近日,360威胁情报中心发布了《2017中国网站安全形势分析报告》,报告显示2017年中国网站安全形势整体向好,网站发现漏洞和高危漏洞数较往年有明显下降,漏洞修复率也有明显提高。但与此同时,带有商业目的的挖矿木马、黑词黑链篡改等攻击行为大行其道,成为网站新的威胁。
以下是《2017中国网站安全形势分析报告》(以下简称报告)呈现的2017年中国网站安全主要特点。
主要观点
网站漏洞问题依旧严峻,教育和政府行业最值得关注
本次报告从漏洞自动检测和人工挖掘角度对国内教育、政府等十余类典型行业的网站进行了安全性对比研究。
从漏洞数量来看。云监测平台扫描检测的网站中,教育培训、政府机构和事业单位是存在漏洞最多的三个行业。在补天平台中,政府机构及事业单位、教育培训和互联网是人工收录漏洞数最多的三个行业。
从漏洞修复情况来看。通信运营商、金融和教育培训类网站是漏洞修复率最高的三个行业。96.9%的通信运营商网站漏洞都进行了修复,90.6%的金融行业的网站漏洞进行了修复,83.3%的教育培训网站进行了修复。
僵尸网络继续瞄准物联网
在2016年mirai僵尸网络攻击造成美国东海岸大面积断网事件之后,2017年以来,又有三个著名的僵尸网络出现http81、IoT_reaper和Satori。其中,http81和IoT_reaper都是针对IoT设备的僵尸网络。仅http81在国内感染的摄像头设备就超过5万台,而Satori则以12小时26万台的速度感染某品牌家用路由器,成为史上传播速度最快的僵尸网络。
挖矿木马成为网站最大现实威胁
2017挖矿木马疯狂的敛财暗流。挖矿木马是2017年非常流行的一种针对网络服务器进行攻击的木马程序,此类木马程序通过自动化的批量攻击感染存在漏洞的网络服务器,并控制服务器的系统资源,用于计算和挖掘特定的虚拟货币。由于挖矿木马长期占用CPU率达100%,因此,服务器感染挖矿木马后,最明显的现象是服务器响应非常缓慢,出现各种运行异常。如果挖矿木马攻击的是整个云服务平台,则平台上所有网站和服务系统都会受到严重影响。
另外,1月8日,我们第一次见到Satori.Coin.Robber僵尸网络利用“肉鸡”扫描正在挖矿的设备,并通过篡改其挖矿设备的算力和代币,致使其挖掘的虚拟货币流向自己的口袋。
反人工检测技术大范围流行
2017年网络黑产大范围使用反人工检测技术,对网站进行黑词黑链篡改,攻击者在向网页中植入黑词黑链的同时,还会在页面中加入一段识别程序,该程序可以识别出访问请求是来在搜索引擎爬虫还是来自个人用户,如果访问请求来自搜索引擎爬虫,则进入带有黑词黑链等非法信息的页面;如果访问来自个人用户,则显示未经窜改的原始页面,对于未采用防篡改保护技术及缺乏相关经验的技术人员,这种攻击很难被发现,从而使带有非法信息的页面可以在网站中潜伏更长的时间。
WebLogic反序列化漏洞攻击可能在2018年大爆发
2017年12月末,国外安全研究者K.Orange在Twitter上爆出有黑产团体利用Weblogic反序列化漏洞(CVE-2017-3248)对全球服务器发起大规模攻击,大量企业服务器已失陷且被安装上了watch-smartd挖矿程序;但此类攻击在国内还很少见到。不过,2018年1月11日,360安服团队在应急响应过程中,发现某门户网站遭到了Weblogic最新反序列漏洞攻击。
由于国内外对此漏洞的重视程度明显不足,有可能导致基于该漏洞的网络攻击在2018年大规模爆发。
弱密码问题依然是网站安全最大隐患 依然普遍存在
360安服团队参与处理的网站安全应急响应事件中,60%以上都与弱密码有关。包括2017年大规模流行的挖矿木马,其成功攻击的主要原因也是由于网站管理员使用弱密码。本报告也总结了大量相关攻击实例,可供读者参考。
数据摘要
网站漏洞检测分析
-
2017年1-10月,360网站安全检测平台共扫描检测网站104.7万个,其中,扫出存在漏洞的网站69.1万个(全年去重),共扫描出1674.1万次漏洞。扫出存在高危漏洞的网站34.5万个,占扫描网站总数的32.9%,共扫描出247.0万次高危漏洞。
-
从域名类型统计来看,全球通用域名中.com域名最多,占比为64.2%;其次是.cn(23.0%)、.net(5.9%);作为本土化域名,.gov占比为3.6%,.edu占比为1.6%。具体分布情况如下图所示。
-
从网站检测出漏洞的危险等级来看,2017年高危漏洞数量占比为11.5%,中危漏洞占比为5.0%,低危漏洞占比为83.5%。
