发布时间:2020-09-01 17:01:40,来源:中国信息通信研究院
为积极应对复杂的网络安全形势,维护公共利益和网民权益,网络安全威胁信息共享平台(以下简称“平台”)在各地通信管理局、基础电信企业、网络安全专业机构、互联网企业和网络安全企业的积极配合下,及时监测、认定、处置暴露在公共互联网上的漏洞隐患、恶意网络资源、恶意程序和安全事件等网络安全威胁。
一、网络安全重点案例分析
(一)F5 BIG-IP曝出远程代码执行高危漏洞,多个版本受到影响
2020年7月,平台收录到F5 BIG-IP远程代码执行漏洞(CVE-2020-5902)。该漏洞源于F5 BIG-IP产品的流量管理用户页面(TMUI)/配置实用程序的特定页面,攻击者可利用该漏洞在未授权的情况下远程执行代码。接收到相关漏洞后,平台第一时间进行了分析研判,并开展了对境内受影响资产的排查工作,发现境内1.8万余个资产受此漏洞影响,涉及政府机关、事业单位、金融以及教育行业单位等相关资产1万余个。目前,平台已通过官方门户网站向公众发布漏洞预警,并提供安全措施及建议,下一步将结合受影响资产监测验证结果,下发处置工单,通知重点企事业单位及政府机关等涉危单位立即升级到指定版本进行漏洞修复。
(二)Windows DNS Server曝出远程代码执行高危漏洞
2020年7月14日,微软发布7月安全更新公告,其中Windows DNS Server远程代码执行漏洞(CVE-2020-1350),CVSS评分为10,利用复杂低且影响范围较大。该漏洞由于整数溢出导致堆缓冲区的溢出,最终实现远程代码执行。在计算要分配的缓冲区长度时,可以恶意构造Singer Name的长度造成缓冲区长度变成0xFFFF来触发溢出。未经身份验证的攻击者可利用该漏洞在目标系统上以本地SYSTEM账户权限执行任意代码。目前,该漏洞细节已公开。接收到相关漏洞后,技术团队开展研判工作,发现境内1000余个资产受此漏洞影响,涉及政府机关、事业单位、基础电信企业以及教育行业等单位。目前,平台已通过官方门户网站向公众发布漏洞预警,并提供安全措施及建议,通知重点企事业单位及政府机关等涉危单位立即更新产品并进行漏洞修复,消除安全隐患,保障系统安全。
二、本月各类威胁情况
(一) 威胁类型分布
本月,平台收集威胁主要为恶意网络资源,占比为95.57%,其次为安全事件,占比为3.56%。本月新增威胁类型分布情况如图1所示。
图 1 本月新增威胁类型分布
从平台本月收集网络安全威胁归属地区来看,威胁数量较高的地区为:江苏省,占比为10.75%;湖北省,占比为9.01%,广东省,占比为7.85%;四川省,占比为7.83%;山东省,占比为5.70%。网络安全威胁地域分布情况如图2和3所示。
图 2 网络安全威胁地域分布情况
图3 本月新增威胁地域分布TOP5
(二)恶意网络资源情况分析
1. 恶意网络资源类型分布
本月平台新增恶意网络资源中,恶意IP地址数量占比为85.23%;恶意域名/URL数量占比为14.77%。本月新增恶意网络资源类型分布情况如图4所示。
图4 本月新增恶意网络资源类型分布
2. 恶意IP地址情况分析
本月新增恶意IP地址类型主要为恶意程序传播服务器IP地址和恶意扫描服务器IP地址,占比分别为55.04%和34.87%。本月新增中恶意扫描服务器、恶意程序传播、放马服务器IP地址数量较前期有所增长。本月主要新增恶意IP地址类型分布情况如图5所示。
图5 本月新增恶意IP地址类型分布
3.恶意域名/URL情况分析
本月新增恶意域名/URL类型主要为恶意程序传播域名/URL和放马域名/URL,占比分别为65.33%和29.77%。恶意程序传播域名/URL和恶意程序控制端域名/URL数量较6月份有所增长,但恶意程序仍然是网络攻击过程中使用的主要工具和手段。本月主要新增恶意域名/URL类型分布情况如图6所示。
本月在平台监测过程中发现永恒之蓝下载器木马再次出现新变种并迅速传播,目前已感染约1.5万台服务器。此次变种利用Python打包EXE可执行文件进行攻击,被变种攻击失陷后的系统会下载if.bin、下载运行由随机字符串命名的EXE攻击模块进行大规模的漏洞扫描和攻击传播,同时会下载门罗币挖矿木马占用服务器大量CPU资源挖矿,会给受害企业造成严重损失。该组织曾在2018年底使用过类似手法。针对该威胁,平台及时通知基础电信企业,加强对恶意控制端地址的持续监控。
