2019年3月，互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況整體指標(biāo)平穩(wěn)，但有幾個(gè)特征值得關(guān)注。一方面，是勒索病毒依然猖獗，深信服安全云腦監(jiān)測到Globelmposter、GandCrab、Crysis等病毒活躍熱度居高不下，變種層出不窮，近期出現(xiàn)Globelmposter 4.0、GandCrab 5.2等勒索變種。用戶一旦遭受勒索病毒攻擊，絕大多數(shù)文件將被加密，且大多暫時(shí)無法解密，造成無法估量的損失；另一方面，APT（高級持續(xù)性威脅）活躍程度在3月有所增加，針對性攻擊更加明顯，各廠商也在密切關(guān)注，攻防博弈戰(zhàn)激烈上演。此外，監(jiān)測數(shù)據(jù)顯示，網(wǎng)站攻擊數(shù)量在3月持續(xù)放緩，但網(wǎng)站漏洞問題依然嚴(yán)峻。

　　2019年3月，病毒攻擊的態(tài)勢與2月相比有所上升，病毒攔截量比2月份上升近16%，近半年攔截惡意程序數(shù)量趨勢如下圖所示：

　　近半年惡意程序攔截趨勢

　　2019年3月，深信服安全云腦檢測到的活躍惡意程序樣本有24439個(gè)，其中木馬遠(yuǎn)控病毒7539個(gè)，占比30.85%，感染型病毒4134個(gè)，占比16.92%，蠕蟲病毒2631個(gè)，占比10.77%，挖礦病毒246個(gè)，占比1.01%，勒索病毒188個(gè)，占比0.77%。

　　3月總計(jì)攔截惡意程序16.31億次，其中挖礦病毒的攔截量占比60.24%，其次是感染型病毒（16.4%）、木馬遠(yuǎn)控病毒（12.29%）、蠕蟲病毒（6.71%）、后門軟件（3.01%）、勒索病毒（1.21%）。

　　2019年3月惡意程序攔截類型分布

　　2019年3月，共攔截活躍勒索病毒1967萬次。其中，WannaCry、Razy、Gandcrab、Revenge、Locky、Teslacrypt、Mamba、Badrabbit、Cerber、Cryptowall、Matrix、Paradise、Torrentlocker依然是最活躍的勒索病毒家族，其中WannaCry家族本月攔截?cái)?shù)量有1084萬次，危害依然較大。

　　從勒索病毒傾向的行業(yè)來看，企業(yè)和教育感染病毒數(shù)量占總體的51%，是黑客最主要的攻擊對象。具體活躍病毒行業(yè)分布如下圖所示：

　　2019年3月勒索病毒感染行業(yè)分布

　　從勒索病毒受災(zāi)地域上看，廣東地區(qū)受感染情況最為嚴(yán)重，其次是浙江省和江蘇省。

　　2019年3月勒索病毒活躍地區(qū)TOP10

　　2019年3月，深信服安全云腦在全國共攔截挖礦病毒9.82億次，較2月環(huán)比增加7%，其中最為活躍的挖礦病毒是Xmrig、WannaMine、MinePool、BitcoinMiner、ZombieboyMiner、FalseSign，特別是Xmrig家族，共攔截4.58億次。同時(shí)監(jiān)測數(shù)據(jù)顯示，被挖礦病毒感染的地域主要有浙江、北京、廣東等地，其中浙江省感染量全國第一。

　　2019年3月挖礦病毒活躍地區(qū)Top10

　　被挖礦病毒感染的行業(yè)分布如下圖所示，其中政府受挖礦病毒感染情況最為嚴(yán)重，感染比例和2月相比下降2個(gè)百分點(diǎn)，其次是企業(yè)和教育行業(yè)。

　　2019年3月挖礦病毒感染行業(yè)分布

　　2019年3月，深信服安全云腦檢測并捕獲感染型病毒樣本4134個(gè)，共攔截2.67億次。其中Ramnit家族是成為本月攻擊態(tài)勢最為活躍的感染型病毒家族，共被攔截1.09億次，此家族占了所有感染型病毒攔截?cái)?shù)量的40.77%；而排名第二第三的是Virut和Sality家族，本月攔截比例分別是為39.79%和11.83%。3月份感染型病毒活躍家族TOP榜如下圖所示：