-
360网站安全检测平台全年共扫描发现网站高危漏洞247.0万次,较2016年480.8万次降低了48.7%,平均每天扫出高危漏洞约8097次。
-
根据360网站安全检测平台扫描出高危漏洞的情况,跨站脚本攻击漏洞的扫出次数和漏洞网站数都是最多的,稳居排行榜榜首。其次是SQL注入漏洞、SQL注入漏洞(盲注)、PHP错误信息泄露等漏洞类型。下表给出了2017年1-10月份高危漏洞TOP10。
-
应用程序错误信息(287.7万次)、发现敏感名称的目录漏洞(184.1万次)和异常页面导致服务器路径泄露(122.7万次)这三类安全漏洞是占比最高的网站安全漏洞,三者之和超过其他所有漏洞检出次数的总和。
-
2017年全年,360云监测平台共对7.94万个网站进行扫描检测,扫出存在漏洞的网站6.35万个,占比为80.0%,共扫描检测出2428.8万次网站漏洞。其中,扫描出高危漏洞网站2.24万个,共扫描出121.3万次高危漏洞。
-
从2017年云监测扫描检测的网站中,人工挑选出十个行业进行分析。教育培训类网站是检测出网站漏洞最多的行业,总计为555.3万次网站漏洞,其次是政府部门的网站,共检测出455.9万次网站漏洞,事业单位的网站,共检测出92.0万次网站漏洞。
-
进一步对不同行业网站扫出的高危漏洞进行分析,我们发现,政府部门网站扫描出高危漏洞次数最多,为31.76万次,其次为教育培训类网站,共扫描检测出高危漏洞16.89万次。
网站漏洞攻击分析
-
2017年1-10月,360网站卫士共为187.5万个网站拦截各类网站漏洞攻击26.4亿次,较2016年17.1亿次,增长54.4%,平均每天拦截漏洞攻击868.9万次。
-
截止到2017年10月,全年遭到漏洞攻击的网站共计79.8万个(全年去重),占360网站卫士覆盖总量(187.5万)的42.5%。平均每月约有8.0万个网站遭遇各类漏洞攻击,同比下降44.2%。
-
360网站卫士拦截漏洞攻击次数最多的10个漏洞类型,这十个类型共遭到攻击22.0亿次,占到漏洞攻击拦截总量的83.4%。
-
59.7%的网站漏洞攻击类型都为“SQL注入”,稳坐第一。其次为“Webshell”和“通用漏洞”,占比分别为8.2%和3.6%。
-
从遭到漏洞攻击网站服务器IP的地域分布来看,83.4%受害者IP来自境内地区IP,境外的受害者仅为16.6%。从境内受害者的IP地域分布来看,23.1%来自北京,居于首位;其次分别为浙江(15.8%)、广东(11.7%)等。
-
从发起漏洞攻击IP的地域分布来看,45.3%的攻击者IP来自境内地区,来自境外的攻击占比为54.7%。从境内攻击者的IP地域分布来看,21.5%来自北京,居于首位;其次分别为江苏(16.5%)、河南(12.3%)等。
-
漏洞攻击在一周之内的分布统计。星期四是一周中漏洞攻击最为集中的一天,占总攻击量的15.3%,周日仅居其次,为15.2%,而周五的攻击量则相对最少,仅占总攻击量的14.5%。就平均性而言,周一周二周六较安全,而周四、周日最危险。
人工挖掘漏洞分析
-
2017年全年,补天平台SRC共收录各类网站安全漏洞报告22706个,共涉及14416个网站。其中,3月份收录的网站漏洞数量最多,为3338个。
-
在补天平台被报告漏洞涉及的政企机构中,平均约有29.6%的网站已注册加入补天平台。
-
从补天平台收录网站漏洞的性质来看,通用型漏洞比例很低,仅为4.1%,95.9%的网站漏洞都为事件型漏洞。
-
从补天平台收录网站漏洞的危害等级来看,高危漏洞占比为24.2%,中危漏洞占比为45.8%,低危漏洞占比为30.0%。
-
从补天平台收录网站漏洞的具体类型来看,SQL注入漏洞最多,占比为32.1%,其次是命令执行和信息泄露,占比分别为27.4%和10.5%。占比较高的还有弱口令(10.2%)、代码执行(4.3%)。
-
在补天平台收录网站漏洞中,74.4%的网站漏洞已经进行了修复,25.6%的网站漏洞未进行修复。
-
从省级地域分布来看,补天平台收录网站漏洞最多的十个省份占到了总量的74.5%。其中,IP地址在北京的网站漏洞最多,占比为28.8%,其次广东省为8.9%,浙江省为6.4%。
-
从城市地域分布来看,补天平台收录网站漏洞最多的十个城市占总量的66.0%。其中,IP地址在北京市的网站漏洞最多,高达43.5%,其次上海市为6.6%,杭州市为3.1%。
-
