網絡安全整體解讀

2018年，全國IT基礎設施投資不斷增加，攻擊面不斷擴張，攻擊來源更加多樣，攻擊場景也進一步復雜化。本文從惡意程序（僵尸、蠕蟲、勒索、挖礦）活躍狀況、漏洞利用攻擊情況、網站漏洞監測情況、網絡篡改監測情況等方面剖析當前我國互聯網攻擊的現狀，追蹤WebLogic系列漏洞及GandCrab勒索病毒，并給出2019年網絡安全預測。知己知彼，方能百戰不??！

深信服全網安全監測平臺累計發現：

? 惡意程序樣本83261個（不重復計算），累計攻擊超過200.1億次，平均每天攔截惡意程序近5千萬次。攻擊形勢依舊非常嚴峻。

? 全國30692個IP在2018年受到網絡攻擊總量為56.5億次。平均每臺主機每月受到的攻擊次數高達1400次以上。網站安全依然不容樂觀。

深信服漏洞監測平臺今年檢測了全國30692個站點，發現網站漏洞問題依舊嚴峻，高危漏洞數量繼續攀升，教育和政府行業最值得關注。其中：

? 高危漏洞32477個，高危站點比例達10%。

? 網站篡改1280例。篡改站點的比例高達4.2%。

根據2018年網絡發展趨勢，預測2019年網絡安全總體趨勢如下：攻擊動機方面，獲取經濟利益成為黑客攻擊的主要目的，攻擊面不斷擴張；攻擊場景不斷復雜化。其中：

? 供應鏈安全相關攻擊增加

? 通過物聯網發起的DDoS攻擊可能成為主流

? 區塊鏈漏洞需引起重視

? 基于漏洞利用進行傳播的勒索挖礦愈加頻繁

 

網絡安全趨勢詳情

 

注：本章中惡意程序（僵尸、蠕蟲、勒索、挖礦）攻擊活躍數據采集自第四季度。

 

僵尸網絡活躍狀況

 

2018年第4季度，深信服全網安全監測平臺共檢測并捕獲僵尸網絡樣本11519個，共攔截近2.9億次。其中mylobot家族是本季度攻擊態勢最為活躍的僵尸網絡家族，共被攔截近億次，此家族占了所有僵尸網絡攔截數量的42%；而排名第二第三的glupteba和nitol家族也呈現上升趨勢，本季度攔截比例分別是為16%和12%

在僵尸網絡危害地域分布上，湖南?。ú《靖腥玖浚┪涣腥珖谝?，占僵尸網絡TOP10總量的26%，其次為廣東省和浙江省。

從僵尸網絡攻擊的行業分布來看，黑客更傾向于使用僵尸網絡攻擊企業、政府、教育等行業。大企業、政府、教育行業的攔截數量占僵尸網絡TOP10攔截總量的近80%，具體感染行業TOP10分布如下圖所示：

木馬遠控病毒活躍狀況

 

2018年第4季度，深信服全網安全監測平臺共檢測到木馬遠控病毒樣本4393個，共攔截10.12億次。其中最活躍的木馬遠控家族仍然是zusy，攔截數量達3.04億次，其次是glupteba、anyun。具體分布數據如下圖所示：

對木馬遠控病毒區域攔截量進行分析統計發現，惡意程序攔截量最多的地區為廣東省，占TOP10攔截量的 26%；其次為浙江（22%）、四川（10%）、江蘇（7%）和北京（7%）。此外山東、湖南、上海、江西、湖北的木馬遠控攔截量也排在前列。

行業分布上，企業、科研教育及政府行業是木馬遠控病毒的主要攻擊對象。

蠕蟲病毒活躍狀況

2018年第4季度，深信服全網安全監測平臺共檢測到蠕蟲病毒樣本3188個，共攔截4.7億次，但通過數據統計分析來看，大多數攻擊都是來自于gamarue、conficker、palevo、vobfus、bondat、ngrbot、brontok家族，上述蠕蟲病毒家族的攻擊占據了第4季度全部蠕蟲病毒攻擊的99.6%，其中攻擊態勢最活躍的蠕蟲病毒是gamarue家族，占蠕蟲病毒攻擊總量的87%。

