(2)受害行業(yè)分布
從勒索病毒攻擊目標來看,企業(yè)、教育成為勒索病毒的主要目標行業(yè),總占比達到52%;在企業(yè)受害用戶中,文件服務器�、財務服務器等存儲重要數(shù)據(jù)文件的服務器通常是攻擊者的首要目標:
(3)攻擊傳播方式
從勒索病毒攻擊方式來看,RDP暴力破解仍然是使用最為廣泛的攻擊方式。因此,將服務器3389端口映射到公網(wǎng)并使用簡單密碼,是非常容易受到勒索病毒入侵的;并且內(nèi)網(wǎng)如果使用了相同的弱密碼,可能導致多臺終端遭到入侵�。其次,社會工程也成為攻擊者獲取密碼的一種方式,使用公司郵箱注冊挖礦賬號、注冊不良網(wǎng)站賬號等行為可能會帶來密碼泄漏的風險:
勒索病毒攻擊方式如下:
2. 數(shù)字貨幣價格持續(xù)走高,挖礦病毒比重增加
近來加密貨幣價格走勢如過山車般跌宕起伏,2019年6月比特幣成功翻身,價格重返五位數(shù),幾人歡喜幾人悲傷,這其中最歡喜莫過于惡意挖礦黑產(chǎn)從業(yè)者,由于其隱匿性��、低成本����、無中間商賺差價,導致挖礦木馬是近年來最流行的病毒之一,而企業(yè)的服務器則成為黑產(chǎn)眼中的盛宴。
(1)挖礦流量攔截趨勢
據(jù)深信服安全云腦統(tǒng)計,挖礦木馬六月份攔截數(shù)達到峰值10.46億次,三月份爆發(fā)WinnerMine等安全事件,攔截數(shù)量整體呈增長的趨勢�����。
(2)挖礦木馬家族及攻擊方式
2019上半年Top10活躍挖礦木馬家族包括WannaMine��、Xmrig��、CoinMiner����、BitcoinMiner、Tanlang�、ShadowMiner、ZombieBoyMiner�����、Myking����、Malxmr和Bluehero�����。
惡意挖礦幣種及病毒攻擊方式如下所示:
(3)惡意挖礦攔截量地域分布
在挖礦木馬危害地域分布上,廣東省(挖礦木馬攔截量)位列全國第一,占TOP20總量的19.58%,其次為浙江省和北京市�����。
(4)挖礦黑產(chǎn)主要攻擊行業(yè)分布
從挖礦木馬攻擊的行業(yè)分布來看,黑產(chǎn)更傾向于攻擊企業(yè)����、政府��、教育行業(yè),企業(yè)的攔截數(shù)量占攔截總量的37.87%�。
3. 供應鏈木馬攻擊的速度增長迅猛
(1)木馬遠控各家族攔截情況
深信服安全云腦上半年全國檢測到木馬遠控病毒樣本31780個,共攔截13.46億次��。其中最活躍的木馬遠控家族是DriveLife,DriveLife木馬家族作為供應鏈木馬,在2019年上半年有多次變種,其攻擊態(tài)勢迅速增長,半年攔截數(shù)量達1.72億次��。遠控木馬攔截量排在其后的是Zusy��、Injector��。具體分布數(shù)據(jù)如下圖所示:
(2)木馬遠控病毒區(qū)域感染情況
對木馬遠控病毒區(qū)域攔截量進行分析統(tǒng)計發(fā)現(xiàn),惡意程序攔截量最多的地區(qū)為廣東省,占TOP10攔截量的27%;其次為浙江省(14%)����、北京市(12%)�、四川省(9%)和廣西壯族自治區(qū)(7%)�����。此外湖北省�����、湖南省��、山東省����、江蘇省、上海市的木馬遠控攔截量也排在前列�����。
(3)木馬遠控病毒行業(yè)感染情況
行業(yè)分布上,企業(yè)���、教育及政府行業(yè)是木馬遠控病毒的主要攻擊對象����。
4. 蠕蟲病毒清理難,政企單位易感染
(1)蠕蟲病毒家族攔截情況
