(2)受害行業(yè)分布

從勒索病毒攻擊目標來看,企業(yè)、教育成為勒索病毒的主要目標行業(yè),總占比達到52%;在企業(yè)受害用戶中,文件服務器、財務服務器等存儲重要數(shù)據(jù)文件的服務器通常是攻擊者的首要目標:

(3)攻擊傳播方式

從勒索病毒攻擊方式來看,RDP暴力破解仍然是使用最為廣泛的攻擊方式。因此,將服務器3389端口映射到公網(wǎng)并使用簡單密碼,是非常容易受到勒索病毒入侵的;并且內(nèi)網(wǎng)如果使用了相同的弱密碼,可能導致多臺終端遭到入侵。其次,社會工程也成為攻擊者獲取密碼的一種方式,使用公司郵箱注冊挖礦賬號、注冊不良網(wǎng)站賬號等行為可能會帶來密碼泄漏的風險:

勒索病毒攻擊方式如下:

2. 數(shù)字貨幣價格持續(xù)走高,挖礦病毒比重增加

近來加密貨幣價格走勢如過山車般跌宕起伏,2019年6月比特幣成功翻身,價格重返五位數(shù),幾人歡喜幾人悲傷,這其中最歡喜莫過于惡意挖礦黑產(chǎn)從業(yè)者,由于其隱匿性、低成本、無中間商賺差價,導致挖礦木馬是近年來最流行的病毒之一,而企業(yè)的服務器則成為黑產(chǎn)眼中的盛宴。

(1)挖礦流量攔截趨勢

據(jù)深信服安全云腦統(tǒng)計,挖礦木馬六月份攔截數(shù)達到峰值10.46億次,三月份爆發(fā)WinnerMine等安全事件,攔截數(shù)量整體呈增長的趨勢。

(2)挖礦木馬家族及攻擊方式

2019上半年Top10活躍挖礦木馬家族包括WannaMine、Xmrig、CoinMiner、BitcoinMiner、Tanlang、ShadowMiner、ZombieBoyMiner、Myking、Malxmr和Bluehero。

惡意挖礦幣種及病毒攻擊方式如下所示:

(3)惡意挖礦攔截量地域分布

在挖礦木馬危害地域分布上,廣東省(挖礦木馬攔截量)位列全國第一,占TOP20總量的19.58%,其次為浙江省和北京市。

(4)挖礦黑產(chǎn)主要攻擊行業(yè)分布

從挖礦木馬攻擊的行業(yè)分布來看,黑產(chǎn)更傾向于攻擊企業(yè)、政府、教育行業(yè),企業(yè)的攔截數(shù)量占攔截總量的37.87%。

3. 供應鏈木馬攻擊的速度增長迅猛

(1)木馬遠控各家族攔截情況

深信服安全云腦上半年全國檢測到木馬遠控病毒樣本31780個,共攔截13.46億次。其中最活躍的木馬遠控家族是DriveLife,DriveLife木馬家族作為供應鏈木馬,在2019年上半年有多次變種,其攻擊態(tài)勢迅速增長,半年攔截數(shù)量達1.72億次。遠控木馬攔截量排在其后的是Zusy、Injector。具體分布數(shù)據(jù)如下圖所示:

(2)木馬遠控病毒區(qū)域感染情況

對木馬遠控病毒區(qū)域攔截量進行分析統(tǒng)計發(fā)現(xiàn),惡意程序攔截量最多的地區(qū)為廣東省,占TOP10攔截量的27%;其次為浙江省(14%)、北京市(12%)、四川省(9%)和廣西壯族自治區(qū)(7%)。此外湖北省、湖南省、山東省、江蘇省、上海市的木馬遠控攔截量也排在前列。

