返回頂部
隱藏或顯示

新聞動態

News

深信服,讓IT更簡單、更安全、更有價值

純干貨 | 網絡安全態勢洞察報告2019-07

/ 2019-08-31


2019年7月,互聯網網絡安全狀況整體指標平穩,從各類監測數據顯示,無論是惡意程序攻擊、網絡安全攻擊還是高危漏洞數量,各項指標相對6月均有不同程度的下降。

另一方面,從深信服安全云腦捕獲的攻擊事件來看,7月幾個大的安全事件均由郵件釣魚攻擊導致,多個行業和單位受到損害。魚叉式網絡釣魚是盜取用戶憑證和各種敏感信息的慣用伎倆,當前看來該類方法依然奏效。深信服安全團隊提醒大家不要點擊來歷不明的郵件,注意加強安全防護意識。

7月,深信服安全云腦累計發現:

  • 惡意攻擊17.68億次,平均每天攔截惡意程序5863萬次。

  • 活躍惡意程序28912個,其中感染型病毒4963個,占比17.17%;木馬遠控病毒13977個,占比48.34%。挖礦病毒種類472個,攔截次數10.52億次,較6月上升0.6%,其中WannaMine病毒家族最為活躍。

深信服漏洞監測平臺對國內已授權的6549個站點進行漏洞監控,發現:

  • 高危站點3976個,高危漏洞135820個,漏洞類別主要是CSRF跨站請求偽造,信息泄露和XSS注入,共占比86%。

  • 監控在線業務8260個,共識別潛在篡改的網站有96個,篡改總發現率高達1.16%。


惡意程序活躍詳情


2019年7月,病毒攻擊的態勢呈現下降態勢,病毒攔截量比6月份下降約7.7%,近半年攔截惡意程序數量趨勢如下圖所示:

2019年7月,深信服安全云腦檢測到的活躍惡意程序樣本有28912個,其中木馬遠控病毒13977個,占比48.34%,蠕蟲病毒7079個,占比24.48%,感染型病毒4963個,占比17.17%,勒索病毒511個,占比1.77%,挖礦病毒472個,占比1.63%。

7月總計攔截惡意程序17.68億次,其中挖礦病毒的攔截量占比59.48%,其次是木馬遠控病毒(14.80%)、蠕蟲病毒(10.95%)、感染型病毒(7.61%)、后門軟件(6.59%)、勒索病毒(0.39%)。

1. 勒索病毒活躍狀況


2019年7月,共攔截勒索病毒數量683萬次。其中,WannaCryRazyCryptGandCrab依然是最活躍的勒索病毒家族,其中WannaCry家族7月攔截數量有583萬次,危害依然較大。

從勒索病毒傾向的行業來看,企業感染病毒數量占總體的31%,是黑客最主要的攻擊對象,具體活躍病毒行業分布如下圖所示:

從勒索病毒受災地域上看,廣東地區受感染情況最為嚴重,其次是四川省和陜西省。

2. 挖礦病毒活躍狀況


2019年7月,深信服安全云腦共攔截挖礦病毒10.52億次,其中最為活躍的挖礦病毒是WannaMineMinePoolXmrig,特別是WannaMine家族,共攔截4.71億次。同時監測數據顯示,被挖礦病毒感染的地域主要有廣東省、北京市、浙江省等地,其中廣東省感染量第一。

被挖礦病毒感染的行業分布如下圖所示,其中企業受挖礦病毒感染情況最為嚴重。

3. 感染型病毒活躍狀況


2019年7月,深信服安全云腦檢測并捕獲感染型病毒樣本4963個,共攔截1.17億次。其中Virut家族是成為7月攻擊態勢最為活躍的感染型病毒家族,共被攔截7143萬次,此家族占了所有感染型病毒攔截數量的61.27%;而排名第二第三的是Sality和Wapomi家族,7月攔截比例分別是為23.86%和4.98%。7月感染型病毒活躍家族TOP榜如下圖所示:

在感染型病毒危害地域分布上,廣東省病毒攔截量位列第一,占TOP10總量的39%,其次為浙江省和江蘇省。

從感染型病毒攻擊的行業分布來看,黑客更傾向于使用感染型病毒攻擊企業、教育等行業。企業教育的攔截數量占感染型病毒攔截總量的76%,具體感染行業分布如下圖所示:

4. 木馬遠控病毒活躍狀況


深信服安全云腦在7月檢測到木馬遠控病毒樣本13977個,共攔截2.62億次。其中最活躍的木馬遠控家族是Drivelife,攔截數量達6092萬次,其次是Siscos、Injector。具體分布數據如下圖所示:

對木馬遠控病毒區域攔截量進行分析統計發現,惡意程序攔截量最多的地區為廣東省,占TOP10攔截量的26%;其次為北京市(14%)、廣西壯族自治區(11%)、浙江省(11%)和山東省(7%)。此外湖南省、四川省、江蘇省、上海市、福建省的木馬遠控攔截量也排在前列。