　　2019年3月感染性病毒家族攔截TOP10

　　在感染型病毒危害地域分布上，廣東省（病毒攔截量）位列全國第一，占TOP10總量的25%，其次為浙江省和湖南省。

　　2019年3月感染型病毒活躍地區(qū)TOP10

　　從感染型病毒攻擊的行業(yè)分布來看，黑客更傾向于使用感染型病毒攻擊企業(yè)、教育、政府等行業(yè)。企業(yè)、教育、政府的攔截?cái)?shù)量占攔截總量的75%，具體感染行業(yè)分布如下圖所示：

　　2019年3月感染型病毒感染行業(yè)TOP10

　　深信服安全云腦3月全國檢測到木馬遠(yuǎn)控病毒樣本7539個(gè)，共攔截2.00億次，攔截量較2月上升31%。其中最活躍的木馬遠(yuǎn)控家族是Injector，攔截?cái)?shù)量達(dá)2537萬次，其次是Zusy、XorDDos。

　　2019年3月木馬遠(yuǎn)控病毒攔截TOP

　　對木馬遠(yuǎn)控病毒區(qū)域攔截量進(jìn)行分析統(tǒng)計(jì)發(fā)現(xiàn)，惡意程序攔截量最多的地區(qū)為廣東省，占TOP10攔截量的 21%，與2月份基本持平；其次為浙江（17%）、北京（13%）、四川（11%）和湖北（7%）；此外山東、上海、廣西壯族自治區(qū)、江蘇、福建的木馬遠(yuǎn)控?cái)r截量也排在前列。

　　2019年3月木馬遠(yuǎn)控病毒活躍地區(qū)TOP10

　　行業(yè)分布上，企業(yè)、教育及政府行業(yè)是木馬遠(yuǎn)控病毒的主要攻擊對象。

　　2019年3月木馬遠(yuǎn)控病毒感染行業(yè)分布

　　2019年3月深信服安全云腦在全國檢測到蠕蟲病毒樣本2631個(gè)，共攔截1.09億次。通過數(shù)據(jù)統(tǒng)計(jì)分析來看，大多數(shù)攻擊都是來自于Gamarue、Jenxcus、Dorkbot、Mydoom、Conficker、Vobfus、Palevo、Bondat、Buzus、Phorpiex家族。這些家族占據(jù)了3月全部蠕蟲病毒攻擊的98.8%，其中攻擊態(tài)勢最活躍的蠕蟲病毒是Gamarue，占蠕蟲病毒攻擊總量的67%。

　　2019年3月蠕蟲病毒活躍家族TOP10

　　從感染地域上看，廣東地區(qū)用戶受蠕蟲病毒感染程度最為嚴(yán)重，其攔截量占TOP10比例的28%；其次為江西�。�16%）、湖南�。�11%）。

　　2019年3月蠕蟲病毒活躍地區(qū)TOP10

　　從感染行業(yè)上看，企業(yè)、教育等行業(yè)受蠕蟲感染程度較為嚴(yán)重。

　　2019年3月蠕蟲病毒感染行業(yè)分布

　　深信服全網(wǎng)安全態(tài)勢感知平臺監(jiān)測到全國34808個(gè)IP在3月所受網(wǎng)絡(luò)攻擊總量約為4億次。本月攻擊態(tài)勢與前三個(gè)月相比明顯下降。下圖為近半年深信服網(wǎng)絡(luò)安全攻擊趨勢監(jiān)測情況：

　　近半年網(wǎng)絡(luò)安全攻擊趨勢情況

　　下面從攻擊類型分布和重點(diǎn)漏洞攻擊分析2個(gè)緯度展示3月現(xiàn)網(wǎng)的攻擊趨勢：

　　通過對深信服安全云腦數(shù)據(jù)分析可以看到，3月捕獲攻擊以系統(tǒng)漏洞利用、WebServer漏洞利用、Web掃描等分類為主。其中系統(tǒng)漏洞利用類型的占比更是高達(dá)28.70%，有近億的命中日志；WebServer漏洞利用類型均占比23.34%；Web掃描類型的漏洞占比17.72%。此外，信息泄露攻擊、Webshell上傳等攻擊類型在3月的攻擊數(shù)量有所增長。

　　2019年3月攻擊類型統(tǒng)計(jì)

　　通過對深信服安全云腦數(shù)據(jù)進(jìn)行分析，針對漏洞的攻擊情況篩選出3月攻擊利用次數(shù)TOP20的漏洞。

　　其中命中次數(shù)前三漏洞利用分別是test.php、test.aspx、test.asp等文件訪問檢測漏洞、Apache Web Server ETag Header 信息泄露漏洞和Microsoft Windows Server 2008/2012 - LDAP RootDSE Netlogon 拒絕服務(wù)漏洞，攻擊次數(shù)分別為49,047,012、39,407,152和28,619,006。較上月均有小幅上升。