(3)木馬遠控病毒行業(yè)感染情況

行業(yè)分布上,企業(yè)、教育及政府行業(yè)是木馬遠控病毒的主要攻擊對象。

4. 蠕蟲病毒清理難,政企單位易感染

(1)蠕蟲病毒家族攔截情況

2019上半年深信服安全云腦在全國檢測到蠕蟲病毒樣本20461個,共攔截9.48億次。通過數(shù)據(jù)統(tǒng)計分析來看,大多數(shù)攻擊都是來自于Gamarue、Ramnit、Jenxcus、Dorkbot、Conficker、Faedevour、Mydoom家族,這些家族占據(jù)了上半年全部蠕蟲病毒攻擊的95%,其中攻擊態(tài)勢最活躍的蠕蟲病毒是Gamarue,占蠕蟲病毒總量的43.97%。

(2)蠕蟲病感染地域分布

從感染地域上看,廣東省地區(qū)用戶受蠕蟲病毒感染程度最為嚴重,其攔截量占TOP10總量的32%;其次為湖南省(14%)、江西省(9%)。

(3)蠕蟲病毒感染行業(yè)分布

從感染行業(yè)上看,企業(yè)、教育等行業(yè)受蠕蟲感染程度較為嚴重。

網(wǎng)站安全態(tài)勢

1. 攻擊量持續(xù)增加,信息泄漏問題依然嚴峻

根據(jù)深信服全網(wǎng)安全態(tài)勢感知平臺對全球44501個IP所受網(wǎng)站攻擊進行監(jiān)測的數(shù)據(jù)顯示,網(wǎng)絡攻擊數(shù)量整體呈上升趨勢,其中攻擊類型以網(wǎng)站掃描、信息泄漏和弱口令攻擊等類型為主。

上半年攻擊趨勢如下:

主要網(wǎng)站攻擊類型統(tǒng)計分布:

詳細攻擊種類和比例如下:

2. 網(wǎng)站漏洞類型以WebApp漏洞和Web服務器漏洞為主

通過深信服網(wǎng)站安全監(jiān)測平臺對國內(nèi)上半年已授權(quán)的網(wǎng)站進行漏洞監(jiān)控,共收集漏洞2522個,漏洞類別占比前三的分別是WebApp漏洞、Web服務器漏洞和Web_Activex漏洞。詳細高危漏洞類型分布如下:

具體比例如下:

3. 網(wǎng)站漏洞以安全設施薄弱的教育行業(yè)為高發(fā)地

2019年上半年,深信服在對國內(nèi)網(wǎng)站進行安全漏洞監(jiān)測過程中發(fā)現(xiàn),科研教育、企業(yè)、政府單位的安全漏洞數(shù)分別占20%、12%、12%,占發(fā)現(xiàn)安全漏洞的大部分;安全設施薄弱的教育和企業(yè)持續(xù)成為安全漏洞高發(fā)地,醫(yī)療衛(wèi)生行業(yè)和服務業(yè)也存在安全漏洞較為普遍的現(xiàn)象。

4. 網(wǎng)站篡改仍以搜索引擎優(yōu)化類篡改為主

深信服在2019年上半年的篡改監(jiān)測過程中發(fā)現(xiàn),博彩、色情、游戲類篡改是黑客搜索引擎優(yōu)化(SEO)的主流類型。醫(yī)療廣告、代孕類比例較低。

漏洞態(tài)勢

1. 高危以上漏洞新增數(shù)量呈現(xiàn)上升趨勢

根據(jù)CNNVD監(jiān)測數(shù)據(jù)顯示,2019年上半年新增安全漏洞7859個。其中超危漏洞779個,高危漏洞2364個,中危漏洞3686個,低危漏洞412個,暫未分級漏洞546個。根據(jù)6個月來漏洞新增數(shù)量統(tǒng)計,每月平均新增漏洞數(shù)量達到1309個,高危以上漏洞新增數(shù)量為524個。根據(jù)歷史數(shù)據(jù)及歷年情況發(fā)現(xiàn),近半年漏洞每月新增數(shù)量在900-1500之間來回波動,預測未來新增漏洞數(shù)量仍在此范圍區(qū)間內(nèi),而高危以上漏洞新增數(shù)量近半年總體呈現(xiàn)上升趨勢。

