网络安全观察报告 攻击态势

news2024/9/30 11:27:38

设备类漏洞从未缓解

从图 5.1 中可以看到,针对设备漏洞的攻击占全部利用漏洞攻击的 43%,这和近两年智能路由器等 联网设备大规模增长密切相关。正如绿盟科技在《2017 年物联网报告》1 中提到的那样,很多智能设备 在设计之初,安全问题并没有被严肃对待,于是随着设备的推广,市场上出现大量常年不更新不维护的 高危设备。即使厂商已经发现甚至很早前已经推出解决方法或升级补丁的设备,但是仍有大量设备的脆 弱性状况至今仍未有改善,这和设备升级维护机制设计不合理有很大的关系,毕竟设备和传统 PC 不同,
没有复杂的内置应用,也无法有效提供丰富的检测防御和自动维护服务,这样一来黑客攻击成功率极高, 成本和复杂度极低。
图 5.2 设备漏洞利用抽样统计
在 2018 年,和其他攻击流量对比,设备漏洞攻击的情况从未得到有效缓解,另一方面也说明,设 备漏洞状况长期为人所忽略。从监测情况来看,下列设备及漏洞被黑客攻击还是比较严重的:

  • Netcore / netis 路由器
    后门- D-Link dsl-2750b 任意命令执行漏洞
  • 大华监控设备非授权访问漏洞
  • TP-Link无线路由器 http/tftp 后门漏洞
  • D-Link路由器 user-agent 后门漏洞 (CVE-2013-6026)
  • ASUS路由器固件 Asuswrt Lan 后门命令执行漏洞 (CVE-2014-9583)
  • 华为 HG532 路由器远程命令执行漏洞 (CVE-2017-17215)
  • 施耐德派尔高 Sarix Pro 网络摄像头 import.cgi xml
    实体注入漏洞- 施耐德派尔高 Sarix Pro 摄像头
    session.cgi 程序缓冲区溢出漏洞- Motorola 无线路由器 WR850g 认证绕过漏洞 (CVE-2004-1550)
    在 2018 年 2 月,Radware 的信息安全专家 Pascal Geenens 分析了一个 DDoS 攻击组织,该组织 利用一个名为 JenX 的恶意带软件感染的物联网设备发动 DDoS 攻击。具体而言,JenX 正是利用 CVE- 2017–17215 和 CVE-2014-8361 感染华为 HG532 路由器和运行 Realtek SDK 的设备,和完全分布式僵 尸网络 Mirai 不同的是,该僵尸网络由服务器完成漏洞利用和僵尸主机管理的任务。在 7 月,黑客利用 CVE-2017–17215 仅仅在一天内就构建了一个 18000 台僵尸网络主机构成的僵尸网络。可见 JenX 的影 响面之大 1。

服务器漏洞利用

在所有的漏洞利用中,服务器漏洞是被利用最多的。从告警日志量来看,4,5 两个月被攻击的数量 是最多的。
图 5.3 服务器类漏洞抽样统计
在针对服务器的漏洞攻击中, Web 服务器受到的攻击最多。大多数网站都存储有价值的信息,如 信用卡号,电子邮件地址和密码等。这使他们成为攻击者的目标。另外,污损的网站也可用于传播宗教 或政治意识形态等。我们将在 5.2 节对此做详细的分析。
图 5.4 服务器类漏洞按应用分类
Web服务器 57.6% Windows服务器 25.6%
数据库服务器 10.1%
DNS服务器 1.5%
邮件服务器 1.4%
文件服务器 1.0%
扫描服务器 0.1%
其它 2.8%
Windons 服务器的漏洞利用排在第二位,大多数是和 Samba 服务相关的漏洞。在 2018 年被利用 比较多的漏洞有:

  • windows smb server 信息泄露漏洞扫描 (CVE-2017-0147)
  • windows smb 远程代码执行漏洞 (shadow brokers eternalblue)(CVE-2017-0144)
  • windows smb 操作解析远程代码执行漏洞 (ms11-020)
  • windows smb 远程堆覆盖漏洞 (CVE-2008-4834)
  • samba 远程代码执行漏洞 ( 永恒之红 )(sambacry)(CVE-2017-7494)
    臭名昭著的 WannaCry 蠕虫正是利用了“永恒之蓝”漏洞 (MS-010, 包括 CVE-2017-0144、CVE- 2017-0147 等多个 SMB漏洞编号 ),感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈 者病毒,导致电脑大量文件被加密。在 2018 年 8月,台积电遭受 WannaCry 勒索病毒攻击导致生产线瘫痪, 造成 25.96 亿新台币损失。
    另外,Petya 勒索、NotPetya 勒索、FancyBear 窃取信息、Retefe 银行木马、WannaMiner 挖掘、 ZombieBoy 木马、bulehero 蠕虫病毒等一系列样本都利用了“永恒之蓝”漏洞,另外,APT组织也将“永 恒之蓝”纳入武器库,“永恒之蓝”漏洞逐渐成为被利用率最高的漏洞之一。

应用类漏洞

应用软件类漏洞攻击主要针对个人用户与使用者,当然这些用户中也会包括核心资产的管理人员, 黑客利用钓鱼邮件,通过恶意链接、恶意附件的形式投递恶意程序,在用户点击相关资源时,对应程序 的漏洞会被触发,最终导致感染和信息泄露。
图 5.5 应用软件类漏洞抽样统计
在应用软件类漏洞利用攻击中,浏览器类受到的攻击最多,占到了全部分此类攻击的 56.7%,微软 的 Internet Exporer/Edge 是被攻击最多的应用软件。浏览器漏洞利用比较高的漏洞有:

  • microsoft edge profiledldelem 类型混淆
  • mozilla firefox/thunderbird/seamonkey http 响应分离漏洞
  • microsoft internet explorer 远程内存破坏漏洞 (CVE-2016-7287)(ms16-144)
  • microsoft ie 对象处理内存破坏漏洞 (ms08-078)
  • microsoft edge scripting engine remote 内存破坏漏洞 (CVE-2018-0773)
    图 5.6 应用软件类漏洞按应用分类
    浏览器应用 48.8%
    Flash应用 16.8%
    Office应用 3.1%
    Apple应用 0.6%
    PDF应用 0.5%
    其它 30.2%
    Flash 虽然被爆的漏洞数目相对少一些,但利用率还是比较高的,在 2018 年,被攻击最多的漏洞 TOP5 如下:
  • Adobe Flash player shader 缓冲区溢出漏洞
  • Adobe Flash player 远程拒绝服务漏洞
  • Adobe Flash player “asnative 301” 函数空指针引用拒绝服务漏洞
  • Adobe Flash 0day 漏洞 CVE-2018-4878
  • Adobe Flash player localeid determinepreferredlocales 越界访问漏洞 (CVE-2017-3114)
    Office 漏洞常被大家忽,但却备受黑客喜爱,众多专业黑客组织对重要目标的攻击,会选择使 用 Office 高危漏洞。APT缓和 BlackTech 就利用 Office 公式编辑器漏洞 CVE-2018-0802 和 CVE-2017- 11882 实施过攻击 [^1]。我们监测到的被利用比较高的漏洞有:
  • Microsoft Word 文件信息块内存破坏漏洞(MS08-009)
  • Microsoft Office 远程代码执行漏洞 (CVE-2017-8570)
  • microsoft frontpage post 请求远程缓冲区溢出攻击
  • Microsoft Office Sharepoint Server 管理权限提升漏洞(MS08-077)
  • Microsoft Office 远程内存栈溢出漏洞 (CVE-2018-0802)
    5.2 Web 攻击

