网络安全整体解读
2018年,全国IT基础设施投资不断增加,攻击面不断扩张,攻击来源更加多样,攻击场景也进一步复杂化。本文从恶意程序(僵尸、蠕虫、勒索、挖矿)活跃状况、漏洞利用攻击情况、网站漏洞监测情况、网络篡改监测情况等方面剖析当前我国互联网攻击的现状,追踪WebLogic系列漏洞及GandCrab勒索病毒,并给出2019年网络安全预测。知己知彼,方能百战不怠!
深信服全网安全监测平台累计发现:
• 恶意程序样本83261个(不重复计算),累计攻击超过200.1亿次,平均每天拦截恶意程序近5千万次。攻击形势依旧非常严峻。
• 全国30692个IP在2018年受到网络攻击总量为56.5亿次。平均每台主机每月受到的攻击次数高达1400次以上。网站安全依然不容乐观。
深信服漏洞监测平台今年检测了全国30692个站点,发现网站漏洞问题依旧严峻,高危漏洞数量继续攀升,教育和政府行业最值得关注。其中:
• 高危漏洞32477个,高危站点比例达10%。
• 网站篡改1280例。篡改站点的比例高达4.2%。
根据2018年网络发展趋势,预测2019年网络安全总体趋势如下:攻击动机方面,获取经济利益成为黑客攻击的主要目的,攻击面不断扩张;攻击场景不断复杂化。其中:
• 供应链安全相关攻击增加
• 通过物联网发起的DDoS攻击可能成为主流
• 区块链漏洞需引起重视
• 基于漏洞利用进行传播的勒索挖矿愈加频繁
网络安全趋势详情
注:本章中恶意程序(僵尸、蠕虫、勒索、挖矿)攻击活跃数据采集自第四季度。
僵尸网络活跃状况
2018年第4季度,深信服全网安全监测平台共检测并捕获僵尸网络样本11519个,共拦截近2.9亿次。其中mylobot家族是本季度攻击态势最为活跃的僵尸网络家族,共被拦截近亿次,此家族占了所有僵尸网络拦截数量的42%;而排名第二第三的glupteba和nitol家族也呈现上升趋势,本季度拦截比例分别是为16%和12%
在僵尸网络危害地域分布上,湖南省(病毒感染量)位列全国第一,占僵尸网络TOP10总量的26%,其次为广东省和浙江省。
从僵尸网络攻击的行业分布来看,黑客更倾向于使用僵尸网络攻击企业、政府、教育等行业。大企业、政府、教育行业的拦截数量占僵尸网络TOP10拦截总量的近80%,具体感染行业TOP10分布如下图所示:
木马远控病毒活跃状况
2018年第4季度,深信服全网安全监测平台共检测到木马远控病毒样本4393个,共拦截10.12亿次。其中最活跃的木马远控家族仍然是zusy,拦截数量达3.04亿次,其次是glupteba、anyun。具体分布数据如下图所示:
对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占TOP10拦截量的 26%;其次为浙江(22%)、四川(10%)、江苏(7%)和北京(7%)。此外山东、湖南、上海、江西、湖北的木马远控拦截量也排在前列。
行业分布上,企业、科研教育及政府行业是木马远控病毒的主要攻击对象。
蠕虫病毒活跃状况
2018年第4季度,深信服全网安全监测平台共检测到蠕虫病毒样本3188个,共拦截4.7亿次,但通过数据统计分析来看,大多数攻击都是来自于gamarue、conficker、palevo、vobfus、bondat、ngrbot、brontok家族,上述蠕虫病毒家族的攻击占据了第4季度全部蠕虫病毒攻击的99.6%,其中攻击态势最活跃的蠕虫病毒是gamarue家族,占蠕虫病毒攻击总量的87%。
从感染地域上看,广东地区用户受蠕虫病毒感染程度最为严重,其拦截量占TOP10比例 31%;其次为江西省(21%)、江苏省(12%)。
从感染行业上看,企业、教育和政府行业受蠕虫感染程度较为严重。
挖矿病毒活跃状况
2018年第4季度,深信服全网安全监测平台共捕获挖矿病毒样本437个,拦截挖矿病毒13.7亿次,其中最为活跃的挖矿病毒是xmrig、wannamine、zombieboyminer、minepool、bitcoinminer,其中攻击态势最活跃的xmrig家族,共拦截8.76亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东、浙江、上海等地,其中广东省感染量全国第一。
被挖矿病毒感染的行业分布如下图所示,其中企业受挖矿病毒感染情况最为严重,其次是政府和教育行业。
勒索病毒活跃状况
2018年第4季度,深信服全网安全监测平台共检测到活跃勒索病毒样本量281个,共拦截1.2亿次。wannacry、gandcrab、teslacrypt、locky、cryptowall依然是最活跃的勒索病毒家族,其中wannacry家族本季度拦截数量呈快速上升趋势。从深信服全网安全监测平台监测的数据显示,勒索病毒近期仍然持续呈现活跃态势,且病毒攻击手法的专业性较之前有了明显的提升。从勒索病毒倾向的行业来看,企业和教育行业感染病毒数量占总体的55%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:
