2017上半年网络安全观察

Size: px

Start display at page:

Download "2017上半年网络安全观察"

琮花
5 years ago
Views:

1 2017 上半年网络安全观察 2017 绿盟科技绿盟科技威胁情报中心

2 关于绿盟科技北京神州绿盟信息安全科技股份有限公司简称绿盟科技成立于 2000 年 4 月总部位于北京在国内外设有 30 多个分支机构为政府运营商金融能源互联网以及教育医疗等行业用户提供具有核心竞争力的安全产品及解决方案帮助客户实现业务的安全顺畅运行基于多年的安全攻防研究绿盟科技在网络及终端安全互联网基础安全合规及安全管理等领域为客户提供入侵检测 / 防护抗拒绝服务攻击远程安全评估以及 Web 安全防护等产品以及专业安全服务北京神州绿盟信息安全科技股份有限公司于 2014 年 1 月 29 日起在深圳证券交易所创业板上市交易股票简称绿盟科技股票代码

3 目录 01 执行摘要 1 02 攻击源概览 4 03 漏洞观察漏洞发展趋势漏洞攻击及利用热点漏洞监控网站安全观察网站攻击分布 Web攻击类型分布 Web漏洞利用情况 DDoS观察 DDoS攻击总次数和攻击总流量 DDoS各攻击类型次数和流量占比 DDoS攻击持续时间占比全球DDoS攻击源国家分布全球DDoS攻击目标国家分布勒索事件勒索软件 DDoS勒索数据库勒索热门事件监控 28 总结 30

5 01. 执行摘要

6 执行摘要安全事件已经成为新闻头版的常客今年以来连续爆发WannaCry Petya NotPetya等重大网络安全事件各种社会经济活动 IT和安全团队都备经战火洗礼值得关注的是分析师们开始把网络攻击事件和严重级别的飓风相提并论全球造成的经济损失可能高达500多亿美元在各种新技术快速演化威胁环境快速演化的大背景下不断重新审视网络安全业界的各种实践技术和系统组态生态环境等无疑是非常有意义有必要的万物互联之下已经没有可以独善其身的安全孤岛只有相对安全和不安全的各种子生态防御方可以接受某种程度上的渗透和泄露只需要把风险控制于可接受水平之下避免出现破窗效应否则任何安全措施的效果都会大打折扣进入死环防御方必须利用各种因素使己方的漏洞漏洞的利用被利用后的踪迹处于可视收敛和受控状态如此防御方处于生环状态安全态势逐渐向好的方向发展信任体系安全策略和实践产品设计都应该评估并考虑目标系统所处的生态的安全水平而威胁情报就像名字所传递的意味可以帮助管理层和运营团队判断所处态势掌握威胁方动向动态调整策略架构行动计划等 IP地址是互联网的基石信息恶意IP是指该IP地址被监控发现和某些恶意行为有关例如拒绝服务攻击入侵扫描发送垃圾邮件等等这些IP地址往往是某些僵尸网络和犯罪团伙的成员数万数十万IP节点构成的大型僵尸网络不仅仅对大部分互联网业务具备摧毁性的破坏力量并且可以完成各种复杂的协同性攻击入侵行为在人工智能和机器学习的语境下攻防双方将会展开新层面的情报和反情报欺骗和反欺骗的对抗掌握互联网范围的恶意IP的分布演化动态特点对于关键基础设施和大型组织的安全防护非常重要绿盟科技威胁情报中心1的监测数据表明全球60%的恶意IP集中在GDP排名前十的国家中其中以美国中国印度日本为恶意IP占比最高的四个国家另一方面恶意IP地址占比即恶意IP数和该国家总IP地址数的比例和国家人均GDP展现出相当明显的线性关系也即发达国家的互联网环境比发展中国家更为安全和犯罪率类似恶意IP率将会成为一个国家地区运营商重要的治理和运营指标 [1] 绿盟科技威胁情报中心 2

7 2017 上半年网络安全观察 Gartner在其今年的华盛顿安全峰会上分享的数据表明今年来每年新出现的恶意软件已经达到令人惊讶的三亿多个但这么多恶意软件所利用的漏洞却集中在几十个上面我们上半年的监控数据表明 TOP10漏洞的利用占到了检测到的所有漏洞利用次数的50.8% 而WannaCry Petya NotPetya勒索事件三连发使得方程式漏洞利用的次数呈现爆发态势 Struts2依靠连续5个漏洞成为今年上半年的一个焦点在S2-045爆发的一周内绿盟科技威胁情报中心监测到19,396次针对该漏洞的攻击尝试针对Struts2利用的攻击次数超过所有框架及应用漏洞攻击总次数的80% 当有关键业务运行于Struts2框架之上时 24x7的漏洞监视小时级的通报响应机制变得尤其重要反射放大型攻击依然占据了拒绝服务攻击类型的主流位置反射放大器成为网络生态中的不定时炸弹成为攻击者手中低成本低风险的强大火力本文呼吁基础设施运营商和监管治理执法机构有必要以治理垃圾邮件的力度来治理反射放大器勒索软件成本低收效快 ARPU值高风险小的特点使其在黑产中增长迅猛而勒索软件的持续爆发又似乎是比特币价格上涨的战鼓一年内比特币的价格从650美元飙升到2654美元值得关注的是勒索者展现出灵活的商业应变能力按照文件数量受害者所在地区的消费水平提供不同层次的价格套餐并且有详细的指引步骤对受害者十分友好随着物联网智能汽车智能家居智慧城市等的快速推进勒索软件及其各种不同形式例如DDoS 勒索数据库勒索等将会持续成为安全团队的攻防焦点以及媒体的曝光焦点知己知彼百战不殆已经成为全球网络安全产业界的新座右铭威胁情报也成为安全防护各个环节中不可或缺的基础性能力 3

