深信服安全云腦數(shù)據(jù)顯示,2019年上半年,網(wǎng)絡(luò)攻擊數(shù)量總體呈上升趨勢(shì),網(wǎng)站態(tài)勢(shì)依然嚴(yán)峻,教育行業(yè)的網(wǎng)站漏洞數(shù)量發(fā)現(xiàn)最多。

上半年發(fā)現(xiàn)高發(fā)勒索病毒是GlobeImposter和GandCrab家族,攻擊次數(shù)最多的家族是WannaMine挖礦病毒;2019年上半年新增高危漏洞呈現(xiàn)上升趨勢(shì),跨站腳本攻擊居漏洞攻擊之首。

惡意程序方面,2019年上半年RDP暴力破解仍然是使用最廣泛的勒索病毒攻擊方式,社會(huì)工程也成為攻擊者獲取密碼的一種方式;近期加密貨幣價(jià)格持續(xù)走高,挖礦病毒攻擊的比重也明顯加重,WannaMine、Xmrig、CoinMiner家族最流行;木馬遠(yuǎn)控依然流行且危害較大,主要以竊取信息為主,其中廣東地區(qū)受災(zāi)較為嚴(yán)重。

網(wǎng)站安全態(tài)勢(shì)方面,網(wǎng)站攻擊總量呈上升趨勢(shì),網(wǎng)站漏洞攻擊以網(wǎng)站掃描、信息泄漏和弱口令攻擊等類型為主,收集的網(wǎng)站高危漏洞以WebApp漏洞、Web服務(wù)器漏洞、Web_Activex漏洞為主,全國網(wǎng)站漏洞主要分布在安全設(shè)施薄弱的教育行業(yè),部分企業(yè)和政府單位的網(wǎng)站也是漏洞的高發(fā)地。博彩、色情、游戲類網(wǎng)頁篡改為黑客進(jìn)行非法搜索引擎優(yōu)化(SEO)的主流類型。

漏洞態(tài)勢(shì)方面,上半年新增漏洞數(shù)量平均每月在1300個(gè)左右,高危及超危漏洞數(shù)量呈現(xiàn)上升趨勢(shì)。在收集的主流操作系統(tǒng)漏洞中,應(yīng)用類(Application)漏洞數(shù)量新增最多,共220條,其次是系統(tǒng)漏洞;漏洞攻擊類型中以CSRF跨站請(qǐng)求偽造、信息泄漏、點(diǎn)擊劫持為主;高危漏洞以應(yīng)用層系統(tǒng)漏洞為主,多數(shù)為CMS類型的Web應(yīng)用系統(tǒng)漏洞。

惡意程序安全態(tài)勢(shì)

1. 勒索病毒趨向精準(zhǔn)化,手段更加隱蔽

2019年上半年,勒索病毒的活躍度依舊高居不下,相對(duì)于剛進(jìn)入大眾視野時(shí)的“蠕蟲式”爆發(fā),勒索病毒如今的攻擊活動(dòng)越發(fā)具有目標(biāo)性、隱蔽性,攻擊者通常會(huì)破壞入侵過程留下的證據(jù),使得溯源排查難以進(jìn)行;勒索變種也趨于“無特征化”,如使用隨機(jī)后綴、勒索信息文件無明顯特征等,難以分辨其家族。

(1)高發(fā)勒索家族

從勒索病毒家族來看,國內(nèi)高發(fā)的勒索病毒家族主要有Globelmposter、GandCrab、CrySiS、WannaCryptor等:

(2)受害行業(yè)分布

從勒索病毒攻擊目標(biāo)來看,企業(yè)、教育成為勒索病毒的主要目標(biāo)行業(yè),總占比達(dá)到52%;在企業(yè)受害用戶中,文件服務(wù)器、財(cái)務(wù)服務(wù)器等存儲(chǔ)重要數(shù)據(jù)文件的服務(wù)器通常是攻擊者的首要目標(biāo):

(3)攻擊傳播方式

從勒索病毒攻擊方式來看,RDP暴力破解仍然是使用最為廣泛的攻擊方式。因此,將服務(wù)器3389端口映射到公網(wǎng)并使用簡單密碼,是非常容易受到勒索病毒入侵的;并且內(nèi)網(wǎng)如果使用了相同的弱密碼,可能導(dǎo)致多臺(tái)終端遭到入侵。其次,社會(huì)工程也成為攻擊者獲取密碼的一種方式,使用公司郵箱注冊(cè)挖礦賬號(hào)、注冊(cè)不良網(wǎng)站賬號(hào)等行為可能會(huì)帶來密碼泄漏的風(fēng)險(xiǎn):

