3月政企終端安全態(tài)勢分析報告（網絡安全）

1、目錄 HYPERLINK l _bookmark3 報告說明1 HYPERLINK l _bookmark4 第一章病毒攻擊政企整體分析2 HYPERLINK l _bookmark5 一、攻擊整體態(tài)勢2 HYPERLINK l _bookmark6 二、被攻擊終端分析3 HYPERLINK l _bookmark7 三、被攻擊單位分析4 HYPERLINK l _bookmark8 第二章勒索病毒攻擊政企分析6 HYPERLINK l _bookmark9 一、攻擊整體態(tài)勢6 HYPERLINK l _bookmark10 二、被攻擊終端分析7 HYPERLINK l _bookmark11

2、 三、被攻擊單位分析8 HYPERLINK l _bookmark12 第三章漏洞利用病毒攻擊政企分析10 HYPERLINK l _bookmark13 一、攻擊整體態(tài)勢10 HYPERLINK l _bookmark14 二、被攻擊終端分析11 HYPERLINK l _bookmark15 三、被攻擊單位分析12 HYPERLINK l _bookmark16 第四章蠕蟲病毒攻擊政企分析14 HYPERLINK l _bookmark17 一、攻擊整體態(tài)勢14 HYPERLINK l _bookmark18 二、被攻擊終端分析15 HYPERLINK l _bookmark19 三、被攻

3、擊單位分析16 HYPERLINK l _bookmark20 第五章3 月熱點病毒事件關注18 HYPERLINK l _bookmark21 第六章政企終端安全建議20 HYPERLINK l _bookmark0 關于 360 終端安全實驗室22 HYPERLINK l _bookmark2 關于 360 天擎新一代終端安全管理系統(tǒng)22 HYPERLINK l _bookmark1 關于 360 天擎終端安全響應系統(tǒng)23報告說明終端是政企內部網絡不可或缺的組成部分，其安全狀況與組織內每個成員息息相關。在很多情況下，終端也是內部網絡和外部網絡的連接點，是外部惡意程序進入內部網絡常見的入口節(jié)

4、點。終端一旦失守，整個辦公或生產網絡就有可能淪陷，給政企單位帶來巨額損失。政企終端安全態(tài)勢分析報告是“360 終端安全實驗室”定期發(fā)布的針對政企網絡終端的安全態(tài)勢分析報告。報告數據來自 360 企業(yè)安全公有云安全監(jiān)測數據。報告以勒索病毒、漏洞利用病毒、蠕蟲病毒為主要研究對象，以每日感染病毒的終端為基本單位，通過對政企終端感染病毒情況的分析，幫助客戶更清晰地看見風險態(tài)勢，為安全決策提供更有力的參考依據。監(jiān)測數據表示 360 企業(yè)級終端安全產品對特定威脅的云查殺主動請求數量，對于本地已經可以查殺的病毒，不在統(tǒng)計之列。這些數據可以在一定程度上反映出相關機構遭到特定類型活躍惡意程序攻擊的數量和強度。本

5、期報告的監(jiān)測時間為 2019 年 3 月 1 日 3 月 31 日 。第一章病毒攻擊政企整體分析360 終端安全實驗室監(jiān)測數據顯示，2019 年 3 月，政企單位被各類病毒攻擊的事件數量比 2 月增加 61.3%，被病毒攻擊的政企終端的累計數量比 2 月增加 44.3%，被病毒攻擊的政企單位的絕對數量比 2 月增加 44.7%。一、 攻擊整體態(tài)勢2019 年 3 月，病毒攻擊的最高峰出現在 3 月 13 日（星期三），最低谷則出現在 3 月 9日（星期六）。2019 年 3 月，被病毒攻擊的事件數量比 2 月增加 61.3%。其中，病毒單日單次攻擊政企單位的終端數僅為 1 臺的事件比 2 月增

6、加 57.5%，占 3 月攻擊事件總數的 56.2%；單日單次攻擊終端數為 210 臺的事件比 2 月增加 65.4%，占 3 月攻擊事件總數的 36.7%；單日單次攻擊終端數為 1150 臺的事件比 2 月增加 91.5%，占 3 月攻擊事件總數的 5.9%；單日單次攻擊 50 臺以上終端的事件比 2 月增加 17.5%，占 3 月攻擊事件總數的 1.3%。二、被攻擊終端分析2019 年 3 月，被病毒攻擊的政企終端的累計數量比 2 月增加 44.3%。其中，遭遇蠕蟲病毒攻擊的政企終端的累計數量比 2 月增加 34.9%，占 3 月被攻擊政企終端的 82.8%；遭遇漏洞利用病毒攻擊的政企終端

