《恒安嘉新:2022年网络信息安全态势年报(158页).pdf》由会员分享,可在线阅读,更多相关《恒安嘉新:2022年网络信息安全态势年报(158页).pdf(158页珍藏版)》请在三个皮匠报告上搜索。
1、2022022 2 年网络信息安全年网络信息安全态势态势年报年报数据智能运维运营中心数据智能运维运营中心2023-1恒安嘉新(北京)科技股份公司目录1 网络信息安全态势综述.11.1 数据安全保障专题.11.2 APT 活动态势专题.11.3 勒索病毒活动态势专题.11.4 数字货币挖矿监测分析专题.11.5 互联网漏洞分析篇.21.6 工业互联网态势分析篇.21.7 物联网&车联网态势分析篇.31.8 WEB 攻击分析篇.31.9 互联网恶意程序分析篇.31.10 移动互联网恶意程序分析篇.31.11 互联网诈骗分析篇.41.12 暗网数据态势分析篇.42 网络信息安全态势分析.52.1 数
2、据安全保障专题.52.2APT 活动态势专题.72.2.1APT 组织概述.72.2.2APT 组织攻击告警分析.262.3 勒索病毒活动态势专题.422.3.1 勒索病毒概述.422.3.2 勒索病毒告警态势分析.422.3.3 DarkSide 勒索病毒攻击告警分析.432.3.4 Bad Rabbit 勒索病毒攻击告警分析.462.3.5 GandCrab 勒索病毒攻击告警分析.502.3.6 勒索病毒防范和应急.532.4 数字货币挖矿监测分析专题.572.4.1 概述.572.4.2 矿场活动态势.572.4.3 矿机活动态势.622.4.4 木马挖矿态势.642.5 互联网安全漏洞
3、分析.652.5.1 漏洞类型分析.652.5.2 重点高危漏洞收录情况.672.5.3 IOT 漏洞分析.682.6 工业互联网态势分析.712.6.1 概述.712.6.2 标识解析节点分析.712.6.3 工控协议识别数据类型分布.762.6.4 工业平台设备测绘案例.772.6.5 工业管理平台漏洞案例分析.792.7 物联网&车联网态势分析.832.7.1 物联网协议识别数据分析.832.7.2 车联网协议识别数据分析.892.7.3 车联网平台漏洞案例.962.8 WEB 攻击分析.982.9 Spring 远程命令执行漏洞专题.992.9.1 概述.992.9.2 互联网暴露面资
4、产分析.1002.9.3 漏洞原理分析.1012.9.4 漏洞利用态势.1022.9.5 防范建议.1072.10 互联网恶意程序分析.1092.10.1 概述.1092.10.2 僵尸网络攻击类型分析.1092.10.3 木马程序攻击类型分析.1102.10.4 蠕虫病毒类型分析.1112.11 移动互联网恶意程序分析.1132.11.1 概述.1132.11.2 受害操作系统分析.1132.11.3 诱骗欺诈类型分布情况.1142.11.4 隐私窃取类型分布情况.1152.11.5 远程控制类型分布情况.1162.11.6 流氓行为类型分布情况.1172.11.7 资费消耗类型分布情况.1
5、182.11.8 恶意扣费类型分布情况.1192.11.9 恶意传播类型分布情况.1202.11.10 系统破坏类型分布情况.1212.12 互联网诈骗态势分析.1232.12.1 互联网诈骗每小时态势统计.1232.12.2 诈骗告警相关网址分析.1242.12.3 钓鱼网站告警分析.1272.12.4 仿冒 APP 分析.1402.12.5 恒安嘉新反诈运营效果.1412.13 暗网数据态势分析.1432.13.1 概述.1432.13.2 暗网数据类别分析.1432.13.3 暗网“数据-情报”类数据售卖态势分析.1442.13.4 暗网数据涉及区域分析.1452.13.5 暗网数据售卖
6、价额分析.1462.13.6 暗网数据热度分析.1473 网络信息安全态势总结.150第 1 页 共 153 页1 网络信息安全态势综述1.1 数据安全保障专题近期数据泄露事件频发,让数据安全问题受到极大关注。2022 年,恒安嘉新数据安全态势感知平台识别敏感数据 364 万条,涉及 8433 个应用和 11450 个 API接口;其中包含个人姓名 75 万条、手机号 188 万条、身份证 39 万条。明文传输敏感数据超 100 条以上系统 1151 个。1.2 APT 活动态势专题2022 年,恒安嘉新通过 APT 组织行为规则成功捕获 834637 个 IP 访问过 137个 APT 组织
7、 IOC。对国内受害资产访问 APT 组织 IOC 的告警进行分析发现,访问 Group 123APT 组织 IOC 的 IP 数量最多,其次是 Konni APT 组织。监控到的告警符合各 APT 组织活动范围及活动规律。1.3 勒索病毒活动态势专题2022 年,恒安嘉新通过勒索病毒行为规则成功捕获 1451 个 IP 访问过 70 个勒索病毒 IOC。对国内受害资产访问勒索病毒 IOC 的告警进行分析发现,访问GandCrab 勒索病毒 IOC 的 IP 数量最多,其次是 Ransom。1.4 数字货币挖矿监测分析专题2022 年,通过对挖矿监测数据进行分析,发现全国存在挖矿行为的矿场 I
8、P1086 个,包含矿机 49768 台。其中挖矿币种主要为 BTC 和 ETH;连接的矿池主第 2 页 共 153 页要为蚂蚁矿池(*)和 Poolin 矿池(*)。1.5 互联网漏洞分析篇2022 年,恒安嘉新收录的新增安全漏洞数量 23900 个。其中,包括高危漏洞8379 个(占 35.1%)、中危漏洞 12862 个(占 53.8%)、低危漏洞 2659 个(占11.1%)。2022 年活跃漏洞数量与 2021 年(26566 个)数量相比减少 10.0%。按照漏洞影响对象类型划分,WEB 应用类 10470 个,应用程序类 6856 个,网络设备(交换机、路由器等网络端设备)类 3
9、623 个,操作系统类 1150 个,智能设备(物联网终端设备)类 1064 个,数据库类 374 个,安全产品类 363 个。按照漏洞所属行业划分,电信行业漏洞 2580 个,移动互联网行业漏洞 1257个,工控行业漏洞 418 个,其他行业漏洞 19645 个。按照漏洞所属厂商划分,涉及漏洞厂商包括 WordPress、Google、Tenda、Adobe、Microsoft、IBM、TOTOLINK、D-Link、Huawei 和 Apache 等。1.6 工业互联网态势分析篇2022 年,恒安嘉新工业互联网平台监测到全国工业企业 406 万家,规模以上工业企业 37 万家。累计监测到工
10、业资产共 1683 万个,其中工业资产平台 2.4 万个,工业设备资产 1613 万个,工业 APP 2.5 万个,其他工业网络基础设施 65 万个。同时还监测到工业资产漏洞 15 万个,工业网络安全告警 36.7 亿起,成功攻击事件 684 万余起。中国工业互联网二级节点共 166 个,其中上海顶级节点登记二级节点最多,有 59 个。中国工业互联网三级节点(已在二级节点登记)的企业共 9645 家,共第 3 页 共 153 页登记在 153 个二级节点下,其中 88.118(江苏中天互联科技有限公司)登记三级节点最多,共 3215 家。1.7 物联网&车联网态势分析篇2022 年,恒安嘉新共
11、监测到的物联网&车联网协议识别数据 4.9 亿条,其中物联网协议识别数据占总数据量 95.8%,车联网协议识别数据占总数据量4.2%。物联网协议识别数据量最多的类型是“MQTT 协议”,占总物联网协议识别数据量的 71.0%。车联网协议识别数据量最多的类型是“特斯拉车辆识别”,占总车联网协议识别数据量的 62.6%。1.8 WEB 攻击分析篇2022 年,全国共监测 WEB 攻击告警近 14 亿条,其中,WEB 攻击告警次数最多的是“Apache Log4j2 远程代码执行漏洞”,占 2022 年总告警量的 39.5%。根据攻击行为分析发现,近两年攻击者采用的主要攻击手段没有太大变化,惯用“远
12、程命令/代码执行”、“注入攻击”、“弱口令登录”三类攻击手段。1.9 互联网恶意程序分析篇2022 年,全国共监测到僵尸网络、木马程序、蠕虫病毒告警近 1.5 亿条。其中,僵尸网络告警量占比 15.8%,木马程序告警量占比 83.8%,蠕虫病毒告警量占比 0.4%。1.10 移动互联网恶意程序分析篇2022 年,恒安嘉新共捕获到的移动恶意程序告警 2098 万条,其中最多的告第 4 页 共 153 页警为诱骗欺诈,占比 45.05%。移动恶意程序通常为擦边球的社交应用或者直播应用,通过其他带有诱惑性的视频或图片来推广下载,一旦用户安装,会存在窃听用户通话、窃取用户信息、破坏用户数据、擅自使用付
13、费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为。1.11 互联网诈骗分析篇恒安嘉新安全团队累计共研判互联网网址数量达 8.21 亿,其中发现互联网涉诈域名 1023.32 万余个,每月研判出的诈骗网址量在 100 万左右。反诈平台事件发现准确率达 90%以上,系统上线后报案率各省同比普遍下降 5%。1.12 暗网数据态势分析篇2022 年,恒安嘉新监测到暗网上的数据售卖事件 2241 例,共分为“服务业务类、基础知识、技能技术类、实体物品、数据-情报、私人专拍、虚拟物品、影视色情、虚拟资源、其它类别”十大类。其中售出量达到 6158 次。售卖价额共 5
14、0.24525 个比特币,约 602.94 万元,售卖成交额共 8.77675 个比特币,近 105.32万元。第 5 页 共 153 页2 网络信息安全态势分析2.1 数据安全保障专题近期数据泄露事件频发,让数据安全问题受到极大关注。有微博网友曝料,某学习软件数据库信息疑似被公开售卖,其中疑似泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息 1 亿 7273 万条。同时有大量网友反映自己的 QQ账号被盗,向好友及 QQ 群发送低俗广告和链接。酒店巨头万豪国际集团也证实了一起数据泄露事件,黑客们声称窃取了 20GB 的敏感数据,包括客人的信用卡信息。据 Dimensional Rese
15、arch 调研发现,80%以上的公司或机构遭遇了个人敏感信息相关数据泄露。在信息化和数字化飞速发展的今天,数据安全的保护是企业机构当下发展的重中之重。目前,恒安嘉新正在从三个方面搭建数据安全治理的总体框架。一是根据国家法律、法规、行业监管标准和最佳实践建立数据安全治理标准体系;二是围绕数据安全全生命周期制定对应管理流程和安全策略;三是基于具体的数据使用场景提供相关技术服务和数据安全产品。恒安嘉新数据安全态势感知平台,能够精准有效识别个人敏感数据风险、工业敏感数据风险和异常文件外发风险。2022 年,识别敏感数据 364 万条,涉及 8433个应用和 11450 个 API 接口;其中包含个人姓
16、名 75 万条、手机号 188 万条、身第 6 页 共 153 页份证 39 万条。明文传输敏感数据超 100 条以上系统 1151 个。数据安全态势感知平台截图数据安全态势感知平台截图第 7 页 共 153 页2.2 APT 活动态势专题2.2.1APT 组织概述2.2.1.1 Group123 APT 组织分析组织分析Group123,别名 APT37、Venus 121、Reaper 等,是一个活跃的朝鲜黑客组织,其攻击活动开始于 2012 年。APT37 的主要攻击目标为朝鲜的地理邻国,包括韩国、日本、俄罗斯、中国等,其中对韩国的攻击活动十分频繁。KonniAPT组织木马与 Nokki
17、 存在大量重叠,并疑似与 APT37 存在关联。APT37 的主要使命应该是收集情报来支持朝鲜的军事、政治和经济战略。这是因为其针对韩国公共和私有设施的持续攻击和社会工程。而 APT37 近期扩大目标范围似乎也与朝鲜的战略转变有关。2014 年到 2017 年,APT37 的主要攻击目标是韩国的政府、军事、国防工业、新闻单元。宣传材料使用的也是韩语,主题是朝鲜半岛统一或制裁。2017 年,APT37 攻击了一家中东的电信服务提供商,而该电信服务提供商刚成为朝鲜政府电信服务提供合资企业。其他的目标包括国际事务和贸易问题相关的人员等。朝鲜叛逃者和人群相关的攻击提供了关于 APT37 执行与朝鲜相关
18、的攻击行为的直接证据。APT37 攻击了与不同的朝鲜人权问题和战略研究机构相关的研究人员、咨询人员和记者。APT37 用注册韩国全球论坛 Korean Global Forum 的邮件来引诱韩国的学术和战略研究机构的方式传播 SLOWDRIFT 恶意软件。而该钓鱼邮件是通过一个被黑的进行朝鲜研究的韩国研究机构的邮箱发送的。第 8 页 共 153 页2.2.1.1.1攻击特征APT37 已被确认为针对韩国政企与脱北人员等政治目标,使用 RokRat、NavRat、KevDroid、PoorWeb 等标志性木马发动攻击的高效黑客团体。APT37 发起的攻击中,有一个显著特征为在投递执行阶段大量使用
19、携带 hwp文档的鱼叉邮件。hwp 文件是韩国主流文字处理软件 Hangul Office()专用的文档格式,也是政府使用的标准文档格式之一,作为邮件附件的常用文件格式在韩国广为使用。虽然没有 doc 文档类似的公式编辑器漏洞,朝鲜的黑客们依然积极尝试使用各类组件的漏洞构建恶意文档。APT37 作为以韩国为主要目标的黑客组织,在 hwp 文档的恶意利用上十分娴熟。除 hwp 文档以外,APT37 也积极使用包括 html、doc 等各类常规格式附件作为攻击载体。2.2.1.1.2攻击技术APT37 在近年多次攻击中利用了 eps 漏洞。Eps 是使用 PostScript 语言描述的一种图形文
20、件格式,可以输出高精度的 ASCII 图像。Hangul Office 软件使用 eps图像处理模块来处理 hwp 文档中的 eps 图像,但因为 eps 处理模块本身包含多个第 9 页 共 153 页漏洞,该处理流程容易被黑客利用执行恶意代码。在 17 年底 18 年初的攻击行动Evil New Year 2018 中,APT37 使用了携带 cve-2013-0808 漏洞的 hwp 文档进行攻击。cve-2013-0808是存在于eps图片查看器gldll32.dll模块中的缓冲区溢出漏洞,通过溢出点代码,esi 的值可以被修改,此后程序执行流从 esi 处获取地址并调用,导致任意代码执
21、行:如下图所示,Evil New Year 2018 使用的 hwp 文档内部包含一个 eps 文件,文件内容解压后暴露出 shellcode。该 shellcode 最终代码被加密,加密逻辑为异或:第 10 页 共 153 页该 shellcode 最终下载指定 url 下的文件,该文件是伪装成 png 图像的 RokRat木马。除常规类型的文件以外,APT37 还尝试过使用隐写图像作为跳板执行恶意程序。在 2019 年的一次攻击行动中,APT37 在鱼叉邮件中加入了扩展名为 jpge 的文件,并在邮件内容中诱导受害者下载短链接中的程序来打开 jpge 图像:两个短链接分别指向一个 exe
22、文件和 apk 文件,分别是恶意载荷加载器和安卓间谍应用。第 11 页 共 153 页该 exe 程序将自身伪装成一个图片查看器用于加载、解密并执行恶意载荷。该加载器会对输入的图片格式进行校验;如果用户尝试用查看器打开一个格式不符的普通图片,则会弹出“错误格式”的窗口。一个合法的格式如下所示:恶意载荷共两部分;第一部分为真实的图片载荷。图片载荷被秘钥解密并保存为临时文件后更新至木马的图形界面,其目的是通过展示图片查看功能从而降低用户的警惕性:第二部分为攻击者投递的恶意载荷。首先在内存中解密恶意载荷,当用户通过图形界面关闭该结束木马进程时,进程将转入后台继续执行,包含恶意载荷的线程随即启动:第
23、12 页 共 153 页该加载器最终在 jpge 文件中获取 RokRat 木马并执行。该安卓木马注册了自定义的广播接收器服务,该服务在用户接电话的同时开启了录音功能,从而实现了来电监听、记录:木马通过自定义的闹钟回调类完成和 C2 服务器的交互。每当一次闹钟事件触发后,木马会按顺序执行下列操作:1)向 C2 上传肉鸡的 MAC 地址、型号等指纹信息第 13 页 共 153 页2)收集肉鸡的录音文件3)向 C2 上传肉鸡的录音文件4)向 C2 服务器请求并执行密文远控指令,加密算法为 DES2.2.1.2 Lazarus APT 组织分析组织分析Lazarus 组织被认为是来自朝鲜的 APT
24、组织,攻击目标遍布全球,最早的活动时间可以追溯至 2007 年,其主要目标包括国防、政府、金融、能源等,早期主要以窃取情报为目的。自 2014 年后进行业务扩张,攻击目标拓展到金融机构、虚拟货币交易所等具有较高经济价值的对象。资料显示,2014 年索尼影业遭黑客攻击事件、2016 年孟加拉国银行数据泄露事件、2017 年美国国防承包商和能源部门、同年英韩等国比特币交易所攻击事件以及今年针对众多国家国防和航空航天公司的攻击等事件皆被认为与此组织有关。第 14 页 共 153 页2.2.1.2.1攻击特征Lazarus 早期多利用僵尸网络对目标进行 DDos 攻击;中后期主要攻击手段转为鱼叉攻击、
