收藏 分销(赏)
立即下载 开通VIP

2020年中国网络安全报告.pdf

上传人:宇*** 文档编号:4137547 上传时间:2024-07-31 格式:PDF 页数:72 大小:6.32MB
下载 相关 举报
2020年中国网络安全报告.pdf_第1页
第1页 / 共72页
2020年中国网络安全报告.pdf_第2页
第2页 / 共72页
2020年中国网络安全报告.pdf_第3页
第3页 / 共72页
2020年中国网络安全报告.pdf_第4页
第4页 / 共72页
2020年中国网络安全报告.pdf_第5页
第5页 / 共72页
点击查看更多>>
资源描述

1、 20202020 年中国网络安全报告年中国网络安全报告 北京瑞星网安技术股份有限公司 2021 年 1 月 目录 一、恶意软件与恶意网址.2(一)恶意软件.2(二)恶意网址.7 二、移动安全.9(一)2020 年手机病毒概述.9(二)2020 年 1 至 12 月手机病毒 Top5.10(三)2020 年手机漏洞 Top5.11 三、企业安全.11(一)2020 年重大企业网络安全事件.11(二)2020 年漏洞分析.15(三)2020 年全球 APT 攻击事件解读.20(四)2020 年勒索病毒分析.29(五)2020 年供应链攻击分析.33 四、趋势展望.36(一)后疫情时代网络安全面临

2、新的挑战.36(二)勒索软件依旧流行,勒索方式向多重勒索方向发展.36(三)垃圾邮件、钓鱼邮件攻击仍是需要重点关注的安全领域.37(四)供应链攻击危害逐渐显现.37(五)信息泄露依然形势严峻.38 专题 1:2020 年利用“新冠肺炎”为诱饵的网络攻击事件.39 一、事件概述.39 二、样本分析.42 三、关联分析.55 四、防范措施.56 专题 2:2020 年国内大量外贸物流企业遭受尼日利亚钓鱼组织攻击.56 一、钓鱼组织乔装甲乙双方 一封邮件获利 5 万美元.56 二、国内大量外贸物流企业已遭受攻击.60 三、攻击者以家庭为单位 父子作案分工明确.61 四、防范措施.64 附:2020

3、年国内重大网络安全政策法规.64 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 1 报告摘要 2020 年瑞星“云安全”系统共截获病毒样本总量 1.48 亿个,病毒感染次数 3.52 亿次,病毒总体数量比 2019 年同期上涨 43.71%。广东省病毒感染人次为 3,427 万,位列全国第一,其次为山东省及北京市,分别为 2,787 万及 2,452 万。2020 年瑞星“云安全”系统共截获勒索软件样本 156 万个,感染次数为 86 万次;挖矿病毒样本总体数量为 922 万个,感染次数为 578 万次。勒索软件感染人次按地域分析,北京市排名第一,为 19 万;挖矿病毒感染人次按地

4、域分析,新疆以 69 万次位列第一。2020 年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量 6,693 万个,其中挂马类网站 4,305 万个,钓鱼类网站 2,388 万个。在中国范围内排名第一位为香港,总量为 61 万个,其次为河南省和江苏省,均为 55 万。2020 年瑞星“云安全”系统共截获手机病毒样本 581 万个,病毒总体数量比 2019 年同期上涨69.02%。病毒类型以信息窃取、资费消耗、流氓行为、恶意扣费等类型为主,其中信息窃取类病毒占比 32.7%,位居第一。2020 年企业安全事件:2020 年勒索软件攻击已突破历史最高点;APT 组织利用和 COVID-1

5、9 相关话题的诱饵对全球各个组织实施攻击;7000 多名武汉返乡人员信息遭泄露;中国电信超 2 亿条用户信息被卖;尼日利亚网络钓鱼组织对国内企业进行钓鱼攻击;Twitter 公司员工被钓鱼,奥巴马、盖茨推特账号泄露被发布欺诈消息等。2020 年 CVE 漏洞分析:CVE-2017-11882 Office 远程代码执行漏洞;CVE-2010-2568 Windows LNK 快捷方式漏洞;CVE-2016-7255 Win32k 特权提升漏洞;CVE-2017-0147 Windows SMB 协议漏洞 MS17-010;CVE-2012-6422 Samsung Galaxy Android

