2019年2月,整體而言互聯(lián)網網絡安全狀況指標平穩(wěn),但依然面臨著嚴峻的考驗。一方面,老病毒和漏洞經久不衰,新的安全事件層出不窮,利用“驅動人生”供應鏈傳播的木馬病毒升級變異,以及WinRAR壓縮軟件曝出高危漏洞,影響范圍廣泛;另一方面,被攻擊的設備場景影響不斷擴大,包括NVR(視頻監(jiān)控)設備場景、IoT設備場景等都面臨著被病毒進一步入侵的風險。但監(jiān)測數(shù)據(jù)顯示,網站攻擊和網站漏洞數(shù)量連續(xù)多個月上升之后在本月放緩。
2月,深信服安全云腦累計發(fā)現(xiàn):
惡意攻擊14.1億次,平均每天攔截惡意程序5037萬次。
活躍惡意程序15961個,其中感染性病毒6836個,占比42.83%;木馬遠控病毒5320個,占比33.33%。挖礦病毒種類443個,攔截次數(shù)9.16億次,較之前有所下降,其中Xmrig病毒家族最為活躍。
深信服全網安全態(tài)勢感知平臺對國內已授權的6996個站點進行漏洞監(jiān)控,發(fā)現(xiàn):
高危站點2463個,高危漏洞5888個,主要漏洞類別是點擊劫持、CSRF跨站請求偽造和信息泄露。
監(jiān)控在線業(yè)務5870個,共有249個在線業(yè)務發(fā)生過真實篡改,篡改占比高達4.24%。
惡意程序活躍詳情
2019年2月,病毒攻擊的態(tài)勢在本月有所緩解,病毒攔截量比1月份下降近20%,近半年攔截惡意程序數(shù)量趨勢如下圖所示:
近半年惡意程序攔截趨勢
2019年2月,深信服安全云腦檢測到的活躍惡意程序樣本有15961個,較1月份明顯下降,其中感染性病毒6836個,占比42.83%;木馬遠控病毒5320個,占比33.33%,挖礦病毒443個,占比1.37%。
2月總計攔截惡意程序14.1億次,比1月份下降20%,其中挖礦病毒的攔截量占比65%,其次是感染型病毒(14%)、木馬遠控病毒(11%)、蠕蟲(6%)、后門軟件(3%),具體分布如下圖所示:
2019年2月惡意程序攔截量按類型分布
1、挖礦病毒活躍情況
2019年2月,深信服安全云腦共攔截挖礦病毒9.16億次,比一月份下降14%,其中最為活躍的挖礦病毒家族是Xmrig、Wannamine、Minepool、Bitcoinminer、Zombieboyminer、Falsesign,特別是Xmrig家族,共攔截4.12億次。同時監(jiān)測數(shù)據(jù)顯示,被挖礦病毒感染的地域主要有廣東、浙江、北京等地,其中廣東省感染量依然是全國第一,感染比例上升1%。
2019年2月挖礦病毒活躍地區(qū)Top10
被挖礦病毒感染的行業(yè)分布中,政府受挖礦病毒感染情況最為嚴重,感染比例和1月基本持平,其次是企業(yè)和教育行業(yè)。
2019年2月挖礦病毒感染行業(yè)分布
2、感染性病毒活躍狀況
2019年2月,深信服安全云腦檢測并捕獲感染性病毒樣本6836個,共攔截19147萬次。其中Virut家族是成為本月攻擊態(tài)勢最為活躍的感染性病毒家族,共被攔截8418萬次,此家族占了所有感染性病毒攔截數(shù)量的44%;而排名第二第三的是Ramnit和Sality家族,本月攔截比例分別是為37%和11%。
2019年2月感染性病毒活躍家族攔截數(shù)量TOP10
在感染性病毒危害地域分布上,廣東。ú《緮r截量)位列全國第一,占TOP10總量的28%,其次為浙江省和湖南省。
2019年2月感染性病毒活躍地區(qū)TOP10
從感染性病毒攻擊的行業(yè)分布來看,黑客更傾向于使用感染性病毒攻擊企業(yè)、教育、政府等行業(yè)。企業(yè)、教育、政府的攔截數(shù)量占攔截總量的75%,具體感染行業(yè)分布如下圖所示:
2019年2月感染性病毒感染行業(yè)TOP10
3、木馬遠控病毒活躍狀況
深信服安全云腦2月檢測到木馬遠控病毒樣本5320個,共攔截15271萬次,攔截量較1月下降22%。其中最活躍的木馬遠控家族是Zusy,攔截數(shù)量達2405萬次,其次是XorDDos、Injector。Glupteba病毒感染趨勢下降,本月攔截量占木馬遠控病毒的比例為7.38%。
2019年2月木馬遠控毒活躍家族TOP10
對木馬遠控病毒區(qū)域攔截量進行分析統(tǒng)計發(fā)現(xiàn),惡意程序攔截量最多的地區(qū)為廣東省,占TOP10攔截量的21%,比1月份下降4%;其次為浙江(17%)、北京(14%)、四川(11%)和湖北(7%)。此外江蘇、山東、上海、福建、山西的木馬遠控攔截量也排在前列。
2019年2月木馬遠控活躍地區(qū)TOP10
行業(yè)分布上,企業(yè)、政府及教育行業(yè)是木馬遠控病毒的主要攻擊對象。其中企業(yè)占TOP10攔截量的32%,較1月份基本持平。
2019年2月木馬遠控感染行業(yè)TOP10
4、蠕蟲病毒活躍狀況
2019年2月深信服安全云腦檢測到蠕蟲病毒樣本1185個,共攔截8901萬次,但通過數(shù)據(jù)統(tǒng)計分析來看,大多數(shù)攻擊都是來自于Gamarue、Jenxcus、Dorkbot、Mydoom、Palevo、Vobfus、Buzus、Phorpiex、Ngrbot家族,這些家族占據(jù)了2月全部蠕蟲病毒攻擊的98.8%,其中攻擊態(tài)勢最活躍的蠕蟲病毒是Gamarue,占蠕蟲病毒攻擊總量的85%。
2019年2月蠕蟲病毒活躍家族TOP10
從感染地域上看,廣東地區(qū)用戶受蠕蟲病毒感染程度最為嚴重,其攔截量占TOP10比例的33%;其次為江蘇。14%)、湖南。12%)。
2019年2月蠕蟲病毒活躍地區(qū)TOP10
從感染行業(yè)上看,企業(yè)、政府等行業(yè)受蠕蟲感染程度較為嚴重。
2019年2月蠕蟲病毒感染行業(yè)分布
5、勒索病毒活躍狀況
2019年2月,共檢測到活躍勒索病毒樣本量115個。其中,Wannacry、Razy、Gandcrab、Revenge、Teslacrypt、Locky、Mamba等依然是最活躍的勒索病毒家族,其中Wannacry家族本月攔截數(shù)量有1156萬次,危害依然較大。
從勒索病毒傾向的行業(yè)來看,企業(yè)和政府感染病毒數(shù)量占總體的52%,是黑客最主要的攻擊對象,具體活躍病毒行業(yè)分布如下圖所示:
2019年2月勒索病毒感染行業(yè)分布
2019年2月勒索病毒活躍地區(qū)TOP10
從勒索病毒受災地域上看,廣東地區(qū)受感染情況最為嚴重,其次是福建省和浙江省。
網絡安全攻擊趨勢分析
深信服全網安全態(tài)勢感知平臺監(jiān)測到全國34808個IP在2月所受網絡攻擊總量約為6億次。本月攻擊態(tài)勢與前三個月相比明顯下降。下圖為近半年深信服網絡安全攻擊趨勢監(jiān)測情況:
近半年網絡安全攻擊趨勢
1、本月安全攻擊趨勢
下面從攻擊類型分布和重點漏洞攻擊分析2個緯度展示本月現(xiàn)網的攻擊趨勢:
攻擊類型分布
通過對云腦日志數(shù)據(jù)分析可以看到,2月捕獲攻擊以系統(tǒng)漏洞利用攻擊、Web掃描、WebServer漏洞利用、信息泄露攻擊、Webshell上傳、Dns服務器漏洞攻擊和暴力破解等分類為主。其中系統(tǒng)漏洞利用類型的占比更是高達36.70%,有近億的命中日志;Web掃描類型的漏洞占比29.10%;WebServer漏洞利用類型均占比13.30%。此外,信息泄露攻擊、Webshell上傳等攻擊類型在2月的攻擊數(shù)量有所增長。
