网络安全观察报告惯犯观察

执行摘要

从 1987 年 9 月 14 日，中国向世界发出第一封电子邮件到如今，中国的互联网发展已过去整整 31 个年头。从消费互联、产业互联到万物互联，互联网正在加速改变我们的交流方式和交易方式，一次次 004.重塑了国家的经济形态和延展了人民的生活边界。与此同时，截止到 2018 年 6 月，中国网民规模达到 8.02 亿人，互联网普及率为 57.7%[^1]。互联网已事实上成为国家经济和人民生活中的必需品，网络安全
的重要性也就更为凸显。随着网络安全的重要性凸显，互联网安全事件受到的关注度也在逐步增加，其中漏洞类、恶意软件类、 DDoS、信息泄露以及物联网是最受关注的五类安全事件。从我们的观测数据可以看出，上半年
的高峰出现在 3 月份，该月安全事件的主角是 DDoS，重点事件是 GitHub 遭受了峰值 1.35 Tbps 的流量冲击，以及五天之后，在针对美国的一家服务提供商的 DDoS 攻击中，峰值再次刷新纪录，达到 1.7 Tbps。在 2018 年下半年，各类安全事件呈上升趋势，主角则换成了信息泄露和恶意软件。Facebook 和 AcFun 等网站的用户数据外泄，新勒索软件样本发现，已知勒索软件解密工具公布以及样本中出新算法等等，均与老百姓的生活息息相关。网络的互通互联，让更多的人能够切身感受到网络安全的重要性。安全厂商的脚步也在加快。2018 年 RSA的口号是”Now Matt
ers”，到 2019 年的”Better”，联动防御和破除孤岛已成业界共识，厚积薄发，化被动为主动，关注落地实效和响应时效的提升。“知己知彼，百战不殆”，2019 年 RSA的创新沙盒冠军 Axonius 正是因为提供了更为有效和细致的“知己” 能力而拔得头筹，提升给定范围内的资产可见性，持续地评估、消除资产的脆弱性。而“知彼”能力中最重要的威胁情报，已逐渐成为安全厂商的核心后台能力，通过嵌入各个安全产品和运营体系，来完成数据能力和防护能力的交付。2018 年，在我们监测到的所有恶意 IP中，有 15% 的恶意 IP使用了多种攻击方法，且随着时间迁移，攻击源会随着攻击链的深入或趋利目标改变攻击类型，例如发起 Web 攻击的攻击源，有 50% 的可能性在之后尝试进行更复杂的漏洞利用操作；参与 DDoS 攻击的受控源 IP，有相当一部分产生过挖矿行为。
攻击源和攻击目标主要集中在中、美两国。从国内来看，主要集中在江苏、浙江、北京、广东等省份，可以看出，攻击源和攻击目标的分布和所在地的经济发展与计算机行业发展正相关。此外，我们继续针对历史上被监测到多次恶意行为的攻击源进行分析，即所谓“惯犯”。在《2018 上半年网络安全观察》
报告中我们指出，攻击源中 25% 的“惯犯”承担了 40% 的攻击事件 [^2]。2018 年全年所监控到的攻击源已由上半年的 2700 万增加至 4300 万左右，“惯犯”占比为 17%，“惯犯”告警数量占比为 35%，整体告警占比与上半年相比均有所降低，但“惯犯”的活跃程度在增加，一定程度的说明了攻击资源的重
复利用。同时，39% 的“惯犯”都曾被僵尸网络所控制，也暴露了这部分公共网络资源安全状况长期得不到改善的严峻性。
在漏洞公布及漏洞利用方面，NVD官网发布的 2018 年 CVE漏洞数目为 1.58 万，其中高危漏洞 4096 个。其中设备类漏洞明显增加，针对设备漏洞的攻击也在逐年增加。“永恒之蓝”漏洞被众多恶意软件使用，逐渐成为被利用率最高的漏洞之一。
在 Web 攻击方面，在针对 Web 服务器的攻击中，85% 以上的攻击仍然是一些常规的攻击手段，但对 Web 服务软件的漏洞利用逐年增长。在 Web 漏洞中，反序列化漏洞由于其简单，可远程利用的特点格外受到黑客的青睐。漏洞从披露到出现有效攻击的时间间隔已经缩短到小时级别，给传统的防护和升级策略提出了更高的挑战。
DDoS 攻击规模持续普遍增大，DDoS 即服务增长迅速。DDoS 反射型攻击放缓，综合多种攻击手段值的关注。挖矿病毒方兴未艾，虽因加密货币价格缩水而略受影响，但整体活跃度在恶意软件排名中仅次于后门程序。蠕虫种类繁多，部分病毒已活跃多年。大部分蠕虫病毒最早发现时间距今都有 5 年以上， 2018 年全年监测到的最为活跃的蠕虫病毒种类共计 39 个，其中从发现至今超过 5 年的病毒占比 60% 以上。木马活跃度略有下降，暗云系列仍层出不穷。2015 年至今，暗云木马已感染数以百万的计算机，并经过了几次的更新迭代，各变种层出不穷，查而未绝。从蜜罐捕获和僵尸网络跟踪的角度看，Mirai 和 Gafgyt 两大家族的物联网恶意样本数量最多。异常物联网设备主要被利用进行 DDoS 攻击。Coinhive 在 2018 年 10 月控制的物联网设备仍有 2.6 万台，绝大部分仍是 MikroTik的路由器，巴西为重灾区，物联网设备难升级修复是物联网安全的巨大挑战。