6、 设备内核安全漏洞等。2020 年全球 APT 攻击事件解读:APT 组织 UNC2452;APT 组织 OceanLotus;APT 组织 SideWinder;APT 组织 Darkhotel;APT 组织 Patchwork。2020 年勒索病毒分析:据全球企业调查和风险咨询公司 Kroll 的报道,勒索软件是 2020 年最常见的威胁,可能通过网络钓鱼电子邮件、漏洞、开放式远程桌面协议(RDP)和 Microsoft 专有的网络通信协议等来发起攻击,传统企业、教育、医疗、政府机构遭受攻击最为严重,互联网、金融、能源也遭到勒索病毒攻击影响。2020 年供应链攻击:随着黑客团伙等利用供应链

7、攻击作为安全突破口对各大政府企业机构组织所进行的网络攻击安全事件不断发生,供应链攻击已成为 2020 年最具影响力的高级威胁之一。供应链攻击一般利用产品软件官网或者软件包存储库等进行传播。趋势展望:后疫情时代网络安全面临新的挑战;勒索软件依旧流行,勒索方式向多重勒索方向发展;垃圾邮件、钓鱼邮件攻击仍是需要重点关注的安全领域;供应链攻击危害逐渐显现;信息泄露安全形势严峻。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 2 一、恶意软件与恶意网址一、恶意软件与恶意网址 (一)恶意软件(一)恶意软件 1.1.20202020 年病毒概述年病毒概述 (1)(1)病毒病毒疫情总体概述疫情总体概

8、述 2020 年瑞星“云安全”系统共截获病毒样本总量 1.48 亿个,病毒感染次数 3.52 亿次,病毒总体数量比 2019 年同期上涨 43.71%。报告期内,新增木马病毒 7,728 万个,为第一大种类病毒,占到总体数量的 52.05%;排名第二的为蠕虫病毒,数量为 2,981 万个,占总体数量的 20.08%;感染型病毒、灰色软件、后门等分别占到总体数量的 12.19%、9.59%和 3.75%,位列第三、第四和第五,除此以外还包括漏洞攻击和其他类型病毒。图:2020 年病毒类型统计 (2)(2)病毒感染地域分析病毒感染地域分析 报告期内,广东省病毒感染人次为 3,427 万次,位列全国

9、第一,其次为山东省及北京市,分别为 2,787 万次及 2,452 万次。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 3 图:2020 年病毒感染地域分布 Top10 2.2.2 20 02020 年病毒年病毒 TopTop1010根据病毒感染人数、变种数量和代表性综合评估,瑞星评选出 2020 年 1 至 12 月病毒 Top10:北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 4 3.3.勒索软件和挖矿病毒勒索软件和挖矿病毒 勒索软件和挖矿病毒在 2020 年依旧占据着重要位置,报告期内瑞星“云安全”系统共截获勒索软件样本 156 万个,感染次数为 86 万次,病毒

10、总体数量比 2019 年同期下降了 10.84%;挖矿病毒样本总体数量为 922 万个,感染次数为 578 万次,病毒总体数量比 2019 年同期上涨 332.32%。瑞星通过对捕获的勒索软件样本进行分析后发现,GandCrab 家族占比 67%,成为第一大类勒索软件,其次是 Eris 家族,占到总量的 13%,第三是 LockScreen 家族,占到总量的 2%。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 5 图:2020 年勒索软件家族分类 勒索软件感染人次按地域分析,北京市排名第一,为 19 万次,第二为山东省 7 万次,第三为广东省 6 万次。图:2020 年勒索软件感染

11、地域分布 Top10 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 6 挖矿病毒在 2020 年异常活跃,瑞星根据病毒行为进行统计,评出 2020 年挖矿病毒 Top10:挖矿病毒感染人次按地域分析,新疆以 69 万次位列第一,广东省和山东省分别位列二、三位,均为 45 万次。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 7 图:2020 年挖矿病毒感染地域分布 Top10 (二)恶意网址(二)恶意网址 1.1.20202020 年年全球恶意网址全球恶意网址概述概述 2020 年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量 6,693 万个,其中挂马类网站

12、 4,305 万个,钓鱼类网站 2,388 万个。美国恶意 URL 总量为 2,443 万个,位列全球第一,其次是中国 598 万个和德国 200 万个,分别排在二、三位。图:2020 年全球恶意 URL 地域分布 Top10 2.2.20202020 年中国恶年中国恶意网址概述意网址概述 报告期内,瑞星“云安全”系统所截获的恶意网址(URL)在中国范围内排名,第一位为香港,总量为 61 万个,其次为河南省和江苏省,均为 55 万个。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 8 图:2020 年中国恶意 URL 地域分布 Top10 3.3.20202020 年年钓鱼钓鱼网站概

