2022年网络信息安全态势年报

2022年网络信息安全态势年报 数据智能运维运营中心 2023-1 恒安嘉新（北京）科技股份公司 目录 1网络信息安全态势综述1 1.1※数据安全保障专题※1 1.2※APT活动态势专题※1 1.3※勒索病毒活动态势专题※1 1.4※数字货币挖矿监测分析专题※1 1.5※互联网漏洞分析篇※2 1.6※工业互联网态势分析篇※2 1.7※物联网&车联网态势分析篇※3 1.8※WEB攻击分析篇※3 1.9※互联网恶意程序分析篇※3 1.10※移动互联网恶意程序分析篇※3 1.11※互联网诈骗分析篇※4 1.12※暗网数据态势分析篇※4 2网络信息安全态势分析5 2.1数据安全保障专题5 2.2APT活动态势专题7 2.2.1APT组织概述7 2.2.2APT组织攻击告警分析26 2.3勒索病毒活动态势专题42 2.3.1勒索病毒概述42 2.3.2勒索病毒告警态势分析42 2.3.3DarkSide勒索病毒攻击告警分析43 2.3.4BadRabbit勒索病毒攻击告警分析46 2.3.5GandCrab勒索病毒攻击告警分析50 2.3.6勒索病毒防范和应急53 2.4数字货币挖矿监测分析专题57 2.4.1概述57 2.4.2矿场活动态势57 2.4.3矿机活动态势62 2.4.4木马挖矿态势64 2.5互联网安全漏洞分析65 2.5.1漏洞类型分析65 2.5.2重点高危漏洞收录情况67 2.5.3IOT漏洞分析68 2.6工业互联网态势分析71 2.6.1概述71 2.6.2标识解析节点分析71 2.6.3工控协议识别数据类型分布76 2.6.4工业平台设备测绘案例77 2.6.5工业管理平台漏洞案例分析79 2.7物联网&车联网态势分析83 2.7.1物联网协议识别数据分析83 2.7.2车联网协议识别数据分析89 2.7.3车联网平台漏洞案例96 2.8WEB攻击分析98 2.9Spring远程命令执行漏洞专题99 2.9.1概述99 2.9.2互联网暴露面资产分析100 2.9.3漏洞原理分析101 2.9.4漏洞利用态势102 2.9.5防范建议107 2.10互联网恶意程序分析109 2.10.1概述109 2.10.2僵尸网络攻击类型分析109 2.10.3木马程序攻击类型分析110 2.10.4蠕虫病毒类型分析111 2.11移动互联网恶意程序分析113 2.11.1概述113 2.11.2受害操作系统分析113 2.11.3诱骗欺诈类型分布情况114 2.11.4隐私窃取类型分布情况115 2.11.5远程控制类型分布情况116 2.11.6流氓行为类型分布情况117 2.11.7资费消耗类型分布情况118 2.11.8恶意扣费类型分布情况119 2.11.9恶意传播类型分布情况120 2.11.10系统破坏类型分布情况121 2.12互联网诈骗态势分析123 2.12.1互联网诈骗每小时态势统计123 2.12.2诈骗告警相关网址分析124 2.12.3钓鱼网站告警分析127 2.12.4仿冒APP分析140 2.12.5恒安嘉新反诈运营效果141 2.13暗网数据态势分析143 2.13.1概述143 2.13.2暗网数据类别分析143 2.13.3暗网“数据-情报”类数据售卖态势分析144 2.13.4暗网数据涉及区域分析145 2.13.5暗网数据售卖价额分析146 2.13.6暗网数据热度分析147 3网络信息安全态势总结150 1网络信息安全态势综述 1.1※数据安全保障专题※ 近期数据泄露事件频发，让数据安全问题受到极大关注。2022年，恒安嘉新数据安全态势感知平台识别敏感数据364万条,涉及8433个应用和11450个API 接口；其中包含个人姓名75万条、手机号188万条、身份证39万条。明文传输 敏感数据超100条以上系统1151个。 