全文共计字,预计阅读时间12分钟
来源
瑞星企业安全(转载请注明来源)
编辑
蒲蒲
近日,国家信息中心联合瑞星共同发布《年中国网络安全报告》,报告针对年恶意软件、恶意网址、移动安全、CVE漏洞、互联网安全、Linux病*及未来的互联网安全趋势都进行了详细的分析。
恶意软件与恶意网址(一)恶意软件1.年病*概述年瑞星“云安全”系统共截获病*样本总量1.03亿个,病*感染次数4.38亿次,病*总体数量比年同期上涨32.69%。报告期内,新增木马病*6,万个,为第一大种类病*,占到总体数量的63.46%;排名第二的为蠕虫病*,数量为1,万个,占总体数量的15.10%;灰色软件、后门、感染型病*等分别占到总体数量的6.98%、6.31%和5.21%,位列第三、第四和第五,除此以外还包括漏洞攻击和其他类型病*。
图:年病*类型统计
报告期内,广东省病*感染人次为4,万,位列全国第一,其次为北京市及山东省,分别为3,万及2,万。
图:年病*感染地域分布Top10
2.年病*Top10根据病*感染人数、变种数量和代表性综合评估,瑞星评选出年1至12月病*Top10:
3.勒索软件和挖矿病*勒索软件和挖矿病*是年的主流,报告期内瑞星“云安全”系统共截获勒索软件样本共万个,感染次数为万次;挖矿病*样本总体数量为万个,感染次数为1,万次。
瑞星通过对捕获的勒索软件样本进行分析后发现,GandCrab家族占比78%,成为第一大类勒索软件,其次是Genasom家族和Lyposit家族,均占到总量的6%。
图:年勒索软件家族分类
另外,瑞星针对所有上报用户中家进行抽样调查,其中*府用户占比达到34.78%,位列第一,其余还有电信、医疗、中小企业等用户均遭受勒索软件威胁,感染设备包括本地服务器和云主机。
图:年勒索病*样本上报用户占比
挖矿病*在年异常活跃,瑞星根据病*行为进行统计,评出年挖矿病*Top10:
勒索软件感染人次按地域分析,北京市排名第一,为72万,第二为广东省30万,第三为山东省13万。
图:年勒索软件感染地域分布Top10
挖矿病*感染人次按地域分析,浙江省以万次位列第一,其次是广东省万次,第三位为江苏省万次。
图:年挖矿病*感染地域分布Top10
(二)恶意网址1.年全球恶意网址概述年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量1.45亿个,其中挂马类网站1.2亿个,钓鱼类网站2,万个。美国恶意URL总量为5,万个,位列全球第一,其次是德国万个和墨西哥万个,分别为二、三位。
图:年全球恶意URL地域分布Top10
2.年中国恶意网址概述报告期内,瑞星“云安全”系统所截获的恶意网址(URL)在中国范围内排名,第一位为香港,总量为万个,其次为北京市和广东省,分别为55万和49万。
图:年中国恶意URL地域分布Top10
3.年钓鱼网站概述报告期内,瑞星“云安全”系统拦截钓鱼攻击次数总量为81万次,其中广东省为13万次,排名第一;其次为北京市和江苏省,分别为7万次和6万次。
图:年钓鱼攻击地域分布Top10
4.年挂马网站概述报告期内,瑞星“云安全”系统拦截挂马攻击次数总量为9万次,其中浙江省为5万次,排名第一;其次为北京市和辽宁省,分别为1万次和7千次。
图:年挂马攻击地域分布Top10
移动安全(一)手机安全1.年手机病*概述年瑞星“云安全”系统共截获手机病*样本万个,病*总体数量比年同期下降46.25%。病*类型以信息窃取、资费消耗、流氓行为、恶意扣费等类型为主,其中信息窃取类病*占比30%,位居第一;其次是资费消耗类病*占比19.39%,第三名是流氓行为类病*占比16.37%。
图:年手机病*类型比例
2.年1至12月手机病*Top53.年Android手机漏洞Top5(二)年1至12月移动安全事件1.苹果FaceTime曝重大漏洞,用户可以轻易被“监听”苹果FaceTime功能被发现存在一个重大漏洞,在社交媒体上疯狂传播。当有人使用FaceTime打电话给其他任何人,这个漏洞可以让使用者在对方接听或拒绝来电之前,立即通过手机听到他们的声音。
