123   1  /  3  页   跳转

[产品资讯] 2019年中国网络安全报告

收藏
麦青儿
头像
管理员
  • 帖子:17045
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2020-01-15 17:27 | 只看楼主 短消息 资料
字号: 1楼

2019年中国网络安全报告

一、恶意软件与恶意网址

(一)恶意软件

1. 2019年病毒概述

(1)病毒疫情总体概述

2019年瑞星“云安全”系统共截获病毒样本总量1.03亿个,病毒感染次数4.38亿次,病毒总体数量比2018年同期上涨32.69%。报告期内,新增木马病毒6,557万个,为第一大种类病毒,占到总体数量的63.46%;排名第二的为蠕虫病毒,数量为1,560万个,占总体数量的15.10%;灰色软件、后门、感染型病毒等分别占到总体数量的6.98%、6.31%和5.21%,位列第三、第四和第五,除此以外还包括漏洞攻击和其他类型病毒。

图:2019年病毒类型统计


(2)病毒感染地域分析

报告期内,广东省病毒感染人次为4,452万,位列全国第一,其次为北京市及山东省,分别为3,308万及2,898万。

图:2019年病毒感染地域分布Top10

最后编辑麦青儿 最后编辑于 2020-01-15 17:34:04
分享到:
gototop
 
麦青儿
头像
管理员
  • 帖子:17045
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2020-01-15 17:28 | 只看楼主 短消息 资料
字号: 2楼

回复: 2019年中国网络安全报告

2. 2019年病毒Top10

根据病毒感染人数、变种数量和代表性综合评估,瑞星评选出2019年1至12月病毒Top10:

最后编辑麦青儿 最后编辑于 2020-01-15 17:35:06
gototop
 
麦青儿
头像
管理员
  • 帖子:17045
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2020-01-15 17:28 | 只看楼主 短消息 资料
字号: 3楼

回复: 2019年中国网络安全报告

3. 勒索软件和挖矿病毒

勒索软件和挖矿病毒是2019年的主流,报告期内瑞星“云安全”系统共截获勒索软件样本共174万个,感染次数为224万次;挖矿病毒样本总体数量为213万个,感染次数为1,628万次。

瑞星通过对捕获的勒索软件样本进行分析后发现,GandCrab家族占比78%,成为第一大类勒索软件,其次是Genasom家族和Lyposit家族,均占到总量的6%。

图:2019年勒索软件家族分类


另外,瑞星针对所有上报用户中230家进行抽样调查,其中政府用户占比达到34.78%,位列第一,其余还有电信、医疗、中小企业等用户均遭受勒索软件威胁,感染设备包括本地服务器和云主机。

图:2019年勒索病毒样本上报用户占比


挖矿病毒在2019年异常活跃,瑞星根据病毒行为进行统计,评出2019年挖矿病毒Top10:



勒索软件感染人次按地域分析,北京市排名第一,为72万,第二为广东省30万,第三为山东省13万。

图:2019年勒索软件感染地域分布Top10


挖矿病毒感染人次按地域分析,浙江省以199万次位列第一,其次是广东省194万次,第三位为江苏省106万次。

图:2019年挖矿病毒感染地域分布Top10

最后编辑麦青儿 最后编辑于 2020-01-15 17:36:00
gototop
 
麦青儿
头像
管理员
  • 帖子:17045
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2020-01-15 17:28 | 只看楼主 短消息 资料
字号: 4楼

回复: 2019年中国网络安全报告

(二)恶意网址

1. 2019年全球恶意网址概述


2019年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量1.45亿个,其中挂马类网站1.2亿个,钓鱼类网站2,454万个。美国恶意URL总量为5,612万个,位列全球第一,其次是德国848万个和墨西哥649万个,分别为二、三位。

