一、網絡安全態勢綜述

2019年上半年，網絡攻擊數量總體呈上升趨勢，網站態勢依然嚴峻，教育行業的網站漏洞數量發現最多。

上半年發現感染範圍較大的勒索病毒是GlobeImposter和GandCrab家族，攻擊次數最多的家族是WannaMine挖礦病毒；2019年上半年新增高危漏洞呈現上升趨勢，跨站腳本攻擊居漏洞攻擊之首。

惡意程序方面，2019年上半年RDP暴力破解仍然是使用最廣泛的勒索病毒攻擊方式，社會工程也成爲攻擊者獲取密碼的一種方式；近期加密貨幣價格走勢持續走高，挖礦病毒攻擊的比重也明顯加重，WannaMine、Xmrig、CoinMiner家族最流行；木馬遠控依然流行且危害較大，主要以竊取信息爲主，其中廣東地區受災較爲嚴重。

網站安全態勢方面，網站攻擊總量呈上升趨勢，網站漏洞攻擊以網站掃描、信息泄漏和弱口令攻擊等類型爲主，收集的網站高危漏洞以WebApp漏洞、Web漏洞、Web_Activex漏洞爲主，全國網站漏洞主要分佈在安全設施薄弱的教育行業，部分企業和政府單位的網站也是漏洞的高發地。博彩、色情、遊戲類網頁篡改爲黑客進行非法搜索引擎優化（SEO）的主流類型。

漏洞態勢方面，上半年新增漏洞數量平均每月在1300個左右，高危及超危漏洞數量呈現上升趨勢。在收集的主流操作系統漏洞中，應用類（Application）漏洞數量新增最多，共220條，其次是系統漏洞；漏洞攻擊類型中以CSRF跨站請求僞造、信息泄漏、點擊劫持爲主；高危漏洞以應用層系統漏洞爲主，多數爲CMS類型的Web應用系統漏洞。

二、惡意程序安全態勢 2.1勒索病毒趨向精準化，手段更加隱蔽

2019年上半年，勒索病毒的活躍度依舊高居不下，相對於剛進入大衆視野時的“蠕蟲式”爆發，勒索病毒如今的攻擊活動越發具有目標性、隱蔽性，攻擊者通常會破壞入侵過程留下的證據，使得溯源排查難以進行；勒索變種也趨於“無特徵化”，如使用隨機後綴、勒索信息文件無明顯特徵等，難以分辨其家族。

1）、高發勒索家族

從勒索病毒家族來看，國內高發的勒索病毒家族主要有Globelmposter、GandCrab、CrySiS、WannaCryptor等：

2）、受害行業分佈

從勒索病毒攻擊目標來看，企業、教育成爲勒索病毒的主要目標行業，總佔比達到52%；在企業受害用戶中，文件服務器、財務服務器等存儲重要數據文件的服務器通常是攻擊者的首要目標：

3）、攻擊傳播方式

從勒索病毒攻擊方式來看，RDP暴力破解仍然是使用最爲廣泛的攻擊方式。因此，將服務器3389端口映射到公網並使用簡單密碼，是非常容易受到勒索病毒入侵的；並且內網如果使用了相同的弱密碼，可能導致多臺終端遭到入侵。其次，社會工程也成爲攻擊者獲取密碼的一種方式，使用公司郵箱註冊挖礦賬號、註冊不良網站賬號等行爲可能會帶來密碼泄露的風險：

勒索病毒攻擊方式如下：

2.2 數字貨幣價格持續走高，挖礦病毒比重增加

近來加密貨幣價格走勢如過山車般跌宕起伏，2019年6月比特幣成功翻身，價格重返五位數，幾人歡喜幾人悲傷，這其中最歡喜莫過於惡意挖礦黑產從業者，由於其隱匿性、低成本、無中間商賺差價，導致挖礦木馬是近年來最流行的病毒之一，而企業的服務器則成爲黑產眼中的盛宴。

