2018-2019网络安全态势观察报告.pdf_报告吧baogao8.com-

资源描述

启明星辰 20182019 网络安全态势观察报告启明星辰 20182019 网络安全态势观察报告本报告的研究数据和分析资料来自于启明星辰金睛安全研究团队，统计数据来自于启明星辰 VenusEye 威胁情报中心，启明星辰漏洞扫描团队和启明星辰安全应急响应中心。主要针对 2018 年至 2019 年上半年的网络安全状况进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构作为互联网信息安全状况的介绍和研究资料，请相关单位酌情使用。如若本报告阐述之状况、数据与其他机构研究结果有差异，请使用方自行辨别，启明星辰公司不承担与此相关的一切法律责任。启明星辰 20182019 网络安全态势观察报告启明星辰金睛安全研究团队启明星辰金睛安全研究团队是启明星辰集团专业从事威胁分析的团队。其主要职责是对现有产品产生的安全事件日志、样本数据进行挖掘、分析，并向用户提供专业分析报告。该团队会依据数据产生的威胁情报，对其中采用的各种攻防技术做深入的跟踪和分析，并且给出专业的分析结果、提出专业建议，为用户决策提供帮助。 VenusEye 威胁情报中心 VenusEye 威胁情报中心（ venuseye）是由启明星辰集团倾力打造的集威胁情报收集、分析、处理、发布和应用为一体的威胁情报服务系统，是启明星辰多年网络安全研究和积累的集中体现。系统以自有情报和第三方交换情报为基础数据，综合运用静态分析、动态分析、大数据关联分析、深度学习、多源情报聚合等先进技术，生产和提供高质量的威胁情报信息。启明星辰安全应急响应中心启明星辰安全应急响应中心是启明星辰集团成立的针对重要网络安全事件进行快速预警、应急响应的安全协调中心。为企业级用户提供高危漏洞、重大安全事件预警通告、安全周报和相关产品解决方案。启明星辰安全应急响应中心成立至今，已经发布 252 篇预警通告、 59 期安全周报、协调处置网络安全事件 300 多起。启明星辰漏洞扫描产品中心启明星辰漏洞扫描产品中心是从事漏洞评估与管理产品的专业化团队，不断突破漏洞评估相关核心技术，在工控漏洞评估、漏洞智能管理、产品国产化等多方面持续领先。 2018年 ,“天镜脆弱性扫描与管理系统 ”在漏洞评估与管理市场排名第一（ CCID 发布中国漏洞评估与管理市场研究报告 2018），树立了启明星辰漏洞评估与管理产品的领导者地位和市场品牌。启明星辰漏洞扫描产品中心于 2000 年开始研发天镜脆弱性扫描与管理系统，研发了具有自主知识产权的漏洞评估与管理产品系列产品，包括天镜系统漏洞评估工具、天镜 Web应用检测系统、天镜无线安全评估工具、天镜工控漏洞评估工具、天镜工控等保检查工具箱、天镜网络安全应急处置工具箱、天镜漏洞管理平台、天镜国产化漏洞扫描产品等。启明星辰 20182019 网络安全态势观察报告自互联网诞生以来，各种网络犯罪就以惊人的速度在全世界范围广泛蔓延。特别是近年来，随着云计算、大数据、物联网、移动互联网等新一代信息技术的快速发展，网络攻击无论从其频率、复杂性还是针对的目标来看都在大幅度增加。过去一年多，网络安全总体态势虽不像 2017 年那样“波澜壮阔”，但也绝对不是“一帆风顺”，各种各样的网络安全事件不断吸引着人们的眼球，同时引发网络安全从业者的一次次深思。从 2018 年初曝光的各种芯片漏洞，到不死的“永恒之蓝”漏洞，再到被广泛应用的各类Web 应用漏洞、 IoT 漏洞；从趋于定向化和敏捷化的勒索攻击，到各类挖矿攻击的全面铺开；从一次次数据泄露事件的曝光，到几乎每天曝光一次的 APT 攻击活动。不绝于耳的网络安全事件让我们深切感受到攻击者的手段更加武器化，经济利益驱使下黑客的攻击方式更加理性化，网络攻击更加产业化，国与国之间的攻防对抗更加常态化，网络攻击面更加扩大化。过去一年多的网络安全事件时刻提醒着我们面临的日益严峻的网络安全状况。我们理应在合适的时候进行回顾和总结，这既是对过去这一年多面临的诸多网络安全问题的总结和反思，也是对未来网络安全趋势的展望和思考。因此，启明星辰金睛安全研究团队、 VenusEye 威胁情报中心、启明星辰漏洞扫描产品中心、启明星辰安全应急响应中心联合发布 20182019 网络安全态势观察报告，以观察者的视角尝试剖析 2018 年全年至 2019 年上半年网络安全形势及其变化，希望以此为各行业以及相关企事业单位提供网络安全战略和决策的参考。启明星辰 20182019 网络安全态势观察报告概述 1、应用广泛的软硬件曝出多个重大漏洞，漏洞从曝光到被利用的时间越来越短 . 