图:2019年全球恶意URL地域分布Top10


2. 2019年中国恶意网址概述


报告期内,瑞星“云安全”系统所截获的恶意网址(URL)在中国范围内排名,第一位为香港,总量为119万个,其次为北京市和广东省,分别为55万和49万。

图:2019年中国恶意URL地域分布Top10


3. 2019年钓鱼网站概述


报告期内,瑞星“云安全”系统拦截钓鱼攻击次数总量为81万次,其中广东省为13万次,排名第一;其次为北京市和江苏省,分别为7万次和6万次。

图:2019年钓鱼攻击地域分布Top10


4. 2019年挂马网站概述


报告期内,瑞星“云安全”系统拦截挂马攻击次数总量为9万次,其中浙江省为5万次,排名第一;其次为北京市和辽宁省,分别为1万次和7千次。

图:2019年挂马攻击地域分布Top10

最后编辑麦青儿 最后编辑于 2020-01-15 17:37:41
gototop
 
麦青儿
头像
管理员
  • 帖子:17045
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2020-01-15 17:29 | 只看楼主 短消息 资料
字号: 5楼

回复: 2019年中国网络安全报告

二、移动安全
(一)手机安全

1. 2019年手机病毒概述

2019年瑞星“云安全”系统共截获手机病毒样本344万个,病毒总体数量比2018年同期下降46.25%。病毒类型以信息窃取、资费消耗、流氓行为、恶意扣费等类型为主,其中信息窃取类病毒占比30%,位居第一;其次是资费消耗类病毒占比19.39%,第三名是流氓行为类病毒占比16.37%。

图:2019年手机病毒类型比例

2. 2019年1至12月手机病毒Top5



3. 2019年Android手机漏洞Top5

最后编辑麦青儿 最后编辑于 2020-01-15 17:44:25
gototop
 
麦青儿
头像
管理员
  • 帖子:17045
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2020-01-15 17:29 | 只看楼主 短消息 资料
字号: 6楼

回复: 2019年中国网络安全报告

(二)2019年1至12月移动安全事件

1. 苹果FaceTime曝重大漏洞,用户可以轻易被“监听”

苹果FaceTime功能被发现存在一个重大漏洞,在社交媒体上疯狂传播。当有人使用FaceTime打电话给其他任何人,这个漏洞可以让使用者在对方接听或拒绝来电之前,立即通过手机听到他们的声音。



有记者通过验证发现,当使用iPhone发起一宗FaceTime视频通话,当处在拨号过程中,从屏幕下方上滑屏幕,点击添加联系人,输入自己的号码,这在系统显示上就会发起一个包括记者自己在内的三方通话,然后记者就可以听到对方的声音,即使对方并未接听。

2. 三星两款手机被曝高危漏洞

三星Galaxy S10和Note10两款手机搭载的超声波指纹识别存在安全漏洞。使用者在手机屏幕上放置特定的硅胶保护壳后,未登录的指纹也能成功解锁。



在媒体曝出指纹解锁存在安全漏洞的第二天,三星电子发表声明,承认了指纹识别程序存在漏洞,解释称这不是机器缺陷而是软件问题,可以通过软件更新进行完善。

3. 一..手机遭受数据泄露

智能手机供应商一加(OnePlus)遭受了涉及客户名称,电话号码,电子邮件地址和送货地址的数据泄露。

未经授权的一方在某个时候可以访问包含客户订单信息的数据库。幸运的是,支付卡或密码信息并没有泄露。

一加并未透露有多少客户陷入该漏洞,或者黑客在受影响的数据库中呆了多长时间。显然,黑客通过基于网站的安全漏洞获得了访问权限。这不是一加第一次遭受信息泄露。一年前,由于黑客在OnePlus.net网站上注入了恶意计算机脚本,该公司网站上多达40,000个客户的付款卡详细信息可能被盗。

