返回顶部
售後咨詢

售後咨詢

隐藏或显示

新聞動態

News

纯干货 | 网络安全态势洞察报告2019-06

/ 2019-07-15

網絡安全狀況概述


2019年6月,互聯網網絡安全狀況整體指標平穩,但是有兩個重要特征值得關注。

一方面,病毒攻击态势呈上升趋势,整体较上月增加7%。其中挖礦病毒活跃程度增加较多,其病毒攻击的拦截量较5月增加11%,安全防护薄弱的企業是主要受灾对象,教育行业、政企单位的感染程度也有所增加。挖礦病毒的近期活跃程度增加可能与比特币价格持续走高有关。

另一方面,多个严重漏洞披露。Microsoft在官方安全更新公告中一共披露了88个漏洞的相关信息,其中21个获得了“严重”评级,这是微软有史以来漏洞严重程度最高的一次排名。Oracle官方安全公告中披露了高危漏洞(漏洞编号:CVE-2019-2729),WebLogic 远程命令执行漏洞。Adobe Coldfusion公布了Coldfusion软件中存在的一个远程代码执行漏洞(漏洞编号:CVE-2019-7839),漏洞等级严重。Netflix公司已经确定了几个TCP网络FreeBSD 和Linux内核中的漏洞,其中最严重的是Linux 内核中TCP SACK机制远程拒绝服务漏洞。凯发APP下载已针对严重漏洞发布了相应预警,及时提醒用户进行补丁升级,做好安全防护措施。

6月,凯发APP下载安全雲腦累計發現:

  • 惡意攻擊19.05億次,平均每天攔截惡意程序6350萬次。

  • 活躍惡意程序29111個,其中感染型病毒5487個,占比18.85%;木馬遠控病毒13459個,占比46.23%。挖礦病毒種類541個,攔截次數10.46億次,較5月上升11%,其中WannaMine病毒家族最爲活躍。

凯发APP下载網站安全監測平台對國內已授權的5661個站點進行漏洞監控,發現:

  • 高危站點2721個,高危漏洞24495個,漏洞類別主要是CSRF跨站請求僞造,占比88%。

  • 監控在線業務6724個,共識別潛在篡改的網站有179個,篡改總發現率高達2.66%。


惡意程序活躍詳情


2019年6月,病毒攻擊在6月呈現上升態勢,病毒攔截量比5月份(17.9億次)上升近7%,近半年攔截惡意程序數量趨勢如下圖所示:

2019年6月,凯发APP下载安全云脑检测到活躍惡意程序样本29111个,其中木馬遠控病毒13459個,占比46.23%;蠕蟲病毒7461個,占比25.63%;感染型病毒5487個,占比18.85%;勒索病毒632個,占比2.17%;挖礦病毒541個,占比1.86%。

6月总计拦截恶意程序19.05億次,其中挖礦病毒的拦截量占比54.92%,其次是木馬遠控病毒(16.24%)、蠕虫病毒(11.29%)、感染型病毒(8.48%)、后门软件(8.04%)、勒索病毒(0.88%)。

1. 勒索病毒活躍狀況


2019年6月,共攔截勒索病毒攻擊1667萬次。其中,WannaCry、GlobeImposter、GandCrab依然是最活躍的幾個勒索病毒家族,其中WannaCry家族6月攔截數量803萬次,危害依然較大。

從勒索病毒傾向的行業來看,企業政府感染病毒數量占總體的60%,是黑客最主要的攻擊對象,具體活躍病毒行業分布如下圖所示:

從勒索病毒受災地域上看,廣東地區受感染情況最爲嚴重,其次是浙江省和北京市。

2. 挖礦病毒活跃状况


2019年6月,凯发APP下载安全云脑共拦截挖礦病毒10.46亿次,其中最为活跃的挖礦病毒是WannaMineXmrig,特别是WannaMine家族,共拦截4.43亿次。同时监测数据显示,被挖礦病毒感染的地域主要有廣東省、北京市、浙江省等地,其中廣東省感染量第一。