7 2、恶意软件即服务（ MaaS）趋势明显，地下产业链日趋成熟 . 8 3、 Office 公式编辑器漏洞与恶意宏利用横行，黑客青睐攻击面广且稳定的攻击方式 . 8 4、越来越多 APT 攻击被曝光，攻击隐匿性进一步增强 . 9 5、勒索攻击趋于定向化，版本迭代进入 “ 敏捷化 ” 时代 . 11 6、挖矿攻击增长明显，逐渐成为黑客获利的最佳途径 . 11 7、针对 IoT 设备的攻击呈爆发式增长， IoT 蠕虫较往年增长数倍 . 11 8、各类数据泄露事件频发，数据安全越来越受重视 . 12 9、工控环境、云环境成黑客新宠，各类针对性安全事件频发 . 14 一、漏洞攻击态势观察 1.1 年度漏洞攻击态势分析 . 18 1.2 年度最具影响力漏洞 . 19 1.3 年度最流行漏洞 . 22 二、僵尸网络及木马态势观察 2.1 僵尸网络感染态势分析 . 26 2.2 通过邮件传播的木马攻击态势分析 . 29 2.3 通过邮件传播的流行木马分析 . 35 三、恶意文档攻击态势观察 3.1 Office 恶意样本攻击态势综述 . 49 3.2 宏技术分析 . 57 3.3 典型漏洞技术分析 . 70 四、 APT 组织攻击态势观察 4.1 APT 组织攻击态势综述 . 113 启明星辰 20182019 网络安全态势观察报告 4.2 针对我国攻击的活跃 APT 组织 . 118 4.3 针对外国攻击的活跃 APT 组织 . 154 五、勒索挖矿攻击态势观察 5.1 勒索攻击态势综述 . 187 5.2 主要勒索病毒家族介绍 . 192 5.3 挖矿攻击态势综述 . 193 5.4 主要挖矿木马家族介绍 . 199 六、 IoT 设备安全态势观察 6.1 IoT 设备攻击态势综述 . 201 6.2 主要攻击 IoT 设备的病毒家族介绍 . 206 七、总结 7.1 网络空间成为国家级对抗战场应加强国家关键基础设施保护 . 210 7.2 网络安全强国建设必须依靠强大的 “ 中国芯 ” . 210 7.3 大量新技术应用带来的安全问题给网络安全行业带来新挑战 . 211 7.4 外部环境变化给网络安全提出新要求安全厂商应加强产品的实战能力和闭环能力 . 211 7.5 安全威胁来自于各个方向且日趋复杂需要面向客户的独立安全运营模式才能有效面对 . 212 7.6 结语 . 212 启明星辰 20182019 网络安全态势观察报告 1、应用广泛的软硬件曝出多个重大漏洞，漏洞从曝光到被利用的时间越来越短过去一年多，应用广泛的软硬件被曝出多个重大漏洞，给网络安全带来了极大挑战。这其中影响力最大的当属 CPU 芯片的多个漏洞。这些漏洞涉及了过去十年间的绝大部分 CPU 型号，给互联网造成了一次史无前例的技术危机。 2018 年年中，影响包括苹果、博通、英特尔和高通等大型厂商所生产的设备固件以及操作系统的高危蓝牙漏洞被曝光。攻击者可以利用其发起中间人攻击，进而窃取或篡改设备间的加密通信数据，甚至植入恶意软件。 2018 年年中， BEC、 SocialChain、 Hexagon、 EOS 等接连曝出智能合约漏洞，攻击者通过构造并发布包含恶意代码的智能合约，进而控制网络中所有节点，控制虚拟货币交易，获取交易所中的数字货币，关键的用户资料和隐私数据等。 2018 年全年， WebLogic、 Struts2、 ThinkPHP 等影响面广的 Web 应用框架被曝多个严重漏洞，给各类网站安全带来严重威胁。另外，从漏洞曝光到被利用实施攻击的时间已经变得越来越短，攻击者对于漏洞利用代码的开发正在变得日益敏捷。我们从以下几个近两年影响力较大的漏洞可以看出这一趋势：漏洞名称曝光时间被利用时间 “永恒之蓝” 漏洞 2017 年 3 月 2017 年 5 月 WebLogic WLS 组件漏洞（ CVE-2017-10271） 2017 年 10 月 2017 年 12 月 Drupal 远程代码执行漏洞 (CVE-2018-7600) 2018 年 3 月 28 日 2018 年 4 月 12 日 GPON 光纤路由器漏洞（ CVE-2018-10561） 2018 年 5 月 3 日 2018 年 5 月 8 日 Apache Struts2 漏洞（ S2-057） 2018 年 8 月底 2018 年 9 月初 ThinkPHP 远程代码执行漏洞 2018 年 12 月 9 日 2018 年 12 月底 Nexus Repository Manager 3 远程代码执行漏洞 (CVE-2019-7238) 2019 年 2 月初 2019 年 2 月底表 1 近几年高危漏洞曝光和利用时间对比启明星辰 20182019 网络安全态势观察报告 2019 年 5 月，又一足以震撼网络的漏洞：微软 RDP 服务远程代码执行漏洞（ CVE-2019-0708）被曝光。