前言
2019 年 2 月中国互联网络
信息中心发布的《中国互联网络发展状况统计报告》[^1] 显示,截止 2018 年004.12 月,中国网民规模达到 8.29 亿人,互联网普及率为 59.6%,互联网已经渗透到各行各业,直接影 响着国家发展和人们的生产生活。随着互联网技术的发展,网络安全事件种类越来越多,攻击手段层出 不穷,严重危及政府和企业的运转,极大影响了公众的社会生活。绿盟科技应急响应团队 2018 年共处理来自全国各地的安全应急事件 338 起,涉及政府、运营商
、 金融、企业等行业,覆盖 30 个省份。安全事件地区分布如下图所示:图表 1 安全事件
地区分布高
据统计,2018 年年初和年末发生的安全事件数量最多,远高于 2017 年同期处理事件数量。!
图表 2 每月事件数量趋势
事件数量(起)
1 2 3 4 5 6 7 8 9 10 11 12 发生月份
在对 2018 年处理的安全事件进行深入分析和整理的基础上,绿盟科技应急响应团队输出此报告。 期盼更多的人能够关注安全事件现状,进一步提高安全意识;同时也希望各安全厂商齐心协力,共同为 用户建设更加安全的网络环境。
适用性 此报告适用于政府、运营商、金融、企业等行业客户。 局限性 此报告基于绿盟科技应急响应服务数据,具有一定局限性。 特别声明
本次报告中涉及的所有数据,均来源于绿盟科技的自有产品和合作伙伴产品,所有数据在进行分析 前都已经过脱敏处理,不会在中间环节出现泄露,且任何与客户有关的具体信息,也均不会出现在报告中。
网络安全形势分析
网络安全形势分析
随着网络安全形势的发展,越来越多的攻击者不再以耀技术能力为目的,而是以获取经济利益为 行动向导。这些攻击运用的并非都是新技术,更多的是将现有的攻击工具、手法稍加改变,以突破企业 防线。比起 2017 年,2018 年是相对平静的一年,如 MS17-010 等核弹级漏洞带来的阴影正渐渐淡去, 但在这平静的表面下,黑色产业链也在默默壮大。
从整体上看:
在绿盟科技 2018 年处理的安全事件中,勒索软件、挖矿和入侵类事件占比最高,分别为 20%、 17% 和 15%。黑客的攻击目标和攻击手段一直在变,唯一不变的是攻击者对利益的追求。而虚拟货币 因其不可追溯性成为攻击事件中资源套现的最好载体,黑客通过勒索和挖矿可以获得大量虚拟币,攫取 高额的非法收入。典型的攻击场景主要有:虚拟币勒索、虚拟币盗窃、“挖矿”、诈骗等。安全事件占 比如下图:
图表 3 事件类型分布
勒索软件 信息泄露 20%
挖矿 访问异常 4%
入侵事件 业务逻辑 5%
蠕虫病毒 钓鱼 7% 主机异常 其他
流量异常 样本分析 8% 拒绝服务 数据异常 漏洞验证 网络中断
与去年相比,勒索软件的种类和数量成倍增涨,2017 年处理勒索病毒类安全事件 25 起,2018 年 处理 69 起。
图表 4 勒索病毒安全事件数量对比
30 事件数量(起)
病毒种类由 2017 年的几种,发展到 2018 年的几十种;病毒在更新迭代速度上也是突飞猛进,并 且呈现家族特征。其中 GandCrab、Cerber 等病毒已经超过五代,GlobeImposter 病毒也出现了第三代。
表 1 2017 、2018 年活跃勒索病毒名称
**年份 勒索病毒名称012.2017 年 Wannacry、Petya、Crysis、数据库勒索、HDDCryptor、CRBR
Wannacry、Petya、Crysis、数据库勒索、HDDCryptor、GlobeImposter、WannaMine、Rapid、 2018 年
挖矿类安全事件由去年的 14 起增长到 56 起。在 2018 年中,挖矿病毒更多以蠕虫形式出现。
图表 5 挖矿类安全事件数量对比
30 事件数量(起)
从行业上来看:
政府单位服务器、网站一直很受黑客青睐,受到的攻击以 web 攻击为主。 运营商与网络应用服务和终端服务有着紧密的联系,这一特点使得运营商行业备受黑客瞩目。 金融行业由于其业务复杂、数据资产价值高等特点,安全事件的类型众多,容易成为境外黑客的攻
击目标。
企业是受攻击的重灾区,其中尤以中小企业与中小互联网企业最为突出。中小型企业在网络安全方 面投入不足,而产品销售维护又严重依赖互联网信息系统,网上公开的漏洞不能及时修补,导致大量的 黑客攻击。
勒索软件仍是安全事件重点并呈现家族化趋势
勒索病毒攻击早已不是什么新鲜手段,但勒索病毒和虚拟货币结合,就成了“黄金搭档”。2017 年 WannaCry 勒索病毒全球 “大屠杀”,让攻击者们意识到,这种“抢钱”方式安全且可靠。由此, 利用勒索病毒谋取非法利益的安全事件愈演愈烈。
2018 年应急事件中,勒索软件类事件占比 20%,为众多事件类型之冠,可见勒索软件仍是网络攻 击的重点。通过对今年勒索事件的处理及分析,发现勒索病毒在攻击目标、传播方式、技术门槛、新家 族 / 变种、赎金支付方式等方面均呈现出新的特点。
图表 6 事件类型分布
勒索软件
其它
勒索病毒家族类型增多变种更新更加频繁