2019年2月攻擊類型統(tǒng)計
主要攻擊種類和比例如下:
重要漏洞攻擊分析
通過對云腦日志數(shù)據(jù)分析,針對漏洞的攻擊情況篩選初本月攻擊利用次數(shù)TOP20的漏洞。
其中攻擊次數(shù)前三的漏洞分別是test.php、test.aspx、test.asp等文件訪問檢測漏洞、服務器目錄瀏覽禁止信息泄露漏洞和Apache Web Server ETag Header信息泄露漏洞,攻擊次數(shù)分別為59,185,795、20,276,680和18,424,531。
2、篡改攻擊情況統(tǒng)計
2月共監(jiān)控在線業(yè)務5870個(去重),共檢測到249個網站發(fā)生真實篡改,篡改總發(fā)現(xiàn)率高達4.24%。
其中博彩、色情、游戲類篡改是黑帽SEO篡改的主流類型。相比過去,醫(yī)療、代孕廣告類數(shù)量減少,可能和監(jiān)管機關對非正規(guī)醫(yī)療機構推廣限制有關。
此外,近期呈現(xiàn)一種重要的網站黑帽SEO趨勢:注冊已經被政府機關拋棄但曾用過的域名用來搭建博彩等暴利網站,大量政府機關含有舊域名鏈接的網頁就成了非法站點的天然外鏈,被利用提升其PR值。
3、高危漏洞攻擊趨勢跟蹤
深信服安全團隊對重要軟件漏洞進行深入跟蹤分析,近年來Java中間件遠程代碼執(zhí)行漏洞頻發(fā),同時受“永恒之藍”影響使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式。
2019年2月,Windows SMB日志量達千萬級,近幾月攻擊態(tài)勢持緩步上升趨勢;Weblogic系列漏洞的攻擊趨勢近幾月持續(xù)降低,Weblogic系列漏洞利用熱度降低;Struts2系列漏洞,PHPCMS系列漏洞本月攻擊次數(shù)大幅上升,近期應重點關注。
Windows SMB 系列漏洞攻擊趨勢跟蹤情況
Struts 2系列漏洞攻擊趨勢跟蹤情況
Weblogic系列漏洞攻擊趨勢跟蹤情況
PHPCMS系列漏洞攻擊趨勢跟蹤情況
網絡安全漏洞分析
1、本月漏洞收集情況
2019年2月深信服安全團隊通過自動化手段篩選并收錄國內外重點漏洞168條,包含34條0day漏洞。二月漏洞收集數(shù)量較1月相比有所上升。
對所收集的重要漏洞的攻擊方法進行統(tǒng)計,可以看到,信息泄露類型的漏洞所占比例最大(23%),其次代碼執(zhí)行,跨站點腳本攻擊,驗證繞過,緩沖區(qū)溢出和權限升級等類型的漏洞也占比排名考靠前。
2、全國網站漏洞類型統(tǒng)計
深信服云眼網站安全監(jiān)測平臺在2月對國內已授權的6966個站點進行漏洞監(jiān)控,發(fā)現(xiàn)的高危站點2463個,高危漏洞5888個,漏洞類別占比前三的分別是點擊劫持、CSRF跨站請求偽造和信息泄露。高危漏洞類型分布如下:
具體比例如下:
近期流行攻擊事件及安全漏洞盤點
1、流行攻擊事件盤點
。1)注入型勒索病毒Ryuk,伸向x64系統(tǒng)的魔爪
Ryuk是一款通過垃圾郵件和漏洞利用工具包傳播的勒索病毒,最早在2018年8月由國外某安全公司報道,其代碼結構與HERMES勒索病毒十分相似。
具體詳見:注入型勒索病毒Ryuk,伸向x64系統(tǒng)的魔爪
(2)WatchDogsMiner挖礦蠕蟲大量感染Linux服務器
近期,深信服安全團隊追蹤到公有云上及外部Linux服務器存在大量被入侵,表現(xiàn)為/tmp臨時目錄存在watchdogs文件,出現(xiàn)了crontab任務異常、網絡異常、系統(tǒng)文件被刪除、CPU異?D等情況,嚴重影響用戶業(yè)務。經確認,用戶Linux服務器被植入新型惡意挖礦蠕蟲,且較難清理,安全團隊將其命名為WatchDogsMiner。
