2019年3月，互聯(lián)網(wǎng)網(wǎng)絡安全狀況整體指標平穩(wěn)，但有幾個特征值得關(guān)注。一方面，是勒索病毒依然猖獗，深信服安全云腦監(jiān)測到Globelmposter、GandCrab、Crysis等病毒活躍熱度居高不下，變種層出不窮，近期出現(xiàn)Globelmposter 4.0、GandCrab 5.2等勒索變種。用戶一旦遭受勒索病毒攻擊，絕大多數(shù)文件將被加密，且大多暫時無法解密，造成無法估量的損失；另一方面，APT（高級持續(xù)性威脅）活躍程度在3月有所增加，針對性攻擊更加明顯，各廠商也在密切關(guān)注，攻防博弈戰(zhàn)激烈上演。此外，監(jiān)測數(shù)據(jù)顯示，網(wǎng)站攻擊數(shù)量在3月持續(xù)放緩，但網(wǎng)站漏洞問題依然嚴峻。

　　2019年3月，病毒攻擊的態(tài)勢與2月相比有所上升，病毒攔截量比2月份上升近16%，近半年攔截惡意程序數(shù)量趨勢如下圖所示：

　　近半年惡意程序攔截趨勢

　　2019年3月，深信服安全云腦檢測到的活躍惡意程序樣本有24439個，其中木馬遠控病毒7539個，占比30.85%，感染型病毒4134個，占比16.92%，蠕蟲病毒2631個，占比10.77%，挖礦病毒246個，占比1.01%，勒索病毒188個，占比0.77%。

　　3月總計攔截惡意程序16.31億次，其中挖礦病毒的攔截量占比60.24%，其次是感染型病毒（16.4%）、木馬遠控病毒（12.29%）、蠕蟲病毒（6.71%）、后門軟件（3.01%）、勒索病毒（1.21%）。

　　2019年3月惡意程序攔截類型分布

　　2019年3月，共攔截活躍勒索病毒1967萬次。其中，WannaCry、Razy、Gandcrab、Revenge、Locky、Teslacrypt、Mamba、Badrabbit、Cerber、Cryptowall、Matrix、Paradise、Torrentlocker依然是最活躍的勒索病毒家族，其中WannaCry家族本月攔截數(shù)量有1084萬次，危害依然較大。

　　從勒索病毒傾向的行業(yè)來看，企業(yè)和教育感染病毒數(shù)量占總體的51%，是黑客最主要的攻擊對象。具體活躍病毒行業(yè)分布如下圖所示：

　　2019年3月勒索病毒感染行業(yè)分布

　　從勒索病毒受災地域上看，廣東地區(qū)受感染情況最為嚴重，其次是浙江省和江蘇省。

　　2019年3月勒索病毒活躍地區(qū)TOP10

　　2019年3月，深信服安全云腦在全國共攔截挖礦病毒9.82億次，較2月環(huán)比增加7%，其中最為活躍的挖礦病毒是Xmrig、WannaMine、MinePool、BitcoinMiner、ZombieboyMiner、FalseSign，特別是Xmrig家族，共攔截4.58億次。同時監(jiān)測數(shù)據(jù)顯示，被挖礦病毒感染的地域主要有浙江、北京、廣東等地，其中浙江省感染量全國第一。

　　2019年3月挖礦病毒活躍地區(qū)Top10

　　被挖礦病毒感染的行業(yè)分布如下圖所示，其中政府受挖礦病毒感染情況最為嚴重，感染比例和2月相比下降2個百分點，其次是企業(yè)和教育行業(yè)。

　　2019年3月挖礦病毒感染行業(yè)分布

　　2019年3月，深信服安全云腦檢測并捕獲感染型病毒樣本4134個，共攔截2.67億次。其中Ramnit家族是成為本月攻擊態(tài)勢最為活躍的感染型病毒家族，共被攔截1.09億次，此家族占了所有感染型病毒攔截數(shù)量的40.77%；而排名第二第三的是Virut和Sality家族，本月攔截比例分別是為39.79%和11.83%。3月份感染型病毒活躍家族TOP榜如下圖所示：

　　2019年3月感染性病毒家族攔截TOP10

　　在感染型病毒危害地域分布上，廣東省（病毒攔截量）位列全國第一，占TOP10總量的25%，其次為浙江省和湖南省。

　　2019年3月感染型病毒活躍地區(qū)TOP10

　　從感染型病毒攻擊的行業(yè)分布來看，黑客更傾向于使用感染型病毒攻擊企業(yè)、教育、政府等行業(yè)。企業(yè)、教育、政府的攔截數(shù)量占攔截總量的75%，具體感染行業(yè)分布如下圖所示：

　　2019年3月感染型病毒感染行業(yè)TOP10

　　深信服安全云腦3月全國檢測到木馬遠控病毒樣本7539個，共攔截2.00億次，攔截量較2月上升31%。其中最活躍的木馬遠控家族是Injector，攔截數(shù)量達2537萬次，其次是Zusy、XorDDos。

　　2019年3月木馬遠控病毒攔截TOP

　　對木馬遠控病毒區(qū)域攔截量進行分析統(tǒng)計發(fā)現(xiàn)，惡意程序攔截量最多的地區(qū)為廣東省，占TOP10攔截量的 21%，與2月份基本持平；其次為浙江（17%）、北京（13%）、四川（11%）和湖北（7%）；此外山東、上海、廣西壯族自治區(qū)、江蘇、福建的木馬遠控攔截量也排在前列。

　　2019年3月木馬遠控病毒活躍地區(qū)TOP10

　　行業(yè)分布上，企業(yè)、教育及政府行業(yè)是木馬遠控病毒的主要攻擊對象。

　　2019年3月木馬遠控病毒感染行業(yè)分布

　　2019年3月深信服安全云腦在全國檢測到蠕蟲病毒樣本2631個，共攔截1.09億次。通過數(shù)據(jù)統(tǒng)計分析來看，大多數(shù)攻擊都是來自于Gamarue、Jenxcus、Dorkbot、Mydoom、Conficker、Vobfus、Palevo、Bondat、Buzus、Phorpiex家族。這些家族占據(jù)了3月全部蠕蟲病毒攻擊的98.8%，其中攻擊態(tài)勢最活躍的蠕蟲病毒是Gamarue，占蠕蟲病毒攻擊總量的67%。

　　2019年3月蠕蟲病毒活躍家族TOP10

　　從感染地域上看，廣東地區(qū)用戶受蠕蟲病毒感染程度最為嚴重，其攔截量占TOP10比例的28%；其次為江西省（16%）、湖南省（11%）。

　　2019年3月蠕蟲病毒活躍地區(qū)TOP10

　　從感染行業(yè)上看，企業(yè)、教育等行業(yè)受蠕蟲感染程度較為嚴重。

　　2019年3月蠕蟲病毒感染行業(yè)分布

　　深信服全網(wǎng)安全態(tài)勢感知平臺監(jiān)測到全國34808個IP在3月所受網(wǎng)絡攻擊總量約為4億次。本月攻擊態(tài)勢與前三個月相比明顯下降。下圖為近半年深信服網(wǎng)絡安全攻擊趨勢監(jiān)測情況：

　　近半年網(wǎng)絡安全攻擊趨勢情況

　　下面從攻擊類型分布和重點漏洞攻擊分析2個緯度展示3月現(xiàn)網(wǎng)的攻擊趨勢：

　　通過對深信服安全云腦數(shù)據(jù)分析可以看到，3月捕獲攻擊以系統(tǒng)漏洞利用、WebServer漏洞利用、Web掃描等分類為主。其中系統(tǒng)漏洞利用類型的占比更是高達28.70%，有近億的命中日志；WebServer漏洞利用類型均占比23.34%；Web掃描類型的漏洞占比17.72%。此外，信息泄露攻擊、Webshell上傳等攻擊類型在3月的攻擊數(shù)量有所增長。

　　2019年3月攻擊類型統(tǒng)計

　　通過對深信服安全云腦數(shù)據(jù)進行分析，針對漏洞的攻擊情況篩選出3月攻擊利用次數(shù)TOP20的漏洞。

　　其中命中次數(shù)前三漏洞利用分別是test.php、test.aspx、test.asp等文件訪問檢測漏洞、Apache Web Server ETag Header 信息泄露漏洞和Microsoft Windows Server 2008/2012 - LDAP RootDSE Netlogon 拒絕服務漏洞，攻擊次數(shù)分別為49,047,012、39,407,152和28,619,006。較上月均有小幅上升。

　　深信服安全團隊對重要軟件漏洞進行深入跟蹤分析，近年來Java中間件遠程代碼執(zhí)行漏洞頻發(fā)，同時受永恒之藍影響使得Windows SMB、Struts2和Weblogic漏洞成為黑客最受歡迎的漏洞攻擊方式。

　　2019年3月，Windows SMB日志量達千萬級，近幾月攻擊趨勢持持續(xù)上升，其中攔截到的（MS17-010）Microsoft Windows SMB Server 遠程代碼執(zhí)行漏洞攻擊利用日志最多；Struts2系列漏洞攻擊趨勢近幾月攻擊次數(shù)波動較大，Weblogic系列漏洞的攻擊趨勢結(jié)束了前幾月的持續(xù)降低，本月攔截到近兩百萬攻擊日志；PHPCMS系列漏洞近幾月攻擊次數(shù)大幅上升，近期應重點關(guān)注。

　　Windows SMB 系列漏洞攻擊趨勢跟蹤情況

　　Struts 2系列漏洞攻擊趨勢跟蹤情況

　　Weblogic系列漏洞攻擊趨勢跟蹤情況

　　PHPCMS系列漏洞攻擊趨勢跟蹤情況

　　1、網(wǎng)站漏洞類型統(tǒng)計

　　深信服云眼網(wǎng)站安全監(jiān)測平臺3月對國內(nèi)已授權(quán)的6966個站點進行漏洞監(jiān)控，3月發(fā)現(xiàn)的高危站點2721個，高危漏洞60628個，漏洞類別占比前三的分別是XSS注入，信息泄露和CSRF跨站請求偽造，共占比79.68%，具體比例如下：

　　2、篡改攻擊情況統(tǒng)計

　　3月共監(jiān)控在線業(yè)務6715個，共識別潛在篡改的網(wǎng)站有276個，篡改總發(fā)現(xiàn)率高達4.11%。其中首頁篡改226個，二級頁面篡改32個，多級頁面篡改18個。篡改位置具體分布圖如下圖所示：

　　可以看出，網(wǎng)站首頁篡改為篡改首要插入位置，成為黑客利益輸出首選。

　　1、流行攻擊事件盤點

　　近期，驅(qū)動人生供應鏈傳播的木馬病毒再次升級變異，大面積襲卷國內(nèi)政府、醫(yī)院以及各大企業(yè)。這次變種在原有攻擊模塊的基礎(chǔ)上，新增了MSSQL爆破攻擊的功能，更為致命的是，當病毒爆破成功后，還會將用戶密碼改為ksa8hd4,m@~#$%^&*（），嚴重影響了正常業(yè)務。

　　具體詳見：攻擊MSSQL數(shù)據(jù)庫！“驅(qū)動人生”木馬最新變種襲擊多行業(yè)

　　GandCrab勒索病毒是2018年勒索病毒家族中最活躍的家族，GandCrab5.2為該家族最新變種，近期在國內(nèi)較多的已投遞惡意郵件的方式進行攻擊，郵件內(nèi)容通常帶有恐嚇性質(zhì)。

　　具體詳見：5.2版本發(fā)布：被各大安全廠商“掏空”的GandCrab又有新的變種了？

　　2019年3月，國外黑客組織針對數(shù)百個備受歡迎的以色列網(wǎng)站發(fā)起了一系列攻擊活動，活動命名為耶路撒冷，其目的是通過JCry勒索病毒感染W(wǎng)indows用戶，為了達到這個目的，攻擊者修改了來自nagich.com的流行網(wǎng)絡輔助功能插件的DNS記錄，當訪問者訪問使用此插件的網(wǎng)站時，將加載惡意腳本而不是合法插件。

　　具體詳見：數(shù)百以色列熱門網(wǎng)站成為耶路撒冷攻擊活動目標，向Windows用戶傳播JCry勒索病毒

　　深信服安全團隊一直持續(xù)關(guān)注并跟蹤Globelmposter勒索病毒家族，多次發(fā)布此勒索病毒相應的預警報告，近期又發(fā)現(xiàn)一例最新Globelmposter 4.0變種樣本。

　　具體詳見：預警！Globelmposter 4.0最新變種來襲，多家企業(yè)中招

　　近期，多個企業(yè)反饋大量主機和服務器存在卡頓和藍屏現(xiàn)象，該企業(yè)用戶中的是最新型的WannaMine變種，此病毒變種是基于WannaMine3.0改造，又加入了一些新的免殺技術(shù)，傳播機制與WannaCry勒索病毒一致。

　　具體詳見：WannaMine升級到V4.0版本，警惕感染！

　　Paradise（天堂）勒索病毒最早出現(xiàn)在2018年七月份左右，感染多家企業(yè)。此次的變種借用了CrySiS家族的勒索信息，代碼結(jié)構(gòu)也跟早期版本有了很大的區(qū)別。

　　具體詳見：“天堂”竟然伸出惡魔之手？Paradise勒索病毒再度席卷

　　據(jù)外媒報道，全球最大鋁生產(chǎn)商之一挪威海德魯（Norsk Hydro）公司于本月19號遭到一款新型勒索軟件LockerGoga攻擊，企業(yè)IT系統(tǒng)遭到破環(huán)，被迫臨時關(guān)閉多個工廠并將挪威、卡塔爾和巴西等國家的工廠運營模式改為“可以使用的”手動運營模式，以繼續(xù)執(zhí)行某些運營。

　　具體詳見：全球最大鋁生產(chǎn)商挪威海德魯（Norsk Hydro）遭到LockerGoga勒索病毒攻擊

　　近期，深信服安全團隊收到客戶反饋，其內(nèi)網(wǎng)多臺主機中的文件感染了病毒，影響正常業(yè)務。經(jīng)分析，該病毒為“熊貓燒香”病毒變種，雖然該病毒已有十余年歷史，但由于其具有很強的感染及傳播性，依然很容易在缺少防護的企業(yè)內(nèi)網(wǎng)中傳播開來。

　　具體詳見：高齡病毒“熊貓燒香”還沒退休？

　　卡巴斯基實驗室（Kaspersky Lab）于3月25日曝光華碩（ASUS）的軟件更新服務器曾在去年遭到黑客入侵，并以更新的名義在用戶的電腦上植入一個惡意程序；此次攻擊事件雖然因為自動更新策略影響了大量用戶，但真正的攻擊活動似乎只針對惡意程序中硬編碼了MAC地址哈希值的600多臺特定設(shè)備。

　　具體詳見：華碩軟件更新服務器遭黑客劫持，自動更新向用戶下發(fā)惡意程序

　　（1）【漏洞預警】Apache Solr Deserialization 遠程代碼執(zhí)行漏洞（CVE-2019-0192）

　　Apache Solr官方團隊在最新的安全更新中披露了一則Apache Solr Deserialization 遠程代碼執(zhí)行漏洞（CVE-2019-0192）。漏洞官方定級為 High，屬于高危漏洞。該漏洞本質(zhì)是ConfigAPI允許通過HTTP POST請求配置Solr的JMX服務器。攻擊者可以通過ConfigAPI將其配置指向惡意RMI服務器，利用Solr的不安全反序列化來觸發(fā)Solr端上的遠程代碼執(zhí)行。

　　具體詳見：【漏洞預警】Apache Solr Deserialization 遠程代碼執(zhí)行漏洞（CVE-2019-0192）

　　（2）【漏洞預警】Zimbra 郵件系統(tǒng)遠程代碼執(zhí)行漏洞（CVE-2019-9621 CVE-2019-9670）

　　國外安全研究人員Tint0在博客中披露了一個針對Zimbra 郵件系統(tǒng)進行綜合利用來達到遠程代碼執(zhí)行效果的漏洞（CVE-2019-9621 CVE-2019-9670）。此漏洞的主要利用手法是通過XXE（XML 外部實體注入）漏洞讀取localconfig.xml配置文件來獲取Zimbra admin ldap password，接著通過SOAP AuthRequest 認證得到Admin Authtoken，最后使用全局管理令牌通過ClientUploader擴展上傳Webshell到Zimbra服務器，從而實現(xiàn)通過Webshell來達到遠程代碼執(zhí)行效果。

　　具體詳見：【漏洞預警】Zimbra 郵件系統(tǒng)遠程代碼執(zhí)行漏洞（CVE-2019-9621 CVE-2019-9670）

　�。�3）【漏洞預警】WordPress Social Warfare Plugin 遠程代碼執(zhí)行漏洞

　　2019年3月25日，國外安全研究人員在大量攻擊數(shù)據(jù)中發(fā)現(xiàn)了一個WordPress plugins Social Warfare遠程代碼執(zhí)行漏洞，此漏洞允許攻擊者接管整個WordPress站點并管理您的主機帳戶上的所有文件和數(shù)據(jù)庫，從而實現(xiàn)完全遠程接管整個服務器的目的。

　　具體詳見：【漏洞預警】WordPress Social Warfare Plugin 遠程代碼執(zhí)行漏洞

　　黑客入侵的主要目標是存在通用安全漏洞的機器，所以預防病毒入侵的主要手段是發(fā)現(xiàn)和修復漏洞，深信服建議用戶做好以下防護措施：

　　系統(tǒng)、應用相關(guān)的用戶杜絕使用弱口令，同時，應該使用高復雜強度的密碼，盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼，禁止密碼重用的情況出現(xiàn)，盡量避免一密多用的情況。

　�。�2）及時更新重要補丁和升級組件

　　建議關(guān)注操作系統(tǒng)和組件重大更新，如永恒之藍漏洞，使用正確渠道，如微軟官網(wǎng)，及時更新對應補丁漏洞或者升級組件。

　�。�3）部署加固軟件，關(guān)閉非必要端口

　　服務器上部署安全加固軟件，通過限制異常登錄行為、開啟防爆破功能、防范漏洞利用，同時限制服務器及其他業(yè)務服務網(wǎng)可進行訪問的網(wǎng)絡、主機范圍。有效加強訪問控制ACL策略，細化策略粒度，按區(qū)域按業(yè)務嚴格限制各個網(wǎng)絡區(qū)域以及服務器之間的訪問，采用白名單機制只允許開放特定的業(yè)務必要端口，提高系統(tǒng)安全基線，防范黑客入侵。

　�。�4）主動進行安全評估，加強人員安全意識

　　加強人員安全意識培養(yǎng)，不要隨意點擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件，對來源不明的文件包括郵件附件、上傳文件等要先殺毒處理。定期開展對系統(tǒng)、應用以及網(wǎng)絡層面的安全評估、滲透測試以及代碼審計工作，主動發(fā)現(xiàn)目前系統(tǒng)、應用存在的安全隱患。

　　（5）建立威脅情報分析和對抗體系，有效防護病毒入侵

　　網(wǎng)絡犯罪分子采取的戰(zhàn)術(shù)策略也在不斷演變，其攻擊方式和技術(shù)更加多樣化。對于有效預防和對抗海量威脅，需要選擇更強大和更智能的防護體系。深信服下一代安全防護體系（深信服安全云、深信服下一代防火墻AF、深信服安全感知平臺SIP、深信服終端檢測與響應平臺EDR）通過聯(lián)動云端、網(wǎng)端、終端進行協(xié)同響應，建立全面覆蓋風險預警、事中防御、事后檢測與響應的整體安全防護體系。云端持續(xù)風險與預警，網(wǎng)端持續(xù)檢測與防御，終端持續(xù)監(jiān)測與響應，有效并深度挖掘用戶潛在威脅，確保網(wǎng)絡安全。