2019年2月，整體而言互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況指標(biāo)平穩(wěn)，但依然面臨著嚴(yán)峻的考驗(yàn)。一方面，老病毒和漏洞經(jīng)久不衰，新的安全事件層出不窮，利用“驅(qū)動人生”供應(yīng)鏈傳播的木馬病毒升級變異，以及WinRAR壓縮軟件曝出高危漏洞，影響范圍廣泛；另一方面，被攻擊的設(shè)備場景影響不斷擴(kuò)大，包括NVR（視頻監(jiān)控）設(shè)備場景、IoT設(shè)備場景等都面臨著被病毒進(jìn)一步入侵的風(fēng)險(xiǎn)。但監(jiān)測數(shù)據(jù)顯示，網(wǎng)站攻擊和網(wǎng)站漏洞數(shù)量連續(xù)多個(gè)月上升之后在本月放緩。

　　惡意攻擊14.1億次，平均每天攔截惡意程序5037萬次。

　　活躍惡意程序15961個(gè)，其中感染性病毒6836個(gè)，占比42.83%；木馬遠(yuǎn)控病毒5320個(gè)，占比33.33%。挖礦病毒種類443個(gè)，攔截次數(shù)9.16億次，較之前有所下降，其中Xmrig病毒家族最為活躍。

　　深信服全網(wǎng)安全態(tài)勢感知平臺對國內(nèi)已授權(quán)的6996個(gè)站點(diǎn)進(jìn)行漏洞監(jiān)控，發(fā)現(xiàn)：

　　高危站點(diǎn)2463個(gè)，高危漏洞5888個(gè)，主要漏洞類別是點(diǎn)擊劫持、CSRF跨站請求偽造和信息泄露。

　　監(jiān)控在線業(yè)務(wù)5870個(gè)，共有249個(gè)在線業(yè)務(wù)發(fā)生過真實(shí)篡改，篡改占比高達(dá)4.24%。

　　2019年2月，病毒攻擊的態(tài)勢在本月有所緩解，病毒攔截量比1月份下降近20%，近半年攔截惡意程序數(shù)量趨勢如下圖所示：

　　近半年惡意程序攔截趨勢

　　2019年2月，深信服安全云腦檢測到的活躍惡意程序樣本有15961個(gè)，較1月份明顯下降，其中感染性病毒6836個(gè)，占比42.83%；木馬遠(yuǎn)控病毒5320個(gè)，占比33.33%，挖礦病毒443個(gè)，占比1.37%。

　　2月總計(jì)攔截惡意程序14.1億次，比1月份下降20%，其中挖礦病毒的攔截量占比65%，其次是感染型病毒（14%）、木馬遠(yuǎn)控病毒（11%）、蠕蟲（6%）、后門軟件（3%），具體分布如下圖所示：

　　2019年2月惡意程序攔截量按類型分布

　　2019年2月，深信服安全云腦共攔截挖礦病毒9.16億次，比一月份下降14%，其中最為活躍的挖礦病毒家族是Xmrig、Wannamine、Minepool、Bitcoinminer、Zombieboyminer、Falsesign，特別是Xmrig家族，共攔截4.12億次。同時(shí)監(jiān)測數(shù)據(jù)顯示，被挖礦病毒感染的地域主要有廣東、浙江、北京等地，其中廣東省感染量依然是全國第一，感染比例上升1%。

　　2019年2月挖礦病毒活躍地區(qū)Top10

　　被挖礦病毒感染的行業(yè)分布中，政府受挖礦病毒感染情況最為嚴(yán)重，感染比例和1月基本持平，其次是企業(yè)和教育行業(yè)。

　　2019年2月挖礦病毒感染行業(yè)分布

　　2019年2月，深信服安全云腦檢測并捕獲感染性病毒樣本6836個(gè)，共攔截19147萬次。其中Virut家族是成為本月攻擊態(tài)勢最為活躍的感染性病毒家族，共被攔截8418萬次，此家族占了所有感染性病毒攔截?cái)?shù)量的44%；而排名第二第三的是Ramnit和Sality家族，本月攔截比例分別是為37%和11%。