补天平台收录的网站漏洞中,政府机构及事业单位网站的漏洞数量是最多的,占比为24.9%;其次,教育培训网站漏洞为20.8%,互联网行业为17.7%。每个行业的网站漏洞分布情况。
-
被报告漏洞涉及的不同行业网站中,通信运营商行业网站注册率最高为62.4%,其次,制造业网站注册率为50.0%,IT信息技术行业网站注册率为49.7%。
-
从高危漏洞网站来看,通信运营商和IT信息技术的网站高危漏洞占比最多,均为45.4%,其次是金融网站高危漏洞为43.1%。
-
96.9%的通信运营商网站漏洞都进行了修复,其次,90.6%的金融行业的网站漏洞进行了修复,83.3%的教育培训网站进行了修复。
网络扫描
-
2017年全年,360威胁情报中心在全球范围内共监测发现扫描源IP 1400万个,累积监测到扫描事件3.93亿次。全球平均每日活跃的扫描源IP大约有13.3万个,对应的日均扫描事件约107.6万起。
-
网络扫描活动的具体技术方法多种多样,但从扫描的具体目的来看,主要可以分为三种类型:常规恶意扫描、针对性突发扫描和安全监控扫描。
-
通过对2017年全年网络扫描器扫描的端口分析发现,扫描器扫描的端口主要为具备远程控制能力的端口和存在信息泄露的端口。23端口和2323端口是被扫描次数最多的端口,网络扫描事件中约61.8%会扫描23端口,约23.9%会扫描2323端口。
-
从扫描事件的数量来看,60.9%的网络扫描事件是从中国大陆发起的,5.0%是从巴西发起的,而美国、俄罗斯和印度位列其后,占比分别为4.0%、3.4%和2.6%。
-
而从扫描器的数量来看,43.3%的扫描源IP位于中国大陆境内;9.0%的扫描源IP位于巴西;印度、俄罗斯、阿根廷分列三到五位,比例分别为5.4%、4.6%和4.2%。
网站DDoS攻击情况
-
2016年12月5日至2017年12月5日,360威胁情报中心监测到626.2万个IP在过去一年曾遭到过1064.3万次攻击。
-
针对DDoS攻击的端口中,80端口是DDoS攻击最常用的端口,占比为47.8%,其次为4444端口(17.0%)、3074端口(8.7%)。
-
DDoS攻击的网站域名中,51.7%为.com域名,其占据了半壁江山。其次是.net和.cn域名,占比分别为24.5%和11.0%。
-
DDoS攻击类型中,amp_flood类型最多,占比为55.4%,其次为syn_flood和simple_flood,占比分别为13.7%和13.5%。
-
从攻击时长来看,超过五成的DDoS攻击持续时间小于10分钟,而持续时间在10分钟至30分钟的攻击占比约为22.5%,30分钟至1小时的攻击占比约为8.1%,持续时间超过1小时的攻击占比不足10%。
-
DDoS 攻击主要由受控的僵尸网络发动。xor家族是最为活跃的DDoS僵尸网络家族,占比为38.1%;其次,elknot家族为29.5%;gafgyt家族为14.7%。
-
僵尸网络攻击的端口也很受大家的关注。80端口仍是大多数僵尸网络攻击的主要目标,占比为62.8%,其次是53端口为7.5%,3074端口为6.7%。
-
在2017年的DDoS僵尸网络攻击中,syn_flood攻击次数达到22.8万次,其次是udp_flood 6.5万次、STD为 3.3万次等。
-
DDoS僵尸网络攻击的国家中,美国是重灾区(7.05万次)。中国排名第二(5.53万次),其次为韩国和法国,分别为3.21万次和3.19万次。
白帽子与安全人才
-
2017年全年,共有4199名白帽子向补天平台提交有效漏洞2.27万个,总计获得奖金489万元。
-
2017年获补天平台奖金最多的三位白帽子分别是lakes、depy和jkgh006。从报给补天平台并被收录的漏洞总数来看,挖洞最多的是carry_your,共贡献695个漏洞,大约每天挖洞2个。而获得奖金最多的是lakes,共获得49.3万元。
-
2017上半年,向补天平台提交漏洞的白帽子中,女性白帽子占比仅为5.8%,男性白帽子占比为94.2%。
-
根据白帽子的注册信息统计,在2017年上半年向补天平台提交漏洞的白帽子中,年龄最小的14岁,年龄最大的67岁。其中,18岁-28岁之间的白帽子数量最多,约占总数的79.9%。
-
而从年龄段来看,年轻的“90后”目前仍然是白帽子的绝对主力,占白帽子总量的75.2%,“80后”次之,占10.8%,00后正在崛起,占比为9.1%。值得注意的是,相比2016年“00后”白帽子仅占2.6%,今年约有9.1%的白帽子是17岁及以下的青少年。