2. 漏洞類型以Application和System漏洞為主

根據(jù)深信服安全云腦收集的漏洞類型分布數(shù)據(jù)顯示,應用漏洞(Application)達220條,占比最大,約為 26.54%,系統(tǒng)(System)漏洞達202條,占比7.52%。

3. 用戶關注度較高的漏洞

根據(jù)用戶查閱CNVD漏洞信息次數(shù)的統(tǒng)計結(jié)果,上半年用戶關注度最高的5個漏洞如表所示。

4. 高危漏洞類型以CSRF跨站請求偽造為主

深信服網(wǎng)站安全監(jiān)測平臺對國內(nèi)上半年已授權(quán)的7087個站點進行漏洞監(jiān)控,發(fā)現(xiàn)高危站點7689個,高危漏洞72308個,漏洞類別占比前三的分別是CSRF跨站請求偽造、信息泄漏和點擊劫持。詳細高危漏洞類型分布如下:

具體比例如下:

趨勢展望

1. 弱口令爆破、社會工程為主要威脅,社會工程仍然是郵件攻擊的重要“啟動入口”

安全對抗的本質(zhì)是成本對抗,投入產(chǎn)出比是黑產(chǎn)團伙首要考慮的因素。出于成本和效率的考慮,黑產(chǎn)常常通過弱口令爆破、釣魚郵件等方式對服務器攻擊,隨后對滲透成功的服務器做標記、留后門,最終長期控制服務器。

網(wǎng)絡釣魚和魚叉式網(wǎng)絡釣魚是盜取用戶憑證和各種敏感信息的慣用伎倆,實際上它們非常奏效。值得注意的是,網(wǎng)絡釣魚和魚叉式網(wǎng)絡釣魚郵件近年來導致了多個造成大規(guī)模影響的違規(guī)安全事件。

2. 我國網(wǎng)絡安全法律法規(guī)政策保障體系進一步完善

等級保護制度2.0國家標準的發(fā)布,是具有里程碑意義的一件大事,標志著國家網(wǎng)絡安全等級保護工作步入新時代。對于保障和促進國家信息化發(fā)展,提升國家網(wǎng)絡安全保護能力,維護國家網(wǎng)絡空間安全具有重要的意義。

隨著網(wǎng)絡安全等級保護進入2.0時代,等級保護對象范圍在傳統(tǒng)系統(tǒng)的基礎上擴大到了云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)等,對等級保護制度也提出了新的要求。

3. 惡意攻擊者越來越會隱蔽偽裝,惡意使用合法資源進行后門C&C通訊,濫用云服務等合法的網(wǎng)絡資源

網(wǎng)絡黑產(chǎn)越來越擅于利用依賴合法的網(wǎng)絡服務C2渠道,如Google、Dropbox和GitHub,這樣使得惡意軟件流量可能無法通過正常方式進行識別,隱藏手段更加巧妙。同時隨著云技術的廣泛應用,各類數(shù)據(jù)和身份信息遷移到云上,云環(huán)境不斷演進、擴展和復雜化,所帶來的防御挑戰(zhàn)將會更大。

4. 供應鏈攻擊的速度和復雜性似乎正在日益增加

供應鏈攻擊的速度和復雜性增長迅速,2019年上半年捕獲到的驅(qū)動人生(DriveLife)木馬等病毒多次變種,防御程度難,感染范圍不斷擴大,這些病毒可以大規(guī)模影響計算機,影響周期持續(xù)數(shù)月甚至數(shù)年。如果使用的軟硬件安全狀況不可靠,則可能存在一定的安全風險,用戶應該選擇有能力保證構(gòu)建系統(tǒng)不被侵害、能夠迅速解決漏洞攻擊的供應商。

