威胁情报专栏|2020 上半年网络安全态势分析
2020-07-20
近日,绿盟科技威胁情报中心(NTI)重磅发布《2020 上半年网络安全态势分析》报告。报告对2020年上半年的各类网络安全态势进行追踪和研究,通过聚焦漏洞、恶意软件、物联网安全、DDoS攻击和僵尸网络方面的安全态势,全面观测网络空间安全局势,帮助用户更好地了解和应对各类网络威胁。
一、 漏洞态势综述
2020年上半年绿盟科技安全漏洞库共收录1419个漏洞,其中高危漏洞714个,微软高危漏洞184个。高危漏洞主要分布在Microsoft、Orcale、Adobe、Google、Cisco、IBM、Moxa、Apache等厂商的主要产品中。
图 1-1 2020上半年漏洞数量统计
二、 恶意软件态势综述
2020年上半年数据与2019年度数据中恶意软件各类型分布如下图所示。上半年各恶意软件类型占比相比去年全年情况有所波动,后门取代挖矿居于首位,占比48.05%;挖矿相较于去年全年的数据比例有大幅下降,蠕虫活跃程度与去年全年持平,和后门一起占据整体恶意软件活动的87%。
图 1-2 恶意软件类型分类
三、 物联网安全态势综述
2020年上半年有9个值得重点关注的物联网安全事件:
(1) Ripple20 0day漏洞曝光,扫荡全球各行业数亿台联网设备
(2) Netgear数十款路由器产品曝出高危零日漏洞
(3) 一组工控蜜罐招来四个零日攻击
(4) 严重的RCE漏洞影响了数百万基于OpenWrt的网络设备
(5) 黑客利用DrayTek设备中的0day漏洞对企业网络发动攻击
(6) 黑客劫持了智能门禁系统,并可以对网络可达的设备发起DDoS攻击
(7) 数百万使用LoRaWAN的设备可遭黑客攻击,LoRaWAN网络中的节点、网关、服务器均存在比较严重的漏洞,其安全防护能力有待提高
(8) 黑客泄露超过50万台设备的Telnet凭据
(9) 研究人员发现带有挖矿功能新僵尸网络LiquorBot
2020年上半年,漏洞利用平台Exploit-DB共计出现84个物联网相关漏洞利用,以Netgear为首的网络设备厂商为主,我们认为出现这种现象的原因,是网络设备的头部厂商通常出售的设备数量多,基数大,研究人员更关注其相关设备。漏洞利用的类型以RCE和DoS为主,其中RCE类漏洞数量最多,占总量的百分之三十五以上。
2020年上半年,绿盟威胁捕获系统捕获到来自266632个IP的26998718次访问请求日志,其中12.98%的访问请求是对物联网漏洞进行利用的恶意攻击行为。攻击者使用的漏洞大多在Exploit-DB有公开的漏洞利用脚本。受到攻击者利用最多的漏洞包括D-Link设备漏洞CVE-2015-2051与MVPower DVR漏洞,EDB编号41471。对源IP进行分析,其中159679个IP发起过漏洞利用等恶意行为,占总量的59.89%。从关联到恶意行为的IP分布在了201个国家和地区,从国家分布情况来看,中国最多,来自中国的恶意IP占所有恶意IP的23.6%。
四、 DDOS攻击态势综述
2020年上半年,我们监控到 DDoS 攻击次数为21万次,攻击总流量11万Tb。其中,攻击时长在5分钟以内的DDoS攻击占了全部攻击的67%。从一天24小时攻击占比来看,什么时候都有可能被攻击。从每周中DDoS 攻击活动的分布来看,每天都有可能被攻击,周三最常被攻击。SYN Flood是主要的攻击类型,占总攻击次数的43.17%。从流量占比来看,UDP Flood发起的攻击流量占比最高,占比75.5%。
2020上半年持续关注团伙15个,其中IPGang01是在我们监测范围内规模最大的团伙,包含攻击源21.7万个,月度活跃资源13万,上半年活跃天数164天,期间共对1366个目标IP发起过5.8万起攻击事件,累计总攻击流量1.3万Tbits。
五、 僵尸网络及蜜罐态势综述
在2020年上半年的DDoS僵尸网络活动中,主要攻击来自Mirai和Gafgyt等家族。
上半年的DDoS攻击手段主要为UDP flood、CC和TCP flood。
上半年僵尸网络控制端托管的云服务商以Hostwinds、Digital Ocean和OVH为主,预计在下半年不会改变。
上半年检测到的IoT木马传播利用的各类漏洞种类为128种,其中CVE-2017-17215(华为HG532路由器)、CVE-2014-8361(Realtek rtl81xx SDK远程代码执行漏洞)和ThinkPHP远程命令执行漏洞位居前列。
通过绿盟科技的威胁捕获系统,我们长期监测了一个面向门罗币挖矿的僵尸网络。该僵尸网络通过弱口令爆破入侵主机,以植入僵尸程序的方式获取控制权限,同时使用下载器下载并执行门罗币挖矿病毒脚本,实现恶意挖矿。该挖矿僵尸网络在2020年上半年的整体活跃情况呈增长趋势,活跃肉鸡总量达到20830台,其中在中国的肉鸡最多,达到8304台,占比40%。开放22端口的肉鸡数有13664台,占比接近所有肉鸡的 66%。在已知的资产情报数据中,这些肉鸡的主要设备类型是路由器和摄像头。
