信息化觀察網(wǎng)

《報告》對過去一年多的網(wǎng)絡(luò)安全事件進行了研究、分析，得出以下九大網(wǎng)絡(luò)安全發(fā)展態(tài)勢：

1. 應(yīng)用廣泛的軟硬件曝出多個重大漏洞，漏洞從曝光到被利用的時間越來越短；

2. 惡意軟件即服務(wù)（MaaS）趨勢明顯，地下產(chǎn)業(yè)鏈日趨成熟；

3. Office公式編輯器漏洞與惡意宏利用橫行，黑客青睞攻擊面廣且穩(wěn)定的攻擊方式；

4. 越來越多APT攻擊被曝光，攻擊隱匿性進一步增強；

5. 勒索攻擊趨于定向化，版本迭代進入“敏捷化”時代；

6. 挖礦攻擊增長明顯，逐漸成為黑客獲利的最佳途徑；

7. 針對IoT設(shè)備的攻擊呈爆發(fā)式增長，IoT蠕蟲較往年增長數(shù)倍；

8. 各類數(shù)據(jù)泄露事件頻發(fā)，數(shù)據(jù)安全越來越受重視；

9. 工控環(huán)境、云環(huán)境成黑客新寵，各類針對性安全事件頻發(fā)。

此外，《報告》還對漏洞攻擊、僵尸網(wǎng)絡(luò)及木馬、惡意文檔攻擊、APT攻擊、挖礦與勒索攻擊、IoT 設(shè)備攻擊等六大攻擊手段進行了詳細闡述：

一、漏洞攻擊態(tài)勢觀察

2018年，啟明星辰收錄的漏洞總數(shù)較2017年基本持平。其中,中央處理器芯片漏洞、Memcached UDP端口反射攻擊漏洞、WebLogic反序列化遠程代碼執(zhí)行漏洞、區(qū)塊鏈智能合約漏洞、ThinkPHP遠程代碼執(zhí)行漏洞、WinRAR遠程代碼執(zhí)行漏洞、微軟遠程桌面服務(wù)遠程代碼執(zhí)行漏洞等被評為年度最具影響力漏洞。不死的“永恒之藍”漏洞、多個Apache Struts2漏洞及多個路由器遠程代碼執(zhí)行漏洞等被評為年度最流行漏洞。

詳細報告全面盤點了過去一年多各種影響力大和流行度廣的漏洞。

二、僵尸網(wǎng)絡(luò)及木馬態(tài)勢觀察

2018年全年捕獲到的各類受僵尸網(wǎng)絡(luò)控制的主機中，中國數(shù)量最多，受害最嚴重。我國境內(nèi)僵尸主機分布最多的五個地區(qū)分別為山東、河南、江蘇、廣東和浙江?？刂莆覈┦鳈C最多的五個國家分別為美國、英國、法國、荷蘭和日本。

詳細報告著重分析了過去一年多僵尸網(wǎng)絡(luò)及木馬傳播態(tài)勢，并對各種流行木馬家族進行了重點解剖。

三、惡意文檔攻擊態(tài)勢觀察

針對惡意文檔的攻擊仍主要以O(shè)ffice應(yīng)用為主。在捕獲的惡意文檔中，有60.43%的樣本使用了惡意宏代碼，32.57%的樣本使用了0day或Nday漏洞，1.78%的樣本利用了DDE機制。

新披露的Office 0day漏洞有所減少，黑客攻擊時使用的0day漏洞多為利用Office觸發(fā)的VBS漏洞以及Flash漏洞。與2017年攻擊者更傾向于使用新漏洞不同的是，這些漏洞并沒有在公開后得到廣泛的利用，而是依然使用惡意宏和公式編輯器系列漏洞這類更穩(wěn)定的攻擊方式來完成攻擊。

詳細報告對過去一年多Office文檔中經(jīng)常使用的宏攻擊技術(shù)、公式編輯器漏洞及DDE等攻擊技術(shù)做了詳細分析。

四、APT組織攻擊態(tài)勢觀察

截至2019年上半年，已經(jīng)披露的各類APT組織共計220余個。過去一年多，平均每天就有一個APT攻擊報告被披露，較2017年有大幅度增長。APT攻擊的隱匿性逐漸增強，并主要表現(xiàn)在如下幾個方面：

（1）釣魚手段更加精細化，針對性和迷惑性更強；

（2）關(guān)鍵攻擊代碼很少落地，給APT攻擊的防護和取證帶來不少挑戰(zhàn)；

（3）利用各種手段盡可能隱藏網(wǎng)絡(luò)蹤跡；

（4）利用開源代碼或工具隱藏組織特點，降低攻擊成本。

詳細報告對APT組織的各種常用技術(shù)做了總結(jié)，全面回顧了2018年國內(nèi)外APT組織攻擊事件，并對相對活躍的尤其是針對我國進行攻擊的APT組織的若干攻擊事件進行了詳細闡述。

五、勒索挖礦攻擊態(tài)勢觀察

過去一年多，勒索病毒攻擊從廣撒網(wǎng)轉(zhuǎn)向針對高價值目標的定向投遞。同時，勒索病毒版本迭代逐漸進入“敏捷化”時代。未來勒索攻擊會更加具有針對性，特別是針對重要關(guān)鍵設(shè)施的勒索攻擊將會越來越多。

而與勒索攻擊不同的是，挖礦攻擊較上一年度增長超過4倍，挖礦攻擊已經(jīng)覆蓋幾乎所有平臺，成為黑客最主要的謀利手段之一。隨著挖礦團伙的產(chǎn)業(yè)化運作，越來越多的0day/1day漏洞在公布的第一時間就被用于挖礦攻擊。同時，挖礦木馬已經(jīng)不滿足于“單打獨斗”，開始和僵尸網(wǎng)絡(luò)、勒索病毒、蠕蟲病毒相結(jié)合，進一步增強了挖礦木馬的傳播和植入成功率。

詳細報告對勒索和挖礦的傳播方式、攻擊態(tài)勢變化做了全面總結(jié)，并對主要流行勒索和挖礦家族進行了闡述。

六、IoT設(shè)備安全態(tài)勢觀察

針對IoT設(shè)備的攻擊增長迅猛。眾多物聯(lián)網(wǎng)設(shè)備被攻擊成為巨大僵尸網(wǎng)絡(luò)中的節(jié)點，并被用來發(fā)動DDoS攻擊、當作跳板攻擊其他機器、挖礦、劫持網(wǎng)絡(luò)流量等。

2018年捕獲到的各類受僵尸網(wǎng)絡(luò)控制的IoT設(shè)備中，中國數(shù)量最多，受害最嚴重。

我國境內(nèi)IoT僵尸主機分布最多的五個地區(qū)分別為山東、河南、江蘇、浙江和云南。

詳細報告對過去一年多針對IoT設(shè)備特別是路由器和攝像頭的攻擊態(tài)勢做了總結(jié)，并對主要攻擊IoT設(shè)備的病毒家族進行了闡述。

面對日益復(fù)雜的網(wǎng)絡(luò)安全威脅，啟明星辰愿與各界同仁共同努力，加強網(wǎng)絡(luò)安全核心技術(shù)建設(shè)，提高網(wǎng)絡(luò)安全保障能力，推動網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展，為構(gòu)筑我國網(wǎng)絡(luò)安全堅固屏障貢獻力量。