網絡安全狀況概述

2018年12月，互聯網網絡安全狀況整體指標平穩，其中網絡安全和隱私保護在本月受到重視和關注，獲取個人數據和用戶憑證等重要信息逐漸成為黑客的首要動機。挖礦病毒wannamine的變種也在本月爆發增長，其傳播速度令人驚訝，個人和企業應盡早修復“永恒之藍”漏洞，并做好網絡安全的防護措施。此外，監測數據顯示，網站攻擊和網站漏洞數量在12月持續增長，形勢依然嚴峻。

12月，深信服安全云腦累計發現：

• 惡意攻擊18.5億次，平均每天攔截惡意程序5971萬次。

• 活躍惡意程序18145個，其中僵尸網絡4326個，占比23.84%；木馬遠控病毒3745個，占比20.64%?；钴S挖礦病毒種類411個，攔截次數9.57億次，較11月有較大增長，其中本月wannamine變種非?；钴S。

深信服漏洞監測平臺對國內已授權的4760個站點進行漏洞監控，發現：

• 高危站點1396個，其中高危漏洞20636個，主要漏洞類別是信息泄露、XSS和CSRF跨站請求偽造。

• 監控在線業務8343個，共有454個業務發生過真實篡改，篡改占比高達5.4%。 

惡意程序活躍詳情

 

2018年12月，深信服安全云腦檢測到的活躍惡意程序樣本有18145個，其中僵尸網絡4326個，占比23.84%；木馬遠控病毒3745個，占比20.64%，挖礦病毒411個，占比2.26%。

12月總計攔截惡意程序18.5億次，其中挖礦病毒的攔截量占比52%，其次是感染型病毒（23%）、木馬遠控病毒（10%）、蠕蟲（6%）、僵尸網絡（5%），由下圖可知，挖礦病毒依然非常流行。

 

僵尸網絡活躍狀況

 

2018年12月，深信服安全云腦檢測并捕獲僵尸網絡樣本4226個，共攔截9724萬次。其中mylobot家族是本月攻擊態勢最為活躍的僵尸網絡家族,共被攔截3698萬次，占所有僵尸網絡攔截數量的38%；而排名第二第三的zegost和ramnit家族也呈現上升趨勢，本月攔截比例分別是為27%和22%。12月份僵尸網絡活躍家族TOP榜如下圖所示：

 

在僵尸網絡危害地域分布上，廣東?。ú《緮r截量）位列全國第一，占TOP10總量的24%，其次為浙江省和上海市。

 

從僵尸網絡攻擊的行業分布來看，黑客更傾向于使用僵尸網絡攻擊企業、政府、教育等行業。企業、政府、教育行業的攔截數量占僵尸網絡TOP10攔截總量的77%，具體感染行業TOP分布如下圖所示：

 

 

木馬遠控病毒活躍狀況

 

深信服安全云腦12月檢測到木馬遠控病毒樣本3745個，共攔截19234萬次。其中最活躍的木馬遠控家族仍然是zusy，攔截數量達4501萬次，其次是glupteba、anyun。具體分布數據如下圖所示：

 

對木馬遠控病毒區域攔截量進行分析統計發現，惡意程序攔截量最多的地區為廣東省，占TOP10攔截量的 21%；其次為浙江（17%）、四川（10%）、北京（9%）和江蘇（8%）。此外湖南、湖北、上海、山東、江西的木馬遠控攔截量也排在前列。

 

行業分布上，企業、科研及教育行業是木馬遠控病毒的主要攻擊對象。

 

 

蠕蟲病毒活躍狀況

 

2018年12月深信服安全云腦檢測到蠕蟲病毒樣本2339個，共攔截11296萬次，但通過數據統計分析來看，大多數攻擊都是來自于gamarue、conficker、palevo、microfake、vobfus、ngrbot、bondat、brontok、phorpiex、ramnit家族，這些家族占據了12月全部蠕蟲病毒攻擊的99.8%，其中攻擊態勢最活躍的蠕蟲病毒是gamarue，占蠕蟲病毒攻擊總量的86%。

 

從感染地域上看，廣東地區用戶受蠕蟲病毒感染程度最為嚴重，其攔截量占TOP10比例的23%；其次為江西?。?1%）、江蘇?。?3%）。 

 

從感染行業上看，企業、教育等行業受蠕蟲感染程度較為嚴重。

 

 

挖礦病毒活躍狀況

 

2018年12月，深信服安全云腦共捕獲挖礦病毒樣本411個，攔截挖礦病毒9.57億次，其中最為活躍的挖礦病毒是wannamine、xmrig、zombieboyminer、minepool、bitcoinminer，特別是本月爆發的wannamine家族，共攔截6.69億次。同時監測數據顯示，被挖礦病毒感染的地域主要有浙江、廣東、上海等地，其中浙江省感染量全國第一。

 

被挖礦病毒感染的行業分布如下圖所示，其中企業受挖礦病毒感染情況最為嚴重，其次是政府和教育行業。 

 

 

勒索病毒活躍狀況

2018年12月，共檢測到活躍勒索病毒樣本量184個。其中，wannacry、gandcrab、teslacrypt、locky、cryptowall依然是最活躍的勒索病毒家族，其中wannacry家族本月攔截數量呈快速上升趨勢。

從勒索病毒傾向的行業來看，企業和科研教育行業感染病毒數量占總體的47%，是黑客最主要的攻擊對象，具體活躍病毒行業分布如下圖所示：

從勒索病毒受災地域上看，廣東地區受感染情況最為嚴重，其次是福建省和內蒙古自治區。

從深信服安全云腦監測的數據顯示，勒索病毒近期仍然持續呈現活躍態勢，且手法和技術都在不斷變化。針對服務器的攻擊依然是目前勒索病毒的一個主要方向，深信服建議企業用戶加強自身的信息安全管理能力，包括弱口令、漏洞、文件共享和遠程桌面的管理等，以應對勒索病毒的威脅。

網絡安全攻擊趨勢分析

深信服安全云腦針對獨立授權的全國30692個IP進行監測，其在12月所受網絡攻擊總量為9.38億次。下圖為近半年深信服網絡安全攻擊趨勢監測情況：

 

 

本月安全攻擊趨勢

下面從攻擊類分布和針對性漏洞攻擊分析2個緯度展示12月現網的攻擊趨勢：

攻擊類型分布

通過對云腦日志數據分析可以看到，12月捕獲攻擊以WebServer漏洞利用、操作系統漏洞利用攻擊、Web掃描分類為主，以上三類攻擊日志數占總日志數的66.04%。其中WebServer漏洞利用類型的漏洞更是達到了29.14%，有近億的命中日志；操作系統漏洞利用攻擊占比21.23%。此外，Web掃描、嘗試枚舉服務器敏感信息的攻擊、Webshell上傳等攻擊類型在12月的攻擊數量有所增長。 

 

主要攻擊種類和比例如下：

 

針對性漏洞攻擊分析

（1）針對WEB漏洞的攻擊情況分析統計

其中遭受攻擊次數前三對應的漏洞分別是test.php、test.aspx、test.asp等文件訪問檢測漏洞、服務器目錄瀏覽禁止信息泄露漏洞和目錄遍歷攻擊漏洞，攻擊次數分別為50,576,305次、18,418,243次和14,043,621次。

 

（2）針對系統中間件類漏洞的攻擊情況分析統計

通過對日志數據分析可以看到其中遭受攻擊次數前三的漏洞分別是Microsoft Windows SMB Server SMBv1信息泄露漏洞、SMTP服務用戶登陸成功漏洞和Apache Web Server ETag Header 信息泄露漏洞。涉及Apache的漏洞最多有4個（占比20%），針對此類漏洞，深信服將持續關注并跟蹤其攻擊趨勢。

 

 

高危漏洞攻擊趨勢跟蹤

深信服安全團隊對重要軟件漏洞進行深入跟蹤分析，近年來Java中間件遠程代碼執行漏洞頻發，同時受永恒之藍影響使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式，Windows SMB日志量可達千萬級，Struts2系列漏洞攻擊次數本月持續增長，PHPCMS作為國內CMS的領跑者漏洞也長期受到攻擊者的關注，每月捕獲的攻擊日志也接近百萬級。相關用戶應重點關注。

Windows SMB 系列漏洞攻擊趨勢跟蹤情況

Struts 2系列漏洞攻擊趨勢跟蹤情況

Weblogic系列漏洞攻擊趨勢跟蹤情況

PHPCMS系列漏洞攻擊趨勢跟蹤情況

網絡安全漏洞分析

本月漏洞收集情況

2018年12月深信服安全團隊通過自動化手段篩選并收錄國內外重點漏洞135條，其中WEB應用漏洞57條，操作系統漏洞39條，網絡設備漏洞2條，服務器漏洞4條，客戶端漏洞25條。收錄的重要漏洞中包含54條0day漏洞。

 

從收集的重要漏洞分析攻擊方法分布，可以看到，占比排名前三的分別是信息泄露，代碼執行和跨站點腳本攻擊，分別占比23%，15%和11%，三類攻擊方法占總數的49%；驗證繞過，緩沖區溢出和內存損壞均占比9%；權限升級占比7%；拒絕服務攻擊和命令注入均占比4%；任意文件上傳漏洞占比2%；其余攻擊類型均只有1條占比1%。

全國網站漏洞類型統計

深信服漏洞監測平臺本月對國內已授權的4760個站點進行漏洞監控，近一個月內發現的高危站點1396個，高危漏洞20636個，主要漏洞類別是信息泄露、XSS和CSRF跨站請求偽造等。高危漏洞類型分布如下：

 

具體比例如下：

 

 

篡改情況統計

本月共監控網站在線業務8343個，共檢測到454個在線業務發生真實篡改，篡改總發現率高達5.4%。其中有382個識別為首頁篡改，21個識別為二級目錄篡改，51個識別為二層級以上的多層級篡改。具體分布圖如下圖所示：