被挖礦病毒感染的行业分布如下图所示,其中企業受挖礦病毒感染情况最为严重,其次是政府和教育行业。

3. 感染型病毒活躍狀況


2019年6月,凯发APP下载安全雲腦檢測並捕獲感染型病毒樣本5487個,共攔截1.61億次。其中Virut家族是成爲6月攻擊態勢最爲活躍的感染型病毒家族,共被攔截1.04億次,此家族占了所有感染型病毒攔截數量的64.40%;而排名第二第三的是Sality和Wapomi家族,6月攔截比例分別是爲22.18%和4.43%。6月感染型病毒活躍家族TOP榜如下圖所示:

在感染型病毒危害地域分布上,廣東省(病毒攔截量)位列第一,占TOP10總量的33%,其次爲廣西壯族自治區和浙江省。

從感染型病毒攻擊的行業分布來看,黑客更傾向于使用感染型病毒攻击企業、教育、科研教育等行业。企業、教育、科研教育的拦截数量占感染型病毒拦截总量的67%,具体感染行业分布如下图所示:

4. 木馬遠控病毒活跃状况


凯发APP下载安全云脑本月检测到木馬遠控病毒样本13459个,共拦截3.09亿次。其中最活跃的木马远控家族是Drivelife,攔截數量達7163萬次,其次是Zusy、Siscos。具體分布數據如下圖所示:

对木馬遠控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为廣東省,占TOP10攔截量的24%;其次爲北京市(12%)、廣西壯族自治區(11%)、浙江省(11%)和山東省(8%)。此外湖南省、四川省、上海市、湖北省、江蘇省的木馬遠控攔截量也排在前列。

行业分布上,企業、教育及政府行业是木馬遠控病毒的主要攻击对象。

5. 蠕蟲病毒活躍狀況


2019年6月凯发APP下载安全云脑检测到蠕虫病毒样本7461个,共拦截2.15億次,但通过数据统计分析来看,大多数攻击都是来自于Ramnit、Gamarue、Jenxcus、Dorkbot、Faedevour、Morto、Small家族,这些家族占据了6月全部蠕虫病毒攻击的94%,其中攻击态势最活跃的蠕虫病毒是Ramnit,占蠕蟲病毒TOP10總量的50%。

從感染地域上看,廣東省地區用戶受蠕蟲病毒感染程度最爲嚴重,其攔截量占TOP10總量的30%;其次爲湖南省(15%)、浙江省(11%)。

从感染行业上看,企業、教育等行业受蠕虫感染程度较为严重。

網絡安全攻擊趨勢分析


凯发APP下载全網安全態勢感知平台監測到全國32631個IP在6月所受網絡攻擊總量約爲7.7億次。6月攻擊態勢較上月有小幅上升。下圖爲近半年凯发APP下载網絡安全攻擊趨勢監測情況:

1. 安全攻擊趨勢


下面從攻擊類型分布和重點漏洞攻擊分析2個緯度展示6月現網的攻擊趨勢:

(1)攻擊類型分布

通過對凯发APP下载安全雲腦日志數據分析可以看到,6月捕獲攻擊以WebServer漏洞利用、系統漏洞利用、Web掃描、信息泄露、Webshell上傳、數據庫漏洞利用等分類爲主。其中WebServer漏洞利用类型的占比更是高达67.50%,攻击次数达5億多次;系统漏洞利用类型均占比13.70%。主要攻击种类和比例如下:

(2)重點漏洞攻擊分析


通過對凯发APP下载安全雲腦日志數據分析,針對漏洞的攻擊情況篩選出6月攻擊利用次數最高的漏洞TOP20。

其中漏洞被利用次數前三的分別是Apache HTTP Server mod_log_config 远程拒绝服务漏洞(保持不變)、NetBIOS名稱查詢響應漏洞Nginx URI Processing安全绕过漏洞,命中次數分別爲423,215,695、29,664,036和29,612,680。較5月均有上升。