25、水坑攻击、供应链攻击等手法,还针对不同人员采取定向社会工程学攻击。Lazarus 组织的攻击主要有以下特点:攻击周期普遍较长,通常进行较长时间潜伏,并换不同方法诱使目标被入侵。投递的诱饵文件具有极强的迷惑性和诱惑性,导致目标无法甄别。攻击过程会利用系统破坏或勒索应用干扰事件的分析。利用 SMB 协议漏洞或相关蠕虫工具实现横向移动和载荷投放。每次攻击使用工具集的源代码都会修改,并且网安公司披露后也会及时修改源代码。2.2.1.2.2攻击技术Lazarus 使用的网络武器中包含大量定制工具,并且使用代码有很多相似之处。肯定地说,这些软件来自相同的开发人员,可以说明 Lazarus 背后有稳定的大型
26、开发团队。拥有的攻击能力和工具包括 DDoS botnets、keyloggers、RATs、第 15 页 共 153 页wiper malware,使用的恶意代码包括 Destover、Duuzer 和 Hangman 等。1.鱼叉攻击通常以邮件夹带恶意文档作为诱饵,常见文件格式为 DOCX,后期增加了BMP 格式。入侵方式主要利用恶意宏与 Office 常见漏洞、0day 漏洞、植入 RAT的手法。2.水坑攻击Lazarus 通常针对贫穷的或欠发达地区的小规模银行金融机构使用水坑攻击,这样就可以在短时间内大范围盗取资金。3.社工攻击Lazarus 擅长将社工技术运用到攻击周期中,无论是投递
27、的诱饵还是身份伪装,都令受害者无法甄别,从而掉入它的陷阱中。2020 年期间,Lazarus 在领英网站伪装招聘加密货币工作人员并发送恶意文档,旨在获取凭证从而盗取目标加密货币。2021 年,Lazarus Gourp 以网络安全人员身份潜伏在 Twitter 中,伺机发送嵌有恶意代码的工程文件攻击同行人员。从这些案例可以看出,Lazarus 针对的目标越来越明确,使用手法也越来越灵活直接。2.2.1.3“柠檬鸭柠檬鸭(LemonDuck)”APT 组织分析组织分析“柠檬鸭(LemonDuck)”最初由针对“驱动人生”发起的供应链攻击演变而来,攻击者利用“驱动人生”作为跳板,使蠕虫尽可能广泛地
28、传播。攻击者为具有一定专业能力的境外组织,发起或参与过大规模网络攻击活动(如构建僵尸第 16 页 共 153 页网络等)。至今“柠檬鸭(LemonDuck)”已发展成面向全球,主要针对政府与企业运行的终端设备,有组织、有计划的,以挖矿为目的高级长期威胁组织。其感染目标已不限于 Windows 主机,还有一部分运行嵌入式 Windows 7 系统的 IoT 设备同样受到波及,包括智能电视,智能扫描仪,工业 AGV 等,并在近期新增了针对 Linux 设备的攻击模块。受到感染的机器中绝大部分来自于政府与企业。值得注意的是“柠檬鸭(LemonDuck)”发动的攻击中会上传十分详尽的系统环境信息,这意
29、味着为其筛选“特定目标”进行下一步定向攻击做好了准备。利用威胁情报的监测分析,我们发现“柠檬鸭(LemonDuck)”APT 组织的目标受害者遍及全球,主要集中在亚洲地区,中国、新加坡、中国台湾、菲律宾的受害者最多,占全球比例的 67.4%。“柠檬鸭(LemonDuck)”感染区域2.2.1.3.1攻击特征经过分析,柠檬鸭 APT 组织攻击活动具有以下特征:起源于针对“驱动人生”供应链的 APT 攻击;持续时间长,从 2018 年 12 月份起持续至今;影响范围广泛,波及全球,已有数百万设备被感染;第 17 页 共 153 页传播途径多样,通过漏洞利用、Outlook 邮件、移动存储设备进行传
30、播;利用新冠疫情对邮件攻击模块做针对性升级,以提高感染效率;频繁利用开源项目及新披露漏洞的 POC 来增强蠕虫感染能力;多样性,迭代/升级的频率远超以往发现的同类型威胁攻击。以下是“柠檬鸭(LemonDuck)”整个的攻击链路图:“柠檬鸭(LemonDuck)”攻击链路图不同于常规的攻击链路,其攻击链路中:具有大量的远程恶意文件执行操作,且相互之间具有递归/嵌套执行的特点。其恶意脚本经过了相当复杂的加密和混淆(这帮助其规避绝大部分的引擎查杀)。在针对样本中涉及的域名及其解析 IP 的关联分析中发现:攻击者对于域名与服务器供应商选择的离散度很高,这增加接管及关停其黑色资产的难度,为攻击活动提供缓
31、冲期,便于其切换和迁移黑色资产。图中标红的域名为首次测试攻击所使用,且 一直沿用至今。第 18 页 共 153 页“柠檬鸭(LemonDuck)”IOC 关联分析图2.2.1.3.2攻击技术在持续的监测中,已经捕获到数十次攻击链的更新。其主要传播途径可分为三类:1)通过漏洞利用传播-端口扫描;-利用 EternalBlue/MS17-010,针对 Win7/Win8;-CVE-2020-0796(2020 年 4 月新增);-使用暴力破解(除自身携带字典外,还会将获取本地口令/凭证加入字典),针对$IPC、SMB、MS-SQL、RDP、NTLM、WMI、SSH(2020-06-01 新增,针对
32、 Linux root 账号);2)利用移动存储设备传播(CVE-2017-8464)-通过将恶意 DLL 与快捷方式(LNK)文件一起植入文件夹中,从而感染可移动 USB 驱动器和网络驱动器;-当使用解析.lnk 快捷方式文件的任何应用程序中打开驱动器时,快捷方式将执行恶意的 DLL 组件。3)利用 Outlook 邮件传播/社会工程学传播-借助新冠疫情,新增部分与新冠有关邮件主题;-随机选取邮件主题及内容,发送给感染主机上的所有 Outlook 联系人;-生成恶意文档(CVE-2017-8570,DDE),恶意 JS 文件。攻击者在利用 Outlook 进行的传播过程中,捕获的样本中邮件主
33、题是唯一第 19 页 共 153 页的,直接硬编码在脚本中。2.2.1.4 APT28 组织分析组织分析APT28 组织,也被称作“奇幻熊”(Fancy Bear,T-APT-12),Pawn Storm,SofacyGroup,Sednit 或 STRONTIUM,是一个长期从事网络间谍活动并与俄罗斯军方情报机构相关的 APT 组织,从该组织的历史攻击活动可以看出,获取国家利益一直是该组织的主要攻击目的。据国外安全公司报道,该组织最早的攻击活动可以追溯到 2004 年至 2007 年期间。APT28 拥有足够的资源,可以根据目标进行长时间的网络攻击活动。他们的攻击范围很广,破坏 DNS、钓鱼
34、攻击、水坑攻击等。最近开始对 Webmail 和云服务进行直接攻击,该组织在未来几年仍将保持活跃。2.2.1.4.1攻击特征APT28 在 历 史 的 攻 击 活 动 中 多 次 使 用 Zebrocy Downloader。Zebrocy第 20 页 共 153 页Downloader 包括 delphi 版本,nim 版本,Autolt 版本,VB.NET 版本,Visual C+版本,C#版本以及 go 版本。Zebrocy Downloader 主要功能为收集目标计算机的信息,在目标被确认后,植入下一阶段攻击组件。Zebrocy Downloader 通常使用两种方式进行攻击:1)作为
35、初始攻击释放的荷载,初始攻击通常为漏洞文档,漏洞文档会释放执行 Zebrocy Downloader。2)作为初始攻击的诱饵文件,这类攻击通常以钓鱼邮件的恶意附件出现,附件多数情况下为压缩包。压缩包会包含 Zebrocy Downloader 和诱饵文档两个文件,通常两个文件都会出现破损文件的提示信息误导用户点击执行。在少数情况附件只单独携带 Zebrocy Downloader。第 21 页 共 153 页2.2.1.4.2攻击技术APT28主要依赖3种不同的攻击途径来感染他们的目标:恶意Word和Excel,钓鱼网站,Java 和 Flash 漏洞。Sedkit 是 APT28 独家使用的
36、一个漏洞攻击工具包,主要包含 Flash 和InternetExplorer 中的漏洞,首次被发现时的使用方法是通过水坑攻击将潜在的受害者重定向到恶意页面。在此之后,APT28 首选的方法是将恶意链接嵌入到发送给目标的电子邮件中。DealersChoice 是 APT28 使用的另一个平台,能够生成嵌入了 Flash 漏洞的恶意文档。这个平台有两个变种。第一个变种会检查系统上安装了哪个 FlashPlayer版本,然后选择三个不同的漏洞中的一个进行攻击。第二个变种则会首先连接C2 服务器(Command&Control 服务器,指木马程序的控制端或控制木马的服务器),该服务器将提供选定的漏洞利
37、用和最终的恶意负载。APT28 今天仍然在使用这个平台,其针对欧洲与美国的政府机构和航空航天私营部门的攻击,就是在 DealersChoice 平台上使用了一个新的 Flash Nday 漏洞。APT28ATT&CK 技术矩阵TacticIDNameDescriptionInitial AccessT1193Spearphishing Attachment利用钓鱼邮件附件进行初始攻击T1204User Execution诱骗用户点击执行ExecutionT1106Execution through API调用 WinExec 启动自身T1059Command-Line Interface利用
38、cmd.exe 执行命令DefenseEvasionT1053Scheduled Task利用计划任务执行命令T1107File Deletion使用命令删除计划任务第 22 页 共 153 页T1202Indirect Command Execution利用计划任务间接执行 copy.exeCollectionT1113Screen Capture收集用户屏幕截图数据T1005Data from Local System收集系统信息数据CommandandControlT1071Standard Application Layer Protocol使用 http 协议通信Exfiltrati
39、onT1132Data Encoding对数据进行编码传输2.2.1.5“海莲花海莲花”APT 组织分析组织分析海莲花”(又名 APT32、OceanLotus),被认为是来自越南的 APT 攻击组织,自 2012 年活跃以来,一直针对中国的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动的最活跃的 APT 攻击组织之一。通过对该 APT 组织深入分析和持续追踪,发现该组织针对中国大陆的政府、海事机构、商务部门、研究机构的一系列攻击活动。此外发现该组织还在不断的更新他们的攻击武器库,无论是钓鱼的诱饵形式、payload 的加载、横向移动等。尤其值得注意的是,该组织针对不同的机器下发不同
40、的恶意模块,使得即便恶意文件被安全厂商捕捉到,也因为无相关机器特征而无法解密最终的 payload,无法知晓后续的相关活动。2.2.1.5.1攻击手段海莲花组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。为了隐蔽行踪,该组织还至少先后在 6 个国家注册了 C2(也称 C&C,是 Command and Control第 23 页 共 153 页的缩写)服务器域名 35 个,相关服务器 IP 地址 19 个,服务器分布在全球 13 个以上的不同国家。2.2.1
41、.5.2攻击流程攻击者利用带数字签名的 WPS 文件,通过社会工程学诱导受害者点击执行,运行以后会通过侧加载方式装载恶意 DLL,释放诱饵文档并且在内存中加载 DenesRAT 木马。DenesRAT 木马能够根据 C2 服务器下发的指令执行相应的功能,具备文件操作、注册表读写、设置环境变量和远程执行代码等功能的后门,该后门被插入大量花指令用于对抗分析。2.2.1.5.3攻击技术通过对海莲花组织的多个样本进行分析,梳理出该组织常用的技术手段如下:技术名称技术实现帐户枚举海莲花组织使用命令 net localgroup administrators 和枚举管理用户和 DC 服务器 netgrou
42、p Domain Controllers/domain。应用部署海莲花组织通过将恶意软件作为软件部署任务进行分发来破坏 McAfee ePO 的横向移动。填充技术海莲花组织包含垃圾代码,以误导反恶意软件和研究人员。命令行界面海莲花组织已使用 cmd.exe 来执行。第 24 页 共 153 页常用端口海莲花组织已将端口 80 用于 C2 通信。凭证转储海莲花组织使用 Mimikatz,GetPassword_x64 和 Windows Credential Dumper,HookChangePassword 和 Outlook Credential Dumper 的自定义版本来收集凭据。自定义
43、命令和控制协议海莲花组织使用 Cobalt Strike 的可延展 C2 功能与网络流量融合。该组的后门还可以通过在 DNS 数据包的 subdomain 字段中进行编码来窃取数据。此外,该组织的一个 macOS后门为包含随机值的 C2 数据包实现了一种特定的格式。数据压缩海莲花组织的后门在渗透之前已使用 LZMA 压缩。数据加密海莲花组织后门在渗透之前已经加密了数据,包括使用 RC4 加密。DLL 加载海莲花组织运行了来自 Symantec 和 McAfee 的经过合法签名的可执行文件,它们加载了恶意 DLL。该组还通过删除库和合法的,经过签名的可执行文件(AcroTranscoder)来加
44、载其后门程序。水坑攻击海莲花组织通过诱骗受害者访问受损的水坑网站来感染受害者。传输通道海莲花组织的后门已使用其 CC 服务器使用已打开的通道来窃取数据。恶意文档海莲花组织使用了 RTF 文档,其中包含用于执行恶意代码的漏洞。(CVE-2017-11882)权限提升海莲花组织已使用 CVE-2016-7255 升级特权。文件和目录发现海莲花组织的后门具有列出计算机上文件和目录的功能。文件和目录权限修改海莲花组织的 macOS 后门将其要执行的文件的权限更改为 755。文件删除海莲花组织的 macOS 后门可以接收“删除”命令。隐藏文件和目录海莲花组织的 macOS 后门通过 chflags 函数
45、隐藏了 clientID 文件。隐藏窗口海莲花组织使用 WindowStyle 参数隐藏 PowerShell 窗口。清除痕迹海莲花组织已清除选择事件数据条目伪装海莲花组织使用隐藏或非打印字符来帮助伪装系统上的文件名,例如将 Unicode 不间断空格字符附加到合法服务名之后。它们还通过将 pubprn.vbs 移和重命名为.txt 文件来避免检测。此外,该组已将 NetCat 二进制文件重命名为 kb-10233.exe,以伪装成 Windows 更新。修改服务海莲花组织修改了 Windows 服务,以确保在系统上加载 PowerShell 脚本。修改注册表海莲花组织的后门已修改 Windo
46、ws 注册表以存储后门的配置。执行代码海莲花组织已使用 mshta.exe 来执行代码。网络服务扫描海莲花组织在网络上执行了网络扫描,以搜索开放的端口,服务,操作系统指纹以及其他漏洞。权限维持海莲花组织创建 Windows 服务以建立持久性控制权限。隐藏负载海莲花组织使用 NTFS 备用数据流来隐藏其有效负载。混淆文件海莲花组织使用 Invoke-Obfuscation 框架对 PowerShell 进行模糊处理,并执行其他代码混淆处理。海莲花组织还使用 Base64 和称为“Dont-Kill-My-Cat(DKMC)”的框架第 25 页 共 153 页对有效载荷进行了编码。海莲花组织还在
47、macOS 后门中以 CBC 模式使用 AES-256 加密了用于网络渗透的库。后门宏海莲花组织在 Microsoft Outlook 中安装了后门宏以实现持久性。横向传递海莲花组织已将传递哈希用于横向移动。远程访问通过使用票证,海莲花组织成功获得了远程访问。PowerShell海莲花组织使用了基于 PowerShell 的工具,PowerShell 单一代码和 Shellcode 加载程序来执行。查询注册表海莲花组织的后门可以查询 Windows 注册表以收集系统信息。注册表运行键/启动文件夹海莲花组织使用注册表运行键建立持久性,以执行 PowerShell 和 VBS 脚本以及直接执行其后
48、门程序。计划任务海莲花组织创建了一个计划任务,该任务使用 regsvr32.exe 执行 COM 脚本,该脚本动态下载后门并将其注入内存。该小组还使用 regsvr32 运行其后门程序。水坑攻击海莲花组织已向受害网站添加了 JavaScript,以下载描述和损害网站访问者的其他框架。系统发现海莲花组织使用该 net view 命令显示所有可用的共享,包括诸如 C$和的管理共享ADMIN$。海莲花组织也使用了该 ping 命令。计划任务海莲花组织已使用计划任务将其保留在受害系统上。脚本编写海莲花组织使用了宏,PowerShell 脚本,COM 脚本和 VBS 脚本。服务执行海莲花组织的后门使用
49、Windows 服务作为执行其恶意负载的一种方式。签名脚本海莲花组织已在执行脚本中使用 PubPrn.vbs 执行恶意软件,可能绕过了防御措施。鱼叉式附件海莲花组织已发送带有恶意伪装成文档或电子表格的伪造电子邮件。鱼叉式链接海莲花组织已发送包含恶意链接的鱼叉式电子邮件。C2 控制海莲花组织使用的 JavaScript 通过 HTTP 或 HTTPS 与攻击者控制的域进行通信,以下载其他框架。该小组还通过 Office 宏将电子邮件用于 C2。该组的后门还可以通过在 DNS 数据包的 subdomain 字段中进行编码来窃取数据。系统信息海莲花组织已从受害者那里收集了操作系统版本和计算机名称。该