13、述网站概述 报告期内,瑞星“云安全”系统拦截钓鱼攻击次数总量为 251 万次,其中广西省为 64 万次,排名第一;其次为北京市和辽宁省,分别为 22 万次和 12 万次。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 9 图:2020 年钓鱼攻击地域分布 Top10 二、移动安全二、移动安全 (一)(一)2 2020020 年手机病毒概述年手机病毒概述 2020 年瑞星“云安全”系统共截获手机病毒样本 581 万个,病毒总体数量比 2019 年同期上涨69.02%。病毒类型以信息窃取、资费消耗、流氓行为、恶意扣费等类型为主,其中信息窃取类病毒占比 32.7%,位居第一;其次是资费消耗

14、类病毒占比 24.32%,第三名是流氓行为类病毒占比 13.45%。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 10 图:2020 年手机病毒类型比例 (二)(二)20202020 年年 1 1 至至 1212 月手机病毒月手机病毒 Top5Top5 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 11 (三)(三)2 20 02020 年年手机漏洞手机漏洞 Top5Top5 三、企业安全三、企业安全 (一)(一)20202020 年重大企业网络安全事件年重大企业网络安全事件 1.1.20202020 年勒索软件攻击已突破历史最高点年勒索软件攻击已突破历史最高点 202

15、0 年,据全球企业调查和风险咨询公司 Kroll 的报道,勒索软件是 2020 年最常见的威胁,其可能通过网络钓鱼、电子邮件、漏洞、开放式远程桌面协议(RDP)和 Microsoft 专有的网络通信协议等方式来发起攻击。勒索软件的攻击规模和频率居高不下,席卷了全球各个领域、各种规模的企业,据统计 2020 年勒索软件的攻击事件已突破历史最高点,其中药物测试公司 HMR、IT 服务公司Cognizant、巴西电力公司 Light S.A、跨国零售公司 Cencosud 等多个大型企业都于 2020 年遭受过勒索攻击。2.2.APTAPT 组织利用新冠相关话题为诱饵对全球各组织实施攻击组织利用新冠

16、相关话题为诱饵对全球各组织实施攻击 2020 年新型冠状病毒肺炎疫情期间,发生了多起 APT 组织利用疫情相关信息作为诱饵的网络攻 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 12 击事件,通过对诱饵文档中关键字符进行提取,发现中国、巴基斯坦、乌克兰、韩国等多个国家都是被频繁攻击的目标。经监测发现,APT 组织 Patchwork、OceanLotus、Kimsuky、Transparent Tribe、Lazarus Group 以及 Sidewinder 等活动较为频繁,该类组织主要利用以疫情为话题的钓鱼邮件进行入侵,攻击手法多采用宏、0day 或 Nday 漏洞等进行攻击。

17、(详细分析见报告专题 1)3.3.70007000 多名多名武汉返乡人员武汉返乡人员信息遭泄露信息遭泄露 2020 年 1 月,新冠疫情引发全民关注,武汉作为疫情重灾区,武汉返乡人员也被列为重点关注对象。据南方都市报报道,多名武汉返乡人员信息被泄露,信息多达 7 千条,涉及姓名,电话号码,身份证号,列车信息和具体住址等敏感信息。南都记者随机拨打了表中的几个电话进行确认,信息均属实。因信息泄露,多名返乡人员收到了对其进行人身攻击的骚扰电话和信息。4.4.中国电信超中国电信超 2 2 亿条用户信息被卖亿条用户信息被卖 2020 年 1 月,网曝中国电信超 2 亿条用户信息被卖。据相关的院裁判书显示

18、,“2013 年至 2016年 9 月 27 日,被告人陈亚华从号百信息服务有限公司(为中国电信股份有限公司的全资子公司)数据库获取区分不同行业、地区的手机号码信息,并提供给被告人陈德武,而陈德武则以人民币 0.01元/条至 0.02 元/条不等的价格在网上出售,获利达 2000 余万元,涉及公民个人信息 2 亿余条。”5.5.微盟某运维人员“删库”,致微盟损失巨大微盟某运维人员“删库”,致微盟损失巨大 2020 年 2 月,微盟官方发布通报,通报中表示,“研发中心运维部核心运维人员贺某通过个人VPN 登入公司内网跳板机,因个人精神、生活等原因对微盟线上生产环境进行了恶意破坏。”此次事件影响恶

