jxllt 2019年4月网络安全状况分析报告

一、网络安全状况概述

2019年4月，互联网网络安全整体指标稳定，但各种安全事件仍时有发生。从安全云大脑捕捉到的攻击事件来看，病毒攻击手段是多种多样的，包括绕过杀毒软件无文件木马攻击、冒充国家机关发送钓鱼邮件等。，这些都比较隐蔽。入侵后会上传各种僵尸网络木马和挖掘程序，很难彻底清除。

4月份信息泄露事件频发，包括某平台1亿多用户个人数据被曝光上网、公职人员泄露公民信息牟利、三分之二酒店网站向第三方泄露客人预订信息，给用户人身安全和财产安全带来隐患。此外，监测数据显示，4月份网站攻击数量略有增加，CSRF跨网站请求伪造和点击劫持也很严重。

4月，我确信安全云大脑已经发现:

恶意攻击达到19.6亿次，平均每天截获6533万个恶意程序。

主动恶意程序30035个，其中传染性病毒6852个，占22.81%；木马远程控制病毒有13733种，占45.72%。挖掘病毒502种，截获12.29亿次，比3月份增长25%，其中Minepool病毒家族最为活跃。

我深信漏洞监控平台对中国5661个授权站点的漏洞进行监控，发现:

有1991个高风险站点和24495个高风险漏洞。漏洞类别为CSRF跨站请求伪造，占88%。

共监测网上商家6724家，识别潜在篡改网站179家，总篡改检出率2.66%。

二、 恶意 程序活跃详情

2019年4月，病毒攻击趋势呈上升趋势，4月病毒截获量较3月增加近20%。过去六个月拦截恶意程序的趋势如下图所示:

2019年4月，我确信安全云脑检测到的主动恶意程序样本有30035个，其中木马远程控制病毒13733个，占45.72%，感染性病毒6852个，占22.81%，蠕虫6461个，占21.51%。挖掘病毒502个，占1.67%，ransomware个

4月份共截获恶意程序19.6亿个，其中挖掘病毒占62.72%，其次是木马远程控制病毒(12.57%)、蠕虫病毒(12.5%)、传染性病毒(8.82%)、后门软件(2.31%)和ransomware (0.97%)。

2.1软件的活动状态

2019年4月，共截获1893万活跃的ransomware病毒。其中WannaCry，Razy，GandCrab依然是最活跃的ransomware家族，4月份WannaCry家族截获1098万次，依然有害。

从倾向于勒索病毒的行业来看，企业和教育感染的病毒数量占总数的51%，是黑客的主要目标。具体活跃病毒行业分布如下图所示:

从受赎金影响的地区来看，广东是感染最严重的地区，其次是四川和浙江省。

2.2挖掘病毒活动

2019年4月，我们确信，Safe Cloud Brain在全国范围内截获挖掘病毒12.29亿次，比3月份增长25%，其中最活跃的挖掘病毒有Minepool、Xmrig、Wannamine、Bitcoinminer，尤其是Minepool家族截获5.03亿次。同时监测数据显示，矿区病毒感染地区主要包括广东、浙江、北京等地，其中广东省感染量全国最高。

受采矿病毒感染的行业分布如下图所示，其中企业受采矿病毒感染最为严重，感染率与3月份基本持平，其次是政府和教育行业。

2.3传染性病毒的活跃状态

2019年4月，我们确信安全云脑检测并捕获了6852个传染性病毒样本，共截获1.73亿次。其中，Virut家族是4月份最活跃的传染性病毒家族，已被截获1.18亿次，占截获的所有传染性病毒的68.15%；萨利蒂和瓦波米家庭排名第二和第三，4月份的拦截率分别为18.34%和3.96%。4月份传染性病毒活跃家族的TOP列表如下图所示:

在传染性病毒危害的地理分布上，广东省居全国首位，占前10名的35%，其次是广西壮族自治区和浙江省。

从传染性病毒攻击的行业分布来看，黑客更倾向于用传染性病毒攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占总拦截数量的76%。具体受感染行业分布如下图所示:

2.4特洛伊木马远程控制病毒活动状态

我深信，4月份安全云脑在全国范围内共检测到13733个木马遥控病毒样本，共截获2.46亿次，截获量比3月份增加了23%。其中Drivelife是最活跃的木马遥控家族，截获5756万次，其次是Zusy和Injector。具体分布数据如下图所示:

通过分析统计木马远程控制病毒的截获量，发现恶意程序截获量最大的地区是广东省，占TOP10截获量的30%，比3月份有所增加；其次是浙江(13%)、北京(12%)、四川(10%)和湖北(7%)。此外，山东、上海、湖南、江西、江苏也在木马远程控制拦截的前列。