　　深信服安全團(tuán)隊(duì)對重要軟件漏洞進(jìn)行深入跟蹤分析，近年來Java中間件遠(yuǎn)程代碼執(zhí)行漏洞頻發(fā)，同時(shí)受永恒之藍(lán)影響使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式。

　　2019年3月，Windows SMB日志量達(dá)千萬級，近幾月攻擊趨勢持持續(xù)上升，其中攔截到的（MS17-010）Microsoft Windows SMB Server 遠(yuǎn)程代碼執(zhí)行漏洞攻擊利用日志最多；Struts2系列漏洞攻擊趨勢近幾月攻擊次數(shù)波動(dòng)較大，Weblogic系列漏洞的攻擊趨勢結(jié)束了前幾月的持續(xù)降低，本月攔截到近兩百萬攻擊日志；PHPCMS系列漏洞近幾月攻擊次數(shù)大幅上升，近期應(yīng)重點(diǎn)關(guān)注。

　　Windows SMB 系列漏洞攻擊趨勢跟蹤情況

　　Struts 2系列漏洞攻擊趨勢跟蹤情況

　　Weblogic系列漏洞攻擊趨勢跟蹤情況

　　PHPCMS系列漏洞攻擊趨勢跟蹤情況

　　1、網(wǎng)站漏洞類型統(tǒng)計(jì)

　　深信服云眼網(wǎng)站安全監(jiān)測平臺3月對國內(nèi)已授權(quán)的6966個(gè)站點(diǎn)進(jìn)行漏洞監(jiān)控，3月發(fā)現(xiàn)的高危站點(diǎn)2721個(gè)，高危漏洞60628個(gè)，漏洞類別占比前三的分別是XSS注入，信息泄露和CSRF跨站請求偽造，共占比79.68%，具體比例如下：

　　2、篡改攻擊情況統(tǒng)計(jì)

　　3月共監(jiān)控在線業(yè)務(wù)6715個(gè)，共識別潛在篡改的網(wǎng)站有276個(gè)，篡改總發(fā)現(xiàn)率高達(dá)4.11%。其中首頁篡改226個(gè)，二級頁面篡改32個(gè)，多級頁面篡改18個(gè)。篡改位置具體分布圖如下圖所示：

　　可以看出，網(wǎng)站首頁篡改為篡改首要插入位置，成為黑客利益輸出首選。

　　1、流行攻擊事件盤點(diǎn)

　　近期，驅(qū)動(dòng)人生供應(yīng)鏈傳播的木馬病毒再次升級變異，大面積襲卷國內(nèi)政府、醫(yī)院以及各大企業(yè)。這次變種在原有攻擊模塊的基礎(chǔ)上，新增了MSSQL爆破攻擊的功能，更為致命的是，當(dāng)病毒爆破成功后，還會將用戶密碼改為ksa8hd4,m@~#$%^&*（），嚴(yán)重影響了正常業(yè)務(wù)。

　　具體詳見：攻擊MSSQL數(shù)據(jù)庫！“驅(qū)動(dòng)人生”木馬最新變種襲擊多行業(yè)

　　GandCrab勒索病毒是2018年勒索病毒家族中最活躍的家族，GandCrab5.2為該家族最新變種，近期在國內(nèi)較多的已投遞惡意郵件的方式進(jìn)行攻擊，郵件內(nèi)容通常帶有恐嚇性質(zhì)。

　　具體詳見：5.2版本發(fā)布：被各大安全廠商“掏空”的GandCrab又有新的變種了？

　　2019年3月，國外黑客組織針對數(shù)百個(gè)備受歡迎的以色列網(wǎng)站發(fā)起了一系列攻擊活動(dòng)，活動(dòng)命名為耶路撒冷，其目的是通過JCry勒索病毒感染W(wǎng)indows用戶，為了達(dá)到這個(gè)目的，攻擊者修改了來自nagich.com的流行網(wǎng)絡(luò)輔助功能插件的DNS記錄，當(dāng)訪問者訪問使用此插件的網(wǎng)站時(shí)，將加載惡意腳本而不是合法插件。