1.2※APT活动态势专题※ 2022年，恒安嘉新通过APT组织行为规则成功捕获834637个IP访问过137个APT组织IOC。对国内受害资产访问APT组织IOC的告警进行分析发现，访问Group123APT组织IOC的IP数量最多，其次是KonniAPT组织。监控到的告警符合各APT组织活动范围及活动规律。 1.3※勒索病毒活动态势专题※ 2022年，恒安嘉新通过勒索病毒行为规则成功捕获1451个IP访问过70个勒索病毒IOC。对国内受害资产访问勒索病毒IOC的告警进行分析发现，访问GandCrab勒索病毒IOC的IP数量最多，其次是Ransom。 1.4※数字货币挖矿监测分析专题※ 2022年，通过对挖矿监测数据进行分析，发现全国存在挖矿行为的矿场IP 1086个，包含矿机49768台。其中挖矿币种主要为BTC和ETH；连接的矿池主 要为蚂蚁矿池(*.antpool.com)和Poolin矿池(*.poolin.com)。 1.5※互联网漏洞分析篇※ 2022年，恒安嘉新收录的新增安全漏洞数量23900个。其中，包括高危漏洞 8379个（占35.1%）、中危漏洞12862个（占53.8%）、低危漏洞2659个（占 11.1%）。2022年活跃漏洞数量与2021年（26566个）数量相比减少10.0%。按照漏洞影响对象类型划分，WEB应用类10470个，应用程序类6856个， 网络设备（交换机、路由器等网络端设备）类3623个，操作系统类1150个，智 能设备（物联网终端设备）类1064个，数据库类374个，安全产品类363个。 按照漏洞所属行业划分，电信行业漏洞2580个，移动互联网行业漏洞1257 个，工控行业漏洞418个，其他行业漏洞19645个。 按照漏洞所属厂商划分，涉及漏洞厂商包括WordPress、Google、Tenda、Adobe、Microsoft、IBM、TOTOLINK、D-Link、Huawei和Apache等。 1.6※工业互联网态势分析篇※ 2022年，恒安嘉新工业互联网平台监测到全国工业企业406万家，规模以上 工业企业37万家。累计监测到工业资产共1683万个，其中工业资产平台2.4万 个，工业设备资产1613万个，工业APP2.5万个，其他工业网络基础设施65万 个。同时还监测到工业资产漏洞15万个，工业网络安全告警36.7亿起，成功攻 击事件684万余起。 中国工业互联网二级节点共166个，其中上海顶级节点登记二级节点最多， 有59个。中国工业互联网三级节点（已在二级节点登记）的企业共9645家，共 登记在153个二级节点下，其中88.118（江苏中天互联科技有限公司）登记三级节点最多，共3215家。 1.7※物联网&车联网态势分析篇※ 2022年，恒安嘉新共监测到的物联网&车联网协议识别数据4.9亿条，其中物联网协议识别数据占总数据量95.8%，车联网协议识别数据占总数据量4.2%。物联网协议识别数据量最多的类型是“MQTT协议”，占总物联网协议识别数据量的71.0%。车联网协议识别数据量最多的类型是“特斯拉车辆识别”，占总车联网协议识别数据量的62.6%。 1.8※WEB攻击分析篇※ 2022年，全国共监测WEB攻击告警近14亿条，其中，WEB攻击告警次数最多的是“ApacheLog4j2远程代码执行漏洞”，占2022年总告警量的39.5%。根据攻击行为分析发现，近两年攻击者采用的主要攻击手段没有太大变化，惯用“远程命令/代码执行”、“注入攻击”、“弱口令登录”三类攻击手段。 1.9※互联网恶意程序分析篇※ 2022年，全国共监测到僵尸网络、木马程序、蠕虫病毒告警近1.5亿条。其中，僵尸网络告警量占比15.8%，木马程序告警量占比83.8%，蠕虫病毒告警量占比0.4%。 1.10※移动互联网恶意程序分析篇※ 2022年，恒安嘉新共捕获到的移动恶意程序告警2098万条，其中最多的告 警为诱骗欺诈，占比45.05%。