從感染地域上看，廣東地區用戶受蠕蟲病毒感染程度最為嚴重，其攔截量占TOP10比例 31%；其次為江西?。?1%）、江蘇?。?2%）。

從感染行業上看，企業、教育和政府行業受蠕蟲感染程度較為嚴重。

挖礦病毒活躍狀況

 

2018年第4季度，深信服全網安全監測平臺共捕獲挖礦病毒樣本437個，攔截挖礦病毒13.7億次，其中最為活躍的挖礦病毒是xmrig、wannamine、zombieboyminer、minepool、bitcoinminer，其中攻擊態勢最活躍的xmrig家族，共攔截8.76億次。同時監測數據顯示，被挖礦病毒感染的地域主要有廣東、浙江、上海等地，其中廣東省感染量全國第一。

被挖礦病毒感染的行業分布如下圖所示，其中企業受挖礦病毒感染情況最為嚴重，其次是政府和教育行業。

勒索病毒活躍狀況

 

2018年第4季度，深信服全網安全監測平臺共檢測到活躍勒索病毒樣本量281個，共攔截1.2億次。wannacry、gandcrab、teslacrypt、locky、cryptowall依然是最活躍的勒索病毒家族，其中wannacry家族本季度攔截數量呈快速上升趨勢。從深信服全網安全監測平臺監測的數據顯示，勒索病毒近期仍然持續呈現活躍態勢，且病毒攻擊手法的專業性較之前有了明顯的提升。從勒索病毒傾向的行業來看，企業和教育行業感染病毒數量占總體的55%，是黑客最主要的攻擊對象，具體活躍病毒行業分布如下圖所示：

從勒索病毒受災地域上看，廣東地區受感染情況最為嚴重，其次是福建省和浙江省。

漏洞利用攻擊攔截狀況

 

從近一年全國受攻擊主機日志中提取受攻擊的30692個IP所受的56.5億次網絡攻擊的流量進行統計分析，攻擊類型從數據比例上看，主要為Web掃描，WebServer漏洞利用和Webshell上傳。主要網絡攻擊類型分布如下圖所示：

從利用漏洞攻擊攔截地域上看，北京地區防御情況最好，其次是廣東省和上海省。

漏洞利用攻擊發起狀況

 

發出的攻擊流量反映了黑客或受控主機等的黑客攻擊行為，深信服安全團隊從近一年發起攻擊行為的主機中篩選近30692個IP發出的3千萬個攻擊數據包，對其攻擊類型統計分析，利用漏洞的攻擊流量以WebSever漏洞、操作系統漏洞利用、Web掃描和信息泄露攻擊等漏洞類型為主。主要攻擊類型分布如下圖所示：

 

從利用漏洞攻擊發起地域上看，北京地區發起攻擊最多，其次是湖南省和上海市。

網站漏洞監測狀況

 

對全國境內得到授權的30692個站點進行漏洞監測，監測到其中高危漏洞32477個，高危站點比例為10%。漏洞類型以信息泄露、鏈接失效和信息收集為主。具體分布如下：

從中高危漏洞數量上看，上海地區發現的漏洞數量最多，其次是廣東省和貴州省。

網站篡改監測狀況

 

2018年共檢測到1280個網站發生真實篡改，篡改動機以SEO吸引搜索引擎流量變現為主。博彩、色情、游戲類篡改是黑帽SEO篡改的主流類型。醫療、代孕類廣告數量相對減少，可能和監管機關對非正規醫療廣告推廣的控制有關。

 

威脅情報專項分析

WebLogic系列高危漏洞追蹤

 

WebLogic系列高危漏洞

WebLogic是美國Oracle公司出品的一個應用服務器(application server)。在功能性上，WebLogic是JAVA EE的應用服務器。是商業軟件里排名第一的容器（JSP、servlet、EJB等），是一個綜合的開發及運行環境。

目前WebLogic在全球的使用量也占居前列，據統計，在全球范圍內對互聯網開放WebLogic服務的資產數量多達35,382臺，美國和中國的WebLogic的使用量接近WebLogic總使用量的70%，其中歸屬中國地區的資產數量為10,562臺。