50、小组的一个后门还可以查询 Windows 注册表以收集系统信息,而另一个 macOS 后门在其与 CC 服务器的第一次连接上执行机器的指纹。网络配置海莲花组织使用该 ipconfig/all 命令从系统收集 IP 地址。网络连接海莲花组织使用该 netstat-anpo tcp 命令显示受害者计算机上的 TCP 连接。用户发现海莲花组织收集受害者的用户名并 whoami 在受害者的计算机上执行命令。时间戳海莲花组织已使用计划的任务原始 XML,其时间戳为 2016 年 6 月 2 日。该组还设置了漏洞利用第二阶段删除的文件的创建时间,以匹配 kernel32.dll 的创建时间。此外,海莲花组
51、织使用随机值来修改存储 clientID 的文件的时间戳。常用端口海莲花组织后门可以通过后门配置中指定的不常见的 TCP 端口(例如 14146)使用 HTTP。用户执行海莲花组织试图诱使用户执行通过鱼叉式附件传递的恶意投递器。有效帐号海莲花组织使用了合法的本地管理员帐户凭据。网页后门海莲花组织使用 Web Shell 来维护对受害网站的访问。Windows 管理员共享海莲花组织使用 Net 来使用 Windows 的隐藏网络共享将其工具复制到远程计算机上以执行。第 26 页 共 153 页Windows 管理规范海莲花组织使用 WMI 在远程计算机上部署其工具并收集有关 Outlook 进程
52、的信息。2.2.2APT 组织攻击告警分析2022 年,恒安嘉新通过 APT 组织行为规则成功捕获 834637 个 IP 访问过 137个 APT 组织 IOC。对国内受害资产访问 APT 组织 IOC 的告警进行分析发现,访问 Group 123APT 组织 IOC 的 IP 数量最多,其次是 Konni APT 组织。监控到的告警符合各 APT 组织活动范围及活动规律。2.2.2.1 Group 123 APT 组织攻击组织攻击告警告警分析分析2.2.2.1.1每月告警 IP 数分析从每月告警 IP 数维度进行分析,以下为 2022 年告警 IP 数的分布情况:第 27 页 共 153
53、页从上图可以看出,2022 年 2 月访问 Group 123APT 组织的 IP 数量最多,为89883 个。其次是 2022 年 1 月为 83343 个。2.2.2.1.2受影响 IP 资产分析从受影响的 IP 资产维度进行分析,以下为 2022 年 IP 资产告警量 TOP10 的情况:从上图可以看出,IP:120.XX.XX.210 产生的告警次数最多,占比为:31.3%。其次是 IP:59.XX.XX.15,占比为 26.6%。第 28 页 共 153 页2.2.2.1.3受影响地域分析2022 年,对命中 Group 123APT 组织告警量 TOP 10 的 IP 所属地域进行
54、分析,发现福建遭受的攻击告警最多,占比为 45.8%。其次是山东,占比为 15.7%:2.2.2.2 Konni APT 组织攻击告警分析组织攻击告警分析2.2.2.2.1每月告警 IP 数分析从每月告警 IP 数维度进行分析,以下为 2022 年告警 IP 数的分布情况:第 29 页 共 153 页从上图可以看出,2022 年 4 月访问 Konni APT 组织的 IP 数量最多,为 55549个。其次是 2022 年 3 月为 51509 个。2.2.2.2.2受影响 IP 资产分析从受影响的 IP 资产维度进行分析,以下为 2022 年 IP 资产告警量 TOP10 的情况:从上图可以
55、看出,IP:222.XX.XX.30 产生的告警次数最多,占比为:35.1%。其次是 IP:218.XX.XX.236,占比为 8.7%。2.2.2.2.3受影响地域分析2022 年,对命中 KonniAPT 组织告警量 TOP 10 的 IP 所属地域进行分析,发现江苏遭受的攻击告警最多,占比为 51.2%。其次是福建,占比为 20.2%:第 30 页 共 153 页2.2.2.3 Lazarus APT 组织攻击告警分析组织攻击告警分析2.2.2.3.1每月告警 IP 数分析从每月告警 IP 数维度进行分析,以下为 2022 年告警 IP 数的分布情况:从上图可以看出,2022年4月访问L
56、azarus APT组织的IP数量最多,为27899个。其次是 2022 年 5 月为 27774 个。第 31 页 共 153 页2.2.2.3.2受影响 IP 资产分析从受影响的 IP 资产维度进行分析,以下为 2022 年 IP 资产告警量 TOP10 的情况:从上图可以看出,IP:218.XX.XX.230 产生的告警次数最多,占比为:17.9%。其次是 IP:221.XX.XX.130,占比为 13.2%。2.2.2.3.3受影响地域分析2022 年,对命中 Lazarus APT 组织告警量 TOP 10 的 IP 所属地域进行分析,发现江苏遭受的攻击告警最多,占比为 60.5%。
57、其次是北京,占比为 20.6%:第 32 页 共 153 页2.2.2.4“柠檬鸭柠檬鸭”APT 组织攻击组织攻击告警告警分析分析2.2.2.4.1每月告警 IP 数分析从每月告警 IP 数维度进行分析,以下为 2022 年告警 IP 数的分布情况:从上图可以看出,2022 年 3 月访问“柠檬鸭”APT 组织的 IP 数量最多,为15585 个。其次是 2022 年 1 月为 13851 个。第 33 页 共 153 页2.2.2.4.2受影响 IP 资产分析从受影响的 IP 资产维度进行分析,以下为 2022 年 IP 资产告警量 TOP10 的情况:从上图可以看出,IP:218.XX.X
58、X.250 产生的告警次数最多,占比为:63.8%。其次是 IP:218.XX.XX.123,占比为 8.6%。2.2.2.4.3受影响地域分析2022 年,对命中“柠檬鸭”APT 组织告警量 TOP 10 的 IP 所属地域进行分析,发现江苏遭受的攻击告警最多,占比为 79.2%。其次是北京,占比为 5.3%:第 34 页 共 153 页2.2.2.5 APT28 组织攻击组织攻击告警告警分析分析2.2.2.5.1每月告警 IP 数分析从每月告警 IP 数维度进行分析,以下为 2022 年告警 IP 数的分布情况:从上图可以看出,2022 年 3 月访问 APT28 组织的 IP 数量最多,
59、为 20071个。其次是 2022 年 8 月,为 9568 个。第 35 页 共 153 页2.2.2.5.2受影响 IP 资产分析从受影响的 IP 资产维度进行分析,以下为 2022 年 IP 资产告警量 TOP10 的情况:从上图可以看出,IP:211.XX.XX.229 产生的告警次数最多,占比为:21.9%。其次是 IP:13.XX.XX.136,占比为 13.9%。2.2.2.5.3受影响地域分析2022 年,对命中 APT28 告警量 TOP 10 的 IP 所属地域进行分析,发现香港遭受的攻击告警最多,占比为 50.4%。其次是北京,占比为 25.6%:第 36 页 共 153
60、 页2.2.2.6“海莲花海莲花”APT 组织攻击组织攻击告警告警分析分析2.2.2.6.1每月告警 IP 数分析从每月告警 IP 数维度进行分析,以下为 2022 年告警 IP 数的分布情况:从上图可以看出,2022 年 8 月访问“海莲花”APT 组织的 IP 数量最多,为11849 个。其次是 2022 年 9 月,为 6824 个。第 37 页 共 153 页2.2.2.6.2受影响 IP 资产分析从受影响的 IP 资产维度进行分析,以下为 2022 年 IP 资产告警量 TOP10 的情况:从上图可以看出,IP:61.XX.XX.191 产生的告警次数最多,占比为:72.7%。其次是
61、 IP:123.XX.XX.2,占比为 11.3%。2.2.2.6.3受影响地域分析2022 年,对命中“海莲花”APT 组织告警量 TOP 10 的 IP 所属地域进行分析,发现甘肃遭受的攻击告警最多,占比为 61.5%。其次是北京,占比为 17%。第 38 页 共 153 页2.2.2.7“海莲花海莲花”APT 攻击攻击成功事件分析成功事件分析2.2.2.7.1事件简介XX 月 XX 日,恒安嘉新数据智能研究团队综合采用僵木蠕监测平台、恶意程序监测平台、金睛全流量态势感知平台等多源数据进行深度研判分析,发现XX 局 IP 地址 61.XX.XX.191 被用于“海莲花”APT 组织 Lin
62、ux 后门木马的主控端。2.2.2.7.2事件分析监测发现名为“HEUR:Trojan.Linux.Agent.ml”的 Linux 后门木马近期在互联网中较为活跃,且不断尝试向 XX 局 IP 地址 61.XX.XX.191 的 8443 端口发起上线请求和传输加密数据。对本次事件木马样本的行为比对及特征分析可以确认此事件与 APT 组织“海莲花”有关,该关联木马是 2 年前“海莲花”组织就已经使用的 Buni 变种木马,第 39 页 共 153 页整体功能改动不大。深入分析发现在.data 段存在硬编码 C2,通信端口为 8443端口,硬编码 C2 通过 0 xB1 异或解密,解密后即为
63、XX 局 IP 地址 61.XX.XX.191。木马样本代码该木马通过各类系统命令收集系统的基本信息,包括 CPU 架构、进程 PID、用户名、主机名、网卡信息等,再通过自定义通信协议数据包与主控端进行交互,木马在本地运行后使用随机进程名伪装,通过日志追踪和情报分析,发现“海莲花”APT 组织利用锐捷 EWEB 网管系统远程命令执行漏洞入侵了 XX 局 IP 地址 61.XX.XX.191,并将其作为 Buni变种木马的主控端和“海莲花”僵尸网络其中一个主控节点。XX 局 IP 地址 61.XX.XX.191 被“海莲花”APT 组织控制后,对香港IP:134.XX.XX.9 发起了僵尸网络上
64、线请求,同时对 XX 集团、XX 出版社等单位发起了主动攻击尝试行为。受控 IP受控 IP 归属控制端 IP控制端归属61.XX.XX.191XX 局103.XX.XX.103:6XX8香港XX 局 IP 向香港 IP 发起僵尸网络上线请求第 40 页 共 153 页攻击 IP攻击 IP 归属被攻击 IP被攻击 IP 归属61.XX.XX.191XX 局103.XX.XX.103XX 集团61.XX.XX.191XX 局103.XX.XX.103XX 出版社有限公司XX 局 IP 对 XX 集团、XX 出版社等单位发起攻击尝试2.2.2.7.3拓展分析利 用 金 睛 全 流 量 分 析,有 1
65、85 个 IP 地 址 主 动 访 问 了 主 控 端61.XX.XX.191:8443,有可能已经感染了“海莲花”Buni 变种木马,涉及数十家单位。主动访问主控端请求次数 TOP10IP 地址IP 接入单位139.XX.XX.76XX 云计算有限公司103.XX.XX.178XX 信息工程有限公司123.XX.XX.7XX 网络技术有限公司101.XX.XX.56XX 科技股份有限公司183.XX.XX.14XX 网络有限公司106.XX.XX.3XX 科技股份有限公司222.XX.XX.205XX 网络科技有限公司60.XX.XX.19XX 有限公司 XX 分公司222.XX.XX.18
66、1XX 有限公司 XX 分公司113.XX.XX.89XX 有限公司 XX 分公司通过本次捕获木马的特征关联分析,还找到了同特征的其他变种木马。进一步分析发现还有其他 5 个 IP 地址也部署有锐捷 EWEB 网管系统,且和海莲花Buni变种木马存在通讯。推测这些IP也曾遭受过海莲花APT组织的入侵和控制,涉及 XX 中心等重要单位。具体如下:同特征受害设施列表IP 地址归属运营商归属单位第 41 页 共 153 页103.XX.XX.178XXXX 中心60.XX.XX.19XX/111.XX.XX.234XX/221.XX.XX.89XX/122.XX.XX.74XX/第 42 页 共 1
67、53 页2.3 勒索病毒活动态势专题2.3.1勒索病毒概述勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。勒索病毒文件一旦被用户点击打开,会利用连接至黑客的 C&C 服务器,进而上传本机信息并下载加密公钥。然后,将加密公钥写入到注册表中,遍历本地所有磁盘中的 Office 文档、图片等文件,对这些文件进行格式篡改和加密;加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。该类型病毒可以导致重要文
68、件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。2.3.2勒索病毒告警态势分析自 2022 年 1 月 1 日至 2022 年 12 月 31 日,恒安嘉新通过勒索病毒行为规则成功捕获 1451 个 IP 访问过 70 个勒索病毒 IOC。对国内受害资产访问勒索病毒IOC 的告警进行分析发现,访问 GandCrab 勒索病毒 IOC 的 IP 数量最多,其次是 Ransom。下图为各勒索病毒家族告警趋势图。第 43 页 共 153 页2.3.3DarkSide 勒索病毒攻击告警分析DarkSide 勒索病毒于 2020 年 8 月被首次发现,其背后的运营者及其附属机构曾发起过
69、全球性的犯罪狂潮,该勒索团伙已经袭击了近百个受害者,并影响了超过 15 个国家的多个行业和组织。与其它勒索软件一样,这些犯罪分子会进行多方面的勒索,如数据窃取、本地加密,以威胁受害者支付解密赎金,2021 年 5月该团伙袭击了美国最大成品油管道运营商 Colonial Pipeline 公司的工业控制系统。DarkSide 勒索软件团伙在近一年的时间里开展非常频繁的勒索攻击,此前该组织的部分私钥泄露使得部分老版本病毒加密的文件能够得以解密。图 1 DarkSide 解密工具第 44 页 共 153 页DarkSide 勒索软件运行之后,会解密 RSA-1024 的公钥信息和配置信息到内存中。公
70、钥信息包括 RSA-1024 用到的 e 和 n,配置文件包括其在加密受害用户文件前需要排除的文件后缀名、文件路径、需要杀死的系统进程、服务以及 CC地址等相关信息。此外,勒索病毒会通过动态调用 GetUserDefaultLangID 和 GetUserDefaultUILanguage 函数判断系统语言。排除系统语言为俄语的国家。图 2 检测系统语言勒索软件会加密除以下后缀名之外的其他后缀文件:图 3 排除文件后缀名2.3.3.1每月每月告警告警事件事件数分析数分析从每月告警事件数维度进行分析,以下为 2022 年每月告警事件数的趋势情况:第 45 页 共 153 页从上图可以看出,202
71、2 年 8 月遭受 DarkSide 勒索的事件数量最多,为 23926个。其次是 2022 年 9 月为 9723 个。2.3.3.2受影响受影响 IP 资产分析资产分析从受影响的 IP 资产维度进行分析,以下为 IP 资产告警量 TOP10 的情况:表 1 IP 资产告警量 TOP10序号访问勒索病毒 IOC 主机访问次数1210.*.*.2277042210.*.*.1912813180.*.*.15259454.*.*.672265114.*.*.382106180.*.*.1411747180.*.*.1481368183.*.*.2001299114.*.*.671061034.*
72、.*.11198从上表可以看出,IP:210.*.*.2 产生的告警次数最多,占比为:95%第 46 页 共 153 页2.3.3.3受影响地域分析受影响地域分析对命中 DarkSide 勒索病毒告警量 TOP 10 的 IP 所属地域进行分析,发现北京遭受的攻击告警最多,占比为 95%:图 4 DarkSide 勒索病毒告警量 TOP 102.3.4Bad Rabbit 勒索病毒攻击告警分析2017 年,名为“坏兔子”(the Bad Rabbit)的勒索病毒正在东欧和俄罗斯地区传播,据悉,目前影响了俄罗斯部分媒体组织,乌克兰的部分业务,包括基辅的公共交通系统和国家敖德萨机场,此外还影响了保
73、加利亚和土耳其。“坏兔子”主要是通过伪装 flash 安装程序让用户下载运行和暴力枚举 SMB服务帐号密码的形式进行传播,使用“永恒浪漫”漏洞进行传播,感染形式上和此前的 NotPetya 勒索病毒相似,会主动加密受害者的主引导记录(MBR)。“坏兔子”在勒索赎金上有所变化,初始赎金为 0.05 比特币,随时间的推移会进一步增加赎金。第 47 页 共 153 页“坏兔子”会试图感染目标主机上的以下类型文件和主引导分区。图 5 感染文件列表“坏兔子”勒索病毒并没有利用任何漏洞,需要受害者手动启动下载名为install_flash_player.exe 的可行性文件,该文件需要提升的权限才能运行,
74、WindowsUAC 会提示这个动作,如果受害者还是同意了,病毒就会按照预期运行。感染此恶意软件的计算机会将用户跳转到.onion Tor 域,提示受害者需要支付 0.05 比特币的赎金解锁他们的数据。付款的网架设在 Tor 网络中。第 48 页 共 153 页图 6 支付勒索赎金网站2.3.4.1每月每月告警告警事件事件数分析数分析从每月告警事件数维度进行分析,以下为 2022 年每月告警事件趋势的分布情况:从上图可以看出,2022 年 1 月遭受 Bad Rabbit 的勒索事件数量最多,为 2916个。其次是 2022 年 3 月为 136 个。第 49 页 共 153 页2.3.4.2