重要观点

漏洞从披露到出现有效攻击的时间间隔缩短到小时级别，给传统的防护和上升级策略提出了更高以
的挑战。 %
比
DDoS 攻击规模持续普遍增大，DDoS 即服务增长迅速。攻击治理初见成效，反射型攻击减少。**占
1. 设在门程序的活跃程度最高，其次是挖矿和蠕虫。其中活跃超过备物类联漏网洞等呈新逐型年风增险加激态增活势的，同跃针时对，超设传备统过漏威洞胁 5的仍年攻然击不的主可要忽蠕集。虫中在 5在年的蠕虫病毒占比路 2018由器年及的摄活像跃头恶等 60%意主软流以上。网件络中设，备后
  和物联网设备。网络 / 物联网设备数量众多、分布广泛，以及物联网的快速发展，加剧了设备漏洞的威胁，亟需广谱监测和升级 / 防护方案。
超过半数的异常物联网设备被利用进行 DDoS 攻击，大量物联网设备并未得到妥善维护。
漏洞从披露到出现有效攻击的时间间隔缩短到小时级
别，给传统的防护和升级策略提出了更高的挑战。
DDoS攻击规模持续普遍增大，DDoS即服务增长迅速。
攻击治理初见成效，反射型攻击减少。
在物联网等新型风险激增的同时，传统威胁仍然不可忽
。在2018 年的活跃恶意软件中，后门程序的活跃程度最高，其次是挖矿和蠕虫。其中活跃超过5年的蠕虫病毒占比60% 以上。
设备类漏洞呈逐年增加态势，针对设备漏洞的攻击主要
集中在路由器及摄像头等主流网络设备和物联网设备。网络/物联网设备数量众多、分布广泛，以及物联网的快速发展，加剧了设备漏洞的威胁，亟需广谱监测和升级/ 防护方案。
超过半数的异常物联网设备被利用进行DDoS 攻击，大
量物联网设备并未得到妥善维护。

态势总览

攻击类型分布

从攻击类型来看 1，参与 DDoS 攻击的 IP 是最多的，占所有恶意 IP 的一半以上。其次是僵尸主机，扫描源，垃圾邮件。
图 3.1 攻击类型分布

攻击

僵尸主机 17.4%
扫描源 12.2%
垃圾邮件 11.4%
安全漏洞 4.4%
恶意软件 2.7%
Web攻击 2.1%
代理 0.2%
矿机 0.2%
其他 5.3%
在所有的恶意 IP 中，有 15% 的恶意 IP 使用了多种攻击方法。对参与多种攻击的 IP 进行跟踪，发现不同类型的攻击源之间有一些特定的转换模式，例如：

