绿盟科技威胁响应中心 互联网安全事件 观察报告 2020 前提概要 年度各类事件数量统计总览 1 年度重大安全事件 Top 20 2 年度安全事件观察结果 3 漏洞 漏洞观察 4 漏洞 处置三部曲 5 勒索软件 勒索事件观察 6 勒索事件处置观察 7 信息泄露 信息泄露事件观察 8 工控行业安全事件 工控安全事件观察 10 工控威胁现状观察 11 年度各类事件数量统计总览 所有 类别 勒索 软件 信息 泄露 工控 事件 235 267 304 209 328 198 220 382 387 366 298 244 0 500 432 498 187 327 588 701 901 945 876 891 720 688 0 1000 2000 4782 6874 7094 6622 6424 6732 7433 7588 7462 6846 7248 6643 0 5000 10000 1 2 3 4 5 6 7 8 9 10 11 12 2019年 2020年以下数据为全年监测到的各类安全事件资讯逐月数量统计 80 100 97 160 155 114 234 203 211 182 119 97 0 200 400 8w+ 全年监测收集到的各类安全事件共计 81748，信息来源于各类漏洞库、国内外安全资讯网站、社交媒体等。 109 今年共发布安全通 告 109 篇 ，防护方案 11 篇。 经观察全年安全事件主要有如下几类：漏洞类、勒索软件、信息泄露、 工控、攻击事件及恶意软件。分类 年度重大安全事件 Top20 视频会议软件 Zoom 重大漏洞导 致数万私人视频被公开围观 个人及企业对于 高危漏洞 的关注程度逐年增高，这些漏洞所能造成的直接影响已经较早 些年大大降 低。不过即便修复了漏洞也不能高枕无忧，有几类 攻击也已 活跃多年，他们产 生的影响能渗透进生产生活的各个方面。 这些暗中操作，影响持久的攻击事件就是 勒索 软件 攻击和 信息泄露 。 F5 BIG-IP TMUI 远程代码执行漏洞 （ CVE-2020-5902） 2020 开年大洞，微软 Windows CryptoAPI 验证绕过漏洞 CVE- 2020-0601 Weblogic 多个远程代码执行漏 洞 Bad Neighbor , Windows TCP/IP 远程代码执行漏洞 超 1600万巴西 COVID-19 患者 个人和健康详细信息在网上暴露 FireEye 遭网络攻击，红队工具被窃。 网络管理软件供应商 SolarWinds 遭供应链攻击，部分版本的 Orion Platform 更新文件中被植入后门 SMBGhost，微软 SMBv3远程 代码执行漏洞 Ripple20， Treck TCP/IP堆栈多 个安全漏洞 SigRed ， Windows DNS服务 器远程执行代码漏洞 Netlogon 超危提权漏洞（ CVE- 2020-1472） 委内瑞拉国家电网干线遭受攻击， 造成全国大面积停电 米高梅旗下酒店 1070万住宿客 户信息遭黑客散布 美天然气管道运营商遭勒索软件 攻击 Wi-Fi 漏洞 Kr00k 影响超十亿台 设备 网络钓鱼活动目标锁定疫苗研发 公司、新冠疫苗冷链组织 打着新冠疫情名义的钓鱼攻击、 恶意软件传播、诈骗活动频发 特斯拉、波音等公司的零件制造 商拒付赎金后，被窃机密遭泄露 工业物联网芯片制造商 Advantech 证实遭受勒索软件攻击，公司文件 被窃。 6月 1月 12.30 今年由于疫情原因，有不少攻击者利用民众对于疫情的关注来进行攻击，加剧了信息泄露的 风险和恶意软件的传播。 类似疫情这种 大规模公共安全事件 的发生也会影响到网络空间，不论是恶意 APP还是不实谣 言等都给管理网络空间安全带来了极大的挑战，网络 安全不 能 完 全脱离物理安全来考虑，应全 方位的进行综合性评估，才能避免大规模的恶意攻击蔓延。 