近日,綠盟科技威脅情報中心(NTI)重磅釋出《2020 上半年網路安全態勢分析》報告。報告對2020年上半年的各類網路安全態勢進行追蹤和研究,透過聚焦漏洞、惡意軟體、物聯網安全、DDoS攻擊和殭屍網路方面的安全態勢,全面觀測網路空間安全域性勢,幫助使用者更好地瞭解和應對各類網路威脅。
漏洞態勢綜述
2020年上半年綠盟科技安全漏洞庫共收錄1419個漏洞,其中高危漏洞714個,微軟高危漏洞184個。高危漏洞主要分佈在Microsoft、Orcale、Adobe、Google、Cisco、IBM、Moxa、Apache等廠商的主要產品中。
圖 1-1 2020上半年漏洞數量統計
惡意軟體態勢綜述
2020年上半年資料與2019年度資料中惡意軟體各型別分佈如下圖所示。上半年各惡意軟體型別佔比相比去年全年情況有所波動,後門取代挖礦居於首位,佔比48.05%;挖礦相較於去年全年的資料比例有大幅下降,蠕蟲活躍程度與去年全年持平,和後門一起佔據整體惡意軟體活動的87%。
圖 1-2 惡意軟體型別分類
物聯網安全態勢綜述
2020年上半年有9個值得重點關注的物聯網安全事件:
(1)Ripple20 0day漏洞曝光,掃蕩全球各行業數億臺聯網裝置
(2)Netgear數十款路由器產品曝出高危零日漏洞
(3)一組工控蜜罐招來四個零日攻擊
(4)嚴重的RCE漏洞影響了數百萬基於OpenWrt的網路裝置
(5)駭客利用DrayTek裝置中的0day漏洞對企業網路發動攻擊
(6)駭客劫持了智慧門禁系統,並可以對網路可達的裝置發起DDoS攻擊
(7)數百萬使用LoRaWAN的裝置可遭駭客攻擊,LoRaWAN網路中的節點、閘道器、伺服器均存在比較嚴重的漏洞,其安全防護能力有待提高
(8)駭客洩露超過50萬臺裝置的Telnet憑據
(9)研究人員發現帶有挖礦功能新殭屍網路LiquorBot
2020年上半年,漏洞利用平臺Exploit-DB共計出現84個物聯網相關漏洞利用,以Netgear為首的網路裝置廠商為主,我們認為出現這種現象的原因,是網路裝置的頭部廠商通常出售的裝置數量多,基數大,研究人員更關注其相關裝置。漏洞利用的型別以RCE和DoS為主,其中RCE類漏洞數量最多,佔總量的百分之三十五以上。
2020年上半年,綠盟威脅捕獲系統捕獲到來自266632個IP的26998718次訪問請求日誌,其中12.98%的訪問請求是對物聯網漏洞進行利用的惡意攻擊行為。攻擊者使用的漏洞大多在Exploit-DB有公開的漏洞利用指令碼。受到攻擊者利用最多的漏洞包括D-Link裝置漏洞CVE-2015-2051與MVPower DVR漏洞,EDB編號41471。對源IP進行分析,其中159679個IP發起過漏洞利用等惡意行為,佔總量的59.89%。從關聯到惡意行為的IP分佈在了201個國家和地區,從國家分佈情況來看,中國最多,來自中國的惡意IP佔所有惡意IP的23.6%。
DDOS攻擊態勢綜述
2020年上半年,我們監控到 DDoS 攻擊次數為21萬次,攻擊總流量11萬Tb。其中,攻擊時長在5分鐘以內的DDoS攻擊佔了全部攻擊的67%。從一天24小時攻擊佔比來看,什麼時候都有可能被攻擊。從每週中DDoS 攻擊活動的分佈來看,每天都有可能被攻擊,週三最常被攻擊。SYN Flood是主要的攻擊型別,佔總攻擊次數的43.17%。從流量佔比來看,UDP Flood發起的攻擊流量佔比最高,佔比75.5%。
2020上半年持續關注團伙15個,其中IPGang01是在我們監測範圍內規模最大的團伙,包含攻擊源21.7萬個,月度活躍資源13萬,上半年活躍天數164天,期間共對1366個目標IP發起過5.8萬起攻擊事件,累計總攻擊流量1.3萬Tbits。
殭屍網路及蜜罐態勢綜述
在2020年上半年的DDoS殭屍網路活動中,主要攻擊來自Mirai和Gafgyt等家族。
上半年的DDoS攻擊手段主要為UDP flood、CC和TCP flood。
上半年殭屍網路控制端託管的雲服務商以Hostwinds、Digital Ocean和OVH為主,預計在下半年不會改變。
上半年檢測到的IoT木馬傳播利用的各類漏洞種類為128種,其中CVE-2017-17215(華為HG532路由器)、CVE-2014-8361(Realtek rtl81xx SDK遠端程式碼執行漏洞)和ThinkPHP遠端命令執行漏洞位居前列。
透過綠盟科技的威脅捕獲系統,我們長期監測了一個面向門羅幣挖礦的殭屍網路。該殭屍網路透過弱口令爆破入侵主機,以植入殭屍程式的方式獲取控制許可權,同時使用下載器下載並執行門羅幣挖礦病毒指令碼,實現惡意挖礦。該挖礦殭屍網路在2020年上半年的整體活躍情況呈增長趨勢,活躍肉雞總量達到20830臺,其中在中國的肉雞最多,達到8304臺,佔比40%。開放22埠的肉雞數有13664臺,佔比接近所有肉雞的 66%。在已知的資產情報資料中,這些肉雞的主要裝置型別是路由器和攝像頭。