2019网络安全观察.pdf

漏洞数据安全恶意软件 IPv6恶意流量研究物联网数据数据库凭证5G 服务器FBI工控函数内存Facebook动态警告缓冲区DNS勒索高级定向安全更新隐私支付WordPress最大通信爆光编写警告RyukAV缓冲区Shell代码执行变种勒索软件严重监控监控起诉EdgeGDPR拒绝服务IT168广告团伙逃逸缺陷供应链Server创新HTTPChromeC2蠕虫IBM保护上传损失金融Microsoft网络钓鱼密码伊朗计算机Cisco标准公开披露传播钓鱼网络攻击信任命令解密网关通道芯片木马WiFibugGoogle谷歌执行APP帐户加密绕过篡改垃圾邮件注入政府PHP远程溢出暗网实战入侵WebXXE医院沙箱邮件游戏RCE敏感DoS工业EDC行为NETPDF欺骗泄露APT商店Apache黑客攻击华为IT智能Oce扫描英国趋势修复病毒跟踪患者Oracle审计Python特权英国扫描IOS密钥医疗世界CMS代码内核加密货币英特尔安全漏洞NSA以色列挖掘IoT滥用协议账户CPU印度APP取证提权风险SSH开源Linux 网络安全 安全厂商 WindowsmacOSAndroid攻击者渗透逆向虚假思科沙盒发送证书隐藏权限移动高危调试思科卡巴斯基劫持脚本命令执行俄罗斯窃取补丁IOS安卓样本比特币控制破坏任意固件苹果静态行为进程RDPXSS泄漏行业PCroot引擎数字凭据AWSGitHub配置DDoS中国权限提升逃避数据泄露SQL巴西穿越团队挖矿API中国人攻击者僵尸网络VPN后门流量威胁感染策略 文档邮件预警模块诈骗安全性SQL注入韩国朝鲜托管工具包自动化Mac Adobe网络安全观察Cybersecurity Insights2019特别声明为避免合作伙伴及客户数据泄露，所有数据在进行分析前都已经过匿名化处理，不会在中间环节出现泄露，任何与客户有关的具体信息，均不会出现在本报告中。关于绿盟科技北京神州绿盟信息安全科技股份有限公司（以下简称绿盟科技公司），成立于2000年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有40多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。2019 网络安全观察A目录 CONTENTS目录1.执行摘要 12. 重要观点 43. 宏观态势 73.1 中美战略下大国博弈 83.2 暗战：APT “明暗交织”支撑“网络威慑”战略 83.3 治理：网络空间内容治理成为新挑战 93.4 重器：关键基础设施保护 103.5 隐私：公民隐私保护 114. 威胁态势 124.1 攻击类型分布 134.2 地域分布 145. 热点态势 165.1 漏洞态势 175.1.1 漏洞态势 175.1.2 漏洞利用态势 195.2 恶意软件观察 225.2.1 勒索软件（Ransomeware） 225.2.2 挖矿木马（Crypto Mining Malware） 235.2.3 移动平台恶意软件威胁 245.3 恶意流量观察 265.3.1 Web 威胁 265.3.2 DDoS 威胁 315.3.3 挖矿威胁 406. 前沿洞察 466.1 物联网威胁 476.1.1 物联网漏洞利用威胁观察 476.1.2 物联网协议威胁观察 496.2 数据安全 586.2.1 数据泄露事件 586.2.2 国外政策法规大事件 626.2.3 国内政策法规大事件 646.3 高级持续性威胁 672019 网络安全观察B目录 CONTENTS6.3.1 蔓灵花（BITTER） 686.3.2 海莲花（OceanLotus） 696.3.3 Muddywater 706.3.4 APT34 706.3.5 FIN7 716.4 IPv6 环境下的安全威胁 716.4.1 IPv6 漏洞态势 716.4.2 攻击类型热点分布 736.4.3 攻击源热点分布 772019 网络安全观察1执行摘要1.