《网络信息安全态势年报.docx》由会员分享,可在线阅读,更多相关《网络信息安全态势年报.docx(164页珍藏版)》请在课桌文档上搜索。
1、2022年网络信息安全态势年报数据智能运维运营中心目录1 网络信息安全态势综述11.1 数据安全保障专题11.2 XAPT活动态势专题11.3 勒索病毒活动态势专题11.4 数字货币挖矿监测分析专题11.5 互联网漏洞分析篇21.6 工业互联网态势分析篇21.7 物联网&车联网态势分析篇31.8 派WEB攻击分析篇31.9 互联网恶意程序分析篇31.10 移动互联网恶意程序分析篇31.11 互联网诈骗分析篇41.12 暗网数据态势分析篇42网络信息安全态势分析52.1 数簸全保障专题52.2 APT活动态势专题72.2.1 APT组织概述72.2.2 APT组织攻击告警分析262.3 勒索病毒
2、活动态势专题422.3.1 勒索病毒概述422.3.2 勒索病毒告警态势分析422.3.3 DarkSide勒索病毒攻击告警分析432.3.4 BadRabbit勒索病毒攻击告警分析462.3.5 GandCrab勒索病毒攻击告警分析502.3.6 勒索病毒防范和应急532.4 数字货币挖矿监测分析专题572.4.1 概述572.4.2 矿场5獭态势572.4.3 ObS态势622.4.4 木马挖矿态势642.5 互联网安全漏洞分析652.5.1 漏洞类型分析652.5.2 重点高危漏洞收录情况672.5.3 IOT漏洞分析682.6 工业互联网态势分析712.6.1 概述712.6.2 三三
3、析节点分析712.6.3 j762.6.4 工业平台设备测绘案例772.6.5 工业管理平台漏洞案例分析792.7 物联网&军联网态势分析832.7.1 物联网协议识别数据分析832.7.2 车联网协议识别数据分析892.7.3 车联网平台漏洞案例962.9 Spring远程命令执行漏洞专题992.9.1 概述992.9.2 互联网暴露面资产分析1002.9.3 漏洞原理分析1012.9.4 洞利用态势.C1022.9.5 防范建议1072.10 互联网恶意程序分析1092.10.1 概述1092.10.2 僵尸网络攻击类型分析1092.10.3 木马程序攻击类型分析HO2.10.4 蠕虫病毒
4、类型分析Ill2.11 移动互联网恶意程序分析1132.11.1 概述1132.11.2 受害操作系统分析1132.11.3 诱骗欺诈类型分布情况1142.11.4 矛类,1152.11.5 远程控制类型分布情况H62.11.6 流氓行为类型分布情况1172.11.7 资费消耗类型分布情况1182.11.8 1.8恶意扣费类型分布情况1192.11.9 恶意传播类型分布情况1202.11.10 系统破坏类型分布情况1212.12.1 互联网诈骗每小时态势统计1232.12.2 诈骗告警相关网址分析1242.12.3 钓鱼网站告警分析1272.12.4 仿冒APP分析1402.12.5 恒安嘉新
5、反诈运营效果1412.13暗网数据态势分析1432.13.1 概述1432.13.2 暗网数据类别分析1432.13.3 暗网数据-情报类数据售卖态势分析1442.13.4 暗网数据涉及区域分析1452.13.5 暗网数据售卖价额分析1462.13.6 暗网数据热度分析1473网络信息安全态势总结1501网络信息安全态势综述1.1 数据安全保障专题近期期居泄露事件频发,让数据安全问题受到极大关注。2022年,恒安嘉新数据安全态势感知平台识别敏感数据364万条,涉及8433个应用和11450个APl接口;其中包含个人姓名75万条、手机号188万条、身份证39万条。明文传输敏感数据超100条以上系
6、统1151个。1.2 XAPT活动态势专题2022年,恒安薪诞过APT组织行为规则成功捕获834637个IP访问过137个APT组织IOCo对国内受害资产访问APT组织IOC的告警进行分析发现,访问Group123APT组织IOC的IP数量最多,其次是KonniAPT组织。监控到的告警符合各APT组织活动范围及活动规律。13勒索病毒活动态势专题2022年,恒安嘉新通过勒索病毒行为规则成功做1451个IP访问过70个勒索病毒IOCo对国内受害资产访问勒索病毒IOC的告警进行分析发现,访问GandCrab勒索病毒IOC的IP数量最多,其次是Ransomo1.4 数字货币搀矿监测分析专题2022年,
