2022中国网络安全报告

北京瑞星网安技术股份有限公司 免责声明 本报告由北京瑞星网安技术股份有限公司发布，综合瑞星“云安全”系统、瑞星安全研究院、瑞星威胁情报平台的数据及资料进行收集和整理，针对中国2022年1至12月的网络安全现状与趋势进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构作为互联网网络安全状况的介绍和研究资料，请相关单位酌情使用。如若本报告阐述之状况、数据与其他机构研究结果有差异，请使用方自行辨别，瑞星公司不承担与此相关的一切法律责任。 目录 一、恶意软件与恶意网址2 （一）恶意软件2 （二）恶意网址7 二、移动安全9 （一）2022年手机病毒概述9 （二）2022年1至12月手机病毒Top510 （三）2022年手机漏洞Top510 三、企业安全11 （一）2022年重大企业网络安全事件11 （二）2022年漏洞分析24 （三）2022年全球APT攻击事件解读29 四、勒索软件分析38 （一）勒索软件概述38 （二）2022年度十大勒索软件38 五、2023年网络安全趋势预测58 （一）APT组织攻击活动频繁58 （二）企业成为勒索软件的最大受害者，勒索软件或全面附加数据盗取能力58 （三）电子邮件依然是网络攻击的重要窗口58 （四）高可利用性的“老”漏洞备受攻击者青睐59 （五）对抗技术演变持续发展，传统技术备受挑战59 （六）开源软件生态投毒现象严重60 附：2022年国内重大网络安全政策法规60 报告摘要 2022年瑞星“云安全”系统共截获病毒样本总量7,355万个，病毒感染次数1.24亿次，病毒总体数量比2021年同期下降了62.19%。广东省病毒感染人次为1,209万次，位列全国第一，其次为山东省及江苏省，分别为965.14万次及836.56万次。 2022年瑞星“云安全”系统共截获勒索软件样本57.92万个，感染次数为19.49万次；挖矿病毒样本总体数量为261万个，感染次数为79.75万次。勒索软件感染人次按地域分析，广东省排名第一，为2.27万次；挖矿病毒感染人次按地域分析，广西省以17.39万次位列第一。 2022年瑞星“云安全”系统在全球范围内共截获恶意网址（URL）总量9,336万个，其中挂马类网站5,913万个，钓鱼类网站3,422万个。在中国范围内排名第一位为河南省，总量为62.31万个，其次为香港和广东省，分别为49.91万个和28.19万个。 2022年瑞星“云安全”系统共截获手机病毒样本152.05万个，病毒类型以信息窃取、远程控制、恶意扣费、资费消耗等类型为主，其中信息窃取类病毒占比36.21%，位居第一。 2022年重大企业安全事件包括：加拿大外交部被黑，部分服务中断；北京健康宝遭受网络攻击，源头来自境外；瑞星监测到利用微软最新高危漏洞的恶意代码；新型病毒仿冒Python数字签名诱骗用户下后门；西北工业大学遭受境外网络攻击等。 2022年CVE漏洞利用率Top10包括：CVE-2017-11882Office远程代码执行漏洞；CVE-2018-0802公式编辑器漏洞；CVE-2017-17215HG532远程命令执行漏洞等；年度最热漏洞有CVE-2022-30190MicrosoftOfficeMSDT远程代码执行漏洞；CVE-2022-0847Linux内核提权漏洞；CVE-2022-22965Spring远程代码执行漏洞等。 2022年全球APT攻击事件解读：威胁组织APT-C-23；威胁组织LazarusGroup；威胁组织Patchwork；威胁组织MuddyWater；威胁组织Bitter等。 2022年勒索软件分析：勒索软件随着云计算业务的发展趋势而转移目标，有越来越多公司业务迁移到虚拟机，而诸如BlackBasta、Hive等勒索家族瞄准Linux服务器下虚拟机的勒索攻击活动也会在未来逐渐形成流行事态。