执行摘要1执行摘要2019 网络安全观察2执行摘要2019 年，全球政治经济秩序系统性挑战增加，在传统战争手段为各类条约所限不敢大肆发挥的情况下，金融行业和网络安全领域首当其冲，成为新型战争的试水手段甚至将会成为常规手段。 2018网络安全观察发布时，整体网络安全态势的特点是漏洞从披露到出现有效攻击的时间间隔缩短，DDoS 攻击规模持续增大，物联网等新型风险激增，后门、挖矿、蠕虫、木马、僵尸肉鸡等恶意软件依然保持着极高的活跃度。仅信息泄露方面，严重的如印度 Aadhaar 泄露涉及 11 亿居民，常见的如 A 站受黑客攻击导致近千万条用户数据外泄不时被爆出，信息泄露事件则自 2013 年开始已经连续 6 年突破历史记录了， Facebook、Equifax、英国航空和万豪国际四家企业更是因个人隐私与信息泄露被罚接近90 亿美元，超过当年我国整个网络安全产业的市场规模。近年来，网络安全的普及得到极大提升，安全事件的关注度已经从吸引从业人员研究，辐射到媒体可以触及的所有区域。勒索软件， DDoS 攻击，物联网失陷等重大网络安全事件，波及各行各业的各类社会经济活动，让 IT 领域和安全团队倍感压力。委内瑞拉、乌克兰大停电事件，伊朗导弹发射控制系统遭攻击瘫痪等发生在国家关键基础设施的安全事件，则让全球对网络安全的理解从个人炫耀、经济利益驱动提升到了国家安全的认识高度，对陆海空天网军事对等五维一体力量体系有了更深的理解。而后续持续发生的俄罗斯断网演习暴露的失陷资产、数亿美元的美国大选网络安全预算在继续刷新观众感官的同时，也在不断诠释“网络空间的安全是关系到国家安全的重要组成部分”这句话。同期，各国针对网络安全领域的应对措施频繁出台。美国从 1993 年的“国家信息基础设施行动计划”和 1995 年“信息战概念”颁发开始，围绕网络空间安全的攻防能力，在二十多年间更新和新增了许多政策法规和条例，比较知名的有信息作战联合条例、爱国者法案、“信息安全综合行动计划 (CNCI)”、2015 年国防部网络战略等，新近的则有 2017 年国家安全战略报告、 2018 年国防部网络战略和 2019 年国家网络战略报告，期间各类网络攻防演习从无间断。欧盟继 2018 年 5 月 25 日通用数据保护条例 (GDPR) 正式实施之后，于 2019 年 3 月正式通过欧盟网络安全法案，构建通用的网络安全认证框架，同年 4 月北约举办代号为“锁盾”的网络安全实战演习，强化各国在军事领域和民用领域的网络安全合作。我国以 2017 年 6 月 1 日正式实施中华人民共和国网络安全法为标志，正式进入了网络空间有法可依的阶段，网络空间安全、关键信息基础设施、网络安全战略、等级保护和个人信息数据保护等成为高频词见诸报端且两年来热度不减。 2019 年 4 月 12 日，人民日报整版讨论“抓住信息化发展的历史2019 网络安全观察3执行摘要机遇”，网络安全等级保护制度 2.0标准于 2019 年 12 月 1 日开始实施，中华人民共和国密码法于 2020 年 1 月 1 日实施，未来还将推出网络安全等级保护条例、关键信息基础设施保护条例、数据安全管理办法等。网络安全领域的一系列高规格全覆盖的动作，让网络安全行业在 2019 年这个所谓的资本寒冬年节成为例外。今年发布的网络安全观察与 2018 年相比，增加了宏观态势项；恶意流量观察和恶意软件观察两项在进行内容重组的同时，归并到热点态势，原漏洞观察项和恶意流量观察项的漏洞利用部分合并为漏洞态势，成为热点态势的子项；物联网威胁观察项扩充为前沿洞察态势，涵盖物联网威胁、数据安全、高持续性威胁和 IPv6 环境下的安全威胁四子项。上述改变旨在扩大报告的分析范围，聚焦今年安全态势和热点，更全面观测网络空间安全局势，主动进行安全预测与布局。宏观态势：报告从中美博弈背景下的网络安全战略布局、网络威慑理念的国家级 APT 明暗争锋、网络空间内容治理、关键信息基础设施保护和个人信息保护五个方面进行阐述，网络空间安全的治理重点全覆盖、实施全链态势已经形成。