绿盟 2020互联网安全事件观察报告

2020 互联网安全事件观察报告 m o c . 5 绿盟科技威胁响应中心 h t i g b u 前提概要 ◼ 年度各类事件数量统计总览 1 ◼ 年度重大安全事件 Top 20 2 ◼ 年度安全事件观察结果 3 ◼ 漏洞 c . 5 4 漏洞观察漏洞处置三部曲 ◼ 勒索软件勒索事件观察 h t i g 勒索事件处置观察 b u 5 6 7 ◼ 信息泄露信息泄露事件观察 m o 8 ◼ 工控行业安全事件工控安全事件观察 10 工控威胁现状观察 11 年度各类事件数量统计总览以下数据为全年监测到的各类安全事件资讯逐月数量统计 10000 所有类别 2019年 6874 7094 6622 6424 6732 2 3 4 5 6 588 701 7433 7588 7462 7 8 901 945 2020年 6846 7248 6643 9 10 11 12 876 891 4782 5000 0 1 2000 勒索软件 1000 432 498 187 c . 5 0 500 信息泄露 235 267 0 m o 720 327 304 h t i g 209 b u 382 328 198 387 688 366 298 220 244 400 工控事件 234 200 160 80 100 97 155 203 114 211 182 119 97 0 8w+ 全年监测收集到的各类安全事件共计 81748，信息来源于各类漏洞库、国内外安全资讯网站、社交媒体等。 109 今年共发布安全通告109 篇，防护方案 11 篇。分类经观察全年安全事件主要有如下几类：漏洞类、勒索软件、信息泄露、工控、攻击事件及恶意软件。年度重大安全事件 Top20 1月 2020 开年大洞，微软 Windows CryptoAPI 验证绕过漏洞 CVE2020-0601 美天然气管道运营商遭勒索软件攻击米高梅旗下酒店1070万住宿客户信息遭黑客散布 Weblogic 多个远程代码执行漏洞 SMBGhost，微软SMBv3远程代码执行漏洞 Wi-Fi 漏洞 Kr00k 影响超十亿台设备 m o 特斯拉、波音等公司的零件制造商拒付赎金后，被窃机密遭泄露打着新冠疫情名义的钓鱼攻击、恶意软件传播、诈骗活动频发 c . 5 视频会议软件 Zoom 重大漏洞导致数万私人视频被公开围观委内瑞拉国家电网干线遭受攻击，造成全国大面积停电 6月 h t i g Ripple20，Treck TCP/IP堆栈多个安全漏洞 SigRed ，Windows DNS服务器远程执行代码漏洞 Netlogon 超危提权漏洞（CVE2020-1472） b u F5 BIG-IP TMUI 远程代码执行漏洞（CVE-2020-5902） Bad Neighbor , Windows TCP/IP 远程代码执行漏洞工业物联网芯片制造商Advantech 证实遭受勒索软件攻击，公司文件被窃。超1600万巴西 COVID-19 患者个人和健康详细信息在网上暴露 FireEye 遭网络攻击，红队工具被窃。网络钓鱼活动目标锁定疫苗研发公司、新冠疫苗冷链组织网络管理软件供应商 SolarWinds 遭供应链攻击，部分版本的 Orion Platform 更新文件中被植入后门 12.30 个人及企业对于高危漏洞的关注程度逐年增高，这些漏洞所能造成的直接影响已经较早些年大大降低。不过即便修复了漏洞也不能高枕无忧，有几类攻击也已活跃多年，他们产生的影响能渗透进生产生活的各个方面。这些暗中操作，影响持久的攻击事件就是勒索软件攻击和信息泄露。年度安全事件观察结果 “暗黑三兄弟”臭味相投、互相“扶持” 各类攻击手法之间或多或少存在一种默契，相互“扶持”来使各自的攻击效果最大化。漏洞、信息泄露、勒索软件就颇有“臭味相投”的意思。单独的一个高危漏洞已足以引起各路安全专家的注意，不过这才仅是个开始，一些漏洞被攻击者武器化后，通过掌握的泄露信息精准投放，入侵目标系统实施勒索，勒索时窃取到的信息又作为筹码被拿到黑市上交易，由此从中持续获利。观察近些年的网络攻击事件，发现这种模式已经被攻击者广泛利用。漏洞 - 被泄露的信息，被攻击者用来锁定目标系统，并尝试漏洞利用 - 利用漏洞攻入组织内部后又会窃取信息 m o - 集成了武器化漏洞的勒索软件杀伤力巨大信息泄露 h t i g c . 5 b u 勒索软件 - 泄露的信息，有助于发起针对性社工或钓鱼攻击，并借此传播勒索软件 - 勒索成功后，再次窃取目标信息肆虐虚拟网络空间的“暗黑三兄弟”在工控领域中也“大施拳脚” 工控系统是水利、电力、石油化工、制造、航空航天等诸多国家命脉行业的基础设施，因此在利益、政治等因素驱动下的攻击者也是对其虎视眈眈。工控系统软硬件更新更换困难的现状使得不少漏洞隐藏其中而得不到修复；勒索软件使工业生产停滞的代价更是迫使许多企业不得不满足攻击者的要求。