网络安全状况概述
2019年3月,互联网网络安全状况整体指标平稳,但有几个特征值得关注。一方面,是勒索病毒依然猖獗,深信服安全云脑监测到Globelmposter、GandCrab、Crysis等病毒活跃热度居高不下,变种层出不穷,近期出现Globelmposter 4.0、GandCrab 5.2等勒索变种。用户一旦遭受勒索病毒攻击,绝大多数文件将被加密,且大多暂时无法解密,造成无法估量的损失;另一方面,APT(高级持续性威胁)活跃程度在3月有所增加,针对性攻击更加明显,各厂商也在密切关注,攻防博弈战激烈上演。此外,监测数据显示,网站攻击数量在3月持续放缓,但网站漏洞问题依然严峻。
3月,深信服安全云脑累计发现:
- 恶意攻击16.31亿次,平均每天拦截恶意程序5261万次。
- 活跃恶意程序24439个,其中感染型病毒4134个,占比16.92%;木马远控病毒7539个,占比30.85%。挖矿病毒种类246个,拦截次数9.82亿次,较上月有所上升,其中Xmrig病毒家族最为活跃。
深信服漏洞监测平台对国内已授权的6996个站点进行漏洞监控,发现:
- 高危站点2721个,高危漏洞60628个,主要漏洞类别是XSS注入、信息泄漏、CSRF跨站请求伪造。
- 监控在线业务6715个,共有276个在线业务发生过真实篡改,篡改占比高达4.11%。
恶意程序活跃详情
2019年3月,病毒攻击的态势与2月相比有所上升,病毒拦截量比2月份上升近16%,近半年拦截恶意程序数量趋势如下图所示:
2019年3月,深信服安全云脑检测到的活跃恶意程序样本有24439个,其中木马远控病毒7539个,占比30.85%,感染型病毒4134个,占比16.92%,蠕虫病毒2631个,占比10.77%,挖矿病毒246个,占比1.01%,勒索病毒188个,占比0.77%。
3月总计拦截恶意程序16.31亿次,其中挖矿病毒的拦截量占比60.24%,其次是感染型病毒(16.4%)、木马远控病毒(12.29%)、蠕虫病毒(6.71%)、后门软件(3.01%)、勒索病毒(1.21%)。
勒索病毒活跃状况
2019年3月,共拦截活跃勒索病毒1967万次。其中,WannaCry、Razy、Gandcrab、Revenge、Locky、Teslacrypt、Mamba、Badrabbit、Cerber、Cryptowall、Matrix、Paradise、Torrentlocker依然是最活跃的勒索病毒家族,其中WannaCry家族本月拦截数量有1084万次,危害依然较大。
从勒索病毒倾向的行业来看,企业和教育感染病毒数量占总体的51%,是黑客最主要的攻击对象。具体活跃病毒行业分布如下图所示:
从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是浙江省和江苏省。
挖矿病毒活跃状况
2019年3月,深信服安全云脑在全国共拦截挖矿病毒9.82亿次,较2月环比增加7%,其中最为活跃的挖矿病毒是Xmrig、WannaMine、MinePool、BitcoinMiner、ZombieboyMiner、FalseSign,特别是Xmrig家族,共拦截4.58亿次。同时监测数据显示,被挖矿病毒感染的地域主要有浙江、北京、广东等地,其中浙江省感染量全国第一。
被挖矿病毒感染的行业分布如下图所示,其中政府受挖矿病毒感染情况最为严重,感染比例和2月相比下降2个百分点,其次是企业和教育行业。
感染型病毒活跃状况
2019年3月,深信服安全云脑检测并捕获感染型病毒样本4134个,共拦截2.67亿次。其中Ramnit家族是成为本月攻击态势最为活跃的感染型病毒家族,共被拦截1.09亿次,此家族占了所有感染型病毒拦截数量的40.77%;而排名第二第三的是Virut和Sality家族,本月拦截比例分别是为39.79%和11.83%。3月份感染型病毒活跃家族TOP榜如下图所示:
在感染型病毒危害地域分布上,广东省(病毒拦截量)位列全国第一,占TOP10总量的25%,其次为浙江省和湖南省。
从感染型病毒攻击的行业分布来看,黑客更倾向于使用感染型病毒攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占拦截总量的75%,具体感染行业分布如下图所示:
木马远控病毒活跃状况