4. 谷歌Pixel4面部解锁功能存在重大安全漏洞:闭眼也能解锁

谷歌的Pixel4系列推出后不久,就有外媒发现了新设备面部解锁功能的一些问题。用户即使闭着眼睛也可以使用面部解锁来解锁Pixel4。

这显然是一个重大漏洞,会使攻击者无需得到手机主人的许可即可轻松地解锁该设备,例如用户在睡觉或是被束缚,Pixel4都能被解锁。

Google的面部解锁支持页面也证实了这一点,支持页面甚至警告用户将设备放在安全的地方,以避免此类攻击。

5. AirDoS攻击能远程让附近的iPhone或iPad设备无法使用

有人发现了一个存在于iOS系统中的DoS问题,暂且把它命名为AirDoS(隔空DoS),该bug能让攻击者一直用AirDrop共享弹出窗口向附近的iOS设备发送垃圾消息。


此共享弹出窗口会阻止用户界面,因此设备所有者将无法在设备上执行任何操作,只有选择弹出窗口上的接受或是拒绝按钮,而且弹出窗口会反复再现,即使设备在锁定后,也一样会持续发生。

6. 可伪装成正常应用程序,安卓又见新型漏洞Strandhogg

这个漏洞被称为Strandhogg,目前已经有几十个恶意应用利用了这个漏洞来窃取用户的银行信息和其他的登入数据。



这个Strandhogg漏洞是利用安卓的多任务处理功能,使安装在安卓系统上的恶意应用可以伪装成该设备上的任何其他应用程序,包括任何需要特权的系统应用程序。换句话说,当用户点击一个正常应用程序的图标时,利用Strandhogg漏洞的恶意应用可以拦截劫持这个任务并且向用户显示一个虚假的应用界面,而不是启动那个正常的应用程序。
透过误导用户让他们以为打开的是一个正常的应用程序,这个漏洞可以使恶意应用以虚假的登录界面来窃取用户的数据。

7. 5G的缺陷:允许设备指纹识别和中间人攻击

5G使用的许多安全协议和算法都继承于之前的4G标准,有研究人员之前就发现过4G安全性的问题,利用这些安全漏洞可以进行设备指纹攻击和中间人攻击。


在黑帽2019召开的名为“5G网络中的新漏洞“的会议上有人指出,在5G中与4G一样,设备的功能性信息在任何保护被植入连接前就被发送到了基站。无线安全性包括从终端到基站的流量加密,但是由于设备功能性信息在开始之前传输,因此它们以明文形式显示。

8. 一张贴纸破解顶级FaceID

只需用普通打印机打出一张带有图案的纸条贴在脑门上,就能让目前业内性能领先的公开 Face ID 系统识别出错。


有人测试,在贴上纸条以后,即使没有遮住脸,系统也会把 Person_1 识别成另外一些人「0000663」和「0000268」等。
使用对抗样本攻击图像识别系统,在人工智能领域里已经不算什么新鲜事了,但是想要在现实世界里做到无差别攻击,还是人脸识别这种数千万人都在使用的应用技术,这就显得有些可怕了。使用这种新方法,人们可以轻松地打印一个破解纸条贴在脑门上,随后让 AI 识别的准确率显著下降。
最后编辑麦青儿 最后编辑于 2020-01-15 17:52:37
gototop
 
麦青儿
头像
管理员
  • 帖子:17045
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2020-01-15 17:30 | 只看楼主 短消息 资料
字号: 7楼

回复: 2019年中国网络安全报告

三、CVE漏洞
(一)2019年CVE漏洞利用率Top10

报告期内,瑞星根据漏洞被黑客利用程度进行分析,评选出2019年1至12月份漏洞Top10:



1. CVE-2014-6332 IE浏览器远程代码执行漏洞

CVE-2014-6332是微软2014年11月11日公布的一个潜藏了18年的IE浏览器远程代码执行漏洞,影响IE版本为IE3-IE11。漏洞出现在VBS脚本引擎中,自Windows 95首次发布以来就一直存在。VBS引擎在执行Redimarray(nNum)时,即重定义数组时,会调用OLEAUT32.dll模块里面SafeArrayRedim函数,该函数内部处理逻辑不严谨,使用了错误的条件跳转指令,而且当传入的nNum足够大时,函数内部的数组空间申请会失败,SafeArrayRedim函数不做任何处理直接返回,导致返回时已经将nNum写入数组结构,后续对该数组便可以随意“越界”访问。

