網宿科技：中國互聯網安全報告（2021年上半年）（24頁）.pdf

《網宿科技：中國互聯網安全報告（2021年上半年）（24頁）.pdf》由會員分享，可在線閱讀，更多相關《網宿科技：中國互聯網安全報告（2021年上半年）（24頁）.pdf（24頁珍藏版）》請在三個皮匠報告上搜索。

1、分析網宿主機探針采集到的公網開放端口情況，發現與2020年同期相比，2021上半年公網開放端口數量大規模下降。其中管理類端口(如22端口、3389端口)、數據庫端口(如3306端口、5432端口)、測試類端口(如8000端口、8099端口)降幅達到約90%，正式業務類端口(如80端口、443端口)降幅也超過了50%。公網開放端口數量下降主要源于規律性的網絡攻防演練，有效提升了網宿安全平臺客戶管理端口的規范度，改變了過去業務部門未嚴格按照安全規范使用端口，導致管理端口、臨時的測試端口經常被作為黑客入侵的入口點的情況，大大縮減攻擊面。針對高危漏洞的入侵依然是以應用、組件漏洞為主，尤其是與Web應用

2、相關的通用組件漏洞。應用組件漏洞比操作系統漏洞具備更容易獲得的執行環境，比業務漏洞具有更強的通用性。通常黑產團隊會選擇用戶數量較多、漏洞利用條件簡單且穩定的漏洞來開發自動化工具，以較低的成本實現“肉雞”控制、自動化挖礦等牟利行為。另外，從漏洞分布來看，開源組件更受安全研究人員青睞，由于更容易獲取源碼與分析環境，從數量上看開源軟件暴露出來的漏洞往往比商業軟件更多。但這并不代表商業軟件比開源軟件更安全，相反，開源軟件由于漏洞發現得更快，有利于企業及時修復漏洞，而商業軟件則存在更多的潛在漏洞未被發掘。從網宿主機探針識別到的異常進程數據可看出，主機上出現的異常進程大量使用了規避檢測的技術，以干擾安全軟件檢測及人工入侵分析。規避檢測的手段中，使用最多的是隱藏進程，網宿主機探針在超過50%的入侵事件中均檢測到了此技術。隱藏進程可使惡意進程在進程列表中不顯示。檢出率排行第二的偽造進程名，也是攻擊者規避入侵檢測、排查的常用方式，通過將顯示出的進程名偽造成系統常用進程名或內核進程名，以達到混淆的目的。鏈接庫感染與異常啟動方式則是使用合法的進程去加載惡意代碼，以繞過殺毒軟件的檢測。