1）、挖礦流量攔截趨勢

據深信服安全雲腦統計，挖礦木馬六月份攔截數達到峯值10.46億次,三月份爆發WinnerMine等安全事件，攔截數量整體呈增長的趨勢。

2）、挖礦木馬家族及攻擊方式

2019上半年Top10活躍挖礦木馬家族包括WannaMine、Xmrig、CoinMiner、BitcoinMiner、Tanlang、ShadowMiner、ZombieBoyMiner、Myking、Malxmr和Bluehero。

惡意挖礦幣種及病毒攻擊方式如下所示：

3）、惡意挖礦攔截量地域分佈

在挖礦木馬危害地域分佈上，廣東省（挖礦木馬攔截量）位列全國第一，佔TOP20總量的19.58%，其次爲浙江省和北京市。

4）、挖礦黑產主要攻擊行業分佈

從挖礦木馬攻擊的行業分佈來看，黑產更傾向於攻擊企業、政府、教育行業。企業的攔截數量佔攔截總量的37.87%。

2.3 供應鏈木馬攻擊的速度增長迅猛

1）、木馬遠控各家族攔截情況

深信服安全雲腦上半年全國檢測到木馬遠控病毒樣本31780個，共攔截13.46億次。其中最活躍的木馬遠控家族是DriveLife，DriveLife木馬家族作爲供應鏈木馬，在2019年上半年有多次變種，其攻擊態勢迅速增長，半年攔截數量達1.72億次。遠控木馬攔截量排在其後是Zusy、Injector。具體分佈數據如下圖所示：

2）、木馬遠控病毒區域感染情況

對木馬遠控病毒區域攔截量進行分析統計發現，惡意程序攔截量最多的地區爲廣東省，佔TOP10攔截量的27%；其次爲浙江省（14%）、北京市（12%）、四川省（9%）和廣西壯族自治區（7%）。此外湖北省、湖南省、山東省、江蘇省、上海市的木馬遠控攔截量也排在前列。

3）、木馬遠控病毒行業感染情況

行業分佈上，企業、教育及政府行業是木馬遠控病毒的主要攻擊對象。

2.4 蠕蟲病毒清理難，政企單位易感染

1）、蠕蟲病毒家族攔截情況

2019上半年深信服安全雲腦在全國檢測到蠕蟲病毒樣本20461個，共攔截9.48億次。通過數據統計分析來看，大多數攻擊都是來自於Gamarue、Ramnit、Jenxcus、Dorkbot、Conficker、Faedevour、Mydoom家族，這些家族佔據了半年全部蠕蟲病毒攻擊的95%，其中攻擊態勢最活躍的蠕蟲病毒是Gamarue，佔蠕蟲病毒總量的43.97%。

2）、蠕蟲病感染地域分佈

從感染地域上看，廣東省地區用戶受蠕蟲病毒感染程度最爲嚴重，其攔截量佔TOP10總量的32%；其次爲湖南省（14%）、江西省（9%）。

3）、蠕蟲病毒感染行業分佈

從感染行業上看，企業、教育等行業受蠕蟲感染程度較爲嚴重。

三、網站安全態勢 3.1攻擊量持續增加，信息泄漏問題依然嚴峻

根據深信服全網安全態勢感知平臺對全球44501個IP2019年上半年所受網絡攻擊進行監測數據顯示，網站攻擊數量整體呈上升趨勢，其中攻擊類型以網站掃描、信息泄漏和弱口令攻擊等類型爲主。

上半年攻擊趨勢如下：

主要網站攻擊類型統計分佈：

詳細攻擊種類和比例如下：

3.2 網站漏洞類型以Webapp漏洞和Web服務器漏洞爲主

通過深信服網站安全監測平臺的數據分析，對國內上半年已授權的網站進行漏洞監控，2019年上半年收集的漏洞2522個，漏洞類別佔比前三的分別是WebApp漏洞、Web服務器漏洞和Web_Activex漏洞。詳細高危漏洞類型分佈如下：

