360終端安全實驗室
報告說明
終端是政企內部網絡不可或缺的組成部分,其安全狀況與組織內每個成員息息相關。在很多情況下,終端也是內部網絡和外部網絡的連接點,是外部惡意程序進入內部網絡常見的入口節點。終端一旦失守,整個辦公或生產網絡就有可能淪陷,給政企單位帶來巨額損失。
《政企終端安全態勢分析報告》是“360終端安全實驗室”定期發布的針對政企網絡終端的安全態勢分析報告。報告數據來自360 企業安全公有云安全監測數據。報告以勒索病毒、漏洞利用病毒、蠕蟲病毒為主要研究對象,以每日感染病毒的終端為基本單位,通過對政企終端感染病毒情況的分析,幫助客戶更清晰地看見風險態勢,為安全決策提供更有力的參考依據。
監測數據表示360企業級終端安全產品對特定威脅的云查殺主動請求數量,對于本地已經可以查殺的病毒,不在統計之列。這些數據可以在一定程度上反映出相關機構遭到特定類型活躍惡意程序攻擊的數量和強度。
本期報告的監測時間為 2019 年 3 月 1 日 ~ 3 月 31 日。
第一章 病毒攻擊政企整體分析
360終端安全實驗室監測數據顯示,2019年3月,政企單位被各類病毒攻擊的事件數量比2月增加61.3%,被病毒攻擊的政企終端的累計數量比2月增加44.3%,被病毒攻擊的政企單位的絕對數量比2月增加44.7%。
一、 攻擊整體態勢
2019年3月,病毒攻擊的最高峰出現在3月13日(星期三),最低谷則出現在3月9日(星期六)。
2019年3月,被病毒攻擊的事件數量比2月增加61.3%。其中,病毒單日單次攻擊政企單位的終端數僅為1臺的事件比2月增加57.5%,占3月攻擊事件總數的56.2%;單日單次攻擊終端數為2~10臺的事件比2月增加65.4%,占3月攻擊事件總數的36.7%;單日單次攻擊終端數為11~50臺的事件比2月增加91.5%,占3月攻擊事件總數的5.9%;單日單次攻擊50臺以上終端的事件比2月增加17.5%,占3月攻擊事件總數的1.3%。
二、 被攻擊終端分析
2019年3月,被病毒攻擊的政企終端的累計數量比2月增加44.3%。其中,遭遇蠕蟲病毒攻擊的政企終端的累計數量比2月增加34.9%,占3月被攻擊政企終端的82.8%;遭遇漏洞利用病毒攻擊的政企終端的累計數量比2月增加122.4%,占3月被攻擊政企終端的16.1%;遭遇勒索病毒攻擊的累計數量比2月增加61.9%,占3月被攻擊政企終端的1.1%。
在被病毒攻擊的政企終端中,廣東地區最多,占比高達15.2%,被攻擊終端的累計數量比2月增加134.5%;其次是北京,占比為9.9%,被攻擊終端的累計數量比2月減少17.6%;江蘇排在第三位,占比為8.2%,被攻擊終端的累計數量比2月增加236.5%。
在被病毒攻擊的政企終端中,衛生行業最多,占比高達17.5%,被攻擊終端的累積數量比2月增加67.6%;其次是能源行業,占比為17.0%,被攻擊終端的累積數量比2月增加73.7%;政府行業排在第三位,占比為14.5%,被攻擊終端的累積數量比2月增加29.2%。
三、 被攻擊單位分析
2019年3月,被病毒攻擊的政企單位的絕對數量比2月增加44.7%。在受到病毒攻擊的政企單位中,87.8%的單位遭到蠕蟲病毒的攻擊,絕對數量比2月增加44.5%;31.3%的單位遭到漏洞利用病毒的攻擊,絕對數量比2月增加73.8%;5.4%的單位遭到勒索病毒的攻擊,絕對數量比2月增加32.4%。
在被病毒攻擊的政企單位中,北京地區最多,占比高達11.5%,被攻擊單位的絕對數量比2月增加78.7%;其次是廣東,占比為11.1%,被攻擊單位的絕對數量比2月增加41.3%;浙江排在第三位,占比為8.9%,被攻擊單位的絕對數量比2月增加79.3%。
在被病毒攻擊的政企單位中,衛生行業最多,占比高達21.6%,被攻擊單位的絕對數量比2月增加51.5%;其次是政府行業,占比為21.5%,被攻擊單位的絕對數量比2月增加32.4%;能源和金融行業并列第三,占比均為5.3%,被攻擊單位的絕對數量比2月分別增加50.0%和33.3%。
第二章 勒索病毒攻擊政企分析
360終端安全實驗室監測數據顯示,2019年3月,政企單位被勒索病毒攻擊的事件數量比2月增加19.8%,被勒索病毒攻擊的政企終端的累計數量比2月增加61.9%,被勒索病毒攻擊的政企單位的絕對數量比2月增加32.4%。
一、 攻擊整體態勢
2019年3月,勒索病毒攻擊的最高峰出現在3月13日(星期三),最低谷則出現在3月23日(星期六)。
2019年3月,被勒索病毒攻擊的事件數量比2月增加19.8%。其中,單日單次攻擊政企單位的終端數僅為1臺的事件比2月增加15.4%,占3月勒索病毒攻擊事件總數的72.4%;單日單次攻擊終端數為2~10臺的事件比2月增加26.7%,占3月勒索病毒攻擊事件總數的26.2%;單日單次攻擊終端數為11~50臺的事件占3月勒索病毒攻擊事件總數的1.4%;沒有監測到單日單次攻擊終端數超過10臺以上的事件。
二、 被攻擊終端分析
2019年3月,被勒索病毒攻擊的政企終端的累計數量比2月增加61.9%。
在被勒索病毒攻擊的政企終端中,山東地區最多,占比高達44.4%,被攻擊終端的累計數量比2月增加144.7%;其次是北京和廣東,占比均為13.1%,被攻擊終端的累計數量比2月分別增加78.9%和70.0%。
在被勒索病毒攻擊的政企終端中,能源行業最多,占比高達19.7%,而2月該行業只有極少量終端受到勒索病毒攻擊;其次是運營商行業,占比為18.9%,被攻擊終端的累計數量比2月增加88.5%;公檢法行業排在第三位,占比為15.8%,被攻擊終端的累計數量比2月增加28.1%。
三、 被攻擊單位分析
2019年3月,被勒索病毒攻擊的政企單位的絕對數量比2月增加32.4%。
在被勒索病毒攻擊的政企單位中,北京地區最多,占比高達16.9%,被攻擊單位的絕對數量比2月增加100%;其次是新疆,占比為11.9%,被攻擊單位的絕對數量比2月增加16.7%;福建、廣東、山東并列第三,占比均為10.2%。
在被勒索病毒攻擊的政企單位中,政府行業最多,占比高達26.5%,被攻擊單位的絕對數量比2月增加30.0%;其次是能源行業,占比為14.3%,被攻擊單位的絕對數量比2月增加250.0%;交通行業排在第三位,占比為12.2%,被攻擊單位的絕對數量比2月增加50.0%。
第三章 漏洞利用病毒攻擊政企分析
360終端安全實驗室監測數據顯示,2019年3月,政企單位被漏洞利用病毒攻擊的事件數量比2月增加92.9%,被漏洞利用病毒攻擊的政企終端的累計數量比2月增加124.4%,被漏洞利用病毒攻擊的政企單位的絕對數量比2月增加73.8%。
一、 攻擊整體態勢
2019年3月,漏洞利用病毒攻擊的最高峰出現在3月25日(星期一),最低谷則出現在3月10日(星期日)。
2019年3月,被漏洞利用病毒攻擊的事件數量比2月增加92.9%。其中,單日單次攻擊政企單位的終端數僅為1臺的事件比2月增加91.4%,占3月漏洞利用病毒攻擊事件總數的63.0%;單日單次攻擊終端數為2~10臺的事件比2月增加98.1%,占3月漏洞利用病毒攻擊事件總數的31.9%;單日單次攻擊終端數為11~50臺的事件比2月增加78.3%,占3月漏洞利用病毒攻擊事件總數的4.3%;單日單次攻擊50臺以上終端的事件比2月增加100.0%,占3月漏洞利用病毒攻擊事件總數的0.8%。
二、 被攻擊終端分析
2019年3月,被漏洞利用病毒攻擊的政企終端的累計數量比2月增加73.8%。
在被漏洞利用病毒攻擊的政企終端中,甘肅地區最多,占比高達17.7%,被攻擊終端的累計數量比2月增加139倍;其次是北京,占比為14.3%,被攻擊終端的累計數量比2月增加40.9%;福建排在第三位,占比為13.4%,被攻擊終端的累計數量比2月增加58.8%。
在被漏洞利用病毒攻擊的政企終端中,能源行業最多,占比高達27.4%,被攻擊終端的累計數量比2月增加212.4%;其次是公檢法行業,占比為10.5%,被攻擊終端的累計數量比2月增加20.8倍;政府行業排在第三位,占比為8.3%,被攻擊終端的累計數量比2月減少15.9%。
三、 被攻擊單位分析
2019年3月,被漏洞利用病毒攻擊的政企單位的絕對數量比2月增加73.8%。
在被漏洞利用病毒攻擊的政企單位中,北京地區最多,占比高達14.2%,被攻擊單位的絕對數量比2月增加121.7%;其次是廣東,占比為12.5%,被攻擊單位的絕對數量比2月增加55.2%;浙江排在第三位,占比為8.6%,被攻擊單位的絕對數量比2月增加158.3%。
在被漏洞利用病毒攻擊的政企單位中,政府行業最多,占比高達18.9%,被攻擊單位的絕對數量比2月增加42.1%;其次是衛生行業,占比為9.8%,被攻擊單位的絕對數量比2月增加86.7%;能源行業排在第三位,占比為6.7%,被攻擊單位的絕對數量比2月增加137.5%。
第四章 蠕蟲病毒攻擊政企分析
360終端安全實驗室監測數據顯示,2019年3月,政企單位被蠕蟲病毒攻擊的事件數量比2月增加57.3%,被蠕蟲病毒攻擊的政企終端的累計數量比2月增加34.9%,被蠕蟲病毒攻擊的政企單位的絕對數量比2月增加44.5%。
一、 攻擊整體態勢
2019年3月,蠕蟲病毒攻擊的最高峰出現在3月28日(星期四),最低谷則出現在3月2日(星期六)。
2019年3月,被蠕蟲病毒攻擊的事件數量比2月增加57.3%。其中,單日單次攻擊政企單位的終端數僅為1臺的事件比2月增加52.9%,占3月攻擊事件總數的54.1%;單日單次攻擊終端數為2~10臺的事件比2月增加61.5%,占3月攻擊事件總數的38.1%;單日單次攻擊終端數為11~50臺的事件比2月增加92.3%,占3月攻擊事件總數的6.4%;單日單次攻擊50臺以上終端的事件比2月增加11.3%,占3月攻擊事件總數的1.4%。
二、 被攻擊終端分析
2019年3月,被蠕蟲病毒攻擊的政企終端數量比2月增加34.9%。
在被蠕蟲病毒攻擊的政企終端中,廣東地區最多,占比高達16.6%,被攻擊終端的累計數量比2月增加131.7%;其次是貴州,占比為9.9%,被攻擊終端的累計數量比2月增加82.4%;北京排在第三位,占比為9.0%,被攻擊終端的累計數量比2月減少27.6%。
在被蠕蟲病毒攻擊的政企終端中,衛生行業最多,占比高達20.3%,被攻擊終端的累計數量比2月增加65.1%;其次是政府行業,占比為15.7%,被攻擊終端的累計數量比2月增加36.1%;能源行業排在第三位,占比為15.0%,被攻擊終端的累計數量比2月增加49.9%。
三、 被攻擊單位分析
2019年3月,被蠕蟲病毒攻擊的政企單位的絕對數量比2月增加44.7%。
在被蠕蟲病毒攻擊的政企單位中,廣東地區最多,占比高達11.5%,被攻擊單位的絕對數量比2月增加43.0%;其次是北京,占比為11.2%,被攻擊單位的絕對數量比2月增加74.6%;浙江排在第三位,占比為8.8%,被攻擊單位的絕對數量比2月增加64.2%。
在被蠕蟲病毒攻擊的政企單位中,衛生行業最多,占比高達23.3%,被攻擊單位的絕對數量比2月增加48.8%;其次是政府行業,占比為22.0%,被攻擊單位的絕對數量比2月增加37.5%;金融行業排在第三位,占比為5.3%,被攻擊單位的絕對數量比2月增加50.0%。
第五章 3月熱點病毒事件關注
GandCrab V5.2利用恐嚇主題釣魚郵件傳播
近期,360威脅情報中心捕獲到一起針對中文使用者的釣魚郵件。該郵件帶有一個壓縮包,壓縮包內是最新的GandCrab 5.2勒索軟件。
由于Gandcrab5.2版本會通過垃圾電子郵件分發,因此建議用戶不要打開任何未知來源的電子郵件,尤其是不要打開附件。即使附件來自常用聯系人,也建議您在打開之前使用360天擎對其進行掃描,以確保不包含任何惡意文檔或文件。
多家醫院服務器受到GlobeImposter勒索病毒攻擊
3月10日,360安全服務應急響應團隊接到某省多家醫院服務器遭受攻擊的應急救援,該省同一衛生專網遭到GlobeImposter V3勒索病毒攻擊,多臺業務服務器遭黑客加密勒索,影響該省近60家市縣醫院。
從截獲的樣本和勒索攻擊溯源分析來看,GlobeImposter V3的攻擊手段和加密方式和以往版本相比并沒有新的變化:攻擊手段依然是定向爆破和投遞勒索,通過RDP遠程桌面弱密碼攻擊服務器。
首個利用WinRAR漏洞傳播的未知勒索軟件出現
3月17日,360威脅情報中心截獲了首個利用WinRAR漏洞(CVE-2018-20250)傳播未知惡意勒索軟件的ACE文件。該惡意壓縮文件名為vk_4221345.rar,當受害者在本地計算機上通過WinRAR解壓該文件后便會觸發漏洞,漏洞利用成功后會將內置的勒索軟件寫入到用戶計算機啟動項目錄中,當用戶重啟或登錄系統都會執行該勒索軟件從而導致重要資料被加密。
由于該勒索軟件執行后并沒有保存生成的RSA公私鑰,也沒有通過其他渠道將公私鑰信息發送給攻擊者,所以即便受害者向勒索軟件作者支付相應的贖金也不可能解密文件。360威脅情報中心提醒用戶,如遇到類似的勒索軟件攻擊,切忌支付贖金,并再次提醒廣大用戶務必對此高危漏洞做好十足的防護措施。
海德魯公司多個工廠遭遇LockerGoga勒索病毒攻擊
3月18日,世界最大的綜合性鋁業集團之一的挪威海德魯公司(Norsk Hydro)在美國和歐洲的多個工廠遭受勒索軟件攻擊,導致IT系統無法使用,造成多個工廠關閉和部分工廠切換為手動運營模式。該公司臨時關閉多個工廠,并將挪威、卡塔爾和巴西等國家的工廠運營模式部分改為“可以使用的”手動模式,以緩解對生產的影響。該勒索病毒似乎還攻擊了美國的化工企業Hexion和Momentive,以至于部分員工無法正常登陸系統。
360威脅情報中心對該勒索病毒(LockerGoga)進行了進一步的詳細分析,發現該勒索病毒極可能為定向攻擊的破壞性勒索病毒,會加密各種類型的文件,包括PE文件、系統目錄以及啟動目錄下的文件,因此具有很強的破壞性。
第六章 政企終端安全建議
360終端安全實驗室提醒廣大政企單位注意以下事項:
一、及時更新最新的補丁庫
根據360企業安全集團終端安全多年的運營經驗,病毒大規模爆發的原因大都是補丁安裝不及時所致,因此及時更新補丁是安全運維工作的重中之重,但是很多政企單位由于業務的特殊性,對打補丁要求非常嚴格。360終端安全產品已經集成了先進的補丁管理功能,基于業界最佳的補丁管理實踐,能夠進行補丁編排,對補丁按照場景進行灰度發布,并且對微軟更新的補丁進行了二次運營,解決了很多的兼容性問題,能夠最大程度上解決補丁難打問題,幫助政企單位提升網絡的安全基線。
二、杜絕弱口令問題
弱口令是目前主機安全入侵的第一大安全隱患,大部分大規模泛濫的病毒都內置了弱口令字典,能夠輕松侵入使用弱口令的設備,應該堅決杜絕弱口令。360終端安全實驗室建議登錄口令盡量采用大小寫、字母、數字、特殊符號混合的組合結構,且口令位數應足夠長,并在登陸安全策略里限制登錄失敗次數、定期更換登錄口令等。多臺機器不使用相同或相似的口令,不使用默認的管理員名稱如admin,不使用默認密碼如admin、不使用簡單密碼如:admin123、12345678、666666等。
三、重要資料定期隔離備份
政企單位應盡量建立單獨的文件服務器進行重要文件的存儲備份,即使條件不允許也應對重要的文件進行定期隔離備份。
四、提高網絡安全基線
掌握日常的安全配置技巧,如對共享文件夾設置訪問權限,盡量采用云協作或內部搭建的wiki系統實現資料共享;盡量關閉3389、445、139、135等不用的高危端口,禁用Office宏等。如果沒有這類安全經驗,也可以使用360終端威脅評估產品(ETA)來對終端安全進行整體風險評估,360終端威脅評估產品(ETA)同時采用中國安全基本標準(CGDCC)和美國安全基線標準(USGCB),擁有數百種安全基線的檢測能力和終端的深度安全檢測能力,可以很好地幫助政企單位評估內部終端的安全。
五、保持軟件使用的可信
平時要養成良好的安全習慣,不要點擊陌生鏈接、來源不明的郵件附件,打開前使用安全掃描并確認安全性,盡量從官網等可信渠道下載軟件,目前通過軟件捆綁來傳播的病毒也在逐漸增多,尤其是移動應用環境,被惡意程序二次打包的APP在普通的軟件市場里非常常見。360終端安全產品家族中的軟件管家,基于多年的安全軟件運營經驗,能夠為政企單位量身定做一個可信的安全軟件使用環境,避免員工任意安裝軟件而帶來的病毒入侵風險。
六、選擇正確的反病毒軟件
隨著威脅的發展,威脅開始了海量化和智能化趨勢。對于海量化的威脅,就需要利用云計算的能力來對抗威脅海量化的趨勢,因此在選擇反病毒軟件時,需要選擇具備云查殺能力的反病毒軟件。360終端安全的天擎基于云查殺技術和多年來威脅樣本運營經驗,已經具備150億威脅樣本的查殺能力,而且還首創了白名單技術,并擁有10億量級的白名單庫,而且內置云查殺、QVM、AVE、QEX、主動防御等多種引擎,能夠深度解決政企網絡的病毒威脅。
七、建立高級威脅深度分析與對抗能力
對于威脅的智能化趨勢,很多智能威脅通過多種手段來躲避傳統反病毒軟件的查殺,這時就需要政企單位具備高級威脅深度分析和對抗能力。360終端安全響應系統基于業內公認的EDR思想,能夠以終端的維度、事件的維度和時間的維度來分析網絡中出現的高級威脅事件,能夠為客戶提供三維的立體威脅分析能力。后端利用大數據技術,能夠監控終端上的所有灰文件的行為,內置AI模型,能夠有效地識別傳統反病毒軟件識別不了的高級威脅入侵事件,幫助客戶發現APT、流量、挖礦、勒索等新型威脅。
關于360終端安全實驗室
360終端安全實驗室由多名經驗豐富的惡意代碼研究專家組成,著力于常見病毒、木馬、蠕蟲、勒索軟件等惡意代碼的原理分析和研究,致力為中國政企客戶提供快速的惡意代碼預警和處置服務,在曾經流行的WannaCry、Petya、Bad Rabbit的惡意代碼處置過程中表現優異,受到政企客戶的廣泛好評。
360終端安全實驗室以360天擎新一代終端安全管理系統為依托,為政企客戶提供簡單有效的終端安全管理理念、完整的終端解決方案和定制化的安全服務,幫助客戶解決內網安全與管理問題,保障政企終端安全。
關于360天擎新一代終端安全管理系統
360天擎新一代終端安全管理系統是360企業安全集團為解決政企機構終端安全問題而推出的一體化解決方案,是中國政企客戶4000萬終端的信賴之選。系統以功能一體化、平臺一體化、數據一體化為設計理念,以安全防護為核心,以運維管控為重點,以可視化管理為支撐,以可靠服務為保障,提供了十六大基礎安全能力,幫助政企客戶構建終端威脅檢測、終端威脅響應、終端威脅鑒定等高級威脅對抗能力,提升安全規劃、戰略分析和安全決策等終端安全治理能力。
特別的是,360企業安全還面向所有360天擎政企用戶免費推出敲詐先賠服務:如果用戶在開啟了360天擎敲詐先賠功能后,仍感染了勒索軟件,360企業安全將負責賠付贖金,為政企用戶提供百萬先賠保障,幫政企客戶免除后顧之憂。
關于360天擎終端安全響應系統
360天擎終端安全響應系統(EDR)以行為引擎為核心,基于人工智能和大數據分析技術,對主機、網絡、文件和用戶等信息,進行深層次挖掘和多維度分析,結合云端優質威脅情報,將威脅進行可視化,并通過場景化和全局性的威脅追捕,對事件進行深度剖析,識別黑客/威脅意圖,追蹤威脅的擴散軌跡,評估威脅影響面,從而協同EPP、SOC、防火墻等安全產品,進行快速自動化的聯動響應,將單次響應轉化為安全策略,控制威脅蔓延,進行持續遏制,全面提升企業安全防護能力。
