启明星辰集团发布《2018-2019网络安全态势观察报告》

7月23日，启明星辰集团正式发布《2018-2019网络安全态势观察报告》（以下简称“《报告》”）。《报告》针对2018年至2019年上半年的网络安全状况进行了研究和分析，对过去一年多面临的诸多网络安全问题进行了总结，并对未来网络安全发展态势进行了预测。

《报告》通过对过去一年多的网络安全事件进行研究、分析，得出以下九大网络安全发展态势：

1、应用广泛的软硬件曝出多个重大漏洞，漏洞从曝光到被利用的时间越来越短；

2、恶意软件即服务（MaaS）趋势明显，地下产业链日趋成熟；

3、Office公式编辑器漏洞与恶意宏利用横行，黑客青睐攻击面广且稳定的攻击方式；

4、越来越多APT攻击被曝光，攻击隐匿性进一步增强；

5、勒索攻击趋于定向化，版本迭代进入“敏捷化”时代；

6、挖矿攻击增长明显，逐渐成为黑客获利的最佳途径；

7、针对IoT设备的攻击呈爆发式增长，IoT蠕虫较往年增长数倍；

8、各类数据泄露事件频发，数据安全越来越受重视；

9、工控环境、云环境成黑客新宠，各类针对性安全事件频发。

此外，《报告》还对漏洞攻击、僵尸网络及木马、恶意文档攻击、APT攻击、挖矿与勒索攻击、IoT 设备攻击等六大攻击手段进行了详细阐述：

一、 漏洞攻击态势观察

2018年，启明星辰收录的漏洞总数较2017年基本持平。其中,中央处理器芯片漏洞、Memcached UDP端口反射攻击漏洞、WebLogic反序列化远程代码执行漏洞、区块链智能合约漏洞、ThinkPHP远程代码执行漏洞、WinRar远程代码执行漏洞、微软远程桌面服务远程代码执行漏洞等被评为年度最具影响力漏洞。不死的“永恒之蓝”漏洞、多个Apache Struts2漏洞及多个路由器远程代码执行漏洞等被评为年度最流行漏洞。

详细报告全面盘点了过去一年多各种影响力大和流行度广的漏洞。

二、 僵尸网络及木马态势观察

2018年全年捕获到的各类受僵尸网络控制的主机中，中国数量最多，受害最严重。我国境内僵尸主机分布最多的五个地区分别为山东、河南、江苏、广东和浙江。控制我国僵尸主机最多的五个国家分别为美国、英国、法国、荷兰和日本。

详细报告着重分析了过去一年多僵尸网络及木马传播态势，并对各种流行木马家族进行了重点解剖。

三、恶意文档攻击态势观察

针对恶意文档的攻击仍主要以Office应用为主。在捕获的恶意文档中，有60.43%的样本使用了恶意宏代码，32.57%的样本使用了0day或Nday漏洞，1.78%的样本利用了DDE机制。

新披露的Office 0day漏洞有所减少，黑客攻击时使用的0day漏洞多为利用Office触发的VBS漏洞以及Flash漏洞。与2017年攻击者更倾向于使用新漏洞不同的是，这些漏洞并没有在公开后得到广泛的利用，而是依然使用恶意宏和公式编辑器系列漏洞这类更稳定的攻击方式来完成攻击。

详细报告对过去一年多Office文档中经常使用的宏攻击技术、公式编辑器漏洞及DDE等攻击技术做了详细分析。

四、APT组织攻击态势观察

截至2019年上半年，已经披露的各类APT组织共计220余个。过去一年多，平均每天就有一个APT攻击报告被披露，较2017年有大幅度增长。APT攻击的隐匿性逐渐增强，并主要表现在如下几个方面：

