【月报】绿盟科技网络安全态势分析四月一览

总体看四月份的新增漏洞呈上升趋势，新增高危漏洞155个，主要分布在Oracle、Microsoft、Adobe、Advantech、Autodesk、Google、Nexus、Firefox等厂商的主要产品中。

2020年4月绿盟科技安全漏洞库共收录209个漏洞, 其中高危漏洞155个，微软高危漏洞18个。绿盟科技收录高危漏洞数量与前期相比呈上升趋势。

注：绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等；

依据2020年4月份与2019年度恶意软件数据进行对比分析可知，恶意软件各类型分布如下图所示。4月份各恶意软件类型占比相比去年全年情况有所波动，后门取代挖矿居于首位，占比46.39%；尽管挖矿相较于去年全年的数据比例有大幅下降，但和后门一起占据整体恶意软件活动的80%。此外，木马、僵尸肉鸡、勒索相对较少，仅占4%左右。

本月无值得重点关注的物联网安全事件。

本月漏洞平台Exploit-DB新增17个物联网漏洞利用，其中6个远程命令执行（RCE）类型漏洞利用，应引起重视。

本月针对物联网设备的攻击数量趋于平稳。针对Shellshock漏洞CVE-2014-6271的利用有所增多，捕获数量从上月约数十次增长到约8600次，针对多个厂商摄像头的扫描数量有所回落。

2020年4月份，监控到DDoS 攻击次数为5万次，攻击总流量11万 Tb。攻击时长在5分钟以内的DDoS攻击占了全部攻击的58%。从一天24小时攻击占比来看，攻击分布比较平均。根据2020年4月的DDoS攻击数据进行聚类分析，共发现13个团伙，可视化如下图。规模最大的团伙包含12.9万个攻击资源，其中48%都是物联网设备，擅长采用混合攻击方式共针对248个攻击目标发起过6548次攻击，累计攻击总流量1740Tb；最活跃的团伙包含56个攻击资源，采用UDP Flood攻击方式针对231个攻击目标发起过共2.3万次攻击，累计攻击总流量2429Tb。

在2020年4月份的DDoS僵尸网络活动中，主要攻击来自家族Mirai、Yoyo和Gafgyt。本月的DDoS攻击手段主要为CC、TCP flood和UDP flood，而僵尸网络控制端托管的三大云服务依然是Digital Ocean、OVH和Hostwinds。本月检测到的IoT木马传播利用的漏洞种类26种，其中CVE-2017-17215（华为HG532路由器）、CVE-2020-5722（潮流网络UCM6200系列交换机远程SQL注入）和ThinkPHP远程命令执行漏洞位列前三，其余新增的漏洞为 CVE-2020-8515（DrayTek Vigor网络设备远程命令注入）以及CVE-2020-5722（潮流网络设备SQL注入）及合勤科技CNM SecuManager的提权漏洞。

通过绿盟科技的威胁捕获系统，我们持续监测了一个面向门罗币挖矿的僵尸网络。该挖矿僵尸网络在2020年4月份的整体活跃情况呈降低趋势，活跃肉鸡总量降低至5826台，其中在中国的肉鸡最多，达到2769台，占比48%。开放22端口的肉鸡数有4614台，占比接近所有肉鸡的79%。在已知的资产情报数据中，这些肉鸡的主要设备类型是路由器和摄像头。另外，该挖矿僵尸网络最常用的爆破弱口令依然是nproc-nproc。