19、劣,贺某被判处 6 年有期徒刑。据判决书道“微盟公司服务器内数据被全部删除,致使该公司运营自 2020 年 2 月 23 日 19 时起瘫痪,300 余万用户(其中付费用户 7 万余户)无法正常使用该公司信息产品,经抢修于同年 3 月 3 日 9 时恢复运营。截至 2020 年 4 月 30 日,造成微盟公司支付恢复数据服务费、商户赔付费及员工加班报酬等经济损失共计人民币 2260 余万元。”6.6.黑客组织利用国内某黑客组织利用国内某 VPNVPN 设备漏洞攻击我国驻外机构及部分政设备漏洞攻击我国驻外机构及部分政府单位府单位 2020 年 3 月,国内某 SSL VPN 设备被曝出存在严重漏

20、洞,能够通过劫持该 VPN 的安全服务从而对受害者下发恶意文件。据安全厂商报道,已有黑客组织利用这个漏洞对我国政府单位及驻外机构发起了网络攻击。通过对此次网络攻击的追踪溯源,攻击者是有着东亚背景的 APT 组织 Darkhotel。据悉,此次攻击已使得数百台的 VPN 服务器失陷,还导致了中国在英国、意大利、泰国等多达 19 个国家的驻外机构和部分国内政府机构受到影响。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 13 7.7.青岛胶州青岛胶州 60006000 余人就诊名单泄露余人就诊名单泄露,3 3 人被行拘人被行拘 2020 年 4 月,据胶州公安发布的警方通报表示,“胶州市

21、民的微信群里出现中心医院出入人员名单信息,内容涉及 6000 余人的姓名、住址、联系方式、身份证号码等个人身份信息,造成了不良社会影响。”据胶州市公安局调查显示,“叶某在工作中将接到的随访人员名单信息转发至所在公司微信群,该群内的姜某将名单信息转发至家人群,其家人又继续转发传播。张某工作中将接到的随访人员名单信息转发至家人微信群,其家人又继续转发传播。以上 3 人的行为,造成中心医院出入人员名单在社会上被迅速转发传播,侵犯了公民的个人隐私。”8.8.新新型型 PC PC 勒索病毒“勒索病毒“WannaRenWannaRen”开始传播,赎金为”开始传播,赎金为 0.050.05 个比特个比特币币

22、 2020 年 4 月,网曝出现一种新型勒索病毒“WannaRen”,多个社区、论坛,有用户反映遇到勒索加密。该病毒会加密 Windows 系统中的大部分文件,加密后的文件后缀名为.WannaRen,勒索信为繁体中文,勒索赎金为 0.05 个比特币。据悉,该勒索和 2017 年的“WannaCry”勒索病毒行为类似,主要借助 KMS 类的系统激活工具、下载工具等传播。目前,该病毒存在两个变种,一个通过文字发送勒索信息,另一个通过图片发送勒索信息。9.9.尼日利亚网尼日利亚网络钓鱼组织对国内企业进行钓鱼攻击络钓鱼组织对国内企业进行钓鱼攻击 2020 年 6 月,瑞星发现尼日利亚网络钓鱼组织对国内

23、大量进出口贸易、货运代理、船运物流等企业进行猛烈的网络钓鱼攻击,这类组织通过搜索、购买或窃取等方式获取企业相关邮箱账号进行钓鱼邮件投递,劫持企业公务往来邮件,伪装成买卖双方从而进行诈骗,以牟取暴利,该组织已收集大量国内企业员工的公务和个人邮箱,或企业网站登录凭据等数据,这会导致国内诸多企业遭受巨大的经济损失或信息被窃等风险。(详细分析见报告专题 2)10.10.TwitterTwitter 公司员工被钓鱼,致奥巴马、盖茨推特账号发布欺公司员工被钓鱼,致奥巴马、盖茨推特账号发布欺诈消息诈消息 2020 年 7 月,黑客团伙入侵推特(Twitter)网络,接管了多个政客、名人和企业家的推特账户,如

24、:美国前总统奥巴马、美国民主党总统候选人拜登、微软公司创始人比尔盖茨、亚马逊公司创始人杰夫贝佐斯、金融大亨沃伦巴菲特、特斯拉 CEO 埃隆马斯克、纽约市前市长迈克尔布隆伯格、歌手坎耶韦斯特、美国社交名媛金卡戴珊,以及苹果公司、优步公司的官推等。黑客利用这些账号发布比特币钓鱼链接,声称任何人只要往某个比特币账户发送比特币,就会得到双倍回报,且活动只限 30 分钟内参与。诈骗推文发布后几分钟内,一些比特币帐户显示收到超过 113,000美元。此次受到影响的名人政要账号数量众多,可以说是推特历史上最大的安全事件。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 14 11.11.WiWind

25、ows XPndows XP 源代码源代码泄露泄露 2020 年 9 月,Microsoft 的 Windows XP 和 Windows Server 2003 操作系统的源代码以 torrent文件的形式发布在公告板网站 4chan 上。此次泄漏在网络上的 torrent 文件的大小总为 43GB,其中包括 Windows Server 2003 和 Microsoft 开发的其他较旧操作系统的源代码,包括:Windows 2000,Windows CE 3,Windows CE 4,Windows CE 5,Windows Embedded 7,Windows Embedded CE,W

26、indows NT 3.5,Windows NT 4,MS-DOS 3.30,MS-DOS 6.0。尽管微软对泄露的代码系统早已停止支持,但是仍然有部分人群由于各样的原因,一直没有升级到最新的系统,不法分子有可能利用此次泄露的源代码进行反向工程,以发现可利用的漏洞,这将在未来一段时间甚至长期影响相关用户的安全。12.12.英特尔内部数据泄漏,涉及芯片机密和知识产权英特尔内部数据泄漏,涉及芯片机密和知识产权 2020 年 8 月,据外媒报道,英特尔公司发生数据泄密事件,其 20GB 的内部机密文档被上传到在线文档分享网站 MEGA 上。被公布的文件内包含与各种芯片组内部设计有关的英特尔知识产权内

27、容,比如 2016 年的 CPU 技术规格、产品指南和手册。该文件由瑞士软件工程师蒂尔科特曼(Till Kottmann)发布,其声称这些文件来自一名入侵英特尔的匿名黑客,英特尔也已在对此进行调查,他们认为是有权限的个人下载并分享。13.13.美国百万选民数据泄露美国百万选民数据泄露 2020 年 9 月,据俄罗斯媒体报道,一个 ID 为“Gorka9”的用户在某个论坛上表示可以免费访问密歇根州 760 万选民的个人信息。此外,暗网上还出现康涅狄格州、阿肯色州、佛罗里达州和北卡罗来纳州等 200 万至 600 万选民详细信息的数据库。研究人员表示,这些泄露信息是真实的选民数据,其中包括姓名、出

28、生日期、性别、选民登记日期、地址、邮政编码、电子邮件、选民登记号和投票站号码。14.14.330330 万台老年机被植入木马,数百万条公民个人信息遭贩卖万台老年机被植入木马,数百万条公民个人信息遭贩卖 2020 年 11 月,据媒体报道称,多数老年机被植入木马病毒,借助木马程序获取手机号码信息,并自动拦截验证码,以此来获取个人信息。这些获取的个人信息会进行 APP 注册,通过刷单获利,也会打包出售给公民个人信息批发商,从中牟利。据悉,这些带有木马植入程序的老年机多达 330 余万台,出售获利竟有 790 余万元。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 15 15.15.富士康

29、富士康 100G100G 数据被盗,黑客勒索数据被盗,黑客勒索 2.22.2 亿元亿元 2020 年 12 月,据外媒 Bleeping Computer 报道,墨西哥的富士康工厂遭到了“DoppelPaymer”勒索软件的攻击,导致其在墨西哥的生产设施出现问题。此次攻击感染了大约 1200 台服务器,攻击者窃取的未加密文件约有 100GB,并将其 20TB 至 30TB 的备份数据删除。据悉,DoppelPaymer 勒索软件攻击者要求富士康在一定期限内支付 1804.0955 比特币(价值约 2.2 亿元),以换取加密密钥,否则将公布被盗数据。16.16.美国网络安全公司美国网络安全公司

30、FireEyeFireEye 遭黑客组织入侵,敏感工具被窃遭黑客组织入侵,敏感工具被窃 2020 年 12 月,全球最大的网络安全公司之一 FireEye(火眼)披露遭遇黑客入侵,黑客成功窃取了 FireEye 渗透测试工具包。被盗工具数量大、范围广,从用于自动化侦查的简单脚本到类似于CobaltStrike 和 Metasploit 等公开可用技术的整个框架。此外,FireEye 还拥有大量美国关键基础设施和政府部门客户,FireEye 首席执行官 Kevin Mandia 在新闻发布中表示,攻击者还搜索了FireEye 公司某些政府客户的信息。17.17.全球数家重要机构因全球数家重要机构

