——腾讯安全:年度企业安全总结
目录
一、企业终端安全(一)终端安全性分析
1.企业终端病*感染概况2.不同行业感染病*类型分布情况3.不同病*类型感染行业分布情况(二)终端脆弱性分析1.企业终端漏洞修复情况2.常见服务器漏洞攻击类型3.热门高危漏洞4.企业网络端口开放情况5.高危端口开放情况二、企业终端失陷危害分析(一)失陷攻击简述(二)失陷攻击的横向扩散与常驻1.内网传播2.持久化驻留方式(三)企业终端失陷的后果1.敲诈勒索2.挖矿木马3.信息窃密4.刷量推广5.肉鸡后门三、邮件安全(一)邮件安全趋势1.垃圾邮件2.恶意邮件(二)邮件安全案例四、趋势预测1.高危漏洞频繁爆出,武器化对企业影响深远2.勒索病*、挖矿木马持续传播3.高级可持续威胁攻击(APT)技术升级4.数据泄露问题愈发严重5.云计算的发展或将导致云安全事件的爆发五、安全建议
一、企业终端安全
年针对企业终端的攻击依然未有放缓。攻击者通过漏洞利用、爆破攻击、社工钓鱼等方式攻陷企业服务器,通过内网横向渗透进一步攻陷更多办公机器;企业员工日常操作的不良上网习惯也给企业安全带来巨大威胁,比如使用盗版系统、破解补丁、游戏外挂等;针对Linux平台的攻击活动也逐渐增加。本章节主要从企业终端的脆弱性、安全性做些归纳性的总结,希望对各企业服务器安全防范有所帮助。脆弱性主要分析终端设备容易被攻击入侵的原因,包括高危漏洞没有及时修复,开放的高危端口及企业员工安全意识等。安全性主要分析终端设备所面临的安全威胁,包括企业终端感染的主要病*类型、企业染*比例,及不同行业的感染病*分布情况分析。
(一)终端安全性分析
1.企业终端病*感染概况
根据腾讯安全威胁情报中心数据显示,平均每周拦截到病*木马的终端中约12%的机器为企业终端。
拦截到病*的所有终端中企业终端占比
在企业终端有40%的机器平均每周拦截至少一次病*木马攻击。
企业终端拦截过病*木马攻击的机器占比
在企业终端中,风险类软件感染占比最多(占比44%),其次为后门远控类木马(占比21%)。
企业终端染*类型分布
年企业终端风险中,风险木马软件在病*攻击事件中占比最高,达到44%。相对上半年占比提高了4%。风险木马软件染*占比较高主要是因为其传播渠道有着广大的受众,其中最典型的就是各种软件下载器。
由于杀*软件对无提示强制捆绑推装等不合规的行为进行拦截,风险流氓软件的规避方法也无所不用其极,如下图场景中右侧第五个星标中隐藏了难以发现的勾选项,对其局部放大,发现有个可选择的√勾。
风险软件下载站实例
除了下载器捆绑传播,风险木马软件还通过搜索引擎竞价排名获得优先展示以最大化获取受众,此外游戏外挂、第三方工具、ghost系统等都有着广大的使用群体,导致风险木马软件感染量极大。挖矿木马仍是企业服务器被攻陷后植入的主要木马类型。其入侵途径主要是爆破、漏洞攻击入侵。此外Linux平台上的挖矿木马也逐渐流行起来,如年9月大型挖矿僵尸网络WannaMine发起针对Linux系统的攻击,攻击者利用SSH弱口令爆破成功后会植入挖矿木,并通过SSH在内网横向传播。勒索病*整体攻击次数较上半年有下降趋势。虽然勒索病*在染*事件中的占比不高,但加密数据、锁定系统、针对企业数据价值勒索更加昂贵的赎金等行为令企业损失严重、破坏性极大,仍是当前企业需要重点防范的病*类型。2.不同行业感染病*类型分布情况
风险木马类软件在各行业的染*事件中占比最高(40%以上),科技行业相对其他行业感染风险木马软件的比例更小,由于风险木马软件其感染主要是不良的上网习惯及缺乏安全意识引起的(如使用盗版软件或外挂工具等),可能科技行业从业人员上网安全意识相对更高。感染型木马在教育行业感染比例相对较高,可能和该行业频繁的文件交互传输有关。
不同行业感染病*的类型分布