一个参与垃圾邮件攻击的 IP 有超过 90% 的概率会在互联网进行恶意扫描。恶意扫描和垃圾邮件都需要较多的主机资源，因为同一批资源可能同时在两种攻击中被使用。
Botnet 客户端主机与多种类型的攻击存在关联，最常见的行为就是进行恶意扫描，此外也包括垃圾邮件、网络钓鱼等恶意行为。
发起 Web 攻击的攻击源，有 50% 的可能性在之后尝试进行更复杂的漏洞利用操作。由于 Web 攻击复杂度低，通过 Web 漏洞拿到较低的权限或其它敏感信息，再利用搜集到的情报，有针对性的进一步使用漏洞进行渗透和利用。
参与 DDoS 攻击的受控源 IP，有相当一部分产生过挖矿行为。攻击者是趋利的，会充分的利用手头的资源，在没有 DDoS 攻击的时候，利用受控主机挖矿为自己谋求利益。
1　由于存在一个 IP 参与多种类型的攻击，故百分比之和是大于 100% 的。

地域分布

按攻击源 IP 的分布来看，在全球范围内，主要集中在中国、美国、俄罗斯、英国、印度等计算机行业比较发达的国家，从全国来看，主要集中在江苏、浙江、北京、广东、辽宁等地区。
图 3.2 攻击源 IP 地域分布
全球恶意 IP 分布全国恶意 IP 分布
按攻击目标 IP 的分布来看，在全球范围内，主要集中在中美两国，从全国来看，主要集中在浙江、广东、江苏、福建、北京等地区。经济活动越活跃，受到攻击的可能性就越大，这体现出攻击者逐利、逐名的攻击诉求。
图 3.3 攻击目标 IP 分布
全球受害 IP 分布全国受害 IP 分布

惯犯观察

所谓“惯犯”，即历史上被监测到多次恶意行为的攻击源。在《2018 上半年网络安全观察》报告中我们指出，攻击源中 25% 的“惯犯”承担了 40% 的攻击事件 [^1]，“惯犯”的数量及威胁程度均不容小觑。2018 年全年所监控到的攻击源已由上半年的 2700 万增加至 4300 万左右，“惯犯”占比为 17%， “惯犯”告警数量占比为 35%，与上半年相比均有所降低。但 17% 的“惯犯”承担了 35%
图 3.4 “惯犯”数量及告警分布图
“惯犯”数量占比 “惯犯”告警量占比
“惯犯” 其他攻击源
“惯犯”的地域分布情况同上半年数据基本一致，从全球的数据来看，中国、美国是“惯犯”高度活跃的地区，俄罗斯、印度紧随其后。与此同时，中国、美国也是受害最为严重的国家，俄罗斯、澳大利亚、巴西以及欧洲部分国家也是“惯犯”攻击的目标。从国内地域分布情况来看，“惯犯”主要集中在山东、江苏、浙江、广东等沿海地区，其次是河北、河南等内陆地区的一些人口大省。其攻击目标也主要集中在北京和这些沿海经济发达省市。
图 3.5 “惯犯”全球分布
图 3.6 “惯犯”攻击目标全球分布
图 3.7 “惯犯”国内分布
图 3.8 “惯犯”攻击目标国内分布
从图 3.9 中“惯犯”异常行为类型分布可知，39.36% 的“惯犯”曾被僵尸网络所控制；27.13% 的“惯犯”参与过 DDoS 攻击，仅这两种异常行为就占据整体的比例的 66.49%。其次是漏洞利用和扫描探测，我们认为，网络中有相当一批的僵尸主机在持续且频繁的进行着漏洞扫描与利用行为。
图 3.9 “惯犯”异常行为类型分布
僵尸网络通信 39.36%
DDos攻击 27.13%

参考资料

绿盟 2018年网络安全观察报告

友情链接

GB-T 32919-2016 信息安全技术工业控制系统安全控制应用指南