一、网络安全状况概述
2019年5月,互联网网络安全状况整体指标相对平稳,但出现了一些影响较大的安全事件。
臭名远扬的勒索软件GandCrab背后的运营团队宣称“赚够了退休的钱,将停止GandCrab的更新”,其作恶价值观影响极其恶劣。同时从深信服捕获的攻击事件来看,勒索病毒仍是主要危害,且勒索攻击者的针对性较强,主要结合社会工程、RDP远程爆破等手段投放病毒,制造行业和医疗行业在5月受灾较为严重。
微软在5月曝出多个安全漏洞,其中最为严重的是RDP(Remote Desktop Protocol,远程桌面服务)远程代码执行漏洞,编号CVE-2019-0708。由于该漏洞影响力和破坏力着实巨大,一旦被黑客利用该漏洞攻破,将会造成巨大损失。深信服已经多次提醒用户进行安全更新,做好针对该漏洞的防御措施。
此外,网络安全等级保护制度2.0(简称等保2.0)国家标准正式发布,网络安全由此进入新的发展阶段,等级保护对象范围在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等,网络安全也越来越受到大众关注,国家网络空间安全也会面临新的挑战。
5月,深信服安全云脑累计发现:
· 恶意攻击17.93亿次,平均每天拦截恶意程序5784万次。PHP大马
· 活跃恶意程序32150个,其中感染型病毒7844个,占比24.4%;木马远控病毒14324个,占比44.55%。挖矿病毒种类455个,拦截次数9.4亿次,较4月下降23%,其中Wannamine病毒家族最为活跃。
深信服漏洞监测平台对国内已授权的5661个站点进行漏洞监控,发现:
· 高危站点3932个,高危漏洞102105个,漏洞类别主要是CSRF跨站请求伪造,占比30%。
· 监控在线业务7776个,共识别潜在篡改的网站有233个,篡改总发现率高达3.06%。
二、恶意程序活跃详情
2019年5月,病毒攻击在5月结束了近月持续上升的态势,病毒拦截量比4月份下降近8%,近半年拦截恶意程序数量趋势如下图所示:
2019年5月,深信服安全云脑检测到的活跃恶意程序样本有32150个,其中木马远控病毒14324个,占比44.55%,感染型病毒7844个,占比24.4%,蠕虫病毒5813个,占比18.08%,勒索病毒535个,占比1.66%,挖矿病毒455个,占比1.42%。
5月总计拦截恶意程序17.93亿次,其中挖矿病毒的拦截量占比52.42%,其次是木马远控病毒(15.71%)、蠕虫病毒(11.97%)、后门软件(9.8%)、感染型病毒(8.94%)、勒索病毒(1.05%)。奇热影视
2.1 勒索病毒活跃状况
2019年5月,共拦截勒索病毒数量1881万次。其中,WannaCry、RazyCrypt、GandCrab依然是最活跃的勒索病毒家族,其中WannaCry家族本月拦截数量有932万次,危害较大。
从勒索病毒倾向的行业来看,企业和教育感染病毒数量占总体的59%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:
从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是湖南省和浙江省。
2.2 挖矿病毒活跃状况
2019年5月,深信服安全云脑共拦截挖矿病毒9.40亿次,比四月下降23%,其中最为活跃的挖矿病毒是WannaMine、MinePool、Xmrig,特别是WannaMine家族,共拦截3.29亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东、北京、浙江等地,其中广东省感染量第一。
被挖矿病毒感染的行业分布如下图所示,其中企业受挖矿病毒感染情况最为严重,感染比例和4月基本持平,其次是政府和教育行业。
2.3 感染型病毒活跃状况
2019年5月,深信服安全云脑检测并捕获感染型病毒样本7844个,共拦截1.60亿次。其中Virut家族是成为本月攻击态势最为活跃的感染型病毒家族,共被拦截1.02亿次,此家族占了所有感染型病毒拦截数量的63.78%;而排名第二第三的是Sality和Pioneer家族,本月拦截比例分别是为22.32%和4.24%。5月份感染型病毒活跃家族TOP榜如下图所示:
在感染型病毒危害地域分布上,广东省(病毒拦截量)位列第一,占TOP10总量的35%,其次为浙江省和广西壮族自治区。
从感染型病毒攻击的行业分布来看,黑客更倾向于使用感染型病毒攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占拦截总量的69%,具体感染行业分布如下图所示:
2.4 木马远控病毒活跃状况
深信服安全云脑5月检测到木马远控病毒样本14324个,共拦截2.82亿次,拦截量较4月上升14%。其中最活跃的木马远控家族是Drivelife,拦截数量达6138万次,其次是Injector、Zusy。具体分布数据如下图所示:
对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占TOP10拦截量的 29%,与4月份基本持平;其次为北京(12%)、浙江(11%)、广西壮族自治区(9%)和湖南(8%)。此外湖北、山东、江苏、四川、上海的木马远控拦截量也排在前列。
行业分布上,企业、教育及政府行业是木马远控病毒的主要攻击对象。
2.5 蠕虫病毒活跃状况
2019年5月深信服安全云脑检测到蠕虫病毒样本5813个,共拦截2.15亿次,但通过数据统计分析来看,大多数攻击都是来自于Ramnit、Gamarue、Jenxcus、Dorkbot、Faedevour、Small家族,这些家族占据了5月全部蠕虫病毒攻击的95%,其中攻击态势最活跃的蠕虫病毒是Ramnit,占蠕虫病毒TOP10总量的51%。
