2018年中国政企机构网络安全形势分析报告.pdf_报告吧baogao8.com-

资源描述

2018 年中国政企机构网络安全形势分析报告奇安信威胁情报中心 2019 年 4 月 13 日摘要终端安全 2018 年，奇安信公有云监测数据显示国内大中型政企机构遭到勒索、蠕虫和漏洞攻击 207961 次，其中，蠕虫病毒攻击数量最多，共 170173 次，其次是漏洞利用攻击 30938 次，勒索软件攻击 6850 次。从感染病毒的角度来看，共有 3762 家政企机构感染了病毒。其中遭遇蠕虫攻击感染最多，共有 3253 家政企机构，其次是漏洞利用攻击，有 1591 家政企机构，还有 397 家感染了勒索病毒。 2018 年，国内大中型政企机构遭到网络蠕虫病毒攻击 170173 次。其中，遭到蠕虫病毒攻击最多的关键行业是医疗卫生行业，达 48966 次。从感染病毒的角度来看，政府部门是遭蠕虫攻击感染病毒最多的行业部门，有 828 家单位感染。 2018 年，针对国内大中型政企机构遭到漏洞利用攻击（不含蠕虫病毒、勒索软件和挖矿木马攻击） 30938 次，在关键行业中，能源行业遭受漏洞利用攻击最为频繁，多达 4611 次。从感染病毒的角度来看，政府部门是遭漏洞利用攻击而感染病毒最多的行业部门，有 449 家单位感染。 2018 年，国内大中型政企机构终端设备（含服务器）遭到勒索软件攻击 6850 次，在关键行业中，金融机构遭受勒索软件攻击的次数最多，达 2180 次。从感染病毒的角度来看，政府部门是感染勒索病毒最多的行业部门，有 83 家单位感染。在感染勒索病毒的政企单位中， 34.0%感染了 GlobeImposter， 22.0%感染了 GandCrab， 17.6%感染了 Crysis， 10.1%感染了 Satan，仍然有 7.5%单位感染 WannaCry。网站安全 2018 年，奇安信网站安全检测平台共扫描检测网站 149.2 万个（年度去重），存在漏洞的网站 110.3 万个（月度去重），占比为 73.9%，共扫描出漏洞 1230.4 万次。其中，共扫出存在高危漏洞的网站 23.1 万个，占扫描网站总数的 15.5%，共扫描出 217.0 万次高危漏洞。 2018 年全年，奇安信网站卫士共为 76.1 万个网站（月度去重）拦截各类网站漏洞攻击 32.6 亿次，平均每天拦截漏洞攻击 945.8 万次。 2018 年，补天平台 SRC 共收录各类网站安全漏洞 21238 个，共涉及 11227 个网站。高危漏洞占比为 29.7%，中危漏洞占比为 40.8%，低危漏洞占比为 29.5%。补天平台收录的网站漏洞中，政府机构及事业单位网站的漏洞数量是最多的，占比为 19.0%；其次，教育培训网站漏洞为 18.3%，互联网行业为 11.5%。从高危漏洞网站来看，金融行业的网站高危漏洞占比最多，均为 50.6%。 2018 年，奇安信威胁情报中心在全球范围内共监测发现扫描源 IP 1400 万个，累积监测到扫描事件约 3.93 亿次。全球平均每日活跃的扫描源 IP 大约有 13.3 万个，对应的日均扫描事件约 107.6 万起。 2018 年，奇安信威胁情报中心监测到 626.2 万个 IP 在过去一年曾遭到过 1064.3 万次 DDoS 攻击，平均每天监测到 DDoS 攻击 2.9 万次。工业互联网安全从 2011 年 -2015 年， CNVD 收录的工控系统漏洞数量，呈现了一个持续的稳中有降的态势。但在 2015 年底至 2016 年初的乌克兰大停电事件之后，工控系统漏洞的发现再次进入高速增长期： 2016 年 191 个； 2017 年 351 个；而到了 2018 年，增长到了 442 个。在 2018 年四大漏洞平台收录的工业控制系统漏洞中，漏洞成因多样化特征明显，技术类型多达 30 种以上。其中，拒绝服务漏洞（ 103）、缓冲区溢出漏洞（ 54）和访问控制漏洞 (32)数量最多，最为常见。从危险等级看，高危漏洞占比 53.6%，中危漏洞占比为 36.4%。