8 02. 攻击源概览

2017 上半年网络安全观察图 2-1 攻击源国家地区分布图数据来源绿盟科技威胁情报中心 NTI 2017年上半年绿盟科技威胁情报中心监控的数据显示全球60%的恶意IP集中在GDP排名前十的国家中其中以美国中国印度日本为恶意IP占比最高的四个国家国家表 2-1

9 2017 上半年网络安全观察图 2-1 攻击源国家地区分布图数据来源绿盟科技威胁情报中心 NTI 2017年上半年绿盟科技威胁情报中心监控的数据显示全球60%的恶意IP集中在GDP排名前十的国家中其中以美国中国印度日本为恶意IP占比最高的四个国家国家表 2-1 恶意IP在GDP排名前10的国家分布 GDP排名在所有恶意IP中的占比 % 美国 1 日本 3 英国 % 印度 % 巴西 % 中国德国法国意大利加拿大数据来源绿盟科技威胁情报中心 NTI % 4.18% 1.57% 0.80% 0.69% 0.92% 5

10 攻击源概览该国家的恶意IP在全球恶意IP中的占比图 2-2 恶意IP在GDP排名前十国家中的分布 25% 20% 15% 10% 5% 0% 美国中国数据来源绿盟科技威胁情报中心 NTI 6 日本德国英国法国印度意大利巴西加拿大

11 03. 漏洞观察

12 漏洞观察在网络安全领域漏洞发现和利用始终是安全团队至关重要的研究方向绿盟科技威胁情报中心对各大厂商和流行的开源产品漏洞情况进行了密切监控和分析发现如下 1. 近年来每年新公开的漏洞数量均呈上升趋势仅2017年上半年新公开的漏洞总数已达4144个从增速来看权限特权与访问控制类漏洞 CWE-264 逐年上升尤其在2016年以后该类型的漏洞增长更为快速从漏洞风险等级分类来看高危漏洞的占比下降中危漏洞占比上升从危害来看缓冲区溢出类漏洞 CWE-119 从2015年开始增速加快此种类型的漏洞由于能够造成拒绝服务代码远程执行等攻击效果会对业务系统产生很大的危害因此备受攻击者青睐年上半年漏洞总体数量明显高于往年同期水平与去年同期相比增长率高达50% 尤其是中危漏洞的数量增长最为快速上半年中权限特权与访问控制类漏洞 CWE-264 数量最多增速也最快年上半年热度最高最值得关注的漏洞为 1 Struts2依靠连续5个漏洞 S2-045 S2-049 成为今年上半年的一个焦点在S2-045爆发的一周内绿盟科技威胁情报中心监测到19,396次针对该漏洞的攻击尝试 2 Windows SMB 远程代码执行漏洞 MS 因方程式组织的利用而成为今年上半年的另一个焦点 5月席卷全球的WannaCry勒索软件利用此漏洞进行大量传播 4. 虽然每年被公开的漏洞数量众多但被大规模利用的漏洞其实非常有限且很多被利用的漏洞已有官方补丁说明机构和个人及时更新官方补丁的安全意识还有待提高 3.1 漏洞发展趋势近三年来每年新公开的漏洞数量均呈上升趋势 2017年上半年新公开漏洞数量大幅度上升与2016年同期相比增长率高达50% 2017年1-6月新公开漏洞总数达到4144个其中高危漏洞2561个中危漏洞1254个低危漏洞329个从总数上看涨幅最大的是中危漏洞从比例上来看高危漏洞的占比下降中危漏洞占比上升 8

13 2017 上半年网络安全观察图 ~ 2017 同期漏洞数量变化趋势高危漏洞漏洞数量个 3000 中危漏洞低危漏洞上半年 2015 上半年 2016 上半年 2017 上半年数据来源绿盟科技威胁情报中心 NTI 2017年上半年从总体数量来看权限特权与访问控制类漏洞 CWE-264 数量最多主要以中高危漏洞组成其次是缓冲区溢出类漏洞 CWE-119 该部分漏洞中高危漏洞占比超过55.7% 此外XSS漏洞 CWE-79 CSRF漏洞 CWE-352 SQL注入漏洞 CWE-89 路径遍历漏洞 CWE-22 密码学安全问题 CWE-310 也是今年漏洞数量最为集中的类别图 3-2 热门漏洞类型及漏洞数量分布高危漏洞中危漏洞低危漏洞 CWE-310 CWE-22 漏洞类型 CWE-89 CWE-352 CWE-79 CWE-119 CWE 漏洞数量个数据来源绿盟科技威胁情报中心 NTI 9