从感染地域上看,广东地区用户受蠕虫病毒感染程度最为严重,其拦截量占TOP10总量的31%;其次为湖南省(16%)、浙江省(10%)。
从感染行业上看,企业、教育等行业受蠕虫感染程度较为严重。
三、网络安全攻击趋势分析
深信服全网安全态势感知平台监测到全国32631个IP在5月所受网络攻击总量约为7亿次。本月攻击态势较4月有小幅上升。下图为近半年深信服网络安全攻击趋势监测情况:
3.1 安全攻击趋势
下面从攻击类型分布和重点漏洞攻击分析2个纬度展示本月现网的攻击趋势:
· 攻击类型分布
通过对深信服安全云脑日志数据分析可以看到,5月捕获攻击以WebServer漏洞利用、系统漏洞利用、SQL注入攻击等分类为主。其中WebServer漏洞利用类型的占比更是高达53.30%,有3亿多的命中日志;系统漏洞利用类型均占比15.50%;Web扫描类型的漏洞占比8.60%。
主要攻击种类和比例如下:
· 重点漏洞攻击分析
通过对深信服安全云脑日志数据分析,针对漏洞的攻击情况筛选出5月攻击利用次数最高的漏洞TOP20。
其中漏洞被利用次数前三的漏洞分别是Apache HTTP Server mod_log_config 远程拒绝服务漏洞、Apache Web Server ETag Header 信息泄露漏洞和NetBIOS名称查询响应漏洞,利用次数分别为285,573,813、29,091,319和24,438,711,较上月均有上升。
3.2 高危漏洞攻击趋势跟踪
深信服安全团队对重要软件漏洞进行深入跟踪分析,近年来Java中间件远程代码执行漏洞频发,同时受永恒之蓝影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式.
2019年5月,Windows SMB日志量达千万级,近几月攻击持上升趋势,其中拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多;Struts2系列漏洞攻击趋势近几月攻击次数小幅上升,Weblogic系列漏洞的攻击程波动状态,5月仅拦截二十万攻击日志;PHPCMS系列漏洞攻击次数较上月小幅上升。
· Windows SMB 系列漏洞攻击趋势跟踪情况
· Weblogic系列漏洞攻击趋势跟踪情况
· Weblogic系列漏洞攻击趋势跟踪情况
· PHPCMS系列漏洞攻击趋势跟踪情况
四、网络安全漏洞分析
4.1 全国网站漏洞类型统计
深信服网站安全监测平台5月对国内已授权的6130个站点进行漏洞监控,发现的高危站点3932个,高危漏洞102105个,漏洞类别主要是CSRF跨站请求伪造,信息泄露和XSS注入,总占比79%,详细高危漏洞类型分布如下:
具体比例如下:
4.2 篡改情况统计
5月总监控在线业务7776个(去重),共识别潜在篡改的网站有233个(去重),篡改总发现率高达3.06%。
其中首页篡改79个,二级页面篡改132个,多级页面篡改22个,具体分布图如下图所示:
上图可以看出,网站二级篡改为篡改首要插入位置,成为黑客利益输出首选。
五、近期流行攻击事件及安全漏洞盘点
5.1 流行攻击事件
(1)绕过杀软!SQL Server Transact-SQL 的无文件攻击姿势
近日捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。经分析排查,该木马通过弱口令爆破SQL Server服务器后,利用sqlserver Transact-SQL存储C#编译恶意代码,通过MSSQL作业定时执行存储过程,在受害主机下载恶意程序。具体详见:
https://mp.weixin.qq.com/s/itzMSLVWQbrzyKRTOhYtSQ
(2)【安全研究】Domain fronting域名前置网络攻击技术
Domain Fronting基于HTTPS通用规避技术,也被称为域前端网络攻击技术。这是一种用来隐藏Metasploit,Cobalt Strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon ,Google,Akamai 等大型厂商会提供一些域前端技术服务。具体详见:
https://mp.weixin.qq.com/s/9G1qh_azz6SAaZQ7KfvZlg
(3)警惕x3m勒索病毒——CryptON
CryptON勒索病毒最早出现在2017年2月份左右,曾有多家企业遭到攻击,近日深信服安全服团队接收客户反馈,主机被加密勒索,加密后缀为x3m,经过跟踪分析,拿到了相应的样本,确认样本为CryptON勒索病毒的变种版本,并对此勒索病毒样本进行深入的分析。具体详见:
https://mp.weixin.qq.com/s/h4c0n1gV-ghp5CKTo83HZA
(4)警惕Bizarro Sundown(GreenFlash)漏洞利用工具包传播Seon勒索病毒
国外安全研究人员捕获到一款名为Seon的勒索病毒,并且发现攻击者通过Bizarro Sundown(GreenFlash)漏洞利用工具包进行传播,该漏洞利用工具包常被用于传播各类勒索病毒如GandCrab、Locky、Hermes等。Seon勒索病毒使用AES算法加密文件,修改文件后缀为 .FIXT,加密完成后弹出hta窗口与用户交互索要赎金。具体详见:
https://mp.weixin.qq.com/s/t_L9ARGiiCusImPvhB6ifA
(5)准备交赎金?当心Phobos勒索病毒二次加密!
