網絡安全狀況概述

2019年1月，整體而言，互聯網網絡安全狀況指標平穩。從行業角度看，針對醫療和服務業的攻擊逐步增多，原因是這些行業擁有數據的價值正在增加。另一方面，勒索病毒作為破壞性最強、影響面廣泛的一類惡意程序，該月出現多種勒索病毒變種肆虐，勒索病毒感染正處于愈演愈烈的態勢，個人或企業應做好安全防護措施。此外，根據監測數據發現，網站攻擊和網站漏洞數量在1月有所緩減，信息泄漏為目的的漏洞攻擊形勢依然較為嚴峻。

1月，深信服安全云腦累計發現：

• 惡意攻擊17.6億次，平均每天攔截惡意程序5688萬次。
• 活躍惡意程序54993個，其中僵尸網絡23730個，占比43.15%；木馬遠控病毒20162個，占比36.66%?；钴S挖礦病毒種類704個，攔截次數10.71億次，較之前有持續增長，其中NrsMiner變種非?；钴S。

深信服漏洞監測平臺對國內已授權的7329個站點進行漏洞監控，發現：

• 高危站點2505個，其中高危漏洞5792個，主要漏洞類別是點擊劫持、CSRF跨站請求偽造和信息泄露。
• 監控在線業務5870個，其中有246個在線業務發生過真實篡改，篡改占比高達4.19%。

惡意程序活躍詳情

2019年1月，深信服安全云腦檢測到的活躍惡意程序樣本有54993個，其中僵尸網絡23730個，占比43.15%；木馬遠控病毒20162個，占比36.66%，挖礦病毒704個，占比1.28%。

1月總計攔截惡意程序17.6億次，其中挖礦病毒的攔截量占比61%，其次是感染型病毒（16%）、木馬遠控病毒（11%）、蠕蟲（7%）、后門軟件（3%）、勒索軟件（1%），由下圖可知，挖礦病毒的攔截比例依然較大。

▲2019年1月惡意程序攔截量按類型分布

挖礦病毒活躍情況

2019年1月，深信服安全云腦共捕獲挖礦病毒樣本704個，攔截挖礦病毒10.71億次，其中最為活躍的挖礦病毒是NrsMiner、MinePool、Xmrig、BitCoinMiner、WannaMine，特別是1月爆發的NrsMiner家族，共攔截4.38億次。同時監測數據顯示，被挖礦病毒感染的地域主要有廣東、浙江、北京等地，其中廣東省感染量全國第一。

▲2019年1月挖礦病毒活躍地域Top10

被挖礦病毒感染的行業分布如下圖所示，其中企業受挖礦病毒感染情況最為嚴重，其次是政府和教育行業。

▲2019年1月挖礦病毒感染行業TOP10

基于深信服對挖礦病毒主要特征的總結，發現黑客入侵挖礦的主要目標是存在通用安全漏洞的機器，所以預防入侵挖礦的主要手段就是發現和修復漏洞：

1)根據業務情況盡量關閉非業務需要的端口，對于開放在外網上的服務，即使因為業務，也應限制訪問來源。

2)建議關注操作系統和組件重大更新，如 WannaCry 傳播使用的永恒之藍漏洞，及時更新補丁或者升級組件。

3)為預防密碼暴力破解導致的入侵，應更換默認的遠程登錄端口，設置復雜的登錄密碼，或者放棄使用口令登錄，改使用密鑰登錄。

4)自檢服務器上部署的業務，進行滲透測試，及早發現并修復業務漏洞，避免成為入侵點。

5)使用深信服下一代防火墻、EDR等安全產品，實時檢測發現服務器上的安全漏洞并且及時修復。

此外，針對已經被入侵挖礦的情況，建議及時清理挖礦進程和惡意文件，同時排查入侵點并修復，從源頭上進行有效解決。

僵尸網絡病毒活躍情況

2019年1月，深信服安全云腦檢測并捕獲僵尸網絡樣本20162個，共攔截8756萬次。其中Andromeda家族是成為本月攻擊態勢最為活躍的僵尸網絡家族,共被攔截2732萬次，此家族占了所有僵尸網絡攔截數量的31%；而排名第二第三的Aenjaris和Moto家族攔截量呈現大幅增加，本月攔截比例分別是為15%和14%。1月份僵尸網絡活躍家族TOP榜如下圖所示：

