门罗币成为挖矿病毒的首选币种
门罗币作为隐匿性最强的加密货币,一直备受匿名用户的青睐,一般的匿名,比特币就可以做到, 但是要想做到完全的匿名,目前来看非门罗莫属。门罗币完全匿名的特性,使得其与洗钱行业“纠缠不 清”,无章可循也使其在暗网购买非法商品变得更加隐蔽。然而正是这些特性,使它在经历了多年的市 场洗礼后仍屹立不倒,并且在加密货币中占据主流地位。市面上门罗币流通量的 5%都是挖矿病毒生产的。 由于利益驱使,挖矿应急事件也呈逐年上升趋势,2018 以来,绿盟科技支持的挖矿应急事件的比 例已经达到了 17% 之多,而在所有的挖矿事件中,有 81% 是门罗币挖矿。
网络威胁行业特征显著
今年处理的安全事件
中,金融、企业、政府、运营商和互联网占比最高,上述几种行业体量较大、 分布较广、数据更为敏感,往往会成为攻击的重点对象。由于各个行业的业务特性不同,安全事件在不 同行业中呈现的侧重点有所区别,但勒索软件、挖矿、入侵事件在不同行业均有所表现。其中勒索软件类事件重点影响金融、企业、政府、运营商
、能源等行业;挖矿类事件影响金融、交通、 政府等行业;入侵类事件影响政府、金融、互联网行业;主机异常类事件在企业、互联网行业影响较大。图表 11 行业类型分布
金融 政府 4%
6% 企业 运营商 互联网
教育40% 交通 能源
卫生 烟草
政府部门服务器成为攻击重点
互联网技术的发展正在引发一场电子政务安全防护领域的新,网络在带来便利的同时,也存在潜 在的安全隐患。政府部门由于掌握的信息敏感性高,让其成为黑客的重要攻击目标之一。
绿盟科技 2018 年处理的安全事件中,政府部门的入侵事件占比 37%,其中多为网页篡改类事件, Web 服务器已成为攻击的重点。
图表 12 事件类型分布 -政府部门
4% 入侵事件 拒绝服务 4% 蠕虫病毒 主机异常
勒索软件 流量异常
10% 信息泄露 访问异常 挖矿 网络中断
运营商需着重关注勒索软件流量异常类安全事件
运营商作为网络设施的建设、运营和维护单位,在网络层面承担了基础和关键性的角色。同时,运 营商又与网络应用服务和终端服务有着紧密的联系,这一特点使得运营商行业备受黑客瞩目。总体上今 年运营商的安全事件比去年有所减少,但勒索软件类安全事件却有所增长,流量异常事件仍是运营商的 关注重点。
图表 13 事件类型分布 -运营商
勒索软件 业务逻辑 26% 流量异常 蠕虫病毒
入侵事件 拒绝服务 5% 主机异常 访问异常
挖矿 其他 8%
样本分析
漏洞验证
金融机构已成为网络犯罪的主要目标
金融行业是我国网络安全重点行业之一,由于其业务复杂、数据资产价值高等特点,金融机构已经 成为网络犯罪的主要目标。金融行业在今年处理的安全事件中占比高达 40%,且事件的类型众多,其中 挖矿事件和勒索事件分别占比 17% 和 15%。 2018 年 11 月底,国内多个金融客户感染了跨平台的勒索病毒,该病毒是 Satan 勒索 病毒的变种版本,利用了永恒之蓝和多种中间件漏洞可以在 Linux和 Windows 平台进行蠕 虫式传播,感染主机后会下载门罗币挖矿程序和勒索软件。 自 12 月 11 日起,有疑似“Anonymous”黑客组织账号在推特上发动代号为 OpIcarus 的攻击行动,并称已攻陷部分国外银行。在其发布的攻击目标清单中,包含部分国内银行 网站。从网络信息判断,攻击形式以 DDoS 分布式拒绝服务攻击为主。 金融行业对于声誉尤其看重,因此除了占据主流的勒索软件、挖矿和入侵事件外,还关注信息泄露、 业务逻辑等影响自身声誉的安全事件。 图表 14 事件类型分布 -金融行业 4% 17% 勒索软件 信息泄露 挖矿 访问异常 5% 入侵事件 业务逻辑 6% 蠕虫病毒 钓鱼 主机异常 其他 7% 流量异常 样本分析 拒绝服务 数据异常 8% 11% 漏洞验证
企业的勒索事件占据绝对比重
