网络安全状况概述

2019年1月，，
，，整体而言，，
，互联网网络安全状况指标平稳。。
。从行业角度看
，
，针对医疗和服务业的攻击逐步增多，，原因是这些行业拥有数据的价值正在增加。。另一方面，，，，勒索病毒作为破坏性最强、、影响面广泛的一类恶意程序，，该月出现多种勒索病毒变种肆虐，，，勒索病毒感染正处于愈演愈烈的态势，，，个人或企业应做好安全防护措施。
。
。此外，，，根据监测数据发现
，，网站攻击和网站漏洞数量在1月有所缓减，
，，，信息泄漏为目的的漏洞攻击形势依然较为严峻。。。

1月，
，，酷安智能安全云脑累计发现
：

• 恶意攻击17.6亿次，，平均每天拦截恶意程序5688万次。。
• 活跃恶意程序54993个，，，，其中僵尸网络23730个，
  ，占比43.15%；木马远控病毒20162个
  ，，，，占比36.66%。。。
  。活跃挖矿病毒种类704个，，，拦截次数10.71亿次，，，，较之前有持续增长，，其中NrsMiner变种非常活跃。。。。

酷安智能漏洞监测平台对国内已授权的7329个站点进行漏洞监控
，
，发现：

• 高危站点2505个
  ，，，，其中高危漏洞5792个
  ，，，主要漏洞类别是点击劫持、、、、CSRF跨站请求伪造和信息泄露。。
  。
  。
• 监控在线业务5870个，，，，其中有246个在线业务发生过真实篡改，
  ，，篡改占比高达4.19%。。

恶意程序活跃详情

2019年1月，
，酷安智能安全云脑检测到的活跃恶意程序样本有54993个，，，其中僵尸网络23730个，
，
，
，占比43.15%；木马远控病毒20162个，，占比36.66%，
，
，挖矿病毒704个，，占比1.28%。。。

1月总计拦截恶意程序17.6亿次，，其中挖矿病毒的拦截量占比61%，，，其次是感染型病毒（16%）、、、木马远控病毒（11%）、、、、蠕虫（7%）、、后门软件（3%）、、勒索软件（1%）
，，由下图可知
，，，挖矿病毒的拦截比例依然较大。。

▲2019年1月恶意程序拦截量按类型分布

挖矿病毒活跃情况

2019年1月，，酷安智能安全云脑共捕获挖矿病毒样本704个，，拦截挖矿病毒10.71亿次，，
，
，其中最为活跃的挖矿病毒是NrsMiner、、、、MinePool、、Xmrig、
、
、、BitCoinMiner、、、WannaMine，，特别是1月爆发的NrsMiner家族，，，，共拦截4.38亿次。。同时监测数据显示
，，被挖矿病毒感染的地域主要有广东、、、浙江、、北京等地，，，其中广东省感染量全国第一。。。