深信服安全团队接到多家企业反馈,服务器遭到勒索病毒攻击,重要数据被加密。经安全团队专家排查,该病毒是近期较为活跃的一款勒索病毒,通常通过RDP暴力破解+人工投放的方式进行攻击,攻击者成功入侵后,通常会关闭系统的安全软件防护功能,运行勒索病毒,加密后会修改文件后缀为[原文件名]+id[随机字符串]+[邮箱地址].phobos。具体详见:
https://mp.weixin.qq.com/s/qe4MdwK6HAMHERF2xGo_EQ
5.2 安全漏洞事件
(1)【漏洞预警】Remote Desktop Protocol任意代码执行漏洞(CVE-2019-0708)
2019年5月14日,Microsoft在最新的安全更新公告中披露了一则RDP远程代码执行漏洞。通过此漏洞,攻击者无需经过身份验证,只需要使用RDP连接到目标系统并发送特制请求,就可以在目标系统上远程执行代码。具体详见:
https://mp.weixin.qq.com/s/frh1wxIpX7ymfWkgx9cZ1g
(2)【漏洞预警】Intel Processor MDS系列漏洞预警
2019年5月14日,Intel官方披露了一系列推测性执行侧信道漏洞,统称为“Microarchitectural Data Sampling”(MDS)。该系列漏洞影响了一大批Intel处理器,漏洞允许攻击者直接窃取CPU缓冲区中的用户级和系统级秘密信息,包括用户秘钥、密码和磁盘加密秘钥等重要信息。具体详见:
https://mp.weixin.qq.com/s/SKwIj33sW8YjNNaFCgjYxg
(3)【更新】Remote Desktop Protocol任意代码执行漏洞(CVE-2019-0708)
2019年5月14日,Microsoft在最新的安全更新公告中披露了一则RDP远程代码执行漏洞。通过此漏洞,攻击者无需经过身份验证,只需要使用RDP连接到目标系统并发送特制请求,就可以触发漏洞,实现在目标系统上远程执行代码。具体详见:
https://mp.weixin.qq.com/s/n796BxnA45aXjEmpbSIWNA
(4)【更新 · POC公开】Remote Desktop Protocol远程代码执行漏洞(CVE-2019-0708)预警
2019年5月31日,深信服安全团队发现公开的CVE-2019-0708的poc已在github上流传,并第一时间进行复现以及分析。经测试,该poc可导致目标主机蓝屏崩溃,特此再次发出预警。具体详见:
https://mp.weixin.qq.com/s/8FrgKsN0JdWnfSazAUL9wg
六、安全防护建议
黑客入侵的主要目标是存在通用安全漏洞的机器,所以预防病毒入侵的主要手段是发现和修复漏洞,深信服建议用户做好以下防护措施:
(一)、杜绝使用弱口令,避免一密多用
系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,禁止密码重用的情况出现,尽量避免一密多用的情况。
(二)、及时更新重要补丁和升级组件
建议关注操作系统和组件重大更新,如永恒之蓝漏洞,使用正确渠道,如微软官网,及时更新对应补丁漏洞或者升级组件。
(三)、部署加固软件,关闭非必要端口
服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、防范漏洞利用,同时限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,提高系统安全基线,防范黑客入侵。
(四)、主动进行安全评估,加强人员安全意识
加强人员安全意识培养,不要随意点击来源不明的邮件附件,不从不明网站下载软件,对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患。
(五)、建立威胁情报分析和对抗体系,有效防护病毒入侵
网络犯罪分子采取的战术策略也在不断演变,其攻击方式和技术更加多样化。对于有效预防和对抗海量威胁,需要选择更强大和更智能的防护体系。