攻击态势

在 2018 年, 针对 Web 服务器的攻击中,89% 的攻击仍然是一些常规的攻击手段,包括服务器信 息泄露,资源盗链,SQL 注入,跨站脚本攻击等。传统的攻击手段仍然被大量的使用,需要持续关注。
图 5.7 针对 Web 攻击的攻击类型分布
服务器信息泄露 27.6%
资源盗链 15.6%
SQL注入攻击 15.0%
跨站攻击 6.8%
Web插件漏洞攻击 6.6%
Web服务器漏洞攻击 6.4%
路径穿越攻击 5.2%
命令注入攻击 4.9%
非法下载 4.5%
其它 7.3%
黑客利用 Web 服务器漏洞或插件漏洞的攻击比例在逐年增加。在 2018 年,利用漏洞进行的 Web 攻击占了占全部 Web 攻击的 11%,和 2017 年相比有所增加。也不容小。受攻击最多的 Web 框架有 Struts2、Microsoft IIS、WebLogic 等。
图 5.8 针对 Web 漏洞攻击的 TOP10
单位:万次 Apache 37
2. Web 漏洞利用
Struts2 框架一直是攻击的热点。从 2007 年 7 月到 2019 年 3 月这十多年间,Struts2 被披露的漏 洞数目 57 个,其中远程代码执行漏洞,由于威胁性大,利用难度低,被黑客大量使用。在 2018 年, 我们监测对针对 Struts2 的攻击中,被利用比较多的漏洞如下:

  • Struts2 远程代码执行漏 (2-45/S2-46)
    这两个漏洞都是由报错信息包含 OGNL表达式,并且被带入了 buildErrorMessage 这个方法运行, 造成远程代码执行。在 2018 年,一半以上的针对 Struts2 的攻击都是利用的这个漏洞。
  • Struts2 远程代码执行漏(S2-32/S2-33/S2-37)
    这三个漏洞都是抓住了 DefaultActionInvocation 中会把 ActionProxy 中的 method 属性取出来 放入到 ognlUtil.getValue(methodName + “()”, getStack().getContext(), action); 方法中执行 OGNL表达式。
  • Struts2 远程代码执行漏 (S2-16)
    DefaultActionMapper 类支持以 action:,redirect: 和 redirectAction: 作为访问前缀,前缀后面可 以跟 OGNL 表达式,由于 Struts2 未对其进行过滤,导致任意 Action 可以使用这些前缀执行任
    意 OGNL 表达式,从而导致任意命令执行。
  • Struts2 rest 插件反序列化漏洞 (S2-52)  
    当 Struts2 使用 REST插件使用 XStream 的实例 xstreamhandler 处理反序列化 XML有效载荷 时没有进行任何过滤,可以导致远程执行代码,攻击者可以利用该漏洞构造恶意的 XML内容获 取服务器权限,获取业务数据或服务器权限,存在高安全风险。
    由上可见,针对 Struts2 的漏洞利用,除 S-52 外,都是框架执行了用户传进来的 OGNL 表达式,造 成远程代码执行,可以造成命令执行,服务器文件操作、危险代码执行等,只不过需要精心构造不同的 OGNL代码。
    而针对 WebLogic 的漏洞利用,主要是以反序列化为主。在 2018 年,有超过 80% 的针对 WebLogic 的攻击使用了以下漏洞:
  • WebLogic ws-wsat 组件反序列化漏洞 (CVE-2017-10271) 
    这个漏洞的本质原因是其引用的 XMLDecoder 库存在远程代码执行问题,可直接导致整个系统 被控制。由于该漏洞是走 http 协议,因此备受黑客的青睐。同时这个漏洞也是 2017 年初爆出 的 Weblogic 漏洞(CVE-2017-3506)的绕过。
    另外,在 2018 年新出现的一些漏洞,我们也监测到了有效的攻击,应该值得我们注意:
  • WebLogic 组件反序列化漏洞(CVE-2018-2628)
    攻击者可以在未授权的情况下通过 T3 协议对存在漏洞的 WebLogic 组件进行远程攻击,并可获 取目标系统所有权限。
  • WebLogic 组件反序列漏洞(CVE-2018-2893)
    该漏洞通过 JRMP 协议利用 RMI机制的缺陷达到执行任意反序列化代码的目。攻击者可以在未 授权情况下将 payload 封装在 T3 协议中,通过对 T3 协议中的 payload 进行反序列化,从而实 现对存在漏洞的 WebLogic 组件进行远程攻击,执行任意代码并可获取目标系统的所有权限。
    在 Web 漏洞中,反序列化漏洞由于其简单,可远程利用的特点格外受到黑客的青睐。绿盟科技《2017 年反序列化漏洞年度报告》1 中指出,厂商对反序列化漏洞的应对,往往修复、绕过、再修复、再绕过[^1]的恶性循环,因此反序列化漏洞层出不穷。它对于攻击者来说是价值极高的,因为漏洞本身的利用难度 比较低,并且一旦利用成功,黑客能够获得较高的权限,是黑客用来传播病毒,挖矿程序等恶意软件的 攻击方法之一。
    在 2018 年,Drupal 框架的漏洞利用也具有一定的典型性,绿盟威胁情报中心在 5 月针对 Drupal 漏 洞被挖矿程序利用的传播感染态势进行了详尽的分析 [^2] :
    Drupal内核远程代码执行漏洞(CVE-2018-7600) 
    Drupal 官方在 2018 年 3 月 28 日发布 sa-core-2018-002 (CVE-2018-7600) Drupal 内核远程代码 执行漏洞预警,之后一个月内又连续发布两个漏洞,其中包含一个 XSS 和另一个高危代码执行 漏洞 sa-core-2018-004 (CVE-2018-7602)。虽然漏洞已经披露,相关利用的 PoC 却在两周后才 放出,而仅仅在 PoC 披露后几个小时,就发现有利用此漏洞的攻击出现。在随后的时间内互联
    网上针对 Drupal 程序的攻击迅速增加此后几个月内,互联网上针对 Drupal 程序的攻击都非常 频繁。
    官方发布CVE-2018-7600漏洞预警 官方发布CVE-2018-7602漏洞预警 Drupal 8.x poC公布 Drupal 7.x poC公布
    5.3 DDoS 攻击
    5.3.1 攻击态势
    2018 年,我们监控到 DDoS 攻击次数为 14.8 万次,攻击总流量 64.31 万 TB,与 2017 年相比,攻 击次数下降了 28.4%,攻击总流量没有明显变化。这主要是因为 DDoS 攻击规模逐年增大,即中大型规 模的攻击有所增加。
    图 5.9 攻击次数与攻击流量
    次 TB 8.0
    万 万 : : 7.0 位 2.5 位
    单 单 6.0
    数 量
    次 1.5 流 4.0 击 击
    攻 攻 3.0
    月 份 月 份
    2017年 2018年
    从全年来看,2018 年 DDoS 攻击次数明显下降,得益于对反射攻击有效的治理。2018 年以来, CNCERT 组织各省分中心,联合各地运营商、 云服务商等对我国境内的攻击资源进行了专项治理,包 括使用虚假源地址治理以及对反射攻击源通告等手段。通过治理,有效的减少了反射攻击的成功率,迫 使攻击者转向其它攻击手段。从数据来看,2018 年反射攻击减少了 80%,而非反射攻击增加了 73%, 反射攻击仅占 DDoS 攻击次数的 3%。
    图 5.10 反射攻击次数与其他类型的攻击次数对比图
    2017年 2018年
    反射攻击 非反射攻击
    数据来源:电信云堤,ATM
    从 2018 年各月攻击次数来看,上半年 DDoS 攻击逐月小幅增长,而下半年有加速增加的趋势。我 们认为,DDoS攻击逐月增加,与虚拟货币的价格回落相关。在《2017 DDoS 与 Web 应用攻击态势报告》[^3] 中,我们指出,随着虚拟货币的升值,黑产开始将掌握的“优质” Botnet 资源从犯罪成本较高的 DDoS 攻击活动转而投向犯罪成本相对较低但收益更高的挖矿活动中。在 2018 年,随着虚拟货币的价格回落, 挖矿的收益日益减少,攻击者选择 DDoS 攻击的倾向增高,DDoS 攻击逐月增加。
    将各月份比特币价格与 DDoS总流量趋势对比,其 Pearson 相关系数为 -0.48,呈一定的负相关性, 这更加证实了我们去年的观点。
    提出了更高的挑战。
    图 5.11 比特币价格与 DDoS 攻击总流量趋势对比图
    2017 年 Apr Jul Oct 2018 年 Apr Jul Oct
    虚拟货币价格指 DDoS攻击总流量
    数据来源:电信云堤
    近年来,超大规模的攻击事件日益普遍。2018 年 3 月,著名代码托管网站 GitHub 遭受到峰值达到 1.35Tbps 的 DDoS 攻击,而截至目前, DDoS 攻击已经创造了达到 1.7Tbps 峰值带宽的攻击 [^1]。
    从最近两年各月数据来看,攻击峰值在 100Gbps 以上的大型攻击的次数呈加速上升趋势。大流量 攻击事件的增多,说明攻击者掌握的攻击资源规模上升和攻击能力的增强
    图 5.12 峰值大于 100Gbps 的攻击次数变化
    2017年 Apr Jul Oct 2018年 Apr Jul Oct
    数据来源:电信云堤
    无论是 DDoS 攻击能力的普遍提高,还是平均峰值创历史新高,都说明 DDoS 攻击态势的严峻性。 可以说,黑客普遍拥有了释放特大流量的能力,并且能力仍然处于持续快速提高的进程中,这是防御和 治理人员需要应对的挑战。

参考资料

绿盟 2018年网络安全观察报告

友情链接

GB-T 20269-2006 信息安全技术 信息系统安全管理要求

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/55106.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

第3章 Thymeleaf模板渲染

文章目录第3章 Thymeleaf模板渲染3.2 Thymeleaf编程起步3.4 读取资源文件3.5 路径处理3.6 内置对象操作支持3.7 对象输出3.8 页面逻辑处理3.9 数据迭代处理3.10 包含指令3.11 Thymeleaf数据处理3.12 本章小结3.12 本章小结第3章 Thymeleaf模板渲染 3.2 Thymelea…

【OpenCV-Python】教程:3-13 Hough直线变换

OpenCV Python Hough直线变换 【目标】 理解Hough变换的概念学会使用Hough变换检测直线cv2.HoughLines(), cv2.HoughLinesP() 【理论】 Hough 变换是一个非常有用的技术,可以检测任何形状,只要那个形状可以通过数学方程表示出来,即使检测…

[附源码]计算机毕业设计springboot小区疫情事件处理系统

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM mybatis Maven Vue 等等组成,B/S模式 M…

传感器_三相-双极性-开关型-霍尔传感器 速度+电角度解算理解

1 前言 最近项目上涉及到使用三相-双极性-开关型-霍尔传感器解算 电机转速 、电角度的问题。结合自己的理解请教前辈,终有所得,下面做一个学习的记录。 主要以思路为主,不涉及代码。 2 正文 2.1 什么是三相? 所谓三相-双极性-…

毕设项目 - SSM农业商品信息管理权限后台子系统(含源码+论文)

文章目录1 项目简介2 实现效果2.1 界面展示3 设计方案3.1 概述3.2 系统流程3.3 系统结构设计4 项目获取1 项目简介 Hi,各位同学好呀,这里是M学姐! 今天向大家分享一个今年(2022)最新完成的毕业设计项目作品,【基于SSM的农业商品…

(算法设计与分析)第四章贪心算法-第一节:贪心算法概述

文章目录一:贪心算法(1)概述(2)特点(3)框架二:典型贪心算法问题(1)无重叠区间①:题目描述②:解题思路③:完整代码&#xf…

【Android App】人脸识别中扫描识别二维码实战解析(附源码和演示 超详细)

需要源码请点赞关注收藏后评论区留言私信~~~ 一、扫描识别二维码 不仅可以利用zxing库生成二维码,同样利用zxing库可以扫描二维码并解析得到原始文本,此时除了给build.gradle添加如下一行依赖配置 implementation com.google.zxing:core:3.4.1 还需要…

一文读懂什么是云原生|推荐收藏

Forrester数据显示,在2021年,全球云原生应用持续上升,组织中容器和无服务器技术的使用率在一年内都增长了75%以上。 Gartner预测,到2025年,将会有超过95%的新数字工作负载被部署在云原生平台上。 “未来的软件一定是长…