▲2019年1月僵尸網絡活躍家族攔截數量TOP10

在僵尸網絡危害地域分布上，廣東省（病毒攔截量）位列全國第一，占TOP10總量的38%，其次為浙江省和內蒙古自治區。

▲2019年1月僵尸網絡活躍地區TOP10

從僵尸網絡攻擊的行業分布來看，黑客更傾向于使用僵尸網絡攻擊企業、教育、政府等行業。企業、教育、政府的攔截數量占僵尸網絡TOP10攔截總量的80%，具體感染行業TOP分布如下圖所示：

▲2019年1月僵尸網絡感染行業TOP10

 

木馬遠控病毒活躍狀況

深信服安全云腦1月檢測到木馬遠控病毒樣本18501個，共攔截19612萬次。其中最活躍的木馬遠控家族是Glupteba，攔截數量達3146萬次，其次是XorDDos、Zusy。具體分布數據如下圖所示：

▲2019年1月木馬遠控毒活躍家族TOP10

對木馬遠控病毒區域攔截量進行分析統計發現，惡意程序攔截量最多的地區為廣東省，占TOP10攔截量的 25%；其次為浙江（16%）、北京（12%）、四川（11%）和江蘇（8%）。此外湖北、山東、上海、福建、湖南的木馬遠控攔截量也排在前列。

▲2019年1月木馬遠控活躍地區TOP10

行業分布上，企業、政府及科研教育行業是木馬遠控病毒的主要攻擊對象。

▲2019年1月木馬遠控病毒感染行業TOP10

 

蠕蟲病毒活躍狀況

2019年1月深信服安全云腦檢測到蠕蟲病毒樣本2156個，共攔截8955萬次，但通過數據統計分析來看，大多數攻擊都是來自于Gamarue、Jenxcus、DorkBot、Palevo、Citeary、Vobfus、Conficker、Brontok、NgrBot家族，這些家族占據了1月全部蠕蟲病毒攻擊的98.9%，其中攻擊態勢最活躍的蠕蟲病毒是Gamarue，占蠕蟲病毒攻擊總量的76%。

▲2019年1月蠕蟲病毒活躍家族TOP10

從感染地域上看，廣東地區用戶受蠕蟲病毒感染程度最為嚴重，其攔截量占TOP10比例的24%；其次為江西?。?2%）、湖南?。?3%）。

▲2019年1月蠕蟲病毒活躍地域TOP10

從感染行業上看，企業、教育等行業受蠕蟲感染程度較為嚴重。

▲2019年1月蠕蟲病毒感染行業分布TOP10

 

勒索病毒活躍狀況

2019年1月，共檢測到活躍勒索病毒樣本量292個。其中，WannaCry、Razy、GandCrab、TeslaCrypt、Mamba、Locky依然是最活躍的勒索病毒家族，其中WannaCry家族本月攔截數量有300萬次，危害依然較大。

從勒索病毒傾向的行業來看，企業和政府感染病毒數量占總體的55%，是黑客最主要的攻擊對象，具體活躍病毒行業分布如下圖所示：

▲2019年1月勒索病毒感染行業TOP10

 

從勒索病毒受災地域上看，廣東地區受感染情況最為嚴重，其次是浙江省和福建省。

▲2019年1月勒索病毒活躍地域TOP10

網絡安全攻擊趨勢分析

深信服全網安全態勢感知平臺監測到全國30692個IP在1月內所受網絡攻擊總量約為12億次。下圖為近半年深信服網絡安全攻擊趨勢監測情況：

▲近半年網絡安全攻擊趨勢情況

 