从漏洞涉及到的行业来看，制造业占比最高，涉及的相关漏洞数量占比达到 30.6%，其次是能源行业涉及的相关漏洞数量占比 23.9%。信息泄露 2018 年 1-10 月，补天平台共收录可导致百万条以上数据泄露的网站漏洞 280 个，约占补天平台全年漏洞收录总数（ 18200 个）的 1.5%，涉及网站 129 个，共可造成 86.5 亿条数据泄露。从可导致数据泄露的网站漏洞技术类型来看，命令执行占比最高，为 81.1%。其次为代码执行和弱口令，占比分别为 7.9%和 7.1%。 2018 年 1-11 月，奇安信安服团队共为全国多家大中型政企机构，提供了 717 次网络安全应急响应服务，其中，涉及到数据泄露事件共 130 次，占应急响应处置事件总数的 18.1%。政企机构对网络攻击的重视程度、发现能力和主动响应的能力正在显著上升。 95.5%的数据泄露事件是企业自行发现的。 2018年，抽样收集的 206起全球政企机构重大数据泄漏事件中， 13.1%为生活服务行业， 12.1%为 IT 信息技术， 11.7%为互联网行业。从泄露数据的原因来看， 49%的事件是由于外部攻击导致的。从泄露的数据规模分布来看， 47.1%的事件泄露的数据规模在 100 万条以上。值的注意的是， 7.1%的事件泄露规模在 1 亿条以上。 2018 年，抽样收集的 1000 条暗网中关于数据交易的行业来看，金融行业占比为 23.1%；互联网行业占比为 16.3%；数据交易的规模来看， 10 万条以上的数据占到了 46.0%； 10 万至 100 万条的数据占到了 23.4%； 100 万至 500 万条的数据占到了 11.0%； 500 万至 1000 万条的数据占到了 3.6%； 1000 万至 5000 万条的数据占到了 8.6%； 5000 万到 1 亿条的数据占比为 1.4%； 1 亿条以上的数据，占比为 5.8%。 APT 攻击奇安信威胁情报中心在 2018 年监测到的高级持续性威胁相关公开报告总共 478 篇，其中下半年报告披露的频次和数量明显高于上半年。 2018年全球公开披露的 APT分析报告中，被攻击目标涉及最多的 5个行业领域分别是：军队与国防（ 17.1%）、政府（ 16.0%）、金融（ 15.5%）、外交（ 11.6%）、能源（ 10.5%）。在 2018 年， APT 攻击活动几乎覆盖全球绝大部分地区的国家和区域。其中，针对韩国、中东、美国、俄罗斯、巴基斯坦等地区的 APT 活动最为活跃，也被披露的最多。应急响应事件 2018 年，奇安信安服团队为全国各地多家大中型政企机构，提供了网络安全应急响应服务，参与和协助处置各类网络安全应急响应事件 717 次。 2017 年和 2018 年的统计数据显示，近九成的攻击事件都是政企机构自行发现并请求援助的。 2017 年 6 月网络安全法的实施后，大中型政企机构对安全事件的应急响应重视程度大幅提高，尽早发现，尽早处置，自行响应渐成主流。从大中型政企机构网络安全事件中的失陷区域来看， 25.3%为网站； 18.7%为内部服务器、数据库； 17.5%为办公终端。目前网络安全事件对机构的最常见影响有以下三类：生产效率低下、数据丢失和破坏性攻击。统计显示， 20%的安全事件导致了生产效率下降， 13%的事件导致数据丢失， 10% 的安全事件对政企机构的系统造成了破坏在 2018 年，奇安信安服团队现场处置的网络安全应急响应事件中，有 223 个网络安全事件背后有明显的黑产活动的影子， 189 个安全事件属于敲诈勒索事件。关键词：终端、蠕虫、勒索、网站安全、工业互联网、信息泄露、漏洞、 APT、应急响应目录第一章终端安全 . 1 一、攻击概况 . 1 二、蠕虫病毒攻击 . 3 三、漏洞利用攻击 . 4 四、勒索软件攻击 . 5 第二章网站安全 . 8 一、网站漏洞检测 . 8 二、网站漏洞攻击 . 11 三、人工漏洞挖掘 . 13 四、网络扫描 . 17 五、 DDOS 攻击 . 20 第三章工业互联网 . 26 一、工控系统互联网暴露情况 . 26 二、工业互联网安全漏洞分析 . 