7、通过对挖矿监测数据进行分析,发现全国存在挖矿行为的矿场IP1086个,包含矿机49768台。其中挖矿币种主要为BTC和ETH;连接的矿池主要为蚂蚁矿池(*)和Poolin矿池(*)。1.5 互联网漏洞分析篇2022年,恒安嘉新收录的新增安全漏洞数量23900个。其中,包括高危漏洞8379个(占35.1%)、中危漏洞12862个(占53.8%)、低危漏洞2659个(占11.1%)o2022年活跃漏洞数量与2021年(26566个)数量相比减少10.0%按照漏洞影响对象类型划分,WEB应用类10470个,应用程序类6856个,网络设备(交换机、路由器等网络端设备)类3623个,操作系统类1150个
8、,智能设备(物联网终端设备)类1064个,数据库类374个,安全产品类363个。按照漏洞所属行业划分,电信行业漏洞2580个,移动互联网行业漏洞1257个,工控行业漏洞418个,其他行业漏洞19645个。按照漏洞所属厂商划分,涉及漏洞厂商包括WordPressxGooglexTendaxAdobexMicrosoftIBMxTOTOLINKxD-LinkxHuawei和Apache等。1.6 工业互联网态势分析篇2022年,恒安嘉新工11恒联网平台监测到全国mIk企业406万家,规模以上工业企业37万家。累计监测到工业资产共1683万个,其中工业资产平台2.4万个,工业设备资产1613万个,工
9、业APP2.5万个,其他工业网络基础设施65万个。同时还监测到工业资产漏洞15万个,工业网络安全告警36.7亿起,成功攻击事件684万余起。中国工业互联网二级节点共166个,其中上海顶级节点登记二级节点最多,有59个。中国工业互联网三级节点(已在二级节点登记)的企业共9645家,共登记在153个二级节点下,其中88.118(江苏中天互联科技有限公司)登记三级节点最多,共3215家。1.7 物联网&车联网态势分析篇2022年,恒安嘉新共监测到的物联网&车联网协议识别数据4.9亿条,其中物联网协议识别数据占总数据量95.8%,车联网协议识别数据占总数据量4.2%o物联网协议识别数据量最多的类型是M
10、QTT协议,占总物联网协议识数据量的71.0%o车联网协议谣嗤据量最多的类型是“4三拉车辆识,占总车联网协议识别数据量的62.6%o1.8 XWEB攻击分析篇2022年,全国共监测WEB攻击告警近14亿条,其中,WEB攻击告警次数最多的是ApacheLog4j2远程代码执行漏洞,占2022年总告警量的39.5%o根据攻击行为分析发现,近两年攻击者采用的主要攻击手段没有太大变化,惯用远程命令/代码执行、注入攻击、弱口令登录三类攻击手段。1.9 互联网恶意程序分析篇2022年,全国共监测到僵尸网络、木马程序、蠕虫病毒告警近1.5亿条。其中,僵尸网络告警量占比15.8%,木马程序告警量占比83.8%
11、,蠕虫病毒告警量占比0.4%o1.10 移动互联网恶意程序分析篇2022年,恒安嘉新共捕获到的移动恶意程序告警2098万条,其中最多的告警为诱骗欺诈,占比45.05%o移动恶意程序通常为擦边球的社交应用或者直播应用,通过其他带有诱惑性的视顷或图片来推广下载,一旦用户安装,会存在窃听用户通话、窃取用户信息、破坏用户数据、擅自使用付费业务、爱滋飒言息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为。1.11 互联网诈骗分析篇恒安嘉新安全团队累计共研判互联网网址数量达8.21亿,其中发现互联网涉诈域名1023.32万余个,每月研判出的诈骗网址量在100万左右。反诈平台事件发现准确