勒索病毒攻擊方式如下:

2. 數(shù)字貨幣價(jià)格持續(xù)走高,挖礦病毒比重增加

近來加密貨幣價(jià)格走勢(shì)如過山車般跌宕起伏,2019年6月比特幣成功翻身,價(jià)格重返五位數(shù),幾人歡喜幾人悲傷,這其中最歡喜莫過于惡意挖礦黑產(chǎn)從業(yè)者,由于其隱匿性、低成本、無中間商賺差價(jià),導(dǎo)致挖礦木馬是近年來最流行的病毒之一,而企業(yè)的服務(wù)器則成為黑產(chǎn)眼中的盛宴。

(1)挖礦流量攔截趨勢(shì)

據(jù)深信服安全云腦統(tǒng)計(jì),挖礦木馬六月份攔截?cái)?shù)達(dá)到峰值10.46億次,三月份爆發(fā)WinnerMine等安全事件,攔截?cái)?shù)量整體呈增長的趨勢(shì)。

(2)挖礦木馬家族及攻擊方式

2019上半年Top10活躍挖礦木馬家族包括WannaMine、Xmrig、CoinMiner、BitcoinMiner、Tanlang、ShadowMiner、ZombieBoyMiner、Myking、Malxmr和Bluehero。

惡意挖礦幣種及病毒攻擊方式如下所示:

(3)惡意挖礦攔截量地域分布

在挖礦木馬危害地域分布上,廣東省(挖礦木馬攔截量)位列全國第一,占TOP20總量的19.58%,其次為浙江省和北京市。

(4)挖礦黑產(chǎn)主要攻擊行業(yè)分布

從挖礦木馬攻擊的行業(yè)分布來看,黑產(chǎn)更傾向于攻擊企業(yè)、政府、教育行業(yè),企業(yè)的攔截?cái)?shù)量占攔截總量的37.87%。

3. 供應(yīng)鏈木馬攻擊的速度增長迅猛

(1)木馬遠(yuǎn)控各家族攔截情況

深信服安全云腦上半年全國檢測(cè)到木馬遠(yuǎn)控病毒樣本31780個(gè),共攔截13.46億次。其中最活躍的木馬遠(yuǎn)控家族是DriveLife,DriveLife木馬家族作為供應(yīng)鏈木馬,在2019年上半年有多次變種,其攻擊態(tài)勢(shì)迅速增長,半年攔截?cái)?shù)量達(dá)1.72億次。遠(yuǎn)控木馬攔截量排在其后的是Zusy、Injector。具體分布數(shù)據(jù)如下圖所示:

(2)木馬遠(yuǎn)控病毒區(qū)域感染情況

對(duì)木馬遠(yuǎn)控病毒區(qū)域攔截量進(jìn)行分析統(tǒng)計(jì)發(fā)現(xiàn),惡意程序攔截量最多的地區(qū)為廣東省,占TOP10攔截量的27%;其次為浙江省(14%)、北京市(12%)、四川省(9%)和廣西壯族自治區(qū)(7%)。此外湖北省、湖南省、山東省、江蘇省、上海市的木馬遠(yuǎn)控?cái)r截量也排在前列。

(3)木馬遠(yuǎn)控病毒行業(yè)感染情況

行業(yè)分布上,企業(yè)、教育及政府行業(yè)是木馬遠(yuǎn)控病毒的主要攻擊對(duì)象。

4. 蠕蟲病毒清理難,政企單位易感染

(1)蠕蟲病毒家族攔截情況

2019上半年深信服安全云腦在全國檢測(cè)到蠕蟲病毒樣本20461個(gè),共攔截9.48億次。通過數(shù)據(jù)統(tǒng)計(jì)分析來看,大多數(shù)攻擊都是來自于Gamarue、Ramnit、Jenxcus、Dorkbot、Conficker、Faedevour、Mydoom家族,這些家族占據(jù)了上半年全部蠕蟲病毒攻擊的95%,其中攻擊態(tài)勢(shì)最活躍的蠕蟲病毒是Gamarue,占蠕蟲病毒總量的43.97%。

(2)蠕蟲病感染地域分布

從感染地域上看,廣東省地區(qū)用戶受蠕蟲病毒感染程度最為嚴(yán)重,其攔截量占TOP10總量的32%;其次為湖南省(14%)、江西省(9%)。

(3)蠕蟲病毒感染行業(yè)分布

從感染行業(yè)上看,企業(yè)、教育等行業(yè)受蠕蟲感染程度較為嚴(yán)重。

網(wǎng)站安全態(tài)勢(shì)