不仅如此，一些勒索病毒还参与到地缘性政治与军事战争中，而未来技术型企业、医疗机构、政务机构依然是勒索病毒主要攻击目标。 趋势展望：APT组织攻击活动频繁；企业成为勒索软件的最大受害者，勒索软件或全面附加数据盗取能力；高可利用性的“老”漏洞备受攻击者青睐；电子邮件依然是网络攻击的重要窗口；高可利用性的“老”漏洞备受攻击者青睐；对抗技术演变持续发展，传统技术备受挑战；开源软件生态投毒现象严重。 一、恶意软件与恶意网址 （一）恶意软件 1.2022年病毒概述 (1)病毒总体概述 2022年瑞星“云安全”系统共截获病毒样本总量7,355万个，病毒感染次数1.24亿次，病毒总 体数量比2021年同期下降了62.19%。报告期内，新增木马病毒4,515万个，为第一大种类病毒，占到总体数量的61.39%；排名第二的为蠕虫病毒，数量为1,392万个，占总体数量的18.93%；后门、感染型病毒、灰色软件分别占到总体数量的6.99%、6.49%和5.19%，位列第三、第四和第五，除此以外还包括漏洞攻击和其他类型病毒。 图：2022年病毒类型统计 根据瑞星“云安全”系统显示，2022年3至5月份为病毒感染高发期，在1,300万至1,400万 左右，即使在较低的11月份，也有近800万的病毒感染量。 图：2022年病毒样本数量及感染次数 (2)病毒感染地域分析 报告期内，广东省病毒感染人次为1,209万次，位列全国第一，其次为山东省及江苏省，分别 为965.14万次及836.56万次。 图：2022年病毒感染地域分布Top10 2.2022年病毒Top10 根据病毒感染人数、变种数量和代表性综合评估，瑞星评选出2022年1至12月病毒Top10： 3.勒索软件和挖矿病毒 勒索软件和挖矿病毒在2022年依旧活跃，报告期内瑞星“云安全”系统共截获勒索软件样本 57.92万个，感染次数为19.49万次，比2021年同期下降了68.77%；挖矿病毒样本总体数量为261 万个，感染次数为79.75万次，与2021年同期相比，下降了56.68%。 瑞星通过对捕获的勒索软件样本进行分析后发现，Agent家族占比51.98%，成为第一大类勒索软件，其次是Blocker家族，占到总量的12.76%，第三是Filecoder家族，占到总量的9.31%。 图：2022年勒索软件家族分类 勒索软件感染人次按地域分析，广东省排名第一，为2.27万次，第二为山东省1.82万次，第 三为江苏省1.81万次。 图：2022年勒索软件感染地域分布Top10 根据瑞星“云安全”系统显示，2022年11月份捕获的勒索软件样本数量最多，达到10万个以 上，3至4月份勒索软件感染次数较多，均在2万以上。 图：2022年勒索软件样本数量及感染次数 挖矿病毒数量虽然比2021年有所减少，但依然是企业网络安全的主要威胁，瑞星根据病毒行为进行统计，评出2022年挖矿病毒Top10： 挖矿病毒感染人次按地域分析，广西省以17.39万次位列第一，山东省和江苏省分别位列二、 三位，为6.11万次和5.4万次。 图：2022年挖矿病毒感染地域分布Top10 （二）恶意网址 1.2022年全球恶意网址概述 2022年瑞星“云安全”系统在全球范围内共截获恶意网址（URL）总量9,336万个，其中挂马类 网站5,913万个，钓鱼类网站3,422万个。美国恶意URL总量为3,568万个，位列全球第一，其次 是加拿大288.69万个和中国281.91万个，分别排在第二、三位。 图：2022年全球恶意URL地域分布Top10 2.2022年中国恶意网址概述 报告期内，瑞星“云安全”系统所截获的恶意网址（URL）在中国范围内排名，第一位为河南省，总量为62.31万个，其次为香港和广东省，分别为49.91万个和28.19万个。 