后门远控类木马是除了风险软件之外感染量最大的染*类型,占比在20%左右。后门远控类木马有着极高的隐蔽性,接受远程指令执行信息窃取,截屏,文件上传等操作,对金融科技等信息敏感行业可造成极大危害。年12月腾讯安全御见威胁情报中心检测到TrickBot银行木马活跃,黑客在钓鱼文档中嵌入恶意VBA代码,传播银行木马TrickBot。监测数据显示,该木马已影响我国部分企业,中*电脑系统信息及访问国外银行的登录信息会被窃取。
TrickBot在年左右被发现,会在受害者通过浏览器访问在线银行时窃取网银信息,攻击目标包括澳大利亚、新西兰、德国、英国、加拿大、美国、以色列和爱尔兰等国银行系统,有国外研究者认为该组织已收集了2.5亿个电子邮箱。3.不同病*类型感染行业分布情况教育行业染*比例最高,感染型病*感染机器中教育行业机器占比高达57%。其次为*府及科技行业,其中勒索病*感染机器中*府机器占比23%。
不同病*类型在行业中的分布
感染病*的终端中教育行业机器占比最大,其中感染型病*教育行业机器占比57%占比最高,挖矿木马教育行业染*机器占比47.9%相对较低。为了提高感染成功率病*木马往往使用具有诱惑性的字眼以欺骗受害者,如年12月御见威胁情报中心就捕获通过社会工程骗术传播的“老虎”挖矿木马(LaofuMiner)。
攻击者将远控木马程序伪装成“火爆新闻”、“色情内容”、“隐私资料”、“诈骗技巧”等文件名,通过社交网络发送到目标电脑,受害者双击查看文件立刻被安装“大灰狼”远控木马。然后攻击者通过远控木马控制中*电脑下载挖矿木马,中*电脑随即沦为矿工。
(二)终端脆弱性分析
漏洞利用及端口爆破是攻陷终端设备的重要手段,尤其是针对企业服务器的攻击,通过漏洞利用或爆破攻击公网环境下的服务器,随后进行内网横向渗透,整个过程中漏洞利用及端口爆破都是最常用的手段,如果企业安全管理员能及时安装补丁及关闭不必要的开放端口。补齐防护短板,就可以最小的成本避免可能的高代价的损失。下面就常见的漏洞、攻击方式、和端口开放情况对终端脆弱性做些归纳性的总结,希望对各企业服务器安全防范有所帮助。1.企业终端漏洞修复情况
系统高危漏洞往往会被黑客利用进行入侵,但部分企业安全风险意识较为薄弱,据腾讯安全威胁情报中心数据显示,截止年12月底,仍有79%的企业终端上存在至少一个高危漏洞未修复。
在主要的高危漏洞中,LNK漏洞(CVE--)补丁安装比例最高,RTF漏洞(CVE--)补丁安装比例最低,仍有74%的机器未安装该补丁。在高级APT攻击活动中,利用漏洞文档进行邮件钓鱼攻击是常见的手段,机器失陷后给企业造成极大损失,因此建议企业客户需重视及时安装相关高危漏洞补丁。2.常见服务器漏洞攻击类型
回顾年企业服务器的网络安全,“Facebook”、“万豪”等数据泄露严重,“韩国平昌冬奥被网络入侵”、“台积电感染勒索病*”等网络攻击事件,影响巨大。网络入侵攻击在航空、医疗、保险、电信、酒店、零售等行业均受影响,黑客攻击者,利用恶意软件、漏洞等方式攻陷企业服务器。年全球网络安全形势依然严峻,据RBS统计,在年前三季度,数据泄露事件发生起(较去年同期增长33.3%),数据泄露条数达79亿(较去年同期增长%)。而年的网络攻击,如“丰田汽车IT系统受黑客入侵”、“美国路易斯安那州*府计算机受网络攻击破坏”等网络攻击获得依然活跃。企业、*府开放的服务器,如果存在简单的漏洞或简单的控制可能导致灾难性的后果,许多通过黑客攻击和恶意软件进行的入侵是可以预防的。下面就常见的漏洞、和攻击方式做些归纳性的总结,希望对各企业服务器安全防范有所帮助。我们对暴露在公网的服务器做抽样分析发现,常见的攻击类型中,远程代码执行(RCE)、SQL注入、XSS攻击攻击类型比例较高,同时黑客为了获取服务器/网站的基本信息,常见的探测性扫描(ProbeScan)量同样非常高。