1. 攻擊量持續(xù)增加,信息泄漏問題依然嚴(yán)峻

根據(jù)深信服全網(wǎng)安全態(tài)勢(shì)感知平臺(tái)對(duì)全球44501個(gè)IP所受網(wǎng)站攻擊進(jìn)行監(jiān)測(cè)的數(shù)據(jù)顯示,網(wǎng)絡(luò)攻擊數(shù)量整體呈上升趨勢(shì),其中攻擊類型以網(wǎng)站掃描、信息泄漏和弱口令攻擊等類型為主。

上半年攻擊趨勢(shì)如下:

主要網(wǎng)站攻擊類型統(tǒng)計(jì)分布:

詳細(xì)攻擊種類和比例如下:

2. 網(wǎng)站漏洞類型以WebApp漏洞和Web服務(wù)器漏洞為主

通過深信服網(wǎng)站安全監(jiān)測(cè)平臺(tái)對(duì)國內(nèi)上半年已授權(quán)的網(wǎng)站進(jìn)行漏洞監(jiān)控,共收集漏洞2522個(gè),漏洞類別占比前三的分別是WebApp漏洞、Web服務(wù)器漏洞和Web_Activex漏洞。詳細(xì)高危漏洞類型分布如下:

具體比例如下:

3. 網(wǎng)站漏洞以安全設(shè)施薄弱的教育行業(yè)為高發(fā)地

2019年上半年,深信服在對(duì)國內(nèi)網(wǎng)站進(jìn)行安全漏洞監(jiān)測(cè)過程中發(fā)現(xiàn),科研教育、企業(yè)、政府單位的安全漏洞數(shù)分別占20%、12%、12%,占發(fā)現(xiàn)安全漏洞的大部分;安全設(shè)施薄弱的教育和企業(yè)持續(xù)成為安全漏洞高發(fā)地,醫(yī)療衛(wèi)生行業(yè)和服務(wù)業(yè)也存在安全漏洞較為普遍的現(xiàn)象。

4. 網(wǎng)站篡改仍以搜索引擎優(yōu)化類篡改為主

深信服在2019年上半年的篡改監(jiān)測(cè)過程中發(fā)現(xiàn),博彩、色情、游戲類篡改是黑客搜索引擎優(yōu)化(SEO)的主流類型。醫(yī)療廣告、代孕類比例較低。

漏洞態(tài)勢(shì)

1. 高危以上漏洞新增數(shù)量呈現(xiàn)上升趨勢(shì)

根據(jù)CNNVD監(jiān)測(cè)數(shù)據(jù)顯示,2019年上半年新增安全漏洞7859個(gè)。其中超危漏洞779個(gè),高危漏洞2364個(gè),中危漏洞3686個(gè),低危漏洞412個(gè),暫未分級(jí)漏洞546個(gè)。根據(jù)6個(gè)月來漏洞新增數(shù)量統(tǒng)計(jì),每月平均新增漏洞數(shù)量達(dá)到1309個(gè),高危以上漏洞新增數(shù)量為524個(gè)。根據(jù)歷史數(shù)據(jù)及歷年情況發(fā)現(xiàn),近半年漏洞每月新增數(shù)量在900-1500之間來回波動(dòng),預(yù)測(cè)未來新增漏洞數(shù)量仍在此范圍區(qū)間內(nèi),而高危以上漏洞新增數(shù)量近半年總體呈現(xiàn)上升趨勢(shì)。

2. 漏洞類型以Application和System漏洞為主

根據(jù)深信服安全云腦收集的漏洞類型分布數(shù)據(jù)顯示,應(yīng)用漏洞(Application)達(dá)220條,占比最大,約為 26.54%,系統(tǒng)(System)漏洞達(dá)202條,占比7.52%。

3. 用戶關(guān)注度較高的漏洞

根據(jù)用戶查閱CNVD漏洞信息次數(shù)的統(tǒng)計(jì)結(jié)果,上半年用戶關(guān)注度最高的5個(gè)漏洞如表所示。

4. 高危漏洞類型以CSRF跨站請(qǐng)求偽造為主

深信服網(wǎng)站安全監(jiān)測(cè)平臺(tái)對(duì)國內(nèi)上半年已授權(quán)的7087個(gè)站點(diǎn)進(jìn)行漏洞監(jiān)控,發(fā)現(xiàn)高危站點(diǎn)7689個(gè),高危漏洞72308個(gè),漏洞類別占比前三的分別是CSRF跨站請(qǐng)求偽造、信息泄漏和點(diǎn)擊劫持。詳細(xì)高危漏洞類型分布如下:

具體比例如下:

趨勢(shì)展望

1. 弱口令爆破、社會(huì)工程為主要威脅,社會(huì)工程仍然是郵件攻擊的重要“啟動(dòng)入口”

安全對(duì)抗的本質(zhì)是成本對(duì)抗,投入產(chǎn)出比是黑產(chǎn)團(tuán)伙首要考慮的因素。出于成本和效率的考慮,黑產(chǎn)常常通過弱口令爆破、釣魚郵件等方式對(duì)服務(wù)器攻擊,隨后對(duì)滲透成功的服務(wù)器做標(biāo)記、留后門,最終長期控制服務(wù)器。

網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚是盜取用戶憑證和各種敏感信息的慣用伎倆,實(shí)際上它們非常奏效。值得注意的是,網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚郵件近年來導(dǎo)致了多個(gè)造成大規(guī)模影響的違規(guī)安全事件。

2. 我國網(wǎng)絡(luò)安全法律法規(guī)政策保障體系進(jìn)一步完善

等級(jí)保護(hù)制度2.0國家標(biāo)準(zhǔn)的發(fā)布,是具有里程碑意義的一件大事,標(biāo)志著國家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作步入新時(shí)代。對(duì)于保障和促進(jìn)國家信息化發(fā)展,提升國家網(wǎng)絡(luò)安全保護(hù)能力,維護(hù)國家網(wǎng)絡(luò)空間安全具有重要的意義。

隨著網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入2.0時(shí)代,等級(jí)保護(hù)對(duì)象范圍在傳統(tǒng)系統(tǒng)的基礎(chǔ)上擴(kuò)大到了云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)等,對(duì)等級(jí)保護(hù)制度也提出了新的要求。

3. 惡意攻擊者越來越會(huì)隱蔽偽裝,惡意使用合法資源進(jìn)行后門C&C通訊,濫用云服務(wù)等合法的網(wǎng)絡(luò)資源

網(wǎng)絡(luò)黑產(chǎn)越來越擅于利用依賴合法的網(wǎng)絡(luò)服務(wù)C2渠道,如Google、Dropbox和GitHub,這樣使得惡意軟件流量可能無法通過正常方式進(jìn)行識(shí)別,隱藏手段更加巧妙。同時(shí)隨著云技術(shù)的廣泛應(yīng)用,各類數(shù)據(jù)和身份信息遷移到云上,云環(huán)境不斷演進(jìn)、擴(kuò)展和復(fù)雜化,所帶來的防御挑戰(zhàn)將會(huì)更大。

4. 供應(yīng)鏈攻擊的速度和復(fù)雜性似乎正在日益增加

供應(yīng)鏈攻擊的速度和復(fù)雜性增長迅速,2019年上半年捕獲到的驅(qū)動(dòng)人生(DriveLife)木馬等病毒多次變種,防御程度難,感染范圍不斷擴(kuò)大,這些病毒可以大規(guī)模影響計(jì)算機(jī),影響周期持續(xù)數(shù)月甚至數(shù)年。如果使用的軟硬件安全狀況不可靠,則可能存在一定的安全風(fēng)險(xiǎn),用戶應(yīng)該選擇有能力保證構(gòu)建系統(tǒng)不被侵害、能夠迅速解決漏洞攻擊的供應(yīng)商。

5. 安全防御手段和設(shè)施越來越復(fù)雜化、智能化,機(jī)器學(xué)習(xí)普遍應(yīng)用,但在減少“誤報(bào)”上,未來還需要持續(xù)投入

攻擊者將惡意軟件的復(fù)雜性和影響力進(jìn)一步提升,惡意軟件類型和系列的數(shù)量與種類不斷增多,安全防御的基礎(chǔ)設(shè)施也越來越復(fù)雜化和智能化。隨著機(jī)器學(xué)習(xí)和人工智能技術(shù)的普遍應(yīng)用,需要更好地區(qū)分監(jiān)控的網(wǎng)絡(luò)世界中哪些是“正常業(yè)務(wù)”活動(dòng),未來一段時(shí)間還需要安全防護(hù)者進(jìn)一步優(yōu)化人工智能以提高它們的安全能力。