7、的累計數量比 2 月增加 122.4%，占 3 月被攻擊政企終端的16.1%；遭遇勒索病毒攻擊的累計數量比 2 月增加 61.9%，占 3 月被攻擊政企終端的 1.1%。在被病毒攻擊的政企終端中，廣東地區(qū)最多，占比高達 15.2%，被攻擊終端的累計數量比 2 月增加 134.5%；其次是北京，占比為 9.9%，被攻擊終端的累計數量比 2 月減少 17.6%；江蘇排在第三位，占比為 8.2%，被攻擊終端的累計數量比 2 月增加 236.5%。在被病毒攻擊的政企終端中，衛(wèi)生行業(yè)最多，占比高達 17.5%，被攻擊終端的累積數量比 2 月增加 67.6%；其次是能源行業(yè)，占比為17.0%，被攻擊終端的

8、累積數量比 2 月增加 73.7%；政府行業(yè)排在第三位，占比為 14.5%，被攻擊終端的累積數量比 2 月增加 29.2%。三、 被攻擊單位分析2019 年 3 月，被病毒攻擊的政企單位的絕對數量比 2 月增加 44.7%。在受到病毒攻擊的政企單位中，87.8%的單位遭到蠕蟲病毒的攻擊，絕對數量比 2 月增加 44.5%；31.3%的單位遭到漏洞利用病毒的攻擊，絕對數量比 2 月增加 73.8%；5.4%的單位遭到勒索病毒的攻擊，絕對數量比 2 月增加 32.4%。在被病毒攻擊的政企單位中，北京地區(qū)最多，占比高達 11.5%，被攻擊單位的絕對數量比 2 月增加 78.7%；其次是廣東，占比為

9、11.1%，被攻擊單位的絕對數量比 2 月增加 41.3%；浙江排在第三位，占比為 8.9%，被攻擊單位的絕對數量比 2 月增加 79.3%。在被病毒攻擊的政企單位中，衛(wèi)生行業(yè)最多，占比高達 21.6%，被攻擊單位的絕對數量比 2 月增加 51.5%；其次是政府行業(yè)，占比為21.5%，被攻擊單位的絕對數量比 2 月增加 32.4%；能源和金融行業(yè)并列第三，占比均為 5.3%，被攻擊單位的絕對數量比 2 月分別增加 50.0% 和 33.3%。第二章勒索病毒攻擊政企分析360 終端安全實驗室監(jiān)測數據顯示，2019 年 3 月，政企單位被勒索病毒攻擊的事件數量比 2 月增加 19.8%，被勒索病毒

10、攻擊的政企終端的累計數量比 2 月增加 61.9%，被勒索病毒攻擊的政企單位的絕對數量比 2 月增加 32.4%。一、 攻擊整體態(tài)勢2019 年 3 月，勒索病毒攻擊的最高峰出現在 3 月 13 日（星期三），最低谷則出現在 3月 23 日（星期六）。2019 年 3 月，被勒索病毒攻擊的事件數量比 2 月增加 19.8%。其中，單日單次攻擊政企單位的終端數僅為 1 臺的事件比2 月增加 15.4%，占3 月勒索病毒攻擊事件總數的 72.4%；單日單次攻擊終端數為 210 臺的事件比 2 月增加 26.7%，占 3 月勒索病毒攻擊事件總數的26.2%；單日單次攻擊終端數為 1150 臺的事件占

11、 3 月勒索病毒攻擊事件總數的 1.4%；沒有監(jiān)測到單日單次攻擊終端數超過 10 臺以上的事件。二、被攻擊終端分析2019 年 3 月，被勒索病毒攻擊的政企終端的累計數量比 2 月增加 61.9%。在被勒索病毒攻擊的政企終端中，山東地區(qū)最多，占比高達 44.4%，被攻擊終端的累計數量比 2 月增加 144.7%；其次是北京和廣東，占比均為 13.1%，被攻擊終端的累計數量比2 月分別增加 78.9%和 70.0%。在被勒索病毒攻擊的政企終端中，能源行業(yè)最多，占比高達 19.7%，而 2 月該行業(yè)只有極少量終端受到勒索病毒攻擊；其次是運營商行業(yè)，占比為 18.9%，被攻擊終端的累計數量比 2 月