深信服安全云脑3月全国检测到木马远控病毒样本7539个,共拦截2.00亿次,拦截量较2月上升31%。其中最活跃的木马远控家族是Injector,拦截数量达2537万次,其次是Zusy、XorDDos。
对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占TOP10拦截量的 21%,与2月份基本持平;其次为浙江(17%)、北京(13%)、四川(11%)和湖北(7%);此外山东、上海、广西壮族自治区、江苏、福建的木马远控拦截量也排在前列。
行业分布上,企业、教育及政府行业是木马远控病毒的主要攻击对象。
蠕虫病毒活跃状况
2019年3月深信服安全云脑在全国检测到蠕虫病毒样本2631个,共拦截1.09亿次。通过数据统计分析来看,大多数攻击都是来自于Gamarue、Jenxcus、Dorkbot、Mydoom、Conficker、Vobfus、Palevo、Bondat、Buzus、Phorpiex家族。这些家族占据了3月全部蠕虫病毒攻击的98.8%,其中攻击态势最活跃的蠕虫病毒是Gamarue,占蠕虫病毒攻击总量的67%。
从感染地域上看,广东地区用户受蠕虫病毒感染程度最为严重,其拦截量占TOP10比例的28%;其次为江西省(16%)、湖南省(11%)。
从感染行业上看,企业、教育等行业受蠕虫感染程度较为严重。
网络安全攻击趋势分析
深信服全网安全态势感知平台监测到全国34808个IP在3月所受网络攻击总量约为4亿次。本月攻击态势与前三个月相比明显下降。下图为近半年深信服网络安全攻击趋势监测情况:
安全攻击趋势
下面从攻击类型分布和重点漏洞攻击分析2个纬度展示3月现网的攻击趋势:
攻击类型分布
通过对深信服安全云脑数据分析可以看到,3月捕获攻击以系统漏洞利用、WebServer漏洞利用、Web扫描等分类为主。其中系统漏洞利用类型的占比更是高达28.70%,有近亿的命中日志;WebServer漏洞利用类型均占比23.34%;Web扫描类型的漏洞占比17.72%。此外,信息泄露攻击、Webshell上传等攻击类型在3月的攻击数量有所增长。
主要攻击种类和比例如下:
重点漏洞攻击分析
通过对深信服安全云脑数据进行分析,针对漏洞的攻击情况筛选出3月攻击利用次数TOP20的漏洞。
其中命中次数前三漏洞利用分别是test.php、test.aspx、test.asp等文件访问检测漏洞、Apache Web Server ETag Header 信息泄露漏洞和Microsoft Windows Server 2008/2012 - LDAP RootDSE Netlogon 拒绝服务漏洞,攻击次数分别为49,047,012、39,407,152和28,619,006。较上月均有小幅上升。
高危漏洞攻击趋势
深信服安全团队对重要软件漏洞进行深入跟踪分析,近年来Java中间件远程代码执行漏洞频发,同时受永恒之蓝影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。
2019年3月,Windows SMB日志量达千万级,近几月攻击趋势持持续上升,其中拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多;Struts2系列漏洞攻击趋势近几月攻击次数波动较大,Weblogic系列漏洞的攻击趋势结束了前几月的持续降低,本月拦截到近两百万攻击日志;PHPCMS系列漏洞近几月攻击次数大幅上升,近期应重点关注。
Windows SMB 系列漏洞攻击趋势跟踪情况
Struts 2系列漏洞攻击趋势跟踪情况
Weblogic系列漏洞攻击趋势跟踪情况
PHPCMS系列漏洞攻击趋势跟踪情况
网站安全分析
网站漏洞类型统计
深信服云眼网站安全监测平台3月对国内已授权的6966个站点进行漏洞监控,3月发现的高危站点2721个,高危漏洞60628个,漏洞类别占比前三的分别是XSS注入,信息泄露和CSRF跨站请求伪造,共占比79.68%,具体比例如下:
篡改攻击情况统计
3月共监控在线业务6715个,共识别潜在篡改的网站有276个,篡改总发现率高达4.11%。其中首页篡改226个,二级页面篡改32个,多级页面篡改18个。篡改位置具体分布图如下图所示:
可以看出,网站首页篡改为篡改首要插入位置,成为黑客利益输出首选。