行業分布上,企業教育行業是木馬遠控病毒的主要攻擊對象。

5. 蠕蟲病毒活躍狀況


2019年7月深信服安全云腦檢測到蠕蟲病毒樣本7079個,共攔截1.94億次,但通過數據統計分析來看,大多數攻擊都是來自于Ramnit、Gamarue、Jenxcus、Dorkbot、Faedevour、Morto、Small家族,這些家族占據了7月全部蠕蟲病毒攻擊的96%,其中攻擊態勢最活躍的蠕蟲病毒是Ramnit,占蠕蟲病毒TOP10總量的49%。

從感染地域上看,廣東省地區用戶受蠕蟲病毒感染程度最為嚴重,其攔截量占TOP10總量的28%;其次為湖南省(12%)、浙江省(10%)。

從感染行業上看,企業教育等行業受蠕蟲感染程度較為嚴重。

網絡安全攻擊趨勢分析


深信服全網安全態勢感知平臺監測到全國36584個IP在7月所受網絡攻擊總量約為4.3億次。7月攻擊態勢較上月有明顯下降。下圖為近半年深信服網絡安全攻擊趨勢監測情況:

1. 安全攻擊趨勢


下面從攻擊類型分布和重點漏洞攻擊分析2個維度展示7月現網的攻擊趨勢:

(1)攻擊類型分布

通過對云腦日志數據分析可以看到,7月捕獲攻擊以WebServer漏洞利用、系統漏洞利用、信息泄漏、Web掃描、數據庫漏洞利用等分類為主。其中WebServer漏洞利用類型的占比高達41.73%,攻擊次數達1.7億多次;系統漏洞利用類型均占比21.84%。

主要攻擊種類和比例如下:

(2)重點漏洞攻擊分析

通過對深信服安全云腦日志數據分析,針對漏洞的攻擊情況篩選出7月攻擊利用次數最高的漏洞TOP20。

其中漏洞被利用次數前三的漏洞分別是Apache HTTP Server mod_log_config 遠程拒絕服務漏洞(保持不變)、Nginx URI Processing安全繞過漏洞Apache Web Server ETag Header 信息泄露漏洞,命中次數分別為58527778、44965615和36628816。


2. 高危漏洞攻擊趨勢跟蹤


深信服安全團隊對重要軟件漏洞進行深入跟蹤分析,近年來Java中間件遠程代碼執行漏洞頻發,同時受永恒之藍影響使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式。

2019年7月,Windows SMB日志量仍達千萬級,但結束了近幾月持續上升的攻擊趨勢,其中依舊是攔截到的(MS17-010)Microsoft Windows SMB Server 遠程代碼執行漏洞攻擊利用日志最多;Struts2系列漏洞近幾月攻擊次數在一千萬至兩千萬之間波動,趨勢較為平緩;Weblogic系列漏洞的攻擊總體呈波動狀態,本月有小幅上升;PHPCMS系列漏洞攻擊次數近幾月持續下降。

Windows SMB 系列漏洞攻擊趨勢跟蹤情況:

Struts2系列漏洞攻擊趨勢跟蹤情況:

Weblogic系列漏洞攻擊趨勢跟蹤情況:

PHPCMS系列漏洞攻擊趨勢跟蹤情況:

網絡安全漏洞分析


1. 全國網站漏洞類型統計


深信服網站安全監測平臺7月對國內已授權的6549個站點進行漏洞監控,發現高危站點3976個,高危漏洞135820個,漏洞類別主要是CSRF跨站請求偽造信息泄露XSS注入,總占比86.50%,詳細高危漏洞類型分布如下:

具體比例如下:

2. 篡改情況統計


7月總監控在線業務8260個(去重),共識別潛在篡改的網站有96個(去重),篡改總發現率為1.16%。

其中首頁篡改19個,二級頁面篡改38個,多級頁面篡改39個。

具體分布圖如下圖所示:

近期流行攻擊事件及安全漏洞盤點


1. 流行攻擊事件


(1)Globelmposter勒索病毒最新變種預警:從“十二生肖”到“十二主神”,為何國內醫療行業最受傷?

近日,深信服安全團隊觀察到Globelmposter勒索病毒又出現最新變種,加密后綴有Ares666、Zeus666、Aphrodite666、Apollon666等,目前國內已有多家大型醫院率先發現感染案例!

具體詳見:Globelmposter勒索病毒最新變種預警:從“十二生肖”到“十二主神”,為何國內醫療行業最受傷?