27 三、工业互联网安全威胁 . 30 第四章信息泄露 . 32 一、网站漏洞泄露数据风险分析 . 32 二、应急响应处置的数据泄露事件 . 34 三、全球政企机构数据泄露分析 . 38 四、暗网上非法数据的交易情况 . 40 五、政企机构数据泄露的原因 . 43 第五章 APT 攻击 . 45 一、公开披露的全球高级持续性威胁 . 45 二、针对中国境内的 APT 组织和威胁 . 49 三、 APT 威胁的现状和挑战 . 52 第六章应急响应 . 57 一、行业分布 . 57 二、事件发现 . 58 三、失陷区域 . 59 四、事件类型 . 60 五、事件影响 . 60 六、攻击目的 . 61 第七章应急响应典型案例 . 63 一、某医院服务器勒索软件事件应急响应 . 63 二、某电网公司终端勒索软件事件应急响应 . 63 三、某汽车公司挖矿木马事件应急响应 . 64 四、某部委 CC 事件应急响应 . 65 五、某证券公司 DDOS 事件应急响应 . 65 六、某集团网站挂马事件应急响应 . 66 七、某大学网站非法页面应急响应 . 66 八、某部委蠕虫病毒事件应急响应 . 67 九、某地法院遭到 APT 攻击事件应急响应 . 68 附录 1 奇安信网神终端安全管理系统 . 70 附录 2 奇安信网站安全云防护系统介绍 . 71 附录 3 补天平台介绍 . 72 附录 4 奇安信安服团队 . 73 附录 5 奇安信威胁情报中心 . 74 1 第一章终端安全终端设备是政企机构内部网络不可或缺的组成，其安全状况与组织内每个成员息息相关。在很多情况下，终端也是内部网络和外部网络的连接点，是外部恶意程序进入内部网络常见的入口节点，甚至是“跳板” 。因此，终端设备一旦失守，整个办公或生产网络的安全状况就十分堪忧。针对政企机构终端设备的网络攻击形式多样，本章主要对典型的四类网络攻击进行分析：勒索软件攻击、挖矿木马攻击、蠕虫病毒攻击、漏洞利用攻击。本章研究数据主要来自奇安信公有云安全监测数据（数据源于客户主动开启上报的统计类数据，不包含客户信息和终端信息，仅有客户标识和统计数据等），监测时间段为 2018 年，监测数据表示 360企业级终端安全产品对特定威胁的拦截量。这些数据可以在一定程度上反映出相关机构遭到特定类型攻击的数量和强度，但不表示相关机构已经感染病毒或被成功攻击。一、攻击概况（一）遭典型网络攻击的攻击量 2018 年，奇安信公有云监测数据显示国内大中型政企机构遭到勒索、蠕虫和漏洞攻击 207961 次，其中，蠕虫病毒攻击数量最大，共 170173 次，其次是漏洞利用攻击 30938 次，勒索软件攻击 6850 次。特别需要说明的是，本文的漏洞利用主要是指： 1）文档等非 PE 文件作为常规攻击手段； 2）感染型病毒创建的快捷方式文件，这些文件利用系统漏洞引诱用户点击； 3）黑客工具类软件。从关键行业来看，医疗卫生行业是遭受典型网络攻击最多的行业部门。如前文所述，遭受攻击多，并不意味着医疗卫生行业的网络感染次数多，因为这些攻击都已被终端安全软件阻止。但这也说明，该行业面临的典型网络攻击威胁比较明显。 2 （二）遭典型网络攻击的感染量从感染病毒的角度来看， 2018年共有 3762 家政企机构感染了病毒。其中遭遇蠕虫攻击感染最多，共有 3253家政企机构，其次是漏洞利用攻击，有 1591家政企机构，还有 397 家感染了勒索病毒。从关键行业来看，政府部门是感染网络病毒最多的行业部门，有 979 家单位感染。其次是卫生机构，有 790家单位感染，公检法部门有 384家单位感染。 3 二、蠕虫病毒攻击蠕虫病毒的历史非常悠久，最早可以追溯到鼎鼎大名的莫里斯蠕虫（上个世纪 80 年代出现，影响当时作为稀有品的 6000 多台计算机）。中国最有名的蠕虫病毒莫过于 “熊猫烧香”，硬盘中大量出现的 “怪异熊猫 ”的文档缩略图，让当时很多人对病毒有了直观的、印象深刻的认识。 2017年 5 月造成重大影响的 WannaCry（永恒之蓝勒索蠕虫）病毒也是蠕虫病毒。 2018 年，奇安信公有云监测数据显示国内大中型政企机构遭到网络蠕虫病毒攻击 170173 次。其中，遭到蠕虫病毒攻击最多的关键行业是医疗卫生行业，达 48966 次；其次是能源行业 24011 次，政府部门 18303 次。从感染病毒的角度来看，政府部门是遭蠕虫攻击感染病毒最多的行业部门，有 828 家单位感染。其次是卫生机构，有 740 家单位感染，公检法部门有 338 家单位感染。 4 三、漏洞利用攻击很多恶意软件都会利用终端设备系统及其上应用的漏洞发起攻击。 2018 年，奇安信公有云监测安全监测数据显示，针对国内大中型政企机构遭到漏洞利用攻击（不含蠕虫病毒、勒索软件） 30938 次，在关键行业中，能源行业遭受漏洞利用攻击最为频繁，多达 4611 次；其次是政府部门 3785次，金融机构 2952 次。从感染病毒的角度来看，政府部门是遭漏洞利用攻击而感染病毒最多的行业部门，有 449 家单位感染。其次是卫生机构，有 194 家单位感染，公检法部门有 151 家单位感染。 5 四、勒索软件攻击 2018 年，奇安信公有云监测数据显示国内大中型政企机构终端设备（含服务器）遭到勒索软件攻击 6850 次，在关键行业中，金融机构遭受勒索软件攻击的次数最多，达 2180 次；其次是政府部门， 712 次；能源机构 612 次。从感染病毒的角度来看，政府部门是感染勒索病毒最多的行业部门，有 83家单位感染。其次是卫生机构，有 48 家单位感染，金融机构有 33家单位感染。 6 在政企单位所遭遇的勒索病毒攻击事件中，单日单次攻击事件仅针对一台终端的比例占到攻击事件总量的 79.8%，仅有 0.6%的攻击事件针对的终端总数超过 50台。在感染勒索病毒的政企单位中， 34.0%感染了 GlobeImposter， 22.0%感染了 GandCrab， 17.6%感染了 Crysis， 10.1%感染了 Satan，仍然有 7.5%单位感染 WannaCry。 7 GlobeImposter 感染最多的是政府单位，占感染政企单位总数的 29.6%；其次是卫生行业，占比为 16.7%； GandCrab 感染最多的是政府单位，占感染政企单位总数的 28.6%；其次是公检法行业，占比为 11.4%； Crysis 感染最多的是政府单位，占感染政企单位总数的 25.0%；其次是卫生行业，占比为 21.4%； Satan感染最多的是政府单位，占感染政企单位总数的 25.0%；其次是卫生行业，占比为 18.8%；而 WannaCry的感染则相对平均。 8 第二章网站安全一、网站漏洞检测（一）漏洞数量概况 2018 年，奇安信网站安全检测平台共扫描检测网站 149.2 万个（年度去重），其中，扫出存在漏洞的网站 110.3万个（月度去重），占比为 73.9%，共扫描出 1230.4 万次漏洞。从高危漏洞的检测情况来看，扫出存在高危漏洞的网站 23.1 万个（相比 2017年的 34.5 万个网站漏洞，下降了 33%），占扫描网站总数的 15.5%，共扫描出 217.0 万次高危漏洞。高危漏洞更容易被病毒、木马、黑客等侵入，导致软件崩溃或者盗取重要信息、密码等，其危害性更大，影响更深远。下图给出了 2014年至 2018 年网站存在漏洞的情况对比。 9 （二）漏洞危险等级情况 2018 年，奇安信网站安全检测平台共扫描出 1230.4万次漏洞。其中，扫出高危漏洞次数占比为 17.6 %，扫出中危漏洞次数占比为 4.6%，扫出低危漏洞次数占比为 77.8%。具体如下图所示。下图给出了 2014 年 -2018 年网站漏洞危险等级分布对比。下图给出了奇安信网站安全检测平台每月扫描出存在高危漏洞的网站个数（当月去重）。在全年各月中， 7 月扫出的有高危漏洞的网站数量最多，为 6.0 万个。 2018年第三季度检出含有高危漏洞网站数量较多于其他季度。 10 奇安信网站安全检测平台全年共扫描发现网站高危漏洞 217.0 万次，平均每天扫出高危漏洞约 5944 次。下图给出了 2018 年每月扫描出网站高危漏洞的次数。