360CERT網路安全八月月報 | IT服務業和製造業成為網路安全事件“重災區”

當前，隨著數字化浪潮的不斷加快，網路空間博弈上升到全新高度。潛在的漏洞風險持續存在，全球各類高階威脅層出不窮。洞悉國內外網路安全形勢，瞭解網路安全重要漏洞是建設好自身安全能力的重要基石。近日，360CERT《網路安全八月月報》（以下簡稱“八月月報”）如期釋出，重點關注了八月份安全漏洞分析、網路安全重⼤事件、勒索病毒攻擊態勢、移動安全資料分析、樣本分析等內容，多維度全方位梳理了當月網路安全熱點，為掌握全域性網路安全態勢打下堅實基礎。

安全漏洞

2021年8月，360CERT共收錄55個漏洞，其中嚴重22個，高危18個，中危13個,低危2個。主要漏洞型別包含程式碼執行、記憶體越界漏洞、訪問控制不當、命令注入、伺服器端請求偽造等。涉及的廠商主要是Windows、 VMware、Atlassian、Apple、Apache 、IBM、Google等。

在八月月報收錄的55個漏洞中，重點梳理了其中5個重點漏洞事件，包括CVE-2021-26084：Confluence OGNL 注⼊漏洞、2021-08: XStream 多個高危漏洞、CVE-2021-20032：SonicWall Analytics 遠端程式碼執⾏漏洞、CVE-2021-36958: Windows Print Spooler印表機漏洞、2021-08 補丁日: 微軟多個產品漏洞。

對此，月報中也給出了相應的安全建議：

l  各行業主管部門應積極關注相關應用或裝置的威脅情報，建立完善的漏洞管理流程及應急響應流程，及時推動嚴重漏洞的修復流程；

l  企業內部應做好資產管理，及時進⾏內部資產統計，完善內部資產管理體系，以便在漏洞出現時及時做好自查工作；

l  安裝了安全產品企業應及時聯絡相關安全廠商定期更新安全產品檢測規則，並定期進行內部漏洞掃描工作；

l  週期性的進行內部的安全測試或安全演習，及時發現並修復相關威脅；

l  定期進行企業安全培訓，形成企業安全用網規範，提高員工安全意識。

安全事件

在本月發生的安全事件中，360CERT共收錄213項，話題集中在資料洩露、惡意程式、網路攻擊方面，涉及的組織有：Microsoft、Google、Cisco、華為、FBI、WordPress、Apple、Twitter等。涉及的行業主要包含IT服務業、製造業、金融業、政府機關及社會組織、批發零售業、醫療行業、交通運輸業等。

一直以來，APT攻擊對於國家和企業來說都是一個巨大的網路安全威脅，隨著數智化程式的加快，海量資料資源不斷產生成為“無價之寶”，這也給更多黑客特別是有專業力量的APT攻擊團隊有了可乘之機。

八月月報中重點梳理了近期發現的極具代表性的APT事件。APT-C-09（摩訶草）組織，又稱HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是⼀個來自於南亞地區的境外APT組織，該組織已持續活躍了7年。摩訶草組織主要針對中國、巴基斯坦等亞洲地區國家進行網絡間諜活動，其中以竊取敏感資訊為主。八月月報中披露了來自美色的誘惑- APT-C-09（摩訶草）組織近期的攻擊活動，提到360威脅情報中心捕獲到幾例藉助美女圖片作為誘餌的惡意樣本程式，這些樣本通過婚介主題來誘騙使用者執行惡意程式或者文件檔案，執行後釋放對應圖片檔案並開啟以達到偽裝的效果，自身主體則與伺服器連線，接收指令資料，達到攻擊者遠端控制使用者裝置的效果。

月報中還收錄了APT-C-54(Gamaredon)近期技戰術總結、獵天行動——CNC（APT-C-48）組織最新攻擊活動披露等多起APT事件。此外，月報中重點回顧了八月份安全事件的重點事件，包括IT諮詢巨頭埃森哲遭遇Lockbit勒索軟體攻擊、SideWalk惡意軟體分析等惡意程式事件；T-Mobile 證實系統遭到破壞等資料安全事件；Liquid貨幣交易所遭受黑客攻擊，損失超過 9000 萬美元等網路攻擊事件以及工業控制裝置中廣泛使用的嵌入式TCP/IP協議棧存在嚴重漏洞等其他事件。

惡意程式

除了APT攻擊帶來的網路安全威脅外，勒索病毒的攻擊同樣是近年來網路安全的主要威脅之一。常見的攻擊手段主要包括系統漏洞攻擊、遠端訪問弱口令攻擊、釣魚郵件攻擊、Web服務漏洞和弱口令攻擊、資料庫漏洞和弱口令攻擊等，近年來，勒索病毒呈現持續高發趨勢，其帶來的網路安全威脅不容忽視。

八月月報中指出，2021年8月，全球新增的活躍勒索病毒家族有:LockFile、MBC、Karma、Malki、GetYourFilesBack、Salma、AllDataStolen、GoodMorning等勒索軟體。其中LockFile嚴格意義上來說是2021年7月新增，但在7月僅發現一個受害者，從8月20日開始已出現10多個受害者；Karma是本月新增的雙重勒索軟體；MBC在本月成功攻擊伊朗伊斯蘭共和國鐵路系統，並擁有自己的資料洩露網站，但尚未洩露受害者資料。

針對本月勒索病毒受害者所中勒索病毒家族進行統計發現，phobos家族佔比22.03%居首位，其次是佔比19.13%的Stop，Makop家族以10.01%位居第三。

月報中提到，對比近三個月的感染資料，GlobeImposter家族有持續下降的態勢；已消失幾月的BeiJingCrypt勒索軟體再次活躍；通過長時間的觀察發現，在國內傳播的LockBit勒索軟體並非都涉及資料洩露，受災面積小的企業/組織並未被該家族公開發布被竊取資料(但仍不排除有資料洩露風險)。

此外，通過對移動安全資料，主要是隱私竊取攔截量的分析發現，上海、泉州、深圳這三個省份移動端隱私竊取數量佔據前列，基本上可以體現人口越集中、經濟越發達、移動裝置使用數量越多的省份，軟體惡意行為更加猖獗，惡意軟體存活比例越大。

面對嚴峻的勒索病毒威脅態勢，360安全大腦針對企業使用者給出了更有針對性的安全建議：

l  在企業資訊化建設初期就要考慮系統的保護工作，提前做好安全規劃，包括網路架構、內外網隔離、安全裝置部署、許可權控制和資料備份保護等；

l  要做好安全管理，包括賬戶口令管理、補丁與漏洞掃描、許可權管控和內網強化等；

l  此外還要做好⼈員管理，提高員工的安全意識，規範員工的工作行為等。

l  在發現遭受勒索病毒攻擊後，企業應該立即關閉中毒機器並關閉該機器的網路，聯絡安全廠商，對內部網路進行排查處理，並將公司內部所有機器口令進行更換。

l  在後續的防護工作中，要明確防護措施，做到定期對內部網路進行安全排除處理；登入口令要有足夠的長度和複雜性，並定期更換登入口令；重要資料的共享資料夾應設定訪問許可權控制，並進行定期備份；定期檢測系統和軟體中的安全漏洞，及時打上補丁。

最後，月報中還提到了重要的一點，針對勒索病毒都不建議支付贖金，支付贖金不僅變相鼓勵了勒索攻擊行為，而且解密的過程還可能會帶來新的安全風險。