主页 > 区块链交易所 > [imtoken安卓版imToken钱包官网]2020年中国网络安全报告

[imtoken安卓版imToken钱包官网]2020年中国网络安全报告

管理员 区块链交易所 2023年01月24日
三、企业安全 (一)2020年重大企业网络安全事件 1. 2020年勒索软件攻击已突破历史最高点

2020年,据全球企业调查和风险咨询公司Kroll的报道,勒索软件是2020年最常见的威胁,其可能通过网络钓鱼、电子邮件、漏洞、开放式远程桌面协议(RDP)和Microsoft专有的网络通信协议等方式来发起攻击。勒索软件的攻击规模和频率居高不下,席卷了全球各个领域、各种规模的企业,据统计2020年勒索软件的攻击事件已突破历史最高点,其中药物测试公司HMR、IT服务公司Cognizant、巴西电力公司Light S.A、跨国零售公司Cencosud等多个大型企业都于2020年遭受过勒索攻击。

2.6 CVE-2020-0688微软EXCHANGE服务的远程代码执行漏洞

该漏洞是一个Exchange服务上的漏洞,是由于Exchange Control Panel(ECP)组件中使用了静态秘钥(validationKey和decryptionKey)所导致的。利用这个漏洞,攻击者可通过Exchange服务上的普通用户权限以SYSTEM身份执行任意代码,并完全控制目标Exchange服务器。

遍历进程并将信息发送到攻击者服务器。

文件名   新型冠状肺炎袭击菲律宾,已经确诊病例七人.cmd  

将当前程序移动到系统目录C:\Windows\system32\并且以{随机值.bak}命名。

例如:其投递和亚洲组织ASPAC有关的诱饵文档“Nominal Roll for BMAC Journal 2020.doc”,攻击手法主要是在诱饵文档中嵌入恶意hta代码,利用CVE-2017-11882漏洞执行hta代码达到窃密远控目的。

攻击者通过长期对买(卖)双方邮件内容进行监控,以获取其中重要信息,从而伪装成买方及卖方,充当中间人与真正的买(卖)方进行通信,劫持并传输邮件内容,并以打折、避税或篡改等方式更换收款信息,最终骗取受害企业的大量资金。

瑞星根据漏洞被黑客利用程度进行分析,评选出2020年1至12月份漏洞Top10:

提升进程权限:SeShutdownPrivilege。

Maze勒索病毒的加密模式采用对称加密和非对称加密算法的结合方式, 并且被其加密后的每个文件后缀名都是随机生成的,并不相同。如需解密,需要结合攻击者的RSA私钥。

(四)供应链攻击危害逐渐显现

近年来,黑客团伙利用供应链攻击作为安全突破口,对各大政府企业机构组织所进行的网络攻击安全事件不断发生,供应链攻击已成为2020年最具影响力的高级威胁之一。供应链攻击一般利用产品软件官网或者软件包存储库等进行传播。例如:黑客通过攻陷某知名官网的服务器,篡改其服务器上所提供的软件源代码,使得这些软件在被用户下载后安装时触发恶意行为。这些携带恶意代码的软件来自受信任的分发渠道,携带着相应的供应商数字签名,使得恶意程序的隐蔽性大大增强,安全检测难度加大。供应链攻击有着“突破一点,伤及一片”的特点,又因其隐蔽性强、检测率低,成为具有国家背景的APT组织常常使用的攻击手段之一。比如:2020年APT组织UNC2452所使用的SolarWinds供应链攻击就给全球带来了巨大影响,据悉,大约有超过250家美国联邦机构和企业受到影响,其中包括美国财政部、美国NTIA、美国安全公司FireEye等,可以算得上是2020年最具影响力的供应链攻击事件了。

自清理功能,删除“Cdefgh”服务,结束当前进程。

通过“CTXOPConntion_Class”获取当前登录的QQ号码。

较原来正常的SolarWinds.Orion.Core.BusinessLayer.dll文件相比,恶意DLL文件中Sunburst后门代码存于新增的OrionImprovementBusinessLayer类中,Sunburst后门可以执行禁用杀软、盗取数据、下发和执行文件等恶意操作。

二、移动安全 (一)2020年手机病毒概述

2020年瑞星“云安全”系统共截获手机病毒样本581万个,病毒总体数量比2019年同期上涨69.02%。病毒类型以信息窃取、资费消耗、流氓行为、恶意扣费等类型为主,其中信息窃取类病毒占比32.7%,位居第一;其次是资费消耗类病毒占比24.32%,第三名是流氓行为类病毒占比13.45%。

11. Windows XP源代码泄露

2020年9月,Microsoft的Windows XP和Windows Server 2003操作系统的源代码以torrent文件的形式发布在公告板网站4chan上。此次泄漏在网络上的torrent文件的大小总为43GB,其中包括Windows Server 2003和Microsoft开发的其他较旧操作系统的源代码,包括:Windows 2000,Windows CE 3,Windows CE 4,Windows CE 5,Windows Embedded 7,Windows Embedded CE,Windows NT 3.5,Windows NT 4,MS-DOS 3.30,MS-DOS 6.0。尽管微软对泄露的代码系统早已停止支持,但是仍然有部分人群由于各样的原因,一直没有升级到最新的系统,不法分子有可能利用此次泄露的源代码进行反向工程,以发现可利用的漏洞,这将在未来一段时间甚至长期影响相关用户的安全。

附:2020年国内重大网络安全政策法规 1.《中华人民共和国密码法》

1月1日,《中华人民共和国密码法》正式实施,这是我国密码领域的第一部法律,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。

图:访问指定的URL链接

遍历进程,发现包含指定名称的进程。

(五)2020年供应链攻击分析 1. 供应链攻击概述:

近年来,随着黑客团伙等利用供应链攻击作为安全突破口对各大政府企业机构组织所进行的网络攻击安全事件不断发生,供应链攻击已成为2020年最具影响力的高级威胁之一。供应链攻击一般利用产品软件官网或者软件包存储库等进行传播。例如:黑客通过攻陷某知名官网的服务器,篡改其服务器上所提供的软件源代码,使得这些软件在被用户下载后安装时触发恶意行为。这些携带恶意代码的软件来自受信任的分发渠道,携带着相应的供应商数字签名,使得恶意程序的隐蔽性大大增强,安全检测难度加大。

部署网络安全态势感知、预警系统等网关安全产品。该类产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。

13. 美国百万选民数据泄露

2020年9月,据俄罗斯媒体报道,一个ID为“Gorka9”的用户在某个论坛上表示可以免费访问密歇根州760万选民的个人信息。此外,暗网上还出现康涅狄格州、阿肯色州、佛罗里达州和北卡罗来纳州等200万至600万选民详细信息的数据库。研究人员表示,这些泄露信息是真实的选民数据,其中包括姓名、出生日期、性别、选民登记日期、地址、邮政编码、电子邮件、选民登记号和投票站号码。

3. 重大供应链攻击事件分析:

2020年12月,APT组织UNC2452所使用的SolarWinds供应链攻击就给全球带来了巨大影响。据悉,大约有超过 250 家美国联邦机构和企业受到影响,其中包括美国财政部、美国NTIA,美国安全公司FireEye等,可以算得上是2020年最具影响力的供应链攻击事件了。

图:查询恶意软件注册信息

图:中国正在追踪来自湖北的旅行者.exe

5. 微盟某运维人员“删库”,致微盟损失巨大

2020年2月,微盟官方发布通报,通报中表示,“研发中心运维部核心运维人员贺某通过个人VPN登入公司内网跳板机,因个人精神、生活等原因对微盟线上生产环境进行了恶意破坏。”此次事件影响恶劣,贺某被判处6年有期徒刑。据判决书道“微盟公司服务器内数据被全部删除,致使该公司运营自2020年2月23日19时起瘫痪,300余万用户(其中付费用户7万余户)无法正常使用该公司信息产品,经抢修于同年3月3日9时恢复运营。截至2020年4月30日,造成微盟公司支付恢复数据服务费、商户赔付费及员工加班报酬等经济损失共计人民币2260余万元。”