图：2022年中国恶意URL地域分布Top10 二、移动安全 （一）2022年手机病毒概述 2022年瑞星“云安全”系统共截获手机病毒样本152.05万个，病毒类型以信息窃取、远程控制、恶意扣费、资费消耗等类型为主，其中信息窃取类病毒占比36.21%，位居第一；其次是远程控制类病毒占比20.50%，第三名是恶意扣费类病毒占比13.45%。 图：2022年手机病毒类型比例 （二）2022年1至12月手机病毒Top5 （三）2022年手机漏洞Top5 三、企业安全 （一）2022年重大企业网络安全事件 2022年，国内外企业重大网络安全事件频发，网络攻击威胁着政府、企业、医疗、金融、教育等各个领域，勒索软件、数据泄露、黑客入侵等攻击接连不断，且危害深远，严重影响着各国的关键信息基础设施建设和经济民生。同时，由于俄乌战争带来的影响，导致网络空间对抗加剧，全球网络安全形势严峻，各国对于网络空间威胁都面临着极大的挑战。 瑞星根据行业特性、威胁影响及损失程度，列举出在2022年发生的25个重大网络安全攻击事件： 1.红十字国际委员会遭受网络攻击 2022年1月19日，红十字国际委员会晚间的一份声明称，红十字国际委员会遭受网络攻击， 超过51.5万人的个人数据和机密信息遭入侵。声明称：“攻击造成超过51.5万名极其脆弱人群的个人数据和机密信息遭入侵，包括因冲突、移民和自然灾害而与家人失散的人、失踪人员及其家人以及被监禁的人。”红十字国际委员会没有任何关于究竟谁发动了这一网络攻击的信息。暂还没有遭入侵信息的泄露或公开传播的任何迹象。这次袭击迫使红十字国际委员会暂停了其“重建家庭联系”计划。 图：“家庭团聚”项目系统和网站被迫关闭 2.加拿大外交部被黑，部分服务中断 2022年1月19日，加拿大全球事务部(GAC)系统遭到网络攻击后面临网络中断。GAC是加拿大政府部门，负责处理该国的外交和领事关系、国际贸易以及领导国际发展和人道主义援助计划。加拿大政府声明说，网络威胁可能来自系统或应用程序的漏洞，或来自外部行为者为获取信息而进行 的蓄意、持续、有针对性的攻击。遭受网络攻击的当天晚上，加拿大数字防御和间谍机构——通信 安全机构(CSE)发布了一份威胁公告，警告加拿大组织，特别是“关键基础设施”提供商，可能受到俄罗斯支持的网络威胁参与者的攻击。 3.沃达丰葡萄牙分公司遭大规模网络攻击 2022年2月8日，国际电信巨头沃达丰的葡萄牙公司表示，由于遭受了一大波“以损害与破坏为目的的蓄意网络攻击”，其大部分客户数据服务被迫下线。此次事件导致4G/5G、固话、电视等网络全部中断，只有3G网络勉强恢复可用，给葡萄牙数百万用户造成了不便甚至混乱。该公司表示，他们正在与政府当局合作对事件开展调查。根据目前搜集到的证据，客户数据似乎并未泄露或遭到攻击者访问。 图：名为迈克的葡萄牙摄影师在推特上吐槽说沃达丰网络中断 4.顶级后门“Bvp47”被详细披露始作俑者为NSA 2022年2月23日，中国盘古实验室的研究人员披露了由方程式集团（EquationGroup）使用的“顶级”后门的细节，这是一种先进的持续威胁（APT），据称与美国国家安全局（NSA）的网络战情报收集部门有联系。报告显示,“Bvp47”已在全球肆虐十余年,入侵中国、俄罗斯、日本、德国、西班牙、意大利等45个国家和地区,涉及287个重要机构目标,其中日本作为受害者,还被利用作为跳板针对其他国家发起攻击。 图：中国盘古实验室报告 5.乌克兰电信运营商遭遇最严重网络中断攻击 2022年3月28日，乌克兰最大的固网电信运营商Ukrtelecom遭遇一波强大的网络攻击。据称这是自2月俄乌开战以来最严重的网络攻击，已经导致Ukrtelecom发生全国性的服务中断。乌克兰国家特殊通信与信息保护局副局长VictorZhora证实，政府正在调查这起攻击事件。Ukrtelecom是乌克兰国内重要的固话、互联网与移动服务运营商，目前尚不清楚它受到的是分布式拒绝服务（DDoS）攻击，还是层次更深、复杂度更高的其他形式入侵。 图：外媒针对乌克兰通信商Ukrtelecom遭遇网络攻击的报道 6.30