2020年第1季網(wǎng)絡安全態(tài)勢監(jiān)測報告

恒安佳信（北京）科技有限公司繼續(xù)對中國網(wǎng)絡安全形勢進行監(jiān)測。2020年第一季度，恒安佳信觀察到了許多有害行為，如網(wǎng)絡攻擊、網(wǎng)絡欺詐、數(shù)據(jù)銷售和互聯(lián)網(wǎng)應用。在本報告中，我們詳細分析了2020年第一季度該國的安全狀況、web攻擊、惡意軟件、移動安全、網(wǎng)絡欺詐、工業(yè)互聯(lián)網(wǎng)安全、黑暗網(wǎng)絡信息、p2p網(wǎng)絡信貸和區(qū)塊鏈。面對日益增長的網(wǎng)絡信息安全威脅，恒安佳信繼續(xù)引入新技術(shù)研究成果，加強高級別威脅信息的積累，并繼續(xù)擴大工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、區(qū)塊鏈等新方向的安全監(jiān)測。支持國家形成更及時、更準確、更全面的網(wǎng)絡空間安全感知體系，提高中國的網(wǎng)絡安全水平。1網(wǎng)絡詐騙行為分析1）網(wǎng)絡信息安全漏洞分析2020年第1季度收錄的新增安全漏洞數(shù)量5431個．其中，高危漏洞占38.3%，中危漏洞占50.8%，低危漏洞占10.9%.重點漏洞———AtlassianJira漏洞———影響全國30個省市及中國香港、臺灣地區(qū)，涉及IP數(shù)量共9360個；WebLogicIIOP產(chǎn)品漏洞影響全國31個省市及中國香港地區(qū)，涉及IP數(shù)量共5982條；AdobeColdFusion產(chǎn)品漏洞影響全國17個省市，涉及IP數(shù)量共278條．2）網(wǎng)絡信息安全攻擊事件分析2020年第1季度監(jiān)控網(wǎng)絡攻擊事件中，Web攻擊方式為“SQL注入攻擊測試語句”最多，占比26.28%．發(fā)起攻擊次數(shù)TOP3的地區(qū)分別為浙江省、江蘇省和北京市，受Web攻擊危害最嚴重的TOP3的地區(qū)為上海市、江蘇省和浙江省．3）互聯(lián)網(wǎng)惡意程序事件分析2020年第1季度監(jiān)控到僵尸網(wǎng)絡、木馬、蠕蟲活動中，上海市受到僵尸網(wǎng)絡的侵害最為嚴重，占總僵尸網(wǎng)絡事件數(shù)的32.88%；江蘇省受到木馬的侵害最為嚴重，占總木馬事件數(shù)的28.55%；遼寧省受到蠕蟲的侵害最為嚴重，占總?cè)湎x事件數(shù)的13.77%.4）移動互聯(lián)網(wǎng)惡意程序事件分析2020年第1季度共捕獲到的移動惡意程序事件中，最多的移動惡意事件為流氓行為，占比67%．移動惡意程序通常為擦邊球的社交應用或者直播應用，通過帶有誘惑性的視頻或圖片來推廣下載，一旦用戶安裝，會竊聽用戶通話、竊取用戶信息、破壞用戶數(shù)據(jù)、擅自使用付費業(yè)務、發(fā)送垃圾信息、推送廣告或欺詐信息、影響移動終端運行、危害移動互聯(lián)網(wǎng)網(wǎng)絡安全等惡意行為．5）網(wǎng)絡詐騙事件分析2020年第1季度監(jiān)測到網(wǎng)絡詐騙行為中，違法網(wǎng)站事件最多，其次是仿冒APP和釣魚網(wǎng)站．從數(shù)量、波及范圍、種類來看，還是處于高危影響的水平．網(wǎng)絡詐騙的行為集中于違法網(wǎng)站、仿冒APP、釣魚網(wǎng)站這3類．6）工業(yè)互聯(lián)網(wǎng)態(tài)勢分析2020年第1季度共監(jiān)測到暴露在互聯(lián)網(wǎng)的工業(yè)資產(chǎn)涉及工業(yè)企業(yè)共34254家．漏洞方面，工業(yè)資產(chǎn)漏洞最多的是“OpenSSLECDSANonces信息泄露漏洞”；安全事件方面，對工業(yè)資產(chǎn)發(fā)起攻擊事件最多的是“門羅幣挖礦礦池登錄請求”．