近日,三六零集團(股票程式碼:601360.SH,以下簡稱“360”)網路安全響應中心(以下簡稱“360CERT”)釋出《網路安全十一月月報》(以下簡稱“十一月月報”),對十一月份安全漏洞分析、網路安全重大事件、勒索病毒攻擊態勢等內容進行了梳理,為網路安全等相關人員提供精準的網路安全態勢走向,便於更好的掌握網路安全發展趨勢。
本月攻擊態勢主要聚焦了殭屍網路攻擊、釣魚郵件攻擊、網頁掛馬攻擊和針對Web應用和資料庫的攻擊四方面。11月份Windows平臺僵屍網路總體攻擊趨勢相對較為平穩,未見較大幅度的增長或減少。但Emotet 僵屍網路在停擺了多月之後,於本月再次出現傳播,疑似其部分運營者重啟了該殭屍網路的運作。雖然本月Emotet僵屍網路重啟,但根據360安全大腦的監測資料顯示, Emotet重啟後傳播規模並不大。
此外,在網頁掛馬攻擊方面,本月初,有駭客團伙使⽤Magnitube EK 漏洞利用套件在網頁廣告中植入CVE-2021-40444 漏洞利用程式碼,傳播Magniber勒索病毒。由於部分廣告頁面在訪問量較大的色情網站中被展示,此次攻擊對不少使用者造成了影響。
安全漏洞
2021年11月,360CERT共收錄28個漏洞,其中嚴重8個,高危15個,中危5個,並回顧了其中7個重點漏洞事件。主要漏洞型別包含特權提升、程式碼執行、UAF、拒絕服務等。涉及的廠商主要是Apache 、Linux、VMware、Windows、Google等。
安全事件
本月收錄安全事件278項,話題集中在資料洩露、惡意程式、網路攻擊方面,涉及的組織 有:Microsoft、Google、Twitter、Facebook、Apple、FBI、YouTube等。涉及的行業主要包含IT服務業、製造業、金融業、政府機關及社會組織、醫療行業、交通運輸業等。其中IT服務業依然是安全事件易發和多發的“重災區”,佔比為62.95%。
在十一月月報中,重點梳理了8起APT事件。其中APT-C-59(蕪瓊洞)組織2021年攻擊行動揭秘引起了關注,2021年上半年,360高階威脅研究院發現了來自同⼀個新APT組織的多起攻擊活動,根據該組織的攻擊特徵分析顯示,發現其相關攻擊行動未與目前已知APT組織關聯,同時觀察到該組織的兩次攻擊行動中都使用了0day漏洞攻擊手段,所以將其背後的攻擊者命名編號為APT-C-59(蕪瓊洞)。APT-C-59(蕪瓊洞)組織的最早的攻擊活動可以追溯到2020年8月,早期該組織就利用了部分瀏覽器的偽協議0day漏洞攻擊我國相關單位,同時還攻擊了越南地區的部分受害者。透過攻擊資料綜合分析,可以看到該組織的攻擊目標地區是以東亞和東南亞為主,涉及政府、智庫、媒體、醫療多個行業。
此外,在十一月月報中,還重點回顧了包括惡意程式事件、資料安全事件、網路攻擊事件和其他事件在內的12起重點事件,並梳理了安全事件的時間線。
惡意程式
2021年11月,全球新增的活躍勒索病毒家族有:Doyuk2、 HarpoonLocker、Rozbeh、BlackCocaine、Cryt0y、Flowey 、54BB47H (Sabbath)、 Entropy、ROOK、RobinHood、AvGhost等勒索病毒家族,其中 54BB47H (Sabbath)、Entropy、ROOK、RobinHood四個家族為本月新增的雙重勒索病毒家族。
此外,老牌勒索家Snatch也開始採用雙重勒索模式運營;而AvGhost勒索軟體針對服務器進行攻擊,雖然受害者聯絡到黑客後,駭客表示此次攻擊只是測試並承諾替使用者免費解密檔案,但實際結果是受害者仍有大量資料無法恢復。
其中,Magniber勒索軟體升級,瞄準國內使用者,成為本月最值得關注的勒索病毒。11月5日開始,360安全大腦檢測到CVE-2021-40444漏洞攻擊攔截量有較明顯上漲。經過360政企安全集團高階威脅研究分析中心分析追蹤發現,這是⼀起掛馬攻擊團伙,利用CVE-2021-40444大肆傳播勒索病毒的攻擊事件,同時病毒在攻擊過程中,還使用了PrintNightmare漏洞進行提權。該駭客團伙主要透過在色情網站、遊戲網站(也存在少部分其它網站)的廣告位上,投放植入帶有攻擊程式碼的廣告,當使用者訪問到該廣告頁面時,就有可能中招,感染勒索病毒。截止當前360安全衛士仍能攔截到約500次每小時的掛馬廣告頁面訪問。而漏洞攔截量,最高單日也已超過1000次。
Magniber 勒索軟體是基於Magnitude exploit kit(Magnitude EK)開發套件進行開發,早期還曾傳播過Locky、Cerber勒索病毒家族。被該勒索加密後,檔案字尾將被修改為隨機字串,受害者需向攻擊者支付0.044~0.048個位元(價格⼀直在波動,5天內若未支付,贖金將會翻倍)。
同時,十一月月報中還指出,當前,透過雙重勒索或多重勒索模式獲利的勒索病毒家族越來越多,勒索病毒所帶來的資料洩露的風險也越來越大。十一月月報中收錄了透過資料洩露獲利的勒索病毒家族佔比,該資料僅為未能第⼀時間繳納贖金或拒繳納贖金部分(已經支付贖金的企業或個⼈,可能不會出現在這個清單中)。
對此,360安全大腦指出,對企業資訊系統的保護,是⼀項系統化工程,在企業資訊化建設初期就應該加以考慮,建設過程中要嚴格落實,防禦勒索病毒並非難事。同時,360安全大腦不建議使用者支付勒索病毒贖金,可以嘗試透過備份、資料恢復、資料修復等手段挽回部分損失。