2019年4月,深信服安全云腦檢測到的活躍惡意程序樣本有30035個,其中木馬遠(yuǎn)控病毒13733個,占比45.72%,感染型病毒6852個,占比22.81%,蠕蟲病毒6461個,占比21.51%,挖礦病毒502個,占比1.67%,勒索病毒419個,占比1.4%。

4月總計攔截惡意程序19.60億次,其中挖礦病毒的攔截量占比62.72%,其次是木馬遠(yuǎn)控病毒(12.57%)、蠕蟲病毒(12.5%)、感染型病毒(8.82%)、后門軟件(2.31%)、勒索病毒(0.97%)。

1.?勒索病毒活躍狀況

2019年4月,共攔截活躍勒索病毒1893萬次。其中,WannaCry、Razy、GandCrab依然是最活躍的勒索病毒家族,其中WannaCry家族4月攔截數(shù)量有1098萬次,危害依然較大。

從勒索病毒傾向的行業(yè)來看,企業(yè)和教育感染病毒數(shù)量占總體的51%,是黑客最主要的攻擊對象,具體活躍病毒行業(yè)分布如下圖所示:

從勒索病毒受災(zāi)地域上看,廣東地區(qū)受感染情況最為嚴(yán)重,其次是四川省和浙江省。

2.?挖礦病毒活躍狀況

2019年4月,深信服安全云腦在全國共攔截挖礦病毒12.29億次,比3月上升25%,其中最為活躍的挖礦病毒是Minepool、Xmrig、Wannamine、Bitcoinminer,特別是Minepool家族,共攔截5.03億次。同時監(jiān)測數(shù)據(jù)顯示,被挖礦病毒感染的地域主要有廣東、浙江、北京等地,其中廣東省感染量全國第一。

被挖礦病毒感染的行業(yè)分布如下圖所示,其中企業(yè)受挖礦病毒感染情況最為嚴(yán)重,感染比例和3月基本持平,其次是政府和教育行業(yè)。

3.?感染型病毒活躍狀況

2019年4月,深信服安全云腦檢測并捕獲感染型病毒樣本6852個,共攔截1.73億次。其中Virut家族是4月攻擊態(tài)勢最為活躍的感染型病毒家族,共被攔截1.18億次,此家族占了所有感染型病毒攔截數(shù)量的68.15%;而排名第二第三的是Sality和Wapomi家族,4月攔截比例分別是18.34%和3.96%。4月份感染型病毒活躍家族TOP榜如下圖所示:

在感染型病毒危害地域分布上,廣東省(病毒攔截量)位列全國第一,占TOP10總量的35%,其次為廣西壯族自治區(qū)和浙江省。

從感染型病毒攻擊的行業(yè)分布來看,黑客更傾向于使用感染型病毒攻擊企業(yè)、教育、政府等行業(yè)。企業(yè)、教育、政府的攔截數(shù)量占攔截總量的76%,具體感染行業(yè)分布如下圖所示:

4.?木馬遠(yuǎn)控病毒活躍狀況

深信服安全云腦4月全國檢測到木馬遠(yuǎn)控病毒樣本13733個,共攔截2.46億次,攔截量較3月上升23%。其中最活躍的木馬遠(yuǎn)控家族是Drivelife,攔截數(shù)量達(dá)5756萬次,其次是Zusy、Injector。具體分布數(shù)據(jù)如下圖所示:

對木馬遠(yuǎn)控病毒區(qū)域攔截量進(jìn)行分析統(tǒng)計發(fā)現(xiàn),惡意程序攔截量最多的地區(qū)為廣東省,占TOP10攔截量的?30%,較3月份有所增加;其次為浙江(13%)、北京(12%)、四川(10%)和湖北(7%)。此外山東、上海、湖南、江西、江蘇的木馬遠(yuǎn)控攔截量也排在前列。

行業(yè)分布上,企業(yè)、教育及政府行業(yè)是木馬遠(yuǎn)控病毒的主要攻擊對象。

5.?蠕蟲病毒活躍狀況

2019年4月深信服安全云腦在全國檢測到蠕蟲病毒樣本6461個,共攔截2.45億次,但通過數(shù)據(jù)統(tǒng)計分析來看,大多數(shù)攻擊都是來自于Ramnit、Gamarue、Jenxcus、Conficker、Dorkbot、Faedevour、Mydoom、Small家族,這些家族占據(jù)了4月全部蠕蟲病毒攻擊的97%,其中攻擊態(tài)勢最活躍的蠕蟲病毒是Ramnit,占蠕蟲病毒攻擊總量的48.52%。