图 6 本月新增恶意域名/URL类型分布
(三)安全隐患情况分析
1. 产品漏洞情况分布
本月平台收集的产品漏洞占安全隐患总量的57.08%;产品漏洞以应用软件漏洞为主,占比为59.39%,Web组件漏洞、操作系统漏洞、网络设备漏洞占比分别为17.91%、11.02%和5.82%。本月新增产品漏洞类型分布情况如图7所示。
图 7 本月新增产品漏洞类型分布TOP5
在平台收录的多款重要产品漏洞中,涉及信息泄露、权限提升、缓冲区溢出和任意代码执行等漏洞的类别居多。其中对国内用户广泛使用的信息系统和应用程序影响较大的漏洞有:甲骨文(Oracle)产品存在的安全漏洞可被攻击者利用影响数据的保密性、完整性和可用性;谷歌(Google)产品存在的安全漏洞可被攻击者利用绕过安全限制,获取敏感信息,提升权限,执行任意代码或发起拒绝服务等攻击。针对以上重要产品漏洞,通过平台及门户网站同步发布风险提示的方式通知行业内用户及公众采取相应安全措施,规避风险。
2.系统漏洞情况分析
本月新增系统漏洞数量占安全隐患总量的42.92%,主要分布在信息传输/软件和信息技术服务业、制造业、卫生和社会工作、教育和科学研究与技术服务业等行业。本月新增系统漏洞行业分布情况如图8所示。
图 8 本月新增系统漏洞行业分布
在本月平台收录的系统漏洞中,高危漏洞占75.9%,披露的系统漏洞主要为SQL注入、文件读取和代码执行等传统漏洞。根据漏洞影响对象的类型分析,目前漏洞影响对象主要集中在WEB组件漏洞方面,漏洞成因主要有SQL注入、代码执行等,攻击者可利用漏洞获取数据库敏感信息、执行任意代码等。针对以上系统漏洞,平台及时通知所属地通信管理局要求相关企业针对以上安全隐患进行整改和修复。
(四)恶意程序情况分析
1. 恶意程序类型分布
本月平台新增恶意程序中,移动恶意程序数量占比为67.48%;计算机恶意程序均为木马程序,占比为32.52%。
2. 移动恶意程序分布
本月新增移动恶意程序行为特征主要包括流氓行为、资费消耗行为、系统破坏行为、诱骗欺诈行为、信息窃取行为和恶意传播行为。其中,流氓行为和资费消耗行为占比较高,分别为82.35%和13.40%。本月新增移动恶意程序行为特征分布情况如图9所示。
图9 本月新增移动恶意程序行为特征分布
3. 恶意程序情况分析
综合分析近期上报恶意程序情况,本月新增的恶意程序数量有所减少,环比减少43.69%。在日常监控过程中,平台发现近期SWEED黑客组织大量针对全球制造、运输、能源等行业及部分医疗机构发起的鱼叉式钓鱼邮件定向攻击。从邮件的分析结果来看,受害者大多遍布于美国、加拿大、德国、中国、英国、法国、西班牙等国家和地区。攻击者以"装船通知单"、"装箱交货价单"、"紧急运输文件"等主题邮件作为诱饵向攻击目标植入信息窃密木马(Agent Tesla、Formbook、Lokibot)和远程控制程序(NanoCore、Remcos)。针对该类威胁,平台并及时组织分析认定相关恶意样本,通知基础电信企业,对相关恶意链接、恶意IP采取封堵或停止接入等有效措施,并持续跟踪APT组织的攻击活动,共享威胁情报,应对不断演变的网络攻击,同时建议相关单位加强钓鱼邮件防范意识。
(五)安全事件情况分析
1. 安全事件类型分布
本月平台新增安全事件中,主机受控数量占比为98.85%;网页篡改数量占比为1.14%。
2. 安全事件地域分布
本月新增安全事件数量居前五位的省份为江苏省、四川省、广东省、湖北省和山东省,分别占比9.02%、6.79%、6.49%、5.73%和4.83%。本月新增安全事件地域分布及排名情况如图10所示。
图 10 本月新增安全事件地域分布及排名TOP5
三、重点工作进展情况
本月,全国公共互联网网络安全威胁监测与处置工作中,电信集团、观安信息、天融信、360集团和安博通等单位威胁监测与报送工作开展情况较好,中国信息通信研究院、微步在线、绿盟科技、安恒信息和安天等单位分析与认定工作开展情况较好,北京市、湖北省、四川省、浙江省和山东省等地通信管理局威胁通报与处置工作开展情况较好。