2. CVE-2016-7255 Win32k 特权提升漏洞

CVE-2016-7255漏洞是一个Windows内核提权漏洞,影响:Microsoft Windows VistaSP2,Windows Server 2008 SP2和R2 SP1,Windows7 SP1,Windows8.1,Windows Server 2012 Gold和R2,Windows RT 8.1,Windows10 Gold,1511,1607,Windows Server 2016。攻击者可利用该漏洞在内核模式下执行任意代码。多个APT组织在攻击活动中使用了该内核提权漏洞进行攻击。

3. CVE-2017-11882 Office远程代码执行漏洞

该漏洞又称公式编辑器漏洞,2017年11月14日,微软发布了11月份的安全补丁更新,悄然修复了潜伏17年之久的Office远程代码执行漏洞CVE-2017-11882。该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本。攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。漏洞出现在模块EQNEDT32.EXE中,该模块为公式编辑器,在Office的安装过程中被默认安装。该模块以OLE技术将公式嵌入在Office文档内。由于该模块对于输入的公式未作正确的处理,攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址,从而劫持程序流程,在登录用户的上下文环境中执行任意命令。

4. CVE-2010-2568 Windows LNK快捷方式漏洞

该漏洞影响Windows XP SP3,Server 2003 SP2,Vista SP1和SP2,Server 2008 SP2和R2和Windows 7。Windows没有正确地处理LNK文件,特制的LNK文件可能导致Windows自动执行快捷方式文件所指定的代码。

5. CVE-2017-0147 Windows SMB协议漏洞MS17-010

2017年5月份 Shadow Brokers 公布了他们从Equation Group窃取的黑客工具,其中包含“永恒之蓝”等多个MS17-010漏洞利用工具。MS17-010对应CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148等多个SMB漏洞。这份工具的泄露直接导致了后来WannaCry病毒的全球爆发,包括中国在内的至少150多个国家,30多万名用户中招,并且金融、能源、医疗等众多行业皆受影响,据统计其造成损失高达80亿美元。此后各种利用MS17-010漏洞的病毒疯狂增长,影响深远。

6. CVE-2012-0158 Microsoft Office栈溢出漏洞

CVE-2012-0158漏洞出现在MSCOMCTL.OCX,是微软Office系列办公软件在处理MSCOMCTL的ListView控件的时候由于检查失误,导致攻击者可以通过构造恶意的文档执行任意代码。

7. CVE-2017-0199 Microsoft Office逻辑漏洞

此漏洞的成因主要是Word在处理内嵌OLE2LINK对象时,通过网络更新对象时没有正确处理的Content-Type所导致的一个逻辑漏洞。该漏洞利用Office OLE对象链接技术,将包裹的恶意链接对象嵌在文档中,Office调用URL Moniker将恶意链接指向的HTA文件下载到本地,URL Moniker通过识别响应头中content-type的字段信息最后调用mshta.exe将下载到的HTA文件执行起来。

8. CVE-2010-0188 TIFF图像处理缓冲区溢出漏洞

Adobe Reader和Acrobat TIFF图像处理缓冲区溢出漏洞,Adobe 在解析TIFF 图像文件的时候,使用了开源库代码 (libtiff) 存在堆栈溢出的bug,漏洞出在对DotRange属性的解析上。该漏洞被多个APT组织在攻击行动中所使用。

9. CVE-2011-2140 Adobe Flash Player远程内存破坏漏洞

Adobe Flash Player是一款Flash文件处理程序。Adobe Flash Player存在一个内存破坏引起的远程代码执行漏洞,攻击者构建恶意WEB页,诱使用户解析,可以应用程序上下文执行任意代码。

