网络安全状况概述
2018年11月,互联网网络安全状况整体指标平稳,但是有两个特征值得关注,一是数据泄露事件偶有发生,二是挖矿病毒热度暂时未减。11月一知名国际酒店集团的数据库被攻破,影响用户近5亿,保护数据安全越来越重要。比特币汇率暴跌,但暂时未影响挖矿病毒的攻击热度,主要原因是一方面黑客创建“矿工”的门槛相对较低,另一方面国内仍有较多个人和企业网络安全防护措施未做到位。此外,检测数据显示,网站漏洞问题依旧严峻,高危漏洞数量继续攀升,教育和政府行业最值得关注。
11月,深信服安全云脑累计拦截恶意程序17.8亿次,平均每天拦截恶意程序5939万次。
安全云脑检测到的活跃恶意程序有22531个,其中僵尸网络7018个,占比31.15%;木马远控病毒4017个,占比17.83%。
活跃挖矿病毒种类438个,拦截次数6.81亿次,较10月有显著增长。
深信服全网安全态势感知平台检测到全国30692个IP在11月受到网络攻击总量为5.58亿次。攻击类型以WebServer、System、WebScan分类为主,共占比81.58%。
深信服漏洞监测平台本月检测到全国30692个站点,其中高危漏洞3477个,主要漏洞类别是信息泄露、XSS和CSRF跨站请求伪造。
深信服云眼共发现篡改网站242例。篡改总发现率高达6.2%。共监控在线业务6644个,共有2768个网站发生过断网事件。
恶意程序活跃详情
2018年11月,深信服安全云脑检测到的活跃恶意程序样本有22531个,其中僵尸网络7018个,占比31.15%;木马远控病毒4017个,占比17.83%,挖矿病毒438个,占比1.94%。
11月总计拦截恶意程序17.8亿次,其中挖矿病毒的拦截量占比38%,其次是感染型病毒(26%)、木马远控病毒(14%)、僵尸网络(9%),由下图可知,挖矿病毒依然非常流行。
1
僵尸网络活跃状况
2018年11月,深信服安全云脑检测并捕获僵尸网络样本7018个,共拦截16176万次。其中sality家族是本月攻击态势最为活跃的僵尸网络家族,共被拦截7111万次,此家族占了所有僵尸网络拦截数量的44%;而mylobot家族则呈现上升趋势,本月拦截比例为28%;拦截数量排名第三的家族是zegost,拦截数量占11%。11月份僵尸网络活跃家族TOP榜如下图所示:
▲2018年11月僵尸网络活跃家族拦截数量TOP 10
在僵尸网络危害地域分布上,湖南省(病毒感染量)位列全国第一,占总量的18%,其次为广东省和江苏省。
从僵尸网络攻击的行业分布来看,黑客更倾向于使用僵尸网络攻击大企业、教育、政府等网络安全相对薄弱的行业。大企业、教育和政府行业的拦截数量占僵尸网络拦截总量的57%,具体感染行业TOP分布如下图所示:
目前虽然僵尸网络捕获样本数量有所下降,但其攻击总数量却在不断上升。僵尸网络目前作为流行病毒仍在快速发展,种类变化多样,其质量和数量将不断攀升,并且会越来越多的使用免杀技术。
2
木马远控病毒活跃状况
木马远控病毒可以在软件供应链、盗版系统等多个环节被大规模植入,并试图获取在用户机器上执行任意代码的高权限,使用户设备沦为“肉鸡”。被感染的设备可能被黑客进一步构建僵尸网络、抢夺浏览器主页、静默推装软件等牟取到巨额利益,使用户遭受严峻的安全威胁。
深信服安全云脑11月检测到木马远控病毒样本4017个,共拦截23933万次。其中最活跃的木马远控家族是zusy,拦截数量达5596万次,其次是glupteba、anyun。具体分布数据如下图所示:
对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为江西省,占全国拦截量的 11.97%;其次为浙江(11.05%)、江苏(8.34%)、山东(7.15%)和湖南(6.98%)。此外广东、上海、湖北、四川、北京的木马远控拦截量也排在前列。
▲2018年11月木马远控病毒活跃地区TOP10分布
行业分布上,大企业、教育及科研行业是木马远控病毒的主要攻击对象。
▲2018年11月木马远控病毒感染行业TOP10分布
3
蠕虫病毒活跃状况
2018年11月深信服安全云脑检测到蠕虫病毒样本3396个,共拦截14604万次,但通过数据分析来看,大多数攻击都是来自于gamarue、conficker、palevo、vobfus、microfake、ngrbot、bondat、brontok、phorpiex、ramnit家族,这些家族占据了11月全部蠕虫病毒攻击的99.8%,其中攻击态势最活跃的蠕虫病毒是gamarue,占蠕虫病毒攻击总量的80%。
从感染地域上看,江西地区用户受蠕虫感染程度最为严重,其拦截量占比 35.5%;其次为广东省(24.6%)、江苏省(19.2%)。