12、增加 88.5%；公檢法行業(yè)排在第三位，占比為 15.8%，被攻擊終端的累計數量比 2 月增加 28.1%。三、被攻擊單位分析2019 年 3 月，被勒索病毒攻擊的政企單位的絕對數量比 2 月增加 32.4%。在被勒索病毒攻擊的政企單位中，北京地區(qū)最多，占比高達 16.9%，被攻擊單位的絕對數量比2 月增加100%；其次是新疆，占比為11.9%，被攻擊單位的絕對數量比2 月增加16.7%；福建、廣東、山東并列第三，占比均為 10.2%。在被勒索病毒攻擊的政企單位中，政府行業(yè)最多，占比高達 26.5%，被攻擊單位的絕對數量比 2 月增加 30.0%；其次是能源行業(yè)，占比為 14.3%，被攻擊單位

13、的絕對數量比 2 月增加 250.0%；交通行業(yè)排在第三位，占比為 12.2%，被攻擊單位的絕對數量比 2 月增加 50.0%。第三章漏洞利用病毒攻擊政企分析360 終端安全實驗室監(jiān)測數據顯示，2019 年 3 月，政企單位被漏洞利用病毒攻擊的事件數量比 2 月增加 92.9%，被漏洞利用病毒攻擊的政企終端的累計數量比 2 月增加 124.4%， 被漏洞利用病毒攻擊的政企單位的絕對數量比 2 月增加 73.8%。一、攻擊整體態(tài)勢2019 年 3 月，漏洞利用病毒攻擊的最高峰出現在 3 月 25 日（星期一），最低谷則出現在 3 月 10 日（星期日）。2019 年 3 月，被漏洞利用病毒攻擊的

14、事件數量比 2 月增加 92.9%。其中，單日單次攻擊政企單位的終端數僅為 1 臺的事件比 2 月增加 91.4%，占 3 月漏洞利用病毒攻擊事件總數的 63.0%；單日單次攻擊終端數為 210 臺的事件比 2 月增加 98.1%，占 3 月漏洞利用病毒攻擊事件總數的 31.9%；單日單次攻擊終端數為 1150 臺的事件比 2 月增加 78.3%，占 3 月漏洞利用病毒攻擊事件總數的4.3%；單日單次攻擊50 臺以上終端的事件比2 月增加100.0%，占 3 月漏洞利用病毒攻擊事件總數的 0.8%。二、被攻擊終端分析2019 年 3 月，被漏洞利用病毒攻擊的政企終端的累計數量比 2 月增加 7

15、3.8%。在被漏洞利用病毒攻擊的政企終端中，甘肅地區(qū)最多，占比高達 17.7%，被攻擊終端的累計數量比 2 月增加 139 倍；其次是北京，占比為 14.3%，被攻擊終端的累計數量比 2 月增加 40.9%；福建排在第三位，占比為 13.4%，被攻擊終端的累計數量比 2 月增加 58.8%。在被漏洞利用病毒攻擊的政企終端中，能源行業(yè)最多，占比高達 27.4%，被攻擊終端的累計數量比 2 月增加 212.4%；其次是公檢法行業(yè)，占比為 10.5%，被攻擊終端的累計數量比 2 月增加 20.8 倍；政府行業(yè)排在第三位，占比為 8.3%，被攻擊終端的累計數量比 2 月減少 15.9%。三、被攻擊單位

16、分析2019 年 3 月，被漏洞利用病毒攻擊的政企單位的絕對數量比 2 月增加 73.8%。在被漏洞利用病毒攻擊的政企單位中，北京地區(qū)最多，占比高達 14.2%，被攻擊單位的絕對數量比 2 月增加 121.7%；其次是廣東，占比為 12.5%，被攻擊單位的絕對數量比 2 月增加 55.2%；浙江排在第三位，占比為 8.6%，被攻擊單位的絕對數量比 2 月增加 158.3%。在被漏洞利用病毒攻擊的政企單位中，政府行業(yè)最多，占比高達 18.9%，被攻擊單位的絕對數量比 2 月增加 42.1%；其次是衛(wèi)生行業(yè)，占比為 9.8%，被攻擊單位的絕對數量比 2月增加86.7%；能源行業(yè)排在第三位，占比為6