31、因 SolarWindsSolarWinds 供应链攻击而被黑客入侵供应链攻击而被黑客入侵 2020 年 12 月,据美国安全公司 FireEye 称,代表外国政府从事攻击活动的黑客攻陷了软件提供商 SolarWinds,并在旗下的 Orion 网络管理软件更新服务器中植入恶意代码,导致美国财政部、美国 NTIA 等多个政府机构用户受到长期入侵和监视。此次攻击活动范围很广,影响了全球各地的公共和私营组织,受害者包括北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘等实体行业。(二)(二)20202020 年漏洞分析年漏洞分析 1.1.20202020 年年 CVECVE 漏洞利用率漏洞利用率

32、 TopTop1010 报告期内,从收集到的病毒样本分析来看攻击者利用最多的漏洞还是微软 Office 漏洞。CVE-2017-11882、CVE-2017-0199 等因稳定性和易用性仍一直是钓鱼邮件等攻击者使用的最爱。攻击者利用 Office 漏洞投递大量的 Emotet、AgentTesla、TrickBot 等间谍软件、银行木马。全球的外贸行业深受其害,我国的对外贸易企业众多,大量企业被攻击,造成巨大经济损失。CVE-2017-0147 Windows SMB 协议 MS17-010 永恒之蓝漏洞在 2017 年爆发,虽然过去将近 3 年,但仍是目前被病毒利用得最多的安全漏洞之一。虽然

33、暴露在互联网中存在该漏洞的终端设备数量较少,但是在企业内网环境中还有大量的终端设备该漏洞尚未修复,利用永恒之蓝的挖矿 DTLMiner、EternalBlueMiner 等各种各样的挖矿病毒仍然在大量内网环境中传播发展。瑞星根据漏洞被黑客利用程度进行分析,评选出 2020 年 1 至 12 月份漏洞 Top10:北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 16 1.1 1.1 CVECVE-20172017-1188211882 OfficeOffice 远程代码执行漏洞远程代码执行漏洞 该漏洞又称公式编辑器漏洞,2017 年 11 月 14 日,微软发布了 11 月份的安全补丁

34、更新,悄然修复了潜伏 17 年之久的 Office 远程代码执行漏洞 CVE-2017-11882。该漏洞为 Office 内存破坏漏洞,影响目前流行的所有 Office 版本,攻击者可以利用漏洞以当前登录的用户身份执行任意命令。漏洞出现在模块 EQNEDT32.EXE 中,该模块为公式编辑器,在 Office 的安装过程中被默认安装,该模块以 OLE 技术将公式嵌入在 Office 文档内。由于该模块对于输入的公式未作正确的处理,攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址,从而劫持程序流程,在登录用户的上下文环境中执行任意命令。1.2 CVE1.2 CVE-20102010-256

35、8 2568 WindowsWindows LNKLNK 快捷方式漏洞快捷方式漏洞 该漏洞影响 Windows XP SP3,Server 2003 SP2,Vista SP1 和 SP2,Server 2008 SP2 和 R2 及Windows 7。Windows 没有正确地处理 LNK 文件,特制的 LNK 文件可能导致 Windows 自动执行快捷方式文件所指定的代码。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 17 1.3 1.3 CVECVE-20162016-72557255 Win32k Win32k 特权提升漏洞特权提升漏洞 CVE-2016-7255漏洞是一个

36、Windows内核提权漏洞,影响:Microsoft Windows VistaSP2,Windows Server 2008SP2 和 R2SP1,Windows7 SP1,Windows8.1,Windows Server 2012 Gold 和 R2,WindowsRT8.1,Windows10 Gold,1511,1607,Windows Server 2016。攻击者可利用该漏洞在内核模式下执行任意代码。多个 APT 组织在攻击活动中使用了该内核提权漏洞进行攻击。1.4 CVE1.4 CVE-20172017-0147 Windows SMB0147 Windows SMB 协议协议

37、漏洞漏洞 MS17MS17-010010 2017 年 5 月份 Shadow Brokers 公布了他们从 Equation Group 窃取的黑客工具,其中包含“永恒之蓝”等多个 MS17-010 漏洞利用工具。MS17-010 对应 CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148 等多个 SMB 漏洞。这份工具的泄露直接导致了后来 WannaCry 病毒的全球爆发,包括中国在内的至少 150 多个国家,30 多万用户中招,并且金融、能源、医疗等众多行业皆受影响,据统计其