具體比例如下：

3.3 網站漏洞以安全設施薄弱的教育行業爲高發地

2019年上半年，深信服在對國內網站進行安全漏洞監測過程中發現，科研教育、企業、政府單位的安全漏洞數分別佔20%、12%、12%，佔當月發現安全漏洞的大部分；安全設施薄弱的教育和企業持續成爲安全漏洞高發地，醫療衛生行業和服務業也存在安全漏洞較爲普遍的現象。

3.4 網站篡改仍以搜索引擎優化類篡改爲主

深信服科技在2019年上半年的篡改監測過程中發現，博彩、色情、遊戲類篡改是黑客搜索引擎優化（SEO）的主流類型。醫療廣告、代孕類比例較低。

四、漏洞態勢 4.1新增高危以上漏洞數量呈現上升趨勢

根據CNNVD監測數據顯示，2019年上半年新增安全漏洞7859個。其中超危漏洞779個，高危漏洞2364個，中危漏洞3686個，低危漏洞412個，暫未分級漏洞546個。根據6個月來漏洞新增數量統計圖，每月平均新增漏洞數量達到1309個，高危以上漏洞新增數量爲524個。根據歷史數據及歷年情況發現，近半年漏洞每月新增數量在900-1500之間來回波動，預測未來新增漏洞數量仍在此範圍區間內，而高危以上漏洞新增數量近半年總體呈現上升趨勢。

4.2 漏洞類型以Application和System漏洞爲主

根據深信服安全雲腦收集的漏洞類型分佈數據（如表4-3）顯示，應用漏洞（Application）類漏洞達220條，佔比最大，約爲 26.54%，系統（System）漏洞達202條，佔比7.52%。

4.3 用戶關注度較高的漏洞

根據用戶查閱CNVD漏洞信息次數的統計結果，上半年用戶關注度最高的5個漏洞如表所示。

4.4 高危漏洞類型以CSRF跨站請求僞造爲主

深信服網站安全監測平臺對國內上半年已授權的7087個站點進行漏洞監控，發現高危站點7689個，高危漏洞72308個，漏洞類別佔比前三的分別是CSRF跨站請求僞造、信息泄漏和點擊劫持。詳細高危漏洞類型分佈如下：

具體比例如下：

五、趨勢展望

1、弱口令爆破、社會工程爲主要威脅，社會工程仍然是郵件攻擊的重要“啓動入口”

安全對抗的本質是成本對抗，投入產出比是黑產團伙首要考慮的因素。出於成本和效率的考慮，黑產常常通過弱口令爆破、釣魚郵件等方式對服務器攻擊，隨後對滲透成功的服務器做標記、留後門，最終長期控制服務器。

網絡釣魚和魚叉式網絡釣魚是盜取用戶憑證和各種敏感信息的慣用伎倆，實際上它們非常奏效。值得注意的是，網絡釣魚和魚叉式網絡釣魚郵件近年來導致了多個爆發大規模影響的違規安全事件。

2、我國網絡安全法律法規政策保障體系進一步完善

等級保護制度2.0國家標準的發佈，是具有里程碑意義的一件大事，標誌着國家網絡安全等級保護工作步入新時代。對於保障和促進國家信息化發展，提升國家網絡安全保護能力，維護國家網絡空間安全具有重要的意義。

隨着網絡安全等級保護進入2.0時代，等級保護對象範圍在傳統系統的基礎上擴大到了雲計算、移動互聯、物聯網、工業控制系統、大數據等，對等級保護制度也提出了新的要求。

3、惡意攻擊者越來越會隱蔽僞裝，惡意使用合法資源進行後門C&C通訊，濫用雲服務等合法的網絡資源

網絡黑產越來越擅於利用依賴合法的網絡服務C2渠道，如Google、Dropbox和GitHub，這樣使得惡意軟件流量可能無法通過正常方式進行識別，隱藏手段更加巧妙。同時隨着雲技術的廣泛應用，各類數據和身份信息遷移到雲上，雲環境不斷演進、擴展和複雜化，所帶來的防禦挑戰將會更大。

