2017全球威胁情报中心(GTIC)Q2威胁情报报告

NTT Security及其全球威胁情报中心(GTIC)通过对现存的和新出现的安全威胁进行研究和分析,为用户提供及时和可操作的信息,使用户能够更好地了解其组织面临的威胁。

GTIC Q2威胁情报报告介绍了NTT Security研究人员、安全专家以及分析师在过去三个月的研究成果。除了各种各样的开源智能工具和蜜罐外,GTIC-威胁研究(TR)还分析了全球NTT Security管理安全服务(MSS)平台的数据,为研究人员更深入地了解整体威胁形势提供数据支持。

分析结果概要

在2017年第二季度报告中,NTT Security研究人员和分析师通过对全球NTT Security客户端进行的可见性重大事件进行研究,发现了以下重点信息:

1. 全球威胁可见性

总体而言,与上一季度相比,本季度针对客户的攻击事件增加了24%;

基于NTT Security的客户端数据,网络犯罪分子似乎正在使用包含PowerShell命令恶意附件的网络钓鱼电子邮件作为主要攻击向量;

67%的恶意软件分发是基于电子邮件的;

面向公众的Microsoft SQL(MSSQL)服务器是2017年第二季度网络犯罪分子暴力攻击最喜欢的目标;

在所有攻击类型中,Web应用程序攻击占据21%;应用程序特定攻击占据16%;恶意软件攻击占据12%;侦查攻击占据12%;DoS/DDoS攻击占据10%;

在Web应用程序攻击中,97%是基于SQL注入的;3%是基于PHP注入的;

总体来说,恶意软件检测在2016年Q4和2017年Q2之间下降了41%;如下图所示,病毒/蠕虫、广告软件以及勒索软件在17年Q2均有所增加,而其他恶意软件变体检测量均呈下降趋势;

Top10被确定的漏洞大致可以分为3种攻击方式:代码执行(73%);数据窃取(20%);拒绝服务(7%);

针对Adobe Flash Player漏洞的活动占据针对所有Adobe产品活动的98%;

最易遭受攻击的前五大行业包括制造业(34%)、金融(25%)、医疗健康(13%)、商业服务(6%)以及科技公司(5%);

2. 制造业攻击现状

NCMS高级副总裁Rebecca Taylor表示,

“如今,大多数的制造系统都是为了生产效率而不是为了安全而存在的,这使得每个制造商都面临着严峻的风险。它们会不会成为攻击目标已经是一个既定的事实,现在就是威胁何时降临的问题。”

制造业是2017第二季度NTT Security客户中遭受攻击最严重的行业,占据整体攻击活动的34%;

【制造业攻击时间线】

制造业在2016年的报告中也是重点攻击目标(13%),出现在五个地区(共六个地区)的“前三名”行列,“前三名”中的其他行业均没有出现在17年第二季度的榜单中;

58%的恶意软件分发在制造业环境中是通过网络下载实现的;

制造业中86%的恶意软件是木马和滴管(droppers)的变体;

“侦查攻击”(reconnaissance attack)占据所有针对制造业攻击活动的33%;在此过程中,犯罪分子主要使用ZmEu、Metasploit以及Muieblackcat等工具来扫描面向公众的系统;而在针对制造业的侦查攻击中,75%的侦查工作目标是基于PHP的应用程序;14%为DNS服务器;7%为SNMP或ICMP协议;2%为Web服务器;0.7%为Wordpress;0.05%为NetBIOS 端口;1.25%为其他;

【侦查攻击的目标应用】

Top3与PHP应用相关的漏洞,用于对制造业进行侦查和渗透工作:

3. Apache Struts漏洞相关数据

Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。 漏洞编号:CVE-2017-5638; 漏洞简介:Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行; 影响范围:Struts 2.3.5 – Struts 2.3.31、Struts 2.5 – Struts2.5.10;

【Struts攻击流程】

Apache Struts(CVE-2017- 5638)漏洞在发现一周内就迅速入围“Top5”攻击类型之列,直至6月底依然位居“Top7”之列;

针对Apache Struts的所有攻击活动中有76%的IP地址属于中国;

在美国,遭受Apache Struts攻击最严重的行业包括教育(37%)和医疗保健(28%);在日本,最严重的行业是政府(46%)。

安全建议

针对上述威胁,NTT Security建议可以通过下述步骤进行缓解:

定期进行漏洞扫描和渗透测试以确定漏洞状态; 始终坚持深度防御(DiD)安全措施,包括定义内部细分和隔离,从而增加犯罪分子攻击的难度; 建立有正式流程支持的事件响应小组; 通过自动和手动流程实施有效的补丁管理,以确保必要的软件和硬件修补程序,减少漏洞利用概率; 建立应用程序白名单; 确保关键数据、信息、操作系统、应用程序、工具以及配置文件的备份和脱机存储工作;

