网络安全状况月度报告-2019年3月

一、网络安全状况概述

2019年3月，互联网网络安全状况整体指标平稳，但有几个特征值得关注。一方面，是勒索病毒依然猖獗，深信服安全云脑监测到Globelmposter、GandCrab、Crysis等病毒活跃热度居高不下，变种层出不穷，近期出现Globelmposter 4.0、GandCrab 5.2等勒索变种。用户一旦遭受勒索病毒攻击，绝大多数文件将被加密，且大多暂时无法解密，造成无法估量的损失；另一方面，APT（高级持续性威胁）活跃程度在3月有所增加，针对性攻击更加明显，各厂商也在密切关注，攻防博弈战激烈上演。此外，监测数据显示，网站攻击数量在3月持续放缓，但网站漏洞问题依然严峻。

3月，深信服安全云脑累计发现：

·恶意攻击16.31亿次，平均每天拦截恶意程序5261万次。

· 活跃恶意程序24439个，其中感染型病毒4134个，占比16.92%；木马远控病毒7539个，占比30.85%。挖矿病毒种类246个，拦截次数9.82亿次，较上月有所上升，其中Xmrig病毒家族最为活跃。

深信服漏洞监测平台对国内已授权的6996个站点进行漏洞监控，发现：

· 高危站点2721个，高危漏洞60628个，主要漏洞类别是XSS注入、信息泄漏、CSRF跨站请求伪造。

· 监控在线业务6715个，共有276个在线业务发生过真实篡改，篡改占比高达4.11%。

二、恶意程序活跃详情

2019年3月，病毒攻击的态势与2月相比有所上升，病毒拦截量比2月份上升近16%，近半年拦截恶意程序数量趋势如下图所示：

2019年3月，深信服安全云脑检测到的活跃恶意程序样本有24439个，其中木马远控病毒7539个，占比30.85%，感染型病毒4134个，占比16.92%，蠕虫病毒2631个，占比10.77%，挖矿病毒246个，占比1.01%，勒索病毒188个，占比0.77%。

3月总计拦截恶意程序16.31亿次，其中挖矿病毒的拦截量占比60.24%，其次是感染型病毒（16.4%）、木马远控病毒（12.29%）、蠕虫病毒（6.71%）、后门软件（3.01%)、勒索病毒（1.21%)。

2.1 挖矿病毒活跃状况

2019年3月，深信服安全云脑在全国共拦截挖矿病毒9.82亿次，较2月环比增加7%，其中最为活跃的挖矿病毒是Xmrig、WannaMine、MinePool、BitcoinMiner、ZombieboyMiner、FalseSign，特别是Xmrig家族，共拦截4.58亿次。同时监测数据显示，被挖矿病毒感染的地域主要有浙江、北京、广东等地，其中浙江省感染量全国第一。

被挖矿病毒感染的行业分布如下图所示，其中政府受挖矿病毒感染情况最为严重，感染比例和2月相比下降2个百分点，其次是企业和教育行业。

2.2 感染型病毒活跃状况

2019年3月，深信服安全云脑检测并捕获感染型病毒样本4134个，共拦截2.67亿次。其中Ramnit家族是成为本月攻击态势最为活跃的感染型病毒家族,共被拦截1.09亿次，此家族占了所有感染型病毒拦截数量的40.77%；而排名第二第三的是Virut和Sality家族，本月拦截比例分别是为39.79%和11.83%。3月份感染型病毒活跃家族TOP榜如下图所示：

在感染型病毒危害地域分布上，广东省（病毒拦截量）位列全国第一，占TOP10总量的25%，其次为浙江省和湖南省。

从感染型病毒攻击的行业分布来看，黑客更倾向于使用感染型病毒攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占拦截总量的75%，具体感染行业分布如下图所示：

2.3 木马远控病毒活跃状况

深信服安全云脑3月全国检测到木马远控病毒样本7539个，共拦截2.00亿次，拦截量较2月上升31%。其中最活跃的木马远控家族是Injector，拦截数量达2537万次，其次是Zusy、XorDDos。

