2019年3月，互聯(lián)網(wǎng)網(wǎng)絡(luò )安全狀況整體指標平穩，但有幾個(gè)特征值得關(guān)注。一方面，是勒索病毒依然猖獗，深信服安全云腦監測到Globelmposter、GandCrab、Crysis等病毒活躍熱度居高不下，變種層出不窮，近期出現Globelmposter 4.0、GandCrab 5.2等勒索變種。用戶(hù)一旦遭受勒索病毒攻擊，絕大多數文件將被加密，且大多暫時(shí)無(wú)法解密，造成無(wú)法估量的損失；另一方面，APT（高級持續性威脅）活躍程度在3月有所增加，針對性攻擊更加明顯，各廠(chǎng)商也在密切關(guān)注，攻防博弈戰激烈上演。此外，監測數據顯示，網(wǎng)站攻擊數量在3月持續放緩，但網(wǎng)站漏洞問(wèn)題依然嚴峻。

　　2019年3月，病毒攻擊的態(tài)勢與2月相比有所上升，病毒攔截量比2月份上升近16%，近半年攔截惡意程序數量趨勢如下圖所示：

　　近半年惡意程序攔截趨勢

　　2019年3月，深信服安全云腦檢測到的活躍惡意程序樣本有24439個(gè)，其中木馬遠控病毒7539個(gè)，占比30.85%，感染型病毒4134個(gè)，占比16.92%，蠕蟲(chóng)病毒2631個(gè)，占比10.77%，挖礦病毒246個(gè)，占比1.01%，勒索病毒188個(gè)，占比0.77%。

　　3月總計攔截惡意程序16.31億次，其中挖礦病毒的攔截量占比60.24%，其次是感染型病毒（16.4%）、木馬遠控病毒（12.29%）、蠕蟲(chóng)病毒（6.71%）、后門(mén)軟件（3.01%）、勒索病毒（1.21%）。

　　2019年3月惡意程序攔截類(lèi)型分布

　　2019年3月，共攔截活躍勒索病毒1967萬(wàn)次。其中，WannaCry、Razy、Gandcrab、Revenge、Locky、Teslacrypt、Mamba、Badrabbit、Cerber、Cryptowall、Matrix、Paradise、Torrentlocker依然是最活躍的勒索病毒家族，其中WannaCry家族本月攔截數量有1084萬(wàn)次，危害依然較大。

　　從勒索病毒傾向的行業(yè)來(lái)看，企業(yè)和教育感染病毒數量占總體的51%，是黑客最主要的攻擊對象。具體活躍病毒行業(yè)分布如下圖所示：

　　2019年3月勒索病毒感染行業(yè)分布

　　從勒索病毒受災地域上看，廣東地區受感染情況最為嚴重，其次是浙江省和江蘇省。

　　2019年3月勒索病毒活躍地區TOP10

　　2019年3月，深信服安全云腦在全國共攔截挖礦病毒9.82億次，較2月環(huán)比增加7%，其中最為活躍的挖礦病毒是Xmrig、WannaMine、MinePool、BitcoinMiner、ZombieboyMiner、FalseSign，特別是Xmrig家族，共攔截4.58億次。同時(shí)監測數據顯示，被挖礦病毒感染的地域主要有浙江、北京、廣東等地，其中浙江省感染量全國第一。

　　2019年3月挖礦病毒活躍地區Top10

　　被挖礦病毒感染的行業(yè)分布如下圖所示，其中政府受挖礦病毒感染情況最為嚴重，感染比例和2月相比下降2個(gè)百分點(diǎn)，其次是企業(yè)和教育行業(yè)。

　　2019年3月挖礦病毒感染行業(yè)分布

　　2019年3月，深信服安全云腦檢測并捕獲感染型病毒樣本4134個(gè)，共攔截2.67億次。其中Ramnit家族是成為本月攻擊態(tài)勢最為活躍的感染型病毒家族，共被攔截1.09億次，此家族占了所有感染型病毒攔截數量的40.77%；而排名第二第三的是Virut和Sality家族，本月攔截比例分別是為39.79%和11.83%。3月份感染型病毒活躍家族TOP榜如下圖所示：

