2020年第1季网络安全态势监测报告

2020年第1季网络安全态势监测报告

恒安佳信（北京）科技有限公司继续对中国网络安全形势进行监测。2020年第一季度，恒安佳信观察到了许多有害行为，如网络攻击、网络欺诈、数据销售和互联网应用。在本报告中，我们详细分析了2020年第一季度该国的安全状况、web攻击、恶意软件、移动安全、网络欺诈、工业互联网安全、黑暗网络信息、p2p网络信贷和区块链。面对日益增长的网络信息安全威胁，恒安佳信继续引入新技术研究成果，加强高级别威胁信息的积累，并继续扩大工业互联网、物联网、区块链等新方向的安全监测。支持国家形成更及时、更准确、更全面的网络空间安全感知体系，提高中国的网络安全水平。1网络诈骗行为分析1）网络信息安全漏洞分析2020年第1季度收录的新增安全漏洞数量5431个．其中，高危漏洞占38.3%，中危漏洞占50.8%，低危漏洞占10.9%.重点漏洞———AtlassianJira漏洞———影响全国30个省市及中国香港、台湾地区，涉及IP数量共9360个；WebLogicIIOP产品漏洞影响全国31个省市及中国香港地区，涉及IP数量共5982条；AdobeColdFusion产品漏洞影响全国17个省市，涉及IP数量共278条．2）网络信息安全攻击事件分析2020年第1季度监控网络攻击事件中，Web攻击方式为“SQL注入攻击测试语句”最多，占比26.28%．发起攻击次数TOP3的地区分别为浙江省、江苏省和北京市，受Web攻击危害最严重的TOP3的地区为上海市、江苏省和浙江省．3）互联网恶意程序事件分析2020年第1季度监控到僵尸网络、木马、蠕虫活动中，上海市受到僵尸网络的侵害最为严重，占总僵尸网络事件数的32.88%；江苏省受到木马的侵害最为严重，占总木马事件数的28.55%；辽宁省受到蠕虫的侵害最为严重，占总蠕虫事件数的13.77%.4）移动互联网恶意程序事件分析2020年第1季度共捕获到的移动恶意程序事件中，最多的移动恶意事件为流氓行为，占比67%．移动恶意程序通常为擦边球的社交应用或者直播应用，通过带有诱惑性的视频或图片来推广下载，一旦用户安装，会窃听用户通话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害移动互联网网络安全等恶意行为．5）网络诈骗事件分析2020年第1季度监测到网络诈骗行为中，违法网站事件最多，其次是仿冒APP和钓鱼网站．从数量、波及范围、种类来看，还是处于高危影响的水平．网络诈骗的行为集中于违法网站、仿冒APP、钓鱼网站这3类．6）工业互联网态势分析2020年第1季度共监测到暴露在互联网的工业资产涉及工业企业共34254家．漏洞方面，工业资产漏洞最多的是“OpenSSLECDSANonces信息泄露漏洞”；安全事件方面，对工业资产发起攻击事件最多的是“门罗币挖矿矿池登录请求”．7）暗网数据态势分析2020年第1季度监测到暗网上的数据售卖事件共1092例，分为服务业务类、基础知识、技能技术类、实体物品、数据-情报、私人专拍、虚拟物品、影视色情、虚拟资源、其他类别十大类；售卖价额共23.07578个比特币，约113.1万元，售卖成交额共2.27759个比特币，近11.1万元．其中十大类别中“数据-情报”类别数据占比最大，数据条目达760例，售卖额共19.93796个比特币，约97.7万元，售出成功量达到101次，售卖成交额共1.73479个比特币，近8.5万元．可见目前数据-情报最为抢手．8)P2P网贷数据态势分析2020年第1季度共监测到6608个P2P网贷平台．