2019上半年深信服安全云腦在全國檢測到蠕蟲病毒樣本20461個,共攔截9.48億次。通過數(shù)據(jù)統(tǒng)計分析來看,大多數(shù)攻擊都是來自于Gamarue���、Ramnit���、Jenxcus、Dorkbot�����、Conficker�����、Faedevour�����、Mydoom家族,這些家族占據(jù)了上半年全部蠕蟲病毒攻擊的95%,其中攻擊態(tài)勢最活躍的蠕蟲病毒是Gamarue,占蠕蟲病毒總量的43.97%���。
(2)蠕蟲病感染地域分布
從感染地域上看,廣東省地區(qū)用戶受蠕蟲病毒感染程度最為嚴重,其攔截量占TOP10總量的32%;其次為湖南省(14%)、江西省(9%)�����。
(3)蠕蟲病毒感染行業(yè)分布
從感染行業(yè)上看,企業(yè)、教育等行業(yè)受蠕蟲感染程度較為嚴重����。
網(wǎng)站安全態(tài)勢
1. 攻擊量持續(xù)增加,信息泄漏問題依然嚴峻
根據(jù)深信服全網(wǎng)安全態(tài)勢感知平臺對全球44501個IP所受網(wǎng)站攻擊進行監(jiān)測的數(shù)據(jù)顯示,網(wǎng)絡攻擊數(shù)量整體呈上升趨勢,其中攻擊類型以網(wǎng)站掃描、信息泄漏和弱口令攻擊等類型為主��。
上半年攻擊趨勢如下:
主要網(wǎng)站攻擊類型統(tǒng)計分布:
詳細攻擊種類和比例如下:
2. 網(wǎng)站漏洞類型以WebApp漏洞和Web服務器漏洞為主
通過深信服網(wǎng)站安全監(jiān)測平臺對國內(nèi)上半年已授權(quán)的網(wǎng)站進行漏洞監(jiān)控,共收集漏洞2522個,漏洞類別占比前三的分別是WebApp漏洞�����、Web服務器漏洞和Web_Activex漏洞�����。詳細高危漏洞類型分布如下:
具體比例如下:
3. 網(wǎng)站漏洞以安全設施薄弱的教育行業(yè)為高發(fā)地
2019年上半年,深信服在對國內(nèi)網(wǎng)站進行安全漏洞監(jiān)測過程中發(fā)現(xiàn),科研教育����、企業(yè)、政府單位的安全漏洞數(shù)分別占20%���、12%���、12%,占發(fā)現(xiàn)安全漏洞的大部分;安全設施薄弱的教育和企業(yè)持續(xù)成為安全漏洞高發(fā)地,醫(yī)療衛(wèi)生行業(yè)和服務業(yè)也存在安全漏洞較為普遍的現(xiàn)象。
4. 網(wǎng)站篡改仍以搜索引擎優(yōu)化類篡改為主
深信服在2019年上半年的篡改監(jiān)測過程中發(fā)現(xiàn),博彩�、色情����、游戲類篡改是黑客搜索引擎優(yōu)化(SEO)的主流類型��。醫(yī)療廣告���、代孕類比例較低����。
漏洞態(tài)勢
1. 高危以上漏洞新增數(shù)量呈現(xiàn)上升趨勢
根據(jù)CNNVD監(jiān)測數(shù)據(jù)顯示,2019年上半年新增安全漏洞7859個��。其中超危漏洞779個,高危漏洞2364個,中危漏洞3686個,低危漏洞412個,暫未分級漏洞546個��。根據(jù)6個月來漏洞新增數(shù)量統(tǒng)計,每月平均新增漏洞數(shù)量達到1309個,高危以上漏洞新增數(shù)量為524個�����。根據(jù)歷史數(shù)據(jù)及歷年情況發(fā)現(xiàn),近半年漏洞每月新增數(shù)量在900-1500之間來回波動,預測未來新增漏洞數(shù)量仍在此范圍區(qū)間內(nèi),而高危以上漏洞新增數(shù)量近半年總體呈現(xiàn)上升趨勢��。
2. 漏洞類型以Application和System漏洞為主
