网络安全状况概述

2019年3月
，
，
，互联网网络安全状况整体指标平稳，，
，，但有几个特征值得关注。。。一方面
，，是勒索病毒依然猖獗
，，博耀安全云脑监测到Globelmposter、
、
、GandCrab、、Crysis等病毒活跃热度居高不下，，变种层出不穷，，近期出现Globelmposter 4.0、
、GandCrab 5.2等勒索变种。
。。用户一旦遭受勒索病毒攻击，，，，绝大多数文件将被加密，，且大多暂时无法解密，，，造成无法估量的损失；另一方面
，，
，，APT（高级持续性威胁）活跃程度在3月有所增加，
，，，针对性攻击更加明显，，各厂商也在密切关注，，攻防博弈战激烈上演
。。此外，，，，监测数据显示，，，，网站攻击数量在3月持续放缓
，，，但网站漏洞问题依然严峻。。。。

 

3月，
，，，博耀安全云脑累计发现：

• 恶意攻击16.31亿次，，，平均每天拦截恶意程序5261万次
  。。。。
• 活跃恶意程序24439个，，，其中感染型病毒4134个，，
  ，占比16.92%；木马远控病毒7539个，
  ，占比30.85%。。。。挖矿病毒种类246个
  ，，，，拦截次数9.82亿次，，，，较上月有所上升
  ，，
  ，
  ，其中Xmrig病毒家族最为活跃。。。

博耀漏洞监测平台对国内已授权的6996个站点进行漏洞监控，
，发现：

• 高危站点2721个，
  ，
  ，，高危漏洞60628个，，主要漏洞类别是XSS注入、
  、
  、信息泄漏、、CSRF跨站请求伪造。。
• 监控在线业务6715个，，，共有276个在线业务发生过真实篡改，
  ，，篡改占比高达4.11%
  。。

 

恶意程序活跃详情

2019年3月，，，，病毒攻击的态势与2月相比有所上升，
，病毒拦截量比2月份上升近16%，，，，近半年拦截恶意程序数量趋势如下图所示：

2019年3月，，，博耀安全云脑检测到的活跃恶意程序样本有24439个，，，其中木马远控病毒7539个
，
，占比30.85%，，，感染型病毒4134个，，，占比16.92%，，
，，蠕虫病毒2631个
，，，，占比10.77%，，，挖矿病毒246个，
，，占比1.01%
，，，勒索病毒188个
，
，，占比0.77%。。

3月总计拦截恶意程序16.31亿次，，，，其中挖矿病毒的拦截量占比60.24%，，，，其次是感染型病毒（16.4%）、、木马远控病毒（12.29%）、、、、蠕虫病毒（6.71%）
、、、后门软件（3.01%)
、
、、、勒索病毒（1.21%)
。。

2019年3月，，，，共拦截活跃勒索病毒1967万次。。。。其中，，WannaCry、、Razy、、、、Gandcrab、、Revenge、、、Locky
、、、Teslacrypt
、
、Mamba、、、Badrabbit
、、、、Cerber
、、Cryptowall、、、
、Matrix、
、Paradise、
、Torrentlocker依然是最活跃的勒索病毒家族，，其中WannaCry家族本月拦截数量有1084万次，，
，，危害依然较大。
。。。

从勒索病毒倾向的行业来看，
，企业和教育感染病毒数量占总体的51%，，，是黑客最主要的攻击对象。。。具体活跃病毒行业分布如下图所示：

从勒索病毒受灾地域上看，，，广东地区受感染情况最为严重，
，，，其次是浙江省和江苏省。。。。

挖矿病毒活跃状况

2019年3月，，，博耀安全云脑在全国共拦截挖矿病毒9.82亿次，，，较2月环比增加7%，，，，其中最为活跃的挖矿病毒是Xmrig、、WannaMine、、MinePool、
、、BitcoinMiner、、ZombieboyMiner
、、
、、FalseSign
，，特别是Xmrig家族，，共拦截4.58亿次。。
。。同时监测数据显示
，，，，被挖矿病毒感染的地域主要有浙江、、、北京、、、广东等地，，其中浙江省感染量全国第一。。。。

被挖矿病毒感染的行业分布如下图所示，，，，其中政府受挖矿病毒感染情况最为严重，
，感染比例和2月相比下降2个百分点，，
，，其次是企业和教育行业。
。。。

感染型病毒活跃状况

2019年3月，，博耀安全云脑检测并捕获感染型病毒样本4134个，，，，共拦截2.67亿次
。。其中Ramnit家族是成为本月攻击态势最为活跃的感染型病毒家族,共被拦截1.09亿次，，此家族占了所有感染型病毒拦截数量的40.77%；而排名第二第三的是Virut和Sality家族，，，
，本月拦截比例分别是为39.79%和11.83%。。3月份感染型病毒活跃家族TOP榜如下图所示：

在感染型病毒危害地域分布上，，，广东省（病毒拦截量）位列全国第一，，，占TOP10总量的25%，，
，，其次为浙江省和湖南省
。。

从感染型病毒攻击的行业分布来看，，黑客更倾向于使用感染型病毒攻击企业、、
、教育、、、、政府等行业。。。。企业、、、、教育、、政府的拦截数量占拦截总量的75%，，，具体感染行业分布如下图所示：

木马远控病毒活跃状况

博耀安全云脑3月全国检测到木马远控病毒样本7539个，，，，共拦截2.00亿次，
，
，，拦截量较2月上升31%。。。其中最活跃的木马远控家族是Injector，，拦截数量达2537万次，，，，其次是Zusy、、、XorDDos。。。。

对木马远控病毒区域拦截量进行分析统计发现，，，恶意程序拦截量最多的地区为广东省，
，
，，占TOP10拦截量的 21%
，，，与2月份基本持平；其次为浙江（17%）、、北京（13%）、、、
、四川（11%）和湖北（7%）；此外山东
、、上海、、广西壮族自治区、、江苏、、福建的木马远控拦截量也排在前列。。

行业分布上，
，企业、、教育及政府行业是木马远控病毒的主要攻击对象。。。

蠕虫病毒活跃状况

2019年3月博耀安全云脑在全国检测到蠕虫病毒样本2631个
，，，
，共拦截1.09亿次。。。通过数据统计分析来看，，，大多数攻击都是来自于Gamarue
、、Jenxcus、、、
、Dorkbot、、、、Mydoom、、、、Conficker、
、、Vobfus、、
、Palevo、、Bondat
、、
、、Buzus、、、Phorpiex家族
。。这些家族占据了3月全部蠕虫病毒攻击的98.8%，，，其中攻击态势最活跃的蠕虫病毒是Gamarue
，，，，占蠕虫病毒攻击总量的67%。。。。

从感染地域上看，，，
，广东地区用户受蠕虫病毒感染程度最为严重，，，其拦截量占TOP10比例的28%
；其次为江西省（16%）、、湖南省（11%）
。。。 

从感染行业上看，，企业、、
、教育等行业受蠕虫感染程度较为严重
。。。

网络安全攻击趋势分析

博耀全网安全态势感知平台监测到全国34808个IP在3月所受网络攻击总量约为4亿次。。
。本月攻击态势与前三个月相比明显下降。。
。下图为近半年博耀网络安全攻击趋势监测情况：

安全攻击趋势

下面从攻击类型分布和重点漏洞攻击分析2个纬度展示3月现网的攻击趋势：

 

攻击类型分布

通过对博耀安全云脑数据分析可以看到，，
，3月捕获攻击以系统漏洞利用、、、WebServer漏洞利用、
、、、Web扫描等分类为主。。。其中系统漏洞利用类型的占比更是高达28.70%，，，
，有近亿的命中日志；WebServer漏洞利用类型均占比23.34%；Web扫描类型的漏洞占比17.72%。。此外，，，信息泄露攻击、、Webshell上传等攻击类型在3月的攻击数量有所增长。。。

 

主要攻击种类和比例如下：

重点漏洞攻击分析

通过对博耀安全云脑数据进行分析,针对漏洞的攻击情况筛选出3月攻击利用次数TOP20的漏洞。
。。

其中命中次数前三漏洞利用分别是test.php、、test.aspx、、
、test.asp等文件访问检测漏洞
、、Apache Web Server ETag Header 信息泄露漏洞和Microsoft Windows Server 2008/2012 - LDAP RootDSE Netlogon 拒绝服务漏洞，，
，
，攻击次数分别为49,047,012、
、、、39,407,152和28,619,006。
。。较上月均有小幅上升。
。。

 

高危漏洞攻击趋势

博耀安全团队对重要软件漏洞进行深入跟踪分析，，，近年来Java中间件远程代码执行漏洞频发，，，同时受永恒之蓝影响使得Windows SMB、、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。。

2019年3月
，
，Windows SMB日志量达千万级
，
，，，近几月攻击趋势持持续上升，，
，
，其中拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多
；Struts2系列漏洞攻击趋势近几月攻击次数波动较大
，，
，Weblogic系列漏洞的攻击趋势结束了前几月的持续降低
，
，，本月拦截到近两百万攻击日志
；PHPCMS系列漏洞近几月攻击次数大幅上升，
，，，近期应重点关注。。

 

Windows SMB 系列漏洞攻击趋势跟踪情况

Struts 2系列漏洞攻击趋势跟踪情况

Weblogic系列漏洞攻击趋势跟踪情况

PHPCMS系列漏洞攻击趋势跟踪情况

网站安全分析

网站漏洞类型统计

博耀云眼网站安全监测平台3月对国内已授权的6966个站点进行漏洞监控，
，3月发现的高危站点2721个，，高危漏洞60628个，，，
，漏洞类别占比前三的分别是XSS注入，
，，信息泄露和CSRF跨站请求伪造
，，，
，共占比79.68%，，，具体比例如下：

篡改攻击情况统计

3月共监控在线业务6715个，，共识别潜在篡改的网站有276个，，，篡改总发现率高达4.11%
。。。其中首页篡改226个，，，二级页面篡改32个，，，，多级页面篡改18个。。。。篡改位置具体分布图如下图所示：

可以看出，，，
，网站首页篡改为篡改首要插入位置，，
，，成为黑客利益输出首选。。