能源、教育、卫生等行业较为关注业务的连续性,对于影响业务运行和自身声誉的安全事件更为重视。 这些行业的数据文件关系着业务的正常运行,且具有较高的价值,被加密后很可能影响业务,因此一旦 感染勒索病毒主动支付赎金的意愿较高。黑客受到利益驱动,会对这些行业进行针对性的攻击。 图表 15 勒索软件影响行业 事件数量(起) 能源 卫生 企业 烟草 能源 运营商 政府 金融 教育 互联网 今年处理的安全事件中,勒索软件类占据了企业行业事件的绝对比重(36%)。 图表 16 事件类型分布 -企业 勒索软件 信息泄露 png)3% 挖矿 流量异常 8% 36% 蠕虫病毒 数据异常 入侵事件 钓鱼 9% 主机异常 其他 拒绝服务 漏洞验证 网络中断 企业行业中利用弱口令类漏洞的事件占比 41%,远高于其他行业。可见企业需要提高安全投入,完 善网络安全管理工作,提高员工的安全意识。 图表 17 企业事件漏洞分布图 2% 弱口令 Web漏洞 Redis未授权访问 复合漏洞 7% ThinkPHP远程执行漏洞 Weblogic反序列化 逻辑漏洞
脆弱系统将面临越来越多的攻击
随着计算机系统的不断完善,各种应用软件也是层出不穷,伴随着应用软件的增多,互联网资产暴 露的情况也越来越严重。攻击者可以使用 Nmap、Masscan、Metasploit 等工具来获取互联网上暴露出 来的公共资产,相应的服务也就成为了攻击者攻击的目标。诸如 RDP、SSH、Redis、Memcached、 Tomcat、FTP 等软件的使用,导致各种攻击也是屡见不鲜。
漏洞抢占肉鸡资源
由于 0Day 漏洞挖掘难度高、购买代价大等原因,攻击者很少将其用于批量化的攻击。而对于已经 通过各种途径曝光的 1Day 漏洞,攻击者往往能迅速发开出各类自动化利用工具,在全网扫描抢占肉鸡 资源。从漏洞披露到安全事件全面爆发都有一定的周期,在安全事件爆发之前大多数企业并不密切关注 和跟进漏洞,也没有及时更新相关补丁,导致在漏洞公布后的短时间内便被入侵。例如,2018 年 1 月, 互联网上出现利用 WebLogic-WLS 组件远程命令执行漏洞进行挖矿的事件,短时间内大量爆发,影响 到金融、运营商等多个行业。 如果用户及时关注厂商发布的漏洞和事件预警(如绿盟科技安全预警公众号:nsfocus_ secwarning),在第一时间做好防范工作,可以有效防止此类攻击。 下面列举了几个 18 年应急过程中常见的新发漏洞: 表 2 WebLogic 反序列化漏洞 **WebLogic 反序列化漏洞( 影响范围 Oracle WebLogicServer 10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3 类型 远程代码执行、反序列化 危害 攻击者可以在未授权的情况下通过 T3协议对存在漏洞的 WebLogic 组件进行远程攻击,并可获取目标系统所有权限。 表 3 Struts2-057 远程命令执行漏洞
影响范围 类型 远程命令执行 Struts2 在 XML配置中如果 namespace 值未设置且(Action Configuration)中未设置或用通配符 namespace 时可 危害 能会导致远程代码执行。 表 4 Drupal 远程命令执行漏洞 WebLogic 反序列化漏洞(CVE-2018-2628) 影响范围 Drupal 6.x、Drupal 7.x、Drupal 8.x 均受此漏洞影响 类型 远程代码执行 攻击者在 "可渲染数组 "中插入构造恶意代码,恶意代码通过 POST 方法将含有恶意代码的 "可渲染数组 "提交到 危害 drupal 系统中。页面渲染流程中,"可渲染数组 "中携带的恶意代码,最终调用方法将 "可渲染数组 "中的恶意代码取出, 传入 call_user_func 函数,导致恶意代码被执行。
