纯干货｜网络安全态势洞察报告2019-01-深信服

新闻中心

新闻中心 > 纯干货｜网络安全态势洞察报告2019-01

纯干货｜网络安全态势洞察报告2019-01

2019-02-28 00:00:00

网络安全状况概述

2019年1月，整体而言，互联网网络安全状况指标平稳。从行业角度看，针对医疗和服务业的攻击逐步增多，原因是这些行业拥有数据的价值正在增加。另一方面，勒索病毒作为破坏性最强、影响面广泛的一类恶意程序，该月出现多种勒索病毒变种肆虐，勒索病毒感染正处于愈演愈烈的态势，个人或企业应做好安全防护措施。此外，根据监测数据发现，网站攻击和网站漏洞数量在1月有所缓减，信息泄漏为目的的漏洞攻击形势依然较为严峻。

1月，深信服安全云脑累计发现：

恶意攻击17.6亿次，平均每天拦截恶意程序5688万次。
活跃恶意程序54993个，其中僵尸网络23730个，占比43.15%；木马远控病毒20162个，占比36.66%。活跃挖矿病毒种类704个，拦截次数10.71亿次，较之前有持续增长，其中NrsMiner变种非常活跃。

深信服漏洞监测平台对国内已授权的7329个站点进行漏洞监控，发现：

高危站点2505个，其中高危漏洞5792个，主要漏洞类别是点击劫持、CSRF跨站请求伪造和信息泄露。
监控在线业务5870个，其中有246个在线业务发生过真实篡改，篡改占比高达4.19%。

恶意程序活跃详情

2019年1月，深信服安全云脑检测到的活跃恶意程序样本有54993个，其中僵尸网络23730个，占比43.15%；木马远控病毒20162个，占比36.66%，挖矿病毒704个，占比1.28%。

1月总计拦截恶意程序17.6亿次，其中挖矿病毒的拦截量占比61%，其次是感染型病毒（16%）、木马远控病毒（11%）、蠕虫（7%）、后门软件（3%）、勒索软件（1%），由下图可知，挖矿病毒的拦截比例依然较大。

▲2019年1月恶意程序拦截量按类型分布

挖矿病毒活跃情况

2019年1月，深信服安全云脑共捕获挖矿病毒样本704个，拦截挖矿病毒10.71亿次，其中最为活跃的挖矿病毒是NrsMiner、MinePool、Xmrig、BitCoinMiner、WannaMine，特别是1月爆发的NrsMiner家族，共拦截4.38亿次。同时监测数据显示，被挖矿病毒感染的地域主要有广东、浙江、北京等地，其中广东省感染量全国第一。

▲2019年1月挖矿病毒活跃地域Top10

被挖矿病毒感染的行业分布如下图所示，其中企业受挖矿病毒感染情况最为严重，其次是政府和教育行业。

▲2019年1月挖矿病毒感染行业TOP10

基于深信服对挖矿病毒主要特征的总结，发现黑客入侵挖矿的主要目标是存在通用安全漏洞的机器，所以预防入侵挖矿的主要手段就是发现和修复漏洞：

1)根据业务情况尽量关闭非业务需要的端口，对于开放在外网上的服务，即使因为业务，也应限制访问来源。

2)建议关注操作系统和组件重大更新，如 WannaCry 传播使用的永恒之蓝漏洞，及时更新补丁或者升级组件。

3)为预防密码暴力破解导致的入侵，应更换默认的远程登录端口，设置复杂的登录密码，或者放弃使用口令登录，改使用密钥登录。

4)自检服务器上部署的业务，进行渗透测试，及早发现并修复业务漏洞，避免成为入侵点。

5)使用深信服下一代防火墙、EDR等安全产品，实时检测发现服务器上的安全漏洞并且及时修复。

此外，针对已经被入侵挖矿的情况，建议及时清理挖矿进程和恶意文件，同时排查入侵点并修复，从源头上进行有效解决。

僵尸网络病毒活跃情况

2019年1月，深信服安全云脑检测并捕获僵尸网络样本20162个，共拦截8756万次。其中Andromeda家族是成为本月攻击态势最为活跃的僵尸网络家族,共被拦截2732万次，此家族占了所有僵尸网络拦截数量的31%；而排名第二第三的Aenjaris和Moto家族拦截量呈现大幅增加，本月拦截比例分别是为15%和14%。1月份僵尸网络活跃家族TOP榜如下图所示：

▲2019年1月僵尸网络活跃家族拦截数量TOP10

在僵尸网络危害地域分布上，广东省（病毒拦截量）位列全国第一，占TOP10总量的38%，其次为浙江省和内蒙古自治区。

▲2019年1月僵尸网络活跃地区TOP10

从僵尸网络攻击的行业分布来看，黑客更倾向于使用僵尸网络攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占僵尸网络TOP10拦截总量的80%，具体感染行业TOP分布如下图所示：