总结

与2016年第四季度相比,17年第二季度的整体攻击活动增加了24%,其特征主要表现为多种攻击手段相结合。第二季度观察到的攻击包括各种Web应用程序攻击、允许远程执行代码的攻击以及基于网络钓鱼的攻击等。然而,在这些网络钓鱼活动中,犯罪分子开始倾向于在恶意附件的VBA宏中运用PowerShell命令实施攻击。

NTT研究人员还发现“侦查攻击”呈现明显上升趋势-这种趋势在2017年后两个季度可能会持续下去,因为攻击者在确定目标的漏洞后会再次进行更具针对性的工具。

对于制造业来说,今年是难熬的一年,因为33%的侦查攻击都是针对制造业的,预计2017年下半年针对制造业的攻击和恶意软件活动依然会呈上升趋势。

随着越来越多的技术和连接不断被引入制造行业,攻击者也开始将目光瞄准这块“宝地”。虽然通常并不被认为是高度“可攻击的”,但是事实证明,过去几年来,制造业已经成为最受攻击者关注的行业之一,同时也是2017年第二季度最具针对性的行业。

除了制造商独有的潜在威胁外,该行业还面临着各种各样其他的威胁,包括内部和技术等许多行业普遍存在的威胁。

目前,网络犯罪分子的技术手段正在随着技术的发展而不断更新。话虽如此,很多攻击者仍然会使用一些“可靠的”方法,例如利用未打补丁的漏洞等,这一现象也值得企业深思。

关于NTT Security

NTT Security是NTT集团(日本电报电话公司)旗下的专业安全公司,凭借嵌入式安全,我们的集团企业(Dimension Data、NTT Communications 以及 NTT DATA)可以为客户的数字转型提供有弹性的业务解决方案。NTT Security拥有10个安全运维管理平台(SOC)、7个研发中心以及超过1500名安全专家,每年服务处理六大洲数十万起安全事件。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-08-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏吉浦迅科技

亲测一款能装Jetson TX2的小机箱

前天Lady发了一篇看老外如何给NVIDIA Jetson TX2装机壳,因为看到淘宝/京东 也正好有卖这款小机箱,所以Lady我就买了....

16540
来自专栏企鹅号快讯

某能源工厂的安全系统被黑客入侵 造成工厂停止运行

国家支持的黑客入侵了一家关键基础设施工厂,造成这家工厂停止运行。火眼于昨天披露了这起事件,问题出现在施耐德的工业安全技术Triconex上。 ? 施耐德确认了这...

373130
来自专栏腾讯云人工智能

文字识别OCR服务,降价啦!

摘要:腾讯云文字识别OCR服务除了推出价格实惠的预付费资源包外;后付费模式价格也进行了降价调整;降价不降质,您可以结合自身业务场景灵活选择付费方式。

69900
来自专栏大数据文摘

【安全】“心脏出血”漏洞一周年全球普查

21430
来自专栏FreeBuf

美国征信巨头Equifax数据泄露:不及时修复漏洞,就是给自己埋不定时炸弹

美国征信巨头 Equifax 日前确认,黑客利用其系统中未修复的 Apache Struts 漏洞( CVE-2017-5638,3 月 6 日曝光)发起攻击,...

38760
来自专栏FreeBuf

2017年上半年重大黑客事件盘点

在过去的2016年,发生了许多大规模和令人震惊的网络攻击事件。正如我们所预料的,2017年我们将面对更严峻的安全挑战!下面让我们共同回顾下截至当前,网络上所发生...

32070
来自专栏安恒信息

安恒信息APT攻击(网络战)预警平台2018年勒索病毒检测分布

2017年,勒索病毒扩散事件让大家人心惶惶,对WannaCry勒索病毒、Petya勒索病毒、Locky勒索病毒、BadRabbit勒索病毒的传播记忆犹新,而20...

17030
来自专栏FreeBuf

第一起 | 国内恶意软件用伪基站传播Android恶意软件

根据外媒报道称,中国的恶意软件开发者正在使用伪基站(BTS)发送包含Android恶意软件链接的恶意短信。 ? 这是恶意软件开发者使用基站传播恶意软件的第一起案...

266100
来自专栏安恒信息

报告:黑客可借漏洞攻击手机银行客户端

安卓系统安全问题一直以来被业界所诟病。近日有安全报告指出,安卓手机系统漏洞严重威胁网民支付安全。利用安卓系统漏洞,黑客可以对手机银行客户端实施注...

34040
来自专栏FreeBuf

瑞星2016年中国信息安全报告

免责声明 本报告综合瑞星“云安全”系统、瑞星客户服务中心、瑞星反病毒实验室、瑞星互联网攻防实验室、瑞星威胁情报平台等部门的统计、研究数据和分析资料,仅针对中国2...

38460

扫码关注云+社区

领取腾讯云代金券