2018年，WebLogic被披露多起高危漏洞。深信服安全團隊深入分析，發布漏洞預警時間線如下：

高危漏洞觸發前提分析

 

對高危漏洞的觸發前提進行統計分析：

可以看到，以上所有漏洞觸發前提都涉及對外開放了WebLogic服務端口，和使用了Oracle WebLogic Server10.3.6.0, 12.2.1.3，12.1.3.0 中的任何一個版本的WebLogic服務兩點。

由于Oracle官方對于WebLogic最近爆發的漏洞的修補只是進行黑名單禁用危險類的調用，所以在之后可能依然會有很多WebLogic高危漏洞出現。因此建議使用WebLogic服務的用戶一定要及時更新補丁。

 

GandCrab勒索病毒追蹤

 

GandCrab勒索病毒是2018年勒索病毒家族中最活躍的家族，該勒索病毒首次出現于2018年1月，在將近一年的時候內，經歷了五個大版本的更新迭代，此勒索病毒的傳播感染方式多種多樣，使用的技術也不斷升級，勒索病毒采用高強度加密算法，導致加密后的文件，大部分無法解密。深信服監測到的感染區域包括新疆、廣東、安徽、青海、江西、福建、浙江、山西、吉林、貴州、天津、北京、上海、河北、山東、遼寧、江蘇、四川等，基本覆蓋大半個中國，以東部沿海最為嚴重。

 

2019年網絡安全趨勢預測

 

根據2018年網絡發展趨勢，總體趨勢大致做如下預測：

? 攻擊動機方面，獲取經濟利益成為黑客攻擊的主要目的?？焖僮儸F的手段受到黑客的偏愛，如廣告流量變現、數據盜竊變現、勒索破壞變現、資源濫用變現。

? 攻擊面不斷擴張。隨著全國IT基礎設施投資不斷增加，傳統的PC、服務器已經遠不能滿足黑客胃口，新的攻擊平面包括IoT(打印機、攝像頭)、各類暴露的互聯網服務（WebApp、文件共享服務）、各類新的互聯網業務（區塊鏈等）、移動應用、電信基礎設施等以及供應鏈的各個環節。

? 攻擊場景不斷復雜化。已經監測到的攻擊場景除傳統的僵尸網絡以及面向Web應用的各類漏洞利用攻擊之外，新的場景如各種自動化的批量黑帽SEO篡改攻擊、勒索病毒、數據竊取、釣魚、挖礦、面向IoT的僵尸網絡攻擊(DDoS)等等。

 

供應鏈安全相關攻擊增加

 

供應鏈攻擊通常利用用戶對供應商的固有信任，將官方軟件淪為感染源（比如利用安全軟件當后門），是APT組織常用手段，曾經著名的Stuxnet事件借由USB感染并破壞了伊朗的核設施；目前已經有黑產利用供應鏈污染等手段開展攻擊。近年來的著名供應鏈攻擊事件有：Xshell的Shadowpad攻擊、CCleaner的后門攻擊事件、XcodeGhost第三方惡意代碼注入蘋果App事件等。

竹節蟲攻擊也是一種典型的黑產借由供應鏈進行攻擊的事件，通過免費的小工具誘導用戶下載使用，內部卻嵌入了遠控后門及盜刷廣告流量的惡意代碼。

另外，目前開源開發框架普遍支持第三方組件的上傳，卻在組件審核方面缺乏監管。需要高度警惕黑產通過上傳惡意代碼到組件倉庫的方式，攻擊用戶并竊取隱私數據。

 

通過物聯網發起的DDoS攻擊可能成為主流

 

以Mirai及一系列變種或改進（如Satori、IoTReaper等）為代表，通過對包括22、23、2323等端口的暴力破解登陸設備，或利用如CWMP端口設備的RCE(遠程命令執行)漏洞傳播，并控制被控設備從遠程C&C服務器加載獲取與控制端通信并開展DDoS攻擊的惡意代碼。此類僵尸網絡面向數量規模巨大的路由器、DVR設備、攝像頭等IoT設備進行感染，支持多種協議的DDoS攻擊，通信的C&C服務器開始使用DGA算法變更域名。