从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是福建省和浙江省。
漏洞利用攻击拦截状况
从近一年全国受攻击主机日志中提取受攻击的30692个IP所受的56.5亿次网络攻击的流量进行统计分析,攻击类型从数据比例上看,主要为Web扫描,WebServer漏洞利用和Webshell上传。主要网络攻击类型分布如下图所示:
从利用漏洞攻击拦截地域上看,北京地区防御情况最好,其次是广东省和上海省。
漏洞利用攻击发起状况
发出的攻击流量反映了黑客或受控主机等的黑客攻击行为,深信服安全团队从近一年发起攻击行为的主机中筛选近30692个IP发出的3千万个攻击数据包,对其攻击类型统计分析,利用漏洞的攻击流量以WebSever漏洞、操作系统漏洞利用、Web扫描和信息泄露攻击等漏洞类型为主。主要攻击类型分布如下图所示:
从利用漏洞攻击发起地域上看,北京地区发起攻击最多,其次是湖南省和上海市。
网站漏洞监测状况
对全国境内得到授权的30692个站点进行漏洞监测,监测到其中高危漏洞32477个,高危站点比例为10%。漏洞类型以信息泄露、链接失效和信息收集为主。具体分布如下:
从中高危漏洞数量上看,上海地区发现的漏洞数量最多,其次是广东省和贵州省。
网站篡改监测状况
2018年共检测到1280个网站发生真实篡改,篡改动机以SEO吸引搜索引擎流量变现为主。博彩、色情、游戏类篡改是黑帽SEO篡改的主流类型。医疗、代孕类广告数量相对减少,可能和监管机关对非正规医疗广告推广的控制有关。
威胁情报专项分析
WebLogic系列高危漏洞追踪
WebLogic系列高危漏洞
WebLogic是美国Oracle公司出品的一个应用服务器(application server)。在功能性上,WebLogic是JAVA EE的应用服务器。是商业软件里排名第一的容器(JSP、servlet、EJB等),是一个综合的开发及运行环境。
目前WebLogic在全球的使用量也占居前列,据统计,在全球范围内对互联网开放WebLogic服务的资产数量多达35,382台,美国和中国的WebLogic的使用量接近WebLogic总使用量的70%,其中归属中国地区的资产数量为10,562台。
2018年,WebLogic被披露多起高危漏洞。深信服安全团队深入分析,发布漏洞预警时间线如下:
高危漏洞触发前提分析
对高危漏洞的触发前提进行统计分析:
可以看到,以上所有漏洞触发前提都涉及对外开放了WebLogic服务端口,和使用了Oracle WebLogic Server10.3.6.0, 12.2.1.3,12.1.3.0 中的任何一个版本的WebLogic服务两点。
由于Oracle官方对于WebLogic最近爆发的漏洞的修补只是进行黑名单禁用危险类的调用,所以在之后可能依然会有很多WebLogic高危漏洞出现。因此建议使用WebLogic服务的用户一定要及时更新补丁。
GandCrab勒索病毒追踪
GandCrab勒索病毒是2018年勒索病毒家族中最活跃的家族,该勒索病毒首次出现于2018年1月,在将近一年的时候内,经历了五个大版本的更新迭代,此勒索病毒的传播感染方式多种多样,使用的技术也不断升级,勒索病毒采用高强度加密算法,导致加密后的文件,大部分无法解密。深信服监测到的感染区域包括新疆、广东、安徽、青海、江西、福建、浙江、山西、吉林、贵州、天津、北京、上海、河北、山东、辽宁、江苏、四川等,基本覆盖大半个中国,以东部沿海最为严重。
2019年网络安全趋势预测
根据2018年网络发展趋势,总体趋势大致做如下预测:
• 攻击动机方面,获取经济利益成为黑客攻击的主要目的。快速变现的手段受到黑客的偏爱,如广告流量变现、数据盗窃变现、勒索破坏变现、资源滥用变现。
• 攻击面不断扩张。随着全国IT基础设施投资不断增加,传统的PC、服务器已经远不能满足黑客胃口,新的攻击平面包括IoT(打印机、摄像头)、各类暴露的互联网服务(WebApp、文件共享服务)、各类新的互联网业务(区块链等)、移动应用、电信基础设施等以及供应链的各个环节。
• 攻击场景不断复杂化。已经监测到的攻击场景除传统的僵尸网络以及面向Web应用的各类漏洞利用攻击之外,新的场景如各种自动化的批量黑帽SEO篡改攻击、勒索病毒、数据窃取、钓鱼、挖矿、面向IoT的僵尸网络攻击(DDoS)等等。
供应链安全相关攻击增加
