奇安信发布《2019年网络安全应急响应分析报告》：针对大中型企业的攻击增多

中国规模最大的网络安全公司奇安信近日发布《2019年网络安全应急响应分析报告》，报告披露，针对各政府机构、大中型企业的攻击呈逐年上升趋势，网络攻击从未停止过。

其中，医疗卫生、政府部门、事业单位行业是攻击者攻击的主要目标。报告从应急事件受害者、攻击者两个维度进行了全面分析，并公布了涉及交通、政府、医疗、教育、互联网公司等多领域的十大典型事件案例。

2019年针对政企机构、大中型企业的攻击从未间断 3月达到高峰

2019年1~12月奇安信集团安全服务团队共参与和处置了1029起全国范围内的网络安全急响应事件。同比2018年全年增长312起。数据显示，2019年1月至3月，应急请求逐月上升，于3月份达到全年最高，4月份之后应急请求逐渐趋于平稳。

图1 政府机构、大中型企业应急响应服务走势

从上述数据可以看出，2019年针对政企机构、大中型企业的攻击从未间断过，其中3月份是攻击的高峰。通过对政企机构、大中型企业发生网络安全事件类型进行分析， 3月份“永恒之蓝下载器”木马安全事件全面爆发，导致应急需求呈全年最高。3月之后应急请求呈下降趋势并逐渐趋于平稳，安服团队分析认为，“永恒之蓝下载器”木马已基本得到遏制。

医疗卫生、政府部门、事业单位行业是2019年攻击者攻击的主要目标

报告对2019年全年处置的所有应急事件从政企机构被攻击角度，对受害者行业分布、攻击事件发现方式、影响范围以及攻击行为造成的现象进行统计分析，反映2019年全年应急响应情况和各政企机构内部网络安全情况。统计发现，2019年全年应急处置事件最多的行业TOP3分别为：医疗卫生行业（153起）、政府部门行业（132起）以及事业单位（118起），事件处置数分别占应急处置所有行业的14.8%、12.8%、11.5%。三者之和约占应急处置事件总量的39.2%，即全年大于三分之一的应急处置事件发生于医疗卫生、政府部门、事业单位。

图2 政府机构、大中型企业应急响应行业TOP15分布

从行业报告排名可知，2019年全年攻击者的攻击对象主要分布于政府机构、事业单位以及国家重要基础性建设行业。其中，医疗卫生行业全年被攻击者攻击次数最多，其次为政府部门、事业单位、公检法、金融等重要行业。

报告同时对影响范围分布和攻击现象进行了统计分析：2019年全年应急安全事件的影响范围主要集中在业务专网，占比33.5%；办公终端，占比为19.5%。其次为内部服务器和数据库，16%；外部网站和内部网站，14%。而被攻击后，攻击者对系统的攻击所产生现象主要表现为导致生产效率低下、数据丢失、系统/网络不可用。

黑产和敲诈勒索是攻击政府机构、大中型企业的主要原因

报告从应急响应事件攻击者的维度分析，2019年全年应急事件中，黑产活动、敲诈勒索仍然是攻击者攻击政府机构、大中型企业的主要原因。

黑产活动占比30%，攻击者通过黑词暗链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利；其次为敲诈勒索占比25.6%，攻击者利用勒索病毒感染政府机构、大中型企业终端、服务器，对其实施敲诈勒索。

对于大部分攻击者而言，其进行攻击的主要原因是为获取暴利，实现自身最大利益。另有3.4%为内部违规响应事件，攻击者利用政府机构、大中型企业业务人员、运维人员的安全意识低，操作不规范等原因，趁虚而入。

图3 政府机构、大中型企业应急攻击意图TOP11统计分析

半数以上攻击类型为木马病毒勒索病毒居首

通过对2019年全年政府机构、大中型企业安全事件攻击类型进行分析，数据显示，2019年应急响应处置事件中常见的攻击类型主要表现在木马病毒攻击、漏洞利用、网页篡改等方面。排名前三的类型分别是：木马病毒攻击，占比50.4%；漏洞利用，占比17%；网页篡改，占比4.8%。

图4 政府机构、大中型企业应急攻击类型统计分析

其中，木马病毒攻击是最常被使用的攻击类型，攻击者利用木马病毒对办公系统进行攻击，通常会产生大范围感染，造成系统不可用、数据损坏或丢失等现象，常见表现为：攻击者使用勒索病毒对服务器进行感染，从中获取个人利益等；利用如挖矿木马、 “永恒之蓝下载器”木马等对服务器、系统进行攻击，使得服务器CPU异常高，从而造成生产效率低下等现象，常见表现为：攻击者使用挖矿木马攻击系统，进行黑产活动，谋取利益。

在木马病毒攻击中，2019年全年政府机构、大中型企业安全事件遭受攻击常见木马排名前三的为勒索病毒、挖矿木马以及一般木马，分别占比32.1%、15.7%、6.4%。

图5 政府机构、大中型企业遭受攻击常见木马类型分析

从以上数据可以看出，勒索病毒、挖矿木马仍为攻击者攻击政府机构、大中型企业的常见木马类型。其中，勒索病毒常见于GlobeImposter勒索软件、Wannacry勒索软件、Crysis勒索软件、GandCrab勒索软件等。

需要特别注意的是，“永恒之蓝下载器”木马是一个利用多种方式横向传播的后门及挖矿木马，其初期利用某软件的升级通道进行下发传播，随后在其模块添加“永恒之蓝”漏洞利用、弱口令爆破、哈希传递、MSSQL爆破等横向移动方式并采用添加恶意服务、计划任务等在机器上持久化驻留并上传用户信息。由于其爆发力强，传播速度快的特点，仅2个小时受攻击用户就可高达10万并且木马作者一直更新其攻击模块。

弱口令是导致政企机构、大中型企业被攻陷的重要原因

安服团队通过对2019年全年应急响应处理漏洞利用攻击事件进行统计分析发现，弱口令、永恒之蓝漏洞是政企机构、大中型企业被攻陷的重要原因，其次，weblogic反序列化也经常作为黑客日常利用的攻击手段。

通过对2019年全年应急响应处理漏洞利用攻击事件进行统计分析，弱口令、永恒之蓝漏洞是政企机构、大中型企业被攻陷的重要原因，其次，weblogic反序列化也经常作为黑客日常利用的攻击手段。

图6 应急响应事件中常见漏洞利用方式弱口令占比最高

除弱口令、永恒之蓝漏洞以及weblogic反序列化漏洞外，任意文件上传、服务器漏洞以及Struts2命令执行漏洞同样是黑客青睐的利用方式，黑客通过利用某一漏洞侵入系统，传播病毒，最终造成数据丢失和篡改、隐私泄露乃至金钱上的损失等一系列连锁反应。

报告指出，完善的应急响应预案和演练工作应成为政府机构、大中型企业日常管理运营的重要部分，通过应急演练了解自身网络安全存在的短板以及自身防御能力。

同时，网络安全应急响应需要政府机构、安全厂商、企业加强合作、取长补短。事实上，网络安全厂商提供的网络安全应急服务已经成为政府机构、大中型企业有效应对网络安全突发事件的重要手段。

点击阅读全文可看报告全文