收藏 [登錄/注冊] 歡迎
榕基門戶網及子站
聯系我們
  • 福建榕基軟件股份有限公司
  • 電話:0591-87860988
  • 傳真:0591-87869595
  • 地址:福建省福州市鼓樓區
  •    軟件大道89號
  •    A區15座
  • 郵編:350003
您的當前位置:首頁 > 技術支持 > 安全公告

網絡安全狀況月度報告-2019年6月

一、網絡安全狀況概述

2019年6月,互聯網網絡安全狀況整體指標平穩,但是有兩個重要特征值得關注。

一方面,病毒攻擊態勢呈上升趨勢,整體較上月增加7%。其中挖礦病毒活躍程度增加較多,其病毒攻擊的攔截量較5月增加11%,安全防護薄弱的企業是主要受災對象,教育行業、政企單位的感染程度也有所增加。挖礦病毒的近期活躍程度增加可能與比特幣價格持續走高有關。

另一方面,多個嚴重漏洞披露。Microsoft在官方安全更新公告中一共披露了88個漏洞的相關信息,其中21個獲得了“嚴重”評級,這是微軟有史以來漏洞嚴重程度最高的一次排名。Oracle官方安全公告中披露了高危漏洞(漏洞編號:CVE-2019-2729),WebLogic 遠程命令執行漏洞。Adobe Coldfusion公布了Coldfusion軟件中存在的一個遠程代碼執行漏洞(漏洞編號:CVE-2019-7839),漏洞等級嚴重。Netflix公司已經確定了幾個TCP網絡FreeBSD 和Linux內核中的漏洞,其中最嚴重的是Linux 內核中TCP SACK機制遠程拒絕服務漏洞。深信服已針對嚴重漏洞發布了相應預警,及時提醒用戶進行補丁升級,做好安全防護措施。

6月,深信服安全云腦累計發現:

惡意攻擊19.05億次,平均每天攔截惡意程序6350萬次。

活躍惡意程序29111個,其中感染型病毒5487個,占比18.85%;木馬遠控病毒13459個,占比46.23%。挖礦病毒種類541個,攔截次數10.46億次,較5月上升11%,其中WannaMine病毒家族最為活躍。

深信服網站安全監測平臺對國內已授權的5661個站點進行漏洞監控,發現:

高危站點2721個,高危漏洞24495個,漏洞類別主要是CSRF跨站請求偽造,占比88%。

監控在線業務6724個,共識別潛在篡改的網站有179個,篡改總發現率高達2.66%。

二、惡意程序活躍詳情

2019年6月,病毒攻擊在6月呈現上升態勢,病毒攔截量比5月份(17.9億次)上升近7%,近半年攔截惡意程序數量趨勢如下圖所示:

網絡安全狀況月度報告-2019年6月

2019年6月,深信服安全云腦檢測到活躍惡意程序樣本29111個,其中木馬遠控病毒13459個,占比46.23%;蠕蟲病毒7461個,占比25.63%;感染型病毒5487個,占比18.85%;勒索病毒632個,占比2.17%;挖礦病毒541個,占比1.86%。

6月總計攔截惡意程序19.05億次,其中挖礦病毒的攔截量占比54.92%,其次是木馬遠控病毒(16.24%)、蠕蟲病毒(11.29%)、感染型病毒(8.48%)、后門軟件(8.04%)、勒索病毒(0.88%)。

網絡安全狀況月度報告-2019年6月

2.1 勒索病毒活躍狀況

2019年6月,共攔截勒索病毒攻擊1667萬次。其中,WannaCry、GlobeImposter、GandCrab依然是最活躍的幾個勒索病毒家族,其中WannaCry家族6月攔截數量803萬次,危害依然較大。

從勒索病毒傾向的行業來看,企業和政府感染病毒數量占總體的60%,是黑客攻擊的最主要的攻擊對象,具體活躍病毒行業分布如下圖所示:

網絡安全狀況月度報告-2019年6月

從勒索病毒受災地域上看,廣東地區受感染情況最為嚴重,其次是浙江省和北京市。

網絡安全狀況月度報告-2019年6月

2.2 挖礦病毒活躍狀況

 2019年6月,深信服安全云腦共攔截挖礦病毒10.46億次,其中最為活躍的挖礦病毒是WannaMine、Xmrig,特別是WannaMine家族,共攔截4.43億次。同時監測數據顯示,被挖礦病毒感染的地域主要有廣東省、北京市、浙江省等地,其中廣東省感染量第一。

網絡安全狀況月度報告-2019年6月

被挖礦病毒感染的行業分布如下圖所示,其中企業受挖礦病毒感染情況最為嚴重,其次是政府和教育行業。

網絡安全狀況月度報告-2019年6月

2.3 感染型病毒活躍狀況

 2019年6月,深信服安全云腦檢測并捕獲感染型病毒樣本5487個,共攔截1.61億次。其中Virut家族是成為6月攻擊態勢最為活躍的感染型病毒家族,共被攔截1.04億次,此家族占了所有感染型病毒攔截數量的64.40%;而排名第二第三的是Sality和Wapomi家族,6月攔截比例分別是為22.18%和4.43%。6月感染型病毒活躍家族TOP榜如下圖所示:

網絡安全狀況月度報告-2019年6月

在感染型病毒危害地域分布上,廣東省(病毒攔截量)位列第一,占TOP10總量的33%,其次為廣西壯族自治區和浙江省。

網絡安全狀況月度報告-2019年6月

從感染型病毒攻擊的行業分布來看,黑客更傾向于使用感染型病毒攻擊企業、教育、科研教育等行業。企業、教育、科研教育的攔截數量占感染型病毒攔截總量的67%,具體感染行業分布如下圖所示:

網絡安全狀況月度報告-2019年6月

2.4 木馬遠控病毒活躍狀況

深信服安全云腦本月檢測到木馬遠控病毒樣本13459個,共攔截3.09億次。其中最活躍的木馬遠控家族是Drivelife,攔截數量達7163萬次,其次是Zusy、Siscos。具體分布數據如下圖所示:

網絡安全狀況月度報告-2019年6月

對木馬遠控病毒區域攔截量進行分析統計發現,惡意程序攔截量最多的地區為廣東省,占TOP10攔截量的24%;其次為北京市(12%)、廣西壯族自治區(11%)、浙江省(11%)和山東省(8%)。此外湖南省、四川省、上海市、湖北省、江蘇省的木馬遠控攔截量也排在前列。

網絡安全狀況月度報告-2019年6月

行業分布上,企業、教育及政府行業是木馬遠控病毒的主要攻擊對象。

網絡安全狀況月度報告-2019年6月

2.5 蠕蟲病毒活躍狀況

2019年6月深信服安全云腦檢測到蠕蟲病毒樣本7461個,共攔截2.15億次,但通過數據統計分析來看,大多數攻擊都是來自于Ramnit、Gamarue、Jenxcus、Dorkbot、Faedevour、Morto、Small家族,這些家族占據了6月全部蠕蟲病毒攻擊的94%,其中攻擊態勢最活躍的蠕蟲病毒是Ramnit,占蠕蟲病毒TOP10總量的50%。

網絡安全狀況月度報告-2019年6月

從感染地域上看,廣東省地區用戶受蠕蟲病毒感染程度最為嚴重,其攔截量占TOP10總量的30%;其次為湖南省(15%)、浙江省(11%)。

網絡安全狀況月度報告-2019年6月

從感染行業上看,企業、教育等行業受蠕蟲感染程度較為嚴重。

網絡安全狀況月度報告-2019年6月

三、網絡安全攻擊趨勢分析

深信服全網安全態勢感知平臺監測到全國32631個IP在6月所受網絡攻擊總量約為7.7億次。6月攻擊態勢較上月有小幅上升。下圖為近半年深信服網絡安全攻擊趨勢監測情況:

網絡安全狀況月度報告-2019年6月

3.1 安全攻擊趨勢

下面從攻擊類型分布和重點漏洞攻擊分析2個緯度展示6月現網的攻擊趨勢:

(1)攻擊類型分布

通過對深信服安全云腦日志數據分析可以看到,6月捕獲攻擊以WebServer漏洞利用、系統漏洞利用、Web掃描、信息泄露、Webshell上傳、數據庫漏洞利用等分類為主。其中WebServer漏洞利用類型的占比更是高達67.50%,攻擊次數達5億多次;系統漏洞利用類型均占比13.70%。

主要攻擊種類和比例如下:

網絡安全狀況月度報告-2019年6月

(2)重點漏洞攻擊分析

通過對深信服安全云腦日志數據分析,針對漏洞的攻擊情況篩選出6月攻擊利用次數最高的漏洞TOP20。

其中漏洞被利用次數前三的漏洞分別是Apache HTTP Server mod_log_config 遠程拒絕服務漏洞(保持不變)、NetBIOS名稱查詢響應漏洞和Nginx URI Processing安全繞過漏洞,命中次數分別為423,215,695、29,664,036和29,612,680。較5月均有上升。

網絡安全狀況月度報告-2019年6月

3.2 高危漏洞攻擊趨勢跟蹤

深信服安全團隊對重要軟件漏洞進行深入跟蹤分析,近年來Java中間件遠程代碼執行漏洞頻發,同時受永恒之藍影響使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式。

2019年6月,Windows SMB日志量達千萬級,近幾月攻擊持上升趨勢,其中攔截到的(MS17-010)Microsoft Windows SMB Server 遠程代碼執行漏洞攻擊利用日志最多;Struts2系列漏洞本月攻擊次數較前幾月下降,Weblogic系列漏洞的攻擊總體程波動狀態,但近三個月較為平緩,本月僅攔截不到二十萬攻擊日志;PHPCMS系列漏洞攻擊次數較上月下降。

(1)Windows SMB 系列漏洞攻擊趨勢跟蹤情況

網絡安全狀況月度報告-2019年6月

(2)Struts2系列漏洞攻擊趨勢跟蹤情況

網絡安全狀況月度報告-2019年6月

(3)Weblogic系列漏洞攻擊趨勢跟蹤情況

網絡安全狀況月度報告-2019年6月

(4)PHPCMS系列漏洞攻擊趨勢跟蹤情況

網絡安全狀況月度報告-2019年6月

四、網絡安全漏洞分析

4.1 全國網站漏洞類型統計

深信服網站安全監測平臺6月對國內已授權的8764個站點進行漏洞監控,近一個月內發現的高危站點5237個,高危漏洞149267個,漏洞類別主要是CSRF跨站請求偽造,XSS注入和信息泄露,總占比83%,詳細高危漏洞類型分布如下:

網絡安全狀況月度報告-2019年6月

具體比例如下:

網絡安全狀況月度報告-2019年6月

4.2 篡改情況統計

6月總監控在線業務7260個(去重),共識別潛在篡改的網站有140個(去重),篡改總發現率為19.2%。

其中首頁篡改25個,二級頁面篡改56個,多級頁面篡改36個。

具體分布圖如下圖所示:

網絡安全狀況月度報告-2019年6月

上圖可以看出,網站二級篡改為篡改首要插入位置,成為黑客利益輸出首選。

五、近期流行攻擊事件及安全漏洞盤點

5.1 流行攻擊事件

(1)建筑行業出現集中式感染CrySiS勒索病毒

近日,深信服接到多個建筑行業客戶反饋,服務器被加密勒索,經過跟蹤分析,拿到了相應的樣本,確認樣本為CrySiS勒索病毒jack變種。截止目前,黑產團隊多次通過社會工程、RDP暴力破解等方式有針對性的入侵建筑行業,提醒該行業客戶提高警惕。

具體詳見:https://mp.weixin.qq.com/s/aoR2eFtRi9K2rUNJQMX3Hg

(2)GoldBrute僵尸網絡橫空出世

近日,當黑客們還在絞勁腦汁地想著如何使用BlueKeep漏洞俘獲肉雞時,一個僵尸網絡病毒突然橫空出世,對全球1,500,000+個設備進行掃描。該病毒名為GoldBrute,通過傳統的RDP爆破方式進行傳播,被該病毒感染的主機會受C&C服務器104.156.249.231所操控。

具體詳見:https://mp.weixin.qq.com/s/ajQB_BT5TGkWMOXlKcj1Tg

(3)Bluehero挖礦蠕蟲變種空降!