17、.7%，被攻擊單位的絕對數量比2 月增加137.5%。第四章蠕蟲病毒攻擊政企分析360 終端安全實驗室監(jiān)測數據顯示，2019 年 3 月，政企單位被蠕蟲病毒攻擊的事件數量比 2 月增加 57.3%，被蠕蟲病毒攻擊的政企終端的累計數量比 2 月增加 34.9%，被蠕蟲病毒攻擊的政企單位的絕對數量比 2 月增加 44.5%。一、 攻擊整體態(tài)勢2019 年 3 月，蠕蟲病毒攻擊的最高峰出現在 3 月 28 日（星期四），最低谷則出現在 2月 3 日（星期六）。2019 年 3 月，被蠕蟲病毒攻擊的事件數量比 2 月增加 57.3%。其中，單日單次攻擊政企單位的終端數僅為 1 臺的事件比 2 月增加

18、52.9%，占 3 月攻擊事件總數的 54.1%；單日單次攻擊終端數為 210 臺的事件比 2 月增加 61.5%，占 3 月攻擊事件總數的 38.1%；單日單次攻擊終端數為 1150 臺的事件比 2 月增加 92.3%，占 3 月攻擊事件總數的 6.4%；單日單次攻擊 50 臺以上終端的事件比 2 月增加 11.3%，占 3 月攻擊事件總數的 1.4%。二、被攻擊終端分析2019 年 3 月，被蠕蟲病毒攻擊的政企終端數量比 2 月增加 34.9%。在被蠕蟲病毒攻擊的政企終端中，廣東地區(qū)最多，占比高達 16.6%，被攻擊終端的累計數量比 2 月增加 131.7%；其次是貴州，占比為 9.9%，

19、被攻擊終端的累計數量比 2 月增加82.4%；北京排在第三位，占比為 9.0%，被攻擊終端的累計數量比 2 月減少 27.6%。在被蠕蟲病毒攻擊的政企終端中，衛(wèi)生行業(yè)最多，占比高達 20.3%，被攻擊終端的累計數量比 2 月增加 65.1%；其次是政府行業(yè)，占比為 15.7%，被攻擊終端的累計數量比 2 月增加 36.1%；能源行業(yè)排在第三位，占比為 15.0%，被攻擊終端的累計數量比 2 月增加 49.9%。三、被攻擊單位分析2019 年 3 月，被蠕蟲病毒攻擊的政企單位的絕對數量比 2 月增加 44.7%。在被蠕蟲病毒攻擊的政企單位中，廣東地區(qū)最多，占比高達 11.5%，被攻擊單位的絕對數

20、量比2 月增加43.0%；其次是北京，占比為11.2%，被攻擊單位的絕對數量比2 月增加 74.6%；浙江排在第三位，占比為 8.8%，被攻擊單位的絕對數量比 2 月增加 64.2%。在被蠕蟲病毒攻擊的政企單位中，衛(wèi)生行業(yè)最多，占比高達 23.3%，被攻擊單位的絕對數量比 2 月增加 48.8%；其次是政府行業(yè)，占比為 22.0%，被攻擊單位的絕對數量比 2 月增加 37.5%；金融行業(yè)排在第三位，占比為 5.3%，被攻擊單位的絕對數量比 2 月增加 50.0%。第五章3 月熱點病毒事件關注GandCrab V5.2 利用恐嚇主題釣魚郵件傳播近期，360 威脅情報中心捕獲到一起針對中文使用者的

21、釣魚郵件。該郵件帶有一個壓縮包，壓縮包內是最新的 GandCrab 5.2 勒索軟件。由于 Gandcrab5.2 版本會通過垃圾電子郵件分發(fā)，因此建議用戶不要打開任何未知來源的電子郵件，尤其是不要打開附件。即使附件來自常用聯(lián)系人，也建議您在打開之前使用360 天擎對其進行掃描，以確保不包含任何惡意文檔或文件。多家醫(yī)院服務器受到 GlobeImposter 勒索病毒攻擊3 月 10 日，360 安全服務應急響應團隊接到某省多家醫(yī)院服務器遭受攻擊的應急救援， 該省同一衛(wèi)生專網遭到 GlobeImposter V3 勒索病毒攻擊，多臺業(yè)務服務器遭黑客加密勒索， 影響該省近 60 家市縣醫(yī)院。從截獲