　　2019年2月感染性病毒活躍家族攔截?cái)?shù)量TOP10

　　在感染性病毒危害地域分布上，廣東省（病毒攔截量）位列全國第一，占TOP10總量的28%，其次為浙江省和湖南省。

　　2019年2月感染性病毒活躍地區(qū)TOP10

　　從感染性病毒攻擊的行業(yè)分布來看，黑客更傾向于使用感染性病毒攻擊企業(yè)、教育、政府等行業(yè)。企業(yè)、教育、政府的攔截?cái)?shù)量占攔截總量的75%，具體感染行業(yè)分布如下圖所示：

　　2019年2月感染性病毒感染行業(yè)TOP10

　　深信服安全云腦2月檢測到木馬遠(yuǎn)控病毒樣本5320個(gè)，共攔截15271萬次，攔截量較1月下降22%。其中最活躍的木馬遠(yuǎn)控家族是Zusy，攔截?cái)?shù)量達(dá)2405萬次，其次是XorDDos、Injector。Glupteba病毒感染趨勢下降，本月攔截量占木馬遠(yuǎn)控病毒的比例為7.38%。

　　2019年2月木馬遠(yuǎn)控毒活躍家族TOP10

　　對木馬遠(yuǎn)控病毒區(qū)域攔截量進(jìn)行分析統(tǒng)計(jì)發(fā)現(xiàn)，惡意程序攔截量最多的地區(qū)為廣東省，占TOP10攔截量的21%，比1月份下降4%；其次為浙江（17%）、北京（14%）、四川（11%）和湖北（7%）。此外江蘇、山東、上海、福建、山西的木馬遠(yuǎn)控?cái)r截量也排在前列。

　　2019年2月木馬遠(yuǎn)控活躍地區(qū)TOP10

　　行業(yè)分布上，企業(yè)、政府及教育行業(yè)是木馬遠(yuǎn)控病毒的主要攻擊對象。其中企業(yè)占TOP10攔截量的32%，較1月份基本持平。

　　2019年2月木馬遠(yuǎn)控感染行業(yè)TOP10

　　2019年2月深信服安全云腦檢測到蠕蟲病毒樣本1185個(gè)，共攔截8901萬次，但通過數(shù)據(jù)統(tǒng)計(jì)分析來看，大多數(shù)攻擊都是來自于Gamarue、Jenxcus、Dorkbot、Mydoom、Palevo、Vobfus、Buzus、Phorpiex、Ngrbot家族，這些家族占據(jù)了2月全部蠕蟲病毒攻擊的98.8%，其中攻擊態(tài)勢最活躍的蠕蟲病毒是Gamarue，占蠕蟲病毒攻擊總量的85%。

　　2019年2月蠕蟲病毒活躍家族TOP10

　　從感染地域上看，廣東地區(qū)用戶受蠕蟲病毒感染程度最為嚴(yán)重，其攔截量占TOP10比例的33%；其次為江蘇�。�14%）、湖南�。�12%）。

　　2019年2月蠕蟲病毒活躍地區(qū)TOP10

　從感染行業(yè)上看，企業(yè)、政府等行業(yè)受蠕蟲感染程度較為嚴(yán)重。

　　2019年2月蠕蟲病毒感染行業(yè)分布

　　2019年2月，共檢測到活躍勒索病毒樣本量115個(gè)。其中，Wannacry、Razy、Gandcrab、Revenge、Teslacrypt、Locky、Mamba等依然是最活躍的勒索病毒家族，其中Wannacry家族本月攔截?cái)?shù)量有1156萬次，危害依然較大。