14 漏洞观察近年来数量增长TOP3的漏洞类型为权限特权与访问控制类漏洞 CWE-264 缓冲区溢出漏洞(CWE-119) 和跨站脚本漏洞 CWE-79 其他类型的漏洞数量增速不大权限特权与访问控制类漏洞 CWE-264 增速最快尤其是2016年之后数量显著增长缓冲区溢出漏洞 (CWE-119)从2015年开始增速也开始加快此种类型的漏洞由于能够造成拒绝服务代码远程执行等攻击效果会对业务系统产生很大的危害因此也备受攻击者青睐图 ~ 2017 各大类型漏洞数量变化趋势 1400 CWE-264 CWE-119 CWE-79 CWE-352 CWE-89 CWE-22 CWE 漏洞数量个上半年 2015 上半年 2016 上半年 2017 上半年数据来源绿盟科技威胁情报中心 NTI 漏洞分类简介表 3-1 CWE漏洞分类中英文名称对照2 漏洞分类ID 漏洞分类中文漏洞分类英文 CWE 权限特权与访问控制 Permissions, Privileges, and Access Control CWE 缓冲区溢出内存缓冲区边界内操作的限制不恰当 Buffer Errors CWE - 79 跨站脚本 Cross-Site Scripting (XSS) CWE - 89 SQL注入 SQL Injection CWE -352 跨站请求伪造 Cross-Site Request Forgery (CSRF) CWE - 22 路径遍历 Path Traversal CWE -310 密码学安全问题 Cryptographic Issues [2] CWE是一种对漏洞类型的标准描述相关介绍请参考

15 2017 上半年网络安全观察 3.2 漏洞攻击及利用从监控数据中发现很多公布时间较早的漏洞仍然活跃最早的漏洞甚至可以追溯到2002年 CVE 大部分的漏洞利用集中在少数几个知名且影响度较高的漏洞上 Gartner在其今年的华盛顿安全峰会3上分享的数据表明尽管每年新出现的恶意软件已经达到令人惊讶的三亿多个但这些恶意软件所利用的漏洞却集中在几十个上面这和我们监控到的数据是一致的该情况表明机构和个人用户在漏洞修补中应该采取一定的优先措施及时修补那些高危且容易被攻击和利用的漏洞表 3-2 监控中TOP10漏洞利用及攻击占比漏洞名称和编号漏洞利用占比 Microsoft Windows ASP.NET拒绝服务攻击(CVE ) 12.10% Microsoft SQL Server 2000 Resolution服务远程堆破坏拒绝服务攻击 CVE % Microsoft Network Policy Server RADIUS拒绝服务漏洞(CVE )(MS16-021) 8.30% Microsoft Internet Explorer ASLR安全限制绕过漏洞(CVE )(MS15-009) 3.80% OpenSSl SSLv2弱加密通信方式易受DROWN攻击(CVE ) 3.50% Apache Struts远程命令执行漏洞 s % Microsoft mshtml.dll库gif图象处理远程拒绝服务漏洞 MS % Struts2远程命令执行漏洞(s2-045)(s2-046)(CVE ) 2.70% Squid Proxy DNS域名解析器远程拒绝服务漏洞(CVE ) 2.70% GNU Bash 环境变量远程命令执行漏洞(CVE ) 2.50% 数据来源绿盟科技威胁情报中心 NTI 3.3 热点漏洞监控今年4月 Shadow Brokers 组织公布了此前窃取的部分方程式组织 Equation Group 的机密文件这部分被公开的文件曾经被Shadow Brokers组织以数亿美金拍卖因为这部分文件包含了数个令人震撼的黑客工具用来攻击包括 Windows 在内的多个系统漏洞此次泄漏的文件包括三部分 Windows Swift 以及 Odd 其中 Windows 目录下的黑客工具包含了IIS 6.0 远程漏洞的利用 SMB1的重量级利用可以用来攻击开放了445端口的Windows系统并且提权 RDP服务远程漏洞的利用可以攻击开放了3389端口的Windows机器等等开放了等端口的 Windows服务器有很大概率受到攻击上半年曝光的漏洞相关信息以及影响的产品如下表漏洞编号表 3-3 方程式组织 Equation Group 泄露的漏洞利用4 漏洞来源影响产品 CVE Vault 7 Cisco Cluster Management Protocol CVE ETERNALBLUE SMBV1 Server CVE ETERNALBLUE SMBV1 Server CVE ETERNALBLUE SMBV1 Server [3] LawsonCraig. (2017). To the Point:Doing the Simple Things Well Means the Hard. Garner安全峰会, (页 11-15). 11

