根据深信服安全云脑及深信服安全监测平台统计数据显示,2019年第三季度,网站攻击数量总体呈波动下降趋势,网站态势有所缓减,
企业、政府
及
教育
行业拦截的攻击数量最多。
第三季度发现
感染范围较大
的
勒索病毒是GlobeImposter
和
Sodinokibi家族
,
攻击次数最多的家族是WannaMine挖矿病毒
;2019年第三季度新增漏洞呈现上升趋势;CSRF跨站请求伪造以及信息泄露问题位居漏洞数量前列。
具体情况如下:
恶意程序方面
,勒索软件的攻击趋势整体呈波动增加态势,其投放速度,版本迭代更加敏捷;季度加密数字货币价格的波动下降,恶意挖矿攻击也出现缓减,WannaMine、Xmrig、CoinMiner家族仍然流行;供应链木马的活跃程度增加明显,其中广东地区拦截数量最多。
网站安全态势方面
,第三季度网站攻击总量整体较之前下降明显,捕获攻击类型以Web扫描、信息泄露和Webshell攻击利用等分类为主。
漏洞态势方面
,2019年第三季度新增漏洞数量平均每月在1738个,相比之前前半年每月有明显增加,而高危以上漏洞新增数量保持稳定。漏洞类型中以信息发现、链接失效和CSRF跨站请求为主;跟踪的主要漏洞中,Weblogic系列漏洞的攻击总体呈波动状态,攻击数量大幅上升。
近几年勒索软件是最有利可图的恶意软件类型之一。最初,恶意攻击主要目的是盗取信息,并保持对资源及系统的长期访问。但是勒索软件的出现改变了这一情况,从暗中访问变成明目张胆地敲诈勒索。同时比特币等加密数字货币的快速发展,使得恶意攻击者可以轻易逃避被追踪的风险,从而轻松获利,并为下一代勒索软件的开发提供资金支持。
根据2019年第三季度深信服安全团队跟踪的一些勒索病毒及响应的勒索攻击案例,我们发现不管是之前的GandCrab 勒索病毒,还是现在的GlobeImposter,都是采用
RAAS(勒索软件即服务)模式
进行分发,病毒开发投放速度更快。GlobeImposter变种,GlobeImposter2.0变种、“十二生肖”以及“十二主神”等,均是在短短几个月内不断更新变种。下图是深信服安全团队跟踪Globelmposter勒索病毒的时间线,可以看出勒索病毒的投放速度快,版本迭代频繁:
图2-1 Globelmposter勒索病毒演进时间线
第三季度深信服安全团队捕获勒索软件变种较多,其中热门的包括
Globelmposter2.0及4.0新变种、CryptON勒索变种、Sodinokibi勒索变种
。勒索软件的攻击走势有陡峭的波峰波谷,并呈现增加态势:
在2019年第三季度,我们从勒索病毒家族的数据中发现了一些细微变化:Sodinokibi作为GandCrab勒索病毒的“继承者”,本季度活跃度明显提升,跻身第三季度高发家族前列;WannaCry虽然已经爆发许久,但是仍有较多客户不注意修复漏洞,仍然会被该病毒“光顾”。国内高发的勒索病毒家族主要有Sodinokibi、Globelmposter、WannaCry、CrySiS、CryptON等:
从勒索病毒攻击目标来看,企业、科研教育成为勒索病毒的主要目标行业,总占比达到51%;在企业受害用户中,
文件服务器、财务服务器
等存储重要数据文件的服务器通常是攻击者的首要目标:
从深信服第三季度应急响应的大量案例上看,
RDP暴力破解
仍是使用最广泛的攻击方式。恶意攻击者一般首先通过爆破的方式得到公网某台机器的远程桌面登陆口令,操作上传病毒后,然后利用这台机器作为跳板进行内网横向移动,经常会发现在被入侵的系统内部会有多台设备同时被感染相同的勒索病毒。因此,将服务器3389端口映射到公网并使用简单密码,是非常容易受到病毒入侵的。
勒索病毒攻击方式如下:
2.2 挖矿木马--加密货币价格波动下降,恶意挖矿行为放缓
近几年,利用加密数字货币的攻击主要是在
勒索软件和恶意挖矿木马
上,而恶意挖矿攻击已经逐渐超过勒索攻击成为针对加密数字货币的主要威胁。相比勒索获得的经济,加密货币挖矿的收入更加具有持续性,并且风险更小,越来越多的恶意攻击者逐渐转为兜售风险较低的加密货币挖矿软件。随着季度加密数字货币价格的波动下降,近期恶意挖矿攻击出现小幅下降。
虽然第三季度恶意挖矿攻击数量存在波峰和波谷,但从深信服在DNS层上观察到的与恶意加密货币挖矿相关的流量总量看来,加密货币挖矿活动呈逐步下降的态势。
值得注意的是,在同一时期(2019年第三季度),许多常见加密货币的价值都有下跌。以比特币为例,2019年第三季度的成交价格走势如下:
由于虚拟货币易于部署且发现之后造成的风险较低,恶意攻击者仍在继续推动恶意加密挖矿活动。我们认为恶意挖矿相关的病毒在未来一段时间内仍会保持热门。
恶意加密货币挖矿软件可以通过各种方式进入用户的环境,例如以下几种:
在短期内,恶意加密货币挖矿威胁会一直存在,恶意攻击者也会继续传播加密货币挖矿威胁。
活跃挖矿木马家族包括CoinMiner、WannaMine、Xmrig、BitcoinMiner、Tanlang、ShadowMiner、Myking、ZombieBoyMiner、Malxmr和Bluehero,分布比例如图2-9所示。
在挖矿木马拦截地域分布上,
广东省
挖矿病毒拦截量位列全国第一,占TOP20总量的19.58%,其次为
浙江省
和
北京市
,具体数据如图2-10所示。
从防御者的角度来看,我们有充分的理由认为恶意加密货币挖矿值得高度关注。与计算机上的任何软件一样,恶意加密货币将对整体系统性能产生负面影响。黑客会想尽一切手段利用有网络配置或整体安全策略安全漏洞的主机/服务器。
从挖矿木马攻击的行业分布来看,恶意攻击者更倾向于攻击
企业、政府、教育
行业。企业的拦截数量占拦截总量的41.67%,具体感染行业分布如图2-11所示:
深信服安全云脑第三季度全国检测到木马远控病毒样本10897个,共拦截5.57亿次
。其中最活跃的木马远控家族是
DriveLife
,DriveLife木马家族作为供应链木马,其攻击态势在第三季度迅速增长,拦截数量达1.52亿次。远控木马拦截量排在其后是Injector、Andromeda。具体分布数据如下图所示:
对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为
广东省
,占TOP10拦截量的24.31%;其次为
北京市
(16.31%)、
浙江省
(12.57%)、
湖南省
(8.08%)和
山东省
(7.78%)。此外上海市、四川省、江苏省、河北省广西壮族自治区的木马远控拦截量也排在前列。
行业分布上,
企业、科研教育
及
政府
行业是木马远控病毒的主要攻击对象。
2019年第三季度深信服安全云脑在全国检测到蠕虫病毒样本5275个,共拦截9.48亿次
。通过数据统计分析来看,大多数攻击都是来自于Ramnit、Gamarue、Jenxcus、Dorkbot、Faedevour、Morto家族,这些家族占据了季度全部蠕虫病毒攻击的94%,其中攻击态势最活跃的
蠕虫病毒是Gamarue
,占蠕虫病毒总量的44.99%。
从感染地域上看,
广东省
地区用户拦截量占TOP10总量的20.62%;其次为
北京市
(9.07%)、
湖南省
(8.91%)。
从蠕虫病毒拦截行业上看,
企业、科研教育
等行业拦截数量占比较高。
3.1 网站安全攻击量有下降,信息泄露问题占比依然重
深信服全网安全态势感知平台监测到全球84579个站点第三季度所受攻击总量为8.9亿次
。下图为近半年深信服网站安全攻击趋势监测情况,可以看出,第三季度攻击数量呈波动下降状态:
主要网站攻击类型统计分布如下,第三季度捕获攻击类型以
Web扫描、信息泄露和Webshell攻击利用
等分类为主。其中Web扫描类型的占比更是最高为57%。
对深信服监测到的全国各区域第三季度受到的网站攻击数量进行统计分析,排名前三的区域分别是
北京
、
广东
和
云南
。
企业
、
政府
及
科研教育
行业拦截的攻击数量最多。具体受攻击地域分布情况如下图所示:
3.3 网站高危漏洞较多,CSRF以及信息泄露漏洞问题靠前
深信服网站安全监测平台对国内已授权的84579个站点进行漏洞监控,发现的
高危站点12825个,高危漏洞67184个
。漏洞类别主要是
信息发现、CSRF跨站请求伪造和信息泄露,总占比75%
,详细漏洞类型分布如下:
根据CNNVD监测数据显示,2019年第三季度新增安全漏洞5215个。其中
超危漏洞373个,高危漏洞1310个
,中危漏洞3171个,低危漏洞362个。根据2019年漏洞新增数量统计图,每月平均新增漏洞数量达到1452个,高危以上漏洞新增数量为524个。根据历史数据发现,第三季度漏洞新增数量有明显增加,而高危以上漏洞新增数量本季度保持平稳。
图4-1 2019年1月至2019年9月漏洞新增数量统计图
(数据来源:CNNVD)
4.2 漏洞类型以信息发现、链接失效和CSRF跨站请求伪造为主
根据深信服安全监测平台统计数据发现,漏洞类别主要是
信息发现、链接失效、CSRF跨站请求伪造,总占比68.57%
,详细漏洞类型分布如下:
