收藏 分销(赏)
立即下载 开通VIP

2022中国网络安全报告.pdf

上传人:Stan****Shan 文档编号:1298035 上传时间:2024-04-22 格式:PDF 页数:78 大小:6.86MB
下载 相关 举报
2022中国网络安全报告.pdf_第1页
第1页 / 共78页
2022中国网络安全报告.pdf_第2页
第2页 / 共78页
2022中国网络安全报告.pdf_第3页
第3页 / 共78页
2022中国网络安全报告.pdf_第4页
第4页 / 共78页
2022中国网络安全报告.pdf_第5页
第5页 / 共78页
点击查看更多>>
资源描述

1、北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 目录 一、恶意软件与恶意网址.2(一)恶意软件.2(二)恶意网址.7 二、移动安全.9(一)2022 年手机病毒概述.9(二)2022 年 1 至 12 月手机病毒 Top5.10(三)2022 年手机漏洞 Top5.10 三、企业安全.11(一)2022 年重大企业网络安全事件.11(二)2022 年漏洞分析.24(三)2022 年全球 APT 攻击事件解读.29 四、勒索软件分析.38(一)勒索软件概述.38(二)2022 年度十大勒索软件.38 五、2023 年网络安全趋势

2、预测.58(一)APT 组织攻击活动频繁.58(二)企业成为勒索软件的最大受害者,勒索软件或全面附加数据盗取能力.58(三)电子邮件依然是网络攻击的重要窗口.58(四)高可利用性的“老”漏洞备受攻击者青睐.59(五)对抗技术演变持续发展,传统技术备受挑战.59(六)开源软件生态投毒现象严重.60 附:2022 年国内重大网络安全政策法规.60 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 1 报告摘要 2022 年瑞星“云安全”系统共截获病毒样本总量 7,355 万个,病毒感染次数 1.24 亿次,病毒总体数量比 2021 年同期下降了 62.19%。广东省病毒感染人次为 1,20

3、9 万次,位列全国第一,其次为山东省及江苏省,分别为 965.14 万次及 836.56 万次。2022 年瑞星“云安全”系统共截获勒索软件样本 57.92 万个,感染次数为 19.49 万次;挖矿病毒样本总体数量为 261 万个,感染次数为 79.75 万次。勒索软件感染人次按地域分析,广东省排名第一,为 2.27 万次;挖矿病毒感染人次按地域分析,广西省以 17.39 万次位列第一。2022 年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量 9,336 万个,其中挂马类网站 5,913 万个,钓鱼类网站 3,422 万个。在中国范围内排名第一位为河南省,总量为 62.31万个,

4、其次为香港和广东省,分别为 49.91 万个和 28.19 万个。2022 年瑞星“云安全”系统共截获手机病毒样本 152.05 万个,病毒类型以信息窃取、远程控制、恶意扣费、资费消耗等类型为主,其中信息窃取类病毒占比 36.21%,位居第一。2022 年重大企业安全事件包括:加拿大外交部被黑,部分服务中断;北京健康宝遭受网络攻击,源头来自境外;瑞星监测到利用微软最新高危漏洞的恶意代码;新型病毒仿冒 Python 数字签名 诱骗用户下后门;西北工业大学遭受境外网络攻击等。2022 年 CVE 漏洞利用率 Top10 包括:CVE-2017-11882 Office 远程代码执行漏洞;CVE-2

5、018-0802 公式编辑器漏洞;CVE-2017-17215 HG532 远程命令执行漏洞等;年度最热漏洞有 CVE-2022-30190 Microsoft Office MSDT 远程代码执行漏洞;CVE-2022-0847 Linux 内核提权漏洞;CVE-2022-22965 Spring 远程代码执行漏洞等。2022 年全球 APT 攻击事件解读:威胁组织 APT-C-23;威胁组织 Lazarus Group;威胁组织Patchwork;威胁组织 MuddyWater;威胁组织 Bitter 等。2022 年勒索软件分析:勒索软件随着云计算业务的发展趋势而转移目标,有越来越多公司

6、业务迁移到虚拟机,而诸如 BlackBasta、Hive 等勒索家族瞄准 Linux 服务器下虚拟机的勒索攻击活动也会在未来逐渐形成流行事态。不仅如此,一些勒索病毒还参与到地缘性政治与军事战争中,而未来技术型企业、医疗机构、政务机构依然是勒索病毒主要攻击目标。趋势展望:APT 组织攻击活动频繁;企业成为勒索软件的最大受害者,勒索软件或全面附加数据盗取能力;高可利用性的“老”漏洞备受攻击者青睐;电子邮件依然是网络攻击的重要窗口;高可利用性的“老”漏洞备受攻击者青睐;对抗技术演变持续发展,传统技术备受挑战;开源软件生态投毒现象严重。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 2 一、

7、恶意软件与恶意网址一、恶意软件与恶意网址 (一)恶意软件(一)恶意软件 1.1.20222022 年年病毒概述病毒概述 (1)(1)病毒总体概述病毒总体概述 2022 年瑞星“云安全”系统共截获病毒样本总量 7,355 万个,病毒感染次数 1.24 亿次,病毒总体数量比 2021 年同期下降了 62.19%。报告期内,新增木马病毒 4,515 万个,为第一大种类病毒,占到总体数量的 61.39%;排名第二的为蠕虫病毒,数量为 1,392 万个,占总体数量的 18.93%;后门、感染型病毒、灰色软件分别占到总体数量的 6.99%、6.49%和 5.19%,位列第三、第四和第五,除此以外还包括漏洞

8、攻击和其他类型病毒。图:2022 年病毒类型统计 根据瑞星“云安全”系统显示,2022 年 3 至 5 月份为病毒感染高发期,在 1,300 万至 1,400 万左右,即使在较低的 11 月份,也有近 800 万的病毒感染量。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 3 图:2022 年病毒样本数量及感染次数 (2)(2)病毒感染地域分析病毒感染地域分析 报告期内,广东省病毒感染人次为 1,209 万次,位列全国第一,其次为山东省及江苏省,分别为 965.14 万次及 836.56 万次。图:2022 年病毒感染地域分布 Top10 北京瑞星网安技术股份有限公司北京瑞星网安技术

9、股份有限公司 4 2.2.20222022 年年病毒病毒 TopTop1010 根据病毒感染人数、变种数量和代表性综合评估,瑞星评选出 2022 年 1 至 12 月病毒 Top10:3.3.勒索软件和挖矿病毒勒索软件和挖矿病毒 勒索软件和挖矿病毒在 2022 年依旧活跃,报告期内瑞星“云安全”系统共截获勒索软件样本57.92 万个,感染次数为 19.49 万次,比 2021 年同期下降了 68.77%;挖矿病毒样本总体数量为 261万个,感染次数为 79.75 万次,与 2021 年同期相比,下降了 56.68%。瑞星通过对捕获的勒索软件样本进行分析后发现,Agent 家族占比 51.98%

10、,成为第一大类勒索软件,其次是 Blocker 家族,占到总量的 12.76%,第三是 Filecoder 家族,占到总量的 9.31%。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 5 图:2022 年勒索软件家族分类 勒索软件感染人次按地域分析,广东省排名第一,为 2.27 万次,第二为山东省 1.82 万次,第三为江苏省 1.81 万次。图:2022 年勒索软件感染地域分布 Top10 根据瑞星“云安全”系统显示,2022 年 11 月份捕获的勒索软件样本数量最多,达到 10 万个以上,3 至 4 月份勒索软件感染次数较多,均在 2 万以上。北京瑞星网安技术股份有限公司北京瑞

11、星网安技术股份有限公司 6 图:2022 年勒索软件样本数量及感染次数 挖矿病毒数量虽然比 2021 年有所减少,但依然是企业网络安全的主要威胁,瑞星根据病毒行为进行统计,评出 2022 年挖矿病毒 Top10:挖矿病毒感染人次按地域分析,广西省以 17.39 万次位列第一,山东省和江苏省分别位列二、三位,为 6.11 万次和 5.4 万次。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 7 图:2022 年挖矿病毒感染地域分布 Top10 (二)恶意网址(二)恶意网址 1.1.20222022 年年全球恶意网址全球恶意网址概述概述 2022 年瑞星“云安全”系统在全球范围内共截获恶

12、意网址(URL)总量 9,336 万个,其中挂马类网站 5,913 万个,钓鱼类网站 3,422 万个。美国恶意 URL 总量为 3,568 万个,位列全球第一,其次是加拿大 288.69 万个和中国 281.91 万个,分别排在第二、三位。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 8 图:2022 年全球恶意 URL 地域分布 Top10 2.2.20222022 年年中国恶意网址概述中国恶意网址概述 报告期内,瑞星“云安全”系统所截获的恶意网址(URL)在中国范围内排名,第一位为河南省,总量为 62.31 万个,其次为香港和广东省,分别为 49.91 万个和 28.19 万

13、个。图:2022 年中国恶意 URL 地域分布 Top10 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 9 二、移动安全二、移动安全 (一)(一)20222022 年年手机病毒概述手机病毒概述 2022 年瑞星“云安全”系统共截获手机病毒样本 152.05 万个,病毒类型以信息窃取、远程控制、恶意扣费、资费消耗等类型为主,其中信息窃取类病毒占比 36.21%,位居第一;其次是远程控制类病毒占比 20.50%,第三名是恶意扣费类病毒占比 13.45%。图:2022 年手机病毒类型比例 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 10 (二)(二)20222022 年年

14、 1 1 至至 1212 月手机病毒月手机病毒 Top5Top5 (三)(三)20222022 年年手机漏洞手机漏洞 Top5Top5 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 11 三、企业安全三、企业安全 (一一)20222022 年年重大企业网络安全事件重大企业网络安全事件 2022 年,国内外企业重大网络安全事件频发,网络攻击威胁着政府、企业、医疗、金融、教育等各个领域,勒索软件、数据泄露、黑客入侵等攻击接连不断,且危害深远,严重影响着各国的关键信息基础设施建设和经济民生。同时,由于俄乌战争带来的影响,导致网络空间对抗加剧,全球网络安全形势严峻,各国对于网络空间威胁都面

15、临着极大的挑战。瑞星根据行业特性、威胁影响及损失程度,列举出在 2022 年发生的 25 个重大网络安全攻击事件:1.1.红十字国际委员会遭受网络攻击红十字国际委员会遭受网络攻击 2022 年 1 月 19 日,红十字国际委员会晚间的一份声明称,红十字国际委员会遭受网络攻击,超过 51.5 万人的个人数据和机密信息遭入侵。声明称:“攻击造成超过 51.5 万名极其脆弱人群的个人数据和机密信息遭入侵,包括因冲突、移民和自然灾害而与家人失散的人、失踪人员及其家人以及被监禁的人。”红十字国际委员会没有任何关于究竟谁发动了这一网络攻击的信息。暂还没有遭入侵信息的泄露或公开传播的任何迹象。这次袭击迫使红

16、十字国际委员会暂停了其“重建家庭联系”计划。图:“家庭团聚”项目系统和网站被迫关闭 2.2.加拿大外交部被黑,部分服务中断加拿大外交部被黑,部分服务中断 2022 年 1 月 19 日,加拿大全球事务部(GAC)系统遭到网络攻击后面临网络中断。GAC 是加拿大政府部门,负责处理该国的外交和领事关系、国际贸易以及领导国际发展和人道主义援助计划。加拿大政府声明说,网络威胁可能来自系统或应用程序的漏洞,或来自外部行为者为获取信息而进行 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 12 的蓄意、持续、有针对性的攻击。遭受网络攻击的当天晚上,加拿大数字防御和间谍机构通信安全机构(CSE)发

17、布了一份威胁公告,警告加拿大组织,特别是“关键基础设施”提供商,可能受到俄罗斯支持的网络威胁参与者的攻击。3.3.沃达丰葡萄牙分公司遭大规模网络攻击沃达丰葡萄牙分公司遭大规模网络攻击 2022 年 2 月 8 日,国际电信巨头沃达丰的葡萄牙公司表示,由于遭受了一大波“以损害与破坏为目的的蓄意网络攻击”,其大部分客户数据服务被迫下线。此次事件导致 4G/5G、固话、电视等网络全部中断,只有 3G 网络勉强恢复可用,给葡萄牙数百万用户造成了不便甚至混乱。该公司表示,他们正在与政府当局合作对事件开展调查。根据目前搜集到的证据,客户数据似乎并未泄露或遭到攻击者访问。图:名为迈克的葡萄牙摄影师在推特上吐

18、槽说沃达丰网络中断 4.4.顶级后门“顶级后门“Bvp47Bvp47”被详细披露”被详细披露 始作俑者为始作俑者为 NSANSA 2022 年 2 月 23 日,中国盘古实验室的研究人员披露了由方程式集团(Equation Group)使用的“顶级”后门的细节,这是一种先进的持续威胁(APT),据称与美国国家安全局(NSA)的网络战情报收集部门有联系。报告显示,“Bvp47”已在全球肆虐十余年,入侵中国、俄罗斯、日本、德国、西班牙、意大利等 45 个国家和地区,涉及 287 个重要机构目标,其中日本作为受害者,还被利用作为跳板针对其他国家发起攻击。北京瑞星网安技术股份有限公司北京瑞星网安技术股

19、份有限公司 13 图:中国盘古实验室报告 5.5.乌克兰电信运营商遭遇最严重网络中断攻击乌克兰电信运营商遭遇最严重网络中断攻击 2022 年 3 月 28 日,乌克兰最大的固网电信运营商 Ukrtelecom 遭遇一波强大的网络攻击。据称这是自 2 月俄乌开战以来最严重的网络攻击,已经导致 Ukrtelecom 发生全国性的服务中断。乌克兰国家特殊通信与信息保护局副局长 Victor Zhora 证实,政府正在调查这起攻击事件。Ukrtelecom 是乌克兰国内重要的固话、互联网与移动服务运营商,目前尚不清楚它受到的是分布式拒绝服务(DDoS)攻击,还是层次更深、复杂度更高的其他形式入侵。图:

20、外媒针对乌克兰通信商 Ukrtelecom 遭遇网络攻击的报道 6.6.300300 块一天块一天 国内黑客售卖新型远控工具国内黑客售卖新型远控工具 2022 年 4 月 25 日,瑞星威胁情报平台捕获到一批攻击流程异常复杂的.NET 恶意程序,经分析 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 14 发现,这些恶意程序实则是一整套黑产工具,名为“FastDesktop”,该工具可以通过衍生出的病毒及变种远程控制用户主机,并上传用户隐私信息。经溯源发现该病毒作者疑为国内黑客,通过售卖这套黑产工具牟取利益,定价为 300 块/天。图:“FastDesktop”制作者兜售远控恶意软件

21、 7.7.北京健康宝遭受网络攻击,源北京健康宝遭受网络攻击,源头来自境外头来自境外 2022 年 4 月 28 日,北京市第 318 场新冠病毒肺炎疫情防控工作新闻发布会召开。北京市委宣传部对外新闻处副处长隗斌表示,4 月 28 日,北京健康宝使用高峰期遭受网络攻击,经初步分析,网络攻击源头来自境外,北京健康宝保障团队进行及时有效应对,受攻击期间,北京健康宝相关服务未受影响。图:微博关于北京健康宝遭受网络攻击的话题 8.8.意大利多个重要政府网站遭新型意大利多个重要政府网站遭新型 DDoSDDoS 攻击瘫痪攻击瘫痪 2022 年 5 月 11 日,意大利参议院、上议院、国防部等多个重要政府网站

22、遭到网络攻击,网站无 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 15 法访问至少 1 个小时,受影响的还有国际空间站、国家卫生研究所、意大利汽车俱乐部等机构的网站。意大利计算机安全事件响应小组(CSIRT)称,此次攻击使用了“慢速 HTTP”的新型 DDoS 手法,传统防御措施较难抵御,需要针对性处置。亲俄黑客团伙 Killnet 声称对本次攻击负责。图:CSIRT 发布的公告 9.9.通用汽车透露其遭到撞库攻击导致部分客户的信息泄露通用汽车透露其遭到撞库攻击导致部分客户的信息泄露 2022 年 5 月底,美国通用汽车称其在 4 月 11 日至 29 日检测到了恶意登录的活动,

23、发现攻击者已将部分用户的奖励积分兑换为礼品卡。该公司表示,此次违规事件并不是源于通用汽车的系统遭到入侵,而是针对其平台上客户的一波撞库攻击导致的,他们将为所有受影响的用户恢复积分,并建议用户在登录账户之前重置密码。10.10.瑞星监测到利用微软最新高危漏洞的恶意代码瑞星监测到利用微软最新高危漏洞的恶意代码 2022 年 6 月 9 日,瑞星威胁情报平台监测到一个新型微软支持诊断工具远程代码执行漏洞(CVE-2022-30190,又名“Follina”),在开源代码平台上已经存在该漏洞的概念验证代码,同时捕获到相关漏洞的在野利用样本。该样本为 Microsoft Word 文档,当用户打开该文档

24、后,攻击者便可利用CVE-2022-30190 漏洞与 Microsoft Office 的远程模板加载功能进行配合,由 Office 从远程网络服务器获取恶意 HTML 文件,HTML 文件则会唤起 MSDT 工具应用程序并由其执行恶意 PowerShell 代码,该恶意代码将会在用户主机上从指定链接中下载 Qakbot 木马并执行,从而窃取用户隐私信息。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 16 图:病毒样本相关代码 11.11.新型病新型病毒仿冒毒仿冒 PythonPython 数字签名数字签名 诱骗用户下后门诱骗用户下后门 2022 年 6 月 13 日,瑞星安全研

25、究院捕获到一批假冒 Python 数字签名的恶意软件,攻击者将这些恶意软件在签署者名称和 UAC 弹窗等方面进行伪装,再通过网址、邮件链接等方式,诱导用户下载含有正常的 exe 文件、dll 恶意文件,以及加密的 Farfli 后门程序的压缩包,只要用户点击执行exe,便会加载 dll,该 dll 会解密这个 Farfli 后门程序使其在内存中隐秘运行,而用户电脑将面临文件被窃、远程控制、键盘记录、摄像头被查看等风险。图:数字签名对比 12.12.西北工业大学遭受境外网络攻击西北工业大学遭受境外网络攻击 2022 年 6 月 22 日,西北工业大学官方声明称,该校电子邮件系统遭受网络攻击,对学

26、校正常教学生活造成负面影响。警方称,该校电子邮件系统发现一批以科研评审、答辩邀请和出国通知等为主题的钓鱼邮件,内含木马程序,引诱部分师生点击链接,非法获取师生电子邮箱登录权限,致使相关邮件数据出现被窃取风险。9 月份经调查发现,美国国家安全局(NSA)下属的特定入侵行动 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 17 办公室(TAO)使用了 40 余种不同的专属网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。图:国家计算机病毒应急处理中心发布的相关报告 13.13.ITIT 服务巨头服务巨头 SHISHI 遭受“专业恶意

27、软件攻击”遭受“专业恶意软件攻击”2022年7月初,总部位于新泽西州的信息技术(IT)产品和服务提供商SHI International证实,其网络遭受到恶意软件攻击。SHI 在声明中表示:“在 7 月 4 日美国国庆日假期的周末,SHI 成为了专业恶意软件协同攻击的目标。由于 SHI 的安全性和 IT 团队的快速反应,该事件被迅速发现并采取了相应的措施,从而将本次攻击对 SHI 系统和运营的影响降到了最低。”在评估其系统的完整性和调查安全事件时,SHI 被迫将其部分系统下线,包括公司的公共网站和电子邮件。图:SHI 官方维护信息 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 18

28、 14.14.阿尔巴尼亚遭网络攻击关闭政府网站阿尔巴尼亚遭网络攻击关闭政府网站 2022 年 7 月中旬,阿尔巴尼亚国家信息社会局(AKSHI)发表声明,称由于遭受大规模网络攻击,被迫关闭所有提供在线公共服务的网站和政府官方网站。其后,阿尔巴尼亚政府表示因反应及时,政府信息系统未受影响,且所有数据都有备份。7 月 21 日,阿尔巴尼亚政府称大多数公共网站已恢复运行,而有关网络攻击源头的调查仍在进行中。此次网络攻击所依赖的技术与近期在乌克兰、德国、立陶宛、荷兰等国家发生的网络攻击的技术性质类似。15.15.网络攻击致使英国医疗急救热线网络攻击致使英国医疗急救热线“120”“120”发生重大中断发

29、生重大中断 2022 年 8 月 4 日,英国 111 医疗急救热线外包供应商遭受网络攻击,导致英国国家医疗服务体系(NHS)的 111 急救热线发生重大持续性中断。此次网络攻击袭击了 NHS 的本地托管服务提供商Advanced,令 Adastra 解决方案以及 Advanced 提供的其他几项服务同时陷入重大中断。威尔士救护车服务中心表示,“当地用于将 111 急救热线患者转诊给急诊全科医师的计算机系统,近期出现了重大故障。”图:NHS 发布的官方通告 16.16.400400 万条万条 2K Games2K Games 用户数据正在暗网上出售用户数据正在暗网上出售 2022 年 10 月

30、 6 日,视频游戏发行商 2K 向用户发送电子邮件称,用户个人信息已在 9 月 19 日的攻击事件中被盗并在网上出售。9 月下旬,2K 就表示,其用户支持服务系统遭到了入侵,并被通 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 19 过嵌入式链接向用户推送含有 Redline Stealer 恶意软件的虚假支持票。随后,2K 关闭了其支持门户网站以调查违规行为,建议收到电子邮件并点击链接的用户重置浏览器存储密码,检查其账户是否存在可疑活动。图:被出售的用户信息 17.17.丰田:约丰田:约 296000296000 条客户信息可能已被泄露条客户信息可能已被泄露 2022 年 10

31、月 7 日,丰田汽车发布声明称,使用其 T-connect 服务的 296019 名客户的个人信息可能已被泄露,包括电子邮箱地址和客户管理号码等,但其他敏感信息如姓名、电话号码和信用卡信息等均未受到影响,对 T-Connect 服务本身也没有影响。T-Connect 是一种通过网络连接车辆的远程信息服务,受影响的客户是自 2017 年 7 月以来使用电子邮件地址注册该服务网站的个人用户。图:丰田汽车发布的声明 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 20 18.18.零售巨头泄露零售巨头泄露 220220 万用户数据,并被黑客在线出售万用户数据,并被黑客在线出售 2022 年

32、 10 月中旬,澳大利亚零售巨头 Woolworths 批露了旗下子公司 MyDeal 数据泄露事件,攻击者使用泄露的用户凭证访问了公司客户关系管理(CRM)系统,查看并导出了 220 万条用户信息。这些数据包括了姓名、电子邮件地址、电话号码、送货地址等信息,部分还涉及用户的出生日期。10 月 16 日,黑客已开始在一个黑客论坛上以 600 美元的价格出售被盗数据,声称该数据目前包含 100 万个条目,其他数据还在逐步解析中。图:黑客论坛上出售的 MyDeal 数据 19.19.欧洲超市巨头麦德龙遭网络攻击,欧洲超市巨头麦德龙遭网络攻击,ITIT 和支付服务中断已超和支付服务中断已超过一周过一

33、周 2022 年 10 月下旬,国际批发和超市巨头麦德龙遭遇网络攻击,其 IT 基础设施内有多项技术服务处于中断状态,并且商店支付系统瘫痪。据技术博主 Gnter Born 发布的报告,至少自 10 月 17日以来,IT 中断就一直影响着麦德龙公司在奥地利、德国和法国的门店。麦德龙的 IT 团队立即与外部专家一起展开彻底调查,以确定服务中断的原因。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 21 图:麦德龙发布的公告 20.20.美国百年老报美国百年老报“被黑被黑”,发布大量攻击性政治言论,发布大量攻击性政治言论 2022 年 10 月 27 日,纽约邮报证实公司遭遇了黑客攻击,

34、其网站和推特账户被攻击者利用,发布了一系列针对美国政客的攻击性内容。这些攻击性的头条新闻和推文打击面极广,涉及纽约州多位政客以及拜登总统的儿子亨特拜登。纽约邮报事后调查发现,当天早上在其网站和推特发布的一系列“未经授权”的粗俗及种族主义的推文和头条新闻系一位内部员工所为。图:纽约邮报发布的官方信息 21.21.波音子公司遭网络攻击,致使全球多家航司航班规划中断波音子公司遭网络攻击,致使全球多家航司航班规划中断 2022 年 11 月 2 日,导航与航班规划工具供应商 Jeppesen 公司发生网络安全事件,导致部分航班被迫中断。该公司网站上出现了红色提示条幅,警告称“我们的部分产品、服务和沟通

35、渠道出现了技术问题”。此次事件影响到当前及后续空中任务通知(NOTAM)的接收和处理。伊拉克航空、沙特 Flynas 航空、加拿大太阳之翼航空均发布公告,称 Jeppesen 系统发生了中断。Flynas 表示部分航班被重新调整,太阳之翼还称北美多家航司受影响。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 22 图:航空公司发布的公告 22.22.网络攻击迫使丹麦最大铁路公司火车全部停运网络攻击迫使丹麦最大铁路公司火车全部停运 2022 年 11 月 5 日,丹麦最大的铁路运营公司 DSB 受到网络攻击影响,旗下所有列车均陷入停运,连续数个小时未能恢复。遭受攻击的是丹麦公司 Sup

36、eo,该公司是专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。在发现黑客攻击之后,Supeo 关闭其服务器,导致列车司机们使用的一款软件无法正常工作,最终引发了列车运营中断。23.23.俄罗斯企业频发数据泄露事件,俄罗斯企业频发数据泄露事件,720720 万用户数据在黑客论坛万用户数据在黑客论坛出售出售 2022 年 11 月 11 日,有人在“Breached”黑客论坛上出售包含 720 万 Whoosh 客户详细信息的数据库,包括电子邮件地址、电话号码和名字。该数据库还包含 1,900,000 名用户子集的部分支付卡详细信息。卖家还声称,被盗数据包括 3,000,000

37、个促销代码,人们可以使用这些代码免费租用Whoosh 滑板车。而后,俄罗斯踏板车共享服务 Whoosh 公司确认发生数据泄露,并告知其用户群他们正在与执法当局合作,采取一切措施阻止数据的分发。图:Whoosh 数据在 Breached 论坛上被出售 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 23 24.24.俄罗斯第二大银俄罗斯第二大银行行 VTBVTB 遭攻击离线遭攻击离线 2022 年 12 月 6 日,据塔斯社报道,俄罗斯第二大金融机构 VTB 银行披露遭遇公司历史上最严重的网络攻击,持续的 DDoS(分布式拒绝服务)攻击导致其网站和移动应用程序离线。“目前,VTB技术基

38、础设施正受到来自国外的前所未有的网络攻击”,VTB 发言人向塔斯社表示,“这不仅是今年有记录的最大网络攻击,而且是该银行整个历史上最大的网络攻击”。亲乌克兰的黑客组织“乌克兰IT 军”声称对此次网络攻击负责,并于 11 月底在 Telegram 上宣布了这一活动。图:“乌克兰 IT 军”宣布 VTB 为目标 25.25.蔚来汽车数据泄露被勒索,官方回应属实蔚来汽车数据泄露被勒索,官方回应属实 2022 年 12 月 20 日,网络上有人称破解了蔚来大量数据,包括蔚来内部员工数据 22800 条、车主用户身份证数据 399000 条。随后,蔚来官方发布关于数据安全事件的声明:2022 年 12

39、月 11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索 225 万美元等额比特币。在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。根据声明显示,经初步调查被窃取数据为 2021 年 8 月之前的部分用户基本信息和车辆销售信息。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 24 (二二)20222022 年年漏洞分析漏洞分析 1.1.20222022 年年 CVECVE 漏洞利用率漏洞利用率 TopTop1010 报告期内,从收集到的病毒样本分析来看,微软 Office 漏洞依然稳居首位。长久以来 CVE-2017-118

40、82、CVE-2018-0802 以漏洞稳定性、易用性和用户群体广泛性一直是钓鱼邮件攻击者首选的利用漏洞。随着物联网的应用和推广,物联网设备漏洞也备受关注,其中 CVE-2017-17215 备受众多 IOT僵尸网络病毒青睐,曾在 2018 年黑客利用该漏洞在一天之内建立了 18000 台设备构成的僵尸网路。Mirai、Satori、Brickerbot、Mozi 至今仍将该漏洞作为传播利用的一种方式。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 25 CVE-2017-0147 Windows SMB 协议漏洞(MS17-010 永恒之蓝漏洞)在 2017 年爆发,至今已经过去

41、5 年时间,然而它仍是目前被病毒利用最多的安全漏洞之一。该漏洞之所以有着居高不下的利用率,是由于在大多数企业内网环境中依然存在大量的终端设备尚未修复该漏洞,进入内网环境的病毒程序仍可透过该漏洞轻松地在内网环境中传播。CVE-2022-30190 Microsoft Office MSDT 远程代码执行漏洞,是 2022 年最热门的利用漏洞,该漏洞可使用 Microsoft Word 远程模板功能链接到恶意 HTML 文件,通常被用于钓鱼邮件攻击。Sandworm、UAC-0098 和 APT28 等 APT 攻击组织均利用过该漏洞,对乌克兰和欧美等政府机构发起多次网络钓鱼攻击。瑞星根据漏洞被黑

42、客利用程度进行分析,评选出 2022 年 1 至 12 月份漏洞 Top10:1.1 1.1 CVECVE-20172017-1188211882 OfficeOffice 远程代码执行漏洞远程代码执行漏洞 又称公式编辑器漏洞,为 Office 内存破坏漏洞,影响目前流行的所有 Office 版本,攻击者可利用该漏洞以当前登录的用户身份执行任意命令。漏洞出现在模块 EQNEDT32.EXE 中,该模块为公式编辑器,在 Office 的安装过程中被默认安装,该模块以 OLE 技术将公式嵌入在 Office 文档内。由于该模块对于输入的公式未作正确的处理,攻击者可以通过刻意构造的数据内容覆盖掉栈上

43、的函数地址,从而劫持程序流程,在登录用户的上下文环境中执行任意命令。1.2 1.2 CVECVE-20182018-08020802 公式编辑器漏洞公式编辑器漏洞 该漏洞与它的上一代 CVE-2017-11882 一脉相承,同属于 Microsoft Office 中的 EQNEDT32.EXE 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 26 公式编辑器的漏洞。该漏洞又被称为“噩梦公式”,源于对象在内存中的处理不当(微软 Office 内存破坏漏洞),当用户打开特制的嵌有公式编辑器对象的 Office 文档时会直接触发漏洞导致任意代码执行。1.1.3 3 CVECVE-2017

44、2017-17215 HG53217215 HG532 远程命令执行漏洞远程命令执行漏洞 2017 年 11 月份 Check Point 团队报告了国内某产品的远程命令执行漏洞(CVE-2017-17215),漏洞原理是利用 upnp 服务器中的注入漏洞来实现远程执行任意代码,已发现的针对该漏洞的攻击利用是 Mirai 的升级变种。1.4 1.4 CVECVE-2 2017017-0147 Windows SMB0147 Windows SMB 协议漏洞协议漏洞 MS17MS17-010010 2017 年 5 月份 Shadow Brokers 公布了他们从 Equation Group

45、窃取的黑客工具,其中包含“永恒之蓝”等多个 MS17-010 漏洞利用工具。MS17-010 对应 CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148 等多个 SMB 漏洞。这份工具的泄露直接导致了后来 WannaCry 病毒的全球爆发,包括中国在内的至少 150 多个国家,30 多万用户中招,并且金融、能源、医疗等众多行业皆受影响,据统计其造成损失高达 80 亿美元。此后各种利用 MS17-010 漏洞的病毒疯狂增长,影响深远。1.5 1.5 CVECVE-20102010-2

46、568 2568 WindowsWindows LNKLNK 快捷方式漏洞快捷方式漏洞 该漏洞影响 Windows XP SP3、Server 2003 SP2、Vista SP1 和 SP2、Server 2008 SP2 和 R2 及Windows 7。Windows 没有正确地处理 LNK 文件,特制的 LNK 文件可能导致 Windows 自动执行快捷方式文件所指定的代码。1.6 1.6 CVECVE-20152015-0003 Win32k0003 Win32k 提权漏洞提权漏洞 该漏洞是由于 Windows 的 win32k.sys 模块存在对用户层参数验证不完全,导致其存在窗口处

47、理函数的空指针解引用(Null Pointer Dereference)异常问题。如果对漏洞有效利用,攻击者可以实现权限提升。1.7 1.7 CVECVE-20172017-0199 Microsoft Office0199 Microsoft Office 逻辑漏洞逻辑漏洞 该漏洞主要是 Word 在处理内嵌 OLE2Link 对象,并通过网络更新对象时,没有正确处理 Content-Type 所导致的一个逻辑漏洞。其利用 Office OLE 对象链接技术,将包裹的恶意链接对象嵌在文档中,Office 调用 URL Moniker 将恶意链接指向的 HTA 文件下载到本地,URL Moni

48、ker 通过识别响应 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 27 头中 Content-type 的字段信息,调用 mshta.exe,执行已下载到的 HTA 文件。1.8 1.8 C CVEVE-2 2016016-7255 Win32k 7255 Win32k 特权提升漏洞特权提升漏洞 如果 Windows 内核模式驱动程序无法正确处理内存中对象,则会存在多个特权提升漏洞。成功利用该漏洞的攻击者,可以在内核模式下运行任意代码并安装恶意程序,查看、更改或删除用户数据,同时创建拥有完全用户权限的新账户。1.9 1.9 CVECVE-20222022-30190 Micros

49、oft Office MSDT30190 Microsoft Office MSDT 远程代码执行漏洞远程代码执行漏洞 2022 年 5 月 30 日微软公布 CVE-2022-30190 漏洞,该漏洞使用 Microsoft Word 远程模板功能链接到恶意 HTML 文件,当 Winword.exe 程序处理恶意 HTML 文件中 JS 代码时,认定使用到“ms-msdt”协议 URL,转而启动 msdt.exe 程序处理该 URL,从而导致 URL 中 powershell 命令执行。1.10 1.10 CVECVE-20212021-2685826858 Microsoft Excha

50、nge Server Microsoft Exchange Server 远程代码执行漏洞远程代码执行漏洞 该漏洞是 Exchange 中的任意文件输入漏洞。在需要进行身份认证后,攻击者可以利用该漏洞将文件写入服务器上的任何路径,并结合利用 CVE-2021-26855 SSRF 漏洞绕过权限认证,构造恶意请求,在系统上写入任意文件。2.2.20222022 年年最热漏洞分析最热漏洞分析 2.1 2.1 CVECVE-20222022-30190 Microsoft Office MSDT30190 Microsoft Office MSDT 远程代码执行漏洞远程代码执行漏洞 2022 年 5

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 研究报告 > 其他

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服