16 漏洞观察表 3-3续方程式组织 Equation Group 泄露的漏洞利用4 漏洞编号漏洞来源影响产品 CVE ETERNALBLUE SMBV1 Server CVE ETERNALBLUE SMBV1 Server CVE ETERNALBLUE SMBV1 Server CVE ENGLISHMANSDENTIST OLE CVE ESTEEMAUDIT RDP CVE EXPLODINGCAN IIS6.0 数据来源绿盟科技威胁情报中心 NTI 从绿盟科技威胁情报中心监测到的攻击情况来看 5-6月利用方程式漏洞进行的攻击次数呈现爆发态势我们认为这与WannaCry和NotPetya勒索蠕虫的传播有着直接的关系图 3-4 方程式组织 Equation Group 泄露的相关漏洞告警 10w 告警数量次 8w 6w 4w 2w 0 1月 2月 3月 4月 5月 6月数据来源绿盟科技威胁情报中心 NTI [4] 备注 ETERNALBLUE ENGLISHMANSDENTIST ESTEEMAUDIT EXPLODINGCAN是方程式组织 Equation Group 开发的工具包名称 12

17 04. 网站安全观察

18 网站安全观察从绿盟科技对网站安全的的防护监测中我们得出下述四个关键发现网站攻击非常活跃 SQL注入仍是最常见的攻击手段 Web服务器中针对老旧漏洞的攻击占据80%以上的攻击次数 Struts2代码执行漏洞仍居Web框架和应用的漏洞首位这些关键发现的具体内容如下 4.1 网站攻击分布从2017年上半年网站安全态势的监控数据来看针对网站的攻击是非常活跃的主要的攻击手段包括SQL注入已知漏洞利用路径穿越跨站脚本非法上传远程命令执行等从监控的网站分布来看 82%的网站都遭遇过不同程度的网络攻击 79.3%的网站遭遇过针对已知的Web漏洞的攻击 45.9%和44.3%的网站分别遭遇过路径穿越攻击和SQL注入攻击具体分布见图 4-1 图年上半年网站受攻击情况分布图攻击站点任意类型Web攻击 82% 已知Web漏洞攻击 79.3% 路径穿越攻击 45.9% SQL注入攻击 44.3% 18% 20.7% 54.1% 55.7% 非法上传 37.8% 62.2% 恶意扫描 37.7% 62.3% XSS跨站脚本攻击远程命令执行攻击 27.4% 22.4% 数据来源绿盟科技可管理安全服务 MSS 14 未被攻击站点 72.6% 77.6%

19 2017 上半年网络安全观察我们发现攻击者的攻击集中在几个最常用的漏洞和探测方式上这个现象与Web攻击本身的特点有密切关系一方面Web攻击的难度和成本较低另一方面基础的攻击手法和漏洞利用已经固化和集成到一些流行的攻击工具中例如中国菜刀 sqlmap等上述因素使得Web攻击入侵尝试变得非常容易网站Web服务对于攻击者来说是很重要的攻击目标提供网站服务的主机需要架设基础的Web服务系统组件并且往往有一套运行在这个服务之上的各类Web应用程序复杂的软件架构极易导致出现各种漏洞同时网站间技术同质化程度很高导致每一种攻击手段都会批量地影响全球的网站服务对于新增的漏洞网络上的脚本小子们会第一时间通过Google等搜索引擎进行批量的匹配和尝试在很短的时间内就可以获取到数量可观的webshell 加之现在有了类似Shodan这类开放的全网扫描引擎攻击者针对Web服务漏洞可以更快地展开针对的攻击行动以最流行的Java Web服务器框架之一Apache Struts2为例短短半年时间就曝出5个漏洞 S2-045 S2-049 影响了Struts2.3到Struts2.5的广大版本其中以3月份爆发的S2-045 CVE 最为严重在这个漏洞中 Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞攻击者可以在使用该插件上传文件时修改 HTTP请求头中的 Content-Type 值来触发该漏洞导致远程执行代码从该漏洞爆发时的监控数据来看全球范围部署有大量的包含该漏洞的Web站点其中以美国中国日本欧洲等经济发达地区最为普遍根据受监控网站的数据见图4-2 在漏洞发布的一周内共发生19,396次针对该漏洞的攻击尝试平均每天2,771次其中以3月10日为攻击高发期共发生8,925次我们甚至发现有攻击者利用S2-045漏洞进行勒索获益可能超过84BTC ($100,000) 图 4-2 Struts2 S2-045 爆发一周内受监控网站遭受攻击情况攻击告警次数次数据来源绿盟科技可管理安全服务 MSS 15

20 网站安全观察 4.2 Web攻击类型分布从攻击类型来看 SQL注入仍然是最常见的攻击手段占总攻击量的40.8% SQL注入攻击虽然历史悠久但仍然是最常用也是最容易的攻击手段图年上半年Web攻击类型分布情况 SQL注入攻击 40.8% 已知Web漏洞攻击 24.3% 路径穿越攻击 9.9% XSS跨站脚本攻击 8.0% 恶意扫描非法上传命令注入攻击 4.7% 1.6% 0.7% 其他 10% 数据来源绿盟科技可管理安全服务 MSS 4.3 Web漏洞利用情况从漏洞利用的角度看在各种扫描和利用尝试中占比高的还是很早前公布的老旧漏洞其中利用占比Top10的漏洞就占了总攻击的60%以上该情况再次印证了前述我们提到的需要建立漏洞补丁修补优先级别的重要性漏洞名称 16 表 4-1 被攻击的web服务器漏洞TOP10 发布时间攻击比例 Tomcat目录遍历漏洞 CVE 年 21.70% IIS文件上传漏洞 CVE ,CVE 年 13.90% lighttpd 源代码暴露漏洞(CVE ) 2006 年 6.00% nginx 文件遍历漏洞 CVE ) 2009 年 5.40% IIS CGI程序名解析错误导致文件执行漏洞 CVE 年 5.40% IIS文件扩展名解析错误导致ASP代码泄露(CVE ) 1999 年 2.60%