12、率达90%以上,系统上线后报案率各省同比普遍下降5%o1.12 暗网数据态势分析篇2022年,恒安嘉新监测到暗网上的数据售卖事件2241例,共分为服务业务类、基础知识、技能技术类、实体物品、数据-情报、私人专拍、虚拟物品、影视色情、虚拟资源、其它类别十大类。其中售出量达到6158次。售卖价额共50.24525个t喷币,约602.94万元,售卖朋撷共8.77675个比币,近105.32万兀。2网络信息安全态势分析2.1 数据安全保障专题近期数据泄露事件频发,让数据安全问题受到极大关注。有微博网友曝料.某学习软件数据库信息疑似被公开售卖,其中疑似泄露的数据包含姓名、手机号、性别、学校、学号、山嘴等
13、信息1亿7273万条。同时有大量网友反映自己的QQ账号被盗,向好友及QQ群发送低俗广告和链接。酒店巨头万豪国际集团也证实了一起数据泄露事件,黑客们声称窃取了20GB的敏感数据,包括客人的信用卡信息。据DimensionalResearch调研发现,80%以上的公司或机构遭遇了个人敏感信息相关数据泄露。在信息化和数字化飞速发展的今天,数据安全的保护是企业机构当下发展的重中之重。目前,恒安嘉新正在从三个方面搭建数据安全治理的总体框架。一是根据国家法津法规、行业监管标准和最佳睫立安全;告E里标准体系;二是围绕数据安全全生命周期制定对应管理流程和安全策略;三是基于具体的数据使用场景提供相关技术服务和数
14、据安全产品。恒安嘉新数据安全态势感知平台,能够精准有效识别个人敏感数据风险、工业敏蟋据风险?口异常文件外发风险。2022年,识S瞰蟋据364万条,涉及8433个应用和11450个API接口;其中包含个人姓名75万条、手机号188万条、身份证39万条。明文传输敏感数据超100条以上系统1151个。*30:80:班元MKMMnoftRmt+ZZaSVBsoaz*4iR9WM(1PS三70*Cun*y-ErBOX-司JBWSVtiK.i*SftflOf9n*120*91:20001-*1KI公司IfTftfiOW124三三4t2O0O2,diflMMHKK司ftWMg191200909!MKSA*F
15、H网.tL199FHSMNMMQ汽m平&gl26:80HSta*r*ww7*三WMMA20*“矶U*_IM学UBlM14R11tG9*个人0gz琢件机eeasw429和个人A卬044科才机Wme3条个人=名刈瞥琳】2318BFF8B4668MOVEDI,EDIMOVEAX,DWORDPTRDS:ESI+8189B138B48CMOVECX,DWORDPTRDS:EAX+C189B1683EFEORDWORDPTRDS:ESI,FFFFFFFE189B1985C9TESTECX,ECX189B1B8B7E64MOVEDI,DWORDPTRDS:ESI+4189B1E74CJESHORTgsdll
16、32.189B2C189B2SPUSHEAX189B2157PUSHEDI189B228056lLEAEDX,DWORDPTRDS:ESI+10189B2552PUSHEDX189B26S3PUSHEBX189B27FFDlCALLECX工三e=3VJi.“Fgy文件内容解压后暴露出ShellcodeoH O Root Entry z D BenOaUO 刖No(XHjPg D BlNOOOZjpg 、BNX03jp J BlNOoM.pt rfcdylextL I SectiorOJ DocOptioncO .UnWQC D 5cripr*r.QC320V 32703200心 2222 爆
17、22 2 2 2222222 3 e3333333333333333aex44444444444444444.H 3 3 3 3 3 3 3 333333333 3m 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2M 3 3 3 3 3 3 3333333333 3二豺! B GcnmlTypCNw 5Strcom B!NG004ps 2476-25;32a032b032C:32dO32eO2f0日 ChcCy BurnsMD5SHAIH 3300 心1 3310 9$kO4317031048S 3320 d26624加告737, ;3330 334034 324S 3G3