38、造成损失高达 80 亿美元。此后各种利用 MS17-010 漏洞的病毒疯狂增长,影响深远。1.5 CVE1.5 CVE-20122012-6422 6422 Samsung Galaxy AnSamsung Galaxy Androiddroid 设备内核安全漏洞设备内核安全漏洞 CVE-2012-6422 是一个内核安全漏洞,源于运行 Exynos4210 或 4412 处理器时,/dev/exynos-mem 使用弱权限(0666)。通过特制的应用程序(如 ExynosAbuse),攻击者利用该漏洞读取或写入任意物理内存并获得特权。SamsungGalaxyS2,GalaxyNote2,M

39、EIZUMX 以及其他 Android 设备中的内核中存在此漏洞。1.6 CVE1.6 CVE-20092009-0927 0927 Adobe AcrobatAdobe Acrobat 和和 Reader Collab getIcon()Reader Collab getIcon()JavaScriptJavaScript 方式栈方式栈溢出漏洞溢出漏洞 Adobe Acrobat 和 Reader 没有正确地处理 PDF 文档中所包含的恶意 JavaScript。如果向 Collab对象的 getIcon()方式提供了特制参数,就可以触发栈溢出,黑客可以成功利用这个漏洞允许以当前登录用户的权

40、限完全控制受影响的机器。1.7 CVE1.7 CVE-20102010-0188 0188 TIFFTIFF 图像处理缓冲区溢出漏洞图像处理缓冲区溢出漏洞 Adobe Reader 和 Acrobat TIFF 图像处理缓冲区溢出漏洞,Adobe 在解析 TIFF 图像文件的时候,使用了开源库代码(libtiff)存在堆栈溢出的 bug,漏洞出在对 DotRange 属性的解析上。该漏洞被多个 APT 组织在攻击行动中所使用。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 18 1.8 1.8 CVECVE-20122012-4681 Oracle Java4681 Oracle J

41、ava 任意代码执行漏洞任意代码执行漏洞 该漏洞于 2012 年 8 月 26 日被安全公司 FireEye 所披露。该公司安全研究员 Atif Mushtaq 发现 CVE-2012-4681 漏洞最初的利用代码是部署在网站 ok.XXX。当用户通过电子邮件等方式引导连接到该网站时,网页内含的 Java 程序能够绕过 Java 的沙盒保护机制,并下载安装恶意程序 dropper(Dropper.MsPMs)。Oracle Java 7 Update 6 和其他版本中存在此漏洞,远程攻击者可利用恶意的java applet 绕过 Java 沙盒限制,从而在应用中执行任意代码。1.9 1.9 C

42、VECVE-20172017-0199 Microsoft Office0199 Microsoft Office 逻辑漏洞逻辑漏洞 此漏洞主要是 word 在处理内嵌 OLE2Link 对象,并通过网络更新对象时没有正确处理 Content-Type 所导致的一个逻辑漏洞。该漏洞利用 Office OLE 对象链接技术,将包裹的恶意链接对象嵌在文档中,Office 调用 URL Moniker 将恶意链接指向的 HTA 文件下载到本地,URL Moniker 通过识别响应头中 content-type 的字段信息最后调用 mshta.exe 将下载到的 HTA 文件执行起来。1.10 1.1

43、0 CVECVE-20142014-6352 Microsoft OLE6352 Microsoft OLE 远程代码执行漏洞远程代码执行漏洞 CVE-2014-6352 漏洞被认为可以绕过 CVE-2014-4114 补丁。此漏洞源于没有正确处理含有 OLE 对象的 Office 文件,Microsoft Windows 在 OLE 组件的实现上存在此安全漏洞,未经身份验证的远程攻击者可利用此漏洞执行远程代码。攻击者利用此漏洞可以在管理员模式或者关闭 UAC 的情况下实现不弹出警告窗运行嵌入的恶意程序。2.2.2 20 02020 年最热漏洞分析年最热漏洞分析 2.1 2.1 CVECVE-

44、20202020-1472 Netlogon1472 Netlogon 特权提升漏洞特权提升漏洞 该漏洞是一个 NetLogon 特权提升漏洞。NetLogon 组件是 Windows 上一项重要的功能组件,用于用户和机器在域内网络上的认证,以及复制数据库以进行域控备份,同时还用于维护域成员与域之间、域与域控之间、域 DC 与跨域 DC 之间的关系。攻击者使用 Netlogon 远程协议(MS-NRPC)建立与域控制器连接的易受攻击的 Netlogon 安全通道时,存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络中的设备上运行经特殊设计的应用程序。2.2 2.2 CVECVE-2020202