Qt第二十六章:QWidget、QMainWindow自定义标题栏

工具类(读者直接复制到项目中) class QCustomTitleBar:def __init__(self, window: QtWidgets):self.window window# 默认标题栏高度 必须设self.DEFAULT_TITILE_BAR_HEIGHT 40# 存储父类的双击事件self.mouseDoubleClickEvent_parent self.window.mo…

【数学】旋转后仍为函数图像问题

∣旋转后仍为函数图像问题NightguardSeries.∣\begin{vmatrix}\huge{\textsf{ 旋转后仍为函数图像问题 }}\\\texttt{ Nightguard Series. }\end{vmatrix}∣∣∣∣∣​ 旋转后仍为函数图像问题 Nightguard Series. ​∣∣∣∣∣​ ♣例1\clubsuit \textsf{例1}♣例1 f(x)ln⁡(x…

经典bloom算法(**布隆过滤器**)-levelDB拆分

bloom算法(布隆过滤器) 原理 先说一下什么是布隆过滤器,Bloom Filter是1970年由布隆提出的,它实际上是一个很长的二进制向量,和一系列随机值映射的函数,主要用于判断一个元素是否在一个集合中。 通常判断一个元素是否在一个集合…

Hasse diagram

In order theory, a Hasse diagram (/ˈhsə/; German: [ˈhasə]) is a type of mathematical diagram used to represent a finite partially ordered set, in the form of a drawing of its transitive reduction. Concretely, for a partially ordered set (S, ≤) one rep…

2023最新SSM计算机毕业设计选题大全(附源码+LW)之java高校学生宿舍管理信息系统3x4rz

做毕业设计一定要选好题目。毕设想简单,其实很简单。这里给几点建议: 1:首先,学会收集整理,年年专业都一样,岁岁毕业人不同。很多人在做毕业设计的时候,都犯了一个错误,那就是不借鉴…

記錄下用google colab 进行GPU(TPU)训练

文章目录温馨提示打开网站上传资源下载资源到google colab温馨提示 需要科学上网,没有的话可以点这个 https://shandianpro.com/#/register?codewCXwkCOU下个clashx进行 挂载 https://download.csdn.net/download/monk96/87231589 配置自行百度 打开网站 google…

Win11系统提示backgroundtaskhost.exe系统错误解决方法

Win11系统提示backgroundtaskhost.exe系统错误解决方法分享。backgroundTaskHost.exe是与Microsoft Cortana的虚拟助手相关联的关键系统进程。近期有Win11用户在电脑的使用中遇到了系统提示“backgroundTaskHost.exe – ApplicATIon Error”的错误,今天我们一起来看…

[附源码]计算机毕业设计JAVA学生考试成绩分析系统

[附源码]计算机毕业设计JAVA学生考试成绩分析系统 项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM my…

疫情可视化part3

前言 之前在part2中说的添加自定义主题配色已经开发完成了,除此之外我还添加了一些的3d特效。 前期文章 这是part1的文章:https://blog.csdn.net/xi1213/article/details/126824752这是part2的文章:https://blog.csdn.net/xi1213/article/…

[附源码]Python计算机毕业设计Django基于VUE的网上订餐系统

项目运行 环境配置: Pychram社区版 python3.7.7 Mysql5.7 HBuilderXlist pipNavicat11Djangonodejs。 项目技术: django python Vue 等等组成,B/S模式 pychram管理等等。 环境需要 1.运行环境:最好是python3.7.7,…

【Linux】进程

1.linux操作系统要不要管理进程呢?必须要!!!!!!!!! 2.linux是如何管理大量进程的呢?先组织,再描述。 1.什么是进程 进程就是系统运行中…

WordPress批量修改数据库内文章内容文字关键字标题

WordPress网站内容标题文字一键修改,注意到了网站上很多要一个个的修改,那工作了巨大,怎么快速在数据库中用SQL命令批量替换呢? 通过数据库替换方法 1.进入宝塔面板-数据库-选择对应的数据库-管理数据库-登录进来。就可以直接对数…