对木马远控病毒区域拦截量进行分析统计发现，恶意程序拦截量最多的地区为广东省，占TOP10拦截量的 21%，与2月份基本持平；其次为浙江（17%）、北京（13%）、四川（11%）和湖北（7%）；此外山东、上海、广西壮族自治区、江苏、福建的木马远控拦截量也排在前列。

行业分布上，企业、教育及政府行业是木马远控病毒的主要攻击对象。

2.4 蠕虫病毒活跃状况

2019年3月深信服安全云脑在全国检测到蠕虫病毒样本2631个，共拦截1.09亿次。通过数据统计分析来看，大多数攻击都是来自于Gamarue、Jenxcus、Dorkbot、Mydoom、Conficker、Vobfus、Palevo、Bondat、Buzus、Phorpiex家族。这些家族占据了3月全部蠕虫病毒攻击的98.8%，其中攻击态势最活跃的蠕虫病毒是Gamarue，占蠕虫病毒攻击总量的67%。

从感染地域上看，广东地区用户受蠕虫病毒感染程度最为严重，其拦截量占TOP10比例的28%；其次为江西省（16%）、湖南省（11%）。

从感染行业上看，企业、教育等行业受蠕虫感染程度较为严重。

2.5 勒索病毒活跃状况

2019年3月，共拦截活跃勒索病毒1967万次。其中，WannaCry、Razy、Gandcrab、Revenge、Locky、Teslacrypt、Mamba、Badrabbit、Cerber、Cryptowall、Matrix、Paradise、Torrentlocker依然是最活跃的勒索病毒家族，其中WannaCry家族本月拦截数量有1084万次，危害依然较大。

从勒索病毒倾向的行业来看，企业和教育感染病毒数量占总体的51%，是黑客最主要的攻击对象。具体活跃病毒行业分布如下图所示：

从勒索病毒受灾地域上看，广东地区受感染情况最为严重，其次是浙江省和江苏省。

三、网络安全攻击趋势分析

深信服全网安全态势感知平台监测到全国34808个IP在3月所受网络攻击总量约为4亿次。本月攻击态势与前三个月相比明显下降。下图为近半年深信服网络安全攻击趋势监测情况：

3.1 安全攻击趋势

下面从攻击类型分布和重点漏洞攻击分析2个纬度展示3月现网的攻击趋势：

·攻击类型分布

通过对深信服安全云脑数据分析可以看到，3月捕获攻击以系统漏洞利用、WebServer漏洞利用、Web扫描等分类为主。其中系统漏洞利用类型的占比更是高达28.70%，有近亿的命中日志；WebServer漏洞利用类型均占比23.34%；Web扫描类型的漏洞占比17.72%。此外，信息泄露攻击、Webshell上传等攻击类型在3月的攻击数量有所增长。

主要攻击种类和比例如下：

·重点漏洞攻击分析

通过对深信服安全云脑数据进行分析,针对漏洞的攻击情况筛选出3月攻击利用次数TOP20的漏洞。

其中命中次数前三漏洞利用分别是test.php、test.aspx、test.asp等文件访问检测漏洞、Apache Web Server ETag Header 信息泄露漏洞和Microsoft Windows Server 2008/2012 – LDAP RootDSE Netlogon 拒绝服务漏洞，攻击次数分别为49,047,012、39,407,152和28,619,006。较上月均有小幅上升。

3.2 高危漏洞攻击趋势

深信服安全团队对重要软件漏洞进行深入跟踪分析，近年来 Java 中间件远程代码执行漏洞频发，同时受永恒之蓝影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。

2019年3月，Windows SMB日志量达千万级，近几月攻击趋势持持续上升，其中拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多；Struts2系列漏洞攻击趋势近几月攻击次数波动较大，Weblogic系列漏洞的攻击趋势结束了前几月的持续降低，本月拦截到近两百万攻击日志；PHPCMS系列漏洞近几月攻击次数大幅上升，近期应重点关注。

Windows SMB 系列漏洞攻击趋势跟踪情况：

Struts 2系列漏洞攻击趋势跟踪情况：

Weblogic系列漏洞攻击趋势跟踪情况：

PHPCMS系列漏洞攻击趋势跟踪情况：

四、网络安全漏洞分析

4.1 网站漏洞类型统计

深信服云眼网站安全监测平台3月对国内已授权的6966个站点进行漏洞监控，3月发现的高危站点2721个，高危漏洞60628个，漏洞类别占比前三的分别是XSS注入，信息泄露和CSRF跨站请求伪造，共占比79.68%，具体比例如下：