 上圖可以看出，網站首頁篡改為篡改首要插入位置，成為黑客利益輸出首選。

近期流行攻擊事件及安全漏洞盤點

流行攻擊事件

GhostPetya骷髏頭勒索病毒襲擊半導體行業

12月初，國內半導體行業爆發勒索病毒，造成業務大面積癱瘓，深信服安全團隊率先接到情報并進行處置，發現其攻擊手段與早期Petya勒索病毒有相似之處，但又有較大不同，其攻擊方式包括控制域控服務器、釣魚郵件、永恒之藍漏洞攻擊和暴力破解，攻擊力極大，可在短時間內造成內網大量主機癱瘓，中招主機被要求支付0.1個比特幣贖金。深信服已將其命名為GhostPetya骷髏頭勒索病毒，并且制定了完善的防御措施和解決方案。 

具備多病毒功能！MiraiXMiner物聯網僵尸網絡攻擊來襲

深信服安全團隊跟蹤到一新型的物聯網僵尸網絡，其融合了多種已知病毒家族的特點，包括Mirai物聯網僵尸網絡病毒、MyKings僵尸網絡病毒、暗云木馬、挖礦等，傳播方式包括利用永恒之藍漏洞、閉路電視物聯網設備漏洞、MySQL漏洞等，也包括RDP爆破和Telnet爆破等弱口令爆破。深信服已將其命名為MiraiXMiner。 

勒索界“海王”橫掃中國

深信服安全團隊，綜合了2018年一整年的數據，最終確定勒索界年度“海王”為：GandCrab勒索病毒。

“驅動人生”升級通道木馬病毒惡意傳播

“驅動人生”旗下的“人生日歷”、“驅動人生”、“USB寶盒”等軟件疑似被利用，會下載木馬病毒，該病毒進入電腦后，繼續通過“永恒之藍”漏洞進行全網傳播，回傳被感染電腦的IP地址、CPU型號等信息，并接收遠程執行指令操作。

警惕！下載的軟件可能攜帶STOP勒索病毒變種！

深信服安全團隊捕獲到一起通過捆綁軟件運行勒索病毒的事件。勒索病毒與正常的應用軟件捆綁在一起運行，捆綁的勒索病毒為STOP勒索病毒的變種，加密后綴為.djvu。 

SamSam又出新變種

深信服安全團隊發現SamSam勒索病毒的最新變種樣本，編譯時間較新，加密后的文件后綴名與之前發現的一款變種一樣，同樣以.weapologize結尾，樣本采用RSA2048+AES加密算法進行加密，加密后的文件無法解密。 

還在用工具激活系統？小心被當做礦機！

深信服EDR安全團隊捕獲到一個偽裝成激活軟件Windows Loader的病毒樣本。經分析，該樣本并沒有激活功能，其主要功能是安裝廣告軟件以及挖礦程序。 

多功能Kasidet家族病毒高度活躍

深信服安全團隊在云查記錄中捕獲到一款高度活躍的病毒，并對其進行了深入分析后確定該病毒為Kasidet家族，此次分析的病毒主要通過竊取系統信息然后連接服務器根據攻擊者分發不同的命令執行不同的功能，攻擊者可以利用受感染的計算機作為攻擊平臺實施各種網絡攻擊,如DDoS攻擊、局域網感染、散布蠕蟲病毒、竊取機密資料等，其隱秘性、破壞性和威脅程度都遠大于單一的網絡攻擊模式。 

偽裝成“發票到期”電子郵件，傳播Neutrino僵尸網絡

深信服安全團隊捕獲到一個新型垃圾郵件，其中包含受密碼保護的Word文檔，團隊中的相關人員對其進行了深入的分析，發現是同樣類型的Neutrino最新版本僵尸程序。 

利用Telegram通信的勒索病毒Vendetta

深信服EDR安全團隊，最近捕獲到一款新型勒索病毒家族樣本Vendetta。Vendetta是一款使用.NET框架開發的勒索病毒樣本，會加密主機系統中大部分文件后綴名的文件，加密后綴為.vendetta，同時其具有Telegram通信功能，通過Telegram發送相應的主機進程信息以及加密信息，最后進行自刪除。 

安全漏洞事件

【漏洞預警】ThinkPHP 5多版本遠程代碼執行漏洞預警

12月9日，ThinkPHP官方團隊發布了最新版本的安全修復公告，該版本修復了一處遠程代碼執行漏洞，該漏洞由于ThinkPHP框架對控制器名沒有進行足夠的檢測，導致在沒有開啟強制路由的情況下執行任意代碼，最終服務器會被GetShell，該漏洞影響ThinkPHP 5.0、ThinkPHP 5.1多個版本。

【漏洞預警】PHPCMS 2008遠程代碼注入漏洞（CVE-2018-19127）預警

近期，PHPCMS 2008版本被爆出遠程代碼注入漏洞，漏洞CVE編號為：CVE-2018-19127。該漏洞利用向PHPCMS網站路徑可控的緩存文件寫入任意內容，從而可以寫入PHP代碼，獲取網站WebShell，最終獲取到網站的最高權限。