7）暗網(wǎng)數(shù)據(jù)態(tài)勢分析2020年第1季度監(jiān)測到暗網(wǎng)上的數(shù)據(jù)售賣事件共1092例，分為服務業(yè)務類、基礎知識、技能技術(shù)類、實體物品、數(shù)據(jù)-情報、私人專拍、虛擬物品、影視色情、虛擬資源、其他類別十大類；售賣價額共23.07578個比特幣，約113.1萬元，售賣成交額共2.27759個比特幣，近11.1萬元．其中十大類別中“數(shù)據(jù)-情報”類別數(shù)據(jù)占比最大，數(shù)據(jù)條目達760例，售賣額共19.93796個比特幣，約97.7萬元，售出成功量達到101次，售賣成交額共1.73479個比特幣，近8.5萬元．可見目前數(shù)據(jù)-情報最為搶手．8)P2P網(wǎng)貸數(shù)據(jù)態(tài)勢分析2020年第1季度共監(jiān)測到6608個P2P網(wǎng)貸平臺．省份分布上，廣東、北京、浙江、上海是P2P網(wǎng)貸平臺誕生最多的TOP4省份，也是當前可運營平臺集中的省份；平臺運營情況中，有3346個（占比51%）的網(wǎng)貸平臺處于停業(yè)或轉(zhuǎn)型狀態(tài)，有2928個（占比44%）的平臺有過兌付逾期行為，僅有334個（占比5%）的網(wǎng)貸平臺處于正常運營狀態(tài)．共有281個（占比84%）的平臺采用“用戶資金銀行存管”方式運營；年化收益率區(qū)間上，8%～10%的年化收益率平臺占比最高；民營系依然是當下尚運營P2P平臺背景主流．9）區(qū)塊鏈態(tài)勢分析2020年第1季度共監(jiān)測到區(qū)塊鏈節(jié)點130626個，區(qū)塊鏈APP為391個，DAPP為3934個；區(qū)塊鏈APP中，金融理財最多，總占比為56%，熱度最高的區(qū)塊鏈APP為幣看BITKAN；區(qū)塊鏈網(wǎng)站中，熱度最高的是幣世界（）和比特幣區(qū)塊鏈瀏覽器（）；區(qū)塊鏈應用項目中，最多的為Achain，與區(qū)塊鏈相關(guān)項目共708個．2網(wǎng)絡信息安全趨勢的分析2.1網(wǎng)絡信息安全漏洞分析如圖1所示，按照漏洞危害級別劃分，第1季度收錄高危漏洞2081個（占38.3%）、中危漏洞2759個（占50.8%）、低危漏洞591個（占10.9%).如圖2所示，按照漏洞影響對象類型劃分，第1季度收錄應用程序2899個、Web應用1180個、網(wǎng)絡設備（交換機、路由器等網(wǎng)絡端設備）496個、操作系統(tǒng)440個、安全產(chǎn)品169個、智能設備（物聯(lián)網(wǎng)終端設備）190個、數(shù)據(jù)庫57個．如圖3所示，按照漏洞所屬行業(yè)劃分，第1季度收錄電信行業(yè)漏洞258個、移動互聯(lián)網(wǎng)行業(yè)漏洞285個、工控行業(yè)漏洞543個．如圖4所示，按照漏洞所屬廠商劃分，第1季度收錄漏洞廠商TOP10涉及Oracle,Microsoft,Apple,Cisco等廠商．其中，收錄Oracle漏洞位列第一．2)IOT漏洞分析如圖5所示，2020年第1季度，收錄涉及IOT產(chǎn)品漏洞數(shù)量共計870個，其中高危漏洞331個（占38.0%），中危漏洞411個（占47.2%），低危漏洞128個（占14.7%).2.2web攻擊事件分析圖6所示為受Web攻擊危害最為嚴重的省份排行TOP10．上海市受到Web攻擊的侵害最為嚴重，占總Web攻擊事件數(shù)的17.68%，其次為江蘇省和北京市．Web攻擊排行TOP5的事件依序為：SQL注入攻擊、struts2-045遠程命令執(zhí)行、Web弱口令嘗試、XXE注入攻擊和針對MYSQL的惡意利用．2.3木馬和感染事件分析圖7所示為受僵尸網(wǎng)絡危害最為嚴重的省份排行TOP10．