　　2019年3月感染性病毒家族攔截TOP10

　　在感染型病毒危害地域分布上，廣東省（病毒攔截量）位列全國第一，占TOP10總量的25%，其次為浙江省和湖南省。

　　2019年3月感染型病毒活躍地區TOP10

　　從感染型病毒攻擊的行業(yè)分布來(lái)看，黑客更傾向于使用感染型病毒攻擊企業(yè)、教育、政府等行業(yè)。企業(yè)、教育、政府的攔截數量占攔截總量的75%，具體感染行業(yè)分布如下圖所示：

　　2019年3月感染型病毒感染行業(yè)TOP10

　　深信服安全云腦3月全國檢測到木馬遠控病毒樣本7539個(gè)，共攔截2.00億次，攔截量較2月上升31%。其中最活躍的木馬遠控家族是Injector，攔截數量達2537萬(wàn)次，其次是Zusy、XorDDos。

　　2019年3月木馬遠控病毒攔截TOP

　　對木馬遠控病毒區域攔截量進(jìn)行分析統計發(fā)現，惡意程序攔截量最多的地區為廣東省，占TOP10攔截量的 21%，與2月份基本持平；其次為浙江（17%）、北京（13%）、四川（11%）和湖北（7%）；此外山東、上海、廣西壯族自治區、江蘇、福建的木馬遠控攔截量也排在前列。

　　2019年3月木馬遠控病毒活躍地區TOP10

　　行業(yè)分布上，企業(yè)、教育及政府行業(yè)是木馬遠控病毒的主要攻擊對象。

　　2019年3月木馬遠控病毒感染行業(yè)分布

　　2019年3月深信服安全云腦在全國檢測到蠕蟲(chóng)病毒樣本2631個(gè)，共攔截1.09億次。通過(guò)數據統計分析來(lái)看，大多數攻擊都是來(lái)自于Gamarue、Jenxcus、Dorkbot、Mydoom、Conficker、Vobfus、Palevo、Bondat、Buzus、Phorpiex家族。這些家族占據了3月全部蠕蟲(chóng)病毒攻擊的98.8%，其中攻擊態(tài)勢最活躍的蠕蟲(chóng)病毒是Gamarue，占蠕蟲(chóng)病毒攻擊總量的67%。

　　2019年3月蠕蟲(chóng)病毒活躍家族TOP10

　　從感染地域上看，廣東地區用戶(hù)受蠕蟲(chóng)病毒感染程度最為嚴重，其攔截量占TOP10比例的28%；其次為江西省（16%）、湖南省（11%）。

　　2019年3月蠕蟲(chóng)病毒活躍地區TOP10

　　從感染行業(yè)上看，企業(yè)、教育等行業(yè)受蠕蟲(chóng)感染程度較為嚴重。

　　2019年3月蠕蟲(chóng)病毒感染行業(yè)分布

　　深信服全網(wǎng)安全態(tài)勢感知平臺監測到全國34808個(gè)IP在3月所受網(wǎng)絡(luò )攻擊總量約為4億次。本月攻擊態(tài)勢與前三個(gè)月相比明顯下降。下圖為近半年深信服網(wǎng)絡(luò )安全攻擊趨勢監測情況：

　　近半年網(wǎng)絡(luò )安全攻擊趨勢情況

　　下面從攻擊類(lèi)型分布和重點(diǎn)漏洞攻擊分析2個(gè)緯度展示3月現網(wǎng)的攻擊趨勢：

　　通過(guò)對深信服安全云腦數據分析可以看到，3月捕獲攻擊以系統漏洞利用、WebServer漏洞利用、Web掃描等分類(lèi)為主。其中系統漏洞利用類(lèi)型的占比更是高達28.70%，有近億的命中日志；WebServer漏洞利用類(lèi)型均占比23.34%；Web掃描類(lèi)型的漏洞占比17.72%。此外，信息泄露攻擊、Webshell上傳等攻擊類(lèi)型在3月的攻擊數量有所增長(cháng)。

　　2019年3月攻擊類(lèi)型統計

　　通過(guò)對深信服安全云腦數據進(jìn)行分析，針對漏洞的攻擊情況篩選出3月攻擊利用次數TOP20的漏洞。

　　其中命中次數前三漏洞利用分別是test.php、test.aspx、test.asp等文件訪(fǎng)問(wèn)檢測漏洞、Apache Web Server ETag Header 信息泄露漏洞和Microsoft Windows Server 2008/2012 - LDAP RootDSE Netlogon 拒絕服務(wù)漏洞，攻擊次數分別為49,047,012、39,407,152和28,619,006。較上月均有小幅上升。

