2020年3月网络安全态势分析

2020年3月网络安全态势综述

01 漏洞态势综述

总体看三月份的新增漏洞呈上升趋势，新增高危漏洞113个，主要分布在微软、Adobe、Moxa、Videolabs实验室、VISAM、Siemens、Rockwell、D-Link、Linux、Vmware等厂商的主要产品中。

2020年3月绿盟科技安全漏洞库共收录237个漏洞, 其中高危漏洞113个，微软高危漏洞27个。绿盟科技收录高危漏洞数量与前期相比呈下降趋势。

注：绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等；

02 恶意软件态势综述

2020年3月份数据与2019年度数据中恶意软件各类型分布如下图所示。3月份各恶意软件类型占比相比去年全年情况有所波动，后门取代挖矿居于首位，占比47.72%；挖矿相较于去年全年的数据比例有大幅下降，蠕虫则略有上升。此外，木马、僵尸肉鸡、勒索相对较少，仅占6%左右。

03 物联网安全态势综述

本月有三个值得重点关注的物联网安全事件：

1）严重的RCE漏洞影响了数百万基于OpenWrt的网络设备。

2）黑客利用DrayTek设备中的0day漏洞对企业网络发动攻击。

3）工控安全最大威胁：攻击工具泛滥。

本月漏洞平台Exploit-DB新增12个物联网漏洞利用，其中6个远程命令执行（RCE）类型漏洞利用，应引起重视。

对5555端口存在的威胁进行了重点分析，发现同一个端口上出现多种攻击已经成为一种趋势，这对防守方是一种新的挑战，要求防守方改变传统的捕获和分析思路，一方面需要具备在相同端口上同时模拟多种协议和漏洞的能力，另一方面也需要具备从海量的日志中分析出潜在的攻击行为的能力。

重点关注了针对Netlink GPON路由器RCE漏洞的利用行为，该漏洞在3月17号被公布后，到僵尸网络发动僵尸主机利用该漏洞进行传播，仅用了7天时间。僵尸网络如此高的效率，也对安全团队的响应效率提出了更高的要求。

04 DDOS攻击态势综述

2020年3月份，我们监控到 DDoS 攻击次数为5.1万次，攻击总流量3223万 gb。2020年3月，攻击时长在5分钟以内的DDoS攻击占了全部攻击的35%。从一天24小时攻击占比以及每周的占比来看，攻击分布比较平均。根据2020年1月-2020年3月的DDoS攻击数据进行聚类分析，共发现8个团伙。最大团伙规模17万攻击源，发起攻击事件3.99万。

05 僵尸网络及蜜罐态势综述

在2020年3月份的DDoS僵尸网络活动中，主要攻击来自家族Mirai、Gafgyt、YoYo。本月的DDoS攻击手段主要为UDP flood、CC和TCP flood，而僵尸网络控制端托管的三大云服务依然是Digital Ocean、OVH和Hostwinds。本月检测到的IoT木马传播利用的漏洞种类为27种，其中CVE-2017-17215（华为路由器）、CVE-2014-8361和ThinkPHP远程命令执行漏洞仍居前列，与往月变化不大，其中新增的漏洞为 CVE_2020_10173（康全电讯路由器命令注入）以及Avaya Aura Communication Manager、Netlink GPON路由器1.0.11 与Netis WF2419路由器2.2.36123的远程代码执行。