远程代码执行(RCE)
对服务器来说,这是一种最严重的安全问题,因为攻击者可远程执行任意命令、代码,实现完全控制服务器主机。例如攻击可通过Web应用等漏洞,入侵或上传WebShell,使用反向shell获得对服务器的控制权。反向shell是攻击者通过受害者出站连接来获得对受害者控制的常用方法。
这种方法经常被使用,因为它很容易绕过防火墙限制,与入站连接不同,通常防火墙允许出站连接。一旦攻击者通过RCE获得对主机的控制权便完全控制了整个服务器系统,甚至可通过横向移动,控制内网其它主机、服务器。
SQL注入(SQLi)
SQL注入(SQLi)是最早的,最流行和最危险的Web应用程序漏洞,黑客攻击者可以利用Web应用程序对数据库服务器(如MySQL,MicrosoftSQLServer和Oracle)进行不安全的SQL查询。
它利用了Web应用程序中的漏洞,这通常这些漏洞是由于代码错误导致的。使用SQL注入,攻击者可以将SQL命令发送到数据库服务器,允许他们对数据进行未经授权的访问,在一些极端情况下甚至可控制整个运行数据库服务器的系统。SQLi也恰好是最容易理解的Web应用程序漏洞之一,拥有数百种免费的现成工具,使攻击者可以更快,更轻松地利用SQL注入漏洞。通过SQL注入漏洞,攻击者可以绕过Web应用程序的身份验证和授权机制,检索整个数据库的内容,泄取机密信息。甚至添加,修改和删除该数据库中的记录,从而影响其数据完整性。由于SQL注入会影响使用SQL数据库的Web应用程序,因此几乎每种类型的Web应用程序都需要注意它。
XSS(跨站脚本攻击)
与大多数影响服务器端资源的漏洞不同,跨站点脚本(XSS)是web应用中出现的漏洞。跨站点脚本通常可以被认为是主要通过使用JavaScript的应用代码注入。XSS有许多变形,攻击者的目标是让受害者无意中执行恶意注入的脚本,该脚本在受信任的Web应用程序中运行。利用XSS攻击可以,实现窃取用户有权访问的敏感数据,甚至修改Web应用程序的,诱导、骗取用户向攻击者提交敏感数据。
Webshell
webshell并不是漏洞,从攻击角度看,可以理解成是攻击工具或方法,通常会结合服务器的组件、应用的漏洞达到入侵目的。我们从字面上理解,Web指的是在web服务器,而Shell就是用脚本程序,Webshell可以理解成是Web的管理工具,利用WebShell工具可以获得Web服务器的控制权限。Webshell的功能强大,可以上传下载文件,查看数据库,甚至可以调用一些服务器上系统的相关命令(比如创建用户,修改删除文件之类的)。当被黑客利用时,则成了入侵攻击的利器,黑客攻击者可通过Web页面的上传漏洞或上传权限控制的不当,直接上传编写好的Webshell文件到服务器上,在通过页面访问以上传的Webshell文件便可实现入侵操作。
常见的Webshell有PHP脚本木马,ASP脚本木马,JSP脚本木马等。我们在网络安全监测中,也发现大量的尝试上传WebShell的网络攻击活动。3.热门高危漏洞服务器组件、应用的漏洞如果未及时修补,很可能会被黑客攻击者利用入侵,造成不可挽回的损失,以下总结了部分年新公开的热门漏洞,企业用户可参考对照自身的服务器组件、应用是否存在相应的漏洞,尽早修复,避免被利用入侵,造成损失。同时腾讯御界高级威胁检测平台支持最新的漏洞攻击检测,企业用户可部署御界检测,结合腾讯天幕或其它防护设备实现阻断攻击。
Jackson