▲2019年1月僵尸网络感染行业TOP10

木马远控病毒活跃状况

深信服安全云脑1月检测到木马远控病毒样本18501个，共拦截19612万次。其中最活跃的木马远控家族是Glupteba，拦截数量达3146万次，其次是XorDDos、Zusy。具体分布数据如下图所示：

▲2019年1月木马远控毒活跃家族TOP10

对木马远控病毒区域拦截量进行分析统计发现，恶意程序拦截量最多的地区为广东省，占TOP10拦截量的 25%；其次为浙江（16%）、北京（12%）、四川（11%）和江苏（8%）。此外湖北、山东、上海、福建、湖南的木马远控拦截量也排在前列。

▲2019年1月木马远控活跃地区TOP10

行业分布上，企业、政府及科研教育行业是木马远控病毒的主要攻击对象。

▲2019年1月木马远控病毒感染行业TOP10

蠕虫病毒活跃状况

2019年1月深信服安全云脑检测到蠕虫病毒样本2156个，共拦截8955万次，但通过数据统计分析来看，大多数攻击都是来自于Gamarue、Jenxcus、DorkBot、Palevo、Citeary、Vobfus、Conficker、Brontok、NgrBot家族，这些家族占据了1月全部蠕虫病毒攻击的98.9%，其中攻击态势最活跃的蠕虫病毒是Gamarue，占蠕虫病毒攻击总量的76%。

▲2019年1月蠕虫病毒活跃家族TOP10

从感染地域上看，广东地区用户受蠕虫病毒感染程度最为严重，其拦截量占TOP10比例的24%；其次为江西省（22%）、湖南省（13%）。

▲2019年1月蠕虫病毒活跃地域TOP10

从感染行业上看，企业、教育等行业受蠕虫感染程度较为严重。

▲2019年1月蠕虫病毒感染行业分布TOP10

勒索病毒活跃状况

2019年1月，共检测到活跃勒索病毒样本量292个。其中，WannaCry、Razy、GandCrab、TeslaCrypt、Mamba、Locky依然是最活跃的勒索病毒家族，其中WannaCry家族本月拦截数量有300万次，危害依然较大。

从勒索病毒倾向的行业来看，企业和政府感染病毒数量占总体的55%，是黑客最主要的攻击对象，具体活跃病毒行业分布如下图所示：

▲2019年1月勒索病毒感染行业TOP10

从勒索病毒受灾地域上看，广东地区受感染情况最为严重，其次是浙江省和福建省。

▲2019年1月勒索病毒活跃地域TOP10

网络安全攻击趋势分析

深信服全网安全态势感知平台监测到全国30692个IP在1月内所受网络攻击总量约为12亿次。下图为近半年深信服网络安全攻击趋势监测情况：

▲近半年网络安全攻击趋势情况

本月安全攻击趋势

下面从攻击类型分布和命中情况分析2个纬度展示本月现网的攻击趋势：

攻击类型分布

通过对云脑日志数据分析可以看到，1月捕获攻击以Web扫描、WebServer漏洞利用、操作系统漏洞利用攻击和信息泄露攻击分类为主，以上四类攻击日志数占总日志数的73%。其中Web扫描类型的漏洞更是达到了26.73%，有近亿的命中日志；WebServer漏洞利用和操作系统漏洞利用攻击类型均占比18%。此外，信息泄露攻击、Webshell上传、SQL注入等攻击类型在1月的攻击数量有所增长。

▲2019年1月攻击类型分布

主要攻击种类和比例如下：

针对性漏洞攻击分析

（1）针对WEB漏洞的攻击情况分析统计

其中遭受攻击次数前三对应的漏洞分别是test.php、test.aspx、test.asp等文件访问检测漏洞、SQL注入攻击双引号语句检测漏洞和服务器目录浏览禁止信息泄露漏洞，攻击次数分别为75,352,863、21,599,200和21,182,625。

（2）针对系统中间件类漏洞的命中情况分析统计

通过对日志数据分析可以看到其中遭受攻击次数前三的漏洞分别是Microsoft Windows SMB Server SMBv1信息泄露漏洞、NTP Ntp_request.c 远程拒绝服务漏洞和Microsoft IIS畸形本地文件名安全绕过漏洞。

高危漏洞攻击趋势跟踪

深信服安全团队对重要软件漏洞进行深入跟踪分析，近年来Java中间件远程代码执行漏洞频发，同时受永恒之蓝影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式，2019年1月，Windows SMB日志量达千万级，相比上月小幅上升；Struts2系列漏洞，Weblogic系列漏洞和PHPCMS系列漏洞的攻击次数本月均大幅度减少。相关用户应重点关注。