近日,深信服安全團隊捕獲到Bluehero挖礦蠕蟲最新變種,該挖礦蠕蟲集多種功能為一體,釋放后門程序竊取主機信息,釋放Mimikatz模塊、嗅探模塊、“永恒之藍”攻擊模塊、LNK漏洞利用模塊(CVE-2017-8464)進行傳播和反復感染,最終釋放挖礦模塊進行挖礦。

具體詳見:https://mp.weixin.qq.com/s/9SKd24-zvZBm4UICEBjXKQ

(4)GandCrab最終版解密工具發布!

 6月17日,Bitdefender發布了GandCrab勒索病毒V1、V4以及V5-V5.2版本的解密工具,這意味著不向勒索軟件運營商妥協的受害者們,終于可以恢復被加密的數據。

具體詳見:https://mp.weixin.qq.com/s/6s1X_hwjhmwFnrm19Hd2lQ

5.2 安全漏洞事件

(1)Vim編輯器本地代碼執行漏洞預警(CVE-2019-12735)

Vim編輯器在8.1.1365和Neovim 0.3.6 之前版本存在嚴重的代碼執行漏洞,當通過Vim編輯器打開特殊構造的文件,且Vim編輯器的ModelLine被啟用,就會觸發本地文件代碼執行漏洞。雖然此漏洞是本地漏洞,如若結合社會工程學的方式進行攻擊,危害不容小覷,容易造成重要敏感信息泄露,甚至會導致服務器被攻擊者控制。

具體詳見:https://mp.weixin.qq.com/s/I1QXoD_617rJt8xSE5-s9w

(2)微軟六月補丁日重點漏洞預警

2019年6月11日,Microsoft發布了六月份安全補丁更新。在官方的安全更新公告中一共披露了88個漏洞的相關信息,其中21個獲得了“嚴重”評級,這是微軟有史以來漏洞嚴重程度最高的一次排名。截至目前為止,尚未發現這88個漏洞的在野利用。

具體詳見:https://mp.weixin.qq.com/s/rmqwIqA66VWURYHpnvdYkw

(3)【漏洞預警】Coremail 多版本配置文件讀取漏洞

在2019年6月14日,Coremail 配置文件讀取漏洞PoC爆出,經過深信服安全研究員驗證分析,發現利用該漏洞能夠讀取Coremail 郵件服務器敏感配置文件,配置文件中包括郵件服務存儲路徑、數據庫連接地址、賬號以及密碼等敏感信息,該漏洞危害較大,影響較廣。

具體詳見:https://mp.weixin.qq.com/s/vihgyx9YLILMNGayIXr-bw

(4)【漏洞預警】Oracle WebLogic 遠程命令執行 0day(CVE-2019-2725補丁繞過)漏洞

近日,深信服安全團隊發現了在野的 Oracle WebLogic 遠程命令執行漏洞最新利用方式,該漏洞的利用方式與官方 4 月修復的CVE-2019-2725漏洞利用方式極為相似,此攻擊可以繞過官方四月份發布的安全補丁。

具體詳見:https://mp.weixin.qq.com/s/8Kvk1-WJ5j0vBw2SU3w7Og

(5)【更新】CVE-2019-1040 Windows NTLM篡改漏洞分析

2019年6月11日,Microsoft發布了六月份安全補丁更新。在該安全更新補丁中,對CVE-2019-1040漏洞進行了修復。攻擊者利用該漏洞可以繞過NTLM中的MIC(Message Integrity Code)。攻擊者可以修改已經協商簽名的身份驗證流量,然后中繼到另外一臺服務器,同時完全刪除簽名要求。通過該攻擊方式可使攻擊者在僅有一個普通域賬號的情況下,運程控制域中任意機器(包括域控服務器)。