（1）钓鱼手段更加精细化，针对性和迷惑性更强；

（2）关键攻击代码很少落地，给APT攻击的防护和取证带来不少挑战；

（3）利用各种手段尽可能隐藏网络踪迹；

（4）利用开源代码或工具隐藏组织特点，降低攻击成本。

详细报告对APT组织的各种常用技术做了总结，全面回顾了2018年国内外APT组织攻击事件，并对相对活跃的尤其是针对我国进行攻击的APT组织的若干攻击事件进行了详细阐述。

五、勒索挖矿攻击态势观察

过去一年多，勒索病毒攻击从广撒网转向针对高价值目标的定向投递。同时，勒索病毒版本迭代逐渐进入“敏捷化”时代。未来勒索攻击会更加具有针对性，特别是针对重要关键设施的勒索攻击将会越来越多。

而与勒索攻击不同的是，挖矿攻击较上一年度增长超过4倍，挖矿攻击已经覆盖几乎所有平台，成为黑客最主要的谋利手段之一。随着挖矿团伙的产业化运作，越来越多的0day/1day漏洞在公布的第一时间就被用于挖矿攻击。同时，挖矿木马已经不满足于“单打独斗”，开始和僵尸网络、勒索病毒、蠕虫病毒相结合，进一步增强了挖矿木马的传播和植入成功率。

详细报告对勒索和挖矿的传播方式、攻击态势变化做了全面总结，并对主要流行勒索和挖矿家族进行了阐述。

六、IoT设备安全态势观察

针对IoT设备的攻击增长迅猛。众多物联网设备被攻击成为巨大僵尸网络中的节点，并被用来发动DDoS攻击、当作跳板攻击其他机器、挖矿、劫持网络流量等。

2018年捕获到的各类受僵尸网络控制的IoT设备中，中国数量最多，受害最严重。

详细报告对过去一年多针对IoT设备特别是路由器和摄像头的攻击态势做了总结，并对主要攻击IoT设备的病毒家族进行了阐述。

面对日益复杂的网络安全威胁，启明星辰愿与各界同仁共同努力，加强网络安全核心技术建设，提高网络安全保障能力，推动网络安全产业发展，为构筑我国网络安全坚固屏障贡献力量。

启明星辰金睛安全研究团队

启明星辰金睛安全研究团队是启明星辰集团专业从事威胁分析的团队。其主要职责是对现有产品产生的安全事件日志、样本数据进行挖掘、分析，并向用户提供专业分析报告。该团队会依据数据产生的威胁情报，对其中采用的各种攻防技术做深入的跟踪和分析，并且给出专业的分析结果、提出专业建议，为用户决策提供帮助。

VenusEye威胁情报中心

VenusEye威胁情报中心是由启明星辰集团倾力打造的集威胁情报收集、分析、处理、发布和应用为一体的威胁情报服务系统，是启明星辰多年网络安全研究和积累的集中体现。系统以自有情报和第三方交换情报为基础数据，综合运用静态分析、动态分析、大数据关联分析、深度学习、多源情报聚合等先进技术，生产和提供高质量的威胁情报信息。

启明星辰漏洞扫描产品中心

启明星辰漏洞扫描产品中心是从事漏洞评估与管理产品的专业化团队，不断突破漏洞评估相关核心技术，在工控漏洞评估、漏洞智能管理、产品国产化等多方面持续领先。2018年,“天镜脆弱性扫描与管理系统”在漏洞评估与管理市场排名第一（CCID 发布中国漏洞评估与管理市场研究报告 2018），树立了启明星辰漏洞评估与管理产品的领导者地位和市场品牌。

启明星辰安全应急响应中心

启明星辰安全应急响应中心是启明星辰集团成立的针对重要网络安全事件进行快速预警、应急响应的安全协调中心。为企业级用户提供高危漏洞、重大安全事件预警通告、安全周报和相关产品解决方案。启明星辰安全应急响应中心成立至今，已经发布252篇预警通告、59期安全周报、协调处置网络安全事件300多起。

企业：启明星辰

相关文章