45、0-0601 CryptoAPI0601 CryptoAPI 椭圆曲线密码证书检测绕过漏洞椭圆曲线密码证书检测绕过漏洞 该漏洞存在于 CryptoAPI.dll 模块中,可用于绕过椭圆曲线密码(ECC)证书检测,攻击者可以利用这个漏洞,使用伪造的代码签名证书对恶意的可执行文件进行签名,并以此恶意文件来进行攻 北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 19 击。此外由于 ECC 证书还广泛应用于通信加密中,攻击者成功利用该漏洞可以实现对应的中间人攻击。2.3 2.3 CVECVE-20202020-0796 SMB0796 SMB 远程远程代码执行漏洞代码执行漏洞 该漏洞是一个

46、Windows 系统 SMB v3 的远程代码执行漏洞,攻击者利用该漏洞,向存在漏洞的受害主机 SMB 服务发送一个特殊构造的数据包,即可远程执行任意代码。这是一个类似于 MS08-067,MS17-010 的“蠕虫级”漏洞,可以被病毒利用,造成类似于 Wannacry 病毒的大范围传播。2.4 2.4 CVECVE-20202020-1350 Windows DNS1350 Windows DNS 服务器远程代码执行漏洞服务器远程代码执行漏洞 该漏洞为 DNS Server 远程代码执行漏洞,是一个“蠕虫级”高危漏洞。漏洞源于 Windows DNS服务器处理签名(SIG)记录查询的缺陷所致

47、,超过 64 KB 的恶意 SIG 记录会导致堆缓冲区溢出,从而使攻击者能够远程执行具有高特权的代码。攻击者可以发送特殊构造的数据包到目标 DNS Server来利用此漏洞,进而可能达到远程代码执行的效果。2.5 2.5 CVECVE-20202020-0674 Internet Explorer0674 Internet Explorer 远程代码执行漏洞远程代码执行漏洞 该漏洞存在于 Internet Explorer 浏览器脚本引擎 jscript.dll 文件中,Internet Explorer浏览器脚本引擎在处理 IE 内存对象时存在远程代码执行漏洞。成功利用该漏洞的攻击者可获得和

48、当前用户相同的用户权限,如果当前用户为管理员权限,攻击者便能够控制受影响的系统,进而安装程序、更改或删除数据、创建新账户等。攻击者通过该漏洞可以进行“挂马”活动,构造一个恶意网站,诱使用户查看该网站,以此触发漏洞。2.6 2.6 CVECVE-20202020-06880688 微软微软 EXCHANGEEXCHANGE 服务的远程代码执行漏洞服务的远程代码执行漏洞 该漏洞是一个 Exchange 服务上的漏洞,是由于 Exchange Control Panel(ECP)组件中使用了静态秘钥(validationKey 和 decryptionKey)所导致的。利用这个漏洞,攻击者可通过 E

49、xchange 服务上的普通用户权限以 SYSTEM 身份执行任意代码,并完全控制目标 Exchange 服务器。2.7 2.7 CVECVE-20202020-0787 Windows0787 Windows 本本地提权漏洞本本地提权漏洞 2020 年 3 月,微软公布了一个本地权限提升漏洞 CVE-2020-0787,攻击者在使用低权限用户登录系统后,可以利用该漏洞构造恶意程序直接获取系统管理员或者 system 权限。该漏洞是由BITS(Background Intelligent Transfer Service)服务无法正确处理符号链接导致,攻击者可通过执行特制的应用程序利用该漏洞覆

50、盖目标文件提升权限。北京瑞星网安技术股份有限公司北京瑞星网安技术股份有限公司 20 2.8 2.8 CVECVE-20202020-14386 Linux14386 Linux 内核权限提升漏洞内核权限提升漏洞 该 漏 洞 为 Linux 内 核 权 限 提 升 漏 洞。Linux 发 行 版 高 于 4.6 的 内 核 版 本 的 源 码 net/packet/af_packet.c 在处理 AF_PACKET 时存在一处整数溢出漏洞。本地攻击者通过向受影响的主机发送特制的请求内容,可以造成权限提升。2.9 2.9 CVECVE-20202020-6519 Google Chrome6519

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 研究报告 > 其他

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服