18、1 3430 3130 3630 3133 3046 3630 303, 3Z 35 30 30 30 32 33 3030 33 “ 33 34 39 33 31 4530 36 34 43 42 3030 33 3030333344363146334436314631423313314330353838373630343434343434343434343434343434343439 30 3542 39 3331 34 3233 45 3331 38 3230 31 3330 30 3745 41 4330 33 3038384635383331该shellcode最终代碣被力口密,加
19、今334343343733334630352424242424242424 2424242424242424 2424242424242424 2424242424242424 2424242424242424 2424242424242424 2424242424242424 24242424242422 242424200D96unk_D96db93hdbOEAh;CoOEXREF:seg000D91fjlD97dbEBh该shellcode最终下载指定url下的文件,该文件是伪装成png图像的RokRat木马。除常规类型的文件以外,AP137还尝试过使用隐写图像作为跳板执行恶意程序。在2
20、019年的一次攻击行动中,APT37在鱼叉邮件中加入了扩展名为jpge的文件,并在邮件内容中诱导受害者下载短链接中的程序来打开jpge图像:https:/bit.lY/2Ne2Wll可人I田苦奇可望3人I卫,切巴212345678二二切旨号M引印UOlofM色早是百度3oox4自考司2人|巴SL|Q.httpi?bitlv2靛*oc星刍大I用人I3川曾考引2人MQ.两个短链接分别指向一个exe又件和apk文件,分别是恶意载荷加载器和安卓间谍应用。该exe程序将自身伪装成一个图片查看器用于加载、解密并执行恶意载荷。该加载器会对输入的图片格式进行校验;如果用户尝试用查看器打开一个格式不符的普通图片
21、,则会弹出,错误格式”的窗口。一个合法的格式如下所示:,JPGE,e013B2AD3pusheax13B2AD4callsub13B2E63013B2AD9addesp,18h013B2ADCmovecxjoffsetIpFileNanje013B2AE1pusheax;int013B2AE2leaeaxjebp+TewpFileName013B2AE8pushea;void013B2AE9call:CSimpleStcingT:SetString(wchar_tconst%int)013B2AEEmovecxjebp+var_418;this013B2AF4oreaxjeax013B2AF6
22、pusheax;structCObject*013B2AF7pushea;intei3B2AF8pushea;structCView*013B2AF9callCDocument:UpdateAllViews(CView,long,CObject)第二部分为攻击者投递的恶意载荷。首先在内存中解密恶意载荷,当用户通过图形界面关闭该结束木马进程时,进程将转入后台继续执行,包含恶意载荷的线程随即启动:1国013B1F87Ieaeax,ebp+Threadld013B1F8Apushea;IpThreadId013B1F8Bxorea1ea013B1F8Dpusheax;dwCreationFlags0
23、13B1F8Epusheax;IpParameter013B1F8FpushIpAddress;IpStartAddress013B1F95pusheax;dwStackSize013B1F96pushea;IpThreadAttributes013B1F97calldsCreateThread013B1F9Dpush0FFFFFFFFh;dviMilliseconds013B1F9Fpushea;hHandle013B1FA0callds:UaitForSingleObject该加载器最终在jpge文件中获取RokRat木马并执行。该安卓木马注册了自定义的广播接收器服务,该服务在用户接电话的