75、受影响受影响 IP 资产分析资产分析从受影响的 IP 资产维度进行分析,以下为 IP 资产告警量 TOP10 的情况:表 2 IP 资产告警量 TOP10序号访问勒索病毒 IOC 主机访问次数1222.*.*.2163057213.*.*.1592663208.*.*.174384212.*.*.7219549.*.*.15676124.*.*.21957219.*.*.5748222.*.*.162923.*.*.2821077.*.*.812从上表可以看出,IP:222.*.*.216 产生的告警次数最多,占比为:91%2.3.4.3受影响地域分析受影响地域分析对命中 Bad Rabbit
76、 告警量 TOP 10 的 IP 所属地域进行分析,发现上海市遭受的攻击告警最多,占比为 99%:第 50 页 共 153 页图 7 Bad Rabbit 勒索病毒告警量 TOP 102.3.5GandCrab 勒索病毒攻击告警分析GandCrab 勒索病毒于 2018 年 1 月面世以来,短短一年内历经多次版本更新,目前最新的版本为 V5。该病毒利用多种方式对企业网络进行攻击传播,受感染主机上的数据库、文档、图片、压缩包等文件将被加密,若没有相应数据或文件的备份,将会影响业务的正常运行。V5 版本面世以来,GandCrab 出现了包括了 5.0、5.0.2、5.0.3、5.0.4 以及最新的
77、 5.0.5 多个版本的变种。病毒采用Salsa20和 RSA-2048 算法对文件进行加密,并修改文件后缀为.GDCB、.GRAB、.KRAB 或 5-10 位随机字母,勒索信息文件为 GDCB-DECRYPT.txt、KRAB-DECRYPT.txt、5-10 随机字母-DECRYPT.htmltxt,并将感染主机桌面背景替换为勒索信息图片。图 8 GandCrab 背景图GandCrab 病毒家族主要通过 RDP 暴力破解、钓鱼邮件、捆绑恶意软件、僵尸网络以及漏洞利用传播。病毒本身不具有蠕虫传播能力,但会通过枚举方式对第 51 页 共 153 页网络共享资源进行加密,同时攻击者往往还会通
78、过内网人工渗透方式,利用口令提取、端口扫描、口令爆破等手段对其他主机进行攻击并植入该病毒。病毒首先会结束以下进程,其中包括数据库、office 套件、游戏客户端等 mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe、thebat64.exe、thunderbird.exe、v
79、isio.exe、winword.exe、wordpad.exe。图 9 病毒结束进程列表随后病毒会识别键盘布局,对指定语言区域主机不进行加密,如俄罗斯,但不包含中国。第 52 页 共 153 页图 10 检测键盘布局最后遍历本地磁盘及网络共享资源,加密除白名单以外的所有文件,并生成勒索信息文件,其中白名单包括文件扩展名、系统目录及系统文件。2.3.5.1每月每月告警告警事件事件数分析数分析从每月告警事件数维度进行分析,以下为 2022 年每月告警事件趋势的分布情况:从上图可以看出,2022 年 6 月遭受 GandCrab 的勒索事件数量最多,为 1397个。其次是 2022 年 3 月为
80、73 个。2.3.5.2受影响受影响 IP 资产分析资产分析从受影响的 IP 资产维度进行分析,以下为 IP 资产告警量 TOP10 的情况:表 3 IP 资产告警量 TOP10序号访问勒索病毒 IOC 主机访问次数147.*.*.66622219.*.*.18853第 53 页 共 153 页347.*.*.2749447.*.*.6443547.*.*.17941661.*.*.194387119.*.*.14131847.*.*.161309222.*.*.9425108.*.*.24524从上表可以看出,IP:47.*.*.66 产生的告警次数最多,占比为:13%2.3.5.3受影响地
81、域分析受影响地域分析对命中 GandCrab 勒索病毒告警量 TOP 10 的 IP 所属地域进行分析,发现山西省遭受的攻击告警最多,占比分别为 52%:图 11 GandCrab 勒索病毒告警量 TOP 102.3.6勒索病毒防范和应急2.3.6.1防范措施防范措施1.加强主机设备、应用、数据库等安全配置。通过主机安全防护产品收集各类设第 54 页 共 153 页备的安全配置数据,比对安全基线及时发现设备上的不符合安全要求的配置项,及时做出告警或远程下发加固脚本。2.关注最新的漏洞,及时更新电脑上的终端安全软件,修复最新的漏洞。3.在内网部署全息诱捕系统,将恶意流量引入到诱捕密网,并且在第一
82、时间识别进入到内部网络中的恶意 IOC 信息。结合全流量分析系统,持续跟踪监控恶意IOC 相关攻击数据,对入侵行为进行全流程解析。4.培养员工的安全意识,与员工一起开展安全意识培训、检查和讨论:1)设置高强度的密码,而且要不定期进行密码的更新,避免使用统一的密码,统一的密码会导致企业多台电脑被感染的风险,此前我就遇到过一个企业内网的密码都使用同一个的情况,导致企业内部多台电脑被勒索加密。2)企业内部应用程序的管控与设置,所有的软件都由 IT 部门统一从正规的网站进行下载,进行安全检测之后,然后再分发给企业内部员工,禁止员工自己从非正规的网站下载安装软件。3)企业内部使用的 office 等软件
83、,要进行安全设置,禁止宏运行,避免一些恶意软件通过宏病毒的方式感染主机。4)从来历不明的网站下载的一些文档,要经过安全检测才能打开使用,切不可直接双击运行。5)谨慎打开来历不明的邮件,防止被邮件钓鱼攻击和垃圾邮件攻击,不要随便点击邮件中的不明附件或快捷方式,网站链接等,防止网页挂马,利用漏洞攻击等。6)可以不定期进行安全攻防演练,模拟攻击等,让员工了解黑客有哪些攻击第 55 页 共 153 页手法。7)可以给员工进行勒索病毒感染实例讲解,用真实的勒索病毒样本,进行模拟感染攻击,让员工了解勒索病毒的危害。5.养成良好的备份习惯,对重要的数据和文档进行定期非本地备份,可使用移动存储设置保存关键数据
84、,同时要定期测试保存的备份数据是否完整可用。2.3.6.2应急响应应急响应1.隔离被感染的服务器主机。拔掉中毒主机网线,断开主机与网络的连接,关闭主机的无线网络 WIFI、蓝牙连接等,并拔掉主机上的所有外部存储设备。2.确定被感染的范围。查看主机中的所有文件夹、网络共享文件目录、外置硬盘、USB 驱动器,以及主机上云存储中的文件等,是否已经全部加密了。3.确定是被哪个勒索病毒家族感染的,在主机上进行溯源分析,查看日志信息等。主机被勒索病毒加密之后,会在主机上留上一些勒索提示信息,我们可以先去加密后的磁盘目录找到勒索提示信息,有些勒索提示信息上就有这款勒索病毒的标识,显示是哪一种勒索病毒。如果日
85、志被删除了,可以去主机上找相关的病毒样本或可疑文件,通过这些可疑的文件来猜测可能是通过哪种方式进来的,有些是能过银行类木马下载传播的,有些是通过远控程序下载传播的,有些是通过网页挂马方式传播的,还可以去主机的浏览器历史记录中去找相关的信息等等。4.找到病毒样本,提取主机日志,进行溯源分析之后,关闭相应的端口、网络共享、打上相应的漏洞补丁,修改主机密码,安装高强度防火墙,防病毒软件等措第 56 页 共 153 页施,防止被二次感染勒索。5.进行数据和业务的恢复,如果主机上的数据存在备份,则可以还原备份数据,恢复业务,如果主机上的数据没有备份,可以在确定是哪种勒索病毒家族之后,查找相应的解密工具。
86、或者尝试通过一些磁盘数据恢复手段,恢复被删除的文件。第 57 页 共 153 页2.4 数字货币挖矿监测分析专题2.4.1概述2021 年 5 月 21 日,国务院金融稳定发展委员会召开第五十一次会议,研究部署下一阶段金融领域重点工作。官方文件称,将打击比特币挖矿和交易行为,坚决防范个体风险向社会领域传递。2021 年 11 月 24 日,国家发改委、工信部、公安部等部门发布通知,加强虚拟货币“挖矿”活动上下游全产业链监管,严禁以数据中心名义开展虚拟货币“挖矿”活动。针对矿池、矿场、矿机等治理对象,恒安嘉新技术团队提取了多种数字货币的挖矿协议通讯特征,对网络流量中的挖矿行为进行持续监测。本专题
87、主要针对 2022 年矿场的网络活动态势进行深入分析,为虚拟货币“挖矿”活动精准监管和打击提供相应的数据支撑。2.4.2矿场活动态势2.4.2.1矿场识别原理矿场识别原理恒安嘉新技术团队通过分析矿机挖矿活动的网络通信过程,发现矿机首先会通过 DNS 服务器解析矿池域名;其次矿机会通过 Stratum 协议登录矿池,订阅挖矿任务,提交工作量证明,同时矿池也通过 Stratum 协议分配挖矿任务,调节挖矿难度,该过程可以通过专有挖矿协议规则进行匹配。规则匹配过程如下图所示:第 58 页 共 153 页通过精准识别网络流量中的挖矿协议动作,可以有效分析出矿机登录矿池时使用的账户名。而矿场是多个矿机集
88、中托管挖矿的场所,通常一个矿场的出口 IP的挖矿流量中会包含大量有规律的账户名。如下表所示:序号出口 IP账户名1110.184.xx.15zz1616.10 x35x38x1582110.184.xx.15zz1616.10 x35x38x1453110.184.xx.15zz1616.10 x35x38x1584110.184.xx.15zz1616.10 x35x38x159180110.184.xx.15zz1616.10 x35x38x182从表中可以看到 110.184.xx.15 这个 IP 地址的挖矿流量中包含了 180 个不同的矿机用户,且账户名均为 zz1616 作为前缀,
89、以内网 IP 地址 10 x35x38x*作为后缀。因此可以判断该矿场至少有 180 台矿机在进行集中挖矿活动且矿场的出口IP 为 110.184.xx.15。本报告中将同一 IP 的挖矿流量中包含 10 个以上有规律的账户名的地址作为矿场的出口 IP 地址。第 59 页 共 153 页2.4.2.2当前矿场概况当前矿场概况通过对 2022 年的挖矿监测数据进行分析,发现全国存在挖矿行为的矿场 IP1086 个,包含矿机 49768 台。其中挖矿币种主要为 BTC 和 ETH;连接的矿池主要为蚂蚁矿池(*)和 Poolin 矿池(*)。2.4.2.3矿场挖矿币种分布矿场挖矿币种分布通过对 20
90、22 年的挖矿监测数据进行分析,发现矿场 IP 主要挖矿币种为 BTC和 ETH,占比分别为 42.8%和 26.1%。2.4.2.4矿场连接矿池分布矿场连接矿池分布通过对 2022 年的挖矿监测数据进行分析,发现矿场 IP 挖矿矿池主要为:蚂蚁矿池(*)和 Poolin 矿池(*)。第 60 页 共 153 页2.4.2.5矿场规模变化情况矿场规模变化情况2022 年,活跃矿场规模 TOP5 如下表所示:矿场 IP矿机数223.11.15.XXX481101.249.114.XXX468223.11.42.XXX460223.11.46.XXX456101.249.124.XXX456通过对
91、 2022 年的挖矿监测数据进行分析,发现矿场 IP 数量和矿机数量 1 月份至 7 月份整体呈下降趋势,7 月份至 12 月份数量缓慢上升后回落。第 61 页 共 153 页对比相邻月份之间减少的矿场数量和矿机数量以及增加的矿场数量和矿机数量。从矿场 IP 数量趋势中可以发现,每月都有矿场下线,不再进行网络活动,同时也有矿场加入到挖矿活动中。第 62 页 共 153 页2.4.3矿机活动态势2.4.3.1当前矿机概况当前矿机概况通过对 2022 年的挖矿监测数据分析发现,除了上述矿场 IP 以外,还有 20806个 IP 地址存在个人挖矿行为,包含矿机 36479 台,主要挖矿币种为 ETH
92、 和 XMR。2.4.3.2矿机挖矿币种分布矿机挖矿币种分布通过对 2022 年的挖矿监测数据进行分析,发现个人挖矿 IP 主要挖矿币种为ETH 和 XMR,占比分别为:39.4%和 28.1%。第 63 页 共 153 页2.4.3.3矿机连接矿池分布矿机连接矿池分布通过对 2022 年的挖矿监测数据进行分析,发现个人挖矿 IP 挖矿矿池主要为:F2Pool()和蜜蜂矿池(eth-pool.beepool.org)。2.4.3.4矿机数量变化情况矿机数量变化情况从数量变化趋势来看,6 月份增长幅度较大,7 月份至 8 月份下降明显,9第 64 页 共 153 页月份至 12 月份呈缓慢上升趋
93、势。2.4.4木马挖矿态势通过对 2022 年的挖矿监测数据进行分析,发现全国被植入木马进行挖矿行为的 IP 地址 239868 个。木马挖矿币种主要为门罗币。从数量变化趋势来看,2022 年 1 月份至 8 月份,木马挖矿 IP 活动数量呈下降趋势,9 月份至 12 月份有所回升。第 65 页 共 153 页2.5 互联网安全漏洞分析2022 年,恒安嘉新收录的新增安全漏洞数量 23900 个。其中,包括高危漏洞 8379 个,可被远程利用的数量 19720 个,2022 年活跃漏洞数量与 2021 年(26566 个)数量相比减少 10.0%。2.5.1漏洞类型分析按照漏洞危害级别划分,2
94、022 年收录高危漏洞 8379 个(占 35.1%)、中危漏洞 12862 个(占 53.8%)、低危漏洞 2659 个(占 11.1%)。漏洞按等级分布按照漏洞影响对象类型划分,WEB 应用类 10470 个,应用程序类 6856 个,网络设备(交换机、路由器等网络端设备)类 3623 个,操作系统类 1150 个,智能设备(物联网终端设备)类 1064 个,数据库类 374 个,安全产品类 363 个。第 66 页 共 153 页漏洞按影响对象类型分布按照漏洞所属行业划分,电信行业漏洞 2580 个,移动互联网行业漏洞 1257个,工控行业漏洞 418 个。其中,“ZTE MF286R
95、SQL 注入漏洞”、“Apple iOSand iPadOS 任意代码执行漏洞”、“ABB MicroSCADAPro SYS600 代码执行漏洞”、“Siemens Industrial 产品拒绝服务漏洞”等漏洞的综合评级为“高危”。漏洞按所属行业统计按照漏洞所属厂商划分,涉及漏洞厂商包括 WordPress、Google、Tenda、Adobe、Microsoft、IBM、TOTOLINK、D-Link、Huawei 和 Apache 等。其中,第 67 页 共 153 页收录 WordPress 漏洞位列第一,共 1035 个;收录 Google 漏洞位列第二,共 663个;收录 Ten
96、da 漏洞位列第三,共 556 个。具体如下所示。漏洞所属厂商排名 TOP 102.5.2重点高危漏洞收录情况2022 年,收录的重点高危漏洞(部分)如下:2022 年重点高危漏洞列表漏洞名称漏洞描述影响对象类型 漏洞参考链接Aruba ClearPass Policy Manager 远程命令注入漏洞(CNVD-2022-55527)Aruba ClearPass Policy Manager 是美国 Aruba 公司的一个应用系统提供无线网络安全接入管理系统。Aruba ClearPass Policy Manager 6.10.4 及之前版本、6.9.9 及之前版本和 6.8.9-HF2
97、 及之前版本的 web 管理界面存在远程命令注入漏洞,经过身份验证的远程攻击者利用该漏洞在底层主机上运行任意命令。应用程序https:/nvd.nist.gov/vuln/detail/CVE-2022-23666Aruba ClearPass Policy Manager 远程命令注入漏洞(CNVD-Aruba ClearPass Policy Manager 是美国 Aruba 公司的一个应用系统提供无线网络安全接入管理系统。Aruba ClearPass Policy Manager 6.10.4 及之前版本、6.9.9 及之前版本和 6.8.9-HF2 及之前版本的 web 管理界应用
98、程序https:/nvd.nist.gov/vuln/detail/CVE-2022-23663第 68 页 共 153 页2.5.3 IOT 漏洞分析2022 年,收录涉及 IOT 产品漏洞数量共计 5027 个,其中高危漏洞 2031 个(占 40.4%),中危漏洞 2632 个(占 52.4%),低危漏洞 364 个(占 7.2%),2022-55532)面存在远程命令注入漏洞。攻击者可利用该漏洞在底层主机上运行任意命令。Online Ordering System SQL注入漏洞Online Ordering System 是一个多商店订购系统,可用于任何小型企业。Online Ord
99、ering System 2.3.2版本存在SQL注入漏洞,该漏洞源于/ordering/admin/user/index.php?view=editid=页面缺少对外部输入 SQL 语句的验证,攻击者可利用该漏洞执行非法 SQL 命令窃取数据库敏感数据。WEB 应用https:/ Member Hero plugin 代码注入漏洞WordPress 和 WordPress plugin 都是 WordPress 基金会的产品。WordPress 是一套使用 PHP 语言开发的博客平台。该平台支持在 PHP 和 MySQL 的服务器上架设个人博客网站。WordPress plugin 是一个应