(2)感染數萬設備!警惕ZombieBoy挖礦木馬“喪尸式”傳播

近日,深信服安全團隊監測到一款名為ZombieBoy的木馬悄然感染了國內外各個行業的用戶主機。該木馬包含了內網掃描、“永恒之藍”漏洞利用、“雙脈沖星”后門、挖礦工具等多個惡意模塊,是一款集傳播、遠控、挖礦功能為一體的混合型木馬。該木馬的結構類似于“MassMine”,由于釋放第一個惡意DLL文件時使用了一個名為ZombieBoy的工具,因此被命名為ZombieBoy挖礦木馬。

具體詳見:感染數萬設備!警惕ZombieBoy挖礦木馬“喪尸式”傳播

(3)狼狽為奸!Trickbot銀行木馬下發Ryuk勒索病毒,大型企業損失慘重

近日,深信服安全團隊捕獲到一起利用Trickbot下發Ryuk勒索病毒的攻擊事件。Ryuk勒索病毒最早于2018年8月被安全研究人員披露,名稱來源于死亡筆記中的死神。該勒索病毒運營團伙最早通過遠程桌面服務等方式針對大型企業進行攻擊。

具體詳見:狼狽為奸!Trickbot銀行木馬下發Ryuk勒索病毒,大型企業損失慘重

(4)Golang蠕蟲泛濫?讓我們揪出其始作俑者

近日,國外安全網站SECURITYWEEK披露,一款Go語言惡意軟件正大量感染Linux服務器,其使用了多達6種傳播感染方式,包含4個遠程執行漏洞(ThinkPHP、THinkPHP2、Dural、Confluence),2個弱密碼爆破攻擊(SSH、Redis)。深信服安全團隊對該蠕蟲進行了追蹤。

具體詳見:Golang蠕蟲泛濫?讓我們揪出其始作俑者

(5)進口勒索“美杜莎” (Medusa Ransom)作祟,盯上國內政企用戶

近日,深信服安全團隊接到國內首例Medusa勒索病毒入侵企業用戶事件,用戶發現web服務器業務中斷,立刻重啟服務器后使用深信服EDR查殺隔離病毒,結束加密進程,及時止損。經分析,該勒索病毒名為Medusa Ransom,最早于2018年在國外活動,加密后會修改桌面背景為古希臘神話中蛇發女妖“美杜莎”的圖片。

具體詳見:進口勒索“美杜莎” (Medusa Ransom)作祟,盯上國內政企用戶

(6)Gozi銀行木馬再現,針對高新制造業、進出口企業的“魚叉式攻擊”

近日,深信服安全團隊監測到針對進出口貿易企業、國內大型高新制造業的魚叉式網絡釣魚攻擊活動再次開始活躍。攻擊者通過偽造政府部門郵件、企業內部郵件等方式向目標機構特定部門(如:采購部門、財務部門等)發起攻擊,企圖在目標主機分發銀行木馬,竊取機密信息。

具體詳見:Gozi銀行木馬再現,針對高新制造業、進出口企業的“魚叉式攻擊”

(7)Invoice釣魚郵件姿勢多,進出口企業機密信息易泄漏

近日,深信服安全團隊接到某大型進出口企業反饋,根據安全感知平臺提示,內網部分郵箱遭受到惡意郵件的攻擊。經安全研究人員分析發現,該惡意郵件包含一個疑似lokibot惡意軟件的附件,主要是用于竊取用戶各類賬號密碼等機密信息。通過過程中的一些數據分析確定這是一起針對特定行業的定向攻擊事件。

具體詳見:Invoice釣魚郵件姿勢多,進出口企業機密信息易泄漏

2. 安全漏洞事件


(1)【漏洞預警】Apache axis遠程命令執行漏洞

近日,深信服發現Apache axis組件遠程命令執行漏洞利用方式。該漏洞本質是由于管理員對AdminService配置錯誤,當enableRemoteAdmin屬性設置為true時,攻擊者可以遠程利用AdminService接口自行發布構造的WebService,再次訪問生成的WebService接口時,就可以觸發內部引用的類進行遠程命令執行漏洞的利用。

具體詳見:【漏洞預警】Apache axis遠程命令執行漏洞

(2)【漏洞預警】MailEnable漏洞(CVE-2019-12923~CVE-2019-12927)

近日,深信服安全團隊發現郵件服務器MailEnable爆出了一組漏洞,第一時間進行跟蹤以及分析預警。經研究發現,利用該組漏洞,攻擊者可以實現用戶數據增刪改查、文件讀取以及部分越權操作。

具體詳見:【漏洞預警】MailEnable漏洞(CVE-2019-12923~CVE-2019-12927)

(3)【漏洞預警】微軟七月補丁更新重要漏洞

2019年07月09日,Microsoft在7月份安全更新公告中修復77個漏洞,其中15個為高危漏洞,2個漏洞已知在野外被利用。

具體詳見:【漏洞預警】微軟七月補丁更新重要漏洞

(4)【漏洞預警】Redis未授權訪問高危漏洞

近日,深信服安全團隊發現開源數據庫Redis爆出了一個未授權訪問漏洞,第一時間進行跟蹤以及分析預警。經研究發現,利用該漏洞,攻擊者可以實現反彈shell進行任意代碼執行。