▲2019年1月挖矿病毒活跃地域Top10

被挖矿病毒感染的行业分布如下图所示，，其中企业受挖矿病毒感染情况最为严重，
，，，其次是政府和教育行业。
。

▲2019年1月挖矿病毒感染行业TOP10

基于酷安智能对挖矿病毒主要特征的总结
，，发现黑客入侵挖矿的主要目标是存在通用安全漏洞的机器，
，，所以预防入侵挖矿的主要手段就是发现和修复漏洞：

1)根据业务情况尽量关闭非业务需要的端口
，
，对于开放在外网上的服务
，，，，即使因为业务，，，，也应限制访问来源。
。。。

2)建议关注操作系统和组件重大更新
，
，，如 WannaCry 传播使用的永恒之蓝漏洞，
，，及时更新补丁或者升级组件。。

3)为预防密码暴力破解导致的入侵，
，，应更换默认的远程登录端口，，，设置复杂的登录密码
，，，或者放弃使用口令登录
，，，改使用密钥登录。
。。。

4)自检服务器上部署的业务
，，，进行渗透测试，，，及早发现并修复业务漏洞，，，，避免成为入侵点。。。。

5)使用酷安智能下一代防火墙、、、EDR等安全产品
，，实时检测发现服务器上的安全漏洞并且及时修复。。。。

此外，，，针对已经被入侵挖矿的情况，，，建议及时清理挖矿进程和恶意文件，，，，同时排查入侵点并修复，，，，从源头上进行有效解决。
。。

僵尸网络病毒活跃情况

2019年1月，
，
，酷安智能安全云脑检测并捕获僵尸网络样本20162个，
，，共拦截8756万次
。。。其中Andromeda家族是成为本月攻击态势最为活跃的僵尸网络家族,共被拦截2732万次，，此家族占了所有僵尸网络拦截数量的31%；而排名第二第三的Aenjaris和Moto家族拦截量呈现大幅增加，，，本月拦截比例分别是为15%和14%。
。
。1月份僵尸网络活跃家族TOP榜如下图所示：

▲2019年1月僵尸网络活跃家族拦截数量TOP10

在僵尸网络危害地域分布上，
，
，，广东省（病毒拦截量）位列全国第一，，
，
，占TOP10总量的38%，，，其次为浙江省和内蒙古自治区。
。
。

▲2019年1月僵尸网络活跃地区TOP10

从僵尸网络攻击的行业分布来看，，
，，黑客更倾向于使用僵尸网络攻击企业、、
、、教育、、政府等行业。。。。企业
、、、教育
、、、政府的拦截数量占僵尸网络TOP10拦截总量的80%，，具体感染行业TOP分布如下图所示：

▲2019年1月僵尸网络感染行业TOP10

 

木马远控病毒活跃状况

酷安智能安全云脑1月检测到木马远控病毒样本18501个，，共拦截19612万次。。。其中最活跃的木马远控家族是Glupteba，，，，拦截数量达3146万次
，，，其次是XorDDos
、、Zusy。。。具体分布数据如下图所示
：

▲2019年1月木马远控毒活跃家族TOP10

对木马远控病毒区域拦截量进行分析统计发现，，恶意程序拦截量最多的地区为广东省，，，占TOP10拦截量的 25%；其次为浙江（16%）、、、北京（12%）、、、四川（11%）和江苏（8%）。。此外湖北、
、山东、、
、上海
、、、福建
、
、、湖南的木马远控拦截量也排在前列。。。。

▲2019年1月木马远控活跃地区TOP10

行业分布上，，，
，企业
、
、
、、政府及科研教育行业是木马远控病毒的主要攻击对象。。。

▲2019年1月木马远控病毒感染行业TOP10

 

蠕虫病毒活跃状况

2019年1月酷安智能安全云脑检测到蠕虫病毒样本2156个，
，，共拦截8955万次
，，，，但通过数据统计分析来看，，，大多数攻击都是来自于Gamarue
、、
、、Jenxcus、、DorkBot、、Palevo
、
、、
、Citeary、、Vobfus、、Conficker、
、Brontok、
、
、、NgrBot家族，，，这些家族占据了1月全部蠕虫病毒攻击的98.9%，
，其中攻击态势最活跃的蠕虫病毒是Gamarue，，，占蠕虫病毒攻击总量的76%。。

▲2019年1月蠕虫病毒活跃家族TOP10

从感染地域上看，，，，广东地区用户受蠕虫病毒感染程度最为严重
，，，，其拦截量占TOP10比例的24%；其次为江西省（22%）、、、、湖南省（13%）
。。。。

▲2019年1月蠕虫病毒活跃地域TOP10

从感染行业上看
，，，企业、、教育等行业受蠕虫感染程度较为严重。。。

▲2019年1月蠕虫病毒感染行业分布TOP10

 

勒索病毒活跃状况

2019年1月
，，，共检测到活跃勒索病毒样本量292个。
。。其中
，，，，WannaCry
、、、、Razy、、GandCrab、、、、TeslaCrypt、、、、Mamba
、、Locky依然是最活跃的勒索病毒家族，，其中WannaCry家族本月拦截数量有300万次，，危害依然较大。。。。

从勒索病毒倾向的行业来看，，
，，企业和政府感染病毒数量占总体的55%
，，是黑客最主要的攻击对象
，，具体活跃病毒行业分布如下图所示：

▲2019年1月勒索病毒感染行业TOP10

 