具體詳見:https://mp.weixin.qq.com/s/OuDsXvwBiPa87QVH73ZzbQ

(6)【漏洞預警】Linux 內核中TCP SACK機制遠程拒絕服務漏洞

近日,Netflix公司已經確定了幾個TCP網絡FreeBSD 和Linux內核中的漏洞。這些漏洞特別涉及最小段大小(MSS)和TCP選擇性確認(SACK)功能。最嚴重的,被稱為“SACK Panic”,可以在Linux內核上遠程觸發內核崩潰,從而影響系統的可用性。

具體詳見:https://mp.weixin.qq.com/s/JGwbpxd18Eec7EZ1CqYHfQ

(7)【更新】Oracle WebLogic 遠程命令執行(CVE-2019-2729)漏洞預警

近日,Oracle官方安全公告中披露了 CVE-2019-2729 WebLogic 遠程命令執行漏洞。漏洞定級為 High,屬于高危漏洞。該漏洞本質是由于 wls9-async組件在反序列化處理輸入信息時存在缺陷,未經授權的攻擊者可以發送精心構造的惡意 HTTP 請求,獲取服務器權限,實現遠程命令執行。

具體詳見:https://mp.weixin.qq.com/s/IDQqJbgCXomw5H7SQvkcFg

(8)【漏洞預警】WebSphere遠程代碼執行漏洞

近日,metasploit團隊更新了WebSphere遠程代碼執行漏洞(CVE-2019-4279)的檢測方式。由于服務器在進行反序列化操作時并沒有對數據進行安全驗證,攻擊者可以構造惡意的序列化數據,在服務器執行反序列化操作時執行內部包含的命令,實現遠程代碼執行漏洞的利用。

具體詳見:https://mp.weixin.qq.com/s/MXIo73wrVDgXutkoZVILkw

(9)【漏洞預警】Coldfusion 遠程代碼執行漏洞(CVE-2019-7839)

近日,Adobe Coldfusion官方修復了Coldfusion軟件中存在的一個遠程代碼執行漏洞,漏洞編號:CVE-2019-7839,該漏洞評分10分,漏洞等級嚴重,該漏洞影響范圍較廣,危害性較大,攻擊者可以通過JNBridge技術不受限制地訪問遠程Java運行時環境,從而允許執行任意代碼和系統命令。

具體詳見:https://mp.weixin.qq.com/s/ny4NFTtjQxelVegO0rbB9Q

六、安全防護建議

黑客入侵的主要目標是存在通用安全漏洞的機器,所以預防病毒入侵的主要手段是發現和修復漏洞,深信服建議用戶做好以下防護措施:

(一)、杜絕使用弱口令,避免一密多用

系統、應用相關的用戶杜絕使用弱口令,同時,應該使用高復雜強度的密碼,盡量包含大小寫字母、數字、特殊符號等的混合密碼,禁止密碼重用的情況出現,盡量避免一密多用的情況。

(二)、及時更新重要補丁和升級組件

建議關注操作系統和組件重大更新,如永恒之藍漏洞,使用正確渠道,如微軟官網,及時更新對應補丁漏洞或者升級組件。

(三)、部署加固軟件,關閉非必要端口

服務器上部署安全加固軟件,通過限制異常登錄行為、開啟防爆破功能、防范漏洞利用,同時限制服務器及其他業務服務網可進行訪問的網絡、主機范圍。有效加強訪問控制ACL策略,細化策略粒度,按區域按業務嚴格限制各個網絡區域以及服務器之間的訪問,采用白名單機制只允許開放特定的業務必要端口,提高系統安全基線,防范黑客入侵。

(四)、主動進行安全評估,加強人員安全意識

加強人員安全意識培養,不要隨意點擊來源不明的郵件附件,不從不明網站下載軟件,對來源不明的文件包括郵件附件、上傳文件等要先殺毒處理。定期開展對系統、應用以及網絡層面的安全評估、滲透測試以及代碼審計工作,主動發現目前系統、應用存在的安全隱患。

(五)、建立威脅情報分析和對抗體系,有效防護病毒入侵

網絡犯罪分子采取的戰術策略也在不斷演變,其攻擊方式和技術更加多樣化。對于有效預防和對抗海量威脅,需要選擇更強大和更智能的防護體系。

福彩3d跨度走势图300期带连线