10. CVE-2009-0927 Adobe Acrobat和Reader Collab getIcon() JavaScript方式栈溢出漏洞

Adobe Acrobat和Reader没有正确地处理PDF文档中所包含的恶意JavaScript。如果向Collab对象的getIcon()方式提供了特制参数,就可以触发栈溢出。成功利用这个漏洞允许以当前登录用户的权限完全控制受影响的机器。
最后编辑麦青儿 最后编辑于 2020-01-15 17:53:16
gototop
 
麦青儿
头像
管理员
  • 帖子:17045
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2020-01-15 17:30 | 只看楼主 短消息 资料
字号: 8楼

回复: 2019年中国网络安全报告

(二)2019年最热漏洞分析

1. CVE-2019-0708 远程桌面服务远程执行代码漏洞

2019年5月14日,微软发布了一个针对远程桌面服务(终端服务)远程代码执行漏洞(CVE-2017-0708)的漏洞补丁。该漏洞影响多个旧版本的Windows操作系统。此漏洞是预身份验证,无须用户交互,可以被网络蠕虫利用,可能出现类似WannaCry类似的蠕虫爆发。该漏洞影响多个Windows操作系统,从Windows XP到Windows Server 2008。因为影响较大微软给停止服务的Windows XP和2003 系统也发布了漏洞补丁。因漏洞危害等级高影响较大,该漏洞被命名为BlueKeep。

2. CVE-2018-20250 WinRAR目录穿越漏洞

2019年2月20日,Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它可以获得受害者计算机的控制。该漏洞是由于WinRAR 使用一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在2006 年被编译,作用是处理ACE 压缩格式文件。而在解压处理过程中存在一处目录穿越漏洞,允许解压过程写入文件至开机自启动文件夹,可以导致恶意代码重启执行。后期通过该漏洞投递的病毒大量出现。

3. CVE-2019-1181/1182远程桌面服务远程执行代码漏洞

2019年8月14日,微软发布了一套针对远程桌面服务的修复补丁,其中包括两个关键的远程执行代码(RCE)漏洞CVE-2019-1181和CVE-2019-1182。与之前修复的“BlueKeep”漏洞(CVE-2019-0708)一样,攻击者可以利用该漏洞制作类似于2017年席卷全球的WannaCry类的蠕虫病毒,进行大规模传播和破坏。

4. CVE-2019-1040/1019 Windows NTLM认证漏洞

2019年6月12日,微软官方在6月的补丁日中发布了漏洞 CVE-2019-1040的安全补丁,攻击者可以利用该漏洞绕过NTLM MIC(消息完整性检查)。攻击者可以修改NTLM身份验证流程中的签名要求,完全删除签名验证,并尝试中继到目标服务器,不强制执行签名的服务器都易受到攻击。通过这种攻击能使攻击者在仅有一个普通域账号的情况下可远程控制 Windows 域内的任何机器,包括域控服务器。

5. CVE-2019-2891/2890 WebLogic反序列化漏洞

2019年10月Oracle 官方发布安全公告,披露 WebLogic 存在多个高危漏洞。黑客利用漏洞可以远程获取 WebLogic 服务器权限,风险较大。CVE-2019-2890 未经授权的攻击者则通过构造T3协议请求,绕过 WebLoigc 的反序列化黑名单,CVE-2019-2891 未经授权的攻击者可以通过精心构造的 HTTP 请求向 Console 组件发起请求。利用两个漏洞都能够接管 WebLogic 服务器,危害较大。

6. CVE-2019-8912 Linux内核本地提权漏洞

2019年3月8日,Linux git仓库中发布一个 commit 补丁,修复了Linux内核中的一个本地权限提升漏洞。该漏洞出现在内核’crypto/af_alg.c’中的 af_alg_release 函数中,触发漏洞可以导致本地代码进行权限提升。