　　深信服安全團隊對重要軟件漏洞進(jìn)行深入跟蹤分析，近年來(lái)Java中間件遠程代碼執行漏洞頻發(fā)，同時(shí)受永恒之藍影響使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式。

　　2019年3月，Windows SMB日志量達千萬(wàn)級，近幾月攻擊趨勢持持續上升，其中攔截到的（MS17-010）Microsoft Windows SMB Server 遠程代碼執行漏洞攻擊利用日志最多；Struts2系列漏洞攻擊趨勢近幾月攻擊次數波動(dòng)較大，Weblogic系列漏洞的攻擊趨勢結束了前幾月的持續降低，本月攔截到近兩百萬(wàn)攻擊日志；PHPCMS系列漏洞近幾月攻擊次數大幅上升，近期應重點(diǎn)關(guān)注。

　　Windows SMB 系列漏洞攻擊趨勢跟蹤情況

　　Struts 2系列漏洞攻擊趨勢跟蹤情況

　　Weblogic系列漏洞攻擊趨勢跟蹤情況

　　PHPCMS系列漏洞攻擊趨勢跟蹤情況

　　1、網(wǎng)站漏洞類(lèi)型統計

　　深信服云眼網(wǎng)站安全監測平臺3月對國內已授權的6966個(gè)站點(diǎn)進(jìn)行漏洞監控，3月發(fā)現的高危站點(diǎn)2721個(gè)，高危漏洞60628個(gè)，漏洞類(lèi)別占比前三的分別是XSS注入，信息泄露和CSRF跨站請求偽造，共占比79.68%，具體比例如下：

　　2、篡改攻擊情況統計

　　3月共監控在線(xiàn)業(yè)務(wù)6715個(gè)，共識別潛在篡改的網(wǎng)站有276個(gè)，篡改總發(fā)現率高達4.11%。其中首頁(yè)篡改226個(gè)，二級頁(yè)面篡改32個(gè)，多級頁(yè)面篡改18個(gè)。篡改位置具體分布圖如下圖所示：

　　可以看出，網(wǎng)站首頁(yè)篡改為篡改首要插入位置，成為黑客利益輸出首選。

　　1、流行攻擊事件盤(pán)點(diǎn)

　　近期，驅動(dòng)人生供應鏈傳播的木馬病毒再次升級變異，大面積襲卷國內政府、醫院以及各大企業(yè)。這次變種在原有攻擊模塊的基礎上，新增了MSSQL爆破攻擊的功能，更為致命的是，當病毒爆破成功后，還會(huì )將用戶(hù)密碼改為ksa8hd4,m@~#$%^&*（），嚴重影響了正常業(yè)務(wù)。

　　具體詳見(jiàn)：攻擊MSSQL數據庫！“驅動(dòng)人生”木馬最新變種襲擊多行業(yè)

　　GandCrab勒索病毒是2018年勒索病毒家族中最活躍的家族，GandCrab5.2為該家族最新變種，近期在國內較多的已投遞惡意郵件的方式進(jìn)行攻擊，郵件內容通常帶有恐嚇性質(zhì)。

　　具體詳見(jiàn)：5.2版本發(fā)布：被各大安全廠(chǎng)商“掏空”的GandCrab又有新的變種了？

　　2019年3月，國外黑客組織針對數百個(gè)備受歡迎的以色列網(wǎng)站發(fā)起了一系列攻擊活動(dòng)，活動(dòng)命名為耶路撒冷，其目的是通過(guò)JCry勒索病毒感染W(wǎng)indows用戶(hù)，為了達到這個(gè)目的，攻擊者修改了來(lái)自nagich.com的流行網(wǎng)絡(luò )輔助功能插件的DNS記錄，當訪(fǎng)問(wèn)者訪(fǎng)問(wèn)使用此插件的網(wǎng)站時(shí)，將加載惡意腳本而不是合法插件。

　　具體詳見(jiàn)：數百以色列熱門(mén)網(wǎng)站成為耶路撒冷攻擊活動(dòng)目標，向Windows用戶(hù)傳播JCry勒索病毒

　　深信服安全團隊一直持續關(guān)注并跟蹤Globelmposter勒索病毒家族，多次發(fā)布此勒索病毒相應的預警報告，近期又發(fā)現一例最新Globelmposter 4.0變種樣本。

　　具體詳見(jiàn)：預警！Globelmposter 4.0最新變種來(lái)襲，多家企業(yè)中招

　　近期，多個(gè)企業(yè)反饋大量主機和服務(wù)器存在卡頓和藍屏現象，該企業(yè)用戶(hù)中的是最新型的WannaMine變種，此病毒變種是基于WannaMine3.0改造，又加入了一些新的免殺技術(shù)，傳播機制與WannaCry勒索病毒一致。

　　具體詳見(jiàn)：WannaMine升級到V4.0版本，警惕感染！

　　Paradise（天堂）勒索病毒最早出現在2018年七月份左右，感染多家企業(yè)。此次的變種借用了CrySiS家族的勒索信息，代碼結構也跟早期版本有了很大的區別。

　　具體詳見(jiàn)：“天堂”竟然伸出惡魔之手？Paradise勒索病毒再度席卷

　　據外媒報道，全球最大鋁生產(chǎn)商之一挪威海德魯（Norsk Hydro）公司于本月19號遭到一款新型勒索軟件LockerGoga攻擊，企業(yè)IT系統遭到破環(huán)，被迫臨時(shí)關(guān)閉多個(gè)工廠(chǎng)并將挪威、卡塔爾和巴西等國家的工廠(chǎng)運營(yíng)模式改為“可以使用的”手動(dòng)運營(yíng)模式，以繼續執行某些運營(yíng)。

　　具體詳見(jiàn)：全球最大鋁生產(chǎn)商挪威海德魯（Norsk Hydro）遭到LockerGoga勒索病毒攻擊

　　近期，深信服安全團隊收到客戶(hù)反饋，其內網(wǎng)多臺主機中的文件感染了病毒，影響正常業(yè)務(wù)。經(jīng)分析，該病毒為“熊貓燒香”病毒變種，雖然該病毒已有十余年歷史，但由于其具有很強的感染及傳播性，依然很容易在缺少防護的企業(yè)內網(wǎng)中傳播開(kāi)來(lái)。

　　具體詳見(jiàn)：高齡病毒“熊貓燒香”還沒(méi)退休？

　　卡巴斯基實(shí)驗室（Kaspersky Lab）于3月25日曝光華碩（ASUS）的軟件更新服務(wù)器曾在去年遭到黑客入侵，并以更新的名義在用戶(hù)的電腦上植入一個(gè)惡意程序；此次攻擊事件雖然因為自動(dòng)更新策略影響了大量用戶(hù)，但真正的攻擊活動(dòng)似乎只針對惡意程序中硬編碼了MAC地址哈希值的600多臺特定設備。

　　具體詳見(jiàn)：華碩軟件更新服務(wù)器遭黑客劫持，自動(dòng)更新向用戶(hù)下發(fā)惡意程序

　　（1）【漏洞預警】Apache Solr Deserialization 遠程代碼執行漏洞（CVE-2019-0192）

　　Apache Solr官方團隊在最新的安全更新中披露了一則Apache Solr Deserialization 遠程代碼執行漏洞（CVE-2019-0192）。漏洞官方定級為 High，屬于高危漏洞。該漏洞本質(zhì)是ConfigAPI允許通過(guò)HTTP POST請求配置Solr的JMX服務(wù)器。攻擊者可以通過(guò)ConfigAPI將其配置指向惡意RMI服務(wù)器，利用Solr的不安全反序列化來(lái)觸發(fā)Solr端上的遠程代碼執行。

　　具體詳見(jiàn)：【漏洞預警】Apache Solr Deserialization 遠程代碼執行漏洞（CVE-2019-0192）

　　（2）【漏洞預警】Zimbra 郵件系統遠程代碼執行漏洞（CVE-2019-9621 CVE-2019-9670）

　　國外安全研究人員Tint0在博客中披露了一個(gè)針對Zimbra 郵件系統進(jìn)行綜合利用來(lái)達到遠程代碼執行效果的漏洞（CVE-2019-9621 CVE-2019-9670）。此漏洞的主要利用手法是通過(guò)XXE（XML 外部實(shí)體注入）漏洞讀取localconfig.xml配置文件來(lái)獲取Zimbra admin ldap password，接著(zhù)通過(guò)SOAP AuthRequest 認證得到Admin Authtoken，最后使用全局管理令牌通過(guò)ClientUploader擴展上傳Webshell到Zimbra服務(wù)器，從而實(shí)現通過(guò)Webshell來(lái)達到遠程代碼執行效果。