4.2 篡改情况统计

3月共监控在线业务6715个，共识别潜在篡改的网站有276个，篡改总发现率高达4.11%。其中首页篡改226个，二级页面篡改32个，多级页面篡改18个。篡改位置具体分布图如下图所示：

上图可以看出，网站首页篡改为篡改首要插入位置，成为黑客利益输出首选。

五、近期流行攻击事件及安全漏洞盘点

5.1 流行攻击事件

(1)警惕“驱动人生”木马最新变种袭击MSSQL数据库

近期，驱动人生供应链传播的木马病毒再次升级变异，大面积袭卷国内政府、医院以及各大企业。这次变种在原有攻击模块的基础上，新增了MSSQL爆破攻击的功能，更为致命的是，当病毒爆破成功后，还会将用户密码改为ksa8hd4,[email protected]~#$%^&*()，严重影响了正常业务。具体详见：

https://mp.weixin.qq.com/s/pekbjCSyg2oDOPisfzOK9g

(2)5.2版本发布：被各大安全厂商“掏空”的GandCrab又有新的变种了？

GandCrab勒索病毒是2018年勒索病毒家族中最活跃的家族，GandCrab5.2为该家族最新变种，近期在国内较多的已投递恶意邮件的方式进行攻击，邮件内容通常带有恐吓性质。具体详见：

https://mp.weixin.qq.com/s/2QhwVYEO26kllWlrRX7fLA

(3)数百以色列热门网站成为耶路撒冷攻击活动目标，向Windows用户传播JCry勒索病毒

2019年3月，国外黑客组织针对数百个备受欢迎的以色列网站发起了一系列攻击活动，活动命名为耶路撒冷，其目的是通过JCry勒索病毒感染Windows用户，为了达到这个目的，攻击者修改了来自nagich.com的流行网络辅助功能插件的DNS记录，当访问者访问使用此插件的网站时，将加载恶意脚本而不是合法插件。具体详见：

https://mp.weixin.qq.com/s/OnaWth1_Q5HtH8vEGQFnBA

(4)预警！Globelmposter 4.0最新变种来袭，多家企业中招

深信服安全团队一直持续关注并跟踪Globelmposter勒索病毒家族，多次发布此勒索病毒相应的预警报告，近期又发现一例最新Globelmposter 4.0变种样本。具体详见：

https://mp.weixin.qq.com/s/fmeZZiRmkfYi-K1H0RAKTg

(5)WannaMine升级到V4.0版本，警惕中招！

近期，多个企业反馈大量主机和服务器存在卡顿和蓝屏现象，该企业用户中的是最新型的WannaMine变种，此病毒变种是基于WannaMine3.0改造，又加入了一些新的免杀技术，传播机制与WannaCry勒索病毒一致。具体详见：

https://mp.weixin.qq.com/s/TZWELDP78vv4Vdrn5smTrA

(6)“天堂”竟然伸出恶魔之手？Paradise勒索病毒再度席卷

Paradise(天堂)勒索病毒最早出现在2018年七月份左右，感染多家企业。此次的变种借用了CrySiS家族的勒索信息，代码结构也跟早期版本有了很大的区别。具体详见：

https://mp.weixin.qq.com/s/O4uMtDdFWVmAh2VEP3n7Kg

(7)全球最大铝生产商挪威海德鲁(Norsk Hydro)遭到LockerGoga勒索病毒攻击

据外媒报道，全球最大铝生产商之一挪威海德鲁(Norsk Hydro)公司于本月19号遭到一款新型勒索软件LockerGoga攻击，企业IT系统遭到破环，被迫临时关闭多个工厂并将挪威、卡塔尔和巴西等国家的工厂运营模式改为“可以使用的”手动运营模式，以继续执行某些运营。具体详见：