安全防護(hù)建議

根據(jù)深信服安全團(tuán)隊(duì)的防護(hù)經(jīng)驗(yàn)來看,黑客入侵的主要目標(biāo)是存在通用安全漏洞的機(jī)器,所以預(yù)防病毒入侵的主要手段是發(fā)現(xiàn)和修復(fù)漏洞,建議用戶做好以下防護(hù)措施:

1. 杜絕使用弱口令,避免一密多用

系統(tǒng)、應(yīng)用相關(guān)的用戶杜絕使用弱口令,同時(shí),應(yīng)該使用高復(fù)雜強(qiáng)度的密碼,盡量包含大小寫字母、數(shù)字、特殊符號(hào)等的混合密碼,盡量避免一密多用的情況。

2. 及時(shí)更新重要補(bǔ)丁和升級(jí)組件

建議關(guān)注操作系統(tǒng)和組件重大更新,使用正確渠道更新對(duì)應(yīng)補(bǔ)丁漏洞或者升級(jí)組件。

3. 部署加固軟件,關(guān)閉非必要端口

服務(wù)器上部署安全加固軟件,通過限制異常登錄行為、開啟防爆破功能、防范漏洞利用,同時(shí)限制服務(wù)器及其他業(yè)務(wù)服務(wù)網(wǎng)可進(jìn)行訪問的網(wǎng)絡(luò)、主機(jī)范圍,有效加強(qiáng)訪問控制ACL策略,細(xì)化策略粒度,按區(qū)域按業(yè)務(wù)嚴(yán)格限制各個(gè)網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪問,采用白名單機(jī)制只允許開放特定的業(yè)務(wù)必要端口,提高系統(tǒng)安全基線,防范黑客入侵。

4. 主動(dòng)進(jìn)行安全評(píng)估,加強(qiáng)人員安全意識(shí)

加強(qiáng)人員安全意識(shí)培養(yǎng),不要隨意點(diǎn)擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件,對(duì)來源不明的文件包括郵件附件、上傳文件等要先殺毒處理。定期開展對(duì)系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評(píng)估、滲透測(cè)試以及代碼審計(jì)工作,主動(dòng)發(fā)現(xiàn)目前系統(tǒng)、應(yīng)用存在的安全隱患。

5. 建立威脅情報(bào)分析和對(duì)抗體系,有效防護(hù)病毒入侵

網(wǎng)絡(luò)犯罪分子采取的戰(zhàn)術(shù)策略也在不斷演變,其攻擊方式和技術(shù)更加多樣化。對(duì)于有效預(yù)防和對(duì)抗海量威脅,需要選擇更強(qiáng)大和更智能的防護(hù)體系。深信服下一代安全防護(hù)體系(深信服安全云、深信服下一代防火墻AF、深信服安全感知平臺(tái)SIP、深信服終端檢測(cè)與響應(yīng)平臺(tái)EDR)通過聯(lián)動(dòng)云端、網(wǎng)絡(luò)、終端進(jìn)行協(xié)同響應(yīng),建立全面的事前檢測(cè)預(yù)警、事中防御、事后處理的整套安全防護(hù)體系。云端持續(xù)趨勢(shì)風(fēng)險(xiǎn)監(jiān)控與預(yù)警、網(wǎng)絡(luò)側(cè)實(shí)時(shí)流量檢測(cè)與防御、終端事后查殺與溯源,從用戶場(chǎng)景出發(fā),解決系統(tǒng)脆弱性和保證事件響應(yīng)高效性。

系統(tǒng)脆弱性方面,深信服構(gòu)建了強(qiáng)大的脆弱性發(fā)現(xiàn)和修復(fù)機(jī)制,降低系統(tǒng)脆弱性風(fēng)險(xiǎn),主要建設(shè)能力包括:漏洞管理、滲透測(cè)試、系統(tǒng)和網(wǎng)絡(luò)監(jiān)控、基線核查、日志聚合與數(shù)據(jù)分析、補(bǔ)丁管理和部署、安全運(yùn)營中心等。

事件響應(yīng)高效性方面,深信服構(gòu)建了云網(wǎng)端+安全服務(wù)的一整套解決方案,并且具備完整專業(yè)的勒索病毒響應(yīng)流程,防火墻、安全感知、EDR、安全云腦能在勒索病毒事件發(fā)生的全生命周期,進(jìn)行檢測(cè)、攔截和封堵,同時(shí)結(jié)合后端強(qiáng)大的安全專家隊(duì)伍,能更大限度、更快地保護(hù)企業(yè)核心數(shù)據(jù)資產(chǎn)免受勒索病毒的侵害。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。