疫情 大环境下的网络安全 各类攻击手法之间或多或少存在一种默契，相互“扶持”来使各自的攻击效果最大化。漏洞、 信息泄露、勒索软件就颇有“臭味相投”的意思。 单独的一个高危漏洞已足以引起各路安全专家的注意，不过这才仅是个开始，一些漏洞被攻 击者武器化后，通过掌握的泄露信息精准投放，入侵目标系统实施勒索，勒索时窃取到的信息又 作为筹码被拿到黑市上交易，由此从中持续获利。观察近些年的网络攻击事件，发现这种模式已 经被攻击者广泛利用。 “暗黑三兄弟”臭味相投、互相“扶持” 年度安全事件观察结果 漏洞 勒索 软件 信息 泄露 - 被泄露的信息，被攻击 者用来锁定目标系统， 并尝试漏洞利用 - 利用漏洞攻入组织内 部后又会窃取信息 - 泄露的信息，有助于发起针对性社 工或钓鱼攻击，并借此传播勒索软件 - 勒索成功后，再次窃取目标信息 - 集成了武器化漏洞的勒 索软件杀伤力巨大 肆虐虚拟网络空间的“暗黑三兄弟”在工控领域中也“大施拳脚” 工控系统是水利、电力、石油化工、制造、航空航天等诸多国家命脉行业的基础设施，因此 在利益、政治等因素驱动下的攻击者也是对其虎视眈眈。工控系统软硬件更新更换困难的现状使 得不少漏洞隐藏其中而得不到修复；勒索 软件使工 业生产 停滞的代价更 是迫使许多企业不得不满 足攻击者的 要求。 漏洞观察 6447 14646 16511 17306 18354 2016 2017 2018 2019 2020 近五年 CVE 数量统计 低危 中危 高危 CVE 总量连续四年创新高 自 2017年 CVE数量飙升超过 1.4万，此后 每年发布的 CVE个数都再创新高 。要论今年 增长的原因，疫情影响应该算得上一个。 疫情时期，组织在快速将应用推向市场和 维护代码安全性之间恐怕更倾向于前者。而 且今年各国各地远程办公人数迅速增加，个 人终端设备接入了公司网络，远程协作办公 软件如视频会议、文档协作、虚拟专用网等 自然也成为白帽黑客和攻击者的又一大目标。 Windows Bad Neighbor Windows TCP/IP远程代码执行漏洞 CVE-2020-16898 SigRed Windows DNS 服务器中具有 蠕虫特性 漏洞 CVE-2020-1350 SMBGhost SMBv3 中具有 蠕虫特性 的 RCE 漏洞 CVE-2020-0796 Exchange Exchange 远程代码执行漏洞 CVE-2020-0688遭多个 APT组 织 利用 Oracle Weblogic 漏洞高产产品 CVE-2020-2551/14882/14883 Apache Tomcat Apache Tomcat 文件包含漏洞 CVE-2020-1938 浏览器 IE 0day 同 Firefox 0day(CVE-2019-17026)一起被 APT组织 Darkhotel 利用 Chrome 0day CVE-2020-15999 结合社工 利用，野外发现攻击行为 Firefox 0day CVE-2020-6819/6820 Mozilla 提示发现了针对性的 在野利 用 攻击 IE 0day CVE-2020-1380 在 Operation PowerFall 攻击活动 中被发现 远程办公 Zoom 攻击者通过 Zoom聊天功能进行远程代码执行，从而获得特权 控制用户主机 老洞经久不衰，新洞层出不穷 据统计，漏洞具有平均七年的生命周期， 2020 年遭频繁利用的漏洞几乎可以肯定将在 2021年 继续遭利用。能被反复利用的漏洞基本上已被 武器化 ，或至少拥有 公开 /半公开可利用程序 ，且其 目标多是广泛使用的操作系统、个人 /企业常用软件、组件等。 FireEye 被窃的红队工具包所涉及的 漏洞能从侧面验证这一观点。 以下列举部分今年被广泛关注的常用软件漏洞： 在应对全年以万计数的漏洞时，应首先 及时修复 那些已被或易被武器化的漏洞，通过 合理定级 做取舍！ 数据来源： nvd.nist.gov/general/visualizations/vulnerability- visualizations/cvss-severity-distribution-over-time#CVSSSeverityOverTime 漏洞处置三部曲 资产梳理 系统、软件、组件 梳理 跟踪关注更新 自主挖掘安全隐患 一、事先预防 影响统计技术分析 检测防护产品 整体方案 三、应急处置 攻击向量 访问权限 用户交互 额外配置 0day PoC 公开 Exp 公开 核心组件 通用组件 冷门组件 在线暴露量 官方补丁 官方缓解措施 常规防护措施 二、漏洞评估定级 梳理各类业务常用的系统、组 件等。密切关注官方及第三方安全 通告，确保在第一时间了解新漏洞 情况。 同时自行挖掘某些关键组件的 安全隐患，早发现早解决。 并非每个漏洞都很“急” 漏洞大体可以从 4 个方面综合评估： 1，漏洞基本面 是否可以远程触发、是否需要特定 权限、是否需要用户交互、是否需 要额外配置 2、可利用程度 是否是 0day 漏洞、是否已有公开 的 PoC 、是否已有公开的 Exp 3、影响范围 是否核心组件受影响、是否通用组 件受影响、受 影响组件在线 暴露量 是否较多 4、补丁情况 官方是否已提供补丁、官方是否给 出缓解措施、如果没有官方补丁和 缓解措施，是否有常规防护措施 确认漏洞的威胁等级后，进行 相应的应急处置。 通过分析漏洞的成因和攻击链， 准备检测和防护措施。统计具体的 影响面，形成完整的防护方案。 漏洞 基本面 影响 范围 可利用 程度 补丁 情况 勒索事件观察 殃及行业 Top 5 活跃勒索软件 Top 10 针对国家 Top 5 市政及公共部门 制造业 学术教育 医疗卫生 工控 Sodinokibi/REvil Maze SNAKE/EKANS Ryuk Nemty Nephilim NetWalker DoppelPaymer CLOP Tycoon 美国 澳大利亚 加拿大 英国 德国 攻击事件爆炸增加 勒索手法频出花样 索要赎金节节攀升 不幸中招伤财伤人 最高赎金 超 4000万 美金 勒索软件 事件占全 年网络攻 击 1/4 不付赎金 公开 拍卖 敏感数据 持续时间一 般为 7 天 左右 企业比个人 金额高 20-40 倍 绝大部分利 用 钓鱼邮 件 传播 勒索软件趋势及特点 勒索软件 即服务 RaaS 盛行 加密前会 窃取 敏感 信息 备份恢复 or 支付赎金 ? 遭遇勒索后的常见情况： - 勒索软件影响面超出预期可控范围 - 某些业务中断付出的代价远高于赎金 - 勒索软件进化后大范围的解密更困难 技术恢复 + 支付赎金 在对先前一些公开的勒索事件做回顾后发现 ， 在某些情况下 ， 详细咨询 过 专家并 谨慎评估 风险后 ， 支付赎金或许也可被纳入决策考虑之一 。 这些情况通 常是通过技术手段也并不能完全恢复核心业务 ， 或是业务中断付出代价远高于 支付赎金 。 预防优于补救 提高员工安全意识，避免被钓鱼、社工攻击 完善合理的备份系统和关键业务的应急方案 通过技术手段增强内部恶意软件的检测能力 勒索软件专家介入常规应急流程 启动应急 取证 评估 验证备份 可用性 接触攻击者 尝试沟通 个别文件解密 验证密钥有效性 咨询决策 获取密钥 解密文件 多用比特币确认方案 恢复备份 尝试恢复 支付赎金 勒索恢复 杜绝后患 勒索攻击双管齐下响应流程 信息收集 & 评估 遭受攻击后 ， 应第一时 间隔离受感染系统 、 确认 受影响范围 、 评估受损程 度并验证备份可用性 。 与此同时 ， 咨询勒索软 件专家 ， 并尝试与攻击者 谈判 ， 验证其解密能力 。 