22、的樣本和勒索攻擊溯源分析來看，GlobeImposter V3 的攻擊手段和加密方式和以往版本相比并沒有新的變化：攻擊手段依然是定向爆破和投遞勒索，通過 RDP 遠程桌面弱密碼攻擊服務器。首個利用 WinRAR 漏洞傳播的未知勒索軟件出現3 月 17 日，360 威脅情報中心截獲了首個利用 WinRAR 漏洞（CVE-2018-20250）傳播未知惡意勒索軟件的 ACE 文件。該惡意壓縮文件名為 vk_4221345.rar，當受害者在本地計算機上通過 WinRAR 解壓該文件后便會觸發(fā)漏洞，漏洞利用成功后會將內置的勒索軟件寫入到用戶計算機啟動項目錄中，當用戶重啟或登錄系統(tǒng)都會執(zhí)行該勒索軟件從

23、而導致重要資料被加密。由于該勒索軟件執(zhí)行后并沒有保存生成的 RSA 公私鑰，也沒有通過其他渠道將公私鑰信息發(fā)送給攻擊者，所以即便受害者向勒索軟件作者支付相應的贖金也不可能解密文件。360 威脅情報中心提醒用戶，如遇到類似的勒索軟件攻擊，切忌支付贖金，并再次提醒廣大用戶務必對此高危漏洞做好十足的防護措施。海德魯公司多個工廠遭遇 LockerGoga 勒索病毒攻擊3 月 18 日，世界最大的綜合性鋁業(yè)集團之一的挪威海德魯公司（Norsk Hydro）在美國和歐洲的多個工廠遭受勒索軟件攻擊，導致 IT 系統(tǒng)無法使用，造成多個工廠關閉和部分工廠切換為手動運營模式。該公司臨時關閉多個工廠，并將挪威、卡塔

24、爾和巴西等國家的工廠運營模式部分改為“可以使用的”手動模式，以緩解對生產的影響。該勒索病毒似乎還攻擊了美國的化工企業(yè)Hexion 和 Momentive，以至于部分員工無法正常登陸系統(tǒng)。360 威脅情報中心對該勒索病毒（LockerGoga）進行了進一步的詳細分析，發(fā)現該勒索病毒極可能為定向攻擊的破壞性勒索病毒，會加密各種類型的文件，包括 PE 文件、系統(tǒng)目錄以及啟動目錄下的文件，因此具有很強的破壞性。第六章政企終端安全建議360 終端安全實驗室提醒廣大政企單位注意以下事項：一、及時更新最新的補丁庫根據 360 企業(yè)安全集團終端安全多年的運營經驗，病毒大規(guī)模爆發(fā)的原因大都是補丁安裝不及時所致，

25、因此及時更新補丁是安全運維工作的重中之重，但是很多政企單位由于業(yè)務的特殊性，對打補丁要求非常嚴格。360 終端安全產品已經集成了先進的補丁管理功能，基于業(yè)界最佳的補丁管理實踐，能夠進行補丁編排，對補丁按照場景進行灰度發(fā)布，并且對微軟更新的補丁進行了二次運營，解決了很多的兼容性問題，能夠最大程度上解決補丁難打問題，幫助政企單位提升網絡的安全基線。二、杜絕弱口令問題弱口令是目前主機安全入侵的第一大安全隱患，大部分大規(guī)模泛濫的病毒都內置了弱口令字典，能夠輕松侵入使用弱口令的設備，應該堅決杜絕弱口令。360 終端安全實驗室建議登錄口令盡量采用大小寫、字母、數字、特殊符號混合的組合結構，且口令位數應足夠長， 并在登陸安全策略里限制登錄失敗次數、定期更換登錄口令等。多臺機器不使用相同或相似的口令，不使用默認的管理員名稱如 admin，不使用默認密碼如 admin、不使用簡單密碼如： admin123、12345678、666666 等。三、重要資料定期隔離備份政企單位應盡量建立單獨的文件服務器進行重要文件的存儲備份，即使條件不允許也應對重要的文件進行定期隔離備份。四、提高網絡安全基線掌握日常的安全配置技巧，如對共享文件夾設置訪問權限，盡量采用云協(xié)作或內部搭建的 wiki 系統(tǒng)實現資料共享；盡量關閉 3389、445、139