網絡安全情況概述

2019年2月，整體而言互聯網網絡安全狀況指標平穩，但依然面臨著嚴峻的考驗。一方面，老病毒和漏洞經久不衰，新的安全事件層出不窮，利用“驅動人生”供應鏈傳播的木馬病毒升級變異，以及WinRAR壓縮軟件曝出高危漏洞，影響范圍廣泛；另一方面，被攻擊的設備場景影響不斷擴大，包括NVR（視頻監控）設備場景、IoT設備場景等都面臨著被病毒進一步入侵的風險。但監測數據顯示，網站攻擊和網站漏洞數量連續多個月上升之后在本月放緩。

2月，深信服安全云腦累計發現：

• 惡意攻擊14.1億次，平均每天攔截惡意程序5037萬次。
• 活躍惡意程序15961個，其中感染性病毒6836個，占比42.83%；木馬遠控病毒5320個，占比33.33%。挖礦病毒種類443個，攔截次數9.16億次，較之前有所下降，其中Xmrig病毒家族最為活躍。

深信服全網安全態勢感知平臺對國內已授權的6996個站點進行漏洞監控，發現：

• 高危站點2463個，高危漏洞5888個，主要漏洞類別是點擊劫持、CSRF跨站請求偽造和信息泄露。
• 監控在線業務5870個，共有249個在線業務發生過真實篡改，篡改占比高達4.24%。

惡意程序活躍詳情

2019年2月，病毒攻擊的態勢在本月有所緩解，病毒攔截量比1月份下降近20%，近半年攔截惡意程序數量趨勢如下圖所示：

2019年2月，深信服安全云腦檢測到的活躍惡意程序樣本有15961個，較1月份明顯下降，其中感染性病毒6836個，占比42.83%；木馬遠控病毒5320個，占比33.33%，挖礦病毒443個，占比1.37%。

2月總計攔截惡意程序14.1億次，比1月份下降20%，其中挖礦病毒的攔截量占比65%，其次是感染型病毒（14%）、木馬遠控病毒（11%）、蠕蟲（6%）、后門軟件（3%），具體分布如下圖所示：

挖礦病毒活躍情況

2019年2月，深信服安全云腦共攔截挖礦病毒9.16億次，比一月份下降14%，其中最為活躍的挖礦病毒家族是Xmrig、Wannamine、Minepool、Bitcoinminer、Zombieboyminer、Falsesign，特別是Xmrig家族，共攔截4.12億次。同時監測數據顯示，被挖礦病毒感染的地域主要有廣東、浙江、北京等地，其中廣東省感染量依然是全國第一，感染比例上升1%。

被挖礦病毒感染的行業分布中，政府受挖礦病毒感染情況最為嚴重，感染比例和1月基本持平，其次是企業和教育行業。

感染性病毒活躍狀況

2019年2月，深信服安全云腦檢測并捕獲感染性病毒樣本6836個，共攔截19147萬次。其中Virut家族是成為本月攻擊態勢最為活躍的感染性病毒家族,共被攔截8418萬次，此家族占了所有感染性病毒攔截數量的44%；而排名第二第三的是Ramnit和Sality家族，本月攔截比例分別是為37%和11%。

在感染性病毒危害地域分布上，廣東省（病毒攔截量）位列全國第一，占TOP10總量的28%，其次為浙江省和湖南省。

從感染性病毒攻擊的行業分布來看，黑客更傾向于使用感染性病毒攻擊企業、教育、政府等行業。企業、教育、政府的攔截數量占攔截總量的75%，具體感染行業分布如下圖所示：

木馬遠控病毒活躍狀況

深信服安全云腦2月檢測到木馬遠控病毒樣本5320個，共攔截15271萬次，攔截量較1月下降22%。其中最活躍的木馬遠控家族是Zusy，攔截數量達2405萬次，其次是XorDDos、Injector。Glupteba病毒感染趨勢下降，本月攔截量占木馬遠控病毒的比例為7.38%。

對木馬遠控病毒區域攔截量進行分析統計發現，惡意程序攔截量最多的地區為廣東省，占TOP10攔截量的21%，比1月份下降4%；其次為浙江（17%）、北京（14%）、四川（11%）和湖北（7%）。此外江蘇、山東、上海、福建、山西的木馬遠控攔截量也排在前列。

行業分布上，企業、政府及教育行業是木馬遠控病毒的主要攻擊對象。其中企業占TOP10攔截量的32%，較1月份基本持平。

蠕蟲病毒活躍狀況

2019年2月深信服安全云腦檢測到蠕蟲病毒樣本1185個，共攔截8901萬次，但通過數據統計分析來看，大多數攻擊都是來自于Gamarue、Jenxcus、Dorkbot、Mydoom、Palevo、Vobfus、Buzus、Phorpiex、Ngrbot家族，這些家族占據了2月全部蠕蟲病毒攻擊的98.8%，其中攻擊態勢最活躍的蠕蟲病毒是Gamarue，占蠕蟲病毒攻擊總量的85%。