https://mp.weixin.qq.com/s/Izl9dGKObok2Wlu_qh32_w

(8)高龄病毒“熊猫烧香”还没退休？

近期，深信服安全团队收到客户反馈，其内网多台主机中的文件感染了病毒，影响正常业务。经分析，该病毒为“熊猫烧香”病毒变种，虽然该病毒已有十余年历史，但由于其具有很强的感染及传播性，依然很容易在缺少防护的企业内网中传播开来。具体详见：

https://mp.weixin.qq.com/s/gDlwSKrDwMoPjVyS7cRaXw

(9)华硕软件更新服务器遭黑客劫持，自动更新向用户下发恶意程序

卡巴斯基实验室(Kaspersky Lab)于3月25日曝光华硕（ASUS）的软件更新服务器曾在去年遭到黑客入侵，并以更新的名义在用户的电脑上植入一个恶意程序；此次攻击事件虽然因为自动更新策略影响了大量用户，但真正的攻击活动似乎只针对恶意程序中硬编码了MAC地址哈希值的600多台特定设备。具体详见：

https://mp.weixin.qq.com/s/_t67DHNQnV2I4AiCUPPwUw

5.2 安全漏洞事件

(1)【漏洞预警】Apache Solr Deserialization 远程代码执行漏洞（CVE-2019-0192）

近期，Apache Solr官方团队在最新的安全更新中披露了一则Apache Solr Deserialization 远程代码执行漏洞（CVE-2019-0192）。漏洞官方定级为 High，属于高危漏洞。该漏洞本质是ConfigAPI允许通过HTTP POST请求配置Solr的JMX服务器。攻击者可以通过ConfigAPI将其配置指向恶意RMI服务器，利用Solr的不安全反序列化来触发Solr端上的远程代码执行。具体详见：

https://mp.weixin.qq.com/s/ZtqM2EhB2BbZmDt1omvF6A

(2)【漏洞预警】Zimbra 邮件系统远程代码执行漏洞（CVE-2019-9621 CVE-2019-9670）

近期，国外安全研究人员Tint0在博客中披露了一个针对Zimbra 邮件系统进行综合利用来达到远程代码执行效果的漏洞（CVE-2019-9621 CVE-2019-9670）。此漏洞的主要利用手法是通过XXE(XML 外部实体注入)漏洞读取localconfig.xml配置文件来获取Zimbra admin ldap password，接着通过SOAP AuthRequest 认证得到Admin Authtoken，最后使用全局管理令牌通过ClientUploader扩展上传Webshell到Zimbra服务器，从而实现通过Webshell来达到远程代码执行效果。具体详见：

https://mp.weixin.qq.com/s/d_kIzQ0cJF0GhUFRQFJ4Tw

(3)【漏洞预警】WordPress Social Warfare Plugin 远程代码执行漏洞

2019年3月25日，国外安全研究人员在大量攻击数据中发现了一个WordPress plugins Social Warfare远程代码执行漏洞,此漏洞允许攻击者接管整个WordPress站点并管理您的主机帐户上的所有文件和数据库，从而实现完全远程接管整个服务器的目的。具体详见：

https://mp.weixin.qq.com/s/BeswVrHAL0iUPw2BE34Zig

六、安全防护建议

黑客入侵的主要目标是存在通用安全漏洞的机器，所以预防病毒入侵的主要手段是发现和修复漏洞，深信服建议用户做好以下防护措施：

（一）、杜绝使用弱口令，避免一密多用

系统、应用相关的用户杜绝使用弱口令，同时，应该使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，禁止密码重用的情况出现，尽量避免一密多用的情况。

（二）、及时更新重要补丁和升级组件

建议关注操作系统和组件重大更新，如永恒之蓝漏洞，使用正确渠道，如微软官网，及时更新对应补丁漏洞或者升级组件。

（三）、部署加固软件，关闭非必要端口

服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能、防范漏洞利用，同时限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访问控制ACL策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口，提高系统安全基线，防范黑客入侵。

（四）、主动进行安全评估，加强人员安全意识

加强人员安全意识培养，不要随意点击来源不明的邮件附件，不从不明网站下载软件，对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患。

（五）、建立威胁情报分析和对抗体系，有效防护病毒入侵

网络犯罪分子采取的战术策略也在不断演变，其攻击方式和技术更加多样化。对于有效预防和对抗海量威胁，需要选择更强大和更智能的防护体系。