Jackson是用来序列化和反序列化json的Java的开源框架,Jackson是当前最流行的json解析器之一。CVE--月21日,Redhat官方发布jackson-databind漏洞(CVE--)安全通告,多个Redhat产品受此漏洞影响,CVSS评分为8.1,漏洞利用复杂度高。7月22日,安全研究员AndreaBrancaleoni对此漏洞进行分析,并公布了该漏洞的分析文章。漏洞影响版本:Jackson-databind2.X2.9.9.1CVE--、CVE--年7月,Jackson官方发布安全issue,披露Jackson存在最新的反序列化远程代码执行漏洞(CVE--和CVE--),可对6月21日披露的CVE--漏洞绕过,成功利用可实现远程代码执行。漏洞影响版本:Jackson-databind2.9.9.2;Jackson-databind2.10.0;Jackson-databind2.7.9.6;Jackson-databind2.8.11.4
Fastjson
Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSONParse的性能提升到极致,是目前Java语言中最快的JSON库。fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。CNVD--22238年7月,Fastjson=1.2.47被爆出存在高危远程代码执行漏洞,该漏洞是fastjson于年3月爆出的远程代码执行漏洞(CNVD--)新的绕过利用方式,攻击者可以通过此漏洞绕过黑名单策略执行远程代码,从而入侵服务器。漏洞影响版本:Fastjson1.2.48CNVD--30716年9月,Fastjson爆出存在远程拒绝服务漏洞,攻击者构造特定json字符串请求,可远程使服务器内存和CPU等资源耗尽,造成拒绝服务。漏洞影响版本:Fastjson1.2.60;Fastjsonsecsec06CNVD--32498年9月,Fastjson=1.2.60版本被曝存在新的远程代码执行漏洞,攻击者可利用漏洞构造特定的恶意请求到远程Fastjson服务器,获取主机远程控制权限。Fastjson随后官方发布了1.2.61新版本,增加了autoType安全黑名单,修复了1.2.60版本的RCE(远程代码执行)漏洞,但是新版本刚发布不到一周时间,又被爆出,成功绕过了黑名单防护,可利用fastjson反序列化特性造成RCE。漏洞影响版本:Fastjson1.2.62
WindowsRDS漏洞
CVE--、CVE--,年8月13,在微软的发布的月补丁更新中,包含类似之前“BlueKeep”的远程桌面服务(RemoteDesktopServices)高危漏洞,攻击者可以利用该漏洞在无需用户交互的情况下实现蠕虫攻击或攻击指定服务器。意味着,存在漏洞的计算机只要联网,勿须任何操作,就可能遭遇黑客远程攻击,运行恶意代码。这类攻击可能导致蠕虫病*爆发,就如前些年我们看到冲击波病*、震荡波病*,以及WannaCry勒索蠕虫病*爆发类似。漏洞影响版本:Windows7、Windows8.1、Windows10、WindowsServerR2、WindowsServer、WindowsServerR2、WindowsServer、WindowsServer、WindowsServer,version、WindowsServer,version
微软远程桌面服务漏洞(BlueKeep)
CVE--,年9月,在年的5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞(CVE--),此漏洞是预身份验证,无需用户交互。其危害程度不亚于MS17-漏洞,当未经身份验证的攻击者使用RDP(常见端口)连接到目标系统并发送特制请求时,可以在目标系统上执行任意命令,甚至传播恶意蠕虫,感染内网其他机器,类似于年爆发的WannaCry等恶意勒索软件病*。漏洞一经公布便受到各大安全厂商、安全研究人士和黑客的高度