2.《个人金融信息保护技术规范》

2月13日,中国人民银行正式发布《个人金融信息保护技术规范》(JR/T 0171—2020),该规范规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。

6. APT组织“Kimsuky”组织利用新冠针对MACOS平台进行网络攻击

APT组织“Kimsuky” 利用名为“COVID-19 and North Korea.docx”的恶意样本针对MACOS平台进行网络攻击。该样本是通过远程宏模板注入使目标加载执行宏代码,并且通过判断当前操作系统是否是MAC系统决定是否执行恶意python代码。

图:进程提权

(二)勒索软件依旧流行,勒索方式向多重勒索方向发展

2020年勒索病毒仍是最常见的威胁之一,勒索病毒勒索途径也发生了一些变化,从以往的单纯加密用户数据勒索赎金解密,逐渐增加了在攻击过程中窃取企业隐私数据和商业信息,威胁不交付赎金则会公布企业内部私用数据的方式进行勒索。这种以发布企业隐私数据和商业信息的勒索方式造成的危害巨大,企业不仅要面临隐私数据泄露,还要面临相关法规、财务和声誉受损的影响,这大大增加了攻击者勒索的成功率。这种多重勒索方式纷纷被各种勒索软件攻击者效仿,攻击者在暗网中发布了大量数据泄露站点,用来公开拒绝支付赎金的受害企业私有数据。

2.4 CVE-2020-1350 Windows DNS服务器远程代码执行漏洞

该漏洞为DNS Server远程代码执行漏洞,是一个“蠕虫级”高危漏洞。漏洞源于Windows DNS服务器处理签名(SIG)记录查询的缺陷所致,超过64 KB的恶意SIG记录会导致堆缓冲区溢出,从而使攻击者能够远程执行具有高特权的代码。攻击者可以发送特殊构造的数据包到目标DNS Server来利用此漏洞,进而可能达到远程代码执行的效果。

定期查看邮件账户等登录日志,对于邮件服务商发送的异地账号登录等安全风险提示要引起重视,定期修改邮箱、网站等相关的账号密码。

供应链攻击检测难度大、持续性长、攻击面广、影响深远,企业或个人用户应当加强漏洞检测水平,提高安全响应能力,努力建设良好的软件供应链生态。

2. APT组织利用新冠相关话题为诱饵对全球各组织实施攻击

2020年新型冠状病毒肺炎疫情期间,发生了多起APT组织利用疫情相关信息作为诱饵的网络攻击事件,通过对诱饵文档中关键字符进行提取,发现中国、巴基斯坦、乌克兰、韩国等多个国家都是被频繁攻击的目标。经监测发现,APT组织Patchwork、OceanLotus、Kimsuky、Transparent Tribe、Lazarus Group以及Sidewinder等活动较为频繁,该类组织主要利用以疫情为话题的钓鱼邮件进行入侵,攻击手法多采用宏、0day或Nday漏洞等进行攻击。(详细分析见报告专题1)

(二)2020年漏洞分析 1. 2020年CVE漏洞利用率Top10

报告期内,从收集到的病毒样本分析来看攻击者利用最多的漏洞还是微软Office 漏洞。CVE-2017-11882、CVE-2017-0199等因稳定性和易用性仍一直是钓鱼邮件等攻击者使用的最爱。攻击者利用Office漏洞投递大量的Emotet、AgentTesla、TrickBot等间谍软件、银行木马。全球的外贸行业深受其害,我国的对外贸易企业众多,大量企业被攻击,造成巨大经济损失。

图:网络钓鱼团伙中家庭成员沟通攻击任务

本文网络收集整理,不构成任何投资建议。转载请注明出处:https://www.lvsezhalan.org.cn/qkljys/809.html