上海市受到僵尸網(wǎng)絡的侵害最為嚴重，占總僵尸網(wǎng)絡事件數(shù)的32.88%，其次為四川省和北京市．僵尸網(wǎng)絡排行TOP5的事件依序為：僵尸網(wǎng)絡DDoS.Win32.ServStart、僵尸網(wǎng)絡DDos.Win32.ServStart、僵尸網(wǎng)絡billgates、僵尸網(wǎng)絡DDos.IoT.Mirai和Trojan.Win32.Generic.2）木馬事件分析圖8所示為木馬危害最為嚴重的省份排行TOP10．江蘇省受到木馬的侵害最為嚴重，占總木馬事件數(shù)的28.55%，其次為四川省和遼寧省．木馬排行TOP5的事件依序為：Win32.Nitol.K變種、Trojan.Win32.Generic惡意URL初始化、Rouge.NetReapar、Ganiw后門和ELF.MrBlackDOS.TF變種．3）蠕蟲事件分析圖9所示為受蠕蟲危害最為嚴重的省份排行TOP10．遼寧省受到蠕蟲的侵害最為嚴重，占總?cè)湎x事件數(shù)的13.77%，其次為江蘇省和上海市．蠕蟲排行TOP5的事件依序為：RAMNIT.AM2、永恒之藍相關(guān)蠕蟲、Worm.Win32.Dorkbot、RAMNIT.A.M1和WannaCryptor.a.RAMNIT.AM2占據(jù)榜首位置，TOP5中占比為57%，是第1季度發(fā)起攻擊最多的蠕蟲類型．2.4流蚤行為類惡意程序監(jiān)測數(shù)據(jù)分析2020年第1季度受害操作系統(tǒng)主要有4個，分別為安卓系統(tǒng)、黑莓系統(tǒng)、蘋果系統(tǒng)、塞班系統(tǒng)．其中安卓操作系統(tǒng)受害量最多．2）流氓行為分析圖10所示為2020年第1季度流氓行為受害最為嚴重的省份排行TOP10．江蘇省受到流氓行為的侵害最為嚴重，占總流氓行為數(shù)的14.6%，其次為四川省和甘肅?。畧D11所示為流氓行為類惡意程序排行TOP5情況．“A.Rogue.sexpay.a”占據(jù)榜首位置，占比為84%，是第1季度最多的流氓行為類型．3）隱私竊取分析圖12所示為2020年第1季度隱私竊取類危害最為嚴重的省份排行TOP10．河南省受到隱私竊取的侵害最為嚴重，占總隱私竊取事件數(shù)的9.9%，其次為廣東省和江蘇省．圖13所示為隱私竊取類型排行TOP5情況．“A.Privacy.tinyurl.a”占據(jù)榜首位置，占比為27%.4）各省份惡意程序態(tài)勢比較2020年第1季度惡意程序事件增幅TOP3的省分別為湖北省、甘肅省、云南省，其中湖北省增幅達到了518%.如表1所示，湖北省惡意程序事件增加的主要原因是流氓行為事件增加．2.5網(wǎng)絡詐騙事件的分析1）釣魚網(wǎng)站事件分析圖14所示為對某省內(nèi)釣魚網(wǎng)址類型進行分類分析．省內(nèi)釣魚網(wǎng)址類型中威尼斯人詐騙網(wǎng)站事件占比最大，占總事件量的53%，其次為殺豬盤賭博類詐騙，占比23%，其余類型占比較?。槍︶烎~網(wǎng)站事件中域名被訪問次數(shù)為維度開展深入分析，其中域名519397.com被訪問次數(shù)最多，為7000余次，該域名對應的IP為91，歸屬于北京．釣魚網(wǎng)站被訪問次數(shù)TOP5分布情況如圖15所示：2）仿冒APP分析圖16所示為對某省內(nèi)仿冒APP危害行為進行分類分析．殺豬盤賭博APP事件量最大，占事件量的53%．殺豬盤賭博APP是網(wǎng)絡詐騙類APP，通過上傳APP到各大應用商店，誘導用戶下載，下載后會誘騙受害人進行轉(zhuǎn)賬或者充值，造成財產(chǎn)損失．針對仿冒APP事件中域名被訪問次數(shù)為維度開展深入分析，其中域名g500.ag被訪問次數(shù)最多，為12萬余次，該域名對應的IP為39，歸屬于美國．仿冒APP被訪問次數(shù)TOP5分布情況如圖17所示．