24、同时开启了录音功能,从而实现了来电监听、记录:if(this.initAudioRecorder()AudioRecorder.recording三true;this.StartRecordO;this.ntfler.postDelayed(newRunnable()publicvoidrun()ConfigManagerv;while(true)v=newConfigfanager(AudioRecorder.this.context);v.readConfig();if(ve.readConfig(Config./LST4TE_Kfr).equals(Pm)(break;)AudioRec
25、order.this.delay(5);)AudioRecorder.recording三false;AudioRecorder.this,stopRecord();AudioRecorder.this.saveCallLog(v);,(long)l0O);木马通过自定义的闹钟回调类完瑚口C2服务器的交互。每当一次闹钟事件触发后,木马会按Jl质序执行下列操作:1)向C2上传肉鸡的MAC地址、型号等指纹信息2)收集肉鸡的录音文件3)向C2上传肉鸡的录音文件4)向C2服务器请求并执行密文远控指令,加密算法为DESprivatevoiddoTask()this.saveMetaData();this
26、.collectResultData();this.SaveResultDataO;this.executeCommands();1.aZarUSAPT组织分析1.aZanlS组织被认为是来自朝鲜的APT组织,攻击目标遍布全球,最早的活动时间可以追溯至2007年,其主要目标包括国防、政府、金融、能源等,早期主要以窃取情报为目的。自2014年后进行业务扩张,攻击目标拓展至U金融机构、虚拟货币交易所等具有较高经济价值的对象。资料显示,2014年索尼影业遭黑客攻击事件、2016年孟加拉国银行数据泄露事件、2017年美国国防承包商和能源部门、同年踊等国比特币交易所攻击事件以及今年针对众多国家国防和航空
27、航天公司的攻击等事件皆被认为与此缎只有关。2.2.1.2.1攻击特征1.azarus早期多利用僵尸网络对目标进行DDos攻击;中后期主要攻击手段转为鱼叉攻击、水坑攻击、供应链攻击等手法,还针对不同人员采取定向社会工程学攻击。Shortcut1MMIMvctiCfiPMtoMMton1.azarus组织的攻击主要有以下特点:攻击周期普遍较长,通常进行较长时间潜伏,并换不同方法诱使目标被入侵。投递的诱饵文件具有极强的迷惑性和诱惑性,导致目标无法甄别。攻击过程会利用系统破坏或勒索应用干扰事件的分析。利用SMB协议漏洞或相关蠕虫工具实现横向移动和载荷投放。每次攻击使用工具集的源代码都会修改,并且网安公
28、司披露后也会及时修改源代码。2.21.2.2攻击技术1.azarus使用的网络武器中包含大量定制工具,并且使用代码有很多相似之处。肯定地说,这些软件来自相同的开发人员,可以说明Lazarus背后有稳定的大型开发团队。拥有的攻击能力和工具包括DDoSbotnetsxkeyloggersxRATsxwipermalware,使用的恶意代码包括DestoverxDuuzer和Hangman等。1 .鱼叉攻击通常以邮件夹带恶意文档作为诱饵,常见文件格式为DOCX,后期增加了BMP格式。入侵方式主要利用恶意宏与OffiCe常见漏洞、Oday漏洞、植入RAT的手法。.水坑攻击1.azarus通常针对贫穷的
29、或欠发达地区的小规模银行金融机构使用水坑攻击,这样就可以在短时间内大范围盗取资金。.社工攻击1.azarus擅长将社工技术运用到攻击周期中,无论是投递的诱饵还是身份伪装,都令受害者无法甄别,从而掉入它的陷阱中。2020年期间,Lazarus在领英网站伪装招聘加密货币工作人员并发送恶意文档,旨在获取凭证从而盗取目标加密货币。2021年,LazarusGourp以网络安全人员身份潜伏在Twitter中,伺机发送嵌有恶意代码的工程文件攻击同行人员。从这些案例可以看出,Lazarus针对的目标越来越明确,使用手法也越来越灵活直接。2.2.1.3“柠檬鸭(LemOnDUCk)“APT组织分析柠檬鸭(Le