7. CVE-2019-0211 Apache HTTP 服务组件提权漏洞

2019年4月3日,开源软件Apache官方发布2.4.39版本的更新,修复了一个编号为CVE-2019-0211的权限提升漏洞。攻击者通过上传CGI脚本可直接造成目标系统的提权攻击,影响Unix平台下的Apache 2.4.17到2.4.38版本,该漏洞危害严重影响较大。

8. CVE-2019-11043 PHP远程代码执行漏洞

2019年9月26日,PHP官方发布了一则漏洞公告,公告中官方披露了一个远程代码执行漏洞。该漏洞存在于PHP-FPM + Nginx组合使用并采用一定配置的情况下。该漏洞PoC已在2019年10月22日公布,PHP与Nginx组合使用的情况较为广泛,攻击者可利用该漏洞远程执行任意代码,所以危害性较大。

9. CVE-2019-0841 Windows DACL权限覆写权限提升漏洞

Windows AppX Deployment Service (AppXSVC)在处理硬链接不当时存在权限提升漏洞,该漏洞允许低权限的用户通过覆写目标文件的权限来劫持属于NT AUTHORITY\SYSTEM的文件。成功利用就可以使低权限的用户获得对目标文件的完全控制权限。

10. CVE-2019-0863 Windows中错误报告机制引起的提权漏洞

Windows Error Reporting(WER,Windows错误报告)组件中的一个漏洞,根据微软的安全公告,攻击者一直在实际环境中利用该漏洞发起攻击,攻击活动直到2019年5月份微软推出安全补丁才暂告一段落。该漏洞可以用来提升至系统权限。
最后编辑麦青儿 最后编辑于 2020-01-15 18:02:22
gototop
 
麦青儿
头像
管理员
  • 帖子:17045
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2020-01-15 17:31 | 只看楼主 短消息 资料
字号: 9楼

回复: 2019年中国网络安全报告

四、互联网安全

(一)2019年全球APT攻击事件解读

1. 越南背景“海莲花”

2019年,据外媒报,日本丰田遭到“海莲花”攻击,约有310万的车主信息被泄露,并且此次攻击还不是第一次。在此之前,丰田位于澳大利亚的子公司就已经遭遇类似攻击。不只是丰田,其他多个国家的重要机构,制造业、能源等领域也是“海莲花”的重点攻击目标。“海莲花”又称APT 32 (Mandiant),OceanLotus (SkyEye Labs), Ocean Buffalo (CrowdStrike),是近几年针对中国攻击最频繁的APT组织之一。有信息表明该组织为越南背景,由国家支持,其攻击目标包括但不限于中国、东盟、越南中持不同政见者和记者,擅长信息盗取和进行间谍活动,常使用Microsotf Office漏洞,自研或开源工具,如Cobalt Strike,Cuegoe,Terracotta VPN,PowerSploit,Salgorea等。

图:“海莲花”攻击目标


2. 朝鲜背景Lazarus Group

2019年,印度Kudankulam核电厂遭到网络攻击,通过对其使用的攻击武器Dtrack分析,疑似APT组织Lazarus所为。Lazarus Group又称Lazarus Group (Kaspersky),Labyrinth Chollima (CrowdStrike),Group 77 (Talos),Hastati Group (SecureWorks),Zinc (Microsoft),是来自朝鲜政府的一个威胁团体,2014年索尼影业入侵事件,2016年盗窃孟加拉国央行和2017年影响全球的勒索病毒WannaCry都疑似其所为。Lazarus Group至少从2009年就开始活跃,除了擅长信息盗取,进行间谍活动,还会蓄意破坏获取经济利益,攻击的国家包括但不限于中国、德国、澳大利亚、日本,涉及的行业有政府、工程、金融和比特币交易所等。