3）違法網(wǎng)站分析圖18所示為對某省內(nèi)違法網(wǎng)站危害行為進行分類分析．色情詐騙量最大，占事件量的58%．色情詐騙行為是以色情內(nèi)容誘導用戶充值，可能使用戶個人信息泄露并造成一定的經(jīng)濟損失．針對違法網(wǎng)站事件中域名被訪問次數(shù)為維度開展深入分析，其中域名被訪問次數(shù)最多，為94萬余次，該域名對應的IP為44，歸屬于香港，主要利用的危害行為為網(wǎng)絡誘導色情詐騙．違法網(wǎng)站被訪問次數(shù)TOP5分布情況如圖19所示：2.6工業(yè)安全事件如圖20所示，全國工業(yè)企業(yè)資產(chǎn)歸屬行業(yè)最多的為研究和試驗發(fā)展，占比為14%，其次是制造業(yè)和計算機、通信和其他電子設備制造業(yè)，分別占比為12%和7%.2）工業(yè)漏洞態(tài)勢分析如圖21所示，2020年第1季度工業(yè)企業(yè)資產(chǎn)漏洞排行TOP3的是OpenSSLECDSANonces信息泄露漏洞、OracleMySQLServer存在未明漏洞（CNVD-2015-02478）和pyOpenSSLSSL客戶端證書驗證安全繞過漏洞．如表2所示，2020年第1季度江蘇省的OpenSSLECDSANonces信息泄露漏洞數(shù)量最多，為1506個．3）工業(yè)安全事件分析如圖22所示，2020年第1季度對工業(yè)企業(yè)資產(chǎn)發(fā)起攻擊的事件排行TOP3的是門羅幣挖礦礦池登錄請求、檢測到疑似鐵虎APT組織-DNS請求行為和Web弱口令登錄嘗試．如表3所示，排名TOP3的工業(yè)企業(yè)資產(chǎn)安全事件類型最多的省份是湖南、廣東和浙江．通過表3發(fā)現(xiàn)“門羅幣挖礦礦池登錄請求”攻擊事件數(shù)量最多，這是門羅幣挖礦木馬，主要通過各種漏洞如struts2、Weblogic以及永恒之藍等，將門羅幣挖礦木馬種植在肉雞上，主要用于為攻擊者挖礦來獲得收益．2.7暗網(wǎng)數(shù)據(jù)-情報類售價額分析1）暗網(wǎng)數(shù)據(jù)類別分析如圖23所示，2020年第1季度，暗網(wǎng)售賣中數(shù)據(jù)-情報類占比最大，共760例，占總數(shù)的70%，影視色情類數(shù)據(jù)售賣114例，占比10%.2）暗網(wǎng)數(shù)據(jù)-情報類數(shù)據(jù)售賣態(tài)勢分析2020年第1季度共監(jiān)測到暗網(wǎng)數(shù)據(jù)-情報類數(shù)據(jù)售賣共760例，售賣價額共24.90843個比特幣，售出成功量達到101次，售賣成交額共1.73479個比特幣．所被販賣的數(shù)據(jù)按照類別細分如圖24和圖25所示．3）暗網(wǎng)數(shù)據(jù)-情報類數(shù)據(jù)涉及區(qū)域分析通過監(jiān)測全國各個省份數(shù)據(jù)-情報類數(shù)據(jù)售賣情況，對其數(shù)據(jù)所屬地進行統(tǒng)計，其中涉及相關(guān)省份數(shù)據(jù)-情報數(shù)據(jù)售賣分布情況表如表4所示：如圖26所示，根據(jù)表4統(tǒng)計的售賣各個省份數(shù)據(jù)-情報類的數(shù)據(jù)分布情況發(fā)現(xiàn)，澳門由于博彩屬性，信息泄露情況占比較高，共約占24%的監(jiān)測數(shù)據(jù)．4）暗網(wǎng)數(shù)據(jù)-情報類售賣價額分析通過監(jiān)測暗網(wǎng)內(nèi)數(shù)據(jù)-情報類數(shù)據(jù)售賣情況，對數(shù)據(jù)售賣價額進行統(tǒng)計排行，其中數(shù)據(jù)售賣額TOP5如表5所示：5）暗網(wǎng)數(shù)據(jù)-情報類熱度分析如表6所示，通過監(jiān)測2020年第1季度暗網(wǎng)全國數(shù)據(jù)-情報相關(guān)數(shù)據(jù)售賣情況，對其數(shù)據(jù)-情報類型數(shù)據(jù)熱度進行統(tǒng)計分析，列舉出數(shù)據(jù)-情報類熱度TOP5.