不像PC或移動設備操作系統有固定幾個廠商，IoT設備供應商數量眾多，且往往對安全疏于監管，全球多國大量分布，以及版本碎片化等問題導致相應的安全隱患的解決尚需時日。

 

區塊鏈漏洞需引起重視

 

服務器惡意挖礦

挖礦的本質是暴力計算符合條件的哈希值并獲得全網認可，特征是消耗所在設備的CPU電力和時間，有自行挖礦（Solo）和礦池挖礦（StakePool）兩類。由于全網算力的快速上升導致自行挖礦獲取區塊獎勵概率已經極低。接入礦池接受分工并與礦池分成已經成為一種借助不高的算力獲取穩定挖礦收益的主要模式。挖礦病毒往往具有蠕蟲特征，可在內網利用服務器漏洞進行傳播，典型的如RubyMiner、JbossMiner等。

 

客戶端挖礦

目前典型如利用以CoinHive為代表的JS挖礦腳本進行的瀏覽器挖礦（Cryptojacking）、以及如CoinKrypt的移動終端挖礦。隨著近年電子貨幣價格不斷提升的趨勢以及移動終端算力、續航的持續提升，此類惡意移動惡意軟件也在呈現逐步增加的趨勢。

 

數字貨幣盜?。☉{證盜竊）

服務器或客戶端的數字貨幣憑證被黑客盜取。各種盜取方式也是各顯神通，有黑客通過釣魚盜取數字受害者數字貨幣交易平臺賬號方式，有通過惡意軟件替換受害者轉賬目標錢包地址的方式，有通過惡意軟件或者漏洞直接盜取受害者數字貨幣錢包私鑰方式，還有通過替換礦機上錢包地址等方式進行盜竊等等。

針對區塊鏈相關的攻擊，進入2018年以來，勒索有所減少，挖礦增多。主要原因是勒索目標多數并不知道如何通過比特幣繳納贖金，且多數用戶的數據價值沒有這么大，勒索的投入產出比比較低。另外由于執法者的打擊，部分RaaS網站已經關閉。

惡意挖礦蠕蟲常利用的漏洞有Apache struts（S2-005到S2-053）、Apache RCE（Apache遠程代碼執行漏洞曾導致Equifax的重大信息泄露事故）、dotnetnuke、舊windows、linux系統漏洞如17010等；有些可能結合pdf、word棧溢出、堆溢出漏洞等進行惡意代碼加載執行，且攻擊呈現高度自動化。

 

基于漏洞利用進行傳播的勒索挖礦愈加頻繁

 

2018年以來，截至目前，深信服重點跟蹤的利用漏洞進行傳播的安全事件將近300例，其中利用漏洞進行傳播的挖礦占比最高，達到26.35%，勒索次之，達到23.82%，挖礦和勒索占據安全事件比例高達50%。

如果以對企業的危害性而言，勒索的危害是最高的（致命），幾乎是純破壞型，可以嚴重到關鍵數據庫被摧毀，重要業務崩潰且不可還原。挖礦雖然危害沒有勒索高，不會導致數據被加密，但挖礦卻長期潛伏在企業內網，嚴重榨干企業PC/服務器資源，表現為性能下降，異?？D。

 

基于漏洞利用進行傳播的勒索挖礦發展趨勢及影響面如下：

 

（1）黑客炫技、惡搞、破壞已經不是主流，獲取經濟利益（暴利）成為安全事件頻發的源動力。這一點上，可以從勒索、挖礦熱度不減就可以看出。勒索一個客戶，動輒十萬，幾十萬的贖金。而傳播一個挖礦病毒，獲利十萬、百萬、千萬的，都有。

（2）黑客入侵手段、病毒攻擊呈現多樣化趨勢。簡而言之，就是利益驅動了黑產的大發展，每個黑客團體都有自己的攻擊套路，會開發各自的病毒變種，會嘗試更多更隱蔽的攻擊手段。譬如，國內外現存的勒索家族就達上百種，一個家族又可以衍生出不同的變種。

（3）影響面向縱深發展，攻擊手法更加多樣，影響行業也更加廣泛。不單單是個人或者某個企業受到影響，基本上，各行各業包括但不限于醫療、教育、政府、企業，都有被滲透的跡象。