　　具體詳見(jiàn)：【漏洞預警】Zimbra 郵件系統遠程代碼執行漏洞（CVE-2019-9621 CVE-2019-9670）

　　（3）【漏洞預警】WordPress Social Warfare Plugin 遠程代碼執行漏洞

　　2019年3月25日，國外安全研究人員在大量攻擊數據中發(fā)現了一個(gè)WordPress plugins Social Warfare遠程代碼執行漏洞，此漏洞允許攻擊者接管整個(gè)WordPress站點(diǎn)并管理您的主機帳戶(hù)上的所有文件和數據庫，從而實(shí)現完全遠程接管整個(gè)服務(wù)器的目的。

　　具體詳見(jiàn)：【漏洞預警】WordPress Social Warfare Plugin 遠程代碼執行漏洞

　　黑客入侵的主要目標是存在通用安全漏洞的機器，所以預防病毒入侵的主要手段是發(fā)現和修復漏洞，深信服建議用戶(hù)做好以下防護措施：

　　系統、應用相關(guān)的用戶(hù)杜絕使用弱口令，同時(shí)，應該使用高復雜強度的密碼，盡量包含大小寫(xiě)字母、數字、特殊符號等的混合密碼，禁止密碼重用的情況出現，盡量避免一密多用的情況。

　　（2）及時(shí)更新重要補丁和升級組件

　　建議關(guān)注操作系統和組件重大更新，如永恒之藍漏洞，使用正確渠道，如微軟官網(wǎng)，及時(shí)更新對應補丁漏洞或者升級組件。

　　（3）部署加固軟件，關(guān)閉非必要端口

　　服務(wù)器上部署安全加固軟件，通過(guò)限制異常登錄行為、開(kāi)啟防爆破功能、防范漏洞利用，同時(shí)限制服務(wù)器及其他業(yè)務(wù)服務(wù)網(wǎng)可進(jìn)行訪(fǎng)問(wèn)的網(wǎng)絡(luò )、主機范圍。有效加強訪(fǎng)問(wèn)控制ACL策略，細化策略粒度，按區域按業(yè)務(wù)嚴格限制各個(gè)網(wǎng)絡(luò )區域以及服務(wù)器之間的訪(fǎng)問(wèn)，采用白名單機制只允許開(kāi)放特定的業(yè)務(wù)必要端口，提高系統安全基線(xiàn)，防范黑客入侵。

　　（4）主動(dòng)進(jìn)行安全評估，加強人員安全意識

　　加強人員安全意識培養，不要隨意點(diǎn)擊來(lái)源不明的郵件附件，不從不明網(wǎng)站下載軟件，對來(lái)源不明的文件包括郵件附件、上傳文件等要先殺毒處理。定期開(kāi)展對系統、應用以及網(wǎng)絡(luò )層面的安全評估、滲透測試以及代碼審計工作，主動(dòng)發(fā)現目前系統、應用存在的安全隱患。

　　（5）建立威脅情報分析和對抗體系，有效防護病毒入侵

　　網(wǎng)絡(luò )犯罪分子采取的戰術(shù)策略也在不斷演變，其攻擊方式和技術(shù)更加多樣化。對于有效預防和對抗海量威脅，需要選擇更強大和更智能的防護體系。深信服下一代安全防護體系（深信服安全云、深信服下一代防火墻AF、深信服安全感知平臺SIP、深信服終端檢測與響應平臺EDR）通過(guò)聯(lián)動(dòng)云端、網(wǎng)端、終端進(jìn)行協(xié)同響應，建立全面覆蓋風(fēng)險預警、事中防御、事后檢測與響應的整體安全防護體系。云端持續風(fēng)險與預警，網(wǎng)端持續檢測與防御，終端持續監測與響應，有效并深度挖掘用戶(hù)潛在威脅，確保網(wǎng)絡(luò )安全。