　　從勒索病毒傾向的行業(yè)來看，企業(yè)和政府感染病毒數(shù)量占總體的52%，是黑客最主要的攻擊對象，具體活躍病毒行業(yè)分布如下圖所示：

　　2019年2月勒索病毒感染行業(yè)分布

　　2019年2月勒索病毒活躍地區(qū)TOP10

　　從勒索病毒受災(zāi)地域上看，廣東地區(qū)受感染情況最為嚴(yán)重，其次是福建省和浙江省。

　　深信服全網(wǎng)安全態(tài)勢感知平臺監(jiān)測到全國34808個(gè)IP在2月所受網(wǎng)絡(luò)攻擊總量約為6億次。本月攻擊態(tài)勢與前三個(gè)月相比明顯下降。下圖為近半年深信服網(wǎng)絡(luò)安全攻擊趨勢監(jiān)測情況：

　　近半年網(wǎng)絡(luò)安全攻擊趨勢

　　下面從攻擊類型分布和重點(diǎn)漏洞攻擊分析2個(gè)緯度展示本月現(xiàn)網(wǎng)的攻擊趨勢：

　　攻擊類型分布

　　通過對云腦日志數(shù)據(jù)分析可以看到，2月捕獲攻擊以系統(tǒng)漏洞利用攻擊、Web掃描、WebServer漏洞利用、信息泄露攻擊、Webshell上傳、Dns服務(wù)器漏洞攻擊和暴力破解等分類為主。其中系統(tǒng)漏洞利用類型的占比更是高達(dá)36.70%，有近億的命中日志；Web掃描類型的漏洞占比29.10%；WebServer漏洞利用類型均占比13.30%。此外，信息泄露攻擊、Webshell上傳等攻擊類型在2月的攻擊數(shù)量有所增長。

　　2019年2月攻擊類型統(tǒng)計(jì)

　　通過對云腦日志數(shù)據(jù)分析，針對漏洞的攻擊情況篩選初本月攻擊利用次數(shù)TOP20的漏洞。

　　其中攻擊次數(shù)前三的漏洞分別是test.php、test.aspx、test.asp等文件訪問檢測漏洞、服務(wù)器目錄瀏覽禁止信息泄露漏洞和Apache Web Server ETag Header信息泄露漏洞，攻擊次數(shù)分別為59,185,795、20,276,680和18,424,531。

　　2月共監(jiān)控在線業(yè)務(wù)5870個(gè)（去重），共檢測到249個(gè)網(wǎng)站發(fā)生真實(shí)篡改，篡改總發(fā)現(xiàn)率高達(dá)4.24%。

　　其中博彩、色情、游戲類篡改是黑帽SEO篡改的主流類型。相比過去，醫(yī)療、代孕廣告類數(shù)量減少，可能和監(jiān)管機(jī)關(guān)對非正規(guī)醫(yī)療機(jī)構(gòu)推廣限制有關(guān)。

　　此外，近期呈現(xiàn)一種重要的網(wǎng)站黑帽SEO趨勢：注冊已經(jīng)被政府機(jī)關(guān)拋棄但曾用過的域名用來搭建博彩等暴利網(wǎng)站，大量政府機(jī)關(guān)含有舊域名鏈接的網(wǎng)頁就成了非法站點(diǎn)的天然外鏈，被利用提升其PR值。

　　深信服安全團(tuán)隊(duì)對重要軟件漏洞進(jìn)行深入跟蹤分析，近年來Java中間件遠(yuǎn)程代碼執(zhí)行漏洞頻發(fā)，同時(shí)受“永恒之藍(lán)”影響使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式。

　　2019年2月，Windows SMB日志量達(dá)千萬級，近幾月攻擊態(tài)勢持緩步上升趨勢；Weblogic系列漏洞的攻擊趨勢近幾月持續(xù)降低，Weblogic系列漏洞利用熱度降低；Struts2系列漏洞，PHPCMS系列漏洞本月攻擊次數(shù)大幅上升，近期應(yīng)重點(diǎn)關(guān)注。

　　Windows SMB 系列漏洞攻擊趨勢跟蹤情況

 

　　Struts 2系列漏洞攻擊趨勢跟蹤情況

　　Weblogic系列漏洞攻擊趨勢跟蹤情況

　　PHPCMS系列漏洞攻擊趨勢跟蹤情況

　　2019年2月深信服安全團(tuán)隊(duì)通過自動化手段篩選并收錄國內(nèi)外重點(diǎn)漏洞168條，包含34條0day漏洞。二月漏洞收集數(shù)量較1月相比有所上升。

　　對所收集的重要漏洞的攻擊方法進(jìn)行統(tǒng)計(jì)，可以看到，信息泄露類型的漏洞所占比例最大（23%），其次代碼執(zhí)行，跨站點(diǎn)腳本攻擊，驗(yàn)證繞過，緩沖區(qū)溢出和權(quán)限升級等類型的漏洞也占比排名考靠前。

　　深信服云眼網(wǎng)站安全監(jiān)測平臺在2月對國內(nèi)已授權(quán)的6966個(gè)站點(diǎn)進(jìn)行漏洞監(jiān)控，發(fā)現(xiàn)的高危站點(diǎn)2463個(gè)，高危漏洞5888個(gè)，漏洞類別占比前三的分別是點(diǎn)擊劫持、CSRF跨站請求偽造和信息泄露。高危漏洞類型分布如下：

　　具體比例如下：

　�。�1）注入型勒索病毒Ryuk，伸向x64系統(tǒng)的魔爪

　　Ryuk是一款通過垃圾郵件和漏洞利用工具包傳播的勒索病毒，最早在2018年8月由國外某安全公司報(bào)道，其代碼結(jié)構(gòu)與HERMES勒索病毒十分相似。

　　具體詳見：注入型勒索病毒Ryuk，伸向x64系統(tǒng)的魔爪

　　（2）WatchDogsMiner挖礦蠕蟲大量感染Linux服務(wù)器

　　近期，深信服安全團(tuán)隊(duì)追蹤到公有云上及外部Linux服務(wù)器存在大量被入侵，表現(xiàn)為/tmp臨時(shí)目錄存在watchdogs文件，出現(xiàn)了crontab任務(wù)異常、網(wǎng)絡(luò)異常、系統(tǒng)文件被刪除、CPU異�？�頓等情況，嚴(yán)重影響用戶業(yè)務(wù)。經(jīng)確認(rèn)，用戶Linux服務(wù)器被植入新型惡意挖礦蠕蟲，且較難清理，安全團(tuán)隊(duì)將其命名為WatchDogsMiner。

　　具體詳見：緊急預(yù)警：WatchDogsMiner挖礦蠕蟲大量感染Linux服務(wù)器

　�。�3）冒用有效簽名：Clop勒索病毒這股”韓流“已入侵國內(nèi)企業(yè)

　　Clop勒索病毒是一款2019年最新出現(xiàn)的勒索病毒家族，主要活躍地區(qū)在韓國，并出現(xiàn)在國內(nèi)傳播的趨勢，已有企業(yè)遭受該勒索病毒家族的攻擊。

　　具體詳見：冒用有效簽名：Clop勒索病毒這股”韓流“已入侵國內(nèi)企業(yè)

　�。�4）FilesLocker變種：Gorgon（蛇發(fā)女妖）勒索病毒感染政企系統(tǒng)

　　2月份，多家政企用戶上報(bào)系統(tǒng)遭受一種名為Gorgon的勒索軟件攻擊，該勒索軟件支持中、英、韓三種語言，并修改Winlogon項(xiàng)為勒索信息。該勒索軟件自命名為Gorgon（蛇發(fā)女妖），意為感染該病毒的系統(tǒng)都會被“石化”。

　　具體詳見：FilesLocker變種：Gorgon（蛇發(fā)女妖）勒索病毒感染政企系統(tǒng)

　�。�1） Ubuntu Linux 權(quán)限升級漏洞

　　在2019年1月，國外安全人員在Ubuntu Linux的默認(rèn)安裝中發(fā)現(xiàn)了一個(gè)權(quán)限提升漏洞。這是由于snapd API中的一個(gè)錯(cuò)誤，這是一個(gè)默認(rèn)服務(wù)。任何本地用戶都可以利用此漏洞獲取對系統(tǒng)的直接root訪問權(quán)限，CVE編號CVE-2019-7304。

　　具體詳見：【漏洞預(yù)警】Ubuntu Linux 權(quán)限升級漏洞

　　（2） runc容器逃逸漏洞

　　2019年2月11日，研究人員通過oss-security郵件列表披露了runc容器逃逸漏洞的詳情，CVE編號CVE-2019-5736

　　具體詳見：【漏洞預(yù)警】runc容器逃逸漏洞

　�。�3） Jenkins 插件遠(yuǎn)程代碼執(zhí)行漏洞

　　2019年1月8日，Jenkins官方發(fā)布了一則插件遠(yuǎn)程代碼執(zhí)行漏洞的安全公告，官方定級為高危。2019年2月15日，網(wǎng)上公布了該漏洞的利用方式，該漏洞允許具有“Overall/Read”權(quán)限的用戶或能夠控制SCM中的Jenkinsfile、sandboxed Pipeline共享庫內(nèi)容的用戶繞過沙盒保護(hù)并在Jenkins主服務(wù)器上執(zhí)行任意代碼。攻擊者可利用該漏洞獲取服務(wù)器的最高權(quán)限并進(jìn)行進(jìn)一步的內(nèi)網(wǎng)攻擊。

　　具體詳見：【漏洞預(yù)警】Jenkins 插件遠(yuǎn)程代碼執(zhí)行漏洞

　�。�4） WordPress 5.0.0遠(yuǎn)程代碼執(zhí)行漏洞

　　在2019年2月19日，國外安全人員在博客中的披露了一則Wordpress 5.0.0版本遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞本質(zhì)上是由一個(gè)目錄遍歷漏洞以及一個(gè)本地文件包含漏洞組合利用而導(dǎo)致的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。當(dāng)攻擊者獲取到WordPress站點(diǎn)具有一定訪問權(quán)限的賬戶后，即可利用該漏洞在底層服務(wù)器上執(zhí)行任意PHP代碼，從而實(shí)現(xiàn)完全遠(yuǎn)程接管服務(wù)器的目的。

　　具體詳見：【漏洞預(yù)警】WordPress 5.0.0遠(yuǎn)程代碼執(zhí)行漏洞

　�。�5） Windows服務(wù)器易受IIS資源耗盡DoS攻擊

　　2019年2月20日，微軟應(yīng)急響應(yīng)中心報(bào)告了一個(gè)包含HTTP / 2惡意請求發(fā)送到運(yùn)行Internet信息服務(wù)（IIS）的Windows Server時(shí)觸發(fā)的DOS攻擊。該攻擊本質(zhì)上是通過客戶端發(fā)起的惡意HTTP / 2包含較多SETTINGS參數(shù)指定較多SETTINGS幀請求到運(yùn)行IIS 10的服務(wù)器，導(dǎo)致系統(tǒng)CPU使用率達(dá)到100%進(jìn)而拒絕服務(wù)。

　　具體詳見：【漏洞預(yù)警】Windows服務(wù)器易受IIS資源耗盡DoS攻擊

　�。�6） Drupal 8遠(yuǎn)程代碼執(zhí)行漏洞，GET方法也能觸發(fā)！

　　在2019年2月20日，Drupal官方團(tuán)隊(duì)在最新的安全更新中披露了一則Drupal 8 遠(yuǎn)程代碼執(zhí)行漏洞公告，屬于最嚴(yán)重級別漏洞。該漏洞本質(zhì)上是由于用戶使用Drupal Core RESTful Web Services （rest）時(shí)，某些字段類型無法正確清理非格式源中的數(shù)據(jù)。在某些情況下，這可能導(dǎo)致任意PHP代碼執(zhí)行。攻擊者可利用該漏洞在服務(wù)器上執(zhí)行任意PHP代碼，從而實(shí)現(xiàn)完全遠(yuǎn)程接管服務(wù)器的目的。