此次漏洞虽不像“永恒之蓝” 那样有现成的攻击代码可以方便集成。但在不到半个月的时间里，黑客们通过比对补丁，已经构造并公开了可以导致拒绝服务的攻击脚本。部分黑客还构造出了可以直接造成 RCE 的攻击代码，这类代码一旦相关代码公开，将很有可能造成类似“ WannaCry”的效果。在没有任何技术细节披露的情况下，对于漏洞的利用已经缩短到一个月内，足以证明攻击者对于漏洞的“响应速度”又上了一个新台阶。我们预计未来，攻击者甚至可能只需一天、甚至几个小时的时间，就可以利用软硬件的最新漏洞发起攻击。 2、恶意软件即服务（ MaaS）趋势明显，地下产业链日趋成熟近年来，暗网的传播创造了新的非法商业模式。除了黄赌毒等传统的非法商品外，地下黑市还出现了包括黑客服务和恶意软件开发在内的新型服务：恶意软件即服务（ MaaS）。网络犯罪分子可以通过地下黑客论坛浏览“商品” ，同时使用匿名通讯工具进行在线交流，最后使用加密数字货币进行匿名交易，整个流程可以做到完全隐匿。即使是不具备任何技术经验的小白也可以使用购买来的工具轻易发动攻击。包括 TrickBot， AZORult， GandCrab 等在内的恶意软件都提供了成熟的服务， GandCrab 勒索软件作者甚至为他们的产品提供技术支持和教程视频。我们预计在不久的将来，地下产业链会日趋成熟，一批为数不多但颇具实力的 “Malware-as-a-Service”团体会应运而生。随着这些团队的日益壮大，新漏洞将得以快速利用，各类新攻击手段也将会层出不穷。 3、 Office 公式编辑器漏洞与恶意宏利用横行，黑客青睐攻击面广且利用稳定的攻击方式自 Office 面世以来， Office 文档一直是各类攻击中最常用的攻击载体。过去一年多，新披露的 Office 0day 漏洞有所减少，黑客攻击时使用的 0day 漏洞多为利用 Office 触发的 VBS漏洞以及 Flash 漏洞。与 2017 年攻击者更倾向于使用新漏洞不同的是，这些漏洞并没有在公开后得到广泛的利用。而是依然使用恶意宏和公式编辑器系列漏洞这类更稳定的攻击方式来完成攻击。公式编辑器系列漏洞有着结构简单且不需要与用户交互即可稳定触发的优点，因此在其它新漏洞被公开后依然保持了很高的使用率。 2018 年底出现了 CVE-2018-0798 新的利用方式，兼具了 CVE-2017-11882 和 CVE-2018-0802 的攻击面，通用性更强，预计后续还会被启明星辰 20182019 网络安全态势观察报告大规模利用。恶意宏作为一种经典的攻击方式，利用方式极为丰富。 2018 年还出现了利用古老技术Excel 4.0 宏进行的攻击，相比普通的 VBA 宏进一步提高了攻击的隐蔽性。 4、越来越多 APT 攻击被曝光，攻击隐匿性进一步增强截止到 2019 年上半年，我们监控到的已经披露的各类 APT 组织共计 220 余个。过去一年多，国内外厂商披露的各类 APT 攻击报告 400 余份，平均每天都有一个 APT 攻击报告被披露，较 2017 年有大幅度增长。被披露最多的 APT 组织分别为： APT28、 Lazarus、Group123、海莲花、 Hades、 MuddyWater、 DarkHotel、白象、 APT29、 Turla。图 1 APT 组织披露次数分布在 APT 组织针对的领域中，政务行业（ 14.13%）占比最多，其次是国防军工（ 11.96%），科研（ 10.87%），金融（ 8.70%）和教育（ 7.61%）。 010203040506070APT组织披露次数分布启明星辰 20182019 网络安全态势观察报告图 2 APT 攻击领域分布在已披露的针对我国攻击的 APT 组织中，海莲花攻击持续性较强，其攻击时间范围广泛分布于全年各个月份。图 3 针对我国攻击的 APT 组织攻击次数分布纵观过去一年多， APT 攻击的隐匿性逐渐增强，主要体现在以下几个方面：（ 1）钓鱼手段更加精细化，针对性和迷惑性更强。（ 2）关键攻击代码鲜少落地，给 APT 攻击的防护和取证带来不少挑战。（ 3）利用各种手段尽可能隐藏网络踪迹。 APT攻击领域分布政务国防军工科研金融教育航空航天医疗健康建筑运营商信息技术能源媒体交通化工海事基础设施银行制造外交投资卫星通信公共管理毒云藤34%海莲花21%蔓灵花21%白象13%DarkHotel10%蓝宝菇1%针对我国攻击的 APT组织攻击次数分布

展开阅读全文