六大典型病毒
一、暗云Ⅲ
2017年6月12日,臭名昭著的暗云Ⅲ病毒再次卷土重来,在全国范围内发起网络攻击。暗云Ⅲ木马的恶意程序,伪装成“赤月传说”、“传奇霸业”等游戏微端进行补丁修复,通过各大下载站的下载器等各种传播渠道进行海量推广。暗云系列木马异常狡猾,此次突然爆发有很大可能会引发牵连范围极广的DDoS攻击。专家建议,除了安装安全软件,还要保持良好的上网习惯,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件;定期在不同的存储介质上备份信息系统业务和个人数据。
二、Xshell后门
2017年8月4日Xshell开发公司NetSarang与卡巴斯基工程师发现Xshell软件中存在后门。恶意攻击者利用该后门可窃取用户服务器账号密码等信息,进一步可致整个服务器被攻击。在软件的开发阶段,程序员常常会在软件内创建后门程序,以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或者在发布软件之前没有删除后门程序,容易被不法分子当成漏洞进行攻击,用户们的服务器会面临严重的威胁。此次黑客似乎入侵了Xshell相关开发人员的电脑,在源码植入后门,导致官方版本也受到影响。并且由于dll文件已有官方签名,众多杀毒软件依据白名单机制没有报毒。
三、IoT_reaper僵尸网络
2017年9月,奇虎360公司研究人员首次发现IoT僵尸网络,命名为“IoT_reaper”。这款恶意软件不在依赖于破解弱口令,而是利用各种IoT设备中的漏洞进行攻击,并将其纳入僵尸网络。同时,CheckPoint的研究人员也警告了这个IoT僵尸网络,他们取名为“IoTroop”,它已经感染了数十万个公司组织。根据CheckPoint的观点,IoTroop恶意软件还利用了GoAhead,D-Link,TP-Link,AVTECH,Linksys,Synology等无线网络摄像机设备中的漏洞。
四、BrickerBot恶意软件
8月3日,印度多地发生网络攻击事件,影响了Bharat Sanchar Nigam Limited(BSNL)和Mahanagar Telephone Nigam Limited(MTNL)这两家印度国有电信服务提供商的机房内的调制调解器以及用户的路由器,事件导致印度东北部、北部和南部地区调制调解器丢失网络连接,预计6万台调制调解器掉线,影响了45%的宽带连接。
BrickerBot是一款影响Linux物联网和联网设备的恶意软件。与其它囤积设备组成僵尸网络实施DDoS攻击等恶意软件不同的是,BrickerBot重写Flash存储,使物联网设备变“砖”。大多数情况下,“砖化”效应可以逆转,但在某些情况下却会造成永久性的破坏。BSNL几万台调制调解器使用了不受保护的TR069(TR064)接口,允许任何人重新配置设备实施中间人攻击或DNS劫持。BSNL和MTNL遭遇这起网络攻击的原因,还在于这两大ISP允许他人通过7547端口连接到它们的网络。
五、Satori僵尸网络
2017月12月5日,奇虎360公司研究人员首先发现Satori僵尸网络,Satori是mirai的变种,同样针对物联网设备,尤其以某品牌家用路由器为主。
Satori的bot(僵尸程序)不再完全依赖以往的 loader/scanner 机制进行恶意代码的远程植入,而是自身有了扫描能力,类似蠕虫的传播行为;另外,bot中增加了两个新的漏洞利用,分别工作在端口37215和52869上,在过去的12个小时里,26.3万个不同的IP在扫描端口37215,以及1.9万个IP在扫描端口52869,成为史上传播速度最快的僵尸网络。
六、挖矿木马
挖矿木马是2017年非常流行的一种针对网络服务器进行攻击的木马程序,此类木马程序通过自动化的批量攻击感染存在漏洞的网络服务器,并控制服务器的系统资源,用于计算和挖掘特定的虚拟货币。由于挖矿木马对的CPU率一般为100%,因此,服务器感染挖矿木马后最明显的现象,就是服务器响应非常缓慢,出现各种运行异常。如果挖矿木马攻击的整个云服务平台,则平台上所有网站和服务系统都会受到严重影响。
报告目录
下载报告全文:http://zt.360.cn/1101061855.php?dtid=1101062368&did=490995546
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。