21 2017 上半年网络安全观察漏洞名称表 4-1续被攻击的web服务器漏洞TOP10 发布时间攻击比例 Tomcat目录遍历漏洞 CVE 年 2.40% Apache头部数据长度异常导致服务器资源耗尽(CVE ) 2011 年 2.10% IIS脚本文件名解析漏洞 CVE 年 1.80% IIS中Unicode字符解码错误导致远程命令执行 CVE 年 1.50% 数据来源绿盟科技可管理安全服务 MSS 在针对Web框架或者应用的漏洞中 Struts2代码执行漏洞的利用仍然高居漏洞榜首占据超过所有框架及应用漏洞攻击次数的80% 这些漏洞包括漏洞名称发布时间攻击比例 Struts2远程命令执行(CVE ) 2013 年 48.70% Struts2远程命令执行(CVE ) 2013 年 26.90% Struts2 Jakata插件远程命令执行(CVE ) 2017 年 5.90% Struts2 ClassLoader操作漏洞(CVE ) 2014 年 2.90% Struts2恶意Ognl表达式导致远程代码执行 CVE 年 2.70% Struts2 REST插件远程代码执行漏洞 CVE 年 2.40% 漏洞名称发布时间攻击比例 ElasticSearch 沙盒绕过导致远程代码执行(CVE ) 2015 年 2.70% PHPCMS2008 pagesize参数校验不严导致命令注入 2011 年 2.00% ThinkPHP lite模式下任意代码执行漏洞 2013 年 1.20% DedeCMS 5.7版本SQL注入漏洞 2013 年 0.60% Phpcms V9.1.9及以下版本的plugin.php对传入的id参数检查不严密造成本地文件包含漏洞 2013 年 0.20% PHPCMS V9版本任意文件读取漏洞 2012 年 0.10% 数据来源绿盟科技可管理安全服务 MSS 此外下面几个漏洞也是利用率较高的网站应用漏洞数据来源绿盟科技可管理安全服务 MSS 17

22 05. DDoS观察

23 2017 上半年网络安全观察 5.1 DDoS攻击总次数和攻击总流量 2017年上半年我们监控到DDoS攻击约10万次相比2016年下半年下降30% 攻击总流量约1.6万TBytes 相比 2016年下半年下降38.4% 我们认为这与今年年初开始反射攻击活动减少有关 2017上半年相比2016年整体攻击趋势放缓 2017 Q2季度有回升的趋势 Q2季度环比Q1季度总攻击次数增长 39.3% 总流量增长10.3% 这符合以往的年初DDoS攻击放缓年中攻击活跃的趋势图 5-1 各月份攻击次数和流量图攻击次数次 1月 2月 2017 Q1 3月 4月 5月 2017 Q2 攻击总流量 TBytes 6月数据来源绿盟科技全球DDoS态势感知系统 ATM 5.2 DDoS各攻击类型次数和流量占比 2017上半年 Top 3 按攻击次数统计 DDoS攻击类型分别为NTP Reﬂection Flood SSDP Reﬂection Flood和 CHARGEN Reﬂection Flood 均为反射类型 Top 3合计占比达 81.7% 但反射攻击整体活动有所放缓详见报告具体分析从各类攻击流量大小占比来看 SYN Flood和UDP Flood依然是流量最大的两种攻击类型 SYN Flood流量占比达 56% UDP Flood流量占比为23.3% 与2016年相比 SYN Flood流量占比明显增多上升7个百分点 UDP Flood流量占比明显减少下降6.3个百分点这一趋势在大流量攻击中体现尤其明显详见报告具体分析 19

24 DDoS观察图 5-2 按DDoS攻击总次数/总流量统计各类型占比图次数占比流量占比 SYN Flood ACK Flood UDP Flood NTP Reﬂection Flood 46.7% CHARGEN Reﬂection Flood 15.3% SSDP Reﬂection Flood NTP Reﬂection Flood DNS Request Flood UDP Flood 23.3% SSDP Reﬂection Flood 19.7% SYN Flood 56.0% ACK Flood 6.9% 数据来源绿盟科技全球DDoS态势感知系统 ATM 5.3 DDoS攻击持续时间占比 2017上半年长时攻击增多短时攻击略有下降但仍然占主导地位攻击时长在30分钟以内的DDoS攻击占全部攻击的一半以上占53.5% 相比2016下半年下降8.9个百分点攻击时长超过3小时的攻击呈增长趋势总体占比 33% 相比2016下半年增长5.7个百分点图 5-3 攻击持续时间占比图 0~30min 30~60min 1~3h 3~6h 6~12h 12~24h 24h+ 11.8% 9.3% 5.7% 0~30min,53.5% 6.3% 8.8% 4.7% 数据来源绿盟科技全球DDoS态势感知系统 ATM 20 0~5min, 31.6% 5~10min, 10.4% 10~30min, 11.6%

2017 上半年网络安全观察 5.4 全球DDoS攻击源国家分布 2017上半年中国依然是DDoS攻击受控攻击源最多的国家发起攻击次数占全部的46.6% 其次是美国和俄罗斯分别占3.0%和2.0% 图 5-4 全球DDoS攻击源国家分布图及TOP 10 源国家占比美国 3.0% 中国俄罗斯加拿大日本德国英国荷兰巴西韩国其它 46.6% 2.0% 1.9% 1.

25 2017 上半年网络安全观察 5.4 全球DDoS攻击源国家分布 2017上半年中国依然是DDoS攻击受控攻击源最多的国家发起攻击次数占全部的46.6% 其次是美国和俄罗斯分别占3.0%和2.0% 图 5-4 全球DDoS攻击源国家分布图及TOP 10 源国家占比美国 3.0% 中国俄罗斯加拿大日本德国英国荷兰巴西韩国其它 46.6% 2.0% 1.9% 1.9% 1.8% 1.7% 1.6% 1.5% 1.5% 36.5% 数据来源绿盟科技全球DDoS态势感知系统 ATM 5.5 全球DDoS攻击目标国家分布 2017上半年受攻击最严重的国家是中国攻击次数占全部被攻击国家的64.6% 其次是美国和加拿大分别占 18.1% 2.5% 图 5-5 全球DDos攻击目标国家分布图及TOP 10 目标国家占比美国 18.1% 中国加拿大法国英国巴西亚太地区德国日本沙特阿拉伯其它 64.6% 2.5% 1.9% 1.3% 1.0% 0.9% 0.8% 0.7% 0.7% 7.5% 数据来源绿盟科技全球DDoS态势感知系统 ATM 更多精彩内容和分析请见即将发布的 NSFOCUS 2017 H1 DDoS与Web应用攻击态势报告敬请期待 21

26 06. 勒索事件

27 2017 上半年网络安全观察网络勒索是2017年上半年最为火热的网络犯罪活动根据对各种勒索活动的监测和分析有如下发现勒索软件数量持续增长技术能力提升明显勒索软件趋向于利用系统漏洞进行自动传播针对Mac和Linux的漏洞开始频繁出现勒索软件产业日趋成熟威胁将长期存在 DDoS勒索和数据库勒索频繁出现或将成为新的热点 6.1 勒索软件从技术上看勒索软件本身并不新颖但由于其加密行为可导致数据丢失和关键服务失效受害者承受的后果更为严重使其成为当前广大网民和安全行业最为关注的网络犯罪行为 2017年上半年不仅出现了WannaCry Petya/NotPetya等严重的勒索事件新增勒索软件的数量也明显上升截止6月30日共新增勒索软件649个分布见图6-1 几乎每周都有多起勒索软件的报道出现主要勒索软件出现情况见图6-2 其中部分为之前勒索软件的升级版本或者经过简单重组的版本部分却利用了新的技术进行了全新的开发月 2月 3月 4月 5月 6月勒索软件新闻报道次数次勒索软件数量个图上半年勒索软件数量和新闻热度趋势图勒索软件数量趋势 800w 600w 400w 200w 0 1月 2月 3月 4月 5月 6月勒索软件新闻热度趋势数据来源绿盟科技威胁情报中心 NTI 针对2017年上半年出现的勒索软件进行技术分析我们发现为逃避检测曾经流行过的勒索软件正在不断升级以变种的新形式出现在网络中开源勒索软件的出现使得勒索软件开发变得更加容易勒索软件编写质量和加密机制日趋成熟软件存在设计上的缺陷明显减少被破解解密的可能性变得越来越小从软件逆向分析结果上看有的恶意软件根本不具备解密能力即使受害者按照要求支付了赎金也无法解密数据这类软件往往伪装成勒索软件实际上却擦除或者不可逆的破坏了用户的文件而且还可能开出一个高得离谱的赎金来恐吓受害者 23

28 勒索事件 Potato 图年上半年主要勒索软件报道时序图 Cerber Variant LLTP Satan Mongo 勒索 Locy Bart Mac Ransom 1月 Kirk 2月 Charger Spora Netix XData Matrix3.0 3月 Mac OS fake patcher JAFF WannaCry 4月 Mole Sage v Philadelphia Sorebrect Erebus 5月 6月 Uiwix SLocker Variant NotPetya 数据来源绿盟科技威胁情报中心 NTI 从传播方式角度看大部分勒索软件通过邮件附件网页挂马的方式诱骗用户进行触发操作但也开始出现高级勒索软件会对Oﬃce Adobe 本地提权等漏洞进行利用也会使用弱密码及其他远程执行漏洞进行传播这类勒索软件对企业和普通用户来说是更为严重的危害最为瞩目的WannaCry和Petya/NotPetya两款勒索软件就在蠕虫中使用了微软SMB中存在的漏洞进行传播一时间导致全球范围内数以万计的主机被感染同时使用洋葱路由作为通信保护成为勒索软件常见的技术手段图 6-3 勒索服务购买单价排名 $1,200 $1,000 $800 $600 $400 $200 $0 Ranion 数据来源 BleepingComputer Philadelphia SerbRansom [5] 备注图中时间坐标指勒索软件在新闻报道中出现的时间而非该勒索软件首次被发现的时间 24 Karmen TeslaWare