具體詳見:緊急預警:WatchDogsMiner挖礦蠕蟲大量感染Linux服務器
。3)冒用有效簽名:Clop勒索病毒這股”韓流“已入侵國內企業(yè)
Clop勒索病毒是一款2019年最新出現(xiàn)的勒索病毒家族,主要活躍地區(qū)在韓國,并出現(xiàn)在國內傳播的趨勢,已有企業(yè)遭受該勒索病毒家族的攻擊。
具體詳見:冒用有效簽名:Clop勒索病毒這股”韓流“已入侵國內企業(yè)
。4)FilesLocker變種:Gorgon(蛇發(fā)女妖)勒索病毒感染政企系統(tǒng)
2月份,多家政企用戶上報系統(tǒng)遭受一種名為Gorgon的勒索軟件攻擊,該勒索軟件支持中、英、韓三種語言,并修改Winlogon項為勒索信息。該勒索軟件自命名為Gorgon(蛇發(fā)女妖),意為感染該病毒的系統(tǒng)都會被“石化”。
具體詳見:FilesLocker變種:Gorgon(蛇發(fā)女妖)勒索病毒感染政企系統(tǒng)
2、安全漏洞事件盤點
。1) Ubuntu Linux 權限升級漏洞
在2019年1月,國外安全人員在Ubuntu Linux的默認安裝中發(fā)現(xiàn)了一個權限提升漏洞。這是由于snapd API中的一個錯誤,這是一個默認服務。任何本地用戶都可以利用此漏洞獲取對系統(tǒng)的直接root訪問權限,CVE編號CVE-2019-7304。
具體詳見:【漏洞預警】Ubuntu Linux 權限升級漏洞
。2) runc容器逃逸漏洞
2019年2月11日,研究人員通過oss-security郵件列表披露了runc容器逃逸漏洞的詳情,CVE編號CVE-2019-5736
具體詳見:【漏洞預警】runc容器逃逸漏洞
。3) Jenkins 插件遠程代碼執(zhí)行漏洞
2019年1月8日,Jenkins官方發(fā)布了一則插件遠程代碼執(zhí)行漏洞的安全公告,官方定級為高危。2019年2月15日,網上公布了該漏洞的利用方式,該漏洞允許具有“Overall/Read”權限的用戶或能夠控制SCM中的Jenkinsfile、sandboxed Pipeline共享庫內容的用戶繞過沙盒保護并在Jenkins主服務器上執(zhí)行任意代碼。攻擊者可利用該漏洞獲取服務器的最高權限并進行進一步的內網攻擊。
具體詳見:【漏洞預警】Jenkins 插件遠程代碼執(zhí)行漏洞
(4) WordPress 5.0.0遠程代碼執(zhí)行漏洞
在2019年2月19日,國外安全人員在博客中的披露了一則Wordpress 5.0.0版本遠程代碼執(zhí)行漏洞。該漏洞本質上是由一個目錄遍歷漏洞以及一個本地文件包含漏洞組合利用而導致的一個遠程代碼執(zhí)行漏洞。當攻擊者獲取到WordPress站點具有一定訪問權限的賬戶后,即可利用該漏洞在底層服務器上執(zhí)行任意PHP代碼,從而實現(xiàn)完全遠程接管服務器的目的。
具體詳見:【漏洞預警】WordPress 5.0.0遠程代碼執(zhí)行漏洞
。5) Windows服務器易受IIS資源耗盡DoS攻擊
2019年2月20日,微軟應急響應中心報告了一個包含HTTP / 2惡意請求發(fā)送到運行Internet信息服務(IIS)的Windows Server時觸發(fā)的DOS攻擊。該攻擊本質上是通過客戶端發(fā)起的惡意HTTP / 2包含較多SETTINGS參數(shù)指定較多SETTINGS幀請求到運行IIS 10的服務器,導致系統(tǒng)CPU使用率達到100%進而拒絕服務。
具體詳見:【漏洞預警】Windows服務器易受IIS資源耗盡DoS攻擊
。6) Drupal 8遠程代碼執(zhí)行漏洞,GET方法也能觸發(fā)!
在2019年2月20日,Drupal官方團隊在最新的安全更新中披露了一則Drupal 8 遠程代碼執(zhí)行漏洞公告,屬于最嚴重級別漏洞。該漏洞本質上是由于用戶使用Drupal Core RESTful Web Services (rest)時,某些字段類型無法正確清理非格式源中的數(shù)據(jù)。在某些情況下,這可能導致任意PHP代碼執(zhí)行。攻擊者可利用該漏洞在服務器上執(zhí)行任意PHP代碼,從而實現(xiàn)完全遠程接管服務器的目的。
具體詳見:【漏洞預警】Drupal 8遠程代碼執(zhí)行漏洞,GET方法也能觸發(fā)!
。7)WinRAR絕對路徑穿越漏洞(CVE-2018-20250)在野利用傳播后門
WinRAR是一款用于Windows系統(tǒng)的解壓縮工具,全球用戶量超過5億。2019年2月20日,Check Point公布了之前向WinRAR報告的幾個安全漏洞,攻擊者可利用該漏洞制作惡意ACE格式文件,解壓文件時利用ACE解壓模塊文件UNACEV2.dll中的路徑遍歷漏洞將文件解壓縮到攻擊者指定的路徑。使用該漏洞將惡意文件釋放到啟動文件夾中能使系統(tǒng)在啟動時執(zhí)行惡意程序。
具體詳見:WinRAR絕對路徑穿越漏洞(CVE-2018-20250)在野利用傳播后門
安全防護建議
黑客入侵的主要目標是存在通用安全漏洞的機器,所以預防病毒入侵的主要手段就是發(fā)現(xiàn)和修復漏洞,深信服建議用戶做好以下防護措施:
。1)杜絕使用弱口令,避免一密多用
系統(tǒng)、應用相關的用戶杜絕使用弱口令,同時,應該使用高復雜強度的密碼,盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼,禁止密碼重用的情況出現(xiàn),盡量避免一密多用的情況。
。2)及時更新重要補丁和升級組件
建議關注操作系統(tǒng)和組件重大更新,如“永恒之藍”漏洞,使用正確渠道,如微軟官網,及時更新對應補丁漏洞或者升級組件。
。3)部署加固軟件,關閉非必要端口
服務器上部署安全加固軟件,通過限制異常登錄行為、開啟防爆破功能、防范漏洞利用,同時限制服務器及其他業(yè)務服務網可進行訪問的網絡、主機范圍。有效加強訪問控制ACL策略,細化策略粒度,按區(qū)域按業(yè)務嚴格限制各個網絡區(qū)域以及服務器之間的訪問,采用白名單機制只允許開放特定的業(yè)務必要端口,提高系統(tǒng)安全基線,防范黑客入侵。
(4)主動進行安全評估,加強人員安全意識
加強人員安全意識培養(yǎng),不要隨意點擊來源不明的郵件附件,不從不明網站下載軟件,對來源不明的文件包括郵件附件、上傳文件等要先殺毒處理。定期開展對系統(tǒng)、應用以及網絡層面的安全評估、滲透測試以及代碼審計工作,主動發(fā)現(xiàn)目前系統(tǒng)、應用存在的安全隱患。
。5)建立威脅情報分析和對抗體系,有效防護病毒入侵
網絡犯罪分子采取的戰(zhàn)術策略也在不斷演變,其攻擊方式和技術更加多樣化。對于有效預防和對抗海量威脅,需要選擇更強大和更智能的防護體系。深信服下一代安全防護體系(深信服安全云、深信服下一代防火墻AF、深信服安全感知平臺SIP、深信服終端檢測與響應平臺EDR)通過聯(lián)動云端、網絡、終端進行協(xié)同響應,建立全面的事前檢測預警、事中防御、事后處理的整套安全防護體系。云端持續(xù)趨勢風險監(jiān)控與預警、網絡側實時流量檢測與防御、終端事后查殺與溯源,深度挖掘用戶潛在威脅,立體全方位確保用戶網絡安全。