热点态势：漏洞的存在是安全事件发生的前提，报告比对了自 2010 年以来的 CVE 漏洞数量和2019 年漏洞类型占比，对高价值的服务器漏洞、脆弱的物联网设备漏洞和常见的应用类漏洞的利用态势进行描述。恶意软件和恶意流量部分主要介绍了勒索、挖矿、移动平台、 Web 和 DDoS 五个热点门类，其他方面在Botnet 趋势报告1进行介绍。前沿洞察：报告呼应今年宏观态势和热点，对 4 个子项今年来发生的威胁行为、安全事件、攻击热点和政府应对措施进行阐述和分析，提醒读者注意风险的演变，并适应和落实新形势下的安全要求。1 blog.nsfocus/wp-content/uploads/2019/12/2019-Botnet-Trend-Report.pdf2019 网络安全观察4重要观点2. 重要观点2重要观点2019 网络安全观察5重要观点观点 1：【宏观态势】在中美博弈的大环境下，高级威胁事件频出，网络空间安全治理亟需加强，尤其是关键基础设施的保障。同时，国际多地隐私保护法规已落地运行，国内各项整治工作初见成效，公民隐私保护受到的关注度持续升温。观点 2：【漏洞】 2019 高危漏洞持续增长，物联网相关漏洞利用持续高企；服务器类漏洞中 Web相关漏洞最受关注，Windows 服务器相关的远程桌面漏洞 CVE-2019-0708 影响广泛。观点 3：【恶意软件】勒索软件和挖矿木马是 2019 年最活跃的两类恶意软件。勒索软件今年的特点包括攻击目标行业广、黑色收入高和产业化程度增强。在挖矿木马中，门罗币挖矿依旧盛行，同时入侵方式增多，具备模块化和隐匿化的特点。观点 4：【恶意流量】 2019 年 Web 传统攻击事件频发，反序列化漏洞依然热度不减。无需身份认证的远程代码执行漏洞最受黑客青睐，第三方库的安全性需要引起重视。网站漏洞利用周期进一步缩短，管理员需加强网站安全关注。观点 5：【恶意流量】 DDoS 攻击者的技术成熟度稳步提升，大流量攻击中的混合攻击模式对防护运营提出更大的挑战。 DDoS 攻击事件中的“惯犯”危害较大，尤其是活跃的团伙性行为，应持续关注和封堵。 物联网设备的 DDoS 攻击参与度逐年提升， IoT 平台的恶意样本家族的攻击占比也在进一步扩大，针对物联网环境的安全治理应持续加大投入。观点 6：【恶意流量】2019 年的挖矿活动热度与挖矿市场形势呈正相关，门罗币依然是攻击者最为青睐的虚拟数字货币，中小传统企业是挖矿被入侵挖矿的重灾区，其中 3000-3999 之间的端口是挖矿程序最常用的端口范围。另外，网页挖矿依然流行，Alexa 排名前百万网站中存在两千多个挖矿网站。观点 7：【物联网】 2019 年，我们共捕获到 30 余种针对物联网漏洞的利用行为，其中以远程命令执行类漏洞居多。物联网设备是 Telnet 弱口令爆破的重点目标，其中摄像头和路由器是重灾区。 UPnP和 WS-Discovery 服务相关的威胁，需要引起安全厂商、服务提供商和运营商等相关机构重视。观点 8：【数据安全】从数据泄露数量来看，2019 年数据泄露相比往年更加严峻。从立法和执法趋势来看，欧盟 GDPR 进入严格执法阶段，英法等国开出多张巨额罚单。美国重罚 Facebook“剑桥分析隐私泄露案” 50 亿美元罚款；我国加快制定多部数据安全相关法规与标准，重点治理“APP 隐私侵权”等违规行为。数据安全合规性已成为了企业首要考虑的安全问题。观点 9 ：【 APT】 APT组织在入侵阶段仍然以钓鱼邮件为主，移动终端 APT攻击成为常规攻击面。同时，2重要观点2019 网络安全观察6重要观点APT 组织持续更新其工具集并改进攻击方法，并与其他僵尸网络勾结，僵尸网络会逐渐成为 APT 攻击的探路者。观点 10：【IPv6】全球 IPv6 使用率逐年提升，国内的 IPv6 环境部署和应用改造也在加速发展。IPv6 相关漏洞呈现快速增长的趋势。这些漏洞触发点除了 IPv6 报文结构中引入的新字段以及新协议，过渡技术所引发的安全问题也值得持续关注。当前 IPv6 环境下的攻击流量主要针对传输层和应用层，热点攻击类型集中在后门、挖矿和木马，Web 相关服务是攻击者的主要攻击对象。