29 2017 上半年网络安全观察从勒索对象看目前勒索软件主要针对Windows用户但是针对Mac和Linux用户的勒索软件也开始频繁出现其中包括Android Charger SLocker Lockdroid Netix MacRansom Erebus KillDisk等值得引起注意的是从观察到的售卖情况来看其已经形成了某种黑产商业通过售卖短期永久的证书提供 Ransomware as a Service 售卖者通过收取一次性购买款或者提成的方式盈利甚至有的勒索软件还制作了非常详尽的宣传广告提供不同版本不同价位的勒索服务其中最便宜的商用Ransomeware仅售$60 很多脚本小子只需要通过一个生成器进行简单的配置就可以产生不同版本的勒索程序然后结合传统的邮件挂马诱骗下载等方式进行扩散比特币产业的成熟也是助推勒索软件兴起的原因之一匿名的特性使其成为最受勒索者青睐的支付方式通过比特币的汇率换算受害者需要为每台主机向勒索者支付几十到上千美元不等的赎金一个高级的勒索病毒能够迫使一个企业向黑客支付几十万到上百万的赎金对于黑产来说可以获得极大的现金回报据观察发现大部分勒索软件的赎金在$100-$500美元之间但也有要价较高的例如Sage Kirf Jaﬀ Cerber等赎金都超过1000美元其中Jaﬀ甚至高达$3700美元从媒体中曝光的企业来看企业需要交纳的总金额最高达到1百万美元韩国Nayana公司勒索软件提供更加人性化的服务按照文件数量受害者所在地区的消费水平提供不同层次的价格套餐并且有详细的指引步骤对受害者十分友好由此看勒索软件成本低收效快风险小的特点使其在黑产中增长迅猛用户受到勒索的概率将会越来越高产业化的发展趋势不难预测勒索软件必将是未来一段时期内的主要网络犯罪活动之一图上半年新增勒索软件赎金支付单价排名 $4,000 $3,500 $3,000 $2,500 $2.000 $1,500 $1,000 na -C ry pt us Er eb N la W ar e LL TP et ix Dy M 数据来源 BleepingComputer Te s tl oc Sa ge To r re n Ja ﬀ $0 ke ac r Ra ns Se om rb Ra ns om N ot Pe ty a W an na Cr y Vi rl oc M ac ke O r S Pa tc he M r on go 勒索 $500 25

30 勒索事件 6.2 DDoS勒索 DDoS攻击是当前另一种主要的勒索变现的手法主要通过对受害者的网络服务进行DDoS攻击来勒索赎金除了部分勒索软件集成的DDoS攻击功能例如FireCrypt 更多的是通过僵尸网络对勒索对象进行DDos攻击例如 Mirai Imeij Hajime DeltaCharlie Necurs Amnesia Rakos等由于目前基于僵尸网络发动DDoS攻击的黑色产业已经比较成熟且已存在DDoS as a Service的购买模式为DDoS勒索营造出日趋完善的商业模式发动一次攻击非常方便且廉价可以预见DDoS勒索还将有进一步发展的趋势下面梳理了2017年上半年发生的重大的DDoS勒索事件时间 DDoS勒索事件 Lloyds Banking Group 收到一封要价100比特币 75,000 / $94,000 的DDoS勒索 XMR组织发动一起针对德国企业的DDoS攻击并向受害者收取 250 ($275) 测试费用继Nayana遭到勒索之后自称 Armada Collective 的黑客向多家银行收到勒索信息要求支付$315,000来避免遭受DDoS攻击数据来源绿盟科技威胁情报中心 NTI 6.3 数据库勒索很多数据库的读取接口直接暴露在互联网上并且没有设置完整的访问控制策略通过弱密码甚至空密码就可以直接获取数据库的控制权限数据库勒索主要通过黑客手段获取数据库控制权加密或破坏数据以此要挟受害者支付赎金今年年初数据库勒索一度成为一个热门的话题时间数据库勒索事件名为 Harak1r1 的黑客通过没有未经严格配置的MongoDB窃取并替换库中数据并要求受害者支付0.2比特币约$200 刚开始仅仅是一个小的突发事件但是随后更多的攻击者参与进来其中包括一个专门进行勒索的组织Kraken 从公开信息上看该组织至少成功攻击了21600个数据库获利超过$7700 截止1月15日据不完全统计超过32380个数据库 21个黑客组织参与此次勒索据观察事发时暴露在互联网上的MongoDB数据库共计1,994,422个地域分布见图 6-5 如此大量的设备为此类攻击提供了巨大的空间继MongoDB事件之后 ElasticSearch服务器也成为了黑客攻击的目标攻击者在攻击中向受害者收取0.2BTC 约$ CouchDB与Hadoop相继也出现数据被删除的受害事件白帽黑客发现暴露在互联网上的Cassandra数据库也可以成为攻击目标 MySQL数据库遭遇到勒索事件攻击者要求支付0.2BTC 数据来源绿盟科技威胁情报中心 NTI 26

31 2017 上半年网络安全观察图年1月互联网暴露的Mongo数据库分布图数据来源绿盟科技威胁情报中心 NTI 27

32 07. 热门事件监控

33 2017 上半年网络安全观察 2017年上半年信息窃取与泄露事件频发热门事件监控如下时间事件 2017年2月一种新 Android 银行木马 Marcher 出现通过短信或彩信进行网络钓鱼攻击诱骗用户下载恶意软件获取权限收集数十家银行账户数据重要的是国内外二十多款杀毒软件拿它没办法无法查杀卸载 2017年3月国外安全团队发现了Dridex银行木马的升级版本该版本被称为Dridexv4 2017年4月英国知名的发薪日贷款 Payday Loan 公司确定遭遇数据泄露之后发表声明通知客户联系银行 2017年4月卡巴斯基发现新型ATM恶意软件 ATMitch 2017年5月银行木马 TrickBot 推动了新一轮网络攻击瞄准英国澳大利亚与德国的私人银行私人财富管理企业投资银行养老保险与年金管理机构 2017年5月一个称为 Cron 的组织通过恶意软件Cron感染了俄罗斯100多万部 Android 手机并盗取了银行客户超过5000多万卢布约合人民币609万 2017年5月德国的O2-Telefonica公司通过南德意志报证实其公司的部分客户遭受到利用 SS7漏洞的网络劫持者攻击攻击者利用7号信令 SS7 中的漏洞从德国银行偷取钱财 2017年6月安全研究员发现了一款名为 Rufus 的ATM恶意软件 2017年6月印度外包公司塔塔 Tata 的工作人员将一大批金融机构的源代码和内部文件上传到了GitHub的公共代码库上造成代码泄露 2017年6月 McAfee Labs 安全研究人员发现一款新型银行恶意软件Pinkslipbot 又名 QakBot/ QBot 可使用复杂多级代理通过 HTTPS 控制服务器通信数据来源绿盟科技威胁情报中心 NTI 29

34 总结网络安全归根也是一种社会经济活动随着我国互联网应用和用户的日益增加网络通信设施的改善以及GDP的增长我国已成为全球主要的网络攻击源头和被攻击的对象因此机构和个人需要提高警惕增加安全投入提升安全防护水平和能力在网络安全建设中攻击者总是不断的寻找低难度高回报的攻击目标而互联网上那些开放的应用服务缺省配置缺少防护措施的节点如同一座座不设防的城市首当其冲地被攻击者捕获而成为帮凶在攻击中那些少数能够造成严重危害且攻击成本较低的高危漏洞以及常规的攻击技术手段往往得到攻击者青睐针对这样的情况机构和个人需要对安全威胁进行评估识别并跟踪关键资产的运行状态分析判断漏洞修补的优先和重要级别并采取适当的手段以获得防御的优势此外一些IT新技术和新业务的应用与开展在某种程度上也为攻击者提供一定的便利网络勒索正是这样的一个体现并且渐渐成为一种新的安全威胁趋势因此机构和个人有必要增强安全意识增加对未知威胁的识别检测和防御能力以应对此类威胁总体而言网络安全是一个攻防博弈动态发展变化的过程而威胁情报可以帮助安全团队有针对性的制定安全防护策略和执行计划缩减暴露时间窗口最大化防御方的投入回报在此过程中绿盟科技愿意携手包括监管治理机构安全界厂商组织和企业用户及个人在内的社会各界资源共同应对网络威胁构建一个安全的网络空间

关于绿盟科技北京神州绿盟信息安全科技股份有限公司 ( 简称绿盟科技 ) 成立于 2000 年 4 月, 总部位于北京在国内外设有 30 多个分支机构, 为政府运营商金融能源互联网以及教育医疗等行业用户, 提供具有核心竞争力的安全产品及解决方案, 帮助客户实现业务的安全顺畅运行基于多年

关于绿盟科技北京神州绿盟信息安全科技股份有限公司 ( 简称绿盟科技 ) 成立于 2000 年 4 月, 总部位于北京在国内外设有 30 多个分支机构, 为政府运营商金融能源互联网以及教育医疗等行业用户, 提供具有核心竞争力的安全产品及解决方案, 帮助客户实现业务的安全顺畅运行基于多年 2017 上半年 DDoS 与态势报告 Web 应用攻击 Web 应用攻击 DDoS 攻击绿盟科技官方微信 2017 绿盟科技关于绿盟科技北京神州绿盟信息安全科技股份有限公司 ( 简称绿盟科技 ) 成立于 2000 年 4 月, 总部位于北京在国内外设有 30 多个分支机构, 为政府运营商金融能源互联网以及教育医疗等行业用户, 提供具有核心竞争力的安全产品及解决方案, 帮助客户实现业务的安全顺畅运行