有记者通过验证发现,当使用iPhone发起一宗FaceTime视频通话,当处在拨号过程中,从屏幕下方上滑屏幕,点击添加联系人,输入自己的号码,这在系统显示上就会发起一个包括记者自己在内的三方通话,然后记者就可以听到对方的声音,即使对方并未接听。
2.三星两款手机被曝高危漏洞三星GalaxyS10和Note10两款手机搭载的超声波指纹识别存在安全漏洞。使用者在手机屏幕上放置特定的硅胶保护壳后,未登录的指纹也能成功解锁。
在媒体曝出指纹解锁存在安全漏洞的第二天,三星电子发表声明,承认了指纹识别程序存在漏洞,解释称这不是机器缺陷而是软件问题,可以通过软件更新进行完善。
3.一加手机遭受数据泄露智能手机供应商一加(OnePlus)遭受了涉及客户名称,电话号码,电子邮件地址和送货地址的数据泄露。
未经授权的一方在某个时候可以访问包含客户订单信息的数据库。幸运的是,支付卡或密码信息并没有泄露。
一加并未透露有多少客户陷入该漏洞,或者黑客在受影响的数据库中呆了多长时间。显然,黑客通过基于网站的安全漏洞获得了访问权限。这不是一加第一次遭受信息泄露。一年前,由于黑客在OnePlus.net网站上注入了恶意计算机脚本,该公司网站上多达40,个客户的付款卡详细信息可能被盗。
4.谷歌Pixel4面部解锁功能存在重大安全漏洞:闭眼也能解锁谷歌的Pixel4系列推出后不久,就有外媒发现了新设备面部解锁功能的一些问题。用户即使闭着眼睛也可以使用面部解锁来解锁Pixel4。
这显然是一个重大漏洞,会使攻击者无需得到手机主人的许可即可轻松地解锁该设备,例如用户在睡觉或是被束缚,Pixel4都能被解锁。
Google的面部解锁支持页面也证实了这一点,支持页面甚至警告用户将设备放在安全的地方,以避免此类攻击。
5.AirDoS攻击能远程让附近的iPhone或iPad设备无法使用有人发现了一个存在于iOS系统中的DoS问题,暂且把它命名为AirDoS(隔空DoS),该bug能让攻击者一直用AirDrop共享弹出窗口向附近的iOS设备发送垃圾消息。
此共享弹出窗口会阻止用户界面,因此设备所有者将无法在设备上执行任何操作,只有选择弹出窗口上的接受或是拒绝按钮,而且弹出窗口会反复再现,即使设备在锁定后,也一样会持续发生。
6.可伪装成正常应用程序,安卓又见新型漏洞Strandhogg这个漏洞被称为Strandhogg,目前已经有几十个恶意应用利用了这个漏洞来窃取用户的银行信息和其他的登入数据。
这个Strandhogg漏洞是利用安卓的多任务处理功能,使安装在安卓系统上的恶意应用可以伪装成该设备上的任何其他应用程序,包括任何需要特权的系统应用程序。换句话说,当用户点击一个正常应用程序的图标时,利用Strandhogg漏洞的恶意应用可以拦截劫持这个任务并且向用户显示一个虚假的应用界面,而不是启动那个正常的应用程序。
透过误导用户让他们以为打开的是一个正常的应用程序,这个漏洞可以使恶意应用以虚假的登录界面来窃取用户的数据。
7.5G的缺陷:允许设备指纹识别和中间人攻击5G使用的许多安全协议和算法都继承于之前的4G标准,有研究人员之前就发现过4G安全性的问题,利用这些安全漏洞可以进行设备指纹攻击和中间人攻击。
在黑帽召开的名为“5G网络中的新漏洞“的会议上有人指出,在5G中与4G一样,设备的功能性信息在任何保护被植入连接前就被发送到了基站。无线安全性包括从终端到基站的流量加密,但是由于设备功能性信息在开始之前传输,因此它们以明文形式显示。
8.一张贴纸破解顶级FaceID只需用普通打印机打出一张带有图案的纸条贴在脑门上,就能让目前业内性能领先的公开FaceID系统识别出错。
有人测试,在贴上纸条以后,即使没有遮住脸,系统也会把Person_1识别成另外一些人「0663」和「0268」等。