疫情大环境下的网络安全今年由于疫情原因，有不少攻击者利用民众对于疫情的关注来进行攻击，加剧了信息泄露的风险和恶意软件的传播。类似疫情这种大规模公共安全事件的发生也会影响到网络空间，不论是恶意APP还是不实谣言等都给管理网络空间安全带来了极大的挑战，网络安全不能完全脱离物理安全来考虑，应全方位的进行综合性评估，才能避免大规模的恶意攻击蔓延。漏洞观察近五年 CVE 数量统计 14646 CVE 总量连续四年创新高 16511 17306 18354 2018 2019 2020 6447 2016 2017 低危中危高危自2017年CVE数量飙升超过1.4万，此后每年发布的CVE个数都再创新高。要论今年增长的原因，疫情影响应该算得上一个。疫情时期，组织在快速将应用推向市场和维护代码安全性之间恐怕更倾向于前者。而且今年各国各地远程办公人数迅速增加，个人终端设备接入了公司网络，远程协作办公软件如视频会议、文档协作、虚拟专用网等自然也成为白帽黑客和攻击者的又一大目标。数据来源： https://nvd.nist.gov/general/visualizations/vulnerabilityvisualizations/cvss-severity-distribution-over-time#CVSSSeverityOverTime m o 老洞经久不衰，新洞层出不穷据统计，漏洞具有平均七年的生命周期，2020 年遭频繁利用的漏洞几乎可以肯定将在2021年继续遭利用。能被反复利用的漏洞基本上已被武器化，或至少拥有公开/半公开可利用程序，且其目标多是广泛使用的操作系统、个人/企业常用软件、组件等。FireEye 被窃的红队工具包所涉及的漏洞能从侧面验证这一观点。以下列举部分今年被广泛关注的常用软件漏洞： Windows Bad Neighbor SigRed SMBGhost Exchange Oracle h t i g c . 5 b u Windows TCP/IP远程代码执行漏洞 CVE-2020-16898 Windows DNS 服务器中具有蠕虫特性漏洞CVE-2020-1350 SMBv3 中具有蠕虫特性的 RCE 漏洞CVE-2020-0796 Exchange 远程代码执行漏洞CVE-2020-0688遭多个APT组织利用 Weblogic 漏洞高产产品CVE-2020-2551/14882/14883 Apache Tomcat Apache Tomcat 文件包含漏洞CVE-2020-1938 浏览器 IE 0day 同 Firefox 0day(CVE-2019-17026)一起被 APT组织 Darkhotel 利用 Chrome 0day CVE-2020-15999 结合社工利用，野外发现攻击行为 Firefox 0day CVE-2020-6819/6820 Mozilla 提示发现了针对性的在野利用攻击 IE 0day CVE-2020-1380 在 Operation PowerFall 攻击活动中被发现 Zoom 攻击者通过Zoom聊天功能进行远程代码执行，从而获得特权控制用户主机远程办公在应对全年以万计数的漏洞时，应首先及时修复那些已被或易被武器化的漏洞，通过合理定级做取舍！漏洞处置三部曲一、事先预防资产梳理系统、软件、组件梳理跟踪关注更新自主挖掘安全隐患梳理各类业务常用的系统、组件等。密切关注官方及第三方安全通告，确保在第一时间了解新漏洞情况。同时自行挖掘某些关键组件的安全隐患，早发现早解决。二、漏洞评估定级攻击向量访问权限用户交互额外配置 0day PoC 公开 Exp 公开核心组件通用组件冷门组件在线暴露量官方补丁官方缓解措施常规防护措施漏洞基本面可利用程度 h t i g 影响范围补丁情况三、应急处置技术分析影响统计检测防护产品整体方案并非每个漏洞都很“急” 漏洞大体可以从 4 个方面综合评估： 1，漏洞基本面是否可以远程触发、是否需要特定权限、是否需要用户交互、是否需要额外配置 m o c . 5 b u 2、可利用程度是否是 0day 漏洞、是否已有公开的 PoC 、是否已有公开的 Exp 3、影响范围是否核心组件受影响、是否通用组件受影响、受影响组件在线暴露量是否较多 4、补丁情况官方是否已提供补丁、官方是否给出缓解措施、如果没有官方补丁和缓解措施，是否有常规防护措施确认漏洞的威胁等级后，进行相应的应急处置。通过分析漏洞的成因和攻击链，准备检测和防护措施。统计具体的影响面，形成完整的防护方案。勒索事件观察攻击事件爆炸增加勒索手法频出花样索要赎金节节攀升不幸中招伤财伤人殃及行业 Top 5 市政及公共部门制造业学术教育医疗卫生工控活跃勒索软件 Top 10 Sodinokibi/REvil Maze SNAKE/EKANS Ryuk Nemty 针对国家 Top 5 Nephilim NetWalker Doppe