MITRE 分享了最近黑客攻击的更多细节,包括新恶意软件、归因、时间表
MITRE 于 4 月 19 日透露,黑客已瞄准其网络实验、研究和虚拟化环境 (NERVE),这是一个用于研究、开发、和原型设计。 黑客通过利用 Ivanti Connect Secure VPN 设备 0Day 漏洞(编号为 CVE-2023-46805 和 CVE-2024-21887)获得了初步访问权限。 网络间谍组织(Mandiant 追踪为 UNC5221)利用 0day 漏洞进行了数周有针对性的攻击,直到其存在被曝光,Ivanti 发布了缓解措施。受害者名单中包括网络安全机构 CISA,该机构表示该事件可能影响多达 10 万人。 MITRE 最初将这次袭击归咎于国家支持的 APT 组织,但没有透露更多细节。在后续帖子中,该组织澄清说,在事件调查期间观察到的威胁检测指标 (IoC) 与 Mandiant 归因于 UNC5221 的指标重叠。 MITRE 最初表示攻击发生在 1 月初,但现在透露,第一个入侵证据可以追溯到 2023 年 12 月 31 日。当时黑客利用 Ivanti 0day 漏洞首次访问 NERVE 网络。 2024 年 1 月 4 日,黑客开始对环境进行分析,与 VMware vCenter 和 ESXi 主机进行交互。 MITRE 表示:“随后,他们通过 RDP 成功登录 NERVE 内的多个帐户,利用劫持的凭据访问用户书签和文件共享,以深入了解网络架构。” 第二天,攻击者开始操纵虚拟机并建立对受感染基础设施的控制。 在接下来的几天里,攻击者部署了一些恶意负载,包括名为 BrickStorm 的 vCenter 后门和 MITRE 名为 BeeFlush 的先前未知的 Web shell。 1 月 11 日,即 Ivanti 0day 漏洞曝光的第二天,攻击者部署了另一个名为 WireFire 的 Web shell,并开始准备窃取数据。数据泄露发生在 1 月 19 日,涉及另一个名为 BushWalk 的 Web shell。 MITRE 在 4 月份才发现此次入侵。2 月中旬至 3 月中旬期间,黑客在 NERVE 环境中持续存在并尝试横向移动,但未能转向其他资源。 MITRE 黑客攻击中使用的 Ivanti 产品漏洞自其存在被公开以来已被广泛利用,被利用来危害数百台设备,包括政府、电信、国防和技术组织所拥有的设备。适当的补丁在一月下旬才发布。 关于 Mitre Mitre Corporation(简称为MITRE Corporation和MITRE)是一家美国非营利组织,它管理着联邦政府资助的研发中心(FFRDC),为航空、国防、医疗保健、国土安全和网络安全等领域的各个美国政府机构提供支持。 MITRE 成立于 1958 年,是一个军事智囊团,是从麻省理工学院林肯实验室的雷达和计算机研究部门分离出来的。 MITRE ATT&CK 框架于 2015 年推出,被《计算机周刊》描述为“免费、全球可访问的服务,为组织提供全面且最新的网络安全威胁信息”,被 TechTarget 描述为“全球知识”威胁活动、技术和模型的基础”。该框架已被美国网络安全和基础设施安全局以及联邦调查局使用。 转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/lrIaHnrBqtCWrSaByapzjg 封面来源于网络,如有侵权请联系删除
宜必思酒店自助登机终端存在安全漏洞,暴露客房访问代码
根据瑞士IT安全评估公司Pentagrid的报告,德国以及其他欧洲国家的宜必思快捷酒店存在一个自助登记亭漏洞,可能导致键盘代码被暴露,从而使得入住房间的安全受到影响。 该漏洞首次于2023年底被Pentagrid的黑客团队在德国一家宜必思快捷酒店的自助入住终端中发现,但他们认为这一漏洞可能存在于其他宜必思快捷酒店中。 宜必思快捷品牌隶属于法国酒店业巨头雅高集团。据该公司网站称,宜必思快捷酒店在 20 个国家/地区拥有 600 家酒店。 根据Accor的通知,他们已经向受影响的设备推出了补丁,并在一个月内通知了Pentagrid。 受影响的自助服务终端允许宜必思快捷酒店的顾客自助登记入驻。原本只需输入预订ID就能拿到房间号和密码,但Pentagrid发现,输入一串特殊符号后,系统会列出所有预订,并显示房间号和密码。这些密码在客人入住期间都有效,所以攻击者有可能利用这个漏洞进入客人的房间。 安全公司的研究人员认为,这个问题可能是因为供应商忘记了关闭一个功能或者测试过程中出现了问题,而不是特意设计的。他们在谷歌上搜索了宜必思快捷酒店登记入住亭的图片,找到了德国和法国等地的数十个酒店的照片。但目前还不清楚哪个公司生产的信息亭存在问题。 攻击者要利用这个漏洞,需要亲自到达目标终端,并且在夜间设置设备以允许自助服务。 转自安全客,原文链接:https://www.anquanke.com/post/id/295295 封面来源于网络,如有侵权请联系删除
黑客利用 GitHub 上的破解软件传播 RisePro 信息窃取程序
网络安全研究人员发现许多 GitHub 存储库提供破解软件,这些软件用于传播名为 RisePro 的信息窃取程序。 据 G-DATA 称,该活动代号为gitgub ,包括与 11 个不同账户相关的 17 个存储库。此后,相关存储库已被删除。 这家德国网络安全公司表示:“这些存储库看起来很相似,都有一个 README.md 文件,并承诺提供免费破解软件。” “Github 上通常使用绿色和红色圆圈来显示自动构建的状态。Gitgub 攻击者在他们的 README.md 中添加了四个绿色 Unicode 圆圈,假装在当前日期旁边显示状态,并提供合法性和新近度的感觉。” 存储库列表如下,每个存储库都指向一个包含 RAR 存档文件的下载链接(“digitalxnetwork[.]com”) andreastanaj/AVAST andreastanaj/Sound-Booster aymenkort1990/fabfilter BenWebsite/-IObit-Smart-Defrag-Crack Faharnaqvi/VueScan-Crack javisolis123/Voicemod lolusuary/AOMEI-Backupper lolusuary/Daemon-Tools lolusuary/EaseUS-Partition-Master lolusuary/SOOTHE-2 mostofakamaljoy/ccleaner rik0v/ManyCam Roccinhu/Tenorshare-Reiboot Roccinhu/Tenorshare-iCareFone True-Oblivion/AOMEI-Partition-Assistant vaibhavshiledar/droidkit vaibhavshiledar/TOON-BOOM-HARMONY RAR 存档要求受害者提供存储库 README.md 文件中提到的密码,其中包含一个安装程序文件,该文件解压下一阶段的有效负载,这是一个膨胀到 699 MB 的可执行文件,旨在使分析工具崩溃,例如IDA 专业版。 该文件的实际内容(总计仅为 3.43 MB)充当加载程序,将 RisePro(版本 1.6)注入 AppLaunch.exe 或 RegAsm.exe 中。 RisePro 在 2022 年底突然成为人们关注的焦点,当时它使用名为 PrivateLoader 的按安装付费 (PPI) 恶意软件下载服务进行分发。 它用 C++ 编写,旨在从受感染的主机收集敏感信息并将其渗透到两个 Telegram 通道,攻击者经常使用这两个通道来提取受害者的数据。 Checkmarx 最近的研究表明,可以渗透攻击者的机器人并将消息转发到另一个 Telegram 帐户。 Splunk 详细介绍了Snake Keylogger采用的策略和技术,将其描述为一种窃取恶意软件,“采用多方面的方法进行数据泄露”。 “FTP 的使用有助于文件的安全传输,而 SMTP 则可以发送包含敏感信息的电子邮件。”Splunk说。“此外,与 Telegram 的集成提供了一个实时通信平台,可以立即传输被盗数据。” 信息窃取恶意软件变得越来越流行,常常成为勒索软件和其他高影响力数据泄露的主要载体。根据 Specops 本周发布的一份报告,RedLine、Vidar 和 Raccoon 已成为使用最广泛的窃取者,仅 RedLine 在过去六个月中就窃取了超过 1.703 亿个密码。 Flashpoint 在 2024 年 1 月指出:“当前信息窃取恶意软件的兴起清楚地提醒人们,数字威胁不断演变。虽然其使用背后的动机几乎总是植根于经济利益,信息窃取者正在不断适应,同时攻击工具也更容易获得和使用。” 转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/a35RPaozgWVa-VOjO-1SCg 封面来源于网络,如有侵权请联系删除
数以千计的路由器和摄像头容易受到恶意僵尸网络的新 0day 攻击
网络公司 Akamai 的研究人员周四表示,不法分子正在积极利用两个新的0day漏洞,将路由器和录像机引入用于分布式拒绝服务攻击的恶意僵尸网络。 根据 Akamai 的一篇博客,这两个0day漏洞以前对其制造商和整个安全研究社区来说都是未知的,当受影响的设备使用默认管理凭据时,这两个漏洞允许远程执行恶意代码。 未知攻击者一直在利用0day漏洞来破坏设备,以便它们能够感染 Mirai,Mirai 是一款强大的开源软件,使路由器、摄像头和其他类型的物联网设备成为能够发起攻击的僵尸网络的一部分。Mirai僵尸网络发起的 DDoS 攻击规模以前难以想象。 Akamai 研究人员表示,受到攻击的0day漏洞之一存在于一种或多种网络录像机型号中。另一个0day漏洞存在于“为酒店和住宅应用构建的基于插座的无线 LAN 路由器”中。 该路由器由一家日本制造商销售,该制造商“生产多种交换机和路由器”。被利用的路由器功能是“非常常见的一个”,研究人员不能排除它在制造商销售的多种路由器型号中被利用的可能性。 Akamai 表示,已向两家制造商报告了这些漏洞,其中一家制造商已保证将于下个月发布安全补丁。Akamai 表示,在修复措施到位以防止0day漏洞被更广泛地利用之前,它不会确定具体设备或制造商。 “尽管这些信息有限,但我们认为我们有责任提醒社区注意这些 CVE 在野外的持续利用情况。负责任地披露信息以帮助防御者与过度分享可能导致成群威胁行为者进一步滥用的信息之间只有一线之隔。” Akamai 帖子提供了攻击中使用的大量文件哈希值以及 IP 和域地址。网络摄像机和路由器的所有者可以使用此信息来查看其网络上的设备是否已成为攻击目标。 远程代码执行使用一种称为命令注入的技术,该技术首先要求攻击者使用易受攻击的设备中配置的凭据来验证自身身份。身份验证和注入是使用标准 POST 请求进行的。 Akamai 研究员 Larry Cashdollar 在一封电子邮件中写道: 这些设备通常不允许通过管理界面执行代码。这就是为什么需要通过命令注入来获取RCE。 因为攻击者需要首先进行身份验证,所以他们必须知道一些有效的登录凭据。如果设备使用易于猜测的登录名(例如 admin:password 或 admin:password1),那么如果有人扩展凭据列表进行尝试,这些登录名也可能面临风险。 他表示,两家制造商都已收到通知,但迄今为止只有其中一家承诺发布补丁,预计将于下个月发布。第二个制造商的修复状态目前未知。 Cashdollar 表示,不完整的互联网扫描显示至少有 7,000 个易受攻击的设备。受影响设备的实际数量可能更多。 Mirai 于 2016 年首次引起公众广泛关注,当时僵尸网络(即由敌对威胁行为者控制的受感染设备组成的网络)以当时创纪录的 620 GB 每秒的DDoS攻击摧毁了安全新闻网站KrebsOnSecurity。 除了强大的火力之外,Mirai 的脱颖而出还有其他原因。首先,它征用的设备是路由器、安全摄像头和其他类型的物联网设备的集合,这在此之前基本上是看不见的。另一方面,底层源代码很快就可以免费获得。 很快,Mirai 就被用于针对游戏平台和为其提供服务的 ISP 的更大规模的 DDoS 攻击。从那时起,Mirai 和其他物联网僵尸网络就已成为互联网生活的一部分。 Akamai 发现的攻击中使用的 Mirai 僵尸网络恶意软件主要是一种名为 JenX 的较旧变种。不过,它已被修改为使用比平常少得多的域名来连接到命令和控制(C2)服务器。一些恶意软件样本还显示与称为“HailBot”的独立 Mirai 变体有关。 Akamail 观察到的0day攻击(包括冒犯性种族主义诽谤)中使用的代码与一家中国安全公司 5 月份观察到的针对俄罗斯新闻网站的 DDoS 攻击中使用的代码几乎相同。下图显示了并排比较。 研究人员尚未从 NVR 供应商那里获得据信受影响的设备型号和版本的完整报告。据估计,NVR供应商生产了大约100种NVR / DVR / IP监控摄像机产品 ——很难确切知道哪些受到影响,哪些没有受到影响。 转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/-SUf9IHVMC_qpj9fE-_aZQ 封面来源于网络,如有侵权请联系删除
巴基斯坦和阿富汗地区遭 DoNot Team 的新 Firebird 后门袭击
Hackernews 编译,转载请注明出处 近期,DoNot Team的黑客被发现使用了一种新型的基于.NET的后门,名为Firebird,其主要针对巴基斯坦和阿富汗的一些受害者。 网络安全公司卡巴斯基在其2023年第三季度APT趋势报告中披露了这一发现,称这些攻击链还配置了一个名为CSVtyrei的下载器(因其与Vtyrei相似而得名)。 这家俄罗斯公司表示:“示例中的一些代码似乎不起作用,其暗示着正在进行的开发工作。” Vtyrei(又名BREEZESUGAR)指的是先前被对手利用来传递名为RTY的恶意软件框架的第一阶段负载和下载器变种。 DoNot Team,也被称为APT-C-35、Origami Elephant和SECTOR02,疑似起源于印度,其攻击利用鱼叉式网络钓鱼电子邮件和恶意的 Android 应用程序来传播恶意软件。 卡巴斯基的最新评估是基于黑客 2023 年 4 月部署 Agent K11 和 RTY 框架的双重攻击序列的分析。 此外,网络安全公司Zscaler ThreatLabz披露了总部位于巴基斯坦的Transparent Tribe(又名APT36))攻击者使用更新的恶意软件库对印度政府部门开展了新的恶意活动,其中包括以前未记录的名为 ElizaRAT 的 Windows 木马。 安全研究员 Sudeep Singh上个月指出:“ElizaRAT以.NET二进制形式传递,并通过 Telegram 建立 C2 通信通道,使黑客能够完全控制目标端点。” Transparent Tribe自2013年以来一直活跃,利用凭证收集和恶意软件分发攻击,经常分发 Kavach 多因素身份验证等印度政府应用程序的木马安装程序,并将开源命令与控制 (C2) 框架(例如 Mythic)武器化。 这个黑客组织近期也也有了瞄准了Linux系统的迹象,Zscaler表示:他们发现了一小组桌面入口文件,这些文件为执行基于Python的ELF二进制文件铺平了道路,其中包括用于用于文件渗漏的GLOBSHELL以及从Mozilla Firefox浏览器中窃取会话数据的PYSHELLFOX。 Sudeep Singh表示:“印度政府部门广泛使用基于Linux的操作系统”,他补充说,瞄准Linux环境还可能是因为印度决定在跨政府和国防部门全面使用以Debian Linux为基础的操作系统Maya OS,以替代微软Windows操作系统。 除了DoNot Team和Transparent Tribe,还有来自亚太地区的另一个国家级行动者重点关注巴基斯坦地区。 代号神秘象(又名APT-K-47)的黑客组织被认为涉及一场利用一种名为ORPCBackdoor的新型后门的钓鱼攻击活动,该后门能够在受害者计算机上执行文件和命令,并从恶意服务器接收文件或命令。 知道创宇 404高级威胁情报团队曾在文章中表示,APT-K-47 与SideWinder、Patchwork、Confucius和Bitter等其他参与者的工具和目标有重叠,其中大多数被认为和印度有关联。 Hackernews 编译,转载请注明出处: 消息来源:thehackernews,译者:dengdeng;
Monti 勒索软件发布了一个新的 Linux 加密器
Monti勒索软件是一个同时具有Windows和Linux变种的勒索软件。其在2022年6月被首次发现,当时也引起了不少的关注。它不仅在名称上与臭名昭著的Conti勒索软件相似,而且在威胁行为上也非常类似。该小组以“Monti”为名,并故意模仿了Conti团队广为人知的战术、技术和程序(TTPs),整合了大量Conti的工具,甚至使用了Conti泄漏的源代码。自被发现以来,Monti团队一直在持续针对公司进行持续攻击,并在泄露的网站上公开曝光受害公司的数据。 Industry Count Legal 3 Financial services 2 Healthcare 2 Others 6 表1: Monti勒索软件泄露网站上出现的公司的行业(数据日为2023年3月至8月) Monti勒索软件被曝光两个月后,又开始了恶意活动,这一次他们的目标是政府部门。与此同时,一个新的基于Linux的Monti变种(Ransom.Linux.MONTI.THGOCBC)出现,其与先前的基于Linux的变种有显著差异。早期版本主要基于泄露的Conti源代码,新版本采用了不同的加密器,并具有额外的不同行为。截至撰写本文时,在VirusTotal上只有三家安全厂商将样本标记为恶意。 通过使用BinDiff将新变种与旧变种进行比较,我们发现它们的相似性仅为29%,而旧变种和Conti的相似性率为99%。 我们建议采取后续安全措施来保护重要数据: 实施多因素身份验证(MFA),以阻止攻击者在网络中横向扩展并获得对敏感数据的访问权限。 遵循3-2-1备份指南来生成关键文件的备份。该指南要求创建三个备份副本,使用两种不同的文件格式,并将一个副本存储在不同的位置。这种方法确保了冗余,并最大限度地降低了数据丢失的可能性。 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/3010/ 消息来源:trendmicro,封面来自网络,译者:知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
攻击者通过 Freeze.rs 和 SYK 密码器进行恶意软件分发
FortiGuard Labs研究人员发现了一种用Rust编写的新注入器,用于注入Shellcode并将XWorm引入到受害者的环境中。尽管Rust在恶意软件开发中相对不常见,但自2019年以来,包括Buer loader、Hive和RansomExx在内的几个攻击活动开始采用这种语言。FortiGuard Labs的分析还揭示了2023年5月注入器活动的显著增加,其中该Shellcode可以使用Base64进行编码,并可选择AES、RC4或LZMA等加密算法来逃避杀毒软件的检测。 通过检查编码算法和API名称,我们确定了这种新注入器的源自于红队工具”Freeze.rs“,该工具旨在创建能够绕过EDR安全控制的有效载荷。此外,在对攻击进行分析过程中,我们发现了SYK Crypter(一个通过社区聊天平台传递恶意软件的工具)加载Remcos。SYK Crypter于2022年出现,并被各种恶意软件家族使用,包括AsyncRAT、njRAT、QuasarRAT、WarzoneRAT和NanoCore RAT。 FortiGuard Labs研究人员还观察到2023年7月13日的钓鱼邮件活动,该活动通过一个恶意的PDF文件启动攻击链。该文件重定向到一个HTML文件,并利用”search-ms”协议访问远程服务器上的一个LNK文件。单击LNK文件后,将执行一个PowerShell脚本,用于进一步执行Freeze.rs和SYK Crypter等攻击行动。最终,XWorm和Remcos被加载,并与C2服务器建立通信。 在本文中,我们将深入研究用于交付Rust-lang注射器(SYK密码器)的初始攻击方法,并进一步探索攻击的后续阶段。 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/3008/ 消息来源:fortinet,封面来自网络,译者:知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
EoL-Zyxel 路由器五年前的漏洞仍在被利用
Bleeping Computer 网站消息,Gafgyt 恶意软件正积极利用 Zyxel P660HN-T1A 路由器五年前曝出的漏洞,每天发动数千次网络攻击活动。据悉,漏洞被追踪为 CVE-2017-18368,是路由器设备远程系统日志转发功能中存在的严重性未验证命令注入漏洞(CVSS v3:9.8),Zyxel 已于 2017 年修补了该漏洞。 早在 2019 年,Zyxel 就强调当时的新变种 Gafgyt 可能会利用该漏洞发动网络攻击,敦促仍在使用旧固件版本的用户尽快升级到最新版本,以保护其设备免遭接管。然而自 2023 年 7 月初以来,Fortinet 仍能够监测到平均每天 7100 次的攻击活动,且攻击数量持续至今。 Fortinet 发布警报表示截止到 2023 年 8 月 7 日,FortiGuard 实验室持续监测到利用 CVE-2017-18368 漏洞的攻击活动,并在过去一个月中阻止了超过数千个独特 IPS 设备的攻击企图。 试图利用 Zyxel 路由器中的 CVE-2017-18368 漏洞(来源:Fortinet ) Fortinet 指出虽然目前还尚不清楚观察到的攻击活动中有哪一部分成功感染了设备,但自 7 月份以来,攻击活动一直保持稳定。值得一提的是,CISA 近期发布了 CVE-2017-18368 在野外被利用的情况,并将该漏洞添加到其已知利用漏洞目录中,要求联邦机构在 2023 年 8 月 28 日前修补 Zyxel 漏洞。 为应对漏洞利用的爆发,Zyxel 又更新了安全公告,提醒客户 CVE-2017-18363 只影响运行 7.3.15.0 v001/3.40(ULM.0)b31 或更旧固件版本的设备,运行 2017 年为修复漏洞而推出的最新固件版本 3.40(BYF.11) 的 P660HN-T1A 路由器不受影响。 此外,Zyxel 表示 P660HN-T1A 在几年前就已达到报废年限。因此,强烈建议用户将其更换为更新一代的产品,以获得最佳保护。 路由器感染恶意软件常见迹象包括连接不稳定、设备过热、配置突然改变、反应迟钝、非典型网络流量、开放新端口和意外重启,如果怀疑自己的设备受到网络恶意软件的攻击,用户可以执行出厂重置,将设备固件更新到最新版本,更改默认的管理员用户凭据,并禁用远程管理面板,只从内部网络管理设备。 转自Freebuf,原文链接:https://www.freebuf.com/news/374532.html 封面来源于网络,如有侵权请联系删除
安全预警 | 多个国内网站遭境外政治黑客攻击 首页被篡改
近日,创宇盾网站安全舆情监测平台发现多个国内网站被境外政治黑客攻击,黑客对目标网站的首页进行篡改,并在国外社交媒体平台展示攻击结果。据知道创宇安全专家分析,本次攻击可能是对前段时间某大数据视频监测平台数据大规模泄露事件的回应。 黑客在社交网站发帖的部分截图 安全提示 近期请重点关注来自中东、土耳其等地区的异常访问或攻击情况,做好安全防护措施,知道创宇404积极防御实验室将密切跟进该事件: 1. 对重点网站或业务系统进行安全排查; 2. 对已经存在问题的网站或业务系统及时进行必要的安全整改; 3. 接入创宇盾【www.365cyd.com】进行防护,实时检测网站安全状态,防止黑客入侵,保护网站安全;
知道创宇 2018 年度网络安全(云安全)态势报告
前言 2018年,网络安全领域暗流涌动,攻击趋势不断攀升,T级DDoS攻击多次爆发、数据泄露事件层出不穷、勒索软件大行其道。此外,随着我国互联网行业“出海”新浪潮的来临,海外业务的激增刺激了大量海外黑客势力加入到“分蛋糕”的队伍。 除攻击源增多外,被攻击的目标范围也不断扩大,越来越多的攻击出现在此前少见的、更为细分的行业领域。各行业网站都面临着更加严峻的安全考验。 本报告采样2018年知道创宇云防御平台的网络攻防数据,重点针对DDoS攻击和Web攻击数据对2018年网络攻击态势进行展示与分析。 一、DDoS攻击趋势分析 2018年,DDoS攻击峰值突破T级。行业内防御攻击的最高峰值已达1980Gbps ,同比增长高达200% 。 同时,新型反射型攻击的相继出现,预示着DDoS攻击问题的严峻与棘手。 随着两会、数博会的召开,DDoS攻击次数在5月份达到上半年最高峰。下半年,随着电商促销等活动的进行,攻击量达到全年的高峰。有趣的是,攻击者似乎也有双休,周末较工作日的攻击情况相对缓和。 二、DDoS攻击规模对比分析 2018年以来,不同规模的攻击均成倍增长,尤其是中型DDoS攻击(10-50Gbps)更是惊人地增长了293.44% ,而超大型攻击(600Gbps以上)的增长率也已达93.33% 。与之相反,可被利用发动攻击的资源数量较去年却有所减少,稳定性也在逐步降低。 以上数据愈发验证了攻击成本在逐步下降,攻击者只需利用极少的资源,即可发动流量巨大的DDoS攻击,产生强大的破坏力。 三、DDoS攻击类型分析(流量型攻击) 2018年,流量型攻击依旧是企业的梦魇。新型攻击手法,如IPMI反射、TCP反射攻击等相继出现并逐渐活跃。但传统攻击手段如SYN Flood依旧是黑客最青睐的手段。 四、受DDoS攻击地域分布 2018年,中国依旧是全球遭受DDoS攻击最严重的国家。 就全国范围来看,攻击仍然集中于互联网经济较为发达的地区,如广东、浙江、江苏等地。 五、受DDoS攻击行业分布 2018年,DDoS攻击依旧集中在游戏、金融和泛区块链等收入较高的互联网行业。此外,政府网站受攻击比例大幅上升。尤其在第三、四季度,政府、教育机构成为黑客重点攻击的对象。 6月高考季,有黑客对高考查分网站、志愿填报网站以及多个大学官网发动DDoS大流量攻击。 六、CC攻击趋势分析 2018年,抗D保共抵御来自超过1.6亿IP发起的5千多亿次攻击。 七、 Web应用攻击趋势分析 2018年,网站整体攻击趋势呈不断上涨的态势,平均每日攻击量超8亿次,同时伴有较大的波动。2018年8月份出现攻击高峰,峰值达到单日49亿余次 八、Web应用攻击手段分析 在过去的一年中,黑客常用的Web攻击手段超过9种,其中占比最大的两种为:扫描器和网站后门。 九、Web应用攻击源地分析(境内) 2018年,97% 的Web攻击发起地域源于境内,3% 来自境外。 据境内攻击数据显示,大部分攻击源地分布在一些国家中心城市所在区域,比如:北京、河南、陕西、上海等地。 十、Web应用攻击源地分析(境外) 数据显示, 3.26%的Web攻击发起地域源于境外,且总体呈现平稳上升的攻击态势,平均每日攻击量数千万次,并伴有多次大幅波动。大部分攻击来自美国、韩国及日本等,其中美国一直以来都是最大的境外攻击源头。 需特别注意的是,来自境外的攻击中,针对政府和金融网站发起的攻击次数远高于其他网站。 【安全专家提示:为维护政府的正面形象,及保障金融网站的重要资产,需要建立完善且牢固的网络安全体系来保证网站的安全稳定运行。】 十一、受Web应用攻击行业分析 2018年,政府组织是黑客攻击的主要目标,一些包含大量有价值的数据信息的网站,经常会被网络爬虫获取大量数据。 其次,金融理财、新闻媒体以及近两年来兴起的区块链金融也非常容易受到网络攻击。此外,我国的地下互联网也存在着各种各样的网络威胁以及商业竞争,只要在行业内稍有名气,网络攻击就会伴随而至。 十二、创宇聚焦——政府网站攻击态势 政府网站不仅是一个国家形象重要的展示窗口,伴随着在线政务的发展,政府网站所遭受的网络攻击压力越来越大。尤其在有突发性政治、军事等敏感事件期间,政府网站受到的攻击会有一个明显的增长。 十三、创宇聚焦—境外敌对势力 数据显示,来自境外的网络攻击逐年上升,威胁不可小觑。不仅存在“匿名者”、“反共黑客”等长期活跃在网络世界的组织,更有一些隐蔽的专业黑客组织对我国政府、军事、金融等行业网站进行长期渗透。 以某境外黑客组织为例: 平均每月有10 余个网站被攻击 被攻击过的网站中,75% 已经不能正常访问 被攻击过的网站中,政府网站占比最高26% 被攻击网站的地理分布 十四、创宇聚焦—创宇盾威胁情报 2018年,创宇盾威胁情报平台共发现2000 多个安全威胁,其中,78% 的安全漏洞都属于严重及高危的漏洞,安全形势较为严峻。 十五、2018年度安全态势总结 2018年整体网络攻击趋势不断上升,绝大部分攻击仍然来自国内,来自境外的攻击趋势同样上升明显,威胁不可小觑。 随着我国各项网络安全政策的推进和实施,进一步加强了我国的网络安全保障能力。《推进互联网协议第六版(IPv6)规模部署行动计划》的出台有力推动了我国网络基础设施的发展,但伴随而来的安全风险也对各个网络安全厂商提出了新的要求和挑战。 知道创宇将继续秉承“侠之大者,为国为民”的使命,继续为全国政府、企事业单位及互联网用户提供顶级网络安全防护。 *数据来源:知道创宇云防御平台