100、用插件。WordPress Member Hero plugin 1.0.9 版本及之前版本存在代码注入漏洞,该漏洞源于不验证 AJAX 操作中的请求参数。攻击者可利用该漏洞调用不带参数的任意 PHP函数。WEB 应用https:/ ClearPass Policy Manager 远程身份验证绕过漏洞Aruba ClearPass Policy Manager 是美国 Aruba 公司的一个应用系统提供无线网络安全接入管理系统。Aruba ClearPass Policy Manager 6.10.4 及之前版本、6.9.9 及之前版本和 6.8.9-HF2 及之前版本存在远程身份验证绕过漏
101、洞。攻击者可利用该漏洞在底层主机上运行任意命令。应用程序https:/nvd.nist.gov/vuln/detail/CVE-2022-23660Aruba ClearPass Policy Manager 远程命令注入漏洞(CNVD-2022-55530)Aruba ClearPass Policy Manager 是美国 Aruba 公司的一个应用系统提供无线网络安全接入管理系统。Aruba ClearPass Policy Manager 6.10.4 及之前版本、6.9.9 及之前版本和 6.8.9-HF2 及之前版本存在远程命令注入漏洞。攻击者可利用该漏洞在底层主机上运行任意命令。
102、应用程序https:/nvd.nist.gov/vuln/detail/CVE-2022-23662Aruba ClearPass Policy Manager 远程命令注入漏洞(CNVD-2022-55531)Aruba ClearPass Policy Manager 是美国 Aruba 公司的一个应用系统提供无线网络安全接入管理系统。Aruba ClearPass Policy Manager 6.10.4 及之前版本、6.9.9 及之前版本和 6.8.9-HF2 及之前版本的 web 管理界面存在远程命令注入漏洞。攻击者可利用该漏洞在底层主机上运行任意命令。应用程序https:/nvd
103、.nist.gov/vuln/detail/CVE-2022-23664第 69 页 共 153 页具体如下所示。IOT 漏洞按等级分布涉及 IOT 产品高危漏洞列表(部分)漏洞名称危害等级影响对象类型漏洞参考链接Zyxel NBG6604 访问控制错误漏洞高网络设备(交换机、路由器等网络端设备)https:/nvd.nist.gov/vuln/detail/CVE-2021-35034D-Link DIR-X1860 拒绝服务漏洞(CNVD-2022-11517)高网络设备(交换机、路由器等网络端设备)https:/nvd.nist.gov/vuln/detail/CVE-2021-4144
104、1Netgear Nighthawk R6700 授权问题漏洞高网络设备(交换机、路由器等网络端设备)https:/nvd.nist.gov/vuln/detail/CVE-2021-23147Trendnet AC2600 TEW-827DRU 身份验证绕过漏洞高网络设备(交换机、路由器等网络端设备)https:/ TLR-2005KSH访问控制错误漏洞高网络设备(交换机、路由器等网络端设备)https:/ NETGEAR D7000授权问题漏洞(CNVD-2022-06684)高网络设备(交换机、路由器等网络端设备)https:/nvd.nist.gov/vuln/detail/CVE-2
105、021-45495Huawei Smartphone 缓冲区溢出漏洞(CNVD-2022-08047)高智能设备(物联网终端设备)https:/nvd.nist.gov/vuln/detail/CVE-2021-39993D-Link DIR-2640 信任管理问题漏洞高网络设备(交换机、路由器等网络端设备)https:/nvd.nist.gov/vuln/detail/CVE-2021-20132Zyxel GS1900操作系统命令高网络设备(交换机、路由 https:/nvd.nist.gov/vuln/detail/第 70 页 共 153 页注入漏洞器等网络端设备)CVE-2021-3
106、5032Tenda G1 and G3 缓冲区溢出漏洞(CNVD-2022-10750)高网络设备(交换机、路由器等网络端设备)https:/ 71 页 共 153 页2.6 工业互联网态势分析2.6.1概述2022 年,恒安嘉新工业互联网平台监测到全国工业企业 406 万家,规模以上工业企业 37 万家。累计监测到工业资产共 1683 万个,其中工业资产平台 2.4 万个,工业设备资产 1613 万个,工业 APP 2.5 万个,其他工业网络基础设施 65 万个。同时还监测到工业资产漏洞 15 万个,工业网络安全告警 36.7 亿起,成功攻击事件 684 万余起。中国工业互联网二级节点共 1
107、66 个,其中上海顶级节点登记二级节点最多,有 59 个。中国工业互联网三级节点(已在二级节点登记)的企业共 9645 家,共登记在 153 个二级节点下,其中 88.118(江苏中天互联科技有限公司)登记三级节点最多,共 3215 家。2.6.2标识解析节点分析2.6.2.1全国二级节点数据分析全国二级节点数据分析2.6.2.1.1二级节点登记分布中国工业互联网二级节点共 166 个,分别登记在上海、北京、广州、重庆、武汉 5 个顶级节点,其中上海顶级节点登记二级节点最多,有 59 个。表 1 全国二级节点登记分布序号顶级节点二级节点个数1上海592北京423广州33第 72 页 共 153
108、 页4重庆175武汉152.6.2.1.2二级节点企业地区分布中国工业互联网二级节点共 166 个,企业分布在北京、安徽、广东、江苏等25 个省,其中江苏省最多,共 41 个企业。表 2 全国二级节点企业地市 TOP10 分布序号地市企业个数1江苏省412广东省293北京市214重庆市115上海市106湖北省87山东省78浙江省69辽宁省510河南省32.6.2.1.3二级节点企业行业分布中国工业互联网二级节点共 166 个,企业共涉及信息传输、软件和信息技术服务业、制造业等 14 个行业大类,其中信息传输、软件和信息技术服务业最多,共 84 家。第 73 页 共 153 页图 1 二级节点企
109、业行业大类分布共涉及软件和信息技术服务业、互联网和相关服务、电信、广播电视和卫星传输服务等 38 个行业小类,其中软件和信息技术服务业最多,共 49 家。图 2 二级节点企业行业小类分布第 74 页 共 153 页2.6.2.2全国三级节点数据分析全国三级节点数据分析2.6.2.2.1三级节点登记分布中国工业互联网三级节点(已在二级节点登记)的企业共 9645 家,共登记在 153 个二级节点下,其中 88.118(江苏中天互联科技有限公司)登记三级节点最多,共 3215 家。表 3 三级节点登记分布 TOP10序号节点名称节点标识三级节点登记个数1江苏中天互联科技有限公司88.1183215
110、2广东鑫兴科技有限公司88.1689763济南大陆机电股份有限公司88.1636704重庆建工建材物流有限公司88.1934685大同煤矿集团有限责任公司88.1354516欣旺达电子股份有限公司88.2384467吴忠市聚创大数据运营有限责任公司88.1622358紫光云技术有限公司88.1552059中检集团溯源技术有限公司88.13318910福州市电子信息集团有限公司88.1211742.6.2.2.2三级节点企业地区分布中国工业互联网三级节点(已在二级节点登记)的企业共 9645 家,共分布在安徽省、北京市、福建省等 32 个省及自治区,其中江苏省最多,有 2853 家。表 4 三级
111、节点企业地区分布 TOP10序号地区企业个数1江苏省28532广东省17573重庆市5194山东省5135浙江省5036上海市4747山西省4418北京市266第 75 页 共 153 页9宁夏回族自治区24010福建省2352.6.2.2.3三级节点企业行业分布中国工业互联网三级节点(已在二级节点登记)的企业共 9645 家,企业共涉及信息传输、软件和信息技术服务业、批发和零售业等 19 个行业大类,其中制造业最多,有 4861 家。图 3 三级节点企业行业大类分布中国工业互联网三级节点(已在二级节点登记)的企业共 9645 家,企业共涉及保险业、餐饮业等 91 个行业小类,其中批发业最多,
112、共 913 家。第 76 页 共 153 页图 4 三级节点企业行业小类分布 TOP102.6.3工控协议识别数据类型分布对 2022 年监测到的工控协议识别数据分析发现,数据量最多的是“moxa-nport 协议”,占总工控协议识别数据量的 7.4%,如下表所示。工控协议识别数据类型 TOP5 统计协议识别数据类型数据占比moxa-nport 协议7.4%hollysys-macs 协议3.5%HART-IP 协议3.1%lantronix 协议0.5%EtherNet/IP 协议0.5%通过下图可以看出工控协议识别数据类型 TOP5 情况:第 77 页 共 153 页工控协议识别数据类型排
113、行 TOP52.6.4工业平台设备测绘案例恒安嘉新安全运营团队针对相关监测数据深入分析,梳理测绘出大量的平台数采网关工控设备完整通联关系。典型案例如下:2.6.4.1某生产智能监控平台某生产智能监控平台利用流量和通联数据分析,梳理测绘出某生产智能监控平台进行生产数据通讯的数采网关 4 台,对应压铸机、冷媒机和冲片机等工业设备 186 台。示意图第 78 页 共 153 页通联测绘图2.6.4.2某工业互联网设备故障预警与诊断平台某工业互联网设备故障预警与诊断平台利用流量和通联数据分析,梳理测绘出某工业互联网设备故障预警与诊断平台进行生产数据通讯的数采网关 8 个,对应电机、水泵汽机等设备达 2
114、2812 个。示意图第 79 页 共 153 页通联测绘图2.6.5工业管理平台漏洞案例分析2.6.5.1某智慧环境云平台弱口令漏洞某智慧环境云平台弱口令漏洞取得相关单位授权后,恒安嘉新安全运营团队对平台告警数据深入分析后发现通过弱口令漏洞可登陆某环境云平台,该平台具备多个工业控制项目的紧急停止启动的功能、以及项目管理等众多功能,涉及大量敏感数据和私有协议。同时利用该平台登录权限,可远程进行测流控制存在进一步进行渗透可能,获取服务器权限,危及内网安全的风险。给企业安全生产带来风险和隐患,甚至造成重大经济损失。第 80 页 共 153 页漏洞截图2.6.5.2某工程掘进风险预警远程监控系统某工程
115、掘进风险预警远程监控系统 SQL 注入漏洞注入漏洞取得相关单位授权后,恒安嘉新安全运营团队对平台告警数据深入分析后发现平台登录界面存在用户名参数存在 SQL 注入,从数据库情况来看,多个平台共用一个生产库,涉及大量生产数据。通过密码解密登录平台。平台具备实时预警统计、预警流程处理、风险预警配置、掘进机状态监测、进度统计、地质信息评估、塌方动态预警、周围岩质查询等功能、涉及大量生产数据。若预警数据被修改,可能导致大型生产事故的发生。同时利用该平台登录权限,可远程进行测流控制存在进一步进行渗透可能,获取服务器权限,危及内网安全的风险。给企业安全生产带来风险和隐患,甚至造成重大经济损失。通过用户名密
116、码可登录平台,该平台具备人员管理、SIM 卡管理、终端调试等众多功能,涉及大量敏感数据和私有协议。同时利用该平台登录权限,可远程进行测流控制存在进一步进行渗透可能,获取服务器权限,危及内网安全的风险。给企业安全生产带来风险和隐患,甚至造成重大经济损失。第 81 页 共 153 页漏洞截图2.6.5.3某水轮泵水电站网站弱口令漏洞某水轮泵水电站网站弱口令漏洞取得相关单位授权后,恒安嘉新安全运营团队对平台告警数据深入分析后发现可以直接以管理员身份进入后台系统,可监测到水轮泵站全部信息,包括泵站信息、水情测报等多个站点信息及系统管理操作。如果被不法分子利用此弱口令,就能实时监测各处的水泵闸门开闭状态
117、及控制权限,实时对应当前雨量、水位情况。在关键时间节点下进行恶意操作,将会造成严重影响,波及人民的生命财产安全。第 82 页 共 153 页漏洞截图第 83 页 共 153 页2.7 物联网&车联网态势分析2.7.1物联网协议识别数据分析2.7.1.1物联网协议识别数据类型分布物联网协议识别数据类型分布对 2022 年监测到的物联网协议识别数据分析发现,数据量最多的类型是“MQTT 协议”,占总物联网协议识别数据量的 71.0%,如下表所示。物联网协议识别数据类型 TOP5 统计数据名称通讯次数占比MQTT 协议71.0%DDS-RTP 协议9.5%RTPS 协议9.4%joylink 协议3
118、.2%EDP 协议0.9%通过下图可以看出物联网协议识别数据类型 TOP5 情况:物联网协议识别数据类型排行 TOP5第 84 页 共 153 页2.7.1.2物联网物联网协议识别数据协议识别数据跨境通讯跨境通讯情况情况物联网协议数据跨境通讯的境外地区排行 TOP10 如下:物联网协议数据跨境通讯的境外地区排行 TOP10物联网协议数据与境外地区通讯的数据类型 TOP5 如下:物联网协议数据与境外地区通讯的数据类型 TOP5由上图可知,物联网协议数据跨境通讯数据量最多的境外地区是托斯卡纳大区,其次为纽约州和卢瓦尔河谷大区;对物联网协议数据与境外地区通讯的数据第 85 页 共 153 页类型分析
119、发现,数据量最多的类型是“MQTT 协议”,占境外地区通讯的物联网协议识别数据量的 45.3%2.7.1.3物联网物联网漏洞利用漏洞利用告警分析告警分析2022 年,恒安嘉新对监测到的物联网漏洞利用告警分析发现,告警数量最多的类型是“MVPower DVR-shell 命令执行漏洞”,占总物联网漏洞利用告警数的 64.1%,详情如下表所示。物联网漏洞利用告警类型 TOP10 统计告警名称告警数占比MVPower DVR-shell 命令执行漏洞64.1%Netgear DGN 设备远程认证绕过漏洞13.8%Netlink GPON 路由器命令执行漏洞11.5%Vacron VIEWLOG-远程
120、命令执行漏洞3.5%华为路由器 HG532 安全漏洞2.9%D-Link-通过 UPnP 接口进行 OS 命令注入漏洞0.5%D-Link DSL-2750B-系统命令注入漏洞0.5%Netgear 路由器-cgi_bin-远程命令注入漏洞0.5%Vacron_NVR-远程命令执行漏洞0.5%CCTV-DVR-远程代码执行漏洞0.4%第 86 页 共 153 页2.7.1.3.1物联网漏洞利用告警境外攻击源分布情况物联网漏洞利用告警境外地区 TOP10 排行境外攻击源物联网漏洞利用告警类型 TOP5 如下:境外攻击源物联网漏洞利用告警类型 TOP5由上图可知,物联网漏洞利用告警量最多的境外地区
121、是加利福尼亚州,其次为弗吉尼亚州和西开普省;对境外攻击源物联网漏洞利用告警类型分析发现,告警量最多的类型是“MVPower DVR-shell 命令执行漏洞”,占境外攻击源物联第 87 页 共 153 页网漏洞利用告警量的 66.2%。2.7.1.4物联网僵尸网络告警分析物联网僵尸网络告警分析2.7.1.4.1物联网僵尸网络告警总体分析2022 年,恒安嘉新共监测到的物联网僵尸境外控制端 4474 个、国内控制端7556 个、国内受控端 38421 个。物联网僵尸网络家族类型告警统计家族类型境外控制端数国内控制端数国内受控端数僵尸网络 Gafgyt 家族41020944938僵尸网络 Mira
122、i 家族4062543333347僵尸网络 Tsunami 家族229136物联网僵尸网络各家族告警类型如下表所示:物联网僵尸网络告警类型家族类型告警名称僵尸网络 Gafgyt 家族僵尸网络 HEUR:Backdoor.Linux.Gafgyt.bj-上线僵尸网络 HEUR:Backdoor.Linux.Gafgyt.av-上线僵尸网络 DDoS.IoT.Gafgyt 主控发送指令到肉鸡僵尸网络 DDoS.IoT.Gafgyt 传播命令僵尸网络 DDoS.IoT.Gafgyt 肉鸡发送上线包且主控回包-上线验证僵尸网络 Backdoor.Linux.Gafgyt.y 上线僵尸网络 Backdo
123、or.Linux.Gafgyt.bj-上线僵尸网络 Backdoor.Linux.Gafgyt.az 上线僵尸网络 Backdoor.Linux.Gafgyt.am 脚本命令传输僵尸网络 Backdoor.Linux.Gafgyt.am 上线僵尸网络 Backdoor.Linux.Gafgyt.aj 上线僵尸网络 Backdoor.Linux.Gafgyt.af 上线Trojan.Linux.Gafgyt.m!e 上线IOT 僵尸网络 Gafgyt 通信信息IOT 僵尸网络 Gafgyt 上线僵尸网络 Mirai 家族僵尸网络 DDoS.IoT.Mirai 通信-bot 端爆破特征僵尸网络 B
124、ackdoor.Linux.Mirai.c 登录特征第 88 页 共 153 页僵尸网络 DDoS.IoT.Mirai 通信特征-心跳包僵尸网络 DDoS.IoT.Mirai 通信特征-用户上线僵尸网络 mirai.arm 下载文件特征僵尸网络 Backdoor.Linux.Mirai.ad 上线事件僵尸网络 mirai 下载文件特征僵尸网络 Tsunami 家族僵尸网络 Tsunami-全版本-上线Gafgyt 是一款基于 IRC 协议的物联网僵尸网络程序,主要用于发起 DDoS攻击。它可以利用内置的用户名、密码字典进行 telnet 爆破和对 IOT 设备 RCE(远程命令执行)漏洞利用进