　　具體詳見：數(shù)百以色列熱門網(wǎng)站成為耶路撒冷攻擊活動(dòng)目標(biāo)，向Windows用戶傳播JCry勒索病毒

　　深信服安全團(tuán)隊(duì)一直持續(xù)關(guān)注并跟蹤Globelmposter勒索病毒家族，多次發(fā)布此勒索病毒相應(yīng)的預(yù)警報(bào)告，近期又發(fā)現(xiàn)一例最新Globelmposter 4.0變種樣本。

　　具體詳見：預(yù)警！Globelmposter 4.0最新變種來襲，多家企業(yè)中招

　　近期，多個(gè)企業(yè)反饋大量主機(jī)和服務(wù)器存在卡頓和藍(lán)屏現(xiàn)象，該企業(yè)用戶中的是最新型的WannaMine變種，此病毒變種是基于WannaMine3.0改造，又加入了一些新的免殺技術(shù)，傳播機(jī)制與WannaCry勒索病毒一致。

　　具體詳見：WannaMine升級到V4.0版本，警惕感染！

　　Paradise（天堂）勒索病毒最早出現(xiàn)在2018年七月份左右，感染多家企業(yè)。此次的變種借用了CrySiS家族的勒索信息，代碼結(jié)構(gòu)也跟早期版本有了很大的區(qū)別。

　　具體詳見：“天堂”竟然伸出惡魔之手？Paradise勒索病毒再度席卷

　　據(jù)外媒報(bào)道，全球最大鋁生產(chǎn)商之一挪威海德魯（Norsk Hydro）公司于本月19號遭到一款新型勒索軟件LockerGoga攻擊，企業(yè)IT系統(tǒng)遭到破環(huán)，被迫臨時(shí)關(guān)閉多個(gè)工廠并將挪威、卡塔爾和巴西等國家的工廠運(yùn)營模式改為“可以使用的”手動(dòng)運(yùn)營模式，以繼續(xù)執(zhí)行某些運(yùn)營。

　　具體詳見：全球最大鋁生產(chǎn)商挪威海德魯（Norsk Hydro）遭到LockerGoga勒索病毒攻擊

　　近期，深信服安全團(tuán)隊(duì)收到客戶反饋，其內(nèi)網(wǎng)多臺主機(jī)中的文件感染了病毒，影響正常業(yè)務(wù)。經(jīng)分析，該病毒為“熊貓燒香”病毒變種，雖然該病毒已有十余年歷史，但由于其具有很強(qiáng)的感染及傳播性，依然很容易在缺少防護(hù)的企業(yè)內(nèi)網(wǎng)中傳播開來。

　　具體詳見：高齡病毒“熊貓燒香”還沒退休？

　　卡巴斯基實(shí)驗(yàn)室（Kaspersky Lab）于3月25日曝光華碩（ASUS）的軟件更新服務(wù)器曾在去年遭到黑客入侵，并以更新的名義在用戶的電腦上植入一個(gè)惡意程序；此次攻擊事件雖然因?yàn)樽詣?dòng)更新策略影響了大量用戶，但真正的攻擊活動(dòng)似乎只針對惡意程序中硬編碼了MAC地址哈希值的600多臺特定設(shè)備。

　　具體詳見：華碩軟件更新服務(wù)器遭黑客劫持，自動(dòng)更新向用戶下發(fā)惡意程序

　�。�1）【漏洞預(yù)警】Apache Solr Deserialization 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-0192）

　　Apache Solr官方團(tuán)隊(duì)在最新的安全更新中披露了一則Apache Solr Deserialization 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-0192）。漏洞官方定級為 High，屬于高危漏洞。該漏洞本質(zhì)是ConfigAPI允許通過HTTP POST請求配置Solr的JMX服務(wù)器。攻擊者可以通過ConfigAPI將其配置指向惡意RMI服務(wù)器，利用Solr的不安全反序列化來觸發(fā)Solr端上的遠(yuǎn)程代碼執(zhí)行。

　　具體詳見：【漏洞預(yù)警】Apache Solr Deserialization 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-0192）

　�。�2）【漏洞預(yù)警】Zimbra 郵件系統(tǒng)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-9621 CVE-2019-9670）

　　國外安全研究人員Tint0在博客中披露了一個(gè)針對Zimbra 郵件系統(tǒng)進(jìn)行綜合利用來達(dá)到遠(yuǎn)程代碼執(zhí)行效果的漏洞（CVE-2019-9621 CVE-2019-9670）。此漏洞的主要利用手法是通過XXE（XML 外部實(shí)體注入）漏洞讀取localconfig.xml配置文件來獲取Zimbra admin ldap password，接著通過SOAP AuthRequest 認(rèn)證得到Admin Authtoken，最后使用全局管理令牌通過ClientUploader擴(kuò)展上傳Webshell到Zimbra服務(wù)器，從而實(shí)現(xiàn)通過Webshell來達(dá)到遠(yuǎn)程代碼執(zhí)行效果。

