2018 上半年網(wǎng)絡(luò)安全觀察

綠盟科技

內(nèi)容提要

近年來，安全事件逐漸成為媒體的寵兒，尤其是個人信息泄露、銀行資金竊取和IoT 設(shè)備的攻擊利用事件, 牽動著眾人的眼球。在公眾關(guān)注度方面，從近兩年的百度指數(shù)就能看出，“個人信息泄露”和“黑客”等關(guān)鍵詞的整體日均值都在歷史中高位波動，網(wǎng)絡(luò)安全和信息安全已經(jīng)不僅僅是一個技術(shù)問題，而是關(guān)乎普羅大眾的民生問題。

與此同時，安全廠商的視角也在慢慢變化。從RSA 近年的主題上看，2016 年的“Connect to Protect”，2017 的“Power of OpportUNITY”到2018 年的“Now Matters”，同時，關(guān)鍵詞也從往年的威脅情報、人工智能到今年的應(yīng)急響應(yīng)和威脅狩獵，可以看出，安全廠商們不再滿足于概念性的奔走呼號，聯(lián)動防御和破除孤島已成共識，在多年的技術(shù)積累上厚積薄發(fā)，真真正正化被動為主動，切切實實關(guān)注落地實效和響應(yīng)時效。

漏洞發(fā)現(xiàn)、攻擊利用和應(yīng)急響應(yīng)，是攻防雙方角力的主戰(zhàn)場。兵者詭變，從去年的臭名昭著的Wannacry 事件到后來的WannaMine和Smominru，永恒之藍(lán)漏洞相繼被用在勒索軟件和挖礦僵尸網(wǎng)絡(luò)中，攻擊的目標(biāo)和攻擊的手段在變，唯一不變的是攻擊者對利益的訴求。兵貴神速，安全的戰(zhàn)役，難就難在防御者如何才能在攻防條件不對等的情況下，快速地跟進(jìn)形勢，擴充自己的武器庫和提前布局。孫子曰“知彼良知，勝乃不殆；知天知地，勝乃不窮”。威脅情報的核心正是一個“知”字，從數(shù)據(jù)到信息到知識，這幾年來的落地實踐逐漸讓安全廠商能夠從海量的攻擊數(shù)據(jù)、基礎(chǔ)數(shù)據(jù)和外部情報中，去偽存真，抽絲剝繭，對攻擊者個體能夠形成多個剖面的詳盡刻畫，同時對攻擊者群體能夠快速提取共性及關(guān)聯(lián)，構(gòu)建出網(wǎng)絡(luò)空間的深層感知體系。

據(jù)綠盟威脅情報中心觀測，近20% 的攻擊源發(fā)起過多種類型的攻擊，其攻擊類型的轉(zhuǎn)換時序滿足攻擊鏈逐步深入的特性，例如百分之五十的Web 攻擊者會在隨后嘗試更為復(fù)雜的漏洞利用攻擊。僵尸主機也有相當(dāng)部分具備蠕蟲的特性，在被感染后相繼進(jìn)行掃描和漏洞利用操作，快速補充僵尸軍團的新生力量。同時，不同類型的攻擊資源存在復(fù)用的情況，例如發(fā)起惡意掃描的攻擊源，其中的44% 在之后成為垃圾郵件源。一方面可以看出，攻擊者較為關(guān)注自身的攻擊成本，盡可能榨干獲取的肉雞價值。另一方面也可以看出，時間成本和規(guī)模效應(yīng)也是攻擊者關(guān)心的重點。

從攻擊流量來看，挖礦病毒、蠕蟲和木馬等類型的惡意軟件的活躍數(shù)量在2月下旬到3月上旬期間均有一定程度的回落或在低位徘徊，當(dāng)時正逢新春佳節(jié)，一定程度上說明監(jiān)測范圍內(nèi)的大部分攻擊者應(yīng)為華人。另一方面，比特幣價格的持續(xù)萎縮似乎并沒有影響攻擊者對加密貨幣的投機偏好，挖礦類惡意程序在春節(jié)過后持續(xù)升溫，其活躍狀況暗合加密貨幣的漲跌趨勢。在各類挖礦病毒中，針對門羅幣的WannaMine尤為活躍，在挖礦活動中占比超過70%。Palo Alto Networks 研究①https://researchcenter.paloaltonetworks.com/2018/06/unit42-rise-cryptocurrency-miners/也表明門羅幣是惡意程序最為青睞的幣種，5% 的門羅幣經(jīng)由惡意程序開采出來。

2018 年上半年，在我們持續(xù)監(jiān)控到的超2700 萬攻擊源IP 中，有25% 在歷史上曾被監(jiān)測到多次攻擊行為，我們稱之為“慣犯”。慣犯產(chǎn)生的可能原因有二，其一為攻擊資源的復(fù)用，其二是暴露在公網(wǎng)上大量IP 基礎(chǔ)設(shè)施的安全狀況長期得不到改善，被不同的攻擊者利用。慣犯承擔(dān)了40% 的攻擊事件，其中僵尸網(wǎng)絡(luò)活動和DDoS 攻擊是慣犯們的主流攻擊方式。

今年上半年披露的漏洞主要集中在中危漏洞，高危和漏洞比例與去年同期相比均有所下降。值得關(guān)注的是，其中獲取和利用難度低、危害程度大的漏洞主要集中在數(shù)個移動設(shè)備或者網(wǎng)關(guān)類設(shè)備制造商的相關(guān)產(chǎn)品中。設(shè)備類和網(wǎng)關(guān)類產(chǎn)品通常覆蓋面廣，一旦被攻擊者利用，影響面會快速擴大。

網(wǎng)絡(luò)空間可以說是全世界的軟件開發(fā)者構(gòu)建起來的，軟件開發(fā)流程越來越依賴世界各地的開發(fā)者通力合作，在這期間形成了各種包管理器、版本管理工具和代碼分享與托管平臺等軟件開發(fā)基礎(chǔ)設(shè)施。據(jù)觀測，Pastebin 和GitHub等代碼分享與托管平臺日漸成為惡意軟件的溫床，許多惡意可執(zhí)行文件經(jīng)base64 編碼后上傳，同時此類平臺往往全站使用HTTPS，使得該類行為在流量層面更加難以檢測。同時，我們也監(jiān)測到此類平臺造成大量的信息泄露，例如開發(fā)者的代碼段，電子郵件用戶名密碼，數(shù)據(jù)庫結(jié)構(gòu)等。

1. 威脅觀察

1.1 19.3% 攻擊源參與多種類型攻擊

按照攻擊源IP 的地區(qū)分布來看，北京、江蘇、浙江、山東、廣東等幾個省份惡意IP 最為集中，在全球范圍內(nèi)，中美兩國仍然是攻擊源最為集中的地區(qū)。攻擊受害者的分布略有不同，從中國看，受害者集中于東南沿海地區(qū)，而在全球范圍內(nèi)，除中美兩個網(wǎng)絡(luò)大國，東南亞、歐洲地區(qū)也出現(xiàn)了較多的受害者。經(jīng)濟活動越頻繁，受到攻擊的可能性就越大，這體現(xiàn)出攻擊者逐利、逐名的攻擊訴求。

圖1.1 攻擊源及攻擊目標(biāo)國內(nèi)分布

圖1.2 攻擊源及攻擊目標(biāo)全球分布

從攻擊源具體攻擊行為看，約占19.3% 的惡意IP 進(jìn)行過多類型攻擊行為。

圖1.3 惡意IP 類型轉(zhuǎn)化示意圖

通過對這批攻擊源的觀察，我們看到攻擊源攻擊行為隨時間演變的一些規(guī)律，例如：

· DDoS 攻擊源相對比較固定，61% 的DDoS 攻擊源在較長的一段時間內(nèi)持續(xù)地用作DDoS 攻擊資源。這和DDoS 攻擊的技術(shù)特征有關(guān)，例如常見的DDoS 攻擊資源包括反射器、受控主機或者設(shè)備，這類資源相對來說IP 或者IP范圍會比較固定。另外我們注意到，約9%的DDoS攻擊源會在之后進(jìn)行漏洞利用攻擊；

· 進(jìn)行漏洞利用的主機資源，有24% 的可能性在之后被進(jìn)一步標(biāo)記為僵尸主機，我們認(rèn)為，網(wǎng)絡(luò)中有相當(dāng)一批僵尸主機持續(xù)而頻繁地進(jìn)行著漏洞掃描與利用行為；

· 發(fā)起惡意掃描的攻擊源，有44% 的可能性在之后成為垃圾郵件源。惡意掃描和垃圾郵件攻擊都需要較多的主機資源或者IP 資源，因此同一批資源很有可能同時在兩種攻擊中被使用；

· 發(fā)起Web 攻擊的攻擊源，有50% 可能性在之后嘗試過進(jìn)行更加復(fù)雜的漏洞利用操作。大部分的攻擊者并不具備精深的安全知識和技術(shù)，他們能夠做的就是使用現(xiàn)成的工具、腳本大范圍地搜捕漏洞主機。這些攻擊中，Web 攻擊復(fù)雜度相對較小，很多時候也是針對服務(wù)器進(jìn)行攻擊前最先嘗試的步驟，通過Web漏洞拿到較低的權(quán)限或者其他敏感信息，利用前期搜集到的情報，黑客可以有針對性地進(jìn)一步使用漏洞進(jìn)行滲透和利用；

· 被用作代理的主機資源中，其中的20%隨后成為惡意掃描攻擊源。這樣的主機資源，其中有一部分很可能是黑客最常使用的，甚至是黑客自己擁有的一批資源，一方面黑客使用它們進(jìn)行流量代理來隱藏真實身份，另一方面也利用它們進(jìn)行簡單的攻擊探測。

1.2 “慣犯”觀察

18 年上半年在我們監(jiān)控到的超2700 萬個攻擊源中，慣犯數(shù)量不容小覷。所謂慣犯，即歷史上被監(jiān)測到多次惡意行為的攻擊源，說明攻擊所用資源的重復(fù)利用是普遍存在的。而這些攻擊源中25% 的慣犯承擔(dān)了40% 的攻擊事件，威脅程度較大，應(yīng)當(dāng)引起足夠重視。

圖1.4 慣犯數(shù)量及告警量分布圖

中國、美國和俄羅斯的慣犯是最活躍的，攻擊目標(biāo)除中、美兩國外，加拿大、歐洲多國也有很大影響，但中、美兩國仍屬于受害重災(zāi)區(qū)。由國內(nèi)分布情況來看，慣犯主要分布在我國沿海城市以及人口大省，攻擊目標(biāo)集中在經(jīng)濟發(fā)達(dá)區(qū)域。

圖1.5 慣犯及攻擊目標(biāo)全球分布

圖1.6 攻擊者國內(nèi)分布

圖1.7 攻擊目標(biāo)國內(nèi)分布

圖1.8 慣犯的主要攻擊類型分布

上圖是“慣犯”產(chǎn)生的主要攻擊類型，占所有攻擊類型總量的90% 以上。

可以看出僵尸網(wǎng)絡(luò)和DDoS 攻擊是“慣犯”們參與最多的攻擊，占據(jù)了所有攻擊類型總量的70% 左右，仍然是兩種最為流行的攻擊方式。2017 年勒索軟件席卷全球，而DDoS 也未曾停止，攻擊頻率仍然呈現(xiàn)逐年增長的趨勢。

針對這些“慣犯”，我們從其攻擊特性的多個方面進(jìn)行畫像：

· 根據(jù)各行業(yè)自身的業(yè)務(wù)，以及對其特性和運營者弱點的不斷了解，攻擊者可以選擇合適的攻擊目標(biāo)和方式，其目的、側(cè)重點也會有所不同。從“慣犯”攻擊行業(yè)來看，國家機構(gòu)、能源、教育和金融四大行業(yè)占比90%。上述四種行業(yè)體量較大，分布較廣，數(shù)據(jù)更為敏感，往往會成為攻擊者的重點對象；

· 網(wǎng)絡(luò)攻擊的發(fā)起都會有一個入口點，可能是對漏洞、開放服務(wù)掃描，可能是通過社工技術(shù)、可利用的公開數(shù)據(jù)、釣魚郵件等獲取更多信息，確定目標(biāo)。網(wǎng)絡(luò)監(jiān)控、獲取權(quán)限以及可疑活動類占比95%，可以看出黑客在前期偵查和入侵的階段做了很多工作；

· 相對其他操作系統(tǒng)來說，Windows 明顯更受黑客青睞，79% 的攻擊對象為Windows 系統(tǒng)。除了及時修復(fù)處理系統(tǒng)本身的安全問題外，也要加強管理員安全、規(guī)范化的操作；

圖1.9 “慣犯”畫像

· 攻擊方法中前五種占比91%，其中事件監(jiān)控和畸形攻擊占比73%。所謂畸形攻擊是通過向目標(biāo)系統(tǒng)發(fā)送有缺陷的報文，有些機器解析這些報文時耗時很大，甚至出錯，更甚至崩潰，大量的這種報文將對目標(biāo)機器構(gòu)成很大威脅。此外，暴力猜解采用枚舉方法逐一嘗試，雖然簡單粗暴，看起來效率不高，但是對于弱口令問題往往很容易構(gòu)建字典，猜解成功，因此也是常用方法之一。

1.3 安全威脅事件頻發(fā)

今年6月初，A 站千萬級別的用戶信息受到泄露，站點用戶普遍受到影響，該事件受到廣泛關(guān)注，真實的網(wǎng)絡(luò)空間再一次用刻骨的事實為企業(yè)信息安全管理敲響警鐘。在互聯(lián)網(wǎng)環(huán)境中，攻防對抗一直在進(jìn)行，除了傳統(tǒng)利用技術(shù)手段進(jìn)行攻擊外，還有勾結(jié)內(nèi)部人員進(jìn)行逐步滲透，但很多時候由于管理措施和分析手段的缺失，一直到事件徹底曝光之前，大多數(shù)管理者都處于一無所知的黑暗中。因此建立不同級別、不同粒度的管理體系尤為重要，針對一些敏感的資源，有時可以通過關(guān)鍵行為特征指標(biāo)進(jìn)行畫像，探尋一些潛在的風(fēng)險。

綠盟威脅情報中心(NTI) 對知名黑客組織和事件（包括APT 事件）都有常年的跟蹤，其中的一些關(guān)鍵信息，是非常高價值的判斷指標(biāo)。例如，在對事件中關(guān)鍵指標(biāo)（IOC）進(jìn)行監(jiān)測的過程中，我們發(fā)現(xiàn)一些流量有可能預(yù)示著防護范圍內(nèi)存在風(fēng)險。

我們梳理了流量監(jiān)測中，活動最頻繁的一些IOC 指標(biāo)，在下面列舉出對應(yīng)的事件或組織，希望引起從業(yè)者的關(guān)注，并加強自己網(wǎng)絡(luò)內(nèi)的相關(guān)治理。

·Hadoop Yarn 未授權(quán)訪問攻擊在2017年5月，綠盟威脅情報中心（NTI） 監(jiān)測到，有大量的HadoopYarn 被攻擊。黑客通過未授權(quán)的方式直接調(diào)用Hadoop Yarn 集群的Rest API 接口，下達(dá)運算任務(wù)。這種攻擊最終被大量用于數(shù)字貨幣挖礦。我們利用事件關(guān)鍵指標(biāo)對事件中出現(xiàn)的一批攻擊者進(jìn)行了持續(xù)監(jiān)測，截止今年6月，相關(guān)活動仍然頻繁；

·針對WebLogic 主機挖礦惡意程序在2017年12月，綠盟威脅情報中心（NTI）檢測到一系列針對WebLogic 反序列化漏洞（CVE-2017-3248）的自動化攻擊，感染后，主機中被植入挖礦程序，會大量消耗主機資源。通過基本畫像，我們對關(guān)鍵指標(biāo)進(jìn)行了監(jiān)測，在2018年上半年，相關(guān)的惡意利用與傳播行為仍然非常頻繁；

·Operation Cobalt Kitty這是安全公司Cybereason 報道的一系列攻擊活動，這些活動集中在亞洲地區(qū)，目標(biāo)在于攻陷商業(yè)公司獲取其核心資料。這一系列攻擊具有相似的手法和技術(shù)特征，Cybereason 在2017年5月將其命名為Cobalt Kitty，公布了相關(guān)的分析結(jié)果。在我們的檢測中2018 年上半年在部分網(wǎng)絡(luò)中仍然存在IOC 的活動跡象，可能與該組織存在關(guān)聯(lián)。

1.4 惡意軟件活動猖獗，挖礦病毒成為新秀

從總體情況上看，攻擊流量中，針對各類漏洞的利用依然高度活躍，其中針對服務(wù)器應(yīng)用漏洞的攻擊占比達(dá)到25%，而主機類應(yīng)用程序漏洞的攻擊流量占比為3%。但值得注意的是，我們今年檢測到異常活躍的惡意軟件活動，在對其惡意網(wǎng)絡(luò)行為的監(jiān)測中，我們捕捉到包括挖礦、蠕蟲、木馬、僵尸網(wǎng)絡(luò)、后門程序在內(nèi)的多種類型的惡意活動跡象。

圖1.10 惡意活動類型分布圖

從惡意軟件的分布上看，活動頻繁程度從高到低依次是后門、挖礦程序、蠕蟲、木馬遠(yuǎn)控、僵尸肉雞。挖礦類程序是今年異軍突起的惡意品類。近年，比特幣、門羅幣等多個幣種在市場上的交易持續(xù)活躍，對加密貨幣的追逐在各個行業(yè)都有所體現(xiàn)，在安全行業(yè)內(nèi)，我們觀察到以WannaMine 為首的各種惡意挖礦程序開始大規(guī)模傳播。

圖1.11 惡意軟件類型分布圖

此外，在2018 年上半年，一些家族、惡意程序的傳播非?；钴S，我們認(rèn)為需要引起管理人員的注意，并進(jìn)行及時的排查。一般來說，病毒的分類沒有統(tǒng)一的標(biāo)準(zhǔn)，而病毒也并非規(guī)格化生產(chǎn)的產(chǎn)品，都是按照廠商自身的需求和習(xí)慣裁剪拼接而成的，因此名為木馬的病毒，很可能也具有蠕蟲的特征，名為后門程序的也具有木馬的特征等等。我們大致地按照直觀的共識，根據(jù)代碼最核心的特征或者功能進(jìn)行簡單劃分，例如蠕蟲以大規(guī)模自傳播能力為核心特征、木馬的核心功能為信息竊取與其他復(fù)雜的遠(yuǎn)程控制、僵尸（肉雞）程序的特征在于構(gòu)建僵尸網(wǎng)絡(luò)并發(fā)揮使用集群進(jìn)行黑客行為（例如DDoS 和挖礦）、后門程序和木馬比較像但是前者更偏重于為后面的攻擊提供持久化的入口。

1.4.1 活躍的挖礦惡意程序

2018 上半年，挖礦類惡意程序的活躍度持續(xù)攀升，從3月底開始，各類挖礦病毒的活動量出現(xiàn)大幅提升。

圖1.12 挖礦惡意程序的活動監(jiān)測

其中，又以WannaMine 在各類挖礦病毒中顯得最為活躍，在所有檢測到的挖礦活動中，占比超過了70%。該病毒最早是由CrowdStrike公司在2018 年年初發(fā)現(xiàn)，由于其在傳播過程中與紅極一時的WannaCry 一樣，利用了“永恒之藍(lán)”漏洞，故此命名。

1.4.2 活躍的蠕蟲病毒

從時間維度看，蠕蟲活動在2月非常少，從3月開始持續(xù)攀升，雖然有起伏，但是活動量的平均值是持續(xù)遞增的。

圖1.13 蠕蟲活動監(jiān)測

我們監(jiān)測到最活躍的蠕蟲病毒有28 個之多，大部分蠕蟲最早發(fā)現(xiàn)的時間距今都有5 年以上，可見這些蠕蟲病毒繁衍、進(jìn)化的能力，以及在網(wǎng)絡(luò)中徹底清除的難度。在今年，我們監(jiān)測活躍度最高的兩個蠕蟲分別如下：

·蠕蟲 W32.FaedevourW32.Faedevour 是一種蠕蟲病毒，它在受感染的計算機中打開一個后門，竊取信息。在互聯(lián)網(wǎng)上，公開報道的感染事件很少，但是在我們的統(tǒng)計中，所有蠕蟲流量里，W32.Faedevour家族的傳播和擴散是位居高位的；

·蠕蟲Conficker 攻擊Conficker 病毒，又名 Downup、Downandup、Downadup 和 Kido（刻毒蟲）是一種出現(xiàn)于2008 年10月的計算機蠕蟲病毒，針對微軟的Windows 操作系統(tǒng)進(jìn)行攻擊。我們對其家族的互動特征進(jìn)行提取，并且持續(xù)監(jiān)控，我們發(fā)現(xiàn)其活動痕跡其實一直未曾徹底消失，2018 上半年仍然持續(xù)地出現(xiàn)在互聯(lián)網(wǎng)中，但我們不能排除該行為是由其他家族的病毒復(fù)用Conflicker 相關(guān)通信機制進(jìn)行傳播而導(dǎo)致的。

1.4.3 活躍的木馬

今年上半年的監(jiān)測中，木馬的活躍度略有下降，而且與僵尸網(wǎng)絡(luò)、蠕蟲活動的態(tài)勢相比，今年監(jiān)測到的木馬新品種較少。這可能與近年來，聯(lián)網(wǎng)主機與設(shè)備數(shù)量的激增有關(guān)系，因為主機獲取成本的下降，大量的惡意代碼可以用很簡單的方式實現(xiàn)快速拓展，因此那種量級較重、功能復(fù)雜的木馬在數(shù)量上不如僵尸程序、挖礦程序推陳出新來得迅猛。

圖1.14 木馬活動監(jiān)測

但是活躍的木馬家族也超過30 個之多，無需多言，這類程序的危害是很大的。在今年，最活躍的木馬是一個名為“暗云”的木馬，而暗云木馬在其爆發(fā)之初，曾經(jīng)一度感染過數(shù)以百萬的計算機，當(dāng)時暗云木馬使用BootKit 技術(shù)，直接感染磁盤的引導(dǎo)區(qū)，感染后即使重裝格式化硬盤也無法清除。2018 年上半年暗云木馬的活動仍然非常頻繁，我們希望從業(yè)者可以仔細(xì)的排查網(wǎng)絡(luò)中存在的風(fēng)險。

1.4.5 活躍的僵尸程序

僵尸網(wǎng)絡(luò)的活躍度和后門程序的活躍度似有一定關(guān)聯(lián)，僵尸程序在5月初與后門程序同時達(dá)到了2018 上半年的活動高峰。

圖1.15 僵尸程序活動監(jiān)測

與蠕蟲、木馬類病毒態(tài)勢不同，活躍的僵尸程序都是比較新的家族或者變種，但是其核心功能和應(yīng)用并沒有發(fā)生變化――發(fā)動大規(guī)模的DDoS 流量。正如綠盟科技《2017 年Botnet趨勢報告》①http://blog.nsfocus.net/2017-botnet-report/中所指出的，這些程序不斷升級換代，它們能夠提供的DDoS 能力更加穩(wěn)定，流量規(guī)模持續(xù)提升，并且使得僵尸網(wǎng)絡(luò)具有了復(fù)用性，從Botnet 感染到出售再到Botnet as a Service對外服務(wù)形成完整的黑產(chǎn)鏈條。

上半年監(jiān)控中，下面幾個家族非?；钴S：

·BillGates 僵尸網(wǎng)絡(luò)這是一個被廣泛使用的僵尸程序，該僵尸程序在2016 年被發(fā)現(xiàn)和命名。僵尸程序用于組建僵尸網(wǎng)絡(luò)發(fā)起大規(guī)模DDoS 攻擊；

·Artemis 僵尸網(wǎng)絡(luò)該僵尸網(wǎng)絡(luò)在2015年前后發(fā)現(xiàn)和披露，也被廣泛應(yīng)用于DDoS 攻擊。

1.4.6 活躍的后門程序

后門程序主要是設(shè)備類的后門，路由器又是其中重要的組成部分。今年上半年，后門程序的活動始終保持在高發(fā)狀態(tài)，在5月份出現(xiàn)過一次高峰，此后態(tài)勢回落到平均值附近。

圖1.16 后門程序活動監(jiān)測

后門程序非常常見，有的甚至僅僅利用了物聯(lián)網(wǎng)設(shè)備的默認(rèn)登錄接口便可獲得遠(yuǎn)程控制入口。在活動最頻繁的超過20 個后門程序中，有5 個后門是與路由器相關(guān)的。后門程序的頻繁活動提醒設(shè)備和網(wǎng)絡(luò)管理人員，一定要定期升級并檢查設(shè)備的配置情況。下面是我們認(rèn)為值得重點關(guān)注的后門應(yīng)用：

·Netcore / Netis 路由器后門在《2017年網(wǎng)絡(luò)安全觀察》①http://www.nsfocus.com.cn/content/details_62_2728.html中我們指出，Gafgyt 僵尸家族的活動異常猖獗，其頻繁的活動中最主要的行為是針對Netcore 路由器早在2014 年就披露并修復(fù)的后門。但是我們看到，其活動依然頻繁，與2017 年年底的活躍程度相當(dāng)；

·Doublepulsar 后門相較Netcore 后門而言，Doublepulsar 技術(shù)上相對復(fù)雜一些，2017年ShadowBrokers 公布的NSA黑客工具中包含了該后門程序，后來經(jīng)由廣泛傳播，在互聯(lián)網(wǎng)上造成了相當(dāng)大的危害。2018 年我們監(jiān)測到Doublepulsar 后門程序活動十分頻繁。

1.5 Pastebin 等代碼分享平臺濫用情況愈加嚴(yán)重

Pastebin 和GitHub 是當(dāng)下流行的代碼分享與托管平臺，惡意軟件常常利用這兩個平臺傳播關(guān)鍵信息。2018年上半年，我們觀測到越來越多的惡意軟件利用Pastebin 和GitHub 傳播。綠盟威脅情報中心(NTI) 通過對多個代碼分享與托管平臺的監(jiān)測，發(fā)現(xiàn)各平臺的濫用情況愈加嚴(yán)重。

以Pastebin 為例，為了能在上面存放文本以外的數(shù)據(jù)，一部分用戶將文件的二進(jìn)制數(shù)據(jù)使用base64 編碼后上傳。根據(jù)我們的監(jiān)測，我們發(fā)現(xiàn)每日新增的base64 編碼文本會承載不同的文件或文本，具體情況如下圖。

圖1.17 base64 編碼數(shù)據(jù)類型分布

大部分可執(zhí)行文件經(jīng)過分析被確認(rèn)為惡意軟件，一些URL 及IP 也在我們已知的C&C 服務(wù)器地址中。由于此類代碼分享托管平臺具有較高的信譽度，通信全程使用HTTPS 加密，使得各類安全產(chǎn)品只能在終端對威脅進(jìn)行檢測，大大削弱了安全防御體系。為了規(guī)避對平臺內(nèi)代碼及文本的監(jiān)測，攻擊者也開始采用其他類型的編碼方式，或直接在base64 編碼的基礎(chǔ)上使用其他加密算法，這也加大了公共平臺的治理難度。

除此之外，其他濫用行為也不容忽視。每日有相當(dāng)數(shù)量的電子郵箱地址與密碼被上傳到Pastebin，也常有開發(fā)者將代碼片段上傳，其中包含了數(shù)據(jù)庫結(jié)構(gòu)及API Key。

圖1.18 數(shù)據(jù)泄露類型分布

這些軟件開發(fā)的基礎(chǔ)信息與業(yè)務(wù)安全息息相關(guān)。攻擊者在滲透前的信息收集階段也會搜尋代碼平臺上的有價值信息，此類信息若被利用會給業(yè)務(wù)的平穩(wěn)運行帶來極大風(fēng)險。

2. 漏洞觀察

2.1 中危漏洞曝光比例高，權(quán)限控制需要重點關(guān)注

截止2018年6月19日，NVD 官網(wǎng)公布的2018 年CVE 漏洞數(shù)量為3731 個，其中高危漏洞850 個，中危漏洞2437 個，低危漏洞445 個。與去年同期相比，數(shù)量有所減少，其中漏洞數(shù)量向中危漏洞集中，高危、低危漏洞比例都有所下降。

圖2.1 漏洞公布數(shù)量的月度趨勢

中危漏洞相對其他漏洞而言，對系統(tǒng)信息的完整性(Integrity) 和系統(tǒng)功能的可用性(Availability) 都有較大的影響，只是利用難度相對較高，因此漏洞評級為中級威脅，但若存在PoC 或利用工具，中危漏洞依然能夠造成非常嚴(yán)重的大規(guī)模破壞。

圖2.2 不同漏洞類型的數(shù)量分布

從漏洞類型上看排名前10 的漏洞類型分別為：

·CWE-284/264—權(quán)限控制漏洞權(quán)限控制類的漏洞曝光頻率是最頻繁的，大部分屬于中危漏洞，這類漏洞與具體的業(yè)務(wù)密切關(guān)聯(lián)，包括越權(quán)訪問、權(quán)限提升等常見的操作，而其中屬于高危漏洞的部分，集中于服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫類的應(yīng)用，以及部分應(yīng)用較廣的開源內(nèi)容管理系統(tǒng)中；

·CWE-79—跨站漏洞跨站漏洞曝光程度位列第二，這類漏洞單個漏洞威脅似乎較小，但是它們數(shù)量非常多，在各類建站系統(tǒng)中尤其常見，幾乎防不勝防，它們?nèi)绻浜掀渌┒词褂茫ㄟ^組合式的攻擊手法可以完成復(fù)雜的攻擊，進(jìn)而獲得系統(tǒng)權(quán)限；

·CWE-119—內(nèi)存越界操作漏洞通過漏洞，黑客可以獲取任意代碼執(zhí)行權(quán)限，有時可以造成系統(tǒng)崩潰，在上半年，這類漏洞中高危漏洞有216 個，中危漏洞有217 個，在高危漏洞中，排名前三的產(chǎn)品均為瀏覽器或者Office軟 件， 包 括 Microsoft Edge、Internet Explorer、Office Word；

·CWE-200—信息泄露黑客觸發(fā)漏洞能夠?qū)е旅舾行畔⒈┞丁０凑债a(chǎn)品排名，存在該類漏洞最多的產(chǎn)品為Windows Server 2016，此外在一些設(shè)備的固件中，該類漏洞能夠?qū)е聶?quán)限控制失效，導(dǎo)致設(shè)備失陷，例如D-Link 設(shè)備固件CVE-2018-10106 漏洞；

·CWE-20—輸入驗證不嚴(yán)格黑客通過畸形的輸入，導(dǎo)致程序出現(xiàn)異常的行為，最終實現(xiàn)控制、竊取、使設(shè)備癱瘓等多種攻擊目的，今年上半年，相關(guān)的高危漏洞為61 個；

·CWE-89—SQL 注入這是非常傳統(tǒng)的攻擊類型，通過提交精心構(gòu)造的輸入，繞過系統(tǒng)的防御限制，誘使系統(tǒng)執(zhí)行SQL 語句，通常見于網(wǎng)頁類應(yīng)用中，能夠?qū)W(wǎng)站數(shù)據(jù)造成較大危害；

·CWE-352—CRSF，跨站偽造這也是傳統(tǒng)的攻擊方法，上半年，CVE 編號中存在112個跨站偽造漏洞；

·CWE-399—內(nèi)存資源管理不當(dāng)這是一個非常大的類別，在內(nèi)存資源管理不當(dāng)?shù)那闆r下，會導(dǎo)致較為嚴(yán)重的后果，例如內(nèi)存的分配、釋放、對象的銷毀等等系統(tǒng)級的管理行為；

·CWE-22—路徑遍歷漏洞攻擊者構(gòu)造特定的輸入，可以訪問或者部分訪問限制目錄之外的目錄與文件信息；

·CWE-476—空指針重釋放漏洞這個漏洞與內(nèi)存越界、資源管理不當(dāng)漏洞是類似的，可以引起系統(tǒng)崩潰、代碼執(zhí)行等。

2.2 設(shè)備類漏洞態(tài)勢嚴(yán)峻

從資源獲取的難易程度、漏洞的利用難度、利用成功后可能對系統(tǒng)的危害這三方面來看，設(shè)備類漏洞是尤為突出的。設(shè)備類資源數(shù)量大，防御少，獲取難度普遍較低，相關(guān)的漏洞利用難度也普遍較小，一旦利用成功能夠獲取到設(shè)備系統(tǒng)較高的權(quán)限，因此，從經(jīng)濟角度，這類漏洞必然受到攻擊者的關(guān)注，需要安全廠商及相關(guān)從業(yè)人員格外重視并探索防御的技術(shù)與方案。從下面的表格我們看到，2018 上半年披露的CVE 漏洞中，獲取和利用難度低、危害程度大的漏洞主要集中在4 個廠商的相關(guān)產(chǎn)品中，這些廠商都是移動設(shè)備或者網(wǎng)關(guān)類設(shè)備的制造商。

此外還有大量沒有分配CVE 編號或者威脅定級略低的漏洞。上半年我們針對一些重點威脅發(fā)布過相關(guān)的分析或者威脅通告，包括：

表2.1 2018 上半年設(shè)備類漏洞列表

·施耐德派爾高（Pelco）Sarix Professional攝像頭漏洞

·DrayTek 路由器 0day 漏洞

·VPNFilter 惡意軟件傳播中所利用的多種設(shè)備漏洞

在《2017 物聯(lián)網(wǎng)安全研究報告》①http://www.nsfocus.com.cn/content/details_62_2646.html中我們曾經(jīng)總結(jié)過2017 年出現(xiàn)過的針對各類新型設(shè)備的僵尸蠕蟲病毒，我們指出從2016 年Mirai 大規(guī)模感染事件開始，物聯(lián)網(wǎng)威脅對于人們來說不再僅僅是一個概念，人們開始關(guān)注物聯(lián)網(wǎng)的威脅和防御。在2017 年，我們觀察到包括Rowdy、DarkCat、Gafgyt 在內(nèi)的多種物聯(lián)網(wǎng)惡意程序，它們針對設(shè)備類型從路由器、攝像頭到電視機頂盒不斷變化，惡意程序在不斷地演進(jìn)。如果注意被攻擊的設(shè)備類型，這些被感染的設(shè)備往往長期在線且使用量大，他們經(jīng)常使用通用硬件模塊及固件，這些特征有利于惡意軟件的傳播。

2.3 代碼管理基礎(chǔ)設(shè)施治理缺位

早在1983 年，Ken Thompson 的圖靈獎獲獎演說《Reflections on Trusting Trust》就展示了如何在編譯器中嵌入后門代碼，使該編譯器生成的程序都受到影響。2015 年的XcodeGhost 又讓這一試驗照進(jìn)了現(xiàn)實。時至今日，軟件開發(fā)流程越來越依賴世界各地的開發(fā)者通力合作，在這期間形成了各種包管理器、版本管理工具和代碼分享與托管平臺等軟件開發(fā)基礎(chǔ)設(shè)施。毫無疑問，基礎(chǔ)設(shè)施的形成與完善提高了開發(fā)者的工作效率，但也帶來了一些安全問題。

If an attacker successfully injects any code at all, it's pretty much game over.①https://developers.google.com/web/fundamentals/security/csp/

知名JavaScript 包管理工具npm 安全團隊在5月發(fā)布報告②https://blog.npmjs.org/post/173526807575/reported-malicious-module-getcookies，確認(rèn)移除了一個偽裝成Cookie解析器的包，它可以允許攻擊者向服務(wù)器注入任意代碼并執(zhí)行?？陀^地講，其他包管理工具也有面臨此類攻擊的風(fēng)險，但npm的一些特點，如非常流行、包依賴關(guān)系過于復(fù)雜等，使其更容易成為首選目標(biāo)。

圖2.3 惡意模塊的依賴關(guān)系

2018年6月，代碼版本控制工具Git 被爆出了一個遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2018-11235).由于在git clone 時沒有對submodule 的文件夾命名做足夠的驗證，當(dāng)用戶在使用git clone –recurse-submodules 時, 攻擊者可以通過構(gòu)造一個惡意的.gitmodules 文件從而遠(yuǎn)程執(zhí)行任意代碼。其他基于Git 的版本控制工具，例如SourceTree，也會受到影響。

3. 惡意流量觀察

3.1 漏洞利用攻擊

關(guān)鍵發(fā)現(xiàn)：

·在所有利用漏洞進(jìn)行的攻擊中，以設(shè)備漏洞作為對象的利用占比超過50%

·路由器漏洞仍然普遍被治理者忽視

·從漏洞利用攻擊的角度，Windows 服務(wù)器、Java 應(yīng)用服務(wù)器、Apache 服務(wù)器、郵件服務(wù)器、DNS

·服務(wù)器屬于高危服務(wù)器類型，這類服務(wù)器的漏洞需要重點防御

·試探性掃描在網(wǎng)絡(luò)中從未停止，因此，一旦有脆弱設(shè)備對外暴露，在極短時間內(nèi)就有被攻陷的風(fēng)險

·桌面類應(yīng)用漏洞常在釣魚、垃圾郵件攻擊中被使用，個人用戶需要提高警惕

我們按照漏洞所在的主機環(huán)境或業(yè)務(wù)場景，將漏洞粗略的劃分為服務(wù)器漏洞、桌面應(yīng)用漏洞和設(shè)備漏洞。其中服務(wù)器漏洞主要為服務(wù)器上的系統(tǒng)服務(wù)與程序，用于支撐或提供網(wǎng)絡(luò)管理與實際業(yè)務(wù)，常見的服務(wù)包括郵件、HTTP、網(wǎng)站腳本語言解析等；桌面應(yīng)用主要提供文檔、多媒體、主機管理等功能，常見的包括各類客戶端（例如瀏覽器、郵件客戶端）、殺軟、Office 辦公軟件、Flash 播放器、PDF閱讀器等，這類軟件漏洞常常被利用，常見的是通過惡意郵件、惡意網(wǎng)頁的方式傳播，通過誘使用戶執(zhí)行來感染目標(biāo)主機；設(shè)備漏洞屬于比較特殊和新晉的漏洞類型，包括各類移動終端、物聯(lián)網(wǎng)設(shè)備等，他們共同構(gòu)成一種新的威脅類型。

圖3.1 不同漏洞利用類型的告警量分布

從比例上看，針對設(shè)備漏洞的攻擊已經(jīng)超過全部攻擊事件的50%，取代往年一直處于主導(dǎo)地位的服務(wù)器漏洞的攻擊，這和近兩年智能路由器等聯(lián)網(wǎng)設(shè)備大規(guī)模增長密切相關(guān)。正如在《2017 年物聯(lián)網(wǎng)報告》①http://www.nsfocus.com.cn/content/details_62_2646.html中提到的那樣，很多智能設(shè)備在設(shè)計之初，安全問題并沒有被嚴(yán)肅對待，于是隨著設(shè)備的推廣，市場上出現(xiàn)大量常年不更新不維護的高危設(shè)備。我們觀察到，即使廠商很久前就推出解決辦法或升級補丁，仍有大量設(shè)備的脆弱性狀況至今未有改善。這和設(shè)備升級維護機制設(shè)計不合理有很大的關(guān)系，畢竟設(shè)備和傳統(tǒng)PC 不同，沒有復(fù)雜的內(nèi)置應(yīng)用，也無法有效提供豐富的檢測防御和自動維護服務(wù)，這樣一來黑客攻擊成功率極高，成本和復(fù)雜度極低。

圖3.2 路由器漏洞攻擊利用檢測（單位：次數(shù)）

今年上半年，和其他攻擊流量對比，路由器漏洞攻擊的情況從未得到有效緩解，另一方面也說明，路由器的漏洞狀況長期為人所忽略。從監(jiān)測情況來看，下列設(shè)備及漏洞被黑客攻擊尤為嚴(yán)重。

· Neetcore / Netis 路由器后門漏洞

· TP-Link 無線路由器HTTP/TFTP 后門漏洞

· ASUS 路由器固件ASUSWRT LAN 后門命令執(zhí)行漏洞（CVE-2014-9583）

· D-Link 路由器User-Agent 后門漏洞（CVE-2013-6026）

· Motorola 無線路由器WR850G 認(rèn)證繞過漏洞（CVE-2004-1550）

· Linksys WRT54G 無線路由器apply.cgi溢出遠(yuǎn)程安全漏洞（CVE-2005-2799）

· Cisco IOS 路由器拒絕服務(wù)漏洞

· 華為HG532 路由器遠(yuǎn)程命令執(zhí)行漏洞(CVE-2017-17215)

· HP/H3C 及華為交換機/ 路由器SNMP訪問敏感信息泄漏漏洞（CVE-2012-3268）

在針對服務(wù)器漏洞的攻擊中，Windows 服務(wù)器受攻擊最多，緊隨其后的是Oracle 服務(wù)。如果把Weblogic 服務(wù)器，與其他Java 應(yīng)用服務(wù)器一起，我們看到Java 應(yīng)用服務(wù)器受到攻擊的比例高達(dá)27%，此外Apache 服務(wù)器、郵件服務(wù)器、DNS 服務(wù)器也都是高風(fēng)險服務(wù)器，相關(guān)服務(wù)頻繁受到各類攻擊與試探。在所有針對服務(wù)器的攻擊中，大約5% 的攻擊屬于探測性掃描攻擊，黑客利用自動化的掃描工具和大量已知漏洞的利用代碼進(jìn)行脆弱性探測，一旦網(wǎng)絡(luò)中存在相應(yīng)漏洞，黑客第一時間就能利用和攻陷。因此，作為服務(wù)器管理員，應(yīng)該經(jīng)常自查和升級相關(guān)設(shè)備與服務(wù)，對于過往的漏洞也不能掉以輕心。服務(wù)器類漏洞的利用在4-6月較為頻繁，期間每天檢測到的攻擊均在20 萬次左右。

圖3.3 服務(wù)器漏洞中不同服務(wù)的數(shù)量分布圖

圖3.4 服務(wù)器類漏洞利用的時間趨勢圖

桌面類應(yīng)用的漏洞攻擊主要針對個人用戶與使用者，當(dāng)然這些用戶中也會包括核心資產(chǎn)的管理人員，黑客利用釣魚郵件，通過惡意鏈接、惡意附件的形式投遞惡意程序，在用戶點擊訪問相關(guān)資源時，對應(yīng)程序的漏洞會被觸發(fā)，最終導(dǎo)致感染和信息泄露。其中利用數(shù)量最多的幾類應(yīng)用如圖所示，分別為瀏覽器、蘋果主機應(yīng)用、Office 文檔漏洞、PDF 閱讀器漏洞、Adobe Flash漏洞。

圖3.5 針對桌面類漏洞的攻擊利用數(shù)量分布圖

桌面類的漏洞利用趨勢與服務(wù)器類的漏洞利用趨勢相近。桌面類應(yīng)用在6月仍然保持較高的活躍度，并且4月之后上升趨勢相較服務(wù)器漏洞更為明顯。桌面類應(yīng)用漏洞比服務(wù)器漏洞平均受到攻擊次數(shù)較少，高峰時期每天攻擊大約為4 萬次左右。

圖3.6 桌面類應(yīng)用漏洞利用的時間趨勢

3.2 針對網(wǎng)站的攻擊

關(guān)鍵發(fā)現(xiàn)：

· 網(wǎng)站安全事件頻發(fā)，傳統(tǒng)攻擊仍需重視

· Struts 框架漏洞仍被黑客頻繁使用

· 網(wǎng)站漏洞利用周期大幅縮短，網(wǎng)站管理員需要提高升級效率

在傳統(tǒng)上，用戶在防御的過程中，容易關(guān)注新的、復(fù)雜的、影響范圍廣的漏洞，往往會忽略傳統(tǒng)的攻擊手段。但實際上，在每天的業(yè)務(wù)中，不可避免的面對著各式各樣的試探，從簡單的掃描，路徑遍歷，攻擊注入到暴力破解。從比例上看不僅僅是高危漏洞、新發(fā)漏洞會對資產(chǎn)產(chǎn)生不良影響，對于網(wǎng)站管理而言，傳統(tǒng)的攻擊手法也會是非常大的困擾，例如對于網(wǎng)站安全，SQL 注入、Cookie 篡改等攻擊行為常年居高不下。

圖3.7 針對網(wǎng)站的攻擊類型分布圖

上圖中的告警類型許多管理員會習(xí)以為常，但值得注意的是，很多攻擊正是從這些看似普通的行為逐漸升級的，在網(wǎng)絡(luò)觀察中，我們認(rèn)為，傳統(tǒng)的攻擊我們?nèi)匀槐仨氄J(rèn)真對待。在2018 年上半年監(jiān)測中1月攻擊次數(shù)較高，2月份有所回落，3月份有所回升后又回歸到之前的平均水平，總體態(tài)勢平穩(wěn)。

圖3.8 Web 攻擊數(shù)量的時間趨勢圖

在Web 漏洞中，Struts 和ShopEx 等幾大框架及CMS 受到的攻擊最多，這些框架在國內(nèi)的網(wǎng)站建站軟件選擇中相對流行，因此也受到國內(nèi)黑客的格外關(guān)注。

Struts 框架仍然是攻擊的熱點。Struts 漏洞多屬于典型的反序列化漏洞，在綠盟科技《2017 年反序列化漏洞年度報告》①中提到，通過研究廠商對反序列化漏洞的應(yīng)對，我們看到修復(fù)、繞過、再修復(fù)、再繞過的惡性循環(huán)，這類漏洞在2017年進(jìn)入OWASP 的Top10 榜單。Struts 框架漏洞對于攻擊者來說是價值極高的漏洞，因為漏洞本身的利用難度比較低，一旦利用成功，黑客能夠獲得較高的權(quán)限。今年上半年Struts 公布了

① http://www.nsfocus.com.cn/content/details_62_2694.html兩個(S2-055/S2-056) 新漏洞, 但是利用最集中的漏洞仍然是過去一直受到關(guān)注的幾個漏洞，包括：

·CVE-2017-5638這是2017 年年初曝光的一個漏洞，Apache Struts2 的Jakarta Multipart parser 插件存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可以通過設(shè)置Content-Disposition 的filename 字段或者設(shè)置Content-Length 超過2G 這兩種方式來觸發(fā)異常并導(dǎo)致filename 字段中的OGNL 表達(dá)式得到執(zhí)行從而達(dá)到遠(yuǎn)程攻擊的目的；

·CVE-2014-0094Apache Struts2 2.3.16及之前的版本的ParametersInterceptor 類中存在安全漏洞。遠(yuǎn)程攻擊者可借助傳遞到getClass 方法的‘class’參數(shù)利用該漏洞操作類加載器。這已經(jīng)是多年前的漏洞了，但是在攻擊中仍然被經(jīng)常使用或者嘗試，黑客有時仍然能夠取得一定的收獲；

·CVE-2017-98052017年9月5日，Apache Struts 發(fā)布最新的安全公告，Apache Struts 2.5.x 以及之前的部分2.x 版本的REST插件存在遠(yuǎn)程代碼執(zhí)行的高危漏洞，漏洞編號為CVE-2017-9805（S2-052）。漏洞的成因是由于使用XStreamHandler 反序列化XStream 實例的時候沒有任何類型過濾導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

此外，網(wǎng)站漏洞中，今年還有兩個新增漏洞，在互聯(lián)網(wǎng)中的活動相對頻繁：

·CVE-2018-7600Drupal 官方在 2018年3月28日發(fā)布 sa-core-2018-002 (CVE-2018-7600) Drupal 內(nèi)核遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警，之后一個月內(nèi)又連續(xù)發(fā)布兩個漏洞，其中包含一個XSS 和另一個高危代碼執(zhí)行漏洞sa-core-2018-004 (CVE-2018-7602)，此后幾個月內(nèi)，互聯(lián)網(wǎng)上針對Drupal 程序的攻擊都非常頻繁。綠盟威脅情報中心在5月針對Drupal漏洞被挖礦程序利用的傳播感染態(tài)勢進(jìn)行了詳盡的分析①http://blog.nsfocus.net/drupal-threat-analysis/，我們看到從漏洞披露到出現(xiàn)有效攻擊的時間間隔已經(jīng)縮短到小時級別，這給傳統(tǒng)的防護和升級策略提出了更高的挑戰(zhàn)；

·CVE-2018-1273Spring Data Commons在4月爆出遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-1273），攻擊者可構(gòu)造包含有惡意代碼的SPEL表達(dá)式實現(xiàn)遠(yuǎn)程代碼攻擊，直接獲取服務(wù)器控制權(quán)限。

針對CVE-2018-7600，我們在3月底發(fā)布過一份分析報告②http://blog.nsfocus.net/cve-2018-7600-analysis/，梳理了從漏洞公布到實際攻擊出現(xiàn)的完整演化過程。從漏洞公布之后，我們在很短的時間內(nèi)就在互聯(lián)網(wǎng)中監(jiān)測到至少三種類型的攻擊與利用迅速傳播開來（挖礦、遠(yuǎn)控和webshell）。之后我們分析了攻擊行為最頻繁的幾個IP，他們不僅僅針對這個漏洞，也針對了其他一系列的漏洞進(jìn)行過廣泛的嘗試（例如Weblogic 反序列化漏洞，struts2 漏洞等），因此我們認(rèn)為，這批IP 并沒有特定的攻擊對象，其活動目標(biāo)要是為了在更大的范圍內(nèi)獲取盡可能多的網(wǎng)站權(quán)限，他們往往會搜集大量有價值漏洞的利用方法，然后通過搜索引擎、自動化掃描工具等進(jìn)行大范圍地獵捕活動。

我們因此也總結(jié)了近期網(wǎng)站攻擊所具有的一些非常值得網(wǎng)站管理員重視的顯著特征：

·從漏洞利用細(xì)節(jié)公布到有效攻擊出現(xiàn)，時間窗口非常短暫，留給防御者的時間極其有限。在CVE-2018-7600 的應(yīng)急響應(yīng)事件中，這個時間窗口甚至已經(jīng)縮短到小時級；

·黑客普遍追求攻陷主機的數(shù)量。黑客在漏洞公布后短時間內(nèi)，迅速開發(fā)相關(guān)利用工具，通過自動化的掃描與利用，在互聯(lián)網(wǎng)上廣泛地搜集缺陷主機，存在漏洞的網(wǎng)站普遍都存在著被攻陷的風(fēng)險。因此管理員需要對網(wǎng)站出現(xiàn)的漏洞有足夠的重視，第一時間進(jìn)行升級和修補。

圖3.9 Drupal 漏洞的生命周期與時間點

3.3 DDoS 攻擊

關(guān)鍵發(fā)現(xiàn)：

· 普通SYN 攻擊、普通UDP 攻擊、NTP 反射、SSDP 反射攻擊在上半年占據(jù)主導(dǎo)地位

· 黑客釋放大規(guī)模流量攻擊的能力仍然在持續(xù)快速提升，絲毫沒有緩解跡象

· 2018 年上半年國內(nèi)網(wǎng)絡(luò)環(huán)境中的DDoS 流量，在3月重大政府活動期間受到明顯抑制

在我們的監(jiān)控中共有20 余種攻擊類型發(fā)生，其中在2018 年上半年中無論攻擊次數(shù)、攻擊流量都占絕對主導(dǎo)地位的攻擊類型共有4 類，分別是SYN 洪泛攻擊、UDP 洪泛攻擊、NTP 反射攻擊和SSDP 反射攻擊。

圖3.10 DDoS 攻擊手段的攻擊次數(shù)和流量占比

圖3.11 DDoS 各種攻擊類型的流量區(qū)間分布圖

從攻擊次數(shù)和與攻擊流量和兩個角度看，占主導(dǎo)地位的攻擊類型是截然不同的，前者顯示UDP 類型的流量占比為主要攻擊類型，而后者顯示SYN 類型的流量為主要攻擊類型，我們從流量區(qū)間看，UDP 攻擊主要分布在流量較小的區(qū)間內(nèi)，而SYN 攻擊在大型、中型的攻擊流量中較為常見。

圖3.12攻擊峰值的時間趨勢變化

從最高峰值來看，黑客的攻擊能力仍然在不斷提高，并沒有停止甚至緩解的趨勢，DDoS流量繼續(xù)成為互聯(lián)網(wǎng)中的“洪水猛獸”。與最高峰值相比而言，平均峰值倒是維持在一個較為穩(wěn)定的基線附近，為50Gbps 左右，當(dāng)然，這個峰值對絕大多數(shù)提供互聯(lián)網(wǎng)服務(wù)的企業(yè)而言，已經(jīng)難于招架。

綜合以上，我們可以說，黑客普遍擁有了釋放特大流量的能力，且能力仍處于持續(xù)快速提高的進(jìn)程中，這是防御、治理人員需要面臨的挑戰(zhàn)。

圖3.13 DDoS 攻擊次數(shù)和總流量的月度趨勢

從總流量與總次數(shù)來看，2018 上半年前期態(tài)勢較為平穩(wěn)，3月回落之后從4月開始，流量大幅激增，并且一直保持到五月底。DDoS 作為一種常規(guī)攻擊手段，從基本原理上講，并沒有其他威脅那樣翻新變化，攻防雙方并沒有根本性的技術(shù)革新，通過增加攻擊、防御資源的數(shù)量，總能取得效果。因此我們總能看到，在政府重點治理時期，網(wǎng)絡(luò)中的攻擊流量呈現(xiàn)出明顯的下降趨勢。