攻击趋势持持续上升，其中拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多；Struts2系列漏洞攻击趋势近几月攻击次数波动较大，Weblogic系列漏洞的攻击趋势结束了前几月的持续降低，本月拦截到近两百万攻击日志；PHPCMS系列漏洞近几月攻击次数大幅上升，近期应重点关注。