　　具體詳見：【漏洞預(yù)警】Zimbra 郵件系統(tǒng)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-9621 CVE-2019-9670）

　�。�3）【漏洞預(yù)警】WordPress Social Warfare Plugin 遠(yuǎn)程代碼執(zhí)行漏洞

　　2019年3月25日，國外安全研究人員在大量攻擊數(shù)據(jù)中發(fā)現(xiàn)了一個(gè)WordPress plugins Social Warfare遠(yuǎn)程代碼執(zhí)行漏洞，此漏洞允許攻擊者接管整個(gè)WordPress站點(diǎn)并管理您的主機(jī)帳戶上的所有文件和數(shù)據(jù)庫，從而實(shí)現(xiàn)完全遠(yuǎn)程接管整個(gè)服務(wù)器的目的。

　　具體詳見：【漏洞預(yù)警】WordPress Social Warfare Plugin 遠(yuǎn)程代碼執(zhí)行漏洞

　　黑客入侵的主要目標(biāo)是存在通用安全漏洞的機(jī)器，所以預(yù)防病毒入侵的主要手段是發(fā)現(xiàn)和修復(fù)漏洞，深信服建議用戶做好以下防護(hù)措施：

　　系統(tǒng)、應(yīng)用相關(guān)的用戶杜絕使用弱口令，同時(shí)，應(yīng)該使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼，禁止密碼重用的情況出現(xiàn)，盡量避免一密多用的情況。

　�。�2）及時(shí)更新重要補(bǔ)丁和升級組件

　　建議關(guān)注操作系統(tǒng)和組件重大更新，如永恒之藍(lán)漏洞，使用正確渠道，如微軟官網(wǎng)，及時(shí)更新對應(yīng)補(bǔ)丁漏洞或者升級組件。

　　（3）部署加固軟件，關(guān)閉非必要端口

　　服務(wù)器上部署安全加固軟件，通過限制異常登錄行為、開啟防爆破功能、防范漏洞利用，同時(shí)限制服務(wù)器及其他業(yè)務(wù)服務(wù)網(wǎng)可進(jìn)行訪問的網(wǎng)絡(luò)、主機(jī)范圍。有效加強(qiáng)訪問控制ACL策略，細(xì)化策略粒度，按區(qū)域按業(yè)務(wù)嚴(yán)格限制各個(gè)網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪問，采用白名單機(jī)制只允許開放特定的業(yè)務(wù)必要端口，提高系統(tǒng)安全基線，防范黑客入侵。

　　（4）主動(dòng)進(jìn)行安全評估，加強(qiáng)人員安全意識

　　加強(qiáng)人員安全意識培養(yǎng)，不要隨意點(diǎn)擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件，對來源不明的文件包括郵件附件、上傳文件等要先殺毒處理。定期開展對系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評估、滲透測試以及代碼審計(jì)工作，主動(dòng)發(fā)現(xiàn)目前系統(tǒng)、應(yīng)用存在的安全隱患。

　�。�5）建立威脅情報(bào)分析和對抗體系，有效防護(hù)病毒入侵

　　網(wǎng)絡(luò)犯罪分子采取的戰(zhàn)術(shù)策略也在不斷演變，其攻擊方式和技術(shù)更加多樣化。對于有效預(yù)防和對抗海量威脅，需要選擇更強(qiáng)大和更智能的防護(hù)體系。深信服下一代安全防護(hù)體系（深信服安全云、深信服下一代防火墻AF、深信服安全感知平臺SIP、深信服終端檢測與響應(yīng)平臺EDR）通過聯(lián)動(dòng)云端、網(wǎng)端、終端進(jìn)行協(xié)同響應(yīng)，建立全面覆蓋風(fēng)險(xiǎn)預(yù)警、事中防御、事后檢測與響應(yīng)的整體安全防護(hù)體系。云端持續(xù)風(fēng)險(xiǎn)與預(yù)警，網(wǎng)端持續(xù)檢測與防御，終端持續(xù)監(jiān)測與響應(yīng)，有效并深度挖掘用戶潛在威脅，確保網(wǎng)絡(luò)安全。