采取行动 & 事后总结 确认技术方案的可行性 ， 如有可用备份 ， 则直接用 相关备份恢复业务 。 否则 在咨询过专家并衡量风险 后 ， 确定支付方案 ， 通过 支付赎金来恢复数据 。 利益驱动下，隐私信息已成为获利的 一大目标。被泄信息可能被用于倒卖、诈 骗、勒索、社工等。 随着自媒体发展，个人敏感信息在网 上暴露情况也越发常见，某些生物信息的 采集，甚至在不知情或非自愿情况下进行。 隐私信息的安全，需要个人意识、企 业责任、法律法规共同守护。 酒店 万豪酒店数据泄露，影响 520 万 客人 政府 490万 格鲁吉亚 选民 信息被公开 医疗 明尼苏达医院遭黑客入侵，泄露 5万 患者 信息 IT FireEye 遭黑客组织入侵， 红队攻击 工具 被窃 社交 媒体 2.67 亿条 Facebook 记录在黑客论坛 上售价 600 美元 目标案例 住宿 & 交通运输 & 医疗卫生行业 酒店、航空、医院等均需实名认证，这类数 据有较大的交易、利用价值，是攻击的主要 目标之一。 互联网行业 ： 如社交网站、招聘网站、电商网站等，其中 的数据不仅有用户的个人信息还能体现出用 户的关系图谱。 政府及公共服务单位 ： 因为除了掌握着大量公民信息外，还涉及一 些机密信息，因此也备受关注。 受影响行业分析 信息泄露事件观察 恶意攻击威胁向量 经济利益 驱动 53% 国家威胁 13% 黑客组织 13% 动机不明 21% 医疗保健 成本最高的行业 70% 泄露信息中包含电子 邮箱 200天 发现和控制所需的 平均时间 80% 泄露信息中包含客户 个人可识别信息 远程办公 疫情环境下远程办 公增加了泄露风险 50% 恶意攻击在泄露原因 中占比最高 信息泄露发生时 信息泄露发生后 泄露原因 泄露数据类型 TOP3 造成影响 建议 - 恶意攻击 ： 蓄意攻击，针对性强，目标数据 在非法交易中有较高价值，这也 是促使攻击发生的主要原因之一。 - 暗藏内鬼 ： 内部有权限接触敏感数据的人员 获取数据后，对外出售。 - 系统故障、人为失误 - 不规范网站、平台、 APP 对信 息 过度采集 和 诱导采集 。海量数 据在传输、存储过程中未被妥善 处理，便成为“黑色产业链”中 的交易对象。 - 经济损失 ： 攻击者拿着被泄数据向网络运营 者索要钱财，对受影响个人进行 诈骗。 - 名誉受损 ： 无论是未能满足攻击者的勒索要 求被公开了信息，还是信息被泄 后遭遇倒卖。信息来源方和信息 主体的名誉都将严重受损。 - 影响持久 ： 信息泄露造成的影响是持久的， 可能持续很多年。它无法随着单 一事件的公开、解决而完全根除。 更像是后遗症一样，在不确定的 时期可能又会被恶意攻击者利用。 网络安全法 规定： - 任何个人和组织有权对危害网 络安全的行为向网信、电信、公 安等部门 举报 。 - 个人发现网络运营者违反法律、 行政法规的规定或者双方的约定 收集、使用其个人信息的， 有权 要求 网络运营者 删除 其个人信息。 - 任何个人和组织 不得窃取 或者 以其他非法方式获取个人信息， 不得非法出售或者非法向他人提 供个人信息。 - 提高信息 保护意识 ，在受到危 害时借助法律寻求帮助 ！ - 公民信息 ： 各类公民个人信息，包括基本身 份信息、个人征信、银行账户信 息等。 - 账号数据 ： 网站和 APP账号中有大部分虚构 信息，但是账号密码常被用来撞 库，影响范围会被层层扩大。 - 商业敏感信息 ： 包括员工私人信息，以及账单、 合同、交易、客户相关的各类机 密信息。牵连范围较大，社会影 响恶劣。 工控安全事件观察 智能制造 30% 能源 24%轨道交通 4% 生物医疗 2% 复合行业 40% 年度 工控 事件总览 典型事件 Ripple20 (供应链风险 ) - Treck TCP/IP 协议栈漏洞 - 影响全球物联网和工业互联 网供应链安全 委内瑞拉全国 大面积停电 (黑客攻击 ) - 时隔 10月， 国家电网干线 再遭重创 - 国家关键基础设施是政治 博弈的一大目标 欧洲能源巨头 EDP遭遇勒索 (勒索软件 ) - 利用 10TB 敏感数据索要 千万美金 - 巨头厂商更易成为攻击者 的摇钱树 现状 工控漏洞 70% 以上属于 高危 漏洞普遍危害大。 被利用的大多是 Nday 这和工控漏洞 修复难度大有密 切关系 漏洞造成影响 DDoS 居多 相比其他行业， DDoS 对工控 行业的影响更为致命 70% DDoS Nday 上图为年度工控漏洞及工控事件 (事件资讯、研 究等 )数量的统计。 年初因为疫情原因，整体关注度较全年略低， 但在年中开始稳步提升，年末有所回落。 工控相关事件涉及行业 上图为年度工控事件相关行业的分布图。智 能制造是最受攻击者青睐的行业，此外由于 工控设备通常能在多种行业内使用，所以攻 击大多涉及复合行业。 0 100 200 300 1 2 3 4 5 6 7 8 9 10 11 12 2019年 2020年 上游攻破一点，下游影响 一片。供应链任一环节中 存在的漏洞都有可能逐层 传递，扩散范围巨大。最 终受影响产品修复难度大， 修复周期长。比如今年的 Ripple20、 AMNESIA33 2020年针对以色列水利基 础设施的网络入侵就是缘 于暴露在互联网上的 PLC。 暴露的每一台设备都为攻 击者打开了通往企业核心 的一扇大门。 具有破坏工业流程能力的 勒索软件是对工业生产最 大的威胁。生产线被迫关 停、索要高昂赎金、核心 制造工艺等敏感信息被盗 都是勒索软件所到之处能 造成的危害。 威胁主要来源 勒索软件 资产暴露 供应链威胁 钓鱼邮件 有的钓鱼邮件会作为恶意 软件的载体，诱导员工点 击链接或下载附件从而释 放恶意软件。有的钓鱼邮 件则通过社工手法，直接 索取内部敏感信息以进行 下一步攻击。 建议 - 应对资产暴露：定期进行 资产梳理 ，对于暴露在外的资产进行严格管控，如因业务需要对外开放的， 一定要 配置认证 ，并且进行 安全评估 。 - 应对钓鱼邮件：通过培训和演练提高人员 安全意识 、辨别及处置能力。 - 引入各类 检测防护产品 ，比如使用工控入侵检测系统对工控的攻击行为进行检测、通过工业防火墙 等防护设备对工控网络安全区域之间进行逻辑隔离等 。 - 定期进行 备份 ，同时也要注意验证备份有效性。 工控威胁现状观察 越来越多 国家级高级攻击组织 在瞄准工控系统，这些组织对目标 系统的 研究程度更深 ，因此其开发 使用的恶意工具对工控设备及生产 线的打击也更具 针对性 和 致命性 。 比如 ELECTRUM 组织，曾利 用专门针对工控系统的恶意软件 Industroyer 导致乌克兰大面积停 电。还有专门针对西门子 SCADA 设备的恶意软件 IRONGATE。 委内瑞拉大停电、瞄准以色列 水利设施的网络攻击等足以证实这 一点。 攻击趋势 - 保护传统 IT 系统时，更注重保护的 是信息（ 机密性 ），而对于 ICS 系统 时，更注重保护的是过程（ 可用性 ）。 - 介于 ICS 系统必须保证系统运行的连 续性，所以其中存在很多未修复的已 知漏洞，因此打补丁及时更新系统这 种解决方案在现实中并不适用于 ICS系 统。 - ICS 系统中，系统组件和设备可能分 布在数百公里外（如管道、电网等）， 这使得 物理安全 也要尤为关注，因为 远程现场也极有可能成为攻击者进入 ICS 的入口。 IT 安全 vs ICS 安全 绿盟科技格物实验室 绿盟科技格物实验室专注于 工业互联网、物联网和车联网三大 业务场景 的安全研究。实验室以“ 格物致知 ”的问学态度，致力于 以 智能设备为中心的漏洞挖掘和安全分析， 提供基于业务场景的 安全解决方案 。积极与各方共建万物互联的安全生态，为企业和社会 的数字化转型安全护航。 工业互 联网 车联 网 物联 网