从 2017 年 的 Wannacry,Petya,Satan 到 2018 年 的 Crysis,GandCrab,GlobeImposter, PrincesLocker,勒索病毒的家族类型在 2018 年变得更加丰富。同时单个病毒的更新次数也变得更加频 繁,其中 Satan 在 2017 年 1 月首次出现,同年 12 月出现第二代变种,而在 2018 年分别在 5 月、6 月、 11 月出现了三个变种更新,其样本的传播方式变得更加多样,勒索的赎金也相应有所增加; GandCrab V5版本从 2018 年 9 月份面世以来,在短时间出现了 5.0、5.0.2、5.0.3、5.0.4、5.0.5 多个版本的变种。 下图为各应急事件中,各勒索病毒产生的应急事件汇总,可以发现在 2018 年里 GlobeImoposter、 Wanna 系列、GandCrab、Satan 和 Crysis 几大家族包揽了 90% 的勒索事件,其中 GlobeImoposter 家 族的事件占比高达 31%。 图表 7 勒索软件类型 3% Globelmposter 其他 11% 31% Wanna 数据库勒索
服务器需重点关注跨平台勒索病毒开始出现
不同于 2017 年 XOR、Billgates 等远控 DDoS 病毒家族大量出现,2018 年的主要角色变成了勒索病 毒。勒索病毒的主要目标为各种 Windows 服务器,一方面,一般服务器中运行很多复杂的服务,很难 第一时间对各种漏洞进行修补,另一方面,很多服务都存在弱口令的情况,种种原因都给攻击者提供了 可乘之机。 图表 8 勒索软件传播平台 在 2018 年末出现了一种全新的可以在 Windows 和 Linux双平台同时传播的勒索病毒,经过分析发 现该病毒属于 Satan 变种(加密后缀名为 Lucky),之后勒索病毒跨平台传播也许会将成为一种新趋势。
弱口令暴力破解成为主流攻击方式
勒索软件的传统传播方式一般为钓鱼邮件、网页挂马、程序捆绑。在 2018 年,新出现的 GlobeImposter、GandCrab 等病毒使用的 RDP 口令爆破的传播方式成为了主流。下图为 2018 年绿盟 科技应急响应团队处理的勒索应急事件的利用漏洞类型,其中弱口令占比 65%,可见 RDP 口令爆破攻 击占据了主导地位。 图表 9 勒索软件利用漏洞类型 弱口令 MS17-010 复合漏洞
病毒制作门槛降低传播方式蠕虫化
2018 年勒索病毒频繁出现使其成为了病毒舞台的主角。所谓“重金之下必有勇夫”。由于勒索病 毒带来的利润极其可观,使很多病毒开发者竞相制作勒索病毒,所以出现了病毒质量良莠不一的情况。 例如 2018 年 12 月出现的“微信勒索”仅使用固定密钥对文件进行异或加密,通过简单的脚本即可实 现文件解密。由于微信支付容易溯源攻击者,12 月 5 日病毒开发者就已落网。 勒索程序蠕虫化已成为勒索病毒发展的一大趋势,勒索软件多数利用 RDP 暴力破解以及通过多种 漏洞利用进行蠕虫传播。相比 2017 年 WannaMine 使用单一的 MS17-010 漏洞进行传播,今年流行的 Satan 更像是漏洞利用的百科全书,同时使用“JBoss 反序列化漏洞”、 “WebLogic WLS 组件漏洞 (CVE-2017-10271)”、“Windows SMB 远程代码执行漏洞 MS17-010”、“Apache Struts2 远程代 码执行漏洞 S2-045”等近 10 种已知漏洞进行传播。并且相对于 Satan 的上一版本,新版 Satan 变种已 支持 Windows、Linux 的跨平台传播,虽然当前 Satan 新版变种稳定性较差,但是在 2019 年很有可能 出现健壮的 Satan 变种。
挖矿病毒利用多种漏洞传播
2018 年,绿盟科技应急响应团队共处理挖矿事件 56 起,其中使用门罗币进行挖矿的事件占据绝大 部分,高达 81%;已处理的挖矿事件中攻击手段也多种多样,其中,利用永恒之蓝漏洞的事件 19 起, 利用 WebLogic 组件漏洞的事件 10 起、利用弱口令入侵挖矿事件 10 起、Redis 入侵挖矿事件 5 起;在 所有挖矿事件中,涉及的病毒及挖矿工具:WannaMine 家族 18 起、cpuminer5 起、Redis Miner4 起、 DDG4起、powerghost 8 起。目前主流的恶意挖矿病毒为 WannaMine、powerghost 等。 图表 10 挖矿事件利用漏洞 事件数量(起) 其他 弱口令 S2-045 MS17-010 复合漏洞 Web漏洞 恶意软件
- WannaMine 挖矿病毒依然流行 2018 年由 WannaMine 挖矿病毒导致的应急事件相比 2017 年大幅减少,但是,该类型事件依然发 生于部分企业,其中卫生、教育行业较为突出。该病毒依旧利用 MS17-010 微软文件共享协议漏洞,进 行传播并挖矿。尽管官方补丁早已推出,由于企业人员安全意识不足、安全体制不完善等原因,此类事 件仍时有发生。