5. 安全防御手段和設施越來越復雜化、智能化,機器學習普遍應用,但在減少“誤報”上,未來還需要持續(xù)投入

攻擊者將惡意軟件的復雜性和影響力進一步提升,惡意軟件類型和系列的數(shù)量與種類不斷增多,安全防御的基礎設施也越來越復雜化和智能化。隨著機器學習和人工智能技術的普遍應用,需要更好地區(qū)分監(jiān)控的網(wǎng)絡世界中哪些是“正常業(yè)務”活動,未來一段時間還需要安全防護者進一步優(yōu)化人工智能以提高它們的安全能力。

安全防護建議

根據(jù)深信服安全團隊的防護經(jīng)驗來看,黑客入侵的主要目標是存在通用安全漏洞的機器,所以預防病毒入侵的主要手段是發(fā)現(xiàn)和修復漏洞,建議用戶做好以下防護措施:

1. 杜絕使用弱口令,避免一密多用

系統(tǒng)、應用相關的用戶杜絕使用弱口令,同時,應該使用高復雜強度的密碼,盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼,盡量避免一密多用的情況。

2. 及時更新重要補丁和升級組件

建議關注操作系統(tǒng)和組件重大更新,使用正確渠道更新對應補丁漏洞或者升級組件。

3. 部署加固軟件,關閉非必要端口

服務器上部署安全加固軟件,通過限制異常登錄行為、開啟防爆破功能、防范漏洞利用,同時限制服務器及其他業(yè)務服務網(wǎng)可進行訪問的網(wǎng)絡、主機范圍,有效加強訪問控制ACL策略,細化策略粒度,按區(qū)域按業(yè)務嚴格限制各個網(wǎng)絡區(qū)域以及服務器之間的訪問,采用白名單機制只允許開放特定的業(yè)務必要端口,提高系統(tǒng)安全基線,防范黑客入侵。

4. 主動進行安全評估,加強人員安全意識

加強人員安全意識培養(yǎng),不要隨意點擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件,對來源不明的文件包括郵件附件、上傳文件等要先殺毒處理。定期開展對系統(tǒng)、應用以及網(wǎng)絡層面的安全評估、滲透測試以及代碼審計工作,主動發(fā)現(xiàn)目前系統(tǒng)、應用存在的安全隱患。

5. 建立威脅情報分析和對抗體系,有效防護病毒入侵

網(wǎng)絡犯罪分子采取的戰(zhàn)術策略也在不斷演變,其攻擊方式和技術更加多樣化。對于有效預防和對抗海量威脅,需要選擇更強大和更智能的防護體系。深信服下一代安全防護體系(深信服安全云、深信服下一代防火墻AF、深信服安全感知平臺SIP、深信服終端檢測與響應平臺EDR)通過聯(lián)動云端、網(wǎng)絡、終端進行協(xié)同響應,建立全面的事前檢測預警、事中防御、事后處理的整套安全防護體系。云端持續(xù)趨勢風險監(jiān)控與預警、網(wǎng)絡側(cè)實時流量檢測與防御、終端事后查殺與溯源,從用戶場景出發(fā),解決系統(tǒng)脆弱性和保證事件響應高效性。

系統(tǒng)脆弱性方面,深信服構(gòu)建了強大的脆弱性發(fā)現(xiàn)和修復機制,降低系統(tǒng)脆弱性風險,主要建設能力包括:漏洞管理、滲透測試、系統(tǒng)和網(wǎng)絡監(jiān)控、基線核查、日志聚合與數(shù)據(jù)分析、補丁管理和部署、安全運營中心等。

事件響應高效性方面,深信服構(gòu)建了云網(wǎng)端+安全服務的一整套解決方案,并且具備完整專業(yè)的勒索病毒響應流程,防火墻、安全感知、EDR、安全云腦能在勒索病毒事件發(fā)生的全生命周期,進行檢測、攔截和封堵,同時結(jié)合后端強大的安全專家隊伍,能更大限度、更快地保護企業(yè)核心數(shù)據(jù)資產(chǎn)免受勒索病毒的侵害。

分享到

xiesc

相關推薦