根據(jù)深信服安全云腦收集的漏洞類型分布數(shù)據(jù)顯示,應用漏洞(Application)達220條,占比最大,約為 26.54%,系統(tǒng)(System)漏洞達202條,占比7.52%�。
3. 用戶關注度較高的漏洞
根據(jù)用戶查閱CNVD漏洞信息次數(shù)的統(tǒng)計結(jié)果,上半年用戶關注度最高的5個漏洞如表所示�����。
4. 高危漏洞類型以CSRF跨站請求偽造為主
深信服網(wǎng)站安全監(jiān)測平臺對國內(nèi)上半年已授權(quán)的7087個站點進行漏洞監(jiān)控,發(fā)現(xiàn)高危站點7689個,高危漏洞72308個,漏洞類別占比前三的分別是CSRF跨站請求偽造、信息泄漏和點擊劫持���。詳細高危漏洞類型分布如下:
具體比例如下:
趨勢展望
1. 弱口令爆破�、社會工程為主要威脅,社會工程仍然是郵件攻擊的重要“啟動入口”
安全對抗的本質(zhì)是成本對抗,投入產(chǎn)出比是黑產(chǎn)團伙首要考慮的因素��。出于成本和效率的考慮,黑產(chǎn)常常通過弱口令爆破����、釣魚郵件等方式對服務器攻擊,隨后對滲透成功的服務器做標記、留后門,最終長期控制服務器��。
網(wǎng)絡釣魚和魚叉式網(wǎng)絡釣魚是盜取用戶憑證和各種敏感信息的慣用伎倆,實際上它們非常奏效�。值得注意的是,網(wǎng)絡釣魚和魚叉式網(wǎng)絡釣魚郵件近年來導致了多個造成大規(guī)模影響的違規(guī)安全事件。
2. 我國網(wǎng)絡安全法律法規(guī)政策保障體系進一步完善
等級保護制度2.0國家標準的發(fā)布,是具有里程碑意義的一件大事,標志著國家網(wǎng)絡安全等級保護工作步入新時代����。對于保障和促進國家信息化發(fā)展,提升國家網(wǎng)絡安全保護能力,維護國家網(wǎng)絡空間安全具有重要的意義。
隨著網(wǎng)絡安全等級保護進入2.0時代,等級保護對象范圍在傳統(tǒng)系統(tǒng)的基礎上擴大到了云計算����、移動互聯(lián)、物聯(lián)網(wǎng)�����、工業(yè)控制系統(tǒng)、大數(shù)據(jù)等,對等級保護制度也提出了新的要求��。
3. 惡意攻擊者越來越會隱蔽偽裝,惡意使用合法資源進行后門C&C通訊,濫用云服務等合法的網(wǎng)絡資源
網(wǎng)絡黑產(chǎn)越來越擅于利用依賴合法的網(wǎng)絡服務C2渠道,如Google�����、Dropbox和GitHub,這樣使得惡意軟件流量可能無法通過正常方式進行識別,隱藏手段更加巧妙���。同時隨著云技術的廣泛應用,各類數(shù)據(jù)和身份信息遷移到云上,云環(huán)境不斷演進�����、擴展和復雜化,所帶來的防御挑戰(zhàn)將會更大����。
4. 供應鏈攻擊的速度和復雜性似乎正在日益增加
供應鏈攻擊的速度和復雜性增長迅速,2019年上半年捕獲到的驅(qū)動人生(DriveLife)木馬等病毒多次變種,防御程度難,感染范圍不斷擴大,這些病毒可以大規(guī)模影響計算機,影響周期持續(xù)數(shù)月甚至數(shù)年����。如果使用的軟硬件安全狀況不可靠,則可能存在一定的安全風險,用戶應該選擇有能力保證構(gòu)建系統(tǒng)不被侵害、能夠迅速解決漏洞攻擊的供應商���。
5. 安全防御手段和設施越來越復雜化、智能化,機器學習普遍應用,但在減少“誤報”上,未來還需要持續(xù)投入