供应链攻击通常利用用户对供应商的固有信任,将官方软件沦为感染源(比如利用安全软件当后门),是APT组织常用手段,曾经著名的Stuxnet事件借由USB感染并破坏了伊朗的核设施;目前已经有黑产利用供应链污染等手段开展攻击。近年来的著名供应链攻击事件有:Xshell的Shadowpad攻击、CCleaner的后门攻击事件、XcodeGhost第三方恶意代码注入苹果App事件等。
竹节虫攻击也是一种典型的黑产借由供应链进行攻击的事件,通过免费的小工具诱导用户下载使用,内部却嵌入了远控后门及盗刷广告流量的恶意代码。
另外,目前开源开发框架普遍支持第三方组件的上传,却在组件审核方面缺乏监管。需要高度警惕黑产通过上传恶意代码到组件仓库的方式,攻击用户并窃取隐私数据。
通过物联网发起的DDoS攻击可能成为主流
以Mirai及一系列变种或改进(如Satori、IoTReaper等)为代表,通过对包括22、23、2323等端口的暴力破解登陆设备,或利用如CWMP端口设备的RCE(远程命令执行)漏洞传播,并控制被控设备从远程C&C服务器加载获取与控制端通信并开展DDoS攻击的恶意代码。此类僵尸网络面向数量规模巨大的路由器、DVR设备、摄像头等IoT设备进行感染,支持多种协议的DDoS攻击,通信的C&C服务器开始使用DGA算法变更域名。
不像PC或移动设备操作系统有固定几个厂商,IoT设备供应商数量众多,且往往对安全疏于监管,全球多国大量分布,以及版本碎片化等问题导致相应的安全隐患的解决尚需时日。
区块链漏洞需引起重视
服务器恶意挖矿
挖矿的本质是暴力计算符合条件的哈希值并获得全网认可,特征是消耗所在设备的CPU电力和时间,有自行挖矿(Solo)和矿池挖矿(StakePool)两类。由于全网算力的快速上升导致自行挖矿获取区块奖励概率已经极低。接入矿池接受分工并与矿池分成已经成为一种借助不高的算力获取稳定挖矿收益的主要模式。挖矿病毒往往具有蠕虫特征,可在内网利用服务器漏洞进行传播,典型的如RubyMiner、JbossMiner等。
客户端挖矿
目前典型如利用以CoinHive为代表的JS挖矿脚本进行的浏览器挖矿(Cryptojacking)、以及如CoinKrypt的移动终端挖矿。随着近年电子货币价格不断提升的趋势以及移动终端算力、续航的持续提升,此类恶意移动恶意软件也在呈现逐步增加的趋势。
数字货币盗取(凭证盗窃)
服务器或客户端的数字货币凭证被黑客盗取。各种盗取方式也是各显神通,有黑客通过钓鱼盗取数字受害者数字货币交易平台账号方式,有通过恶意软件替换受害者转账目标钱包地址的方式,有通过恶意软件或者漏洞直接盗取受害者数字货币钱包私钥方式,还有通过替换矿机上钱包地址等方式进行盗窃等等。
针对区块链相关的攻击,进入2018年以来,勒索有所减少,挖矿增多。主要原因是勒索目标多数并不知道如何通过比特币缴纳赎金,且多数用户的数据价值没有这么大,勒索的投入产出比比较低。另外由于执法者的打击,部分RaaS网站已经关闭。
恶意挖矿蠕虫常利用的漏洞有Apache struts(S2-005到S2-053)、Apache RCE(Apache远程代码执行漏洞曾导致Equifax的重大信息泄露事故)、dotnetnuke、旧windows、linux系统漏洞如17010等;有些可能结合pdf、word栈溢出、堆溢出漏洞等进行恶意代码加载执行,且攻击呈现高度自动化。
基于漏洞利用进行传播的勒索挖矿愈加频繁
2018年以来,截至目前,深信服重点跟踪的利用漏洞进行传播的安全事件将近300例,其中利用漏洞进行传播的挖矿占比最高,达到26.35%,勒索次之,达到23.82%,挖矿和勒索占据安全事件比例高达50%。
如果以对企业的危害性而言,勒索的危害是最高的(致命),几乎是纯破坏型,可以严重到关键数据库被摧毁,重要业务崩溃且不可还原。挖矿虽然危害没有勒索高,不会导致数据被加密,但挖矿却长期潜伏在企业内网,严重榨干企业PC/服务器资源,表现为性能下降,异常卡顿。
基于漏洞利用进行传播的勒索挖矿发展趋势及影响面如下:
(1)黑客炫技、恶搞、破坏已经不是主流,获取经济利益(暴利)成为安全事件频发的源动力。这一点上,可以从勒索、挖矿热度不减就可以看出。勒索一个客户,动辄十万,几十万的赎金。而传播一个挖矿病毒,获利十万、百万、千万的,都有。
(2)黑客入侵手段、病毒攻击呈现多样化趋势。简而言之,就是利益驱动了黑产的大发展,每个黑客团体都有自己的攻击套路,会开发各自的病毒变种,会尝试更多更隐蔽的攻击手段。譬如,国内外现存的勒索家族就达上百种,一个家族又可以衍生出不同的变种。
(3)影响面向纵深发展,攻击手法更加多样,影响行业也更加广泛。不单单是个人或者某个企业受到影响,基本上,各行各业包括但不限于医疗、教育、政府、企业,都有被渗透的迹象。