2019年2月，整體而言互聯(lián)網(wǎng)網(wǎng)絡(luò )安全狀況指標平穩，但依然面臨著(zhù)嚴峻的考驗。一方面，老病毒和漏洞經(jīng)久不衰，新的安全事件層出不窮，利用“驅動(dòng)人生”供應鏈傳播的木馬病毒升級變異，以及WinRAR壓縮軟件曝出高危漏洞，影響范圍廣泛；另一方面，被攻擊的設備場(chǎng)景影響不斷擴大，包括NVR（視頻監控）設備場(chǎng)景、IoT設備場(chǎng)景等都面臨著(zhù)被病毒進(jìn)一步入侵的風(fēng)險。但監測數據顯示，網(wǎng)站攻擊和網(wǎng)站漏洞數量連續多個(gè)月上升之后在本月放緩。

　　惡意攻擊14.1億次，平均每天攔截惡意程序5037萬(wàn)次。

　　活躍惡意程序15961個(gè)，其中感染性病毒6836個(gè)，占比42.83%；木馬遠控病毒5320個(gè)，占比33.33%。挖礦病毒種類(lèi)443個(gè)，攔截次數9.16億次，較之前有所下降，其中Xmrig病毒家族最為活躍。

　　深信服全網(wǎng)安全態(tài)勢感知平臺對國內已授權的6996個(gè)站點(diǎn)進(jìn)行漏洞監控，發(fā)現：

　　高危站點(diǎn)2463個(gè)，高危漏洞5888個(gè)，主要漏洞類(lèi)別是點(diǎn)擊劫持、CSRF跨站請求偽造和信息泄露。

　　監控在線(xiàn)業(yè)務(wù)5870個(gè)，共有249個(gè)在線(xiàn)業(yè)務(wù)發(fā)生過(guò)真實(shí)篡改，篡改占比高達4.24%。

　　2019年2月，病毒攻擊的態(tài)勢在本月有所緩解，病毒攔截量比1月份下降近20%，近半年攔截惡意程序數量趨勢如下圖所示：

　　近半年惡意程序攔截趨勢

　　2019年2月，深信服安全云腦檢測到的活躍惡意程序樣本有15961個(gè)，較1月份明顯下降，其中感染性病毒6836個(gè)，占比42.83%；木馬遠控病毒5320個(gè)，占比33.33%，挖礦病毒443個(gè)，占比1.37%。

　　2月總計攔截惡意程序14.1億次，比1月份下降20%，其中挖礦病毒的攔截量占比65%，其次是感染型病毒（14%）、木馬遠控病毒（11%）、蠕蟲(chóng)（6%）、后門(mén)軟件（3%），具體分布如下圖所示：

　　2019年2月惡意程序攔截量按類(lèi)型分布

　　2019年2月，深信服安全云腦共攔截挖礦病毒9.16億次，比一月份下降14%，其中最為活躍的挖礦病毒家族是Xmrig、Wannamine、Minepool、Bitcoinminer、Zombieboyminer、Falsesign，特別是Xmrig家族，共攔截4.12億次。同時(shí)監測數據顯示，被挖礦病毒感染的地域主要有廣東、浙江、北京等地，其中廣東省感染量依然是全國第一，感染比例上升1%。

　　2019年2月挖礦病毒活躍地區Top10

　　被挖礦病毒感染的行業(yè)分布中，政府受挖礦病毒感染情況最為嚴重，感染比例和1月基本持平，其次是企業(yè)和教育行業(yè)。

　　2019年2月挖礦病毒感染行業(yè)分布

　　2019年2月，深信服安全云腦檢測并捕獲感染性病毒樣本6836個(gè)，共攔截19147萬(wàn)次。其中Virut家族是成為本月攻擊態(tài)勢最為活躍的感染性病毒家族，共被攔截8418萬(wàn)次，此家族占了所有感染性病毒攔截數量的44%；而排名第二第三的是Ramnit和Sality家族，本月攔截比例分別是為37%和11%。

　　2019年2月感染性病毒活躍家族攔截數量TOP10

　　在感染性病毒危害地域分布上，廣東省（病毒攔截量）位列全國第一，占TOP10總量的28%，其次為浙江省和湖南省。

　　2019年2月感染性病毒活躍地區TOP10

　　從感染性病毒攻擊的行業(yè)分布來(lái)看，黑客更傾向于使用感染性病毒攻擊企業(yè)、教育、政府等行業(yè)。企業(yè)、教育、政府的攔截數量占攔截總量的75%，具體感染行業(yè)分布如下圖所示：

