威脅情報專欄|2020年7月網路安全態勢分析

綠盟科技發表於2020-08-17

1.1  漏洞態勢綜述

總體看七月份的新增漏洞呈上升趨勢,新增高危漏洞79個,主要分佈在Microsoft、Adobe、Cisco、Rittal、Advantech、Phoenix等廠商的主要產品中。

2020年7月綠盟科技安全漏洞庫共收錄200個漏洞[1], 其中高危漏洞79個,微軟高危漏洞20個。綠盟科技收錄高危漏洞數量與前期相比呈上升趨勢。

威脅情報專欄|2020年7月網路安全態勢分析

圖 1-1  高危漏洞數量統計對比

1.2  惡意軟體態勢綜述

2020年7月份資料與2020年上半年資料中惡意軟體各型別分佈如下圖所示。7月份各惡意軟體型別佔比相比去年全年情況有所波動,後門取代挖礦居於首位,佔比53.08%;蠕蟲表現十分活躍,挖礦相較於上半年的資料比例有大幅下降,和後門一起佔據整體惡意軟體活動的89%以上。

威脅情報專欄|2020年7月網路安全態勢分析

圖 1-2  惡意軟體型別分析

1.3  物聯網安全態勢綜述

本月漏洞平臺Exploit-DB新增6個物聯網漏洞利用,其中1個遠端命令執行(RCE)型別漏洞利用,本月物聯網相關漏洞利用較少。

本月有三個值得重點關注的物聯網安全事件:

(1)讓快速充電器變成手機電腦殺手

(2)外形類似Game Boy的小工具價值2萬英鎊 專門用來盜取車輛

(3)移動應用的“隱私之殤”:非法竊取使用者資訊再敲警鐘

本月針對物聯網裝置的攻擊數量趨於平穩,較上月攻擊行為總量有所減少。

1.4  DDOS攻擊態勢綜述

2020年7月份,我們監控到 DDoS 攻擊次數為1.9萬次,攻擊總流量2222Tb。2020年7月,攻擊時長在5分鐘以內的DDoS攻擊佔了全部攻擊的72%。從一天24小時攻擊佔比來看,什麼時候都有可能被攻擊。從每週中DDoS 攻擊活動的分佈來看,每天都有可能被攻擊,週四最常被攻擊。2020年7月份主要的攻擊型別是SYN Flood,佔總攻擊次數的56%。從流量佔比來看,UDP Flood發起的攻擊流量佔比最高,佔比42%。根據2020年5月-2020年7月的DDoS攻擊資料進行聚類分析,共發現21個團伙。

1.5  殭屍網路及蜜罐態勢綜述

2020年7月份的DDoS殭屍網路活動中,監控到的總體事件數較6月有大幅度下降,攻擊主要來自家族Mirai和Dofloo,其中Dofloo連續下發指令的最大時長達到了10小時左右。本月的DDoS攻擊手段主要為UDP flood、ACK flood和CC。殭屍網路控制端託管的雲服務商以BladeServers、Digital Ocean和Hostwinds為主。本月檢測到的IoT木馬傳播利用的各類漏洞種類為73種,其中CVE-2017-17215(華為HG532路由器)、CVE-2014-8361(Realtek rtl81xx SDK遠端程式碼執行漏洞)和領勢路由器E系列(Linksys E series)遠端程式碼執行漏洞位居前3。新增漏洞包括CVE_2020_5902(美國F5 BIG-IP平臺遠端程式碼執行)、CVE_2020_10987(騰達無線路由器遠端命令執行)和Sickbeard遠端程式碼執行。

蜜罐方面,2020年7月份網際網路攻擊活動主要由惡意掃描構成,其中針對遊戲埠27015的惡意掃描最多,佔到15%左右。漏洞利用方面,針對Dlink路由器、MVPower攝像頭和Redis的攻擊最多。弱口令攻擊主要來自荷蘭、巴拿馬和俄羅斯。DDOS反射攻擊方面,dns佔據半壁江山。7月共計捕獲DDoS反射攻擊事件超過513萬例,其中最長的持續時間高達24小時左右。

透過綠盟科技的威脅捕獲系統,我們長期監測了一個面向門羅幣挖礦的殭屍網路。該挖礦殭屍網路在2020年7月份的整體活躍情況呈降低趨勢,活躍肉雞總量降低至8428臺,其中在中國的肉雞最多,達到3406臺,佔比40%。開放22埠的肉雞數有5989臺,佔比接近所有肉雞的 71%。在已知的資產情報資料中,這些肉雞的主要裝置型別是路由器和攝像頭。另外,該挖礦殭屍網路最常用的爆破弱口令依然是nproc-nproc。


相關文章