30、monDuck)m最初由针对“驱动人生”发起的供应链攻击演变而来,攻击者利用驱动人生”作为跳板,使蠕虫尽可能广泛地传播。攻击者为具有T专业能力的境外组织,发起或参与过大规模网络攻击活动(如构建僵尸网络等)。至今柠檬鸭(LemonDuck)w已发展成面向全球,主要针对政府与企业运行的终端设备,有组织、有计划的,以挖矿为目的高级长期威胁组织。其感染目标已不限于Windows主机,还有一部分运行嵌入式Windows7系统的IoT设备同样受到波及,包括智能电视,智能扫描仪,工业AGV等,并在近期新增了针对Linux设备的攻击模块。受到感染的机器中绝大部分来自于政府与企业。值得注意的是柠檬鸭(Lemon
31、Duck)发动的攻击中会上传十分详尽的系统环境信息,这意味着为其筛选“特定目标”进行下一步定向攻击做好了准备。利用威胁情报的监测分析,我们发现柠檬鸭(LemonDuck)APT组织的目标受害者遍及全球,主要集中在亚洲地区,中国、新加坡、中国台湾、菲律宾的受害者最多,占全球比例的67.4%o2.2.1.3.1攻击特征经过分析,柠檬鸭ApT组织攻击活动具有以下特征:起源于针对驱动人生”供应链的APT攻击;持续时间长,从2018年12月份起持续至今;影响范围广泛,波及全球,已有数百万设备被感染;传播途径多样,通过漏洞利用、OUtlOOk邮件、移动存储设备进行传播;利用新冠疫情对邮件攻击模块做针对性升
32、级,以提高感染效率;频繁利用开源项目及新披露漏洞的POC来增强蠕虫感染能力;多样性,迭代/升级的频率远超以往发现的同类型威胁攻击。以下是柠檬鸭(LemonDuck)整个的攻击链路图:g*.E专三W1皂“柠檬鸭(LemOnDUCk)”攻击链路图不同于翻的攻击链路,其攻击链路中:具有大量的远程恶意文件执行操作,且相互之间具有递归/嵌套执行的特点。其恶意脚本经过了相当复杂的加密和混淆(这帮助其规避绝大部分的引擎查杀)。在针对样本中涉及的域名及其解析IP的关联分析中发现:攻击者对于域名与服务器供应商选择的离散度很高,这增加接管及关停其黑色资产的难度,为攻击活动提供缓冲期,便于其切换和迁移黑色资产。图中
33、标红的域名为首次测试攻击所使用,且一直沿用至今。“柠檬鸭(LemonDuck)”IOC关联分析图22.1.3.2攻击技术在持续的监测中,已经捕获到数十次攻击链的更新。其主要传播途径可分为三类:D通过漏洞利用传播- 端口扫描;- 利用EternalBlueZMSlV-OlO,针对Win7Win8;- CVE-2020-0796(2020年4月新增);- 使用暴力破解(除自身携带字典外,还会将获取本地口令/凭证加入字典),针对$IPC、SMBxMS-SQLxRDPsNTLMxWMI、SSH(2020-06-01新增,针对Linuxroot账号);2)利用移动存储设备传播(CVE-2017-8464
34、)- 通过将恶意DLL与快捷方式(LNK)文件一起植入文件夹中,从而感染可移动USB驱动器和网络驱动器;- 当使用解析lnk快捷方式文件的任何应用程序中打开驱动器时,快捷方式将执行恶意的DLL组件。3)利用OUHOOk邮件传播/社会工程学传播- 借助新冠疫情,新增部分与新冠有关邮件主题;- 随机选取邮件主题及内容,发送给感染主机上的所有OutloOk联系人;- 生成恶意文档(CVE-2017-8570,DDE),恶意JS文件。攻击者在利用OUuook进行的传播过程中,捕获的样本中邮件主题是唯一的,直接硬编码在脚本中。2.2.1.4 APT28组织分析APT28R,作FancyBear,T-APT-12),PawnStorm,SofacyGroup,Sednit或STRONTIUM,是一个长期从事网络间谍活动并与俄罗斯军方情报机构相关的APT组织,从该组织的历史攻击活动可以看出,获取国家利益一直是该组织的主要攻击目的。据国外安全公司报道,该组织最早的攻击活动可以追溯到2004年至2007年期间。2014