　　具體詳見：【漏洞預(yù)警】Drupal 8遠(yuǎn)程代碼執(zhí)行漏洞，GET方法也能觸發(fā)！

　　（7）WinRAR絕對路徑穿越漏洞（CVE-2018-20250）在野利用傳播后門

　　WinRAR是一款用于Windows系統(tǒng)的解壓縮工具，全球用戶量超過5億。2019年2月20日，Check Point公布了之前向WinRAR報(bào)告的幾個(gè)安全漏洞，攻擊者可利用該漏洞制作惡意ACE格式文件，解壓文件時(shí)利用ACE解壓模塊文件UNACEV2.dll中的路徑遍歷漏洞將文件解壓縮到攻擊者指定的路徑。使用該漏洞將惡意文件釋放到啟動文件夾中能使系統(tǒng)在啟動時(shí)執(zhí)行惡意程序。

　　具體詳見：WinRAR絕對路徑穿越漏洞（CVE-2018-20250）在野利用傳播后門

　　黑客入侵的主要目標(biāo)是存在通用安全漏洞的機(jī)器，所以預(yù)防病毒入侵的主要手段就是發(fā)現(xiàn)和修復(fù)漏洞，深信服建議用戶做好以下防護(hù)措施：

　　（1）杜絕使用弱口令，避免一密多用

　　系統(tǒng)、應(yīng)用相關(guān)的用戶杜絕使用弱口令，同時(shí)，應(yīng)該使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼，禁止密碼重用的情況出現(xiàn)，盡量避免一密多用的情況。

　�。�2）及時(shí)更新重要補(bǔ)丁和升級組件

　　建議關(guān)注操作系統(tǒng)和組件重大更新，如“永恒之藍(lán)”漏洞，使用正確渠道，如微軟官網(wǎng)，及時(shí)更新對應(yīng)補(bǔ)丁漏洞或者升級組件。

　�。�3）部署加固軟件，關(guān)閉非必要端口

　　服務(wù)器上部署安全加固軟件，通過限制異常登錄行為、開啟防爆破功能、防范漏洞利用，同時(shí)限制服務(wù)器及其他業(yè)務(wù)服務(wù)網(wǎng)可進(jìn)行訪問的網(wǎng)絡(luò)、主機(jī)范圍。有效加強(qiáng)訪問控制ACL策略，細(xì)化策略粒度，按區(qū)域按業(yè)務(wù)嚴(yán)格限制各個(gè)網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪問，采用白名單機(jī)制只允許開放特定的業(yè)務(wù)必要端口，提高系統(tǒng)安全基線，防范黑客入侵。

　�。�4）主動進(jìn)行安全評估，加強(qiáng)人員安全意識

　　加強(qiáng)人員安全意識培養(yǎng)，不要隨意點(diǎn)擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件，對來源不明的文件包括郵件附件、上傳文件等要先殺毒處理。定期開展對系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評估、滲透測試以及代碼審計(jì)工作，主動發(fā)現(xiàn)目前系統(tǒng)、應(yīng)用存在的安全隱患。

　�。�5）建立威脅情報(bào)分析和對抗體系，有效防護(hù)病毒入侵

　　網(wǎng)絡(luò)犯罪分子采取的戰(zhàn)術(shù)策略也在不斷演變，其攻擊方式和技術(shù)更加多樣化。對于有效預(yù)防和對抗海量威脅，需要選擇更強(qiáng)大和更智能的防護(hù)體系。深信服下一代安全防護(hù)體系（深信服安全云、深信服下一代防火墻AF、深信服安全感知平臺SIP、深信服終端檢測與響應(yīng)平臺EDR）通過聯(lián)動云端、網(wǎng)絡(luò)、終端進(jìn)行協(xié)同響應(yīng)，建立全面的事前檢測預(yù)警、事中防御、事后處理的整套安全防護(hù)體系。云端持續(xù)趨勢風(fēng)險(xiǎn)監(jiān)控與預(yù)警、網(wǎng)絡(luò)側(cè)實(shí)時(shí)流量檢測與防御、終端事后查殺與溯源，深度挖掘用戶潛在威脅，立體全方位確保用戶網(wǎng)絡(luò)安全。