从勒索病毒受灾地域上看，，广东地区受感染情况最为严重，，，，其次是浙江省和福建省
。。

▲2019年1月勒索病毒活跃地域TOP10

网络安全攻击趋势分析

酷安智能全网安全态势感知平台监测到全国30692个IP在1月内所受网络攻击总量约为12亿次。。下图为近半年酷安智能网络安全攻击趋势监测情况：

▲近半年网络安全攻击趋势情况

 

本月安全攻击趋势

下面从攻击类型分布和命中情况分析2个纬度展示本月现网的攻击趋势：

攻击类型分布

通过对云脑日志数据分析可以看到，，，，1月捕获攻击以Web扫描、、WebServer漏洞利用、、、操作系统漏洞利用攻击和信息泄露攻击分类为主，，，
，以上四类攻击日志数占总日志数的73%。
。。其中Web扫描类型的漏洞更是达到了26.73%，，，
，有近亿的命中日志；WebServer漏洞利用和操作系统漏洞利用攻击类型均占比18%。。。。此外，，信息泄露攻击
、、
、、Webshell上传、、、SQL注入等攻击类型在1月的攻击数量有所增长。。。

▲2019年1月攻击类型分布

主要攻击种类和比例如下：

针对性漏洞攻击分析

（1）针对WEB漏洞的攻击情况分析统计

其中遭受攻击次数前三对应的漏洞分别是test.php
、、test.aspx
、、、、test.asp等文件访问检测漏洞
、、、
、SQL注入攻击双引号语句检测漏洞和服务器目录浏览禁止信息泄露漏洞
，，，攻击次数分别为75,352,863、
、、
、21,599,200和21,182,625。
。。。

（2）针对系统中间件类漏洞的命中情况分析统计

通过对日志数据分析可以看到其中遭受攻击次数前三的漏洞分别是Microsoft Windows SMB Server SMBv1信息泄露漏洞、、、
、NTP Ntp_request.c 远程拒绝服务漏洞和Microsoft IIS畸形本地文件名安全绕过漏洞。
。。

高危漏洞攻击趋势跟踪

酷安智能安全团队对重要软件漏洞进行深入跟踪分析
，，，近年来Java中间件远程代码执行漏洞频发
，，，
，同时受永恒之蓝影响使得Windows SMB、、、、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式，，，2019年1月，，，Windows SMB日志量达千万级，，，相比上月小幅上升；Struts2系列漏洞，
，，Weblogic系列漏洞和PHPCMS系列漏洞的攻击次数本月均大幅度减少
。。。相关用户应重点关注。。。

• Windows SMB 系列漏洞攻击趋势跟踪情况

• Struts 2系列漏洞攻击趋势跟踪情况

• Weblogic系列漏洞攻击趋势跟踪情况

• PHPCMS系列漏洞攻击趋势跟踪情况

网络安全漏洞分析

本月漏洞收集情况

2019年1月酷安智能安全团队通过自动化手段筛选并收录国内外重点漏洞115条，，，其中WEB应用漏洞36条，，，，操作系统漏洞50条，，，，网络设备漏洞2条，，
，服务器漏洞4条，，，，客户端漏洞23条。。。收录的重要漏洞中包含34条0day漏洞。。

从收集的重要漏洞分析攻击方法分布，，，可以看到，，占比排名前三的分别是代码执行
，
，信息泄露，，，和权限升级，，分别占比20%
，，，19%和15%
，，三类攻击方法占总数为54%；跨站点脚本攻击，，验证绕过，，，内存损坏，
，拒绝服务攻击和缓冲区溢出的占比情况也排名靠前。。。

全国网站漏洞收集情况

酷安智能云眼网站安全监测平台本月对国内已授权的4282个站点进行漏洞监控，，近一个月内发现的高危站点1364个，，
，，高危漏洞23477个，，主要漏洞类别是信息泄露、
、、、XSS和CSRF跨站请求伪造等。。高危漏洞类型分布如下
：

具体比例如下
：

篡改情况统计

1月共监控在线业务5870个（已去重），
，共检测到246个（已去重）个网站发生真实篡改
，，，篡改总发现率高达4.19%
。。。其中有202个识别为首页篡改，
，，，13个识别为二级目录篡改，，
，
，31个识别为二层级以上的多层级篡改。
。

具体分布图如下图所示：

从上图可以看出，，，网站首页篡改为篡改首要插入位置，，成为黑客利益输出首选。。。。