2020年3月网络安全态势综述
01 漏洞态势综述
总体看三月份的新增漏洞呈上升趋势,新增高危漏洞113个,主要分布在微软、Adobe、Moxa、Videolabs实验室、VISAM、Siemens、Rockwell、D-Link、Linux、Vmware等厂商的主要产品中。
2020年3月绿盟科技安全漏洞库共收录237个漏洞, 其中高危漏洞113个,微软高危漏洞27个。绿盟科技收录高危漏洞数量与前期相比呈下降趋势。
注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;
02 恶意软件态势综述
2020年3月份数据与2019年度数据中恶意软件各类型分布如下图所示。3月份各恶意软件类型占比相比去年全年情况有所波动,后门取代挖矿居于首位,占比47.72%;挖矿相较于去年全年的数据比例有大幅下降,蠕虫则略有上升。此外,木马、僵尸肉鸡、勒索相对较少,仅占6%左右。
03 物联网安全态势综述
本月有三个值得重点关注的物联网安全事件:
1)严重的RCE漏洞影响了数百万基于OpenWrt的网络设备。
2)黑客利用DrayTek设备中的0day漏洞对企业网络发动攻击。
3)工控安全最大威胁:攻击工具泛滥。
本月漏洞平台Exploit-DB新增12个物联网漏洞利用,其中6个远程命令执行(RCE)类型漏洞利用,应引起重视。
对5555端口存在的威胁进行了重点分析,发现同一个端口上出现多种攻击已经成为一种趋势,这对防守方是一种新的挑战,要求防守方改变传统的捕获和分析思路,一方面需要具备在相同端口上同时模拟多种协议和漏洞的能力,另一方面也需要具备从海量的日志中分析出潜在的攻击行为的能力。
重点关注了针对Netlink GPON路由器RCE漏洞的利用行为,该漏洞在3月17号被公布后,到僵尸网络发动僵尸主机利用该漏洞进行传播,仅用了7天时间。僵尸网络如此高的效率,也对安全团队的响应效率提出了更高的要求。
04 DDOS攻击态势综述
2020年3月份,我们监控到 DDoS 攻击次数为5.1万次,攻击总流量3223万 gb。2020年3月,攻击时长在5分钟以内的DDoS攻击占了全部攻击的35%。从一天24小时攻击占比以及每周的占比来看,攻击分布比较平均。根据2020年1月-2020年3月的DDoS攻击数据进行聚类分析,共发现8个团伙。最大团伙规模17万攻击源,发起攻击事件3.99万。
05 僵尸网络及蜜罐态势综述
在2020年3月份的DDoS僵尸网络活动中,主要攻击来自家族Mirai、Gafgyt、YoYo。本月的DDoS攻击手段主要为UDP flood、CC和TCP flood,而僵尸网络控制端托管的三大云服务依然是Digital Ocean、OVH和Hostwinds。本月检测到的IoT木马传播利用的漏洞种类为27种,其中CVE-2017-17215(华为路由器)、CVE-2014-8361和ThinkPHP远程命令执行漏洞仍居前列,与往月变化不大,其中新增的漏洞为 CVE_2020_10173(康全电讯路由器命令注入)以及Avaya Aura Communication Manager、Netlink GPON路由器1.0.11 与Netis WF2419路由器2.2.36123的远程代码执行。