從感染地域上看,廣東地區(qū)用戶受蠕蟲病毒感染程度最為嚴(yán)重,其攔截量占TOP10比例的30%;其次為湖南省(14%)、江西省(11%)。

從感染行業(yè)上看,企業(yè)、教育等行業(yè)受蠕蟲感染程度較為嚴(yán)重。

網(wǎng)絡(luò)安全攻擊趨勢分析

深信服全網(wǎng)安全態(tài)勢感知平臺監(jiān)測到全國34808個IP在4月所受網(wǎng)絡(luò)攻擊總量約為4.8億次。4月攻擊態(tài)勢較上月有小幅上升。下圖為近半年深信服網(wǎng)絡(luò)安全攻擊趨勢監(jiān)測情況:

1.?安全攻擊趨勢

下面從攻擊類型分布和重點漏洞攻擊分析2個緯度展示4月安全攻擊趨勢:

(1)攻擊類型分布

通過對深信服安全云腦日志數(shù)據(jù)分析可以看到,4月捕獲攻擊以WebServer漏洞利用、系統(tǒng)漏洞利用、Web掃描、信息泄露和Webshell上傳等分類為主。其中WebServer漏洞利用類型的占比更是高達(dá)52.30%,有近億的攻擊次數(shù);系統(tǒng)漏洞利用類型占比17.80%;Web掃描類型的漏洞占比7.60%。

主要攻擊種類和比例如下:

(2)重點漏洞攻擊分析

通過對深信服安全云腦日志數(shù)據(jù)分析,針對漏洞的攻擊情況篩選出4月攻擊利用次數(shù)最高的漏洞TOP20。

其中攻擊次數(shù)前三的漏洞分別是Apache Web Server ETag Header?信息泄露漏洞、test.php、test.aspx、test.asp等文件訪問檢測漏洞和Microsoft Windows Server 2008/2012 – LDAP RootDSE Netlogon?拒絕服務(wù)漏洞,攻擊次數(shù)分別為21486195、18302033和18115723。整體較上月均有下降。

2.?高危漏洞攻擊趨勢跟蹤

深信服安全團隊對重要軟件漏洞進(jìn)行深入跟蹤分析,近年來Java中間件遠(yuǎn)程代碼執(zhí)行漏洞頻發(fā),同時受永恒之藍(lán)影響,使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式。

2019年4月,Windows SMB日志量達(dá)千萬級,近幾月攻擊持上升趨勢,其中攔截到的(MS17-010)Microsoft Windows SMB Server?遠(yuǎn)程代碼執(zhí)行漏洞攻擊利用日志最多;Struts2系列漏洞攻擊趨勢近幾月攻擊次數(shù)波動較大,Weblogic系列漏洞的攻擊也程波動狀態(tài),4月僅攔截不到四十萬攻擊日志;PHPCMS系列漏洞結(jié)束了前幾月持續(xù)上升的趨勢。

Windows SMB?系列漏洞攻擊趨勢跟蹤情況:

Struts 2系列漏洞攻擊趨勢跟蹤情況:

Weblogic系列漏洞攻擊趨勢跟蹤情況:

PHPCMS系列漏洞攻擊趨勢跟蹤情況:

網(wǎng)絡(luò)安全漏洞分析

1.?全國網(wǎng)站漏洞類型統(tǒng)計

深信服網(wǎng)站安全監(jiān)測平臺4月對國內(nèi)已授權(quán)的5661個站點進(jìn)行漏洞監(jiān)控,4月發(fā)現(xiàn)的高危站點1991個,高危漏洞24495個,漏洞類別里CSRF跨站請求偽造占比88%,詳細(xì)高危漏洞類型分布如下:

具體比例如下:

2.?篡改情況統(tǒng)計

深信服網(wǎng)站安全監(jiān)測平臺4月共監(jiān)控在線業(yè)務(wù)6724個,共識別潛在篡改的網(wǎng)站179個,篡改總發(fā)現(xiàn)率高達(dá)2.66%。

其中首頁篡改120個,二級頁面篡改46個,多級頁面篡改13個。

具體分布圖如下圖所示:

上圖可以看出,網(wǎng)站首頁篡改為篡改首要插入位置,成為黑客利益輸出首選。

近期流行攻擊事件及安全漏洞盤點

1.?流行攻擊事件

(1)識別使用隨機后綴的勒索病毒Golden Axe

國外安全研究員在3月發(fā)現(xiàn)了一款名為Golden Axe的勒索病毒,Golden Axe是一款用go語言編寫的勒索病毒,使用基于RSA公匙加密體系的郵件加密軟件PGP開源代碼對文件進(jìn)行加密。

具體詳見:識別使用隨機后綴的勒索病毒Golden Axe

(2)警惕!GandCrab5.2勒索病毒偽裝國家機關(guān)發(fā)送釣魚郵件進(jìn)行攻擊

4月,包括金融行業(yè)在內(nèi)的多家企業(yè)反饋,其內(nèi)部員工收到可疑郵件。郵件發(fā)件人顯示為“National Tax Service”(譯為“國家稅務(wù)局”),郵箱地址為lijinho@cgov.us,意圖偽裝成美國政府專用的郵箱地址gov.us,郵件內(nèi)容是傳訊收件人作為被告審訊。

具體詳見:警惕!GandCrab5.2勒索病毒偽裝國家機關(guān)發(fā)送釣魚郵件進(jìn)行攻擊

(3)手把手教你解密Planetary勒索病毒

國外安全研究人員曝光了一種名為Planetary的勒索病毒家族,該勒索病毒家族最早于2018年12月被發(fā)現(xiàn),使用AES-256加密算法加密文件,通常通過RDP爆破或垃圾郵件進(jìn)行傳播,重點攻擊對象是使用英語的用戶群體,但在中國和日本地區(qū)都發(fā)現(xiàn)了遭到攻擊的用戶。

具體詳見:手把手教你解密Planetary勒索病毒

(4)linux挖礦病毒DDG改造后重出江湖蔓延Windows平臺

深信服安全團隊在4月捕獲了Linux、windows雙平臺的挖礦病毒樣本,通過安全人員分析確認(rèn),該木馬是通過redis漏洞傳播的挖礦木馬DDG的最新變種,使用當(dāng)前最新的go語言1.10編譯并且使用了大量的基礎(chǔ)庫文件,該木馬會大量消耗服務(wù)器資源,難以清除并具有內(nèi)網(wǎng)擴散功能。

具體詳見:linux挖礦病毒DDG改造后重出江湖蔓延Windows平臺

(5)【樣本分析】門羅幣挖礦+遠(yuǎn)控木馬樣本分析

近期,深信服安全團隊在對可疑下載類樣本進(jìn)行分析時,發(fā)現(xiàn)了一個門羅幣挖礦和木馬的雙功能樣本。該樣本會在執(zhí)行挖礦的同時,通過C2配置文件,到指定站點下載具有遠(yuǎn)控功能的樣本,獲取受害主機信息,并進(jìn)一步控制受害主機。

具體詳見:【樣本分析】門羅幣挖礦+遠(yuǎn)控木馬樣本分析

(6)真假文件夾?FakeFolder病毒再次搗亂企業(yè)內(nèi)網(wǎng)

4月,深信服安全團隊接到客戶反饋,內(nèi)網(wǎng)中出現(xiàn)了大量偽造成文件夾的可疑exe文件,刪掉以后仍會反復(fù)。經(jīng)分析發(fā)現(xiàn),這是一個蠕蟲病毒FakeFolder,該病毒會通過U盤及共享文件夾進(jìn)行傳播,一旦主機感染了該病毒,系統(tǒng)中的文件夾都會被隱藏,取而代之的是一個偽裝的病毒文件,當(dāng)用戶運行病毒文件時,也會彈出對應(yīng)文件夾的窗口,因此不易被察覺;只要系統(tǒng)中還殘留著一個FakeFolder病毒文件,就會對主機進(jìn)行反復(fù)感染。

具體詳見:真假文件夾?FakeFolder病毒再次搗亂企業(yè)內(nèi)網(wǎng)

(7)警惕!利用Confluence最新漏洞傳播的Linux挖礦病毒seasame

4月,深信服EDR產(chǎn)品率先檢測到一款新型Linux挖礦木馬,經(jīng)分析,該病毒利用Confluence漏洞傳播,通過定時下載對病毒體進(jìn)行?；?同時由于病毒會殺掉包含“https://”、“http://”的進(jìn)程,將導(dǎo)致用戶無法下載文件及訪問網(wǎng)頁,挖礦進(jìn)程會導(dǎo)致服務(wù)器出現(xiàn)卡頓等異常現(xiàn)象。深信服安全團隊根據(jù)其母體文件名將其命名為seasame。

具體詳見:警惕!利用Confluence最新漏洞傳播的Linux挖礦病毒seasame

(8)謹(jǐn)防“神秘人”勒索病毒X_Mister偷襲

4月,國外某安全論壇公布了一款類似Globelmposter的新型勒索病毒,此勒索病毒的某些行為與Globelmposter類似,因聯(lián)系郵箱中帶有x_mister而被命名為X_Mister(“神秘人”)勒索病毒,該勒索病毒使用RSA+DES算法加密文件,自身不具備橫向感染功能,通常由攻擊者對目標(biāo)進(jìn)行RDP爆破后手動投放,或通過垃圾郵件傳播,且加密完成后會進(jìn)行自刪除。

具體詳見:謹(jǐn)防“神秘人”勒索病毒X_Mister偷襲

(9)警惕“俠盜”團伙利用新型漏洞傳播GandCrab勒索“藍(lán)屏”變種

近期,深信服安全團隊捕獲到利用Confluence新型漏洞傳播勒索病毒的事件,已有政企機構(gòu)受到攻擊,黑客團伙通過漏洞利用入侵服務(wù)器,上傳Downloader腳本文件,連接C&C端下載運行勒索病毒。通過樣本中提取的IP進(jìn)行關(guān)聯(lián),該攻擊事件與利用Confluence漏洞(CVE-2019-3396)傳播GandCrab勒索病毒攻擊事件有密切的關(guān)聯(lián)。

具體詳見:警惕“俠盜”團伙利用新型漏洞傳播GandCrab勒索“藍(lán)屏”變種

2.?安全漏洞事件

(1)【漏洞預(yù)警】Apache HTTP Server組件提權(quán)漏洞(CVE-2019-0211)

Apache HTTP Server官方發(fā)布了Apache HTTP Server 2.4.39版本的更新,該版本修復(fù)了一個漏洞編號為CVE-2019-0211的提權(quán)漏洞,漏洞等級高危,根據(jù)深信服安全團隊分析,該漏洞影響嚴(yán)重,攻擊者可以通過上傳攻擊腳本在目標(biāo)服務(wù)器上進(jìn)行提權(quán)攻擊,該漏洞在非*nix平臺不受影響。

具體詳見:【漏洞預(yù)警】Apache HTTP Server組件提權(quán)漏洞(CVE-2019-0211)

(2)【攻擊捕獲】JeeCMS漏洞竟淪為黑產(chǎn)SEO的秘密武器?

深信服安全感知平臺在4月發(fā)現(xiàn)客戶服務(wù)器中的文件遭篡改,植入博彩頁面。經(jīng)排查,發(fā)現(xiàn)大量網(wǎng)頁文件被篡改,且被篡改的時間非常密集。

具體詳見:【攻擊捕獲】JeeCMS漏洞竟淪為黑產(chǎn)SEO的秘密武器?

(3)Apache Tomcat?遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2019-0232)預(yù)警

4月,Apache?Tomcat官方團隊在最新的安全更新中披露了一則Apache?Tomcat?遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2019-0232)。漏洞官方定級為?High,屬于高危漏洞。該漏洞本質(zhì)是在啟用了enableCmdLineArguments的Windows上運行時,由于JRE將命令行參數(shù)傳遞給Windows的方式存在錯誤,通過此漏洞,CGI?Servlet可以受到攻擊者的遠(yuǎn)程執(zhí)行代碼攻擊。

具體詳見:Apache Tomcat?遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2019-0232)預(yù)警

(4)【漏洞預(yù)警】WebLogic任意文件上傳漏洞(CVE-2019-2618)

Oracle官方在最新的安全更新中披露了一則WebLogic任意文件上傳漏洞(CVE-2019-2618)。漏洞官方定級為High,屬于高危漏洞。該漏洞本質(zhì)是通過OAM認(rèn)證后,利用DeploymentService接口實現(xiàn)任意文件上傳。攻擊者可以利用該漏洞獲取服務(wù)器權(quán)限。

具體詳見:【漏洞預(yù)警】WebLogic任意文件上傳漏洞(CVE-2019-2618)

(5)【漏洞預(yù)警】Spring Cloud Config目錄遍歷漏洞(CVE-2019-3799)

Spring官方團隊在最新的安全更新中披露了一則Spring Cloud Config目錄遍歷漏洞(CVE-2019-3799)。漏洞官方定級為?High,屬于高危漏洞。該漏洞本質(zhì)是允許應(yīng)用程序通過spring-cloud-config-server模塊獲取任意配置文件,攻擊者可以構(gòu)造惡意URL實現(xiàn)目錄遍歷漏洞的利用。

具體詳見:【漏洞預(yù)警】Spring Cloud Config目錄遍歷漏洞(CVE-2019-3799)

(6)【漏洞預(yù)警】WebLogic wls-async?反序列化遠(yuǎn)程命令執(zhí)行漏洞

CNVD安全公告中披露了一則WebLogic wls-async?反序列化遠(yuǎn)程命令執(zhí)行漏洞(CNVD-C-2019-48814)。漏洞定級為?High,屬于高危漏洞。該漏洞本質(zhì)是由于?wls9-async組件在反序列化處理輸入信息時存在缺陷,未經(jīng)授權(quán)的攻擊者可以發(fā)送精心構(gòu)造的惡意?HTTP?請求,獲取服務(wù)器權(quán)限,實現(xiàn)遠(yuǎn)程命令執(zhí)行。

具體詳見:【漏洞預(yù)警】WebLogic wls-async?反序列化遠(yuǎn)程命令執(zhí)行漏洞

安全防護建議

黑客入侵的主要目標(biāo)是存在通用安全漏洞的機器,所以預(yù)防病毒入侵的主要手段是發(fā)現(xiàn)和修復(fù)漏洞,深信服建議用戶做好以下防護措施:

1.?杜絕使用弱口令,避免一密多用

與系統(tǒng)、應(yīng)用相關(guān)的用戶賬號,應(yīng)杜絕使用弱口令,同時使用高復(fù)雜強度的密碼,盡量是包含大小寫字母、數(shù)字、特殊符號等的混合密碼,盡量避免一密多用的情況。

2.?及時更新重要補丁和升級組件

關(guān)注操作系統(tǒng)和組件的重大更新,如永恒之藍(lán)漏洞。使用正確渠道,如微軟官網(wǎng),及時更新對應(yīng)補丁漏洞或者升級組件。

3.?部署加固軟件,關(guān)閉非必要端口

在服務(wù)器上部署安全加固軟件,通過限制異常登錄行為、開啟防爆破功能,防范漏洞利用,同時限制服務(wù)器及其他業(yè)務(wù)服務(wù)網(wǎng)可進(jìn)行訪問的網(wǎng)絡(luò)、主機范圍。有效加強訪問控制ACL策略,細(xì)化策略粒度,按區(qū)域按業(yè)務(wù)嚴(yán)格限制各個網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪問。采用白名單機制,只允許開放特定的業(yè)務(wù)必要端口,提高系統(tǒng)安全基線,防范黑客入侵。

4.?主動進(jìn)行安全評估,加強人員安全意識

加強人員安全意識培養(yǎng),不要隨意點擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件,對來源不明的文件,包括下載郵件附件、上傳文件等要先殺毒處理。定期開展對系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評估、滲透測試以及代碼審計工作,主動發(fā)現(xiàn)目前系統(tǒng)、應(yīng)用存在的安全隱患。

5.?建立威脅情報分析和對抗體系,有效防護病毒入侵

網(wǎng)絡(luò)犯罪分子采取的戰(zhàn)術(shù)策略也在不斷演變,其攻擊方式和技術(shù)更加多樣化。為了有效預(yù)防和對抗海量威脅,需要選擇更強大和更智能的防護體系。深信服下一代安全防護體系(深信服安全云、深信服下一代防火墻AF、深信服安全感知平臺SIP、深信服終端檢測與響應(yīng)平臺EDR)通過聯(lián)動云端、網(wǎng)絡(luò)、終端進(jìn)行協(xié)同響應(yīng),建立事前檢測預(yù)警、事中防御、事后響應(yīng)的全面安全防護體系。云端持續(xù)趨勢風(fēng)險監(jiān)控與預(yù)警、網(wǎng)絡(luò)側(cè)實時流量檢測與防御、終端事后查殺與溯源,深度挖掘用戶潛在威脅,立體全方位確保用戶網(wǎng)絡(luò)安全。

xiesc