省份分布上，广东、北京、浙江、上海是P2P网贷平台诞生最多的TOP4省份，也是当前可运营平台集中的省份；平台运营情况中，有3346个（占比51%）的网贷平台处于停业或转型状态，有2928个（占比44%）的平台有过兑付逾期行为，仅有334个（占比5%）的网贷平台处于正常运营状态．共有281个（占比84%）的平台采用“用户资金银行存管”方式运营；年化收益率区间上，8%～10%的年化收益率平台占比最高；民营系依然是当下尚运营P2P平台背景主流．9）区块链态势分析2020年第1季度共监测到区块链节点130626个，区块链APP为391个，DAPP为3934个；区块链APP中，金融理财最多，总占比为56%，热度最高的区块链APP为币看BITKAN；区块链网站中，热度最高的是币世界（）和比特币区块链浏览器（）；区块链应用项目中，最多的为Achain，与区块链相关项目共708个．2网络信息安全趋势的分析2.1网络信息安全漏洞分析如图1所示，按照漏洞危害级别划分，第1季度收录高危漏洞2081个（占38.3%）、中危漏洞2759个（占50.8%）、低危漏洞591个（占10.9%).如图2所示，按照漏洞影响对象类型划分，第1季度收录应用程序2899个、Web应用1180个、网络设备（交换机、路由器等网络端设备）496个、操作系统440个、安全产品169个、智能设备（物联网终端设备）190个、数据库57个．如图3所示，按照漏洞所属行业划分，第1季度收录电信行业漏洞258个、移动互联网行业漏洞285个、工控行业漏洞543个．如图4所示，按照漏洞所属厂商划分，第1季度收录漏洞厂商TOP10涉及Oracle,Microsoft,Apple,Cisco等厂商．其中，收录Oracle漏洞位列第一．2)IOT漏洞分析如图5所示，2020年第1季度，收录涉及IOT产品漏洞数量共计870个，其中高危漏洞331个（占38.0%），中危漏洞411个（占47.2%），低危漏洞128个（占14.7%).2.2web攻击事件分析图6所示为受Web攻击危害最为严重的省份排行TOP10．上海市受到Web攻击的侵害最为严重，占总Web攻击事件数的17.68%，其次为江苏省和北京市．Web攻击排行TOP5的事件依序为：SQL注入攻击、struts2-045远程命令执行、Web弱口令尝试、XXE注入攻击和针对MYSQL的恶意利用．2.3木马和感染事件分析图7所示为受僵尸网络危害最为严重的省份排行TOP10．上海市受到僵尸网络的侵害最为严重，占总僵尸网络事件数的32.88%，其次为四川省和北京市．僵尸网络排行TOP5的事件依序为：僵尸网络DDoS.Win32.ServStart、僵尸网络DDos.Win32.ServStart、僵尸网络billgates、僵尸网络DDos.IoT.Mirai和Trojan.Win32.Generic.2）木马事件分析图8所示为木马危害最为严重的省份排行TOP10．江苏省受到木马的侵害最为严重，占总木马事件数的28.55%，其次为四川省和辽宁省．木马排行TOP5的事件依序为：Win32.Nitol.K变种、Trojan.Win32.Generic恶意URL初始化、Rouge.NetReapar、Ganiw后门和ELF.MrBlackDOS.TF变种．3）蠕虫事件分析图9所示为受蠕虫危害最为严重的省份排行TOP10．辽宁省受到蠕虫的侵害最为严重，占总蠕虫事件数的13.77%，其次为江苏省和上海市．蠕虫排行TOP5的事件依序为：RAMNIT.AM2、永恒之蓝相关蠕虫、Worm.Win32.Dorkbot、RAMNIT.A.M1和WannaCryptor.a.RAMNIT.AM2占据榜首位置，TOP5中占比为57%，是第1季度发起攻击最多的蠕虫类型．2.4流蚤行为类恶意程序监测数据分析2020年第1季度受害操作系统主要有4个，分别为安卓系统、黑莓系统、苹果系统、塞班系统．