移动恶意程序通常为擦边球的社交应用或者直播应用，通过其他带有诱惑性的视频或图片来推广下载，一旦用户安装，会存在窃听用户通话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为。 1.11※互联网诈骗分析篇※ 恒安嘉新安全团队累计共研判互联网网址数量达8.21亿，其中发现互联网涉 诈域名1023.32万余个，每月研判出的诈骗网址量在100万左右。反诈平台事件发现准确率达90%以上，系统上线后报案率各省同比普遍下降5%。 1.12※暗网数据态势分析篇※ 2022年，恒安嘉新监测到暗网上的数据售卖事件2241例，共分为“服务业务类、基础知识、技能技术类、实体物品、数据-情报、私人专拍、虚拟物品、影视色情、虚拟资源、其它类别”十大类。其中售出量达到6158次。售卖价额 共50.24525个比特币，约602.94万元，售卖成交额共8.77675个比特币，近105.32 万元。 2网络信息安全态势分析 2.1数据安全保障专题 近期数据泄露事件频发，让数据安全问题受到极大关注。有微博网友曝料,某学习软件数据库信息疑似被公开售卖,其中疑似泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息1亿7273万条。同时有大量网友反映自己的QQ账号被盗，向好友及QQ群发送低俗广告和链接。酒店巨头万豪国际集团也证实了一起数据泄露事件,黑客们声称窃取了20GB的敏感数据，包括客人的信用卡信息。 据DimensionalResearch调研发现，80%以上的公司或机构遭遇了个人敏感信息相关数据泄露。在信息化和数字化飞速发展的今天,数据安全的保护是企业机构当下发展的重中之重。 目前，恒安嘉新正在从三个方面搭建数据安全治理的总体框架。一是根据国家法律、法规、行业监管标准和最佳实践建立数据安全治理标准体系；二是围绕数据安全全生命周期制定对应管理流程和安全策略；三是基于具体的数据使用场景提供相关技术服务和数据安全产品。 恒安嘉新数据安全态势感知平台，能够精准有效识别个人敏感数据风险、工业敏感数据风险和异常文件外发风险。2022年，识别敏感数据364万条,涉及8433 个应用和11450个API接口；其中包含个人姓名75万条、手机号188万条、身 份证39万条。明文传输敏感数据超100条以上系统1151个。 数据安全态势感知平台截图 2.2APT活动态势专题 2.2.1APT组织概述 2.2.1.1Group123APT组织分析 Group123，别名APT37、Venus121、Reaper等，是一个活跃的朝鲜黑客组织，其攻击活动开始于2012年。APT37的主要攻击目标为朝鲜的地理邻国，包括韩国、日本、俄罗斯、中国等，其中对韩国的攻击活动十分频繁。KonniAPT组织木马与Nokki存在大量重叠，并疑似与APT37存在关联。 APT37的主要使命应该是收集情报来支持朝鲜的军事、政治和经济战略。这是因为其针对韩国公共和私有设施的持续攻击和社会工程。而APT37近期扩大目标范围似乎也与朝鲜的战略转变有关。 2014年到2017年，APT37的主要攻击目标是韩国的政府、军事、国防工业、新闻单元。宣传材料使用的也是韩语，主题是朝鲜半岛统一或制裁。2017年，APT37攻击了一家中东的电信服务提供商，而该电信服务提供商刚成为朝鲜政府电信服务提供合资企业。其他的目标包括国际事务和贸易问题相关的人员等。 朝鲜叛逃者和人群相关的攻击提供了关于APT37执行与朝鲜相关的攻击行为的直接证据。APT37攻击了与不同的朝鲜人权问题和战略研究机构相关的研究人员、咨询人员和记者。APT37用注册韩国全球论坛KoreanGlobalForum的邮件来引诱韩国的学术和战略研究机构的方式传播SLOWDRIFT恶意软件。而该钓鱼邮件是通过一个被黑的进行朝鲜研究的韩国研究机构的邮箱发送的。 2.2.1.1.1攻击特征 APT37已被确认为针对韩国政企与脱北人员等政治目标，使用RokRat、Nav