125、行自我传播。于2015年泄露源码并被上传至github,此后衍生出多个变种,次年对互联网上的 IOT 设备的总感染数达到 100W。Gafgyt家族曾发起过峰值 400Gbps 的 DDoS 攻击。Mirai 是一种扫描互联网上基于 ARC 处理器 IOT 设备的僵尸网络程序,ARC处理器设备上运行的是精简版 Linux 操作系统,假设用户没有更改 ARC 处理器设备上的默认用户名和密码组合,那么 Mirai 僵尸网络程序能够轻易登录并感染该类设备。于 2016 年 9 月,该 Mirai 僵尸网络程序的作者在一个著名安全专家的网站上发起了 DDoS 攻击,一周后,该作者疑似为隐藏此次攻击的源
126、头,在互联网中公布了 Mirai 僵尸网络程序源代码,此后 Mirai 僵尸网络程序代码被互联网黑客们广泛复制传播与利用。同年 10 月,Mirai 僵尸网络程序攻击的大量出现导致美国大范围网络瘫痪。Tsunami 僵尸网络基于 Internet 中继聊天(IRC)的命令控制服务器操作,在受感染设备的配置中修改 DNS 服务器设置,使来自物联网设备的流量被重定向到攻击者控制的恶意服务器。Tsunami 僵尸网络主要使用下载器下载、利用漏洞、远程登录扫描等方式进行传播。此外,该僵尸网络的主要功能为远程控制、DDoS攻击和其他恶意行为。第 89 页 共 153 页2.7.1.4.2境外物联网僵尸网
127、络主控端分布情况境外地区物联网僵尸网络主控端分布 TOP10 排行序号地区主控端数1首尔5782京畿道2883巴西2014日本1475韩国1266奥克西塔尼大区1027哥伦比亚988釜山广域市879东京都7810庆尚南道76物联网僵尸网络主控端数境外地区 TOP10 排行物联网僵尸网络主控端数境外地区 TOP10 排行2.7.2车联网协议识别数据分析2.7.2.1车联网协议识别数据类型车联网协议识别数据类型分析分析对2022年监测到的车联网协议识别数据分析发现,数据量最多的类型是“特第 90 页 共 153 页斯拉车辆识别”,占总车联网协议识别数据量的 62.6%,如下表所示。车联网协议识别数
128、据类型 TOP5 统计数据名称通讯次数占比特斯拉车辆识别62.6%GB_T_32960 协议_平台登入7.3%JTT905 协议_位置信息汇报6.0%JTT905 协议_ISU 报警6.0%T808 协议信息上报5.0%通过下图可以看出车联网协议识别数据类型 TOP5 情况:车联网协议识别数据类型排行 TOP5车联网协议识别数据类型“特斯拉车辆识别”占据榜首位置,TOP5 中占比62.6%,是 2022 年数据量最多的车联网协议识别类型。2.7.2.2车联网协议识别数据车联网协议识别数据跨境通讯情况跨境通讯情况车联网协议数据跨境通讯的境外地区排行 TOP10 如下:第 91 页 共 153 页
129、车联网协议数据跨境通讯的境外地区排行 TOP10车联网协议数据与境外地区通讯的数据类型 TOP5 如下:车联网协议数据与境外地区通讯的数据类型 TOP5由上图可知,车联网协议数据跨境通讯数据量最多的境外地区是加利福尼亚州,其次为俄勒冈州和黑森州;对车联网协议数据与境外地区通讯的数据类型分析发现,数据量最多的类型是“特斯拉车辆识别”,占境外地区通讯的车联网协议识别数据量的 80.9%。第 92 页 共 153 页2.7.2.3特斯拉跨境通讯特斯拉跨境通讯数据分析数据分析恒安嘉新通过特斯拉车联网协议特征识别监测到特斯拉新能源汽车和特斯拉车联网平台直接的通讯行为 62 万次,共涉及车联网平台域名 2
130、7 个。其中境外通讯 3036 次,涉及车联网平台域名 14 个。具体情况如下:表 1:特斯拉新能源汽车和特斯拉车联网平台通讯情况27 个特斯拉车联网平台域名中,采用 HTTP 协议的请求地址 2 个,经分析发现具体的通讯动作是特斯拉车辆与车联网平台之间通联状态确认请求。其他 25个域名地址均采用了 HTTPS 协议加密通讯,因此无法获得其传输的具体内容。但根据车辆通信识别码、域名特征、通讯目的地和通讯次数等深入分析可以得出如下结论:一、跨境通讯包含敏感业务第 93 页 共 153 页特斯拉车辆境外通讯次数虽然不多,但有 11 个域名的全部通讯都指向境外。从域名特征分析,对应业务包含位置信息(
131、)、RUM 信息收集()、车辆文件(vehicle-)等。二、特定数据请求指向境外节点1)akamai-apigateway-gio-、owner- 3 个域名的大部分通讯指向了亚马逊云的国内节点,但依然有少量通讯数据包指向了境外。对这3个域名的境内外通讯归属车辆进行分析发现同一辆车针对同一个域名的通讯记录存在境内外 2 个不同的目的地指向,具体见下图的浅橙色标记部分。推测特斯拉车联网平台同一个域名下的不同数据接口对应的通讯节点存在区别,大部分请求会指向国内节点,但存在少部分特定数据请求指向境外节点。表 2:同一辆车针对同一个域名的通讯记录样例三、国内节点数据存在通过亚马逊云内网传输至境外的可
132、能特斯拉车联网平台采用亚马逊云进行 CDN 加速,在国内的主要节点位于北京。但特斯拉车辆数据上报到亚马逊的国内节点后,存在通过亚马逊云的内部网第 94 页 共 153 页络传输到境外其他节点的可能性。图 1:特斯拉车联网平台域名 CND 加速情况2.7.2.4车联网车联网协议识别案例协议识别案例2.7.2.4.1车联网管理平台识别对物联网卡通联记录中目的 IP,进行常用端口探测获取页面内容,通过语义分析嗅探结果及人工运营分析,统计出车联网管理平台,目前已完成对全国多个车联网平台 IP 发现。部分车联网管理平台详情如下表:IP 地址端口平台名称所属公司访问量终端数58.248.166.xx80车
133、联网平台 2.0XX 科技有限公司281xxx187xx119.29.100.xx80车车助手XX 网络科技有限公司1169xxx80 xx222.240.204.xx9090XX 道路运输车辆卫星定位系统监控平台XX 科技开发有限公司4790 xxx63xx218.75.139.xx9080XX 市出租车综合监管平台XX 交通科技有限公司33xxx41xx113.247.234.xx8999车载监控平台其他971xxx38xx119.29.82.xx5003GPS 在线监控XX 科技有限公司2799xxx37xx第 95 页 共 153 页2.7.2.4.2车辆信息识别对 T808、GB_T
134、_32960 协议的通联数据包深度解析和整合分析,可以获取车辆基本信息。其中部分详情如下表:终端卡号省域 ID市县 ID制造商 id终端型号终端 ID车牌颜色车牌号6481123xxxx4310070107HB-DV061232740黄色湘AY55XX6481122xxxx1310170101ET-578D1229689黄色湘AY57XX6481122xxxx348270444FHT-GPS/PKE900D1229597黄色湘AY17XX6489317xxxx0083172309黄色湘AY55XX2.7.2.4.3车辆违规行为识别通过对 T808 协议流量中的车辆运行状态
135、进行分析,将持续行驶时长超 4 小时的车辆判定为可能存在疲劳驾驶,其中部分详情如下表:终端手机号持续行驶时间(小时)212150500 xx6400345977xx6400345977xx6648678437xx5通过对车辆行驶速度进行分析,将行驶速度超过 100km/h 的客运车辆判定为可能存在超速行为,部分详情如下表:终端手机号:纬度经度高度速度0159619900 xx北纬 32.196222东经 130.61975011 米120 km/h0648977255xx北纬 31.932094东经 110.5783864 米110 km/h0144350194xx北纬 32.014453东经
136、 122.49416113 米107 km/h0144350194xx北纬 32.518134东经 121.36289611 米132 km/h0400209566xx北纬 32.014453东经 123.14931022 米129 km/h第 96 页 共 153 页2.7.3车联网平台漏洞案例2.7.3.1某智能环保自卸车监控平台弱口令漏洞某智能环保自卸车监控平台弱口令漏洞取得相关单位授权后,恒安嘉新安全运营团队对平台告警数据深入分析后发现通过弱口令漏洞可登陆某智能环保自卸车监控平台,该平台具备全国各地环卫车的控制指令下发、紧急停止启动的功能、以及在线政务、车辆调配等众多功能,涉及大量敏感
137、数据和私有协议。同时利用该平台登录权限,存在进一步进行渗透可能,获取服务器权限,危及内网安全的风险。给企业安全生产带来风险和隐患,甚至造成重大经济损失。2.7.3.2某车联网平台未授权访问漏洞某车联网平台未授权访问漏洞取得相关单位授权后,恒安嘉新安全运营团队对平台告警数据深入分析后发现某车联网平台可绕过登录直接访问管理后台,可以查看相关车辆信息,对远程车载终端下达危险指令造成不良危害。第 97 页 共 153 页第 98 页 共 153 页2.8 WEB 攻击分析2022 年,全国共监测 WEB 攻击告警近 14 亿条,其中,WEB 攻击告警次数最多的是“Apache Log4j2 远程代码执
138、行漏洞”,占 2022 年总告警量的 39.5%,如下表所示。web 攻击告警类型 TOP5 统计告警名称告警占比Apache Log4j2 远程代码执行漏洞39.5%跨站脚本攻击(XSS)7.6%fastjson 远程代码执行2.4%MVPower DVR-shell 命令执行漏洞2.2%struts2(s2-029)远程代码执行漏洞2.1%通过下图可以看出 web 攻击告警类型排行情况:web 攻击告警类型排行情况Apache Log4j 是一个基于 Java 的日志记录组件。Apache Log4j2 是 Log4j 的升级版本,通过重写 Log4j 引入了丰富的功能特性。该日志组件被广
139、泛应用于业务系统开发,用以记录程序输入输出日志信息。由于 Log4j2 组件在处理程序日志记录时存在 JNDI 注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发 Log4j2 组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。第 99 页 共 153 页2.9 Spring 远程命令执行漏洞专题2.9.1概述2022 年,互联网上曝出 Spring 框架存在 RCE 0day 漏洞。已经证实由于SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行(RCE),Spring core 是 Spr
140、ing 系列产品中用来负责发现、创建并处理 bean 之间的关系的一个工具包,是一个包含 Spring 框架基本的核心工具包,Spring 其他组件都要使用到这个包。未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。该漏洞广泛存在于 Spring 框架以及衍生的框架中,JDK 9.0 及以上版本会受到影响。使用旧 JDK 版本的产品不受影响。受此漏洞影响的条件:JDK9=Spring Cloud FunctionApache Tomcat 作为 Servlet 容器以传统的 WAR 格式打包(与 Spring Boot 的可执行 jar 相比)。基于 spring-webmvc 或者 s
141、pring-webflux 的依赖Spring 框架的 5.3.0 至 5.3.17、5.2.0 至 5.2.19 版本,以及旧版本事实上,如果我们回顾一下 Spring 框架的发展历程,会发现这不是 Spring框架第一次被曝出漏洞。2009 年 9 月 Spring 3.0 RC1 发布后,Spring 就引入了 SpEL(Spring ExpressionLanguage)。SpEL 是基于 spring 的一个表达式语言,类似于 struts 的 OGNL,能够在运行时动态执行一些运算甚至一些指令,类似于 Java 的反射功能。第 100 页 共 153 页类比 Struts2 框架,
142、会发现绝大部分的安全漏洞都和 OGNL 脱不了干系。尤其是远程命令执行漏洞,这导致 Struts2 越来越不受待见。因此,Spring 引入 SpEL 必然增加安全风险。事实也是如此,过去多个 SpringCVE 都与其相关:表 1 spring 框架历史影响漏洞漏洞编号漏洞名称CVE-2016-4977Spring Security OAuth2 远程命令执行CVE-2017-4971Spring Web Flow 框架远程代码执行CVE-2017-8046Spring Data Rest 远程命令执行命令CVE-2018-1270Spring Messaging 远程命令执行突破CVE-2
143、018-1273Spring Data Commons 远程命令执行漏洞2.9.2互联网暴露面资产分析根据通过资产探测系统发现,显示全球范围内使用 SpringBoot 框架共有 1,141,725 个相关服务对外开放。中国使用数量最多,共有 531,594 个;美国第二,共有 306,873 个;德国第三,共有 41,449 个;新加坡第四,共有 31,445 个;韩国第五,共有 30,754 个。图 1 使用 Spring 框架世界占比图第 101 页 共 153 页中国大陆地区北京使用数量最多,共有 78,410 个;浙江第二,共有 65,499个;广东第三,共有 55,699 个;上海
144、第四,共有 48,127 个;山东第五,共有15,430 个。图 2 国内使用 spring 框架数据统计图2.9.3漏洞原理分析恒安嘉新安全团队目前发现网络上已经曝出的漏洞利用 exp 主要是通过修改日志配置的方式将 shell 以日志的方式进行写入,但这种利用方式存在严重缺陷,如果文件写入成功后,每次访问 http 请求就会继续在文件追加写入,这可能会造成大量的垃圾数据将磁盘写满影响服务器正常运行,以下为漏洞成因分析:Spring中变量覆盖漏洞的利用方式是修改Class属性中的classLoader相关信息,但正常情况下开发人员不会在POJO中添加Class的属性,而在Spring框架中使
145、用了Intropector.getBeanInfo()来获取POJO的属性,Intropector.getBeanInfo()有多种实现方式,如下所示:第 102 页 共 153 页图 3 Intropector.getBeanInfo()多种实现方式Spring最终调用的代码如下所示:图 4 Spring最终调用的代码直接使用了Intropector.getBeanInfo(ClassbeanClass),这个方法会导致在获取对象信息的时候会包含一个Class属性。如下图所示:图 5 获取对象信息时包含的Class属性但如果使用Intropector.getBeanInfo(Classbea
146、nClass,Class stopClass)的方式就不会包含class属性,如下所示:图 6 漏洞成因2.9.4漏洞利用态势从 2022 年 4 月 1 日至 2022 年 12 月 31 日,恒安嘉新技术团队监测到来自 93个国家的 147670 个 IP 地址利用该漏洞对 554916 个受害 IP 发起了 12452618 次攻击。第 103 页 共 153 页2.9.4.1漏洞漏洞利用活动趋势利用活动趋势2.9.4.1.1境外地区攻击源漏洞利用趋势自 2022 年 4 月 1 日至 2022 年 12 月 31 日,境外地区攻击源 SpringCore-RCE漏洞利用告警数随漏洞热度
147、呈起伏不定趋势。建议各单位尽快进行自查,及时修复漏洞,避免资产遭受更严重的损失。图 7 境外攻击源漏洞利用趋势图2.9.4.1.2境内攻击源漏洞利用趋势自 2022 年 4 月 1 日至 2022 年 12 月 31 日,境内攻击源 springcore-rce 漏洞利用告警数随漏洞热度呈起伏不定趋势。建议各单位尽快进行自查,及时修复漏洞,避免资产遭受更严重的损失。第 104 页 共 153 页图 8 境内攻击源漏洞利用趋势图2.9.4.2攻击源情况分析攻击源情况分析2.9.4.2.1境外地区攻击源分布恒安嘉新共监测到来自 89 个境外国家的 43695 个攻击 IP 地址利用SpringCo
148、re 远程代码执行漏洞攻击,境外攻击 IP 归属地区 TOP5 如下表所示。境外攻击 IP 归属地区 TOP5境外攻击IP归属地区TOP5境外攻击 IP 占比伦敦38.60%黑森州23.24%加利福尼亚州11.38%新泽西州6.70%乔治亚州4.83%境外攻击 IP 归属地区 TOP5 统计如下图所示。第 105 页 共 153 页图 9 境外攻击 IP 归属地区 TOP5由上述图表可知,利用 SpringCore 远程代码执行漏洞发起攻击的境外 IP 数量最多的归属地区是伦敦,占境外攻击 IP 总量的 38.6%,其次为黑森州与加利福尼亚州,分布占 23.24%与 11.38%。2.9.4.