其中安卓操作系统受害量最多．2）流氓行为分析图10所示为2020年第1季度流氓行为受害最为严重的省份排行TOP10．江苏省受到流氓行为的侵害最为严重，占总流氓行为数的14.6%，其次为四川省和甘肃省．图11所示为流氓行为类恶意程序排行TOP5情况．“A.Rogue.sexpay.a”占据榜首位置，占比为84%，是第1季度最多的流氓行为类型．3）隐私窃取分析图12所示为2020年第1季度隐私窃取类危害最为严重的省份排行TOP10．河南省受到隐私窃取的侵害最为严重，占总隐私窃取事件数的9.9%，其次为广东省和江苏省．图13所示为隐私窃取类型排行TOP5情况．“A.Privacy.tinyurl.a”占据榜首位置，占比为27%.4）各省份恶意程序态势比较2020年第1季度恶意程序事件增幅TOP3的省分别为湖北省、甘肃省、云南省，其中湖北省增幅达到了518%.如表1所示，湖北省恶意程序事件增加的主要原因是流氓行为事件增加．2.5网络诈骗事件的分析1）钓鱼网站事件分析图14所示为对某省内钓鱼网址类型进行分类分析．省内钓鱼网址类型中威尼斯人诈骗网站事件占比最大，占总事件量的53%，其次为杀猪盘赌博类诈骗，占比23%，其余类型占比较小．针对钓鱼网站事件中域名被访问次数为维度开展深入分析，其中域名519397.com被访问次数最多，为7000余次，该域名对应的IP为91，归属于北京．钓鱼网站被访问次数TOP5分布情况如图15所示：2）仿冒APP分析图16所示为对某省内仿冒APP危害行为进行分类分析．杀猪盘赌博APP事件量最大，占事件量的53%．杀猪盘赌博APP是网络诈骗类APP，通过上传APP到各大应用商店，诱导用户下载，下载后会诱骗受害人进行转账或者充值，造成财产损失．针对仿冒APP事件中域名被访问次数为维度开展深入分析，其中域名g500.ag被访问次数最多，为12万余次，该域名对应的IP为39，归属于美国．仿冒APP被访问次数TOP5分布情况如图17所示．3）违法网站分析图18所示为对某省内违法网站危害行为进行分类分析．色情诈骗量最大，占事件量的58%．色情诈骗行为是以色情内容诱导用户充值，可能使用户个人信息泄露并造成一定的经济损失．针对违法网站事件中域名被访问次数为维度开展深入分析，其中域名被访问次数最多，为94万余次，该域名对应的IP为44，归属于香港，主要利用的危害行为为网络诱导色情诈骗．违法网站被访问次数TOP5分布情况如图19所示：2.6工业安全事件如图20所示，全国工业企业资产归属行业最多的为研究和试验发展，占比为14%，其次是制造业和计算机、通信和其他电子设备制造业，分别占比为12%和7%.2）工业漏洞态势分析如图21所示，2020年第1季度工业企业资产漏洞排行TOP3的是OpenSSLECDSANonces信息泄露漏洞、OracleMySQLServer存在未明漏洞（CNVD-2015-02478）和pyOpenSSLSSL客户端证书验证安全绕过漏洞．如表2所示，2020年第1季度江苏省的OpenSSLECDSANonces信息泄露漏洞数量最多，为1506个．3）工业安全事件分析如图22所示，2020年第1季度对工业企业资产发起攻击的事件排行TOP3的是门罗币挖矿矿池登录请求、检测到疑似铁虎APT组织-DNS请求行为和Web弱口令登录尝试．如表3所示，排名TOP3的工业企业资产安全事件类型最多的省份是湖南、广东和浙江．通过表3发现“门罗币挖矿矿池登录请求”攻击事件数量最多，这是门罗币挖矿木马，主要通过各种漏洞如struts2、Weblogic以及永恒之蓝等，将门罗币挖矿木马种植在肉鸡上，主要用于为攻击者挖矿来获得收益．