从行业分布来看，企业、教育、政府行业是木马远程控制病毒的主要目标。

2.5蠕虫活动状态

2019年4月，我确信安全云脑在全国检测到6461个蠕虫样本，截获2.45亿次。但据统计分析，绝大部分攻击来自拉姆尼特、加玛瑞、詹克斯库斯、Conficker、多克博特、费耶德、米杜姆和小家庭，占4月份所有蠕虫攻击的97%，其中攻击情况最为活跃

从感染区域来看，广东用户受蠕虫感染最严重，其截获量占前10位比例的30%；其次是湖南省(14%)和江西省(11%)。

从被感染的行业来看，企业、教育等行业被蠕虫感染严重。

三、网络安全攻击趋势分析

我深信，全网安全态势感知平台监测到，4月份中国34808条IP遭受约4.8亿次网络攻击。4月份的袭击情况较上月略有增加。下图显示了过去六个月对网络安全攻击趋势的监控:

3.1安全攻击趋势

以下从攻击类型分布和关键漏洞攻击分析两个纬度展示了4月份现有网络的攻击趋势:

攻击类型分布

根据对深信安全云的大脑日志中数据的分析，可以看出，4月份捕获的攻击主要分为网络服务器攻击、系统攻击、网络扫描、信息泄漏和网络外壳上传。其中，WebServer漏洞类型占比高达52.30%，攻击近1亿次；系统漏洞类型占17.80%；网页扫描漏洞占7.60%。

攻击的主要类型和比例如下:

关键漏洞攻击分析

根据漏洞的攻击情况，通过对深信安全云的大脑日志中数据的分析，筛选出4月份攻击利用次数最高的前20个漏洞。

前三大漏洞分别是Apache Web Server ETag Header信息泄露漏洞、test.aspxx、test.aspx、test.asp等文件访问检测漏洞、微软windows Server 2008/2012–LDAP root DSE netlogon拒绝服务漏洞，攻击次数分别为21486195、18302033、18115723。总体而言，与上月相比有所下降。

3.2高风险漏洞攻击趋势跟踪

我确信安全团队已经对重要的软件漏洞进行了深入的跟踪和分析。近年来，Java中间件远程代码执行漏洞频繁出现，Windows SMB、Struts2、Weblogic漏洞由于受到永恒之蓝的影响，成为黑客最流行的漏洞攻击方式。

2019年4月，Windows SMB日志数量达到数千万。最近几个月，袭击事件呈上升趋势。其中截获的(MS 17-010)微软Windows SMB Server远程代码执行漏洞攻击利用日志最多；近几个月，Struts2系列漏洞的攻击次数波动较大，Weblogic系列漏洞的攻击次数也有波动，本月截获的攻击日志只有不到40万；PHPCMS系列的脆弱性结束了前几个月的上涨趋势。

Windows SMB系列漏洞攻击趋势跟踪

struts 2系列漏洞攻击的趋势跟踪

WebLogic系列漏洞攻击的趋势跟踪

phpcms系列漏洞攻击的趋势跟踪

四、网络安全漏洞分析4.1国家网站漏洞类型统计、

我深信网站安全监控平台本月对全国5661个授权网站进行了漏洞监控。4月，发现了1，991个高风险站点和24，495个高风险漏洞。漏洞类别主要是CSRF跨站请求伪造，占88%。详细的高风险漏洞类型分布如下:

具体比例如下:

4.2篡改统计

4月份共监测网上商家6724家，识别潜在篡改网站179家，总篡改检出率2.66%。

其中篡改120页，篡改46页，篡改13页。

具体分布图如下图所示:

从上图可以看出，篡改网站首页是篡改的首要插入位置，已经成为黑客利益输出的首选。

动词 （verb的缩写）最近流行的攻击和安全漏洞清单5.1流行的攻击

(1)识别随机后缀的ransomware金斧子

外国安全研究人员在3月份发现了一个名为金斧的赎金。Golden Axe是一款用go语言编写的ransomware，使用基于RSA公钥加密系统的电子邮件加密软件PGP的开源代码对文件进行加密。有关详细信息，请参见:

https://mp.weixin.qq.com/s/QaHJ1S-4zgH5IaUprekgHw

(2)警惕！GandCrab5.2勒索软件伪装成国家机关发送网络钓鱼电子邮件进行攻击

4月，包括金融行业在内的许多企业报告称，其内部员工收到了可疑的电子邮件。邮件发送者显示为“国税服务”(翻译为“国税局”)，邮件地址为lijinho@cgov.us，意在冒充美国政府的专用电子邮件地址gov.us。邮件内容是传唤收件人作为被告受审。有关详细信息，请参见:

https://mp.weixin.qq.com/s/M93V2oWuwjdtOxI9-Vz6SQ

(3)加速，教你解密行星勒索病毒

外国安全研究人员揭露了一个名为行星的勒索软件家族，该家族于2018年12月首次被发现。它使用AES-256加密算法加密文件，通常通过RDP爆破或垃圾邮件传播。攻击的主要目标是说英语的用户，但是在中国和日本已经发现了被攻击的用户。有关详细信息，请参见:

https://mp.weixin.qq.com/s/hoD1gqTC5IPjZhDT4o9Wdw

(4)linux挖掘病毒DDG转型后重新出现并传播到Windows平台

4月份捕获了一个Linux和windows平台的挖掘病毒样本。经安全人员分析，确认该木马是由redis漏洞传播的挖掘木马DDG的最新变种。使用最新的go语言1.10编译了大量的基本库文件。木马消耗大量服务器资源，难以移除，具有内网扩散功能。有关详细信息，请参见:

https://mp.weixin.qq.com/s/cQwKQPxK2wvTcMG4GpR6xA

(5)[样本分析]门罗币挖掘+遥控木马样本分析

近日，沈心安全团队在分析可疑下载样本时，发现了门罗硬币挖掘+木马的双功能样本。该示例将在挖掘时通过C2配置文件将具有远程控制功能的示例下载到指定站点，获取受害主机的信息，进而控制受害主机。有关详细信息，请参见:

https://mp.weixin.qq.com/s/MoAx0mKNi2X20JKqqCUQJQ

(6)真文件夹还是假文件夹？FakeFolder病毒再次扰乱内网

4月份，在收到客户反馈后，内网出现大量伪造成文件夹的可疑exe文件，删除后会重复出现。分析后发现这是一个蠕虫FakeFolder，病毒会通过u盘和共享文件夹传播。一旦主机感染病毒，文件系统中的文件夹将被隐藏，并被伪装的病毒文件替换。用户运行病毒文件时，会弹出文件夹对应的窗口，不容易被注意到；只要系统中还有一个FakeFolder病毒文件，主机就会被反复感染。有关详细信息，请参见:

https://mp.weixin.qq.com/s/QwUEhXS-9TBHW2_Y03f8jA

(7)警惕！Linux挖掘病毒seasame利用合流最新漏洞进行传播

4月，检测到一种新型Linux挖掘木马。经分析，病毒利用合流漏洞传播，并通过定期下载保持病毒体存活。同时，由于病毒会杀死“https://”和“http://”等进程，用户将无法下载文件和访问网页，挖掘过程会导致服务器堵塞等异常现象。根据它的父文件名，它被命名为seasame。有关详细信息，请参见:

https://mp.weixin.qq.com/s/txIezlwy6zJt8Smmfnfz1A

(8)谨防“神秘人”勒索软件X_Mister偷袭

今年4月，一个外国安全论坛发布了一款类似Globelmposter的新软件。这个ransomware的一些行为类似于Globelmposter，因其联系人邮箱中包含x_mister而被命名为X_Mister(“神秘人”)ransomware。这款ransomware使用RSA+DES算法加密文件，不具备横向感染功能。通常，它是由攻击者在RDP引爆目标后手动发送的，或者通过垃圾邮件传播。有关详细信息，请参见:

https://mp.weixin.qq.com/s/UOL7HwgS-nNjxLltAroNZA

(9)警惕“侠盗猎车手”团伙利用新的漏洞散布“蓝屏”变种的GandCrab勒索

近日，利用合流新漏洞传播ransomware事件被抓获，政府和企业组织遭到攻击。黑客团伙利用漏洞入侵服务器，上传下载器脚本文件，并连接到C & ampc端下载并运行ransomware。从样本中提取的IP来看，攻击事件与利用合流漏洞(CVE-2019-3396)传播GandCrab ransomware的攻击事件密切相关。有关详细信息，请参见:

https://mp.weixin.qq.com/s/0-5xweSvuGpDhHdNAMO6qg

5.2安全漏洞事件

(1)【漏洞预警】Apache HTTP服务器组件授权漏洞(CVE-2019-0211)

Apache HTTP Server正式发布Apache HTTP Server 2 . 4 . 39版更新，修复了漏洞号为CVE-2019-0211的漏洞，漏洞等级较高。据深以为然的安全团队分析，该漏洞影响严重，攻击者可以通过上传攻击脚本对目标服务器进行特权攻击，在非*nix平台上不受影响。有关详细信息，请参见:

https://mp.weixin.qq.com/s/pc8qoDo5SKadRJ0lkJnKUQ

(2)【攻击捕捉】JeeCMS漏洞成了黑SEO的秘密武器？

4月，发现客户端服务器中的文件被篡改，植入赌博页面。经过调查发现大量网页被篡改，篡改的时间非常密集。有关详细信息，请参见:

https://mp.weixin.qq.com/s/wr5kWHmrdACh90EFzgO6jw

(3)警报3)Apache Tomcat远程代码执行漏洞(CVE-2019-0232)