149、2.2境内地区攻击源分布恒安嘉新共监测到来自境内 34 个地区的 97264 个攻击 IP 地址利用SpringCore 远程代码执行漏洞发起攻击,境内攻击 IP 归属地区 TOP5 占比如下表所示。境内攻击 IP 归属地区 TOP5境内攻击 IP 归属地区 TOP5境内攻击 IP 占比浙江39.63%江苏23.30%香港20.10%重庆9.20%北京7.32%境内攻击 IP 归属地区 TOP5 统计如下图所示。第 106 页 共 153 页图 10 境内攻击 IP 归属地区 TOP5由上述图表可知,利用 SpringCore 远程代码执行漏洞发起攻击的境内 IP 数量最多的归属地区是浙江省,
150、占境内攻击 IP 数量的 39.63%,其次为江苏省与香港,分布占 23.30%与 20.10%。2.9.4.3被攻击被攻击 IP 情况分析情况分析2.9.4.3.1被攻击 IP 省份分布恒安嘉新共监测到国内 35 个地区的 313645 个 IP 地址遭受 SpringCore 远程代码执行漏洞利用攻击,被攻击 IP 数量 TOP5 省份如下表所示。被攻击 IP 数量 TOP5 省份被攻击 IP 数量省份 TOP5被攻击 IP 数量占比江苏33.84%甘肃28.35%北京18.66%四川15.33%江西12.70%被攻击 IP 数量 TOP5 省份统计图如下。第 107 页 共 153 页图
151、 11被攻击 IP 数量 TOP5 省份由上述图表可知,江苏省遭受 SpringCore 远程代码执行漏洞利用攻击 IP 数量最多,该地区被攻击 IP 数量占总数量的 33.84%,其次甘肃省与北京市,分布占 28.35%与 18.66%。2.9.5防范建议升级 Spring Framework 版本Spring Framework=5.3.18Spring Framework=5.2.20对于旧版、不受支持的 Spring 框架版本,可尝试升级到 Apache Tomcat10.0.20、9.0.62 或 8.5.78。如果不能升级Spring框架,也不能升级Apache Tomcat,那么
152、可尝试降级java8版本。WAF 等网路防护设备防御可以在 WAF 或其他网络设备上,根据实际部署的流量情况,添加以下规则对特殊输入的字符串进行过滤:第 108 页 共 153 页Class.*、class.*、*.class.*、*Class.*黑名单策略防护可在受影响产品代码中搜索InitBinder 注解,判断方法体内是否有dataBinder.serDisallowerFields 方法,若发现存在该方法,则在黑名单中添加如下过滤规则:Class.*、class.*、*.class.*、*Class.*临时缓解措施在应用系统的项目包下新建以下全局类,并保证这个类被 Spring 加载到
153、(推荐在 Controller 所在的包中添加)。完成类添加后,需对项目进行重新编译打包和功能验证测试。并重新发布项目。import org.springframework.core.annotation.Order;import org.springframework.web.bind.WebDataBinder;import org.springframework.web.bind.annotation.ControllerAdvice;import org.springframework.web.bind.annotation.InitBinder;ControllerAdviceOrd
154、er(10000)public class GlobalControllerAdviceInitBinderpublic void setAllowedFields(webdataBinder dataBinder)Stringabd=new stringclass.*,Class.*,*.class.*,*.Class.*;dataBinder.setDisallowedFields(abd);第 109 页 共 153 页2.10 互联网恶意程序分析2.10.1概述2022 年,全国共监测到僵尸网络、木马程序、蠕虫病毒告警近 1.5 亿条。其中,僵尸网络告警量占比 15.8%,木马程序告警
155、量占比 83.8%,蠕虫病毒告警量占比 0.4%。2.10.2僵尸网络攻击类型分析对 2022 年监测到的僵尸网络告警分析发现,告警次数最多的类型是“僵尸网络 billgates 上线”,告警总量占比 24.0%,如下表所示。僵尸网络告警类型 TOP5 统计告警名称告警占比僵尸网络 billgates 上线24.0%僵尸网络 DDoS.IoT.Gafgyt 指令下发9.7%僵尸网络 DDoS.Linux.AES.Hacker 上线7.6%僵尸网络 Linux.Dofloo.d 上线7.6%僵尸网络 DDoS.Win32.ServStart 上线6.7%通过下图可以看出僵尸网络类型排行情况:第
156、110 页 共 153 页僵尸网络类型排行情况BillGates 僵尸网络木马是一个感染性及隐蔽性极强的病毒,它会创建进程来进行 C&C 通信、病毒监控等操作,同时还会释放病毒克隆文件,并将部分系统文件替换为病毒克隆文件以达到伪装和隐蔽的效果。2.10.3木马程序攻击类型分析对 2022 年发生的木马程序告警分析发现,告警次数最多的类型是“Trojan.Win32.Wauchos 木马通信”,告警总量占比 20.3%,如下表所示。木马程序告警类型 TOP5 统计告警名称告警占比Trojan.Win32.Wauchos 木马通信20.3%海莲花 APT 组织-OSX 木马通信0.5%Trojan
157、.Win32.Agent 变种木马0.3%Trojan.Win32.Generic 变种木马0.2%后门木马 maccms 通信0.2%通过下图可以看出木马类型排行情况:第 111 页 共 153 页木马程序攻击类型排行情况Trojan.Win32.Wauchos 是一类恶意下载的木马家族。该家族样本运行后,会在未授权的情况下下载安装其他恶意程序,而且会修改注册表,并禁用 LUA。除此之外该类木马还会持续扫描 C:/windows/systeme32 目录内文件,降低系统性能,占用系统资源。2.10.4蠕虫病毒类型分析对 2022 年发生的蠕虫告警分析发现,告警次数最多的类型是“蠕虫 RAMN
158、IT.A M2”,告警数占比 42.7%,如下表所示。蠕虫病毒告警类型统计告警名称告警占比蠕虫 RAMNIT.A M242.7%永恒之蓝漏洞利用蠕虫52.7%蠕虫 Worm.Win32.Dorkbot 上线数据通信2.5%蠕虫 P2PWorm.Win32.Palevo.hsfb 上线数据通信1.7%蠕虫 RAMNIT.A M10.4%通过下图可以看出蠕虫类型排行情况:第 112 页 共 153 页蠕虫病毒类型排行情况蠕虫病毒 Ramnit 最早出现在 2010 年,至今已有 13 年之久,因传播力强而“闻名于世”。Ramnit 蠕虫病毒通过被感染的 EXE、DLL、HTML、HTM 文件传播,
159、在正常电脑打开这些染毒文件时会导致新的感染发生。同时,Ramnit 蠕虫病毒还会通过浏览器访问网页、写入 U 盘移动硬盘,创建 U 盘自启动等方式进行蠕虫式传播。第 113 页 共 153 页2.11 移动互联网恶意程序分析2.11.1概述2022 年,恒安嘉新监测到移动恶意程序告警共计 2098 万条,其中,诱骗欺诈告警占比 45.05%,隐私窃取告警 33.61%,远程控制告警 12.57%,流氓行为告警 8.58%,资费消耗告警 0.07%,恶意扣费告警 0.05%,恶意传播告警 0.04%,系统破坏类告警 0.02%。移动恶意程序告警类别占比从上图可以看出各类告警占比情况,在后续的章节
160、我们将对各类告警分别展开分析。2.11.2受害操作系统分析2022 年受害操作系统主要有五个,分别为安卓系统、黑莓系统、塞班系统、苹果系统、Linux 系统。其中安卓系统受害占比最大,为 99.997%,如图所示。第 114 页 共 153 页操作系统受害占比2.11.3诱骗欺诈类型分布情况通过全国 2022 年发生的诱骗欺诈告警分析发现,发起攻击次数最多的是“CnodeManager.a 病毒”,事件日志总量达 560 余万次,事件类型 TOP5 统计如下所示。诱骗欺诈类型 TOP5 统计告警名称攻击告警次数占比CnodeManager.a 病毒62%shazhupan.a 病毒26%vag
161、uegame.a 病毒7%mtcha.a 病毒3%SMSpay.B 病毒2%通过下图可以看出诱骗欺诈排行 TOP5 情况:第 115 页 共 153 页诱骗欺诈排行 TOP52.11.4隐私窃取类型分布情况通过全国 2022 年发生的隐私窃取告警分析发现,发起攻击次数最多的是“WAPDropper.a 病毒”,告警总量 560 余万次,告警类型 TOP5 统计如下所示。隐私窃取类型 TOP5 统计告警名称攻击告警次数占比WAPDropper.a 病毒84%uploadsuserinfo.a 病毒9%phoneState.a 病毒4%acs86.a 病毒2%smartstudy.a 病毒1%通过
162、下图可以看出隐私窃取排行 TOP5 情况:第 116 页 共 153 页隐私窃取排行 TOP5WAPDropper 目前通过第三方应用商店上托管的恶意应用进行传播,能够将其他恶意软件下载到受感染设备上并执行这些恶意软件,一旦恶意软件感染了用户,它就会开始为他们注册高级电话号码,从而为各种类型的服务收取高额费用,这些dropper木马出现在了近一半的移动恶意软件攻击中,在全球范围内总共造成了数亿例感染。2.11.5远程控制类型分布情况通过全国 2022 年发生的远程控制告警分析发现,发起攻击次数最多的是“counterclank.bv 病毒”,事件日志总量达 231 余万次,事件类型 TOP5
163、统计如下所示。远程控制类型 TOP5 统计告警名称攻击告警次数占比counterclank.bv 病毒99.83%guideadsnoicon.a 病毒0.16%m44video.b 病毒0.01%第 117 页 共 153 页Fakeapp.f 病毒0.003%guideadsnoicon.e 病毒0.001%通过下图可以看出远程控制排行 TOP5 情况:远程控制排行 TOP5Counterclank 是特洛伊木马 Tonclank 的微型变种,被植入 Android 智能手机中收集个人信息,包括复制书签和手机制造商。它还会修改浏览器主页。此外,黑客还通过恶意软件向感染的 Android 手
164、机发送垃圾广告获利。2.11.6流氓行为类型分布情况通过全国 2022 年发生的流氓行为告警分析发现,发起攻击次数最多的是“sexspread.a 病毒”,事件日志总量达 36 余万次,事件类型 TOP5 统计如下所示。流氓行为类型 TOP5 统计告警名称攻击告警次数占比sexvideo.a 病毒32%sexspread.a 病毒26%Sexcmsp.a 病毒21%Sex51HD.a 病毒11%第 118 页 共 153 页sexpay.a 病毒10%通过下图可以看出流氓行为排行 TOP5 情况:流氓行为排行 TOP5sexspread 病毒是一款潜伏在应用中的病毒,用户下载并运行应用后,会进
165、一步获取用户权限,向用户推送包含恶意扣费模块的恶意应用,可能使用户个人信息泄漏并造成一定的经济损失。2.11.7资费消耗类型分布情况通过全国 2022 年发生的资费消耗告警分析发现,发起攻击次数最多的是“sendsms.b 病毒”,事件日志总量达 7000 余次,事件类型 TOP5 统计如下所示。资费消耗类型 TOP5 统计告警名称攻击告警次数占比sendsms.b 病毒54%tatic.zz 病毒26%fakesystem.a 病毒12%mzheng.a 病毒4%Aisrs.g 病毒4%通过下图可以看出资费消耗排行 TOP5 情况:第 119 页 共 153 页资费消耗排行 TOP52.11
166、.8恶意扣费类型分布情况通过全国 2022 年发生的恶意扣费告警分析发现,发起攻击次数最多的是“newpaysdk.a 病毒”,事件日志总量达 2000 次,事件类型 TOP5 统计如下所示。恶意扣费类型 TOP5 统计告警名称攻击告警次数占比newpaysdk.a 病毒28%cosbaidu.a 病毒26%yykb.a 病毒26%tx.a 病毒15%mainservice.bo 病毒5%通过下图可以看出恶意扣费排行 TOP5 情况:第 120 页 共 153 页恶意扣费排行 TOP52.11.9恶意传播类型分布情况通过全国 2022 年发生的恶意传播告警分析发现,发起攻击次数最多的是“gui
167、deadsnoicon.a 病毒”,事件日志总量达 3500 余次,事件类型 TOP5 统计如下所示。恶意传播类型 TOP5 统计告警名称攻击告警次数占比guideadsnoicon.a 病毒49%guideadsnoicon.e 病毒25%guideadsnoicon.ac 病毒24%SpreadPolitics.a 病毒1%systema.a 病毒1%通过下图可以看出恶意传播排行 TOP5 情况:第 121 页 共 153 页恶意传播排行 TOP52.11.10系统破坏类型分布情况通过全国 2022 年发生的系统破坏告警分析发现,发起攻击次数最多的是“systema.a 病毒”,事件日志总
168、量 137 次,事件类型 TOP5 统计如下所示。系统破坏类型 TOP5 统计告警名称攻击告警次数占比systema.a 病毒51%qysms.a 病毒22%CHapp.a 病毒11%Lehchifikator.a 病毒9%jianmo.e 病毒7%通过下图可以看出系统破坏排行 TOP5 情况:第 122 页 共 153 页系统破坏排行 TOP5第 123 页 共 153 页2.12 互联网诈骗态势分析12.12.1互联网诈骗每小时态势统计从互联网诈骗每小时态势的角度来看,色情、赌博诈骗非常严重,每日的互联网诈骗告警是呈现明显关联波动情况,常规的投资、彩票、网贷等诈骗活动,在白天工作时间发生的
169、频率较高,色情类诈骗告警在夜晚呈现高发态势。如下图所示,在晚上下班后从 22 点起逐渐增长,到夜里 0 点左右达到顶峰。图 色情诈骗告警时间分布图其他赌博,投资、贷款等诈骗活动下图所示,由于网民在上班途中或刚开始上班,使用手机频繁,数据显示从早 8 点左右开始增长,在下午 15 点达到顶峰,全天呈现一个相对增加的态势。1本章节部分内容来源于恒安嘉新-星辰应用创新实验室第 124 页 共 153 页图 其他类型诈骗告警时间分布图2.12.2诈骗告警相关网址分析2.12.2.1诈骗网址类型分析诈骗网址类型分析恒安嘉新对互联网诈骗网址的类型进行了分析,其中主要针对网址的类别进行分析,类型主要包括域名
170、与 IP 地址两个类别,统计分析后,其中域名类诈骗网址总计 3 万条,ip 类诈骗网址总计 2 千条,详细占比情况如下图所示。第 125 页 共 153 页图 域名、IP 比例图后续对采用 ip 形式的网址进行分析后,发现其中诈骗 APP 接口类型居多,由此可见同类型极大可能来源于同一作者,采用同一套模板。并且我们了解到仿冒公检法以及其他政府网站的诈骗网站,直接采用域名做服务地址较多。2.12.2.2某借贷某借贷诈骗诈骗分析案例分析案例恒安嘉新监测到某借贷诈骗网站的诈骗事件,该类诈骗网站通过对借贷人放款并收取借贷人高额利息同时对借贷人进行电话诈骗。取得监管单位授权后,恒安嘉新安全运营团队对平台
171、告警数据深入分析后进入网站后台。网站前台截图网站管理后台如下:第 126 页 共 153 页网站后台截图用户注册信息截图从上图用户注册信息可以看到,注册用户多达 3300 多个,很有可能已经有部分用户被骗子通过借贷诈骗骗取财物。第 127 页 共 153 页2.12.3钓鱼网站告警分析2.12.3.1钓鱼网站类型分析钓鱼网站类型分析恒安嘉新通过对某省钓鱼网站告警进行监测,统计钓鱼网站类型,具体如下图。钓鱼网站告警分类从上图可知,某省内主要钓鱼网站告警类型中,仿冒银行类的钓鱼网站占比最大,占总告警量的 53.6%,其次为仿冒 ETC 速通卡网站,占比 28.6%,由此可见仿冒银行是目前监测到的钓
172、鱼网站类型中最多的一种,下面我们对上述几种钓鱼网站类型进行深度分析。2.12.3.2银行类钓鱼网站分析银行类钓鱼网站分析在发现的仿冒银行类钓鱼网站中,对所仿冒的银行进行了细分,如下图。第 128 页 共 153 页银行钓鱼分类由上图可知,银行类的钓鱼网站告警中有三个银行属于“四大行”,分别为中国工商银行、中国建设银行和中国银行,占据仿冒银行类钓鱼网站的 73.4%。下面我们例举部分钓鱼网站案例进行详细介绍。2.12.3.2.1 中国工商银行钓鱼网站案例网址:http:/ 1点击下一步,提示正在办理信用卡业务,便没了后续。第 129 页 共 153 页截图 2通过上述分析,该网站是个典型的仿冒中