　　2019年2月感染性病毒感染行業(yè)TOP10

　　深信服安全云腦2月檢測到木馬遠控病毒樣本5320個(gè)，共攔截15271萬(wàn)次，攔截量較1月下降22%。其中最活躍的木馬遠控家族是Zusy，攔截數量達2405萬(wàn)次，其次是XorDDos、Injector。Glupteba病毒感染趨勢下降，本月攔截量占木馬遠控病毒的比例為7.38%。

　　2019年2月木馬遠控毒活躍家族TOP10

　　對木馬遠控病毒區域攔截量進(jìn)行分析統計發(fā)現，惡意程序攔截量最多的地區為廣東省，占TOP10攔截量的21%，比1月份下降4%；其次為浙江（17%）、北京（14%）、四川（11%）和湖北（7%）。此外江蘇、山東、上海、福建、山西的木馬遠控攔截量也排在前列。

　　2019年2月木馬遠控活躍地區TOP10

　　行業(yè)分布上，企業(yè)、政府及教育行業(yè)是木馬遠控病毒的主要攻擊對象。其中企業(yè)占TOP10攔截量的32%，較1月份基本持平。

　　2019年2月木馬遠控感染行業(yè)TOP10

　　2019年2月深信服安全云腦檢測到蠕蟲(chóng)病毒樣本1185個(gè)，共攔截8901萬(wàn)次，但通過(guò)數據統計分析來(lái)看，大多數攻擊都是來(lái)自于Gamarue、Jenxcus、Dorkbot、Mydoom、Palevo、Vobfus、Buzus、Phorpiex、Ngrbot家族，這些家族占據了2月全部蠕蟲(chóng)病毒攻擊的98.8%，其中攻擊態(tài)勢最活躍的蠕蟲(chóng)病毒是Gamarue，占蠕蟲(chóng)病毒攻擊總量的85%。

　　2019年2月蠕蟲(chóng)病毒活躍家族TOP10

　　從感染地域上看，廣東地區用戶(hù)受蠕蟲(chóng)病毒感染程度最為嚴重，其攔截量占TOP10比例的33%；其次為江蘇省（14%）、湖南省（12%）。

　　2019年2月蠕蟲(chóng)病毒活躍地區TOP10

　從感染行業(yè)上看，企業(yè)、政府等行業(yè)受蠕蟲(chóng)感染程度較為嚴重。

　　2019年2月蠕蟲(chóng)病毒感染行業(yè)分布

　　2019年2月，共檢測到活躍勒索病毒樣本量115個(gè)。其中，Wannacry、Razy、Gandcrab、Revenge、Teslacrypt、Locky、Mamba等依然是最活躍的勒索病毒家族，其中Wannacry家族本月攔截數量有1156萬(wàn)次，危害依然較大。

　　從勒索病毒傾向的行業(yè)來(lái)看，企業(yè)和政府感染病毒數量占總體的52%，是黑客最主要的攻擊對象，具體活躍病毒行業(yè)分布如下圖所示：

　　2019年2月勒索病毒感染行業(yè)分布

　　2019年2月勒索病毒活躍地區TOP10

　　從勒索病毒受災地域上看，廣東地區受感染情況最為嚴重，其次是福建省和浙江省。

　　深信服全網(wǎng)安全態(tài)勢感知平臺監測到全國34808個(gè)IP在2月所受網(wǎng)絡(luò )攻擊總量約為6億次。本月攻擊態(tài)勢與前三個(gè)月相比明顯下降。下圖為近半年深信服網(wǎng)絡(luò )安全攻擊趨勢監測情況：

　　近半年網(wǎng)絡(luò )安全攻擊趨勢

　　下面從攻擊類(lèi)型分布和重點(diǎn)漏洞攻擊分析2個(gè)緯度展示本月現網(wǎng)的攻擊趨勢：

　　攻擊類(lèi)型分布

　　通過(guò)對云腦日志數據分析可以看到，2月捕獲攻擊以系統漏洞利用攻擊、Web掃描、WebServer漏洞利用、信息泄露攻擊、Webshell上傳、Dns服務(wù)器漏洞攻擊和暴力破解等分類(lèi)為主。其中系統漏洞利用類(lèi)型的占比更是高達36.70%，有近億的命中日志；Web掃描類(lèi)型的漏洞占比29.10%；WebServer漏洞利用類(lèi)型均占比13.30%。此外，信息泄露攻擊、Webshell上傳等攻擊類(lèi)型在2月的攻擊數量有所增長(cháng)。

　　2019年2月攻擊類(lèi)型統計

　　通過(guò)對云腦日志數據分析，針對漏洞的攻擊情況篩選初本月攻擊利用次數TOP20的漏洞。

　　其中攻擊次數前三的漏洞分別是test.php、test.aspx、test.asp等文件訪(fǎng)問(wèn)檢測漏洞、服務(wù)器目錄瀏覽禁止信息泄露漏洞和Apache Web Server ETag Header信息泄露漏洞，攻擊次數分別為59,185,795、20,276,680和18,424,531。

　　2月共監控在線(xiàn)業(yè)務(wù)5870個(gè)（去重），共檢測到249個(gè)網(wǎng)站發(fā)生真實(shí)篡改，篡改總發(fā)現率高達4.24%。

　　其中博彩、色情、游戲類(lèi)篡改是黑帽SEO篡改的主流類(lèi)型。相比過(guò)去，醫療、代孕廣告類(lèi)數量減少，可能和監管機關(guān)對非正規醫療機構推廣限制有關(guān)。

　　此外，近期呈現一種重要的網(wǎng)站黑帽SEO趨勢：注冊已經(jīng)被政府機關(guān)拋棄但曾用過(guò)的域名用來(lái)搭建博彩等暴利網(wǎng)站，大量政府機關(guān)含有舊域名鏈接的網(wǎng)頁(yè)就成了非法站點(diǎn)的天然外鏈，被利用提升其PR值。

　　深信服安全團隊對重要軟件漏洞進(jìn)行深入跟蹤分析，近年來(lái)Java中間件遠程代碼執行漏洞頻發(fā)，同時(shí)受“永恒之藍”影響使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式。

　　2019年2月，Windows SMB日志量達千萬(wàn)級，近幾月攻擊態(tài)勢持緩步上升趨勢；Weblogic系列漏洞的攻擊趨勢近幾月持續降低，Weblogic系列漏洞利用熱度降低；Struts2系列漏洞，PHPCMS系列漏洞本月攻擊次數大幅上升，近期應重點(diǎn)關(guān)注。

　　Windows SMB 系列漏洞攻擊趨勢跟蹤情況

 

　　Struts 2系列漏洞攻擊趨勢跟蹤情況

　　Weblogic系列漏洞攻擊趨勢跟蹤情況

　　PHPCMS系列漏洞攻擊趨勢跟蹤情況

　　2019年2月深信服安全團隊通過(guò)自動(dòng)化手段篩選并收錄國內外重點(diǎn)漏洞168條，包含34條0day漏洞。二月漏洞收集數量較1月相比有所上升。

　　對所收集的重要漏洞的攻擊方法進(jìn)行統計，可以看到，信息泄露類(lèi)型的漏洞所占比例最大（23%），其次代碼執行，跨站點(diǎn)腳本攻擊，驗證繞過(guò)，緩沖區溢出和權限升級等類(lèi)型的漏洞也占比排名考靠前。

　　深信服云眼網(wǎng)站安全監測平臺在2月對國內已授權的6966個(gè)站點(diǎn)進(jìn)行漏洞監控，發(fā)現的高危站點(diǎn)2463個(gè)，高危漏洞5888個(gè)，漏洞類(lèi)別占比前三的分別是點(diǎn)擊劫持、CSRF跨站請求偽造和信息泄露。高危漏洞類(lèi)型分布如下：

　　具體比例如下：

　　（1）注入型勒索病毒Ryuk，伸向x64系統的魔爪

　　Ryuk是一款通過(guò)垃圾郵件和漏洞利用工具包傳播的勒索病毒，最早在2018年8月由國外某安全公司報道，其代碼結構與HERMES勒索病毒十分相似。

　　具體詳見(jiàn)：注入型勒索病毒Ryuk，伸向x64系統的魔爪

　　（2）WatchDogsMiner挖礦蠕蟲(chóng)大量感染Linux服務(wù)器

　　近期，深信服安全團隊追蹤到公有云上及外部Linux服務(wù)器存在大量被入侵，表現為/tmp臨時(shí)目錄存在watchdogs文件，出現了crontab任務(wù)異常、網(wǎng)絡(luò )異常、系統文件被刪除、CPU異常卡頓等情況，嚴重影響用戶(hù)業(yè)務(wù)。經(jīng)確認，用戶(hù)Linux服務(wù)器被植入新型惡意挖礦蠕蟲(chóng)，且較難清理，安全團隊將其命名為WatchDogsMiner。

　　具體詳見(jiàn)：緊急預警：WatchDogsMiner挖礦蠕蟲(chóng)大量感染Linux服務(wù)器

　　（3）冒用有效簽名：Clop勒索病毒這股”韓流“已入侵國內企業(yè)

　　Clop勒索病毒是一款2019年最新出現的勒索病毒家族，主要活躍地區在韓國，并出現在國內傳播的趨勢，已有企業(yè)遭受該勒索病毒家族的攻擊。

　　具體詳見(jiàn)：冒用有效簽名：Clop勒索病毒這股”韓流“已入侵國內企業(yè)

　　（4）FilesLocker變種：Gorgon（蛇發(fā)女妖）勒索病毒感染政企系統

　　2月份，多家政企用戶(hù)上報系統遭受一種名為Gorgon的勒索軟件攻擊，該勒索軟件支持中、英、韓三種語(yǔ)言，并修改Winlogon項為勒索信息。該勒索軟件自命名為Gorgon（蛇發(fā)女妖），意為感染該病毒的系統都會(huì )被“石化”。

　　具體詳見(jiàn)：FilesLocker變種：Gorgon（蛇發(fā)女妖）勒索病毒感染政企系統

　　（1） Ubuntu Linux 權限升級漏洞

　　在2019年1月，國外安全人員在Ubuntu Linux的默認安裝中發(fā)現了一個(gè)權限提升漏洞。這是由于snapd API中的一個(gè)錯誤，這是一個(gè)默認服務(wù)。任何本地用戶(hù)都可以利用此漏洞獲取對系統的直接root訪(fǎng)問(wèn)權限，CVE編號CVE-2019-7304。

　　具體詳見(jiàn)：【漏洞預警】Ubuntu Linux 權限升級漏洞

　　（2） runc容器逃逸漏洞

　　2019年2月11日，研究人員通過(guò)oss-security郵件列表披露了runc容器逃逸漏洞的詳情，CVE編號CVE-2019-5736

　　具體詳見(jiàn)：【漏洞預警】runc容器逃逸漏洞

　　（3） Jenkins 插件遠程代碼執行漏洞

　　2019年1月8日，Jenkins官方發(fā)布了一則插件遠程代碼執行漏洞的安全公告，官方定級為高危。2019年2月15日，網(wǎng)上公布了該漏洞的利用方式，該漏洞允許具有“Overall/Read”權限的用戶(hù)或能夠控制SCM中的Jenkinsfile、sandboxed Pipeline共享庫內容的用戶(hù)繞過(guò)沙盒保護并在Jenkins主服務(wù)器上執行任意代碼。攻擊者可利用該漏洞獲取服務(wù)器的最高權限并進(jìn)行進(jìn)一步的內網(wǎng)攻擊。

　　具體詳見(jiàn)：【漏洞預警】Jenkins 插件遠程代碼執行漏洞

　　（4） WordPress 5.0.0遠程代碼執行漏洞

　　在2019年2月19日，國外安全人員在博客中的披露了一則Wordpress 5.0.0版本遠程代碼執行漏洞。該漏洞本質(zhì)上是由一個(gè)目錄遍歷漏洞以及一個(gè)本地文件包含漏洞組合利用而導致的一個(gè)遠程代碼執行漏洞。當攻擊者獲取到WordPress站點(diǎn)具有一定訪(fǎng)問(wèn)權限的賬戶(hù)后，即可利用該漏洞在底層服務(wù)器上執行任意PHP代碼，從而實(shí)現完全遠程接管服務(wù)器的目的。

　　具體詳見(jiàn)：【漏洞預警】WordPress 5.0.0遠程代碼執行漏洞

　　（5） Windows服務(wù)器易受IIS資源耗盡DoS攻擊

　　2019年2月20日，微軟應急響應中心報告了一個(gè)包含HTTP / 2惡意請求發(fā)送到運行Internet信息服務(wù)（IIS）的Windows Server時(shí)觸發(fā)的DOS攻擊。該攻擊本質(zhì)上是通過(guò)客戶(hù)端發(fā)起的惡意HTTP / 2包含較多SETTINGS參數指定較多SETTINGS幀請求到運行IIS 10的服務(wù)器，導致系統CPU使用率達到100%進(jìn)而拒絕服務(wù)。

　　具體詳見(jiàn)：【漏洞預警】Windows服務(wù)器易受IIS資源耗盡DoS攻擊

　　（6） Drupal 8遠程代碼執行漏洞，GET方法也能觸發(fā)！

　　在2019年2月20日，Drupal官方團隊在最新的安全更新中披露了一則Drupal 8 遠程代碼執行漏洞公告，屬于最嚴重級別漏洞。該漏洞本質(zhì)上是由于用戶(hù)使用Drupal Core RESTful Web Services （rest）時(shí)，某些字段類(lèi)型無(wú)法正確清理非格式源中的數據。在某些情況下，這可能導致任意PHP代碼執行。攻擊者可利用該漏洞在服務(wù)器上執行任意PHP代碼，從而實(shí)現完全遠程接管服務(wù)器的目的。

　　具體詳見(jiàn)：【漏洞預警】Drupal 8遠程代碼執行漏洞，GET方法也能觸發(fā)！

　　（7）WinRAR絕對路徑穿越漏洞（CVE-2018-20250）在野利用傳播后門(mén)

　　WinRAR是一款用于Windows系統的解壓縮工具，全球用戶(hù)量超過(guò)5億。2019年2月20日，Check Point公布了之前向WinRAR報告的幾個(gè)安全漏洞，攻擊者可利用該漏洞制作惡意ACE格式文件，解壓文件時(shí)利用ACE解壓模塊文件UNACEV2.dll中的路徑遍歷漏洞將文件解壓縮到攻擊者指定的路徑。使用該漏洞將惡意文件釋放到啟動(dòng)文件夾中能使系統在啟動(dòng)時(shí)執行惡意程序。

　　具體詳見(jiàn)：WinRAR絕對路徑穿越漏洞（CVE-2018-20250）在野利用傳播后門(mén)

　　黑客入侵的主要目標是存在通用安全漏洞的機器，所以預防病毒入侵的主要手段就是發(fā)現和修復漏洞，深信服建議用戶(hù)做好以下防護措施：

　　（1）杜絕使用弱口令，避免一密多用

　　系統、應用相關(guān)的用戶(hù)杜絕使用弱口令，同時(shí)，應該使用高復雜強度的密碼，盡量包含大小寫(xiě)字母、數字、特殊符號等的混合密碼，禁止密碼重用的情況出現，盡量避免一密多用的情況。

　　（2）及時(shí)更新重要補丁和升級組件

　　建議關(guān)注操作系統和組件重大更新，如“永恒之藍”漏洞，使用正確渠道，如微軟官網(wǎng)，及時(shí)更新對應補丁漏洞或者升級組件。

　　（3）部署加固軟件，關(guān)閉非必要端口

　　服務(wù)器上部署安全加固軟件，通過(guò)限制異常登錄行為、開(kāi)啟防爆破功能、防范漏洞利用，同時(shí)限制服務(wù)器及其他業(yè)務(wù)服務(wù)網(wǎng)可進(jìn)行訪(fǎng)問(wèn)的網(wǎng)絡(luò )、主機范圍。有效加強訪(fǎng)問(wèn)控制ACL策略，細化策略粒度，按區域按業(yè)務(wù)嚴格限制各個(gè)網(wǎng)絡(luò )區域以及服務(wù)器之間的訪(fǎng)問(wèn)，采用白名單機制只允許開(kāi)放特定的業(yè)務(wù)必要端口，提高系統安全基線(xiàn)，防范黑客入侵。

　　（4）主動(dòng)進(jìn)行安全評估，加強人員安全意識

　　加強人員安全意識培養，不要隨意點(diǎn)擊來(lái)源不明的郵件附件，不從不明網(wǎng)站下載軟件，對來(lái)源不明的文件包括郵件附件、上傳文件等要先殺毒處理。定期開(kāi)展對系統、應用以及網(wǎng)絡(luò )層面的安全評估、滲透測試以及代碼審計工作，主動(dòng)發(fā)現目前系統、應用存在的安全隱患。

　　（5）建立威脅情報分析和對抗體系，有效防護病毒入侵

　　網(wǎng)絡(luò )犯罪分子采取的戰術(shù)策略也在不斷演變，其攻擊方式和技術(shù)更加多樣化。對于有效預防和對抗海量威脅，需要選擇更強大和更智能的防護體系。深信服下一代安全防護體系（深信服安全云、深信服下一代防火墻AF、深信服安全感知平臺SIP、深信服終端檢測與響應平臺EDR）通過(guò)聯(lián)動(dòng)云端、網(wǎng)絡(luò )、終端進(jìn)行協(xié)同響應，建立全面的事前檢測預警、事中防御、事后處理的整套安全防護體系。云端持續趨勢風(fēng)險監控與預警、網(wǎng)絡(luò )側實(shí)時(shí)流量檢測與防御、終端事后查殺與溯源，深度挖掘用戶(hù)潛在威脅，立體全方位確保用戶(hù)網(wǎng)絡(luò )安全。