4月，Apache Tomcat官方团队在最新的安全更新中披露了Apache Tomcat远程代码执行漏洞(CVE-2019-0232)。该漏洞被官方评定为高，这是一个高风险漏洞。该漏洞的本质是，当在启用了enableCmdLineArguments的Windows上运行时，JRE向Windows传递命令行参数的方式存在错误。通过此漏洞，CGI Servlet可能会受到攻击者远程代码执行的攻击。有关详细信息，请参见:

https://mp.weixin.qq.com/s/8C_WgYoc6JcNp01q_2mD9A

(4)【漏洞警告】WebLogic任意文件上传漏洞(CVE-2019-2618)

甲骨文在最新的安全更新中正式披露了一个WebLogic任意文件上传漏洞(CVE-2019-2618)。该漏洞被官方评定为高，这是一个高风险漏洞。该漏洞的本质是通过OAM认证后，可以使用DeploymentService接口上传任何文件。攻击者可以利用此漏洞获得服务器权限。有关详细信息，请参见:

https://mp.weixin.qq.com/s/zWnxlkqh5rvHrT9DzHBMuA

(5)[漏洞预警] Spring Cloud Config目录遍历漏洞(CVE-2019-3799)

在最新的安全更新中，官方的Spring团队在Spring Cloud Config(CVE-2019-3799)中披露了一个目录遍历漏洞。该漏洞被官方评定为高，这是一个高风险漏洞。该漏洞的本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件，攻击者可以构建恶意URL来利用目录遍历漏洞。有关详细信息，请参见:

https://mp.weixin.qq.com/s/6434rhIDYhIrbXW2MrTAjw

(6)【漏洞警告】WebLogic WLS-异步反序列化远程命令执行漏洞

CNVD安全公告公开了WebLogic wls的一个漏洞——异步反序列化远程命令执行(CNVD-C-2019-48814)。漏洞被归类为高风险漏洞。该漏洞的本质是wls9-async组件在反序列化输入信息方面存在缺陷，未经授权的攻击者可以发送恶意的HTTP请求，获取服务器权限，并实现远程命令执行。有关详细信息，请参见:

https://mp.weixin.qq.com/s/Flc2eHmIystJ5sqJ33pJug

不及物动词安全防护建议

黑客攻击的主要目标是具有一般安全漏洞的机器，因此防止病毒入侵的主要手段是发现并修复漏洞。强烈建议用户采取以下保护措施:

(一)、杜绝使用弱密码，避免一密多用。

与系统和应用程序相关的用户应避免使用弱密码。同时要使用复杂度高、强度大的密码，包括大小写字母、数字、特殊符号等混合密码。尽可能。禁止重复使用密码，尽量避免一个密码多次使用的情况。

Ii .及时更新重要补丁和升级组件

建议关注操作系统和组件的重大更新，如永恒蓝漏洞，使用正确的渠道，如微软官网，及时更新相应的补丁漏洞或升级组件。

(3)部署加固软件，关闭不必要的端口

在服务器上部署安全强化软件，限制异常登录行为，开启防爆功能，防止漏洞被利用，限制服务器和其他业务服务网络可以访问的网络和主机范围。有效强化访问控制ACL策略，细化策略粒度，严格按区域和业务限制各网络区域和服务器之间的访问，采用白名单机制只允许开放特定业务必需端口，提高系统安全基线，防止黑客入侵。

(4)、主动开展安全评估，强化人员安全意识

加强人员安全意识的培训，不要随意点击来源不明的邮件附件，不要从未知网站下载软件，对来源不明的文件进行消毒，包括邮件附件和上传的文件。定期在系统、应用和网络层面进行安全评估、渗透测试和代码审核，积极发现当前系统和应用存在的安全隐患。

(5)建立威胁情报分析和对抗系统，有效防范病毒入侵

网络犯罪分子采用的战术也在不断演变，攻击方式和技术也更加多样化。为了有效预防和打击大规模威胁，我们需要选择一个更强大、更智能的保护系统。深信下一代安全防护系统(深信安全云，深信下一代防火墙AF，深信安全感知平台SIP，深信终端检测和响应平台EDR)将与云、网络和终端协同响应，建立一套包括预检测和预警、事件防御和后处理在内的综合安全防护系统。云端持续趋势风险监测预警，网络侧实时流量检测防御，终端事后查杀追踪，用户潜在威胁深度挖掘，用户网络安全立体全方位保障。

*作者:深信千里安全实验室，请注明来自FreeBuf.COM