攻擊者將惡意軟件的復雜性和影響力進一步提升,惡意軟件類型和系列的數(shù)量與種類不斷增多,安全防御的基礎設施也越來越復雜化和智能化。隨著機器學習和人工智能技術的普遍應用,需要更好地區(qū)分監(jiān)控的網(wǎng)絡世界中哪些是“正常業(yè)務”活動,未來一段時間還需要安全防護者進一步優(yōu)化人工智能以提高它們的安全能力�����。
安全防護建議
根據(jù)深信服安全團隊的防護經(jīng)驗來看,黑客入侵的主要目標是存在通用安全漏洞的機器,所以預防病毒入侵的主要手段是發(fā)現(xiàn)和修復漏洞,建議用戶做好以下防護措施:
1. 杜絕使用弱口令,避免一密多用
系統(tǒng)�、應用相關的用戶杜絕使用弱口令,同時,應該使用高復雜強度的密碼,盡量包含大小寫字母、數(shù)字����、特殊符號等的混合密碼,盡量避免一密多用的情況。
2. 及時更新重要補丁和升級組件
建議關注操作系統(tǒng)和組件重大更新,使用正確渠道更新對應補丁漏洞或者升級組件���。
3. 部署加固軟件,關閉非必要端口
服務器上部署安全加固軟件,通過限制異常登錄行為����、開啟防爆破功能��、防范漏洞利用,同時限制服務器及其他業(yè)務服務網(wǎng)可進行訪問的網(wǎng)絡�����、主機范圍,有效加強訪問控制ACL策略,細化策略粒度,按區(qū)域按業(yè)務嚴格限制各個網(wǎng)絡區(qū)域以及服務器之間的訪問,采用白名單機制只允許開放特定的業(yè)務必要端口,提高系統(tǒng)安全基線,防范黑客入侵�。
4. 主動進行安全評估,加強人員安全意識
加強人員安全意識培養(yǎng),不要隨意點擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件,對來源不明的文件包括郵件附件、上傳文件等要先殺毒處理��。定期開展對系統(tǒng)、應用以及網(wǎng)絡層面的安全評估��、滲透測試以及代碼審計工作,主動發(fā)現(xiàn)目前系統(tǒng)�����、應用存在的安全隱患����。
5. 建立威脅情報分析和對抗體系,有效防護病毒入侵
網(wǎng)絡犯罪分子采取的戰(zhàn)術策略也在不斷演變,其攻擊方式和技術更加多樣化。對于有效預防和對抗海量威脅,需要選擇更強大和更智能的防護體系����。深信服下一代安全防護體系(深信服安全云、深信服下一代防火墻AF�����、深信服安全感知平臺SIP���、深信服終端檢測與響應平臺EDR)通過聯(lián)動云端��、網(wǎng)絡��、終端進行協(xié)同響應,建立全面的事前檢測預警�、事中防御、事后處理的整套安全防護體系��。云端持續(xù)趨勢風險監(jiān)控與預警��、網(wǎng)絡側(cè)實時流量檢測與防御�����、終端事后查殺與溯源,從用戶場景出發(fā),解決系統(tǒng)脆弱性和保證事件響應高效性����。
系統(tǒng)脆弱性方面,深信服構(gòu)建了強大的脆弱性發(fā)現(xiàn)和修復機制,降低系統(tǒng)脆弱性風險,主要建設能力包括:漏洞管理��、滲透測試�、系統(tǒng)和網(wǎng)絡監(jiān)控、基線核查���、日志聚合與數(shù)據(jù)分析�、補丁管理和部署��、安全運營中心等���。
事件響應高效性方面,深信服構(gòu)建了云網(wǎng)端+安全服務的一整套解決方案,并且具備完整專業(yè)的勒索病毒響應流程,防火墻���、安全感知��、EDR��、安全云腦能在勒索病毒事件發(fā)生的全生命周期,進行檢測�、攔截和封堵,同時結(jié)合后端強大的安全專家隊伍,能更大限度����、更快地保護企業(yè)核心數(shù)據(jù)資產(chǎn)免受勒索病毒的侵害。