4、供應鏈攻擊的速度和複雜性似乎正在日益增加

供應鏈攻擊的速度和複雜性增長迅速，2019年上半年捕獲到的驅動人生（DriveLife）木馬等病毒多次變種，防禦程度難，感染範圍不斷擴大，這些病毒可以大規模影響計算機，影響週期持續數月甚至數年。如果使用的軟硬件安全狀況不可靠，則可能存在一定的安全風險，用戶應該儘量獲取那些能夠有能力保證構建系統不被侵害，能夠發佈漏洞、迅速解決漏洞攻擊的供應商。

5、安全防禦手段和設施越來越複雜化、智能化，機器學習普遍應用，但在減少“誤報”上，未來還需要持續投入

攻擊者將惡意軟件的複雜性和影響力進一步提升，惡意軟件類型和系列的數量與種類不斷增多，安全防禦的基礎設施也越來越複雜化和智能化。隨着機器學習和人工智能技術的普遍應用，需要更好的區分監控的網絡世界中哪些是“正常業務”活動，未來一段時間還需要安全防護者進一步優化人工智能以提高它們的安全能力。

六、安全防護建議

根據深信服安全團隊的防護經驗來看，黑客入侵的主要目標是存在通用安全漏洞的機器，所以預防病毒入侵的主要手段是發現和修復漏洞，建議用戶做好以下防護措施：

1、杜絕使用弱口令，避免一密多用

系統、應用相關的用戶杜絕使用弱口令，同時，應該使用高複雜強度的密碼，儘量包含大小寫字母、數字、特殊符號等的混合密碼，禁止密碼重用的情況出現，儘量避免一密多用的情況。

2、及時更新重要補丁和升級組件

建議關注操作系統和組件重大更新，如永恆之藍漏洞，使用正確渠道，如微軟官網，及時更新對應補丁漏洞或者升級組件。

3、部署加固軟件，關閉非必要端口

服務器上部署安全加固軟件，通過限制異常登錄行爲、開啓防爆破功能、防範漏洞利用，同時限制服務器及其他業務服務網可進行訪問的網絡、主機範圍。有效加強訪問控制ACL策略，細化策略粒度，按區域按業務嚴格限制各個網絡區域以及服務器之間的訪問，採用白名單機制只允許開放特定的業務必要端口，提高系統安全基線，防範黑客入侵。

4、主動進行安全評估，加強人員安全意識

加強人員安全意識培養，不要隨意點擊來源不明的郵件附件，不從不明網站下載軟件，對來源不明的文件包括郵件附件、上傳文件等要先殺毒處理。定期開展對系統、應用以及網絡層面的安全評估、滲透測試以及代碼審計工作，主動發現目前系統、應用存在的安全隱患。

5、建立威脅情報分析和對抗體系，有效防護病毒入侵

網絡犯罪分子採取的戰術策略也在不斷演變，其攻擊方式和技術更加多樣化。對於有效預防和對抗海量威脅，需要選擇更強大和更智能的防護體系。深信服下一代安全防護體系（深信服安全雲、深信服下一代防火牆AF、深信服安全感知平臺SIP、深信服終端檢測與響應平臺EDR）通過聯動雲端、網絡、終端進行協同響應，建立全面的事前檢測預警、事中防禦、事後處理的整套安全防護體系。雲端持續趨勢風險監控與預警、網絡側實時流量檢測與防禦、終端事後查殺與溯源，從用戶場景出發，解決系統脆弱性和保證事件響應高效性。

系統脆弱性方面，深信服構建了強大的脆弱性發現和修復機制，降低系統脆弱性風險，主要建設能力包括：漏洞管理、滲透測試、系統和網絡監控、基線覈查、日誌聚合與數據分析、補丁管理和部署、安全運營中心等。

事件響應高效性方面，深信服構建了雲網端+安全服務的一整套完整解決方案，我們擁有完整專業的勒索病毒響應流程，防火牆、安全感知、EDR、安全雲腦能在勒索病毒事件發生的全生命週期，進行檢測、攔截和封堵，結合後端強大的安全專家隊伍，能最大限度、最快的保護企業核心數據資產免受勒索病毒的侵害。

*本文作者：深信服千里目安全實驗室，轉載請註明來自FreeBuf.COM

相關文章