2. 高危漏洞攻擊趨勢跟蹤


凯发APP下载安全团队对重要软件漏洞进行深入跟踪分析,近年来Java中间件远程代码执行漏洞频发,同时受“永恒之蓝”影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。

2019年6月,Windows SMB日志量达千万级,近几月攻击持上升趋势,其中拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多;Struts2系列漏洞本月攻击次数较前几月下降,Weblogic系列漏洞的攻击总体程波动状态,但近三个月较为平缓,本月仅拦截不到二十万攻击日志;PHPCMS系列漏洞攻击次数较上月下降。

Windows SMB 系列漏洞攻击趋势跟踪情况:

Weblogic 系列漏洞攻击趋势跟踪情况:

Struts 2 系列漏洞攻击趋势跟踪情况:

PHPCMS 系列漏洞攻击趋势跟踪情况:

網絡安全漏洞分析


1. 全國網站漏洞類型統計


凯发APP下载网站安全监测平台6月对国内已授权的8764个站点进行漏洞监控,近一个月内发现的高危站點5237個,高危漏洞149267个,漏洞类别主要是CSRF跨站請求僞造XSS注入信息泄露,總占比83%,詳細高危漏洞類型分布如下:

具體比例如下:

2. 篡改情況統計


6月总監控在線業務7260个(去重),共识别潜在篡改的网站有140个(去重),篡改总发现率为19.2%。

其中首頁篡改25個,二級頁面篡改56個,多級頁面篡改36個。

具體分布圖如下圖所示:

上圖可以看出,網站二級篡改爲篡改首要插入位置,成爲黑客利益輸出首選。


近期流行攻擊事件及安全漏洞盤點


1. 流行攻擊事件


(1)建築行業出現集中式感染CrySiS勒索病毒

近日,凯发APP下载接到多個建築行業客戶反饋,服務器被加密勒索,經過跟蹤分析,拿到了相應的樣本,確認樣本爲CrySiS勒索病毒jack變種。截止目前,黑産團隊多次通過社會工程、RDP暴力破解等方式有針對性的入侵建築行業,提醒該行業客戶提高警惕。

具體詳見:建築行業出現集中式感染CrySiS勒索病毒

(2)GoldBrute僵屍網絡橫空出世

近日,當黑客們還在絞盡腦汁地想著如何使用BlueKeep漏洞俘獲肉雞時,一個僵屍網絡病毒突然橫空出世,對全球1,500,000+個設備進行掃描。該病毒名爲GoldBrute,通過傳統的RDP爆破方式進行傳播,被該病毒感染的主機會受C&C服務器104.156.249.231所操控。

具體詳見:GoldBrute僵屍網絡橫空出世

(3)Bluehero挖礦蠕蟲變種空降!

近日,凯发APP下载安全團隊捕獲到Bluehero挖礦蠕蟲最新變種,該挖礦蠕蟲集多種功能爲一體,釋放後門程序竊取主機信息,釋放Mimikatz模塊、嗅探模塊、“永恒之藍”攻擊模塊、LNK漏洞利用模塊(CVE-2017-8464)進行傳播和反複感染,最終釋放挖礦模塊進行挖礦。

具體詳見:Bluehero挖礦蠕蟲變種空降!

(4)GandCrab最終版解密工具發布!

6月17日,Bitdefender发布了GandCrab勒索病毒V1、V4以及V5-V5.2版本的解密工具,这意味着不向勒索软件運營商妥协的受害者们,终于可以恢复被加密的数据。

具體詳見:GandCrab最終版解密工具發布!

2. 安全漏洞事件


(1)Vim編輯器本地代碼執行漏洞預警(CVE-2019-12735)

Vim编辑器在8.1.1365和Neovim 0.3.6 之前版本存在严重的代码执行漏洞,当通过Vim编辑器打开特殊构造的文件,且Vim编辑器的ModelLine被启用,就会触发本地文件代码执行漏洞。虽然此漏洞是本地漏洞,如若结合社会工程学的方式进行攻击,危害不容小觑,容易造成重要敏感信息泄露,甚至会导致服务器被攻击者控制。

具體詳見:Vim編輯器本地代碼執行漏洞預警(CVE-2019-12735)

(2)微軟六月補丁日重點漏洞預警

2019年6月11日,Microsoft發布了六月份安全補丁更新。在官方的安全更新公告中一共披露了88個漏洞的相關信息,其中21個獲得了“嚴重”評級,這是微軟有史以來漏洞嚴重程度最高的一次排名。截至目前爲止,尚未發現這88個漏洞的在野利用。

具體詳見:微軟六月補丁日重點漏洞預警

(3)【漏洞预警】Coremail 多版本配置文件读取漏洞

在2019年6月14日,Coremail 配置文件读取漏洞PoC爆出,经过凯发APP下载安全研究员验证分析,发现利用该漏洞能够读取 Coremail 邮件服务器敏感配置文件,配置文件中包括邮件服务存储路径、数据库连接地址、账号以及密码等敏感信息,该漏洞危害较大,影响较广。

具體詳見:【漏洞预警】Coremail 多版本配置文件读取漏洞

(4)【漏洞预警】Oracle WebLogic 远程命令执行 0day(CVE-2019-2725补丁绕过)漏洞

近日,凯发APP下载安全团队发现了在野的 Oracle WebLogic 远程命令执行漏洞最新利用方式,该漏洞的利用方式与官方4月修复的CVE-2019-2725漏洞利用方式极为相似,此攻击可以绕过官方四月份发布的安全补丁。

具體詳見:【漏洞预警】Oracle WebLogic 远程命令执行 0day(CVE-2019-2725补丁绕过)漏洞

(5)【更新】CVE-2019-1040 Windows NTLM篡改漏洞分析

2019年6月11日,Microsoft发布了六月份安全补丁更新。在该安全更新补丁中,对CVE-2019-1040漏洞进行了修复。攻击者利用该漏洞可以绕过NTLM中的MIC(Message Integrity Code)。攻击者可以修改已经协商签名的身份验证流量,然后中继到另外一台服务器,同时完全删除签名要求。通过该攻击方式可使攻击者在仅有一个普通域账号的情况下,运程控制域中任意机器(包括域控服务器)。

具體詳見:【更新】CVE-2019-1040 Windows NTLM篡改漏洞分析

(6)【漏洞预警】Linux 内核中TCP SACK机制远程拒绝服务漏洞

近日,Netflix公司已经确定了几个TCP网络FreeBSD和Linux内核中的漏洞。这些漏洞特别涉及最小段大小(MSS)和TCP选择性确认(SACK)功能。最严重的,被称为“SACK Panic”,可以在Linux内核上远程触发内核崩溃,从而影响系统的可用性。

具體詳見:【漏洞预警】Linux 内核中TCP SACK机制远程拒绝服务漏洞

(7)【更新】Oracle WebLogic 远程命令执行(CVE-2019-2729)漏洞预警

近日,Oracle官方安全公告中披露了 CVE-2019-2729 WebLogic 远程命令执行漏洞,漏洞定级为高危漏洞。该漏洞本质是由于 wls9-async 组件在反序列化处理输入信息时存在缺陷,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限,实现远程命令执行。

具體詳見:【更新】Oracle WebLogic 远程命令执行(CVE-2019-2729)漏洞预警

(8)【漏洞預警】WebSphere遠程代碼執行漏洞

近日,metasploit團隊更新了WebSphere遠程代碼執行漏洞(CVE-2019-4279)的檢測方式。由于服務器在進行反序列化操作時並沒有對數據進行安全驗證,攻擊者可以構造惡意的序列化數據,在服務器執行反序列化操作時執行內部包含的命令,實現遠程代碼執行漏洞的利用。

具體詳見:【漏洞預警】WebSphere遠程代碼執行漏洞

(9)【漏洞预警】Coldfusion 远程代码执行漏洞(CVE-2019-7839)

近日,Adobe Coldfusion官方修复了Coldfusion软件中存在的一个远程代码执行漏洞,漏洞编号CVE-2019-7839,该漏洞评分10分,漏洞等级严重,该漏洞影响范围较广,危害性较大,攻击者可以通过JNBridge技术不受限制地访问远程Java运行时环境,从而允许执行任意代码和系统命令。

具體詳見:【漏洞预警】Coldfusion 远程代码执行漏洞(CVE-2019-7839)

安全防護建議


黑客入侵的主要目標是存在通用安全漏洞的機器,所以預防病毒入侵的主要手段是發現和修複漏洞,凯发APP下载建議用戶做好以下防護措施:

1. 杜絕使用弱口令,避免一密多用

系統、應用相關的用戶杜絕使用弱口令,同時,應該使用高複雜強度的密碼,盡量包含大小寫字母、數字、特殊符號等的混合密碼,禁止密碼重用的情況出現,盡量避免一密多用的情況。

2. 及時更新重要補丁和升級組件

建議關注操作系統和組件重大更新,如“永恒之藍”漏洞,使用正確渠道,如微軟官網,及時更新對應補丁漏洞或者升級組件。

3. 部署加固軟件,關閉非必要端口

服務器上部署安全加固軟件,通過限制異常登錄行爲、開啓防爆破功能、防範漏洞利用,同時限制服務器及其他業務服務網可進行訪問的網絡、主機範圍。有效加強訪問控制ACL策略,細化策略粒度,按區域按業務嚴格限制各個網絡區域以及服務器之間的訪問,采用白名單機制只允許開放特定的業務必要端口,提高系統安全基線,防範黑客入侵。

4. 主動進行安全評估,加強人員安全意識

加強人員安全意識培養,不要隨意點擊來源不明的郵件附件,不從不明網站下載軟件,對來源不明的文件包括郵件附件、上傳文件等要先殺毒處理。定期開展對系統、應用以及網絡層面的安全評估、滲透測試以及代碼審計工作,主動發現目前系統、應用存在的安全隱患。

5. 建立威脅情報分析和對抗體系,有效防護病毒入侵

网络犯罪分子采取的战术策略也在不断演变,其攻击方式和技术更加多样化。对于有效预防和对抗海量威胁,需要选择更强大和更智能的防护体系。凯发APP下载下一代安全防护体系(凯发APP下载安全云、凯发APP下载下一代防火牆AF、凯发APP下载安全感知平台SIP、凯发APP下载终端检测与响应平台EDR)通过联动云端、网络、终端进行协同响应,建立全面的事前检测预警、事中防御、事后处理的整套安全防护体系。云端持续趋势风险监控与预警、网络侧实时流量检测与防御、终端事后查杀与溯源,深度挖掘用户潜在威胁,立体全方位确保用户网络安全。


往期回顧

5月丨纯干货 | 网络安全态势洞察报告2019-05

4月丨纯干货 | 网络安全态势洞察报告2019-04

3月丨纯干货 | 网络安全态势洞察报告2019-03

2月丨纯干货 | 网络安全态势洞察报告2019-02

1月丨纯干货 | 网络安全态势洞察报告2019-01

網站篡改現狀調查丨國內網站內容篡改現狀調查

2018年度丨纯干货 | 网络安全趋势年度报告

©2000-2019    凯发APP下载科技股份有限公司    版权所有    粵ICP備08126214號-5

粤公网安备

粵公網安備44030502002384號