从感染行业上看,大企业、教育和政府行业受蠕虫感染程度较为严重。
▲2018年11月蠕虫病毒感染行业分布TOP10分布
4
挖矿病毒活跃状况
2018年11月,比特币等加密货币汇率暴跌,但挖矿病毒攻击总量并未减少,主要是黑客创建“矿工”的门槛并不高,加之国内用户网络安全防护措施未做到位,导致挖矿病毒依然非常流行。
11月,深信服安全云脑共捕获挖矿病毒样本438个,拦截挖矿病毒6.81亿次,其中最为活跃的挖矿病毒是xmrig、wannamine、zombieboyminer、bitcoinminer、minepool。同时检测数据显示,被挖矿病毒感染的地域主要有广东、上海、北京等地,其中广东省感染量全国第一。
被挖矿病毒感染的行业分布如下图所示,其中政府受挖矿病毒感染情况最为严重,其次是大企业和教育行业。
5
勒索病毒活跃状况
2018年11月,从深信服安全云脑检测的数据显示,勒索病毒近期持续呈现活跃态势且病毒木马攻击手法的专业性较之前有了明显的提升,11月共检测到活跃勒索病毒样本量242个。其中,GandCrab、Wannacry、Teslacrypt和Locky依然是最活跃的勒索病毒家族,特别是GandCrab家族通过几次变种更新后,本月拦截数量呈快速上升趋势。
从勒索病毒倾向的行业来看,大企业和教育行业感染病毒数量占总体的50%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:
从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是山西省和内蒙古自治区。
从趋势上看,勒索病毒攻击的操作系统类型将越来越多,同时定向攻击能力也将更加突出,深信服建议企业用户可以通过建立健全的安全防御机制、使用正规有效的安全防御软件、规范系统管理者的权限、及时更新漏洞补丁等措施来增强防御能力。
网络安全攻击趋势分析
深信服全网安全态势感知平台检测到全国30692个IP11月所受网络攻击总量为558296415次。下图为近半年深信服网络安全攻击趋势检测情况:
1
本月安全攻击趋势
下面从攻击类型分布和命中情况分析2个纬度展示本月现网的攻击趋势:
攻击类型分布
通过对云脑日志数据分析可以看到,本月捕获攻击以WebServer、System、WebScan分类为主,以上三类攻击日志数占总日志数的81.58%。其中Web网站类型的漏洞更是达到了43.05%,有2亿多的命中日志;System漏洞占比30.10%。
主要攻击种类和比例如下:
命中情况分析
(1)针对WEB漏洞的命中情况分析统计
其中命中次数前三的规则id对应的漏洞分别是test.php、test.aspx、test.asp等文件访问检测漏洞、服务器目录浏览禁止信息泄露漏洞和发现PHP webshell上传行为漏洞,命中次数分别为43,667,626、15,558,029和13,517,505。
(2)针对系统中间件类漏洞的命中情况分析统计
2
高危漏洞攻击趋势跟踪
深信服北研安全团队对重要软件漏洞进行深入跟踪分析,近年来Java中间件远程代码执行漏洞频发,同时受“永恒之蓝”影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式,日志量可达千万级,PHPCMS作为国内CMS的领跑者漏洞也长期受到攻击者的关注,每月捕获的攻击日志也接近百万级。相关用户应重点关注。
Windows SMB 系列漏洞攻击趋势跟踪情况
Struts 2系列漏洞攻击趋势跟踪情况
Weblogic系列漏洞攻击趋势跟踪情况
PHPCMS系列漏洞攻击趋势跟踪情况
网络安全漏洞分析
1
本月漏洞收集情况
2018年11月深信服北研安全团队通过自动化手段筛选并收录国内外重点漏洞158条,其中WEB应用漏洞75条,操作系统漏洞50条,网络设备漏洞10条,服务器漏洞11条,客户端漏洞12条。收录的重要漏洞中包含59条0day漏洞。
从收集的重要漏洞分析攻击方法分布,可以看到,远程代码执行和权限升级占比最高18%;信息披露、拒绝服务攻击和命令注入分别占比16%、11%和9%;跨站脚本攻击漏洞占比7%;验证绕过漏洞占比6%等等。
2
全国网站漏洞收集情况
深信服云眼网站安全监测平台本月对国内已授权的4282个站点进行漏洞监控,11月发现的高危站点1364个,高危漏洞23477个,主要漏洞类别是信息泄露、XSS和CSRF跨站请求伪造等。高危漏洞类型分布如下:
具体比例如下:
3
篡改情况统计
本月共监控在线业务7812个,共检测到487个网站发生真实篡改,其中有402个识别为首页篡改,29个识别为二级目录篡改,56个识别为二层级以上的多层级篡改。具体分布图如下图所示:
上图可以看出,网站首页篡改为篡改首要插入位置,成为黑客利益输出首选。
近期流行攻击事件及安全漏洞盘点
1
流行攻击事件
(1)国内首例!Lucky勒索病毒攻击Linux与Windows
深信服安全团队发现一针对Linux服务器,并实现Windows跨平台攻击的新型勒索病毒,该勒索病毒加密后缀为.lucky,其传播模块复用了Satan的传播方式,实现了Linux下的自动化传播,深信服将其命名为Lucky勒索病毒。
(2)警惕!WannaMine 3.0变种来袭
多家企业反馈大量PC和服务器存在卡顿和蓝屏现象,通过深信服终端检测平台(EDR产品)进行全网扫描后发现感染相同病毒。经过深信服安全专家深入分析,发现这是一种最新型的WannaMine变种。
(3)捕获一起恶意入侵事件的攻击溯源
(4)简单!有效!深信服率先发布Oracle数据库勒索病毒自检工具
近日,Oracle数据库勒索病毒又开始活跃,其实这并非新病毒,早在2年前,即2016年11月就发现了,深信服一直持续关注此病毒。不确认是否中招的用户,深信服率先提供简单、有效的自检工具,一键运行,无需安装,即可快速判断是否感染了Oracle数据库勒索病毒。
(5)从某电商钓鱼事件探索黑客“一站式服务”
深信服EDR安全团队,整理分析了一起某电商钓鱼事件,通过关联信息,发现背后可能存在一个“产业链齐全”的黑客团伙,研究发现其具备“一站式服务”的黑客攻击手段。
(6)勒索病毒攻防演练
勒索病毒GlobeImposter频频在行业专网肆虐,究竟是如何入侵、如何传播?深信服的AF\SIP\EDR又是如何防御?效果如何?
(7)BlackHeart勒索病毒再度来袭
BlackHeart(黑心)勒索病毒家族是一款使用NET语言进行编写的勒索病毒,之前深信服EDR安全团队已经报道过它的变种家族样本捆绑知名的远程软件AnyDesk进行传播,此次深信服EDR安全团队发现的是它的一个家族最新变种。
(8)KrakenCryptor2.0.7勒索变种来袭!
深信服安全团队在分析安全云脑全网威胁数据时,发现了国内出现一新勒索家族KrakenCryptor,版本号为KrakenCryptor2.0.7,为目前发现的最新版本。且自10月22号以来,陆续有用户受该病毒感染,病毒处于活跃状态。
2
安全漏洞事件
(1)【漏洞预警】PHPCMS 2008远程代码注入漏洞(CVE-2018-19127)预警
PHPCMS 2008版本被爆出远程代码注入漏洞,漏洞CVE编号为:CVE-2018-19127。该漏洞利用向PHPCMS网站路径可控的缓存文件写入任意内容,从而可以写入PHP代码,获取网站WebShell,最终获取到网站的最高权限。该漏洞利用难度小,并且危害性极大。
(2)那些年让我们心惊胆战的IIS漏洞
目前IIS一共发行12个版本,从IIS 1.0版本至IIS 10.0版本,IIS 1.0-4.0已经基本退出市场,IIS 5.0-10.0是Web市场主要使用的网站服务器。千里目实验室针对IIS近十几年(2005年以后)的35个漏洞进行了整理和分析。
(3)CMS真的安全吗?(三)洞鉴Discuz!
Discuz!建站系统推出时间很长,使用面广,但由于PHP较强的灵活性以及其他安全原因,从诞生之初就不断爆出各种高危漏洞。因此,Discuz!的安全性一直以来被备受质疑。
(4)Microsoft SQL Server漏洞浅析
近几年Microsoft SQL Server数据库爆发的漏洞数量与其它类型数据库相比,所暴露出来的漏洞相对较少。深信服千里目实验室挑选两个可利用性高,且具有代表性的漏洞进行分析。
(5)【漏洞预警】libssh身份验证绕过(cve-2018-10933)
2018年10月16日,libssh发布更新,该更新修复了一个身份验证绕过漏洞,漏洞的CVE编号为CVE-2018-10933,目前github上已有可利用的poc。
(6)打开JBoss的潘多拉魔盒——JBoss高危漏洞分析
近几年JBoss爆发的漏洞数量与其他著名的中间(Weblogic,Jenkins,WebSphere)等相比,数量相对较少。然而,由于最近几年Java反序列化漏洞的肆虐,JBoss也深受其害,相继爆发了三个著名的高危漏洞。
(7)微软漏洞CVE-2017-11885分析与利用
根据微软官网对CVE-2017-11885的描述,该漏洞几乎可以通杀微软的全版本操作系统,有关该漏洞的POC在exploit-db上于2018年5月份被披露,该POC仅仅针对windows server 2003进行了测试。