整体基本保持平稳，其中 7 月份是扫出高危漏洞最多的月份，数量达到 23.8 万次。（三）网站漏洞域名分析从域名类型统计来看， 2018 年奇安信网站安全检测平台扫描到的网站所属全球通用域名中域名最多，占比为 67.1%；其次是（ 22.4%）、（ 5.2%）；作为本土化域名， .gov 占比为 2.6%， .edu占比为 1.5%。从扫出的含有高危漏洞的网站域名来看，奇安信网站安全检测平台共扫描到含有高危漏洞的网站 23.1 万个，其中，域名最多，占 81.9%；其次为（ 11.1%）、（ 3.5%）；作为本土化域名， .gov 占比为（ 1.3%）、 .edu占比为（ 0.8%）具体分布情况如下图所示。 11 （四）漏洞类型分析根据奇安信网站安全检测平台扫描出高危漏洞的情况，跨站脚本攻击漏洞的扫出次数和涉及网站数都是最多的，稳居排行榜榜首。其次是 SQL 注入漏洞（盲注）、 SQL 注入漏洞、 phpweb 成品站伪静态注入等漏洞类型。下表给出了 2018 年 1-12 月份高危漏洞 TOP10。漏洞名称扫出次数 (万 ) 涉及网站数（万）跨站脚本攻击漏洞 92.3 6.4 SQL 注入漏洞（盲注） 20.9 2.0 SQL 注入漏洞 14.1 1.3 phpweb 成品站伪静态注入 9.4 8.9 跨站脚本攻击漏洞 (路径 ) 4.7 1.8 PHPWEB myord 参数 sql injection 漏洞 3.7 3.6 发现 SVN 版本控制信息文件 2.7 0.4 PHP 错误信息泄露 2.3 0.5 MS15-034 HTTP.sys 远程代码执行 2.3 1.4 DedeCMS sql 注入添加用户漏洞 1.3 0.9 表 2018 年 1-12 月份扫描出的高危漏洞 TOP10 二、网站漏洞攻击黑客对网站发动攻击一般有两种方式，一种方式是利用漏洞入侵网站，另一种方式是对网站发动流量攻击。（一）漏洞攻击数量统计 2018 年全年，奇安信网站卫士共为 76.1万个网站（月度去重）拦截各类网站漏洞攻击 32.6 亿次，平均每天拦截漏洞攻击 945.8 万次。下半年拦截漏洞攻击次数增多，其中， 8 月、 9 月是攻击量最大的两个月， 8 月达到最高 5.9 亿次。网站每月遭遇漏洞攻击情况如下图所示。 12 2018 年全年遭到漏洞攻击的网站共计 76.1 万个网站（月度去重）。平均每月约有 6.3 万个网站遭遇各类漏洞攻击，其中 6 月遭遇漏洞攻击的网站个数最多，达 16.9 万个。（二）漏洞攻击类型分析下表给出了奇安信网站卫士拦截漏洞攻击次数最多的 10 个漏洞类型。这十个类型共遭到攻击 2.9 亿次，占到漏洞攻击拦截总量的 98.4%。具体如下表所示。 TOP10 漏洞攻击类型拦截次数占比 1 SQL 注入 41.1% 2 webshell 27.6% 3 通用漏洞 13.7% 4 XSS 6.6% 5 扫描器 2.9% 6 nginx 攻击 1.8% 13 7 本地文件包含 1.6% 8 代码注入 1.5% 9 文件备份探测 1.1% 10 命令注入 0.6% 表漏洞攻击拦截量 Top10 的漏洞及其拦截次数奇安信威胁情报中心监测显示， 41.1%的网站漏洞攻击类型都为 “ SQL 注入”，稳坐第一。其次为“ Webshell”和“通用漏洞”，占比分别为 27.6%和 13.7%。下图给出了网站漏洞攻击类型的具体分布情况。三、人工漏洞挖掘本节从人工挖掘角度，对网站漏洞情况进行分析。主要根据补天平台公开征集收录白帽子提交的漏洞信息，结合平台自身对漏洞的研究积累，从而分析 2018 年上半年，存在漏洞且被白帽子关注的全国网站的安全状况。（一）漏洞报告数量 2018 年全年，补天平台 SRC 共收录网站安全漏洞报告 21238 个，共涉及 11227 个网站。第四季度收录漏洞数量增多，其中， 10 月份收录的网站漏洞数量最多，为 5090 个。具体如下图所示。 14 （二）漏洞类型分析从补天平台收录网站漏洞的性质来看，通用型漏洞比例很低，仅为 1.6%， 98.4%的网站漏洞都为事件型漏洞。鉴于多数通用型漏洞属于可以检测的已知漏洞，而事件型漏洞则存在一定的偶发性和不可预测性。但从另一个角度来看，网站存在大量的事件型漏洞，这也就意味着：仅仅通过一般的、通用的安全检测手段并不足以及时的发现网站潜在的安全问题。第三方平台对网站漏洞的收集和报告，对于正规的网站来说尤为重要。从补天平台收录网站漏洞的危害等级来看，高危漏洞占比为 29.7%，中危漏洞占比为 40.8%，低危漏洞占比为 29.5%。下图给出了补天平台收录的网站漏洞的危险等级情况。 15 从补天平台收录网站漏洞的具体类型来看， SQL注入漏洞最多，占比为 29.4%，其次是弱口令和信息泄露，占比分别为 16.7%和 13.4%。占比较高的还有命令执行（ 9.4%）、逻辑（ 9.1%），具体漏洞类型分布请见下图。（三）不同行业网站漏洞情况在所有网站中，我们在能够明确的确认其所属行业的网站中选择了政府机构及事业单位、教育培训、互联网、 IT 信息技术、生活服务、金融、制造业、医疗卫生、通信运营商、交通运输十个行业网站进行了分类，重点研究这十个行业网站的安全状况。补天平台收录的网站漏洞中，政府机构及事业单位网站的漏洞数量是最多的，占比为 19.0%；其次，教育培训网站漏洞为 18.3%，互联网行业为 11.5%。每个行业的网站漏洞分布情况，具体如下图所示。 16 被报告漏洞涉及的不同行业网站中，通信运营商行业网站注册率最高为 84.0%，其次，金融注册率为 77.3%，互联网行业网站注册率为 61.9%。从高危漏洞网站来看，金融网站高危漏洞占比最多，为 50.6%，其次是政府机构、事业单位网站高危漏洞为 40.3%。具体如下表所示。行业高危中危低危政府机构、事业单位 40.3% 36.6% 23.0% 教育培训 21.5% 46.0% 32.5% 互联网 17.0% 46.8% 36.2% IT 信息技术 33.8% 39.4% 26.8% 生活服务 31.8% 43.3% 24.8% 金融 50.6% 21.5% 27.9% 制造业 24.4% 39.1% 36.5% 医疗卫生 25.3% 49.0% 25.7% 电信运营商 27.0% 34.6% 38.4% 17 交通运输 32.8% 40.2% 27.0% 表不同行业的网站漏洞等级情况部分行业的网站漏洞类型分布如下表所示。可以看出， “ SQL注入”“弱口令”和“信息泄露” 漏洞类型无论是从总体角度还是从各行业网站漏洞类型均名列前茅。行业 SQL 注入命令执行信息泄露政府机构、事业单位 31.3% 19.2% 11.0% 教育培训 33.5% 20.9% 13.0% 互联网 29.3% 9.1% 16.9% IT 信息技术 31.8% 10.4% 13.6% 生活服务 31.3% 13.5% 12.2% 金融 8.9% 13.8% 14.0% 制造业 25.5% 25.1% 14.0% 医疗卫生 32.9% 19.8% 12.8% 电信运营商 12.9% 25.7% 25.1% 交通运输 22.8% 19.9% 10.7% 表不同行业的漏洞类型分布四、网络扫描扫描行为通常处于情报搜集阶段，使用自动化程序对未知主机进行批量检测，根据主机返回的信息判断其运行状态。通常用于判断主机运行的服务类型、服务程序及版本，是否存在漏洞等信息，进而有针对性执行攻击手段。（一）全网扫描活动监测概况扫描事件是指在一定时间内，具有相同或相似特征的扫描行为的集合。 2018 年全年，奇安信威胁情报中心在全球范围内共监测发现扫描源 IP 1400 万个，累积监测到扫描事件 3.93 亿次。全球平均每日活跃的扫描源 IP 大约有 13.3 万个，对应的日均扫描事件约 107.6 万起。扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够发现扫描目标存在的漏洞并将扫描结果提供给使用者。其工作原理是扫描器向目标计算机发送数据包，然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。在互联网上，活跃的扫描器背后往往是活跃的黑客组织和潜在的危险。对全网扫描器及其扫描活动的监测、发现与防范，是网络系统安全运维所需的，重要的威胁情报信息。（二）扫描活动扫描的主要端口通过对 2018 年全年网络扫描器扫描的端口分析发现，扫描器扫描的端口主要为具备远程控制能力的端口和存在信息泄露的端口。从具体的端口号来看，被扫描次数最多的端口仍是 23 端口和 2323 端口，约 47.3%的网络扫描事件会扫描 23 端口，约 28.1%的网络扫描事件会扫描 2323 端口。 2017 年起，一个由多个子僵尸网络构成的多重僵尸网络“ MyKings”被发现并披露。该 18 僵尸网络一直积极的扫描互联网上 1433 及其他多个端口，并在渗透进入受害者主机后传播包括 DDoS、 Proxy、 RAT、 Miner在内的多重不同用途的恶意代码。我们将其命名为 MyKings，原因之一来自该僵尸网络的一个主控域名 *.mykings.pw。该僵尸网络扫描的端口主要包括： 1433 端口、 3306 端口、 135 端口、 22 端口、 445端口、 23 端口、 80 端口及 3389 端口等。在 2018.1.172018.1.21 这段时间，针对 1433 端口的扫描流量有一个明显的波谷，我们怀疑这与该团伙的基础设施变动有直接关系： 2018 年，永恒之蓝勒索蠕虫（ WannaCry病毒）等一系列勒索病毒仍然在全球肆虐。其特征之一就是会扫描 445 端口，所以，每一台感染 WannaCry 病毒电脑也会成为一个针对 445 端口的扫描器。而该病毒在 2017年的爆发，使得针对 445 端口的扫描活动也异常活跃，以至于针对 445 端口的扫描器数量在 2017 年排名进入了前十名。 2018 年， 445 端口仍保持扫描器扫描端口最多的前十个端口之一。下表给出了 2018 年网络扫描事件扫描最多的十个网络端口及其对应的常用服务、扫描事件覆盖率。需要特别说明的是，扫描事件与漏洞、端口并非是一一对应的。一次网络扫描事件可能会只针对一个网络端口或只针对一个安全漏洞，但也有可能会同时针对多个网络端口或多个安全漏洞。所以，在下表中，仅排名前十的网络端口号对应的扫描事件覆盖率之和就已经大于了 100%。端口常用服务扫描事件覆盖率 23 telnet 远程登录 47.3% 2323 telnet 远程登录 28.1% 1433 MicrosoftSQLServer 服务端口 15.6% 5555 SoftEtherVPN 服务端口 12.7% 445 SMB 服务端口 8.6% 22 SSH 服务端口 2.4% 80 HTTP 服务端口 1.8% 3389 RDP 服务端口 1.3% 6379 Redis 服务端口 0.9% 3306 MySQLServer 服务端口 0.4% 表 2018 年扫描器扫描最多的十个端口（三）扫描源 IP 地域分布统计显示，在奇安信威胁情报中心监测到的所有网络扫描活动中，从扫描事件的数量来看， 65.4%的网络扫描事件是从中国大陆发起的， 7.8%是从俄罗斯发起的，而日本、美国和巴西位列其后，占比分别为 4.4%、 3.5%和 3.0%。而从扫描器的数量来看， 47.0%的扫描源 IP 位于中国大陆境内； 12.1%的扫描源 IP 位于巴西；委内瑞拉、俄罗斯和墨西哥分列三到五位，比例分别为 4.9%、 3.8%和 3.0%。相比 2017 年，越来越多的扫描源 IP 集中在中国大陆（这主要是由于我们能够看到的数据来源主要来源于中国大陆），同时中国大陆发起的网络扫描事件数量也在增长。 19 对 IP 地址属于中国的网络扫描源进行进一步的地域分析发现，位于上海的扫描器数量最多，扫描源 IP 占全国总量的 3.7%；其次是泉州，占比为 3.5%，排在三到五位的城市分别是台州、香港和金华，占比分别为 2.9%、 2.9%和 2.5%。而如果从发起扫描事件的数量来看，在国内， IP 属于北京的扫描器发起的扫描事件最多，占境内扫描器发起的所有扫描事件的 6.6%，其次是杭州，占 6.0%，排在三到五位的城市分别是泰州、天津和上海，占比分别为 4.7%、 4.5%和 3.8%。 