使用对抗样本攻击图像识别系统,在人工智能领域里已经不算什么新鲜事了,但是想要在现实世界里做到无差别攻击,还是人脸识别这种数千万人都在使用的应用技术,这就显得有些可怕了。使用这种新方法,人们可以轻松地打印一个破解纸条贴在脑门上,随后让AI识别的准确率显著下降。
CVE漏洞(一)年CVE漏洞利用率Top10报告期内,瑞星根据漏洞被黑客利用程度进行分析,评选出年1至12月份漏洞Top10:
1.CVE--IE浏览器远程代码执行漏洞CVE--是微软年11月11日公布的一个潜藏了18年的IE浏览器远程代码执行漏洞,影响IE版本为IE3-IE11。漏洞出现在VBS脚本引擎中,自Windows95首次发布以来就一直存在。VBS引擎在执行Redimarray(nNum)时,即重定义数组时,会调用OLEAUT32.dll模块里面SafeArrayRedim函数,该函数内部处理逻辑不严谨,使用了错误的条件跳转指令,而且当传入的nNum足够大时,函数内部的数组空间申请会失败,SafeArrayRedim函数不做任何处理直接返回,导致返回时已经将nNum写入数组结构,后续对该数组便可以随意“越界”访问。
2.CVE--Win32k特权提升漏洞CVE--漏洞是一个Windows内核提权漏洞,影响:MicrosoftWindowsVistaSP2,WindowsServerSP2和R2SP1,Windows7SP1,Windows8.1,WindowsServerGold和R2,WindowsRT8.1,Windows10Gold,,,WindowsServer。攻击者可利用该漏洞在内核模式下执行任意代码。多个APT组织在攻击活动中使用了该内核提权漏洞进行攻击。
3.CVE--Office远程代码执行漏洞该漏洞又称公式编辑器漏洞,年11月14日,微软发布了11月份的安全补丁更新,悄然修复了潜伏17年之久的Office远程代码执行漏洞CVE--。该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本。攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。漏洞出现在模块EQNEDT32.EXE中,该模块为公式编辑器,在Office的安装过程中被默认安装。该模块以OLE技术将公式嵌入在Office文档内。由于该模块对于输入的公式未作正确的处理,攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址,从而劫持程序流程,在登录用户的上下文环境中执行任意命令。
4.CVE--WindowsLNK快捷方式漏洞该漏洞影响WindowsXPSP3,ServerSP2,VistaSP1和SP2,ServerSP2和R2和Windows7。Windows没有正确地处理LNK文件,特制的LNK文件可能导致Windows自动执行快捷方式文件所指定的代码。
5.CVE--WindowsSMB协议漏洞MS17-年5月份ShadowBrokers公布了他们从EquationGroup窃取的黑客工具,其中包含“永恒之蓝”等多个MS17-漏洞利用工具。MS17-对应CVE--、CVE--、CVE--、CVE--、CVE--、CVE--等多个SMB漏洞。这份工具的泄露直接导致了后来WannaCry病*的全球爆发,包括中国在内的至少多个国家,30多万名用户中招,并且金融、能源、医疗等众多行业皆受影响,据统计其造成损失高达80亿美元。此后各种利用MS17-漏洞的病*疯狂增长,影响深远。
6.CVE--MicrosoftOffice栈溢出漏洞CVE--漏洞出现在MSCOMCTL.OCX,是微软Office系列办公软件在处理MSCOMCTL的ListView控件的时候由于检查失误,导致攻击者可以通过构造恶意的文档执行任意代码。