具體詳見:【漏洞預警】Redis未授權訪問高危漏洞

(5)【漏洞預警】Microsoft Windows DHCP服務器遠程代碼執行漏洞(CVE-2019-0785)

2019年07月09日,Microsoft在7月份安全更新公告中披露了一則DHCP服務器遠程代碼執行漏洞。通過此漏洞,攻擊者發送特制數據包到設置為故障轉移模式的DHCP服務器,可以實現遠程代碼執行或使DHCP服務器拒絕響應。

具體詳見:【漏洞預警】Microsoft Windows DHCP服務器遠程代碼執行漏洞(CVE-2019-0785)

(6)【漏洞預警】Discuz! ML 任意代碼執行漏洞

2019年7月11日,網絡上出現了一個Discuz!ML遠程代碼執行漏洞的PoC,經過深信服安全研究員驗證分析發現,攻擊者能夠利用該漏洞在請求流量的cookie字段中(language參數)插入任意代碼,執行任意代碼,從而實現完全遠程接管整個服務器的目的,該漏洞利用方式簡單,危害性較大。

具體詳見:【漏洞預警】Discuz! ML 任意代碼執行漏洞

(7)【漏洞預警】fastjson遠程代碼執行漏洞

近日,fastjson遠程代碼執行漏洞的利用方式公開。此漏洞由于fastjson autotype在處理json對象時,對于@type的字段未能有效的進行安全驗證,攻擊者可以插入危險類,利用rmi接口調用遠端服務器上的惡意文件執行命令。

具體詳見:【漏洞預警】fastjson遠程代碼執行漏洞

(8)【漏洞預警】Atlassian Jira遠程命令執行漏洞

近日,Atlassian Jira遠程命令執行漏洞的利用方式公開。此漏洞由于Atlassian Jira中的Atlassian Jira Server和Jira Data Center模塊存在模板注入,在表單插入java惡意代碼,當服務端對傳入數據進行解析時,會執行數據中插入的代碼,并執行其中的命令,實現遠程命令執行漏洞的利用。

具體詳見:【漏洞預警】Atlassian Jira遠程命令執行漏洞

(9)【漏洞預警】Atlassian Crowd遠程命令執行

近日,Adobe Coldfusion官方修復了Coldfusion軟件中存在的一個遠程代碼執行漏洞,漏洞編號:CVE-2019-7839,該漏洞評分10分,漏洞等級嚴重,該漏洞影響范圍較廣,危害性較大,攻擊者可以通過JNBridge技術不受限制地訪問遠程Java運行時環境,從而允許執行任意代碼和系統命令。

具體詳見:【漏洞預警】Atlassian Crowd遠程命令執行

(10)Drupal訪問繞過漏洞預警

在2019年7月17日,Drupal官方發布了SA-CORE-2019-008安全公告,此次安全公告中Drupal官方修復了一個Drupal訪問繞過漏洞(CVE-2019-6342),漏洞官方定級為嚴重。在Drupal 8.7.4中,當啟用實驗性工作空間模塊時,會創建一個訪問旁路條件,造成訪問繞過漏洞。用戶可以通過禁用Workspaces模塊來進行緩解。該漏洞只影響Drupal 8.7.4版本,其他任何版本均不受影響。

具體詳見:Drupal訪問繞過漏洞預警

(11) Sodinokibi勒索病毒利用Flash漏洞強勢來襲

自GandCrab宣布停止運營以來,勒索病毒攻擊事件并沒有隨著GandCrab的退出而減少,全球各地每天仍有用戶因為數據遭到加密而損失慘重。在后來居上的各個勒索病毒家族中,Sodinokibi勒索已經成為了現在全球最流行的勒索病毒之一,也被稱為GandCrab的“接班人”。

具體詳見:Sodinokibi勒索病毒利用Flash漏洞強勢來襲

(12)【漏洞預警】FasterXML Jackson-databind遠程代碼執行漏洞

近日,FasterXML Jackson-databind遠程代碼執行漏洞的利用方式公開。此漏洞利用FasterXML Jackson-databind的logback-core類建立JDBC連接,加載插入惡意代碼的sql文件,獲取服務器權限,實現遠程代碼執行漏洞的利用。

具體詳見:【漏洞預警】FasterXML Jackson-databind遠程代碼執行漏洞

©2000-2019    深信服科技股份有限公司    版權所有    粵ICP備08126214號-5

粵公網安備

粵公網安備44030502002384號

国产精品香蕉视频在线-香蕉视频无限次观看-骚视频