20 五、 DDoS 攻击 DDoS 攻击仍然是全球最大的互联网安全威胁之一，根据 DDosMon 网站（数据显示，在过去一段时间内每天检测到大约 2 万次攻击。本章包含由 DDoS 和僵尸网络追踪系统检测到的各种 DDoS 攻击的观察结果和见解。它代表了网络攻击趋势的独特视角，包括针对最新 DDoS 攻击统计数据和行为趋势。（一） DDoS 攻击情况 DDoS 攻击仍然是全球最大的互联网安全威胁之一。 2018 年 1 月 1 日至 2018 年 12 月 31 日，奇安信威胁情报中心监测到 626.2万个 IP 在过去一年曾遭到过 1064.3 万次 DDoS攻击，平均每天监测到 DDoS攻击 2.9 万次。 2018 年，奇安信威胁情报中心监测显示，针对 DDoS 攻击的端口中， 80 端口是 DDoS 攻击最常用的端口，占比为 39.6%，其次为 23 端口（ 31.3%）、 443 端口（ 9.6%），具体分布情况如下图所示。 21 下表是对上图中 DDoS 攻击常用端口的简单介绍。端口常用服务 80 HTTP 服务端口 23 telnet 远程登录端口 443 HTTPS 服务端口 53 DNS 服务端口 3074 xboxgame 服务端口表 2018 年 DDoS常用端口介绍 2018 年，奇安信威胁情报中心监测显示， DDoS 攻击的网站域名中， 60.4%为域名，其占据了半壁江山。其次是和域名，占比分别为 15.0%和 14.0%。具体分布情况如下图所示。 22 2018 年，奇安信威胁情报中心监测显示， DDoS 攻击类型中， amp_flood 类型最多，占比为 57.3%，其次为 syn_flood 和 plain_flood，占比分别为 12.8%和 11.2%。具体分布情况如下图所示。从攻击时长来看，超过五成的 DDoS 攻击持续时间小于 10 分钟，而持续时间在 10 分钟至 30 分钟的攻击占比约为 16.5%， 30 分钟至 1 小时的攻击占比约为 5.3%，持续时间超过 1 小时的攻击占 13.4%。总体而言，短时、小量的攻击仍然是 DDoS 攻击的主流。下图给出了 DDoS 的攻击持续时间分布。（二） DDoS 僵尸网络僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染 bot 程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。 23 DDoS 攻击主要由受控的僵尸网络发动。统计显示， gafgyt 家族是最为活跃的 DDoS 僵尸网络家族，占比为 39.8%； xor 家族紧追其后占比为 20.3%；而 mirai 家族占比为 16.8%位居第三。下面给出了 2018 年流行的僵尸网络的家族分布。 gafgyt 又名 Qbot，是 mirai 出现之前比较流行的一种 IoT botnet 家族，于 2014 年 8 月第一次被发现， 2014 年末 LizardSquard（黑客组织）利用该样本发起一起 DDoS引起安全界的小范围关注。 gafgyt 使用了一种类似 IRC的 C 2）部署终端安全管控软件，实时对终端进行查杀和防护； 3）对个人 PC 中比较重要的稳定资料进行随时备份，备份应离线存储； 4）继续加强网络与信息安全意识培训教育。意外收到的或来自未知发件人的电子邮件，不要按照文字中的说明进行操作，不要打开任何附件，也不要点击任何链接； 5）操作系统以及安装在计算机上的所有应用程序（例如 Adobe Reader， Adobe Flash， Sun Java 等）必须始终如一地更新。三、某汽车公司挖矿木马事件应急响应（一）事件概述 2018 年 11 月，奇安信安服团队接到某汽车公司的挖矿木马事件应急响应请求，其内网多台终端被挖矿木马攻击，服务器卡顿、进程缓慢，无法正常运行。应急人员到达现场后，对内网服务器、终端进程

展开阅读全文