從感染地域上看，廣東地區用戶受蠕蟲病毒感染程度最為嚴重，其攔截量占TOP10比例的33%；其次為江蘇?。?4%）、湖南?。?2%）。

從感染行業上看，企業、政府等行業受蠕蟲感染程度較為嚴重。

勒索病毒活躍狀況

2019年2月，共檢測到活躍勒索病毒樣本量115個。其中，Wannacry、Razy、Gandcrab、Revenge、Teslacrypt、Locky、Mamba等依然是最活躍的勒索病毒家族，其中Wannacry家族本月攔截數量有1156萬次，危害依然較大。

從勒索病毒傾向的行業來看，企業和政府感染病毒數量占總體的52%，是黑客最主要的攻擊對象，具體活躍病毒行業分布如下圖所示：

從勒索病毒受災地域上看，廣東地區受感染情況最為嚴重，其次是福建省和浙江省。

網絡安全攻擊趨勢分析

深信服全網安全態勢感知平臺監測到全國34808個IP在2月所受網絡攻擊總量約為6億次。本月攻擊態勢與前三個月相比明顯下降。下圖為近半年深信服網絡安全攻擊趨勢監測情況：

本月安全攻擊趨勢

下面從攻擊類型分布和重點漏洞攻擊分析2個緯度展示本月現網的攻擊趨勢：

攻擊類型分布

通過對云腦日志數據分析可以看到，2月捕獲攻擊以系統漏洞利用攻擊、Web掃描、WebServer漏洞利用、信息泄露攻擊、Webshell上傳、Dns服務器漏洞攻擊和暴力破解等分類為主。其中系統漏洞利用類型的占比更是高達36.70%，有近億的命中日志；Web掃描類型的漏洞占比29.10%；WebServer漏洞利用類型均占比13.30%。此外，信息泄露攻擊、Webshell上傳等攻擊類型在2月的攻擊數量有所增長。

主要攻擊種類和比例如下：

重要漏洞攻擊分析

通過對云腦日志數據分析,針對漏洞的攻擊情況篩選初本月攻擊利用次數TOP20的漏洞。

其中攻擊次數前三的漏洞分別是test.php、test.aspx、test.asp等文件訪問檢測漏洞、服務器目錄瀏覽禁止信息泄露漏洞和Apache Web Server ETag Header信息泄露漏洞，攻擊次數分別為59,185,795、20,276,680和18,424,531。

篡改攻擊情況統計

2月共監控在線業務5870個（去重），共檢測到249個網站發生真實篡改，篡改總發現率高達4.24%。

其中博彩、色情、游戲類篡改是黑帽SEO篡改的主流類型。相比過去，醫療、代孕廣告類數量減少，可能和監管機關對非正規醫療機構推廣限制有關。

此外，近期呈現一種重要的網站黑帽SEO趨勢：注冊已經被政府機關拋棄但曾用過的域名用來搭建博彩等暴利網站，大量政府機關含有舊域名鏈接的網頁就成了非法站點的天然外鏈，被利用提升其PR值。

高危漏洞攻擊趨勢跟蹤

深信服安全團隊對重要軟件漏洞進行深入跟蹤分析，近年來Java中間件遠程代碼執行漏洞頻發，同時受“永恒之藍”影響使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式。

2019年2月，Windows SMB日志量達千萬級，近幾月攻擊態勢持緩步上升趨勢；Weblogic系列漏洞的攻擊趨勢近幾月持續降低，Weblogic系列漏洞利用熱度降低；Struts2系列漏洞，PHPCMS系列漏洞本月攻擊次數大幅上升，近期應重點關注。

• Windows SMB 系列漏洞攻擊趨勢跟蹤情況

• Struts 2系列漏洞攻擊趨勢跟蹤情況

• Weblogic系列漏洞攻擊趨勢跟蹤情況

• PHPCMS系列漏洞攻擊趨勢跟蹤情況

網絡安全漏洞分析

本月漏洞收集情況

2019年2月深信服安全團隊通過自動化手段篩選并收錄國內外重點漏洞168條，包含34條0day漏洞。二月漏洞收集數量較1月相比有所上升。

對所收集的重要漏洞的攻擊方法進行統計，可以看到，信息泄露類型的漏洞所占比例最大（23%），其次代碼執行，跨站點腳本攻擊，驗證繞過，緩沖區溢出和權限升級等類型的漏洞也占比排名考靠前。

全國網站漏洞類型統計

深信服云眼網站安全監測平臺在2月對國內已授權的6966個站點進行漏洞監控，發現的高危站點2463個，高危漏洞5888個，漏洞類別占比前三的分別是點擊劫持、CSRF跨站請求偽造和信息泄露。高危漏洞類型分布如下：

具體比例如下：