7.CVE--0MicrosoftOffice逻辑漏洞此漏洞的成因主要是Word在处理内嵌OLE2LINK对象时,通过网络更新对象时没有正确处理的Content-Type所导致的一个逻辑漏洞。该漏洞利用OfficeOLE对象链接技术,将包裹的恶意链接对象嵌在文档中,Office调用URLMoniker将恶意链接指向的HTA文件下载到本地,URLMoniker通过识别响应头中content-type的字段信息最后调用mshta.exe将下载到的HTA文件执行起来。
8.CVE--TIFF图像处理缓冲区溢出漏洞AdobeReader和AcrobatTIFF图像处理缓冲区溢出漏洞,Adobe在解析TIFF图像文件的时候,使用了开源库代码(libtiff)存在堆栈溢出的bug,漏洞出在对DotRange属性的解析上。该漏洞被多个APT组织在攻击行动中所使用。
9.CVE--AdobeFlashPlayer远程内存破坏漏洞AdobeFlashPlayer是一款Flash文件处理程序。AdobeFlashPlayer存在一个内存破坏引起的远程代码执行漏洞,攻击者构建恶意WEB页,诱使用户解析,可以应用程序上下文执行任意代码。
10.CVE--AdobeAcrobat和ReaderCollabgetIcon()JavaScript方式栈溢出漏洞AdobeAcrobat和Reader没有正确地处理PDF文档中所包含的恶意JavaScript。如果向Collab对象的getIcon()方式提供了特制参数,就可以触发栈溢出。成功利用这个漏洞允许以当前登录用户的权限完全控制受影响的机器。
(二)年最热漏洞分析1.CVE--远程桌面服务远程执行代码漏洞年5月14日,微软发布了一个针对远程桌面服务(终端服务)远程代码执行漏洞(CVE--)的漏洞补丁。该漏洞影响多个旧版本的Windows操作系统。此漏洞是预身份验证,无须用户交互,可以被网络蠕虫利用,可能出现类似WannaCry类似的蠕虫爆发。该漏洞影响多个Windows操作系统,从WindowsXP到WindowsServer。因为影响较大微软给停止服务的WindowsXP和系统也发布了漏洞补丁。因漏洞危害等级高影响较大,该漏洞被命名为BlueKeep。
2.CVE--WinRAR目录穿越漏洞年2月20日,CheckPoint团队爆出了一个关于WinRAR存在19年的漏洞,用它可以获得受害者计算机的控制。该漏洞是由于WinRAR使用一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在年被编译,作用是处理ACE压缩格式文件。而在解压处理过程中存在一处目录穿越漏洞,允许解压过程写入文件至开机自启动文件夹,可以导致恶意代码重启执行。后期通过该漏洞投递的病*大量出现。
3.CVE--/远程桌面服务远程执行代码漏洞年8月14日,微软发布了一套针对远程桌面服务的修复补丁,其中包括两个关键的远程执行代码(RCE)漏洞CVE--和CVE--。与之前修复的“BlueKeep”漏洞(CVE--)一样,攻击者可以利用该漏洞制作类似于年席卷全球的WannaCry类的蠕虫病*,进行大规模传播和破坏。
4.CVE--/WindowsNTLM认证漏洞年6月12日,微软官方在6月的补丁日中发布了漏洞CVE--的安全补丁,攻击者可以利用该漏洞绕过NTLMMIC(消息完整性检查)。攻击者可以修改NTLM身份验证流程中的签名要求,完全删除签名验证,并尝试中继到目标服务器,不强制执行签名的服务器都易受到攻击。通过这种攻击能使攻击者在仅有一个普通域账号的情况下可远程控制Windows域内的任何机器,包括域控服务器。
5.CVE--/WebLogic反序列化漏洞年10月Oracle官方发布安全公告,披露WebLogic存在多个高危漏洞。黑客利用漏洞可以远程获取WebLogic服务器权限,风险较大。CVE--未经授权的攻击者则通过构造T3协议请求,绕过WebLoigc的反序列化黑名单,CVE--未经授权的攻击者可以通过精心构造的HTTP请求向Console组件发起请求。利用两个漏洞都能够接管WebLogic服务器,危害较大。
6.CVE--Linux内核本地提权漏洞年3月8日,Linuxgit仓库中发布一个