由表6可知，數(shù)據(jù)-情報中，第1季度暗網(wǎng)售賣數(shù)據(jù)熱度最高的售賣標題為：“全國342家口罩廠家聯(lián)系方式”，擴展觀察：由于疫情原因醫(yī)療相關(guān)數(shù)據(jù)熱度增高．2.8p2p網(wǎng)貸平臺運營狀態(tài)1)P2P網(wǎng)貸平臺省份分布2020年第1季度，監(jiān)測共掌握6608個P2P網(wǎng)貸平臺相關(guān)信息，對其平臺所屬地進行統(tǒng)計，相關(guān)省份分布情況如表7所示．廣東、北京、浙江、上海是P2P網(wǎng)貸平臺誕生最多的TOP4省份，廣東省更是以1120個P2P網(wǎng)貸平臺歸屬高居榜首．尚處正常運營中的P2P平臺數(shù)量，北京市、廣東省、上海市也明顯高于其他省份，全國有8個省份地區(qū)已無P2P平臺的運營（除港澳臺）．2)P2P網(wǎng)貸平臺運營狀態(tài)目前監(jiān)測平臺上掌握的6608個P2P網(wǎng)貸平臺相關(guān)信息，對其P2P網(wǎng)貸平臺運營狀態(tài)進行統(tǒng)計（去除部分不可統(tǒng)計數(shù)據(jù)），相關(guān)運營狀態(tài)如圖27所示：通過掌握的P2P網(wǎng)貸平臺數(shù)據(jù)，全國當前已有約51%的網(wǎng)貸平臺處于停業(yè)或轉(zhuǎn)型狀態(tài)；約有44%的P2P網(wǎng)貸平臺有過兌付逾期情況，這類平臺已令部分投資者蒙受損失．當前，僅有334個，約5%的網(wǎng)貸平臺處于正常運營狀態(tài)，由此可看出當前P2P網(wǎng)貸平臺面臨的運營窘境．3)P2P網(wǎng)貸平臺（正常運營）用戶資金銀行存管情況目前監(jiān)測平臺上掌握334個正常運營中的P2P網(wǎng)貸平臺，對其P2P網(wǎng)貸平臺用戶資金銀行存管情況進行統(tǒng)計（去除部分不可統(tǒng)計數(shù)據(jù)），相關(guān)資金銀行存管情況如圖28所示：從掌握情況看，尚運營的平臺中，全國達84%的P2P網(wǎng)貸平臺交易是選擇用戶資金銀行存管方式．用戶資金銀行存管的運營方式，能夠有效降低投資人的資金風險性，也更利于P2P平臺的長期向好發(fā)展．4)P2P網(wǎng)貸平臺（正常運營）年化收益率目前監(jiān)測平臺上掌握334個正常運營中的P2P網(wǎng)貸平臺，對其P2P網(wǎng)貸平臺收益率進行統(tǒng)計（去除部分不可統(tǒng)計數(shù)據(jù)，共有213個可統(tǒng)計平臺），相關(guān)平臺收益率分布如圖29所示：5)P2P網(wǎng)貸平臺（正常運營）背景分布目前監(jiān)測平臺上掌握334個正常運營中的P2P網(wǎng)貸平臺，對其P2P網(wǎng)貸平臺背景進行統(tǒng)計（去除部分不可統(tǒng)計數(shù)據(jù)，共有303個可統(tǒng)計平臺），相關(guān)平臺背景分布如圖30所示．P2P網(wǎng)貸平臺的背景種類繁多，但民營系依然是當下尚運營的P2P平臺背景主流．雖然其他幾系因具有更好的投資穩(wěn)定性，受投資者追捧，但民營系平臺同樣具有投資門檻低、投資周期短、投資利率高、運營能力更加靈活等優(yōu)點，受到投資者青睞．2.9數(shù)據(jù)分析發(fā)現(xiàn)1）區(qū)塊鏈節(jié)點數(shù)據(jù)分析如圖31所示，2020年第1季度監(jiān)測發(fā)現(xiàn)主要區(qū)塊鏈節(jié)點共130626個，主要為比特幣、萊特幣、以太坊和恒星鏈．其中比