本月安全攻擊趨勢

下面從攻擊類型分布和命中情況分析2個緯度展示本月現網的攻擊趨勢：

攻擊類型分布

通過對云腦日志數據分析可以看到，1月捕獲攻擊以Web掃描、WebServer漏洞利用、操作系統漏洞利用攻擊和信息泄露攻擊分類為主，以上四類攻擊日志數占總日志數的73%。其中Web掃描類型的漏洞更是達到了26.73%，有近億的命中日志；WebServer漏洞利用和操作系統漏洞利用攻擊類型均占比18%。此外，信息泄露攻擊、Webshell上傳、SQL注入等攻擊類型在1月的攻擊數量有所增長。

▲2019年1月攻擊類型分布

主要攻擊種類和比例如下：

針對性漏洞攻擊分析

（1）針對WEB漏洞的攻擊情況分析統計

其中遭受攻擊次數前三對應的漏洞分別是test.php、test.aspx、test.asp等文件訪問檢測漏洞、SQL注入攻擊雙引號語句檢測漏洞和服務器目錄瀏覽禁止信息泄露漏洞，攻擊次數分別為75,352,863、21,599,200和21,182,625。

（2）針對系統中間件類漏洞的命中情況分析統計

通過對日志數據分析可以看到其中遭受攻擊次數前三的漏洞分別是Microsoft Windows SMB Server SMBv1信息泄露漏洞、NTP Ntp_request.c 遠程拒絕服務漏洞和Microsoft IIS畸形本地文件名安全繞過漏洞。

高危漏洞攻擊趨勢跟蹤

深信服安全團隊對重要軟件漏洞進行深入跟蹤分析，近年來Java中間件遠程代碼執行漏洞頻發，同時受永恒之藍影響使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式，2019年1月，Windows SMB日志量達千萬級，相比上月小幅上升；Struts2系列漏洞，Weblogic系列漏洞和PHPCMS系列漏洞的攻擊次數本月均大幅度減少。相關用戶應重點關注。

• Windows SMB 系列漏洞攻擊趨勢跟蹤情況

• Struts 2系列漏洞攻擊趨勢跟蹤情況

• Weblogic系列漏洞攻擊趨勢跟蹤情況

• PHPCMS系列漏洞攻擊趨勢跟蹤情況

網絡安全漏洞分析

本月漏洞收集情況

2019年1月深信服安全團隊通過自動化手段篩選并收錄國內外重點漏洞115條，其中WEB應用漏洞36條，操作系統漏洞50條，網絡設備漏洞2條，服務器漏洞4條，客戶端漏洞23條。收錄的重要漏洞中包含34條0day漏洞。

從收集的重要漏洞分析攻擊方法分布，可以看到，占比排名前三的分別是代碼執行，信息泄露，和權限升級，分別占比20%，19%和15%，三類攻擊方法占總數為54%；跨站點腳本攻擊，驗證繞過，內存損壞，拒絕服務攻擊和緩沖區溢出的占比情況也排名靠前。

全國網站漏洞收集情況

深信服云眼網站安全監測平臺本月對國內已授權的4282個站點進行漏洞監控，近一個月內發現的高危站點1364個，高危漏洞23477個，主要漏洞類別是信息泄露、XSS和CSRF跨站請求偽造等。高危漏洞類型分布如下：

具體比例如下：

篡改情況統計

1月共監控在線業務5870個（已去重），共檢測到246個（已去重）個網站發生真實篡改，篡改總發現率高達4.19%。其中有202個識別為首頁篡改，13個識別為二級目錄篡改，31個識別為二層級以上的多層級篡改。

具體分布圖如下圖所示：

從上圖可以看出，網站首頁篡改為篡改首要插入位置，成為黑客利益輸出首選。