173、国工商银行的钓鱼网站,借着办理信用卡的需要,骗用户填写用户手机、银行卡密码等敏感信息来盗取用户个人财物。2.12.3.2.2 兴业银行钓鱼网站案例网址:http:/ 1点击信用卡提额页面并输入信息,如下图。第 130 页 共 153 页截图 2截图 3提交信息完成页面,如下图。第 131 页 共 153 页截图 4搜索该域名对应的备案信息,发现该域名并不归属于兴业银行,归属于上海某公司。截图 5通过上述分析,该网站是个典型的仿冒兴业银行的钓鱼网站,借着办理信用卡的需要,骗用户填写用户银行卡号、密码等敏感信息来盗取用户个人财物。2.12.3.3ETC 类钓鱼网站类钓鱼网站分析分析ETC 类钓鱼网
174、站是借着广大用户安装 ETC 的需求,让大家填写信息银行卡第 132 页 共 153 页密码等敏感信息并提交来办理 ETC 安装手续,实际是盗取个人敏感信息与财务,下面例举出 ETC 类钓鱼网站的真实案例。2.12.3.3.1 ETC 速通卡钓鱼网站案例网址:http:/0p*d.w*t.top/index2.asp截图 1点击立即认证,会提示输入姓名、身份证号、银行卡号、银行卡密码、银行卡余额、手机号码,如下图:截图 2提交页面截图第 133 页 共 153 页截图 3当输入完个人信息之后点击提交后,并不会有后续办理 ETC 的手续等相关内容。ICP 备案查询该域名备案信息并非 ETC 速通
175、卡官网:截图 4通过上述分析,该网站是个典型的 ETC 类钓鱼网站,借着广大用户需要办理 ETC 的需求,诱骗用户填写用户银行卡号、密码等敏感信息来盗取用户个人财物。2.12.3.4退款理赔类钓鱼网站分析退款理赔类钓鱼网站分析退款理赔类钓鱼网站是一种近期比较常见的钓鱼网站类型,主要通过退款、理赔方式骗取用户输入银行卡和密码信息,来盗取用户个人财物,下面对于支付理赔事件进行分类,主要为支付宝退款和快递理赔两种,如下图。第 134 页 共 153 页钓鱼网站告警分类从上图可知支付理赔钓鱼告警主要分为支付宝退款和快递理赔两种,其中支付宝退款占了 50.0%,快递理赔占了 50.0%,下面我们例举部分
176、钓鱼网站案例进行详细介绍。2.12.3.4.1 支付宝退款钓鱼网站案例网址:http:/www.h* 1随便输入用户名和密码,即可完成登入,跳转到银行卡界面,如下图。第 135 页 共 153 页截图 2随即要求填写银行卡密码等隐私信息,如下图。截图 3通过上述分析,该网站是个典型的支付宝退款的钓鱼网站,为广大用户提供支付宝退款的便利,诱骗用户填写用户银行卡号、密码等敏感信息来盗取用户个人财物。2.12.3.4.2 快递理赔钓鱼网站案例网址:http:/www.a* 136 页 共 153 页截图 1随便输入用户名和密码,即可完成登入,跳转到银行卡界面,如下图。截图 2随即要求填写银行卡密码等
177、隐私信息,如下图。第 137 页 共 153 页截图 3通过上述分析,该网站是个典型的快递理赔的钓鱼网站,为广大用户提供快递理赔退款的便利,诱骗用户填写用户银行卡号、密码等敏感信息来盗取用户个人财物。2.12.3.5工商登记管理中心网站工商登记管理中心网站分析分析工商登记管理中心钓鱼网站是借着工商登记管理中心办理证件的名义,来骗取用户填写银行卡号码,交易密码、手机号码、姓名等敏感信息,下面例举出工商登记管理中心类钓鱼网站的真实案例。2.12.3.5.1 工商登记管理中心钓鱼网站案例网址:https:/www.g*y.cc/index2.php访问网站可以发现是统一全程电子化商事登记管理系统,如
178、下图。第 138 页 共 153 页截图 1输入手机号,点击开始认证,进入填写敏感信息页面,如下图。截图 2截图 3随便输入任何信息后,点击下一步,则跳到系统正常提交中页面,并且没有后续,如下图。第 139 页 共 153 页截图 4通过上述分析,该网站是个典型的工商登记管理中心钓鱼网站,用户提供认证登记服务,诱骗用户填写用户银行卡号、密码等敏感信息来盗取用户个人财物。2.12.3.6受害者终端类型分布受害者终端类型分布对钓鱼网站告警按受害者终端类型进行分析,统计出受害者终端类型分布情况。终端类型分布如上图所示,受害者终端多为安卓系统和 IOS,Windows 系统受害者数量占比较少。第 14
179、0 页 共 153 页2.12.4仿冒 APP 分析2.12.4.1仿冒仿冒 APP 类型分析类型分析以下是仿冒 APP 危害行为的分布情况:仿冒 APP 危害行为从上图可知,赌博诈骗 APP 告警量最大,占告警量的 65.7%。赌博诈骗APP是网络诈骗类 APP,通过上传 APP 到各大应用商店,诱导用户下载,下载后会诱骗受害人进行转账或者充值,造成财产损失。2.12.4.2受害者终端类型分布受害者终端类型分布对仿冒 APP 事件按受害者终端类型进行分析,统计出受害者终端类型分布情况。第 141 页 共 153 页受害者终端类型分布情况2.12.5恒安嘉新反诈运营效果2.12.5.1互联网反
180、诈案例互联网反诈案例恒安嘉新某省互联网系统覆盖全省电信网和互联网用户,原始数据采用三大运营商日志话单,恒安嘉新与管局共同打造了以“统一数据中台”为核心的涉诈治理模式,赋能服务于公安和各个地市,同时可向其他安全能力方向延展,帮助管局实现网络信息安全能力的全业务治理。从 2022 年系统上线试运行以来,恒安嘉新安全运营团队研判数据案件准确率高达 90%。为省内互联网诈骗防范治理起到了关键作用。2.12.5.2电话反诈案例电话反诈案例恒安嘉新为某省联通建设电话反诈系统,支持诈骗、骚扰电话 2 大类型近 30种细分场景模型,包含诈骗多类场景(仿冒类、金融类、交友类、贷款代办信用第 142 页 共 15
181、3 页卡类等)、骚扰多类场景(高频/低频/超低频/中转类骚扰等类型)。实现对全省用户诈骗电话行为的监测、识别及关停处置,并能显著减少 12321 电信欺诈投诉量,为职能部门进行诈骗行为打击提供有效数据支撑。从 2019 年 1 月系统上线以来通过系统累计已关停数十万个号码(含诈骗和骚扰),准确率达 95%以上;2020 年以来,工信部 12321 诈骗举报量环比降幅28%,举报率全国排名持续 20 位以外;公安部涉案号码环比大幅下降。成绩突出,受到该省打击治理电信网络新型违法犯罪厅际联席办、省通管局、公安厅等政府部门通报表扬。并入围工信部“众智护网”2020 年度防范治理电信网络诈骗创新示范项
182、目名单。第 143 页 共 153 页2.13 暗网数据态势分析2.13.1概述暗网是指那些存储在网络数据库里、但不能通过超链接访问而需要通过动态网页技术访问的资源集合,不属于那些可以被标准搜索引擎索引的表面网络。它阴暗且鲜为人知,它匿名,隐蔽,搜索引擎无法搜索,监管机构难以触及。暗网监测平台 2022 年监测显示,暗网涉及国内数据售卖共 2241 例子,其中售出量达到 6158 次。售卖价额共 50.24525 个比特币,约 602.94 万元,售卖成交额共 8.77675 个比特币,近 105.32 万元。2.13.2暗网数据类别分析2022 年,暗网涉及国内数据售卖中“数据-情报”类占比
183、最大,共 1375 例,占总数的 61%。可见本年度“数据-情报”售卖在暗网最为普遍,具体占比如下图所示。暗网数据类别占比第 144 页 共 153 页2.13.3暗网“数据-情报”类数据售卖态势分析2022 年,通过暗网监测平台,共监测到暗网涉及国内数据售卖中“数据-情报”类数据共 1375 例,售卖价额共 37.96971 个比特币,约 455.63 万元,其中售出成功量达到 2673 次,售卖成交额共 12.6453 个比特币。下面数据-情报进行细分,其中公民身份信息售卖 631 例,售卖价额共 19.21486 个比特币,共出售 1230次,售卖成交额共 6.33451 个比特币;博彩
184、类数据售卖 115 例,售卖价额共 6.59741个比特币,共出售 204 次,售卖成交额共 0.9688 个比特币;金融类数据售卖 202例,售卖价额共 8.03275 个比特币,共出售 938 次,售卖成交额共 2.17296 个比特币;其他类数据售卖 427 例,售卖价额共 4.12469 个比特币,共出售 301 次,售卖成交额共 3.15695 个比特币,具体分布如下图。暗网内“数据-情报”类数据买卖占比第 145 页 共 153 页暗网内“数据-情报”类数据售价柱形图2.13.4暗网数据涉及区域分析通过监测 2022 年暗网数据售卖情况,对其涉及国内数据售卖所属地进行统计,涉及相关
185、省份分布情况如下,其中本年江苏、台湾、广东、香港售卖帖子数量最多,主要来源于公民信息售卖数据:数据归属地省份分布省份数据售卖帖子数量江苏59台湾41广东25香港25浙江23湖南17上海15河北9福建8河南6北京5安徽4第 146 页 共 153 页江西4广西3四川3天津3海南2湖北2辽宁2山东2陕西2甘肃1贵州1黑龙江1内蒙古1山西1新疆1云南1重庆12.13.5暗网数据售卖价额分析通过监测 2022 年暗网数据售卖情况,对其涉及国内数据售卖价额进行统计排行,其中数据售卖价额 TOP10 如下所示:数据售卖价额排行数据标题售卖价额(BTC)全球华侨马来西亚华侨数据 1680366 条已去重6.
186、08476新出 22w 高质可验证菠菜综合盘数据有联系方式4.86679保险公司电销保险数据3.62698独立站 paypal 收款秒提 T0 技术2.284605 亿条女性数据打包私拍一自动 MEGA 网盘发货1.250928000 万纯女性三要素姓名电话身份号0.88261网站渗透接单只接 2 万美金以上的大库订单0.873672210 新出库 36w 硕士博士全国 8095 单位带学历男女混0.57042最新脱裤 nexo 加密货币交易所平台全站数据库 570 万条0.50688微信聊天 24 小时实时监控 2w 美金0.45316根据上表统计的数据售卖价额 TOP10 发现,排第一位的
187、为“全球华侨马来西亚华侨数据 1680366 条已去重”,售价为 6.08476 个 BTC,但该售卖数据未成第 147 页 共 153 页功交易过;其次为“新出 22w 高质可验证菠菜综合盘数据有联系方式”,售价为 4.86679 个 BTC;综合来看,本年度高售价帖子多与公民信息及博彩相关,世界杯期间,博彩数据也得到较多关注,同时区块链、医疗、金融、教育行业内容也相对较多,其数据往往具有一定的黑产变现价值。整体上售卖数据种类相对繁杂,包括“影视色情”、“数据-情报”等,本年度的高价售卖数据多为“数据-情报”类。2.13.6暗网数据热度分析通过监测 2022 年暗网数据售卖情况,对其数据售卖
188、热度进行分析,列举出热度 TOP10,如下表。数据售卖热度排行数据标题2022 上海国家警察 SHGA 数据库数十亿中国公民的数据和信息上海 DY 身份证户籍及电话数据 200 万最新一手全国核酸检测女数据持续更新2022 要打台湾远离军事基地 CCP 最新军事基地情报俄羅斯入侵烏克蘭_俄羅斯軍人死者資料及俘虜影片最新天眼查 1G 多过亿企业数据河南省民警信息 15 万条中共 200 万现任高官绝密资料地方主要领导政府内部官员公安数据百万四要素和户籍泄露中国移动数据库 1200 万泄露个人精准数据本年度暗网售卖数据中,热度较高的售卖标题如:“2022上海国家警察SHGA数据库数十亿中国公民的数
189、据和信息”,以及“上海 DY 身份证户籍及电话数据200 万”等。综合来看,暗网中高热度数据,往往与国际国内环境和突发热点事件紧密相关,其标题也较博人眼球引起兴趣,涉及公民信息较多。同时可产生间接经济利益的售卖数据或服务也一直存于暗网,吸引不法之心人员关注,其数据第 148 页 共 153 页被利用变现的能力都相对较高。“上海 DY 身份证户籍及电话数据 200 万”帖子售卖样例“最新一手全国核酸检测女数据持续更新”帖子售卖样例第 149 页 共 153 页“中国移动数据库 1200 万泄露个人精准数据”帖子售卖样例第 150 页 共 153 页3 网络信息安全态势总结2022 年对比 202
190、1 年,新增了数据安全保障专题、Spring 远程命令执行漏洞专题、勒索病毒活动态势专题,通过对比发现今年木马挖矿 IP 活动数量呈先下降后上升趋势,木马挖矿币种主要为门罗币;分析发现访问国内受害资产 IP 数量最多的 APT 组织是 Group123;访问国内受害资产 IP 告警数量最多的勒索病毒是 GandCrad;网络安全漏洞数量呈下降态势;物联网协议识别数据量最多的类型是“MQTT 协议”;WEB 攻击告警数量有所下降,攻击手段主要为“远程命令/代码执行”、“注入攻击”、“弱口令登录”这三类攻击手段;僵木蠕告警数量也呈下降趋势,其中木马告警数量最多。2022 年新增安全漏洞的数量有所下
191、降,在明年有可能会出现新型攻击方式和工具,网络攻击态势和工业互联网安全告警或依旧严峻。随着 5G 技术的深入应用,在开启万物互联新局面的同时,也会带来新的安全挑战和风险。需要基于 5G 网络架构和新特性,在终端设备、网络虚拟化、网络切片、边缘计算等方面逐层完善安全防护手段,进一步完善 5G 安全标准体系,提高 5G 网络整体安全性。当前互联网用户规模不断扩大,应用场景持续增多,金融、医疗、教育、交通等行业在产业互联网的高速发展过程中,面临的企业和个人敏感数据的泄露,非法交易,数据滥用等数据安全问题也愈发严峻。随着网络边界的不断扩大,跨境场景的网络威胁比重也将不断增加,各种攻击手段也将不断刷新人
192、们的认知,未来的数据安全问题可能会直接影响到人们的生命安全、社会的经济发展、国家的长治久安。切实做好电信和互联网行业的数据安全治理尤为重要。第 151 页 共 153 页同时,随着国际形势的不确定性,各国的 APT 组织活动会更加频繁,尤其是针对关键基础设施、特别机构、大型工业企业、高精尖技术企业的高级持续威胁将持续增长。面对日益增长的网络信息安全威胁,恒安嘉新会持续引入新兴技术研究成果,加强高阶威胁情报积累,继续扩展工业互联网、物联网、区块链等新方向的安全监测,协助国家形成更加及时、精准有效、覆盖全面的网络空间安全态势感知体系,提升网络安全防护水平。第 152 页 共 153 页关于恒安嘉新
193、恒安嘉新是提供“云-网-边-端-用”综合解决方案的大数据智能运营运维产品,服务于产业互联网的科技工程企业。创立十余年来,始终专注于通信网和互联网数据智能分析领域,赋能智慧治理、智慧网络、智慧警务、智慧工业、智慧农业、智慧金融、智慧医疗、智慧教育等场景,为政企客户提供新一代网络信息安全、数据分析、智能业务应用解决方案和“管家式”运营运维服务。公司围绕“专、精、特、新”理念,打造了覆盖采集、分析、认知、决策的全链条智能体系;拥有通信网和互联网海量数据实时处理技术、具有深度学习能力的智能安全引擎技术、“云网边端用”综合治理技术、大数据知识中台等核心技术、安全研运一体的服务体系;研发了网络空间安全综合
194、治理、企业安全、5G 通信网数据智能应用产品和运营运维服务,具备“云端”准确识别、“云网”快速联动、“云边”智能分析、“网端”精准处置、“端用”协同运营能力。公司产品遍布全国 31 个省,支撑工信等网络安全主管部门、电信运营商在骨干网、城域网、移动互联网、工业物联网、企业网的数千个节点部署了 NTA“网络摄像头”,提供全天候、全方位的大数据智能分析产品和服务。公司现有员工上千人,汇聚了通信、安全、AI 等领域的优秀人才;公司是连续 10 多年的国家级网络安全应急服务支撑单位;设有博士后工作站和云网创新研究院;参与制定上百项国家和行业标准;获得数十项发明专利和软件著作权;多次夺得人工智能、工业互
195、联网、网络攻防竞赛桂冠;为“建党 100 周年”、“国庆 70 周年”、“十九大”、“两会”等国家级重大活动提供安全保障;成功入第 153 页 共 153 页围国家级专精特新“小巨人”企业;第五空间反诈平台避免和挽回群众损失数亿元。公司秉承“养正气、立正见、怀正念、行正道”的理念;通过 EverOffice 3.0落实数智化内控管理,推动业务经营和财务合法合规健康发展。未来,公司瞄准“第二个一百年”奋斗目标,积极拥抱新技术、新模式、新业态;打造面向 5G 的网络空间安全态势感知平台、新一代大数据知识云平台、企业数智化风控管理平台、第五空间反诈联防联控云平台、恒安云 SaaS 公共服务平台、智慧运营中心和实训教育,和合作伙伴们一起努力,成为中国“云-网-边-端-业”数据智能时代基础能力的搭建者。更多精彩内容和技术文章,欢迎关注恒安嘉新公众号: