首页
论坛
课程
招聘

360CERT网络安全八月月报 | IT服务业和制造业成为网络安全事件“重灾区”

2021-09-09 10:16

当前,随着数字化浪潮的不断加快,网络空间博弈上升到全新高度。潜在的漏洞风险持续存在,全球各类高级威胁层出不穷。洞悉国内外网络安全形势,了解网络安全重要漏洞是建设好自身安全能力的重要基石。近日,360CERT《网络安全八月月报》(以下简称“八月月报”)如期发布,重点关注了八月份安全漏洞分析、网络安全重事件、勒索病毒攻击态势、移动安全数据分析、样本分析等内容,多维度全方位梳理了当月网络安全热点,为掌握全局网络安全态势打下坚实基础。

 

安全漏洞

2021年8月,360CERT共收录55个漏洞,其中严重22个,高危18个,中危13个,低危2个。主要漏洞类型包含代码执行、内存越界漏洞、访问控制不当、命令注入、服务器端请求伪造等。涉及的厂商主要是Windows、 VMware、Atlassian、Apple、Apache 、IBM、Google等。




 


在八月月报收录的55个漏洞中,重点梳理了其中5个重点漏洞事件,包括CVE-2021-26084:Confluence OGNL 注漏洞2021-08: XStream 多个危漏洞CVE-2021-20032:SonicWall Analytics 远程代码执漏洞CVE-2021-36958: Windows Print Spooler打印机漏洞、2021-08 补丁日: 微软多个产品漏洞。

 

对此,月报中也给出了相应的安全建议:

l  各行业主管部门应积极关注相关应用或设备的威胁情报,建立完善的漏洞管理流程及应急响应流程,及时推动严重漏洞的修复流程;

l  企业内部应做好资产管理,及时进内部资产统计,完善内部资产管理体系,以便在漏洞出现时及时做好自查工作;

l  安装了安全产品企业应及时联系相关安全厂商定期更新安全产品检测规则,并定期进行内部漏洞扫描工作;

l  周期性的进行内部的安全测试或安全演习,及时发现并修复相关威胁;

l  定期进行企业安全培训,形成企业安全用网规范,提高员工安全意识。

 

安全事件

在本月发生的安全事件中,360CERT共收录213项,话题集中在数据泄露、恶意程序、网络攻击方面,涉及的组织有:Microsoft、Google、Cisco、华为、FBI、WordPress、Apple、Twitter等。涉及的行业主要包含IT服务业、制造业、金融业、政府机关及社会组织、批发零售业、医疗行业、交通运输业等。


 


一直以来,APT攻击对于国家和企业来说都是一个巨大的网络安全威胁,随着数智化进程的加快,海量数据资源不断产生成为“无价之宝”,这也给更多黑客特别是有专业力量的APT攻击团队有了可乘之机。

八月月报中重点梳理了近期发现的极具代表性的APT事件。APT-C-09(摩诃草)组织,又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是个来自于南亚地区的境外APT组织,该组织已持续活跃了7年。摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。八月月报中披露了来自美色的诱惑- APT-C-09(摩诃草)组织近期的攻击活动,提到360威胁情报中心捕获到几例借助美女图片作为诱饵的恶意样本程序,这些样本通过婚介主题来诱骗用户执行恶意程序或者文档文件,运行后释放对应图片文件并打开以达到伪装的效果,自身主体则与服务器连接,接收指令数据,达到攻击者远程控制用户设备的效果。

月报中还收录了APT-C-54(Gamaredon)近期技战术总结、猎天行动——CNC(APT-C-48)组织最新攻击活动披露等多起APT事件。此外,月报中重点回顾了八月份安全事件的重点事件,包括IT咨询巨头埃森哲遭遇Lockbit勒索软件攻击、SideWalk恶意软件分析等恶意程序事件;T-Mobile 证实系统遭到破坏等数据安全事件;Liquid货币交易所遭受黑客攻击,损失超过 9000 万美元等网络攻击事件以及工业控制设备中广泛使用的嵌入式TCP/IP协议栈存在严重漏洞等其他事件。

 

恶意程序

除了APT攻击带来的网络安全威胁外,勒索病毒的攻击同样是近年来网络安全的主要威胁之一。常见的攻击手段主要包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、Web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等,近年来,勒索病毒呈现持续高发趋势,其带来的网络安全威胁不容忽视。

八月月报中指出,2021年8月,全球新增的活跃勒索病毒家族有:LockFile、MBC、Karma、Malki、GetYourFilesBack、Salma、AllDataStolen、GoodMorning等勒索软件。其中LockFile严格意义上来说是2021年7月新增,但在7月仅发现一个受害者,从8月20日开始已出现10多个受害者;Karma是本月新增的双重勒索软件;MBC在本月成功攻击伊朗伊斯兰共和国铁路系统,并拥有自己的数据泄露网站,但尚未泄露受害者数据。

 

针对本月勒索病毒受害者所中勒索病毒家族进行统计发现,phobos家族占比22.03%居首位,其次是占比19.13%的Stop,Makop家族以10.01%位居第三。



月报中提到,对比近三个月的感染数据,GlobeImposter家族有持续下降的态势;已消失几月BeiJingCrypt勒索软件再次活跃;通过长时间的观察发现,在国内传播的LockBit勒索软件并非都涉及数据泄露,受灾面积小的企业/组织并未被该家族公开发布被窃取数据(但仍不排除有数据泄露风险)。

 

此外,通过对移动安全数据,主要是隐私窃取拦截量的分析发现,上海、泉州、深圳这三个省份移动端隐私窃取数量占据前列,基本上可以体现人口越集中、经济越发达、移动设备使用数量越多的省份,软件恶意行为更加猖獗,恶意软件存活比例越大。




面对严峻的勒索病毒威胁态势,360安全大脑针对企业用户给出了更有针对性的安全建议:

l  在企业信息化建设初期就要考虑系统的保护工作,提前做好安全规划,包括网络架构、内外网隔离、安全设备部署、权限控制和数据备份保护等;

l  要做好安全管理,包括账户口令管理、补丁与漏洞扫描、权限管控和内网强化等;

l  此外还要做好⼈员管理,提高员工的安全意识,规范员工的工作行为等。

l  在发现遭受勒索病毒攻击后,企业应该立即关闭中毒机器并关闭该机器的网络,联系安全厂商,对内部网络进行排查处理,并将公司内部所有机器口令进行更换。

l  在后续的防护工作中,要明确防护措施,做到定期对内部网络进行安全排除处理;登录口令要有足够的长度和复杂性,并定期更换登录口令;重要资料的共享文件夹应设置访问权限控制,并进行定期备份;定期检测系统和软件中的安全漏洞,及时打上补丁。

最后,月报中还提到了重要的一点,针对勒索病毒都不建议支付赎金,支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。




声明:该文观点仅代表作者本人,转载请注明来自看雪专栏
最新评论 (0)
登录后即可评论