2.7暗网数据-情报类售价额分析1）暗网数据类别分析如图23所示，2020年第1季度，暗网售卖中数据-情报类占比最大，共760例，占总数的70%，影视色情类数据售卖114例，占比10%.2）暗网数据-情报类数据售卖态势分析2020年第1季度共监测到暗网数据-情报类数据售卖共760例，售卖价额共24.90843个比特币，售出成功量达到101次，售卖成交额共1.73479个比特币．所被贩卖的数据按照类别细分如图24和图25所示．3）暗网数据-情报类数据涉及区域分析通过监测全国各个省份数据-情报类数据售卖情况，对其数据所属地进行统计，其中涉及相关省份数据-情报数据售卖分布情况表如表4所示：如图26所示，根据表4统计的售卖各个省份数据-情报类的数据分布情况发现，澳门由于博彩属性，信息泄露情况占比较高，共约占24%的监测数据．4）暗网数据-情报类售卖价额分析通过监测暗网内数据-情报类数据售卖情况，对数据售卖价额进行统计排行，其中数据售卖额TOP5如表5所示：5）暗网数据-情报类热度分析如表6所示，通过监测2020年第1季度暗网全国数据-情报相关数据售卖情况，对其数据-情报类型数据热度进行统计分析，列举出数据-情报类热度TOP5.由表6可知，数据-情报中，第1季度暗网售卖数据热度最高的售卖标题为：“全国342家口罩厂家联系方式”，扩展观察：由于疫情原因医疗相关数据热度增高．2.8p2p网贷平台运营状态1)P2P网贷平台省份分布2020年第1季度，监测共掌握6608个P2P网贷平台相关信息，对其平台所属地进行统计，相关省份分布情况如表7所示．广东、北京、浙江、上海是P2P网贷平台诞生最多的TOP4省份，广东省更是以1120个P2P网贷平台归属高居榜首．尚处正常运营中的P2P平台数量，北京市、广东省、上海市也明显高于其他省份，全国有8个省份地区已无P2P平台的运营（除港澳台）．2)P2P网贷平台运营状态目前监测平台上掌握的6608个P2P网贷平台相关信息，对其P2P网贷平台运营状态进行统计（去除部分不可统计数据），相关运营状态如图27所示：通过掌握的P2P网贷平台数据，全国当前已有约51%的网贷平台处于停业或转型状态；约有44%的P2P网贷平台有过兑付逾期情况，这类平台已令部分投资者蒙受损失．当前，仅有334个，约5%的网贷平台处于正常运营状态，由此可看出当前P2P网贷平台面临的运营窘境．3)P2P网贷平台（正常运营）用户资金银行存管情况目前监测平台上掌握334个正常运营中的P2P网贷平台，对其P2P网贷平台用户资金银行存管情况进行统计（去除部分不可统计数据），相关资金银行存管情况如图28所示：从掌握情况看，尚运营的平台中，全国达84%的P2P网贷平台交易是选择用户资金银行存管方式．用户资金银行存管的运营方式，能够有效降低投资人的资金风险性，也更利于P2P平台的长期向好发展．4)P2P网贷平台（正常运营）年化收益率目前监测平台上掌握334个正常运营中的P2P网贷平台，对其P2P网贷平台收益率进行统计（去除部分不可统计数据，共有213个可统计平台），相关平台收益率分布如图29所示：5)P2P网贷平台（正常运营）背景分布目前监测平台上掌握334个正常运营中的P2P网贷平台，对其P2P网贷平台背景进行统计（去除部分不可统计数据，共有303个可统计平台），相关平台背景分布如图30所示．P2P网贷平台的背景种类繁多，但民营系依然是当下尚运营的P2P平台背景主流．虽然其他几系因具有更好的投资稳定性，受投资者追捧，但民营系平台同样具有投资门槛低、投资周期短、投资利率高、运营能力更加灵活等优点，受到投资者青睐．2.9数据分析发现1）区块链节点数据分析如图31所示，2020年第1季度监测发现主要区块链节点共130626个，主要为比特币、莱特币、以太坊和恒星链．其中比