图:Lazarus Group攻击目标


3. 伊朗背景APT33

据报道,2019年10至11月左右,近一个月的时间,APT33已经瞄准了数十家工业设备和软件公司。不仅如此,今年APT33一直在使用多台能实时指挥和控制的服务器针对美国等国家进行攻击。APT33又称Elfin (Symantec),于2015末或2016年初开始活跃起来,长期对沙特阿拉伯和美国进行攻击,是一支不仅进行情报窃取,还发动破坏性攻击的国家级黑客精英组织。在过去三年中,至少袭击了沙特的50个组织,美国的18个组织,其中包括许多财富500强公司,主要针对的行业是航空、国防、能源和石化等。

图:APT33攻击目标


4. 伊朗背景MuddyWater

2019年,MuddyWater疑似向伊拉克KorekTelecom电信公司发动网络攻击。同年,MuddyWater针对土耳其库尔德政治团体和组织的基础设施等进行攻击。MuddyWater又称Seedworm (Symantec),TEMP.Zagros (FireEye),Static Kitten (CrowdStrike),自2017年以来就一直活跃,主要针对中东国家进行盗取信息和间谍活动。研究发现,尽管巴基斯坦的受害者占多数,但最活跃的目标似乎是:沙特阿拉伯、阿联酋和伊拉克,攻击的部门包括但不限于国防、政府、电信、教育、IT、石油、运输,攻击重点主要放在政府、电信公司和石油公司上。

图:MuddyWater攻击目标


5. 印度背景“蔓灵花”

2019年,某组织针对中国仿建了大量和中国重要领域相关的钓鱼网站,例如中华人民共和国外交部邮件系统登录页面,中航技进出口有限责任公司电子邮件登录页面和国家发展改革委互联网安全电子邮件系统登录页面等,通过分析域名,疑似“蔓灵花”所为。不仅如此,还发现了“蔓灵花”针对中国外交部等重要部门发动的网络攻击样本,并且在“蔓灵花”所使用的木马服务器lmhostsvc.net控制后台中发现了部分中国被攻陷的IP。“蔓灵花”又称BITTER,T-APT-17,疑似来自印度,于2016由美国安全公司Forcepoint首次曝光,长期针对中国和巴基斯坦进行攻击,攻击的行业有政府、军工和核能企业等。

图:“蔓灵花”攻击中国事件

最后编辑麦青儿 最后编辑于 2020-01-15 18:03:02
gototop
 
麦青儿
头像
管理员
  • 帖子:17045
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2020-01-15 17:58 | 只看楼主 短消息 资料
字号: 10楼

回复: 2019年中国网络安全报告

(二)2019年“响尾蛇”针对中国攻击事件

1. 攻击事件回顾


2019年,APT组织“响尾蛇”先后对我国发动多起攻击事件,针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等。

图:历史事件


攻击事件1:
2019年6月,APT组织“响尾蛇”投递的诱饵文档为:某科技有限公司驻外代表处的安全和保密工作手册。

图:攻击事件1


攻击事件2:
2019年7月,APT组织“响尾蛇”投递的诱饵文档为:中华人民共和国国防部国际军事合作办公室组织驻华武官听取关于重要问题的情况介绍。

图:攻击事件2


攻击事件3:
2019年8月,APT组织“响尾蛇”投递的诱饵文档为:某国际物流有限公司关于开展工程建筑和员工购房领域等违规违纪问题自查自纠的报告。

图:攻击事件3


攻击事件4:
2019年9月,APT组织“响尾蛇”投递的诱饵文档为:某国防科技研究中心有限公司质量管理文件。

图:攻击事件4


攻击事件5:
2019年10月,APT组织“响尾蛇”投递的诱饵文档为:中国人民解放军文职人员条例。

图:攻击事件5


攻击事件6:
2019年10月,APT组织“响尾蛇”投递的诱饵文档为:中国北京2019年10月20日至22日第九届北京香山论坛议程纲要。

图:事件6

最后编辑麦青儿 最后编辑于 2020-01-15 18:04:09
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT