2018-2019年网络安全态势观察报告

FB客服

发布于 2019-07-30 15:24:16

9360

发布于 2019-07-30 15:24:16

文章被收录于专栏：FreeBufFreeBuf

今日，启明星辰集团联合FreeBuf独家正式发布《2018~2019网络安全态势观察报告》（以下简称“《报告》”）。《报告》针对2018年至2019年上半年的网络安全状况进行了研究和分析，对过去一年多面临的诸多网络安全问题进行了总结，并对未来网络安全发展态势进行了预测。

《报告》对过去一年多的网络安全事件进行了研究、分析，得出以下九大网络安全发展态势：

1. 应用广泛的软硬件曝出多个重大漏洞，漏洞从曝光到被利用的时间越来越短； 2. 恶意软件即服务（MaaS）趋势明显，地下产业链日趋成熟； 3. Office公式编辑器漏洞与恶意宏利用横行，黑客青睐攻击面广且稳定的攻击方式； 4. 越来越多APT攻击被曝光，攻击隐匿性进一步增强； 5. 勒索攻击趋于定向化，版本迭代进入“敏捷化”时代； 6. 挖矿攻击增长明显，逐渐成为黑客获利的最佳途径； 7. 针对IoT设备的攻击呈爆发式增长，IoT蠕虫较往年增长数倍； 8. 各类数据泄露事件频发，数据安全越来越受重视； 9. 工控环境、云环境成黑客新宠，各类针对性安全事件频发。

此外，《报告》还对漏洞攻击、僵尸网络及木马、恶意文档攻击、APT攻击、挖矿与勒索攻击、IoT 设备攻击等六大攻击手段进行了详细阐述：

一、漏洞攻击态势观察

2018年，启明星辰收录的漏洞总数较2017年基本持平。其中,中央处理器芯片漏洞、Memcached UDP端口反射攻击漏洞、WebLogic反序列化远程代码执行漏洞、区块链智能合约漏洞、ThinkPHP远程代码执行漏洞、WinRAR远程代码执行漏洞、微软远程桌面服务远程代码执行漏洞等被评为年度最具影响力漏洞。不死的“永恒之蓝”漏洞、多个Apache Struts2漏洞及多个路由器远程代码执行漏洞等被评为年度最流行漏洞。

详细报告全面盘点了过去一年多各种影响力大和流行度广的漏洞。

二、僵尸网络及木马态势观察

2018年全年捕获到的各类受僵尸网络控制的主机中，中国数量最多，受害最严重。我国境内僵尸主机分布最多的五个地区分别为山东、河南、江苏、广东和浙江。控制我国僵尸主机最多的五个国家分别为美国、英国、法国、荷兰和日本。

详细报告着重分析了过去一年多僵尸网络及木马传播态势，并对各种流行木马家族进行了重点解剖。

三、恶意文档攻击态势观察

针对恶意文档的攻击仍主要以Office应用为主。在捕获的恶意文档中，有60.43%的样本使用了恶意宏代码，32.57%的样本使用了0day或Nday漏洞，1.78%的样本利用了DDE机制。

新披露的Office 0day漏洞有所减少，黑客攻击时使用的0day漏洞多为利用Office触发的VBS漏洞以及Flash漏洞。与2017年攻击者更倾向于使用新漏洞不同的是，这些漏洞并没有在公开后得到广泛的利用，而是依然使用恶意宏和公式编辑器系列漏洞这类更稳定的攻击方式来完成攻击。

详细报告对过去一年多Office文档中经常使用的宏攻击技术、公式编辑器漏洞及DDE等攻击技术做了详细分析。

四、APT组织攻击态势观察

截至2019年上半年，已经披露的各类APT组织共计220余个。过去一年多，平均每天就有一个APT攻击报告被披露，较2017年有大幅度增长。APT攻击的隐匿性逐渐增强，并主要表现在如下几个方面：

（1）钓鱼手段更加精细化，针对性和迷惑性更强；（2）关键攻击代码很少落地，给APT攻击的防护和取证带来不少挑战；（3）利用各种手段尽可能隐藏网络踪迹；（4）利用开源代码或工具隐藏组织特点，降低攻击成本。

详细报告对APT组织的各种常用技术做了总结，全面回顾了2018年国内外APT组织攻击事件，并对相对活跃的尤其是针对我国进行攻击的APT组织的若干攻击事件进行了详细阐述。

五、勒索挖矿攻击态势观察

过去一年多，勒索病毒攻击从广撒网转向针对高价值目标的定向投递。同时，勒索病毒版本迭代逐渐进入“敏捷化”时代。未来勒索攻击会更加具有针对性，特别是针对重要关键设施的勒索攻击将会越来越多。

而与勒索攻击不同的是，挖矿攻击较上一年度增长超过4倍，挖矿攻击已经覆盖几乎所有平台，成为黑客最主要的谋利手段之一。随着挖矿团伙的产业化运作，越来越多的0day/1day漏洞在公布的第一时间就被用于挖矿攻击。同时，挖矿木马已经不满足于“单打独斗”，开始和僵尸网络、勒索病毒、蠕虫病毒相结合，进一步增强了挖矿木马的传播和植入成功率。

详细报告对勒索和挖矿的传播方式、攻击态势变化做了全面总结，并对主要流行勒索和挖矿家族进行了阐述。