1、2022022 2 年網絡信息安全年網絡信息安全態勢態勢年報年報數據智能運維運營中心數據智能運維運營中心2023-1恒安嘉新（北京）科技股份公司目錄1 網絡信息安全態勢綜述.11.1 數據安全保障專題.11.2 APT 活動態勢專題.11.3 勒索病毒活動態勢專題.11.4 數字貨幣挖礦監測分析專題.11.5 互聯網漏洞分析篇.21.6 工業互聯網態勢分析篇.21.7 物聯網&車聯網態勢分析篇.31.8 WEB 攻擊分析篇.31.9 互聯網惡意程序分析篇.31.10 移動互聯網惡意程序分析篇.31.11 互聯網詐騙分析篇.41.12 暗網數據態勢分析篇.42 網絡信息安全態勢分析.52.1 數

2、據安全保障專題.52.2APT 活動態勢專題.72.2.1APT 組織概述.72.2.2APT 組織攻擊告警分析.262.3 勒索病毒活動態勢專題.422.3.1 勒索病毒概述.422.3.2 勒索病毒告警態勢分析.422.3.3 DarkSide 勒索病毒攻擊告警分析.432.3.4 Bad Rabbit 勒索病毒攻擊告警分析.462.3.5 GandCrab 勒索病毒攻擊告警分析.502.3.6 勒索病毒防范和應急.532.4 數字貨幣挖礦監測分析專題.572.4.1 概述.572.4.2 礦場活動態勢.572.4.3 礦機活動態勢.622.4.4 木馬挖礦態勢.642.5 互聯網安全漏洞

3、分析.652.5.1 漏洞類型分析.652.5.2 重點高危漏洞收錄情況.672.5.3 IOT 漏洞分析.682.6 工業互聯網態勢分析.712.6.1 概述.712.6.2 標識解析節點分析.712.6.3 工控協議識別數據類型分布.762.6.4 工業平臺設備測繪案例.772.6.5 工業管理平臺漏洞案例分析.792.7 物聯網&車聯網態勢分析.832.7.1 物聯網協議識別數據分析.832.7.2 車聯網協議識別數據分析.892.7.3 車聯網平臺漏洞案例.962.8 WEB 攻擊分析.982.9 Spring 遠程命令執行漏洞專題.992.9.1 概述.992.9.2 互聯網暴露面資

4、產分析.1002.9.3 漏洞原理分析.1012.9.4 漏洞利用態勢.1022.9.5 防范建議.1072.10 互聯網惡意程序分析.1092.10.1 概述.1092.10.2 僵尸網絡攻擊類型分析.1092.10.3 木馬程序攻擊類型分析.1102.10.4 蠕蟲病毒類型分析.1112.11 移動互聯網惡意程序分析.1132.11.1 概述.1132.11.2 受害操作系統分析.1132.11.3 誘騙欺詐類型分布情況.1142.11.4 隱私竊取類型分布情況.1152.11.5 遠程控制類型分布情況.1162.11.6 流氓行為類型分布情況.1172.11.7 資費消耗類型分布情況.1

5、182.11.8 惡意扣費類型分布情況.1192.11.9 惡意傳播類型分布情況.1202.11.10 系統破壞類型分布情況.1212.12 互聯網詐騙態勢分析.1232.12.1 互聯網詐騙每小時態勢統計.1232.12.2 詐騙告警相關網址分析.1242.12.3 釣魚網站告警分析.1272.12.4 仿冒 APP 分析.1402.12.5 恒安嘉新反詐運營效果.1412.13 暗網數據態勢分析.1432.13.1 概述.1432.13.2 暗網數據類別分析.1432.13.3 暗網“數據-情報”類數據售賣態勢分析.1442.13.4 暗網數據涉及區域分析.1452.13.5 暗網數據售賣

6、價額分析.1462.13.6 暗網數據熱度分析.1473 網絡信息安全態勢總結.150第 1 頁 共 153 頁1 網絡信息安全態勢綜述1.1 數據安全保障專題近期數據泄露事件頻發，讓數據安全問題受到極大關注。2022 年，恒安嘉新數據安全態勢感知平臺識別敏感數據 364 萬條,涉及 8433 個應用和 11450 個 API接口；其中包含個人姓名 75 萬條、手機號 188 萬條、身份證 39 萬條。明文傳輸敏感數據超 100 條以上系統 1151 個。1.2 APT 活動態勢專題2022 年，恒安嘉新通過 APT 組織行為規則成功捕獲 834637 個 IP 訪問過 137個 APT 組織

7、 IOC。對國內受害資產訪問 APT 組織 IOC 的告警進行分析發現，訪問 Group 123APT 組織 IOC 的 IP 數量最多，其次是 Konni APT 組織。監控到的告警符合各 APT 組織活動范圍及活動規律。1.3 勒索病毒活動態勢專題2022 年，恒安嘉新通過勒索病毒行為規則成功捕獲 1451 個 IP 訪問過 70 個勒索病毒 IOC。對國內受害資產訪問勒索病毒 IOC 的告警進行分析發現，訪問GandCrab 勒索病毒 IOC 的 IP 數量最多，其次是 Ransom。1.4 數字貨幣挖礦監測分析專題2022 年，通過對挖礦監測數據進行分析，發現全國存在挖礦行為的礦場 I

8、P1086 個，包含礦機 49768 臺。其中挖礦幣種主要為 BTC 和 ETH；連接的礦池主第 2 頁 共 153 頁要為螞蟻礦池(*)和 Poolin 礦池(*)。1.5 互聯網漏洞分析篇2022 年，恒安嘉新收錄的新增安全漏洞數量 23900 個。其中，包括高危漏洞8379 個（占 35.1%）、中危漏洞 12862 個（占 53.8%）、低危漏洞 2659 個（占11.1%）。2022 年活躍漏洞數量與 2021 年（26566 個）數量相比減少 10.0%。按照漏洞影響對象類型劃分，WEB 應用類 10470 個，應用程序類 6856 個，網絡設備（交換機、路由器等網絡端設備）類 3

9、623 個，操作系統類 1150 個，智能設備（物聯網終端設備）類 1064 個，數據庫類 374 個，安全產品類 363 個。按照漏洞所屬行業劃分，電信行業漏洞 2580 個，移動互聯網行業漏洞 1257個，工控行業漏洞 418 個，其他行業漏洞 19645 個。按照漏洞所屬廠商劃分，涉及漏洞廠商包括 WordPress、Google、Tenda、Adobe、Microsoft、IBM、TOTOLINK、D-Link、Huawei 和 Apache 等。1.6 工業互聯網態勢分析篇2022 年，恒安嘉新工業互聯網平臺監測到全國工業企業 406 萬家，規模以上工業企業 37 萬家。累計監測到工

10、業資產共 1683 萬個，其中工業資產平臺 2.4 萬個，工業設備資產 1613 萬個，工業 APP 2.5 萬個，其他工業網絡基礎設施 65 萬個。同時還監測到工業資產漏洞 15 萬個，工業網絡安全告警 36.7 億起，成功攻擊事件 684 萬余起。中國工業互聯網二級節點共 166 個，其中上海頂級節點登記二級節點最多，有 59 個。中國工業互聯網三級節點（已在二級節點登記）的企業共 9645 家，共第 3 頁 共 153 頁登記在 153 個二級節點下，其中 88.118（江蘇中天互聯科技有限公司）登記三級節點最多，共 3215 家。1.7 物聯網&車聯網態勢分析篇2022 年，恒安嘉新共

11、監測到的物聯網&車聯網協議識別數據 4.9 億條，其中物聯網協議識別數據占總數據量 95.8%，車聯網協議識別數據占總數據量4.2%。物聯網協議識別數據量最多的類型是“MQTT 協議”，占總物聯網協議識別數據量的 71.0%。車聯網協議識別數據量最多的類型是“特斯拉車輛識別”，占總車聯網協議識別數據量的 62.6%。1.8 WEB 攻擊分析篇2022 年，全國共監測 WEB 攻擊告警近 14 億條，其中，WEB 攻擊告警次數最多的是“Apache Log4j2 遠程代碼執行漏洞”，占 2022 年總告警量的 39.5%。根據攻擊行為分析發現，近兩年攻擊者采用的主要攻擊手段沒有太大變化，慣用“遠

12、程命令/代碼執行”、“注入攻擊”、“弱口令登錄”三類攻擊手段。1.9 互聯網惡意程序分析篇2022 年，全國共監測到僵尸網絡、木馬程序、蠕蟲病毒告警近 1.5 億條。其中，僵尸網絡告警量占比 15.8%，木馬程序告警量占比 83.8%，蠕蟲病毒告警量占比 0.4%。1.10 移動互聯網惡意程序分析篇2022 年，恒安嘉新共捕獲到的移動惡意程序告警 2098 萬條，其中最多的告第 4 頁 共 153 頁警為誘騙欺詐，占比 45.05%。移動惡意程序通常為擦邊球的社交應用或者直播應用，通過其他帶有誘惑性的視頻或圖片來推廣下載，一旦用戶安裝，會存在竊聽用戶通話、竊取用戶信息、破壞用戶數據、擅自使用付

13、費業務、發送垃圾信息、推送廣告或欺詐信息、影響移動終端運行、危害互聯網網絡安全等惡意行為。1.11 互聯網詐騙分析篇恒安嘉新安全團隊累計共研判互聯網網址數量達 8.21 億，其中發現互聯網涉詐域名 1023.32 萬余個，每月研判出的詐騙網址量在 100 萬左右。反詐平臺事件發現準確率達 90%以上，系統上線后報案率各省同比普遍下降 5%。1.12 暗網數據態勢分析篇2022 年，恒安嘉新監測到暗網上的數據售賣事件 2241 例，共分為“服務業務類、基礎知識、技能技術類、實體物品、數據-情報、私人專拍、虛擬物品、影視色情、虛擬資源、其它類別”十大類。其中售出量達到 6158 次。售賣價額共 5

14、0.24525 個比特幣，約 602.94 萬元，售賣成交額共 8.77675 個比特幣，近 105.32萬元。第 5 頁 共 153 頁2 網絡信息安全態勢分析2.1 數據安全保障專題近期數據泄露事件頻發，讓數據安全問題受到極大關注。有微博網友曝料,某學習軟件數據庫信息疑似被公開售賣,其中疑似泄露的數據包含姓名、手機號、性別、學校、學號、郵箱等信息 1 億 7273 萬條。同時有大量網友反映自己的 QQ賬號被盜，向好友及 QQ 群發送低俗廣告和鏈接。酒店巨頭萬豪國際集團也證實了一起數據泄露事件,黑客們聲稱竊取了 20GB 的敏感數據，包括客人的信用卡信息。據 Dimensional Rese

15、arch 調研發現，80%以上的公司或機構遭遇了個人敏感信息相關數據泄露。在信息化和數字化飛速發展的今天,數據安全的保護是企業機構當下發展的重中之重。目前，恒安嘉新正在從三個方面搭建數據安全治理的總體框架。一是根據國家法律、法規、行業監管標準和最佳實踐建立數據安全治理標準體系；二是圍繞數據安全全生命周期制定對應管理流程和安全策略；三是基于具體的數據使用場景提供相關技術服務和數據安全產品。恒安嘉新數據安全態勢感知平臺，能夠精準有效識別個人敏感數據風險、工業敏感數據風險和異常文件外發風險。2022 年，識別敏感數據 364 萬條,涉及 8433個應用和 11450 個 API 接口；其中包含個人姓

16、名 75 萬條、手機號 188 萬條、身第 6 頁 共 153 頁份證 39 萬條。明文傳輸敏感數據超 100 條以上系統 1151 個。數據安全態勢感知平臺截圖數據安全態勢感知平臺截圖第 7 頁 共 153 頁2.2 APT 活動態勢專題2.2.1APT 組織概述2.2.1.1 Group123 APT 組織分析組織分析Group123，別名 APT37、Venus 121、Reaper 等，是一個活躍的朝鮮黑客組織，其攻擊活動開始于 2012 年。APT37 的主要攻擊目標為朝鮮的地理鄰國，包括韓國、日本、俄羅斯、中國等，其中對韓國的攻擊活動十分頻繁。KonniAPT組織木馬與 Nokki

17、 存在大量重疊，并疑似與 APT37 存在關聯。APT37 的主要使命應該是收集情報來支持朝鮮的軍事、政治和經濟戰略。這是因為其針對韓國公共和私有設施的持續攻擊和社會工程。而 APT37 近期擴大目標范圍似乎也與朝鮮的戰略轉變有關。2014 年到 2017 年，APT37 的主要攻擊目標是韓國的政府、軍事、國防工業、新聞單元。宣傳材料使用的也是韓語，主題是朝鮮半島統一或制裁。2017 年，APT37 攻擊了一家中東的電信服務提供商，而該電信服務提供商剛成為朝鮮政府電信服務提供合資企業。其他的目標包括國際事務和貿易問題相關的人員等。朝鮮叛逃者和人群相關的攻擊提供了關于 APT37 執行與朝鮮相關

18、的攻擊行為的直接證據。APT37 攻擊了與不同的朝鮮人權問題和戰略研究機構相關的研究人員、咨詢人員和記者。APT37 用注冊韓國全球論壇 Korean Global Forum 的郵件來引誘韓國的學術和戰略研究機構的方式傳播 SLOWDRIFT 惡意軟件。而該釣魚郵件是通過一個被黑的進行朝鮮研究的韓國研究機構的郵箱發送的。第 8 頁 共 153 頁2.2.1.1.1攻擊特征APT37 已被確認為針對韓國政企與脫北人員等政治目標，使用 RokRat、NavRat、KevDroid、PoorWeb 等標志性木馬發動攻擊的高效黑客團體。APT37 發起的攻擊中，有一個顯著特征為在投遞執行階段大量使用

19、攜帶 hwp文檔的魚叉郵件。hwp 文件是韓國主流文字處理軟件 Hangul Office（）專用的文檔格式，也是政府使用的標準文檔格式之一，作為郵件附件的常用文件格式在韓國廣為使用。雖然沒有 doc 文檔類似的公式編輯器漏洞，朝鮮的黑客們依然積極嘗試使用各類組件的漏洞構建惡意文檔。APT37 作為以韓國為主要目標的黑客組織，在 hwp 文檔的惡意利用上十分嫻熟。除 hwp 文檔以外，APT37 也積極使用包括 html、doc 等各類常規格式附件作為攻擊載體。2.2.1.1.2攻擊技術APT37 在近年多次攻擊中利用了 eps 漏洞。Eps 是使用 PostScript 語言描述的一種圖形文

20、件格式，可以輸出高精度的 ASCII 圖像。Hangul Office 軟件使用 eps圖像處理模塊來處理 hwp 文檔中的 eps 圖像，但因為 eps 處理模塊本身包含多個第 9 頁 共 153 頁漏洞，該處理流程容易被黑客利用執行惡意代碼。在 17 年底 18 年初的攻擊行動Evil New Year 2018 中，APT37 使用了攜帶 cve-2013-0808 漏洞的 hwp 文檔進行攻擊。cve-2013-0808是存在于eps圖片查看器gldll32.dll模塊中的緩沖區溢出漏洞，通過溢出點代碼，esi 的值可以被修改，此后程序執行流從 esi 處獲取地址并調用，導致任意代碼執

21、行：如下圖所示，Evil New Year 2018 使用的 hwp 文檔內部包含一個 eps 文件，文件內容解壓后暴露出 shellcode。該 shellcode 最終代碼被加密，加密邏輯為異或：第 10 頁 共 153 頁該 shellcode 最終下載指定 url 下的文件，該文件是偽裝成 png 圖像的 RokRat木馬。除常規類型的文件以外，APT37 還嘗試過使用隱寫圖像作為跳板執行惡意程序。在 2019 年的一次攻擊行動中，APT37 在魚叉郵件中加入了擴展名為 jpge 的文件，并在郵件內容中誘導受害者下載短鏈接中的程序來打開 jpge 圖像：兩個短鏈接分別指向一個 exe

22、文件和 apk 文件，分別是惡意載荷加載器和安卓間諜應用。第 11 頁 共 153 頁該 exe 程序將自身偽裝成一個圖片查看器用于加載、解密并執行惡意載荷。該加載器會對輸入的圖片格式進行校驗；如果用戶嘗試用查看器打開一個格式不符的普通圖片，則會彈出“錯誤格式”的窗口。一個合法的格式如下所示：惡意載荷共兩部分；第一部分為真實的圖片載荷。圖片載荷被秘鑰解密并保存為臨時文件后更新至木馬的圖形界面，其目的是通過展示圖片查看功能從而降低用戶的警惕性：第二部分為攻擊者投遞的惡意載荷。首先在內存中解密惡意載荷，當用戶通過圖形界面關閉該結束木馬進程時，進程將轉入后臺繼續執行，包含惡意載荷的線程隨即啟動：第

23、12 頁 共 153 頁該加載器最終在 jpge 文件中獲取 RokRat 木馬并執行。該安卓木馬注冊了自定義的廣播接收器服務，該服務在用戶接電話的同時開啟了錄音功能，從而實現了來電監聽、記錄：木馬通過自定義的鬧鐘回調類完成和 C2 服務器的交互。每當一次鬧鐘事件觸發后，木馬會按順序執行下列操作：1）向 C2 上傳肉雞的 MAC 地址、型號等指紋信息第 13 頁 共 153 頁2）收集肉雞的錄音文件3）向 C2 上傳肉雞的錄音文件4）向 C2 服務器請求并執行密文遠控指令，加密算法為 DES2.2.1.2 Lazarus APT 組織分析組織分析Lazarus 組織被認為是來自朝鮮的 APT

24、組織，攻擊目標遍布全球，最早的活動時間可以追溯至 2007 年，其主要目標包括國防、政府、金融、能源等，早期主要以竊取情報為目的。自 2014 年后進行業務擴張，攻擊目標拓展到金融機構、虛擬貨幣交易所等具有較高經濟價值的對象。資料顯示，2014 年索尼影業遭黑客攻擊事件、2016 年孟加拉國銀行數據泄露事件、2017 年美國國防承包商和能源部門、同年英韓等國比特幣交易所攻擊事件以及今年針對眾多國家國防和航空航天公司的攻擊等事件皆被認為與此組織有關。第 14 頁 共 153 頁2.2.1.2.1攻擊特征Lazarus 早期多利用僵尸網絡對目標進行 DDos 攻擊；中后期主要攻擊手段轉為魚叉攻擊、

25、水坑攻擊、供應鏈攻擊等手法，還針對不同人員采取定向社會工程學攻擊。Lazarus 組織的攻擊主要有以下特點：攻擊周期普遍較長，通常進行較長時間潛伏，并換不同方法誘使目標被入侵。投遞的誘餌文件具有極強的迷惑性和誘惑性，導致目標無法甄別。攻擊過程會利用系統破壞或勒索應用干擾事件的分析。利用 SMB 協議漏洞或相關蠕蟲工具實現橫向移動和載荷投放。每次攻擊使用工具集的源代碼都會修改，并且網安公司披露后也會及時修改源代碼。2.2.1.2.2攻擊技術Lazarus 使用的網絡武器中包含大量定制工具，并且使用代碼有很多相似之處?？隙ǖ卣f，這些軟件來自相同的開發人員，可以說明 Lazarus 背后有穩定的大型

26、開發團隊。擁有的攻擊能力和工具包括 DDoS botnets、keyloggers、RATs、第 15 頁 共 153 頁wiper malware，使用的惡意代碼包括 Destover、Duuzer 和 Hangman 等。1.魚叉攻擊通常以郵件夾帶惡意文檔作為誘餌，常見文件格式為 DOCX，后期增加了BMP 格式。入侵方式主要利用惡意宏與 Office 常見漏洞、0day 漏洞、植入 RAT的手法。2.水坑攻擊Lazarus 通常針對貧窮的或欠發達地區的小規模銀行金融機構使用水坑攻擊，這樣就可以在短時間內大范圍盜取資金。3.社工攻擊Lazarus 擅長將社工技術運用到攻擊周期中，無論是投遞

27、的誘餌還是身份偽裝，都令受害者無法甄別，從而掉入它的陷阱中。2020 年期間，Lazarus 在領英網站偽裝招聘加密貨幣工作人員并發送惡意文檔，旨在獲取憑證從而盜取目標加密貨幣。2021 年，Lazarus Gourp 以網絡安全人員身份潛伏在 Twitter 中，伺機發送嵌有惡意代碼的工程文件攻擊同行人員。從這些案例可以看出，Lazarus 針對的目標越來越明確，使用手法也越來越靈活直接。2.2.1.3“檸檬鴨檸檬鴨（LemonDuck）”APT 組織分析組織分析“檸檬鴨（LemonDuck）”最初由針對“驅動人生”發起的供應鏈攻擊演變而來，攻擊者利用“驅動人生”作為跳板，使蠕蟲盡可能廣泛地

28、傳播。攻擊者為具有一定專業能力的境外組織，發起或參與過大規模網絡攻擊活動（如構建僵尸第 16 頁 共 153 頁網絡等）。至今“檸檬鴨（LemonDuck）”已發展成面向全球，主要針對政府與企業運行的終端設備，有組織、有計劃的，以挖礦為目的高級長期威脅組織。其感染目標已不限于 Windows 主機，還有一部分運行嵌入式 Windows 7 系統的 IoT 設備同樣受到波及，包括智能電視，智能掃描儀，工業 AGV 等，并在近期新增了針對 Linux 設備的攻擊模塊。受到感染的機器中絕大部分來自于政府與企業。值得注意的是“檸檬鴨（LemonDuck）”發動的攻擊中會上傳十分詳盡的系統環境信息，這意

29、味著為其篩選“特定目標”進行下一步定向攻擊做好了準備。利用威脅情報的監測分析，我們發現“檸檬鴨（LemonDuck）”APT 組織的目標受害者遍及全球，主要集中在亞洲地區，中國、新加坡、中國臺灣、菲律賓的受害者最多，占全球比例的 67.4%?！皺幟束啠↙emonDuck）”感染區域2.2.1.3.1攻擊特征經過分析，檸檬鴨 APT 組織攻擊活動具有以下特征：起源于針對“驅動人生”供應鏈的 APT 攻擊；持續時間長，從 2018 年 12 月份起持續至今；影響范圍廣泛，波及全球，已有數百萬設備被感染；第 17 頁 共 153 頁傳播途徑多樣，通過漏洞利用、Outlook 郵件、移動存儲設備進行傳

30、播；利用新冠疫情對郵件攻擊模塊做針對性升級，以提高感染效率；頻繁利用開源項目及新披露漏洞的 POC 來增強蠕蟲感染能力；多樣性，迭代/升級的頻率遠超以往發現的同類型威脅攻擊。以下是“檸檬鴨（LemonDuck）”整個的攻擊鏈路圖：“檸檬鴨（LemonDuck）”攻擊鏈路圖不同于常規的攻擊鏈路，其攻擊鏈路中：具有大量的遠程惡意文件執行操作，且相互之間具有遞歸/嵌套執行的特點。其惡意腳本經過了相當復雜的加密和混淆（這幫助其規避絕大部分的引擎查殺）。在針對樣本中涉及的域名及其解析 IP 的關聯分析中發現：攻擊者對于域名與服務器供應商選擇的離散度很高，這增加接管及關停其黑色資產的難度，為攻擊活動提供緩

31、沖期，便于其切換和遷移黑色資產。圖中標紅的域名為首次測試攻擊所使用，且 一直沿用至今。第 18 頁 共 153 頁“檸檬鴨（LemonDuck）”IOC 關聯分析圖2.2.1.3.2攻擊技術在持續的監測中，已經捕獲到數十次攻擊鏈的更新。其主要傳播途徑可分為三類：1)通過漏洞利用傳播-端口掃描；-利用 EternalBlue/MS17-010，針對 Win7/Win8；-CVE-2020-0796（2020 年 4 月新增）；-使用暴力破解（除自身攜帶字典外，還會將獲取本地口令/憑證加入字典），針對$IPC、SMB、MS-SQL、RDP、NTLM、WMI、SSH（2020-06-01 新增，針對

32、 Linux root 賬號）；2)利用移動存儲設備傳播（CVE-2017-8464）-通過將惡意 DLL 與快捷方式（LNK）文件一起植入文件夾中，從而感染可移動 USB 驅動器和網絡驅動器；-當使用解析.lnk 快捷方式文件的任何應用程序中打開驅動器時，快捷方式將執行惡意的 DLL 組件。3)利用 Outlook 郵件傳播/社會工程學傳播-借助新冠疫情，新增部分與新冠有關郵件主題；-隨機選取郵件主題及內容，發送給感染主機上的所有 Outlook 聯系人；-生成惡意文檔（CVE-2017-8570，DDE），惡意 JS 文件。攻擊者在利用 Outlook 進行的傳播過程中，捕獲的樣本中郵件主

33、題是唯一第 19 頁 共 153 頁的，直接硬編碼在腳本中。2.2.1.4 APT28 組織分析組織分析APT28 組織，也被稱作“奇幻熊”（Fancy Bear，T-APT-12）,Pawn Storm,SofacyGroup,Sednit 或 STRONTIUM，是一個長期從事網絡間諜活動并與俄羅斯軍方情報機構相關的 APT 組織，從該組織的歷史攻擊活動可以看出，獲取國家利益一直是該組織的主要攻擊目的。據國外安全公司報道，該組織最早的攻擊活動可以追溯到 2004 年至 2007 年期間。APT28 擁有足夠的資源，可以根據目標進行長時間的網絡攻擊活動。他們的攻擊范圍很廣，破壞 DNS、釣魚

34、攻擊、水坑攻擊等。最近開始對 Webmail 和云服務進行直接攻擊，該組織在未來幾年仍將保持活躍。2.2.1.4.1攻擊特征APT28 在 歷 史 的 攻 擊 活 動 中 多 次 使 用 Zebrocy Downloader。Zebrocy第 20 頁 共 153 頁Downloader 包括 delphi 版本，nim 版本，Autolt 版本，VB.NET 版本，Visual C+版本，C#版本以及 go 版本。Zebrocy Downloader 主要功能為收集目標計算機的信息，在目標被確認后，植入下一階段攻擊組件。Zebrocy Downloader 通常使用兩種方式進行攻擊：1）作為

35、初始攻擊釋放的荷載，初始攻擊通常為漏洞文檔，漏洞文檔會釋放執行 Zebrocy Downloader。2）作為初始攻擊的誘餌文件，這類攻擊通常以釣魚郵件的惡意附件出現，附件多數情況下為壓縮包。壓縮包會包含 Zebrocy Downloader 和誘餌文檔兩個文件，通常兩個文件都會出現破損文件的提示信息誤導用戶點擊執行。在少數情況附件只單獨攜帶 Zebrocy Downloader。第 21 頁 共 153 頁2.2.1.4.2攻擊技術APT28主要依賴3種不同的攻擊途徑來感染他們的目標：惡意Word和Excel，釣魚網站，Java 和 Flash 漏洞。Sedkit 是 APT28 獨家使用的

36、一個漏洞攻擊工具包，主要包含 Flash 和InternetExplorer 中的漏洞，首次被發現時的使用方法是通過水坑攻擊將潛在的受害者重定向到惡意頁面。在此之后，APT28 首選的方法是將惡意鏈接嵌入到發送給目標的電子郵件中。DealersChoice 是 APT28 使用的另一個平臺，能夠生成嵌入了 Flash 漏洞的惡意文檔。這個平臺有兩個變種。第一個變種會檢查系統上安裝了哪個 FlashPlayer版本，然后選擇三個不同的漏洞中的一個進行攻擊。第二個變種則會首先連接C2 服務器（Command&Control 服務器，指木馬程序的控制端或控制木馬的服務器），該服務器將提供選定的漏洞利

37、用和最終的惡意負載。APT28 今天仍然在使用這個平臺，其針對歐洲與美國的政府機構和航空航天私營部門的攻擊，就是在 DealersChoice 平臺上使用了一個新的 Flash Nday 漏洞。APT28ATT&CK 技術矩陣TacticIDNameDescriptionInitial AccessT1193Spearphishing Attachment利用釣魚郵件附件進行初始攻擊T1204User Execution誘騙用戶點擊執行ExecutionT1106Execution through API調用 WinExec 啟動自身T1059Command-Line Interface利用

38、cmd.exe 執行命令DefenseEvasionT1053Scheduled Task利用計劃任務執行命令T1107File Deletion使用命令刪除計劃任務第 22 頁 共 153 頁T1202Indirect Command Execution利用計劃任務間接執行 copy.exeCollectionT1113Screen Capture收集用戶屏幕截圖數據T1005Data from Local System收集系統信息數據CommandandControlT1071Standard Application Layer Protocol使用 http 協議通信Exfiltrati

39、onT1132Data Encoding對數據進行編碼傳輸2.2.1.5“海蓮花海蓮花”APT 組織分析組織分析海蓮花”（又名 APT32、OceanLotus），被認為是來自越南的 APT 攻擊組織，自 2012 年活躍以來，一直針對中國的敏感目標進行攻擊活動，是近幾年來針對中國大陸進行攻擊活動的最活躍的 APT 攻擊組織之一。通過對該 APT 組織深入分析和持續追蹤，發現該組織針對中國大陸的政府、海事機構、商務部門、研究機構的一系列攻擊活動。此外發現該組織還在不斷的更新他們的攻擊武器庫，無論是釣魚的誘餌形式、payload 的加載、橫向移動等。尤其值得注意的是，該組織針對不同的機器下發不同

40、的惡意模塊，使得即便惡意文件被安全廠商捕捉到，也因為無相關機器特征而無法解密最終的 payload，無法知曉后續的相關活動。2.2.1.5.1攻擊手段海蓮花組織主要通過魚叉攻擊和水坑攻擊等方法，配合多種社會工程學手段進行滲透，向境內特定目標人群傳播特種木馬程序，秘密控制部分政府人員、外包商和行業專家的電腦系統，竊取系統中相關領域的機密資料。為了隱蔽行蹤，該組織還至少先后在 6 個國家注冊了 C2（也稱 C&C，是 Command and Control第 23 頁 共 153 頁的縮寫）服務器域名 35 個，相關服務器 IP 地址 19 個，服務器分布在全球 13 個以上的不同國家。2.2.1

41、.5.2攻擊流程攻擊者利用帶數字簽名的 WPS 文件，通過社會工程學誘導受害者點擊執行，運行以后會通過側加載方式裝載惡意 DLL，釋放誘餌文檔并且在內存中加載 DenesRAT 木馬。DenesRAT 木馬能夠根據 C2 服務器下發的指令執行相應的功能，具備文件操作、注冊表讀寫、設置環境變量和遠程執行代碼等功能的后門，該后門被插入大量花指令用于對抗分析。2.2.1.5.3攻擊技術通過對海蓮花組織的多個樣本進行分析，梳理出該組織常用的技術手段如下：技術名稱技術實現帳戶枚舉海蓮花組織使用命令 net localgroup administrators 和枚舉管理用戶和 DC 服務器 netgrou

42、p Domain Controllers/domain。應用部署海蓮花組織通過將惡意軟件作為軟件部署任務進行分發來破壞 McAfee ePO 的橫向移動。填充技術海蓮花組織包含垃圾代碼，以誤導反惡意軟件和研究人員。命令行界面海蓮花組織已使用 cmd.exe 來執行。第 24 頁 共 153 頁常用端口海蓮花組織已將端口 80 用于 C2 通信。憑證轉儲海蓮花組織使用 Mimikatz，GetPassword_x64 和 Windows Credential Dumper，HookChangePassword 和 Outlook Credential Dumper 的自定義版本來收集憑據。自定義

43、命令和控制協議海蓮花組織使用 Cobalt Strike 的可延展 C2 功能與網絡流量融合。該組的后門還可以通過在 DNS 數據包的 subdomain 字段中進行編碼來竊取數據。此外，該組織的一個 macOS后門為包含隨機值的 C2 數據包實現了一種特定的格式。數據壓縮海蓮花組織的后門在滲透之前已使用 LZMA 壓縮。數據加密海蓮花組織后門在滲透之前已經加密了數據，包括使用 RC4 加密。DLL 加載海蓮花組織運行了來自 Symantec 和 McAfee 的經過合法簽名的可執行文件，它們加載了惡意 DLL。該組還通過刪除庫和合法的，經過簽名的可執行文件（AcroTranscoder）來加

44、載其后門程序。水坑攻擊海蓮花組織通過誘騙受害者訪問受損的水坑網站來感染受害者。傳輸通道海蓮花組織的后門已使用其 CC 服務器使用已打開的通道來竊取數據。惡意文檔海蓮花組織使用了 RTF 文檔，其中包含用于執行惡意代碼的漏洞。（CVE-2017-11882）權限提升海蓮花組織已使用 CVE-2016-7255 升級特權。文件和目錄發現海蓮花組織的后門具有列出計算機上文件和目錄的功能。文件和目錄權限修改海蓮花組織的 macOS 后門將其要執行的文件的權限更改為 755。文件刪除海蓮花組織的 macOS 后門可以接收“刪除”命令。隱藏文件和目錄海蓮花組織的 macOS 后門通過 chflags 函數

45、隱藏了 clientID 文件。隱藏窗口海蓮花組織使用 WindowStyle 參數隱藏 PowerShell 窗口。清除痕跡海蓮花組織已清除選擇事件數據條目偽裝海蓮花組織使用隱藏或非打印字符來幫助偽裝系統上的文件名，例如將 Unicode 不間斷空格字符附加到合法服務名之后。它們還通過將 pubprn.vbs 移和重命名為.txt 文件來避免檢測。此外，該組已將 NetCat 二進制文件重命名為 kb-10233.exe，以偽裝成 Windows 更新。修改服務海蓮花組織修改了 Windows 服務，以確保在系統上加載 PowerShell 腳本。修改注冊表海蓮花組織的后門已修改 Windo

46、ws 注冊表以存儲后門的配置。執行代碼海蓮花組織已使用 mshta.exe 來執行代碼。網絡服務掃描海蓮花組織在網絡上執行了網絡掃描，以搜索開放的端口，服務，操作系統指紋以及其他漏洞。權限維持海蓮花組織創建 Windows 服務以建立持久性控制權限。隱藏負載海蓮花組織使用 NTFS 備用數據流來隱藏其有效負載?；煜募Ｉ徎ńM織使用 Invoke-Obfuscation 框架對 PowerShell 進行模糊處理，并執行其他代碼混淆處理。海蓮花組織還使用 Base64 和稱為“Dont-Kill-My-Cat（DKMC）”的框架第 25 頁 共 153 頁對有效載荷進行了編碼。海蓮花組織還在

47、macOS 后門中以 CBC 模式使用 AES-256 加密了用于網絡滲透的庫。后門宏海蓮花組織在 Microsoft Outlook 中安裝了后門宏以實現持久性。橫向傳遞海蓮花組織已將傳遞哈希用于橫向移動。遠程訪問通過使用票證，海蓮花組織成功獲得了遠程訪問。PowerShell海蓮花組織使用了基于 PowerShell 的工具，PowerShell 單一代碼和 Shellcode 加載程序來執行。查詢注冊表海蓮花組織的后門可以查詢 Windows 注冊表以收集系統信息。注冊表運行鍵/啟動文件夾海蓮花組織使用注冊表運行鍵建立持久性，以執行 PowerShell 和 VBS 腳本以及直接執行其后

48、門程序。計劃任務海蓮花組織創建了一個計劃任務，該任務使用 regsvr32.exe 執行 COM 腳本，該腳本動態下載后門并將其注入內存。該小組還使用 regsvr32 運行其后門程序。水坑攻擊海蓮花組織已向受害網站添加了 JavaScript，以下載描述和損害網站訪問者的其他框架。系統發現海蓮花組織使用該 net view 命令顯示所有可用的共享，包括諸如 C$和的管理共享ADMIN$。海蓮花組織也使用了該 ping 命令。計劃任務海蓮花組織已使用計劃任務將其保留在受害系統上。腳本編寫海蓮花組織使用了宏，PowerShell 腳本，COM 腳本和 VBS 腳本。服務執行海蓮花組織的后門使用

49、Windows 服務作為執行其惡意負載的一種方式。簽名腳本海蓮花組織已在執行腳本中使用 PubPrn.vbs 執行惡意軟件，可能繞過了防御措施。魚叉式附件海蓮花組織已發送帶有惡意偽裝成文檔或電子表格的偽造電子郵件。魚叉式鏈接海蓮花組織已發送包含惡意鏈接的魚叉式電子郵件。C2 控制海蓮花組織使用的 JavaScript 通過 HTTP 或 HTTPS 與攻擊者控制的域進行通信，以下載其他框架。該小組還通過 Office 宏將電子郵件用于 C2。該組的后門還可以通過在 DNS 數據包的 subdomain 字段中進行編碼來竊取數據。系統信息海蓮花組織已從受害者那里收集了操作系統版本和計算機名稱。該

50、小組的一個后門還可以查詢 Windows 注冊表以收集系統信息，而另一個 macOS 后門在其與 CC 服務器的第一次連接上執行機器的指紋。網絡配置海蓮花組織使用該 ipconfig/all 命令從系統收集 IP 地址。網絡連接海蓮花組織使用該 netstat-anpo tcp 命令顯示受害者計算機上的 TCP 連接。用戶發現海蓮花組織收集受害者的用戶名并 whoami 在受害者的計算機上執行命令。時間戳海蓮花組織已使用計劃的任務原始 XML，其時間戳為 2016 年 6 月 2 日。該組還設置了漏洞利用第二階段刪除的文件的創建時間，以匹配 kernel32.dll 的創建時間。此外，海蓮花組

51、織使用隨機值來修改存儲 clientID 的文件的時間戳。常用端口海蓮花組織后門可以通過后門配置中指定的不常見的 TCP 端口（例如 14146）使用 HTTP。用戶執行海蓮花組織試圖誘使用戶執行通過魚叉式附件傳遞的惡意投遞器。有效帳號海蓮花組織使用了合法的本地管理員帳戶憑據。網頁后門海蓮花組織使用 Web Shell 來維護對受害網站的訪問。Windows 管理員共享海蓮花組織使用 Net 來使用 Windows 的隱藏網絡共享將其工具復制到遠程計算機上以執行。第 26 頁 共 153 頁Windows 管理規范海蓮花組織使用 WMI 在遠程計算機上部署其工具并收集有關 Outlook 進程

52、的信息。2.2.2APT 組織攻擊告警分析2022 年，恒安嘉新通過 APT 組織行為規則成功捕獲 834637 個 IP 訪問過 137個 APT 組織 IOC。對國內受害資產訪問 APT 組織 IOC 的告警進行分析發現，訪問 Group 123APT 組織 IOC 的 IP 數量最多，其次是 Konni APT 組織。監控到的告警符合各 APT 組織活動范圍及活動規律。2.2.2.1 Group 123 APT 組織攻擊組織攻擊告警告警分析分析2.2.2.1.1每月告警 IP 數分析從每月告警 IP 數維度進行分析，以下為 2022 年告警 IP 數的分布情況：第 27 頁 共 153

53、頁從上圖可以看出，2022 年 2 月訪問 Group 123APT 組織的 IP 數量最多，為89883 個。其次是 2022 年 1 月為 83343 個。2.2.2.1.2受影響 IP 資產分析從受影響的 IP 資產維度進行分析，以下為 2022 年 IP 資產告警量 TOP10 的情況：從上圖可以看出，IP：120.XX.XX.210 產生的告警次數最多，占比為：31.3%。其次是 IP：59.XX.XX.15，占比為 26.6%。第 28 頁 共 153 頁2.2.2.1.3受影響地域分析2022 年，對命中 Group 123APT 組織告警量 TOP 10 的 IP 所屬地域進行

54、分析，發現福建遭受的攻擊告警最多，占比為 45.8%。其次是山東，占比為 15.7%：2.2.2.2 Konni APT 組織攻擊告警分析組織攻擊告警分析2.2.2.2.1每月告警 IP 數分析從每月告警 IP 數維度進行分析，以下為 2022 年告警 IP 數的分布情況：第 29 頁 共 153 頁從上圖可以看出，2022 年 4 月訪問 Konni APT 組織的 IP 數量最多，為 55549個。其次是 2022 年 3 月為 51509 個。2.2.2.2.2受影響 IP 資產分析從受影響的 IP 資產維度進行分析，以下為 2022 年 IP 資產告警量 TOP10 的情況：從上圖可以

55、看出，IP：222.XX.XX.30 產生的告警次數最多，占比為：35.1%。其次是 IP：218.XX.XX.236，占比為 8.7%。2.2.2.2.3受影響地域分析2022 年，對命中 KonniAPT 組織告警量 TOP 10 的 IP 所屬地域進行分析，發現江蘇遭受的攻擊告警最多，占比為 51.2%。其次是福建，占比為 20.2%：第 30 頁 共 153 頁2.2.2.3 Lazarus APT 組織攻擊告警分析組織攻擊告警分析2.2.2.3.1每月告警 IP 數分析從每月告警 IP 數維度進行分析，以下為 2022 年告警 IP 數的分布情況：從上圖可以看出，2022年4月訪問L

56、azarus APT組織的IP數量最多，為27899個。其次是 2022 年 5 月為 27774 個。第 31 頁 共 153 頁2.2.2.3.2受影響 IP 資產分析從受影響的 IP 資產維度進行分析，以下為 2022 年 IP 資產告警量 TOP10 的情況：從上圖可以看出，IP：218.XX.XX.230 產生的告警次數最多，占比為：17.9%。其次是 IP：221.XX.XX.130，占比為 13.2%。2.2.2.3.3受影響地域分析2022 年，對命中 Lazarus APT 組織告警量 TOP 10 的 IP 所屬地域進行分析，發現江蘇遭受的攻擊告警最多，占比為 60.5%。

57、其次是北京，占比為 20.6%：第 32 頁 共 153 頁2.2.2.4“檸檬鴨檸檬鴨”APT 組織攻擊組織攻擊告警告警分析分析2.2.2.4.1每月告警 IP 數分析從每月告警 IP 數維度進行分析，以下為 2022 年告警 IP 數的分布情況：從上圖可以看出，2022 年 3 月訪問“檸檬鴨”APT 組織的 IP 數量最多，為15585 個。其次是 2022 年 1 月為 13851 個。第 33 頁 共 153 頁2.2.2.4.2受影響 IP 資產分析從受影響的 IP 資產維度進行分析，以下為 2022 年 IP 資產告警量 TOP10 的情況：從上圖可以看出，IP：218.XX.X

58、X.250 產生的告警次數最多，占比為：63.8%。其次是 IP：218.XX.XX.123，占比為 8.6%。2.2.2.4.3受影響地域分析2022 年，對命中“檸檬鴨”APT 組織告警量 TOP 10 的 IP 所屬地域進行分析，發現江蘇遭受的攻擊告警最多，占比為 79.2%。其次是北京，占比為 5.3%：第 34 頁 共 153 頁2.2.2.5 APT28 組織攻擊組織攻擊告警告警分析分析2.2.2.5.1每月告警 IP 數分析從每月告警 IP 數維度進行分析，以下為 2022 年告警 IP 數的分布情況：從上圖可以看出，2022 年 3 月訪問 APT28 組織的 IP 數量最多，

59、為 20071個。其次是 2022 年 8 月，為 9568 個。第 35 頁 共 153 頁2.2.2.5.2受影響 IP 資產分析從受影響的 IP 資產維度進行分析，以下為 2022 年 IP 資產告警量 TOP10 的情況：從上圖可以看出，IP：211.XX.XX.229 產生的告警次數最多，占比為：21.9%。其次是 IP：13.XX.XX.136，占比為 13.9%。2.2.2.5.3受影響地域分析2022 年，對命中 APT28 告警量 TOP 10 的 IP 所屬地域進行分析，發現香港遭受的攻擊告警最多，占比為 50.4%。其次是北京，占比為 25.6%：第 36 頁 共 153

60、 頁2.2.2.6“海蓮花海蓮花”APT 組織攻擊組織攻擊告警告警分析分析2.2.2.6.1每月告警 IP 數分析從每月告警 IP 數維度進行分析，以下為 2022 年告警 IP 數的分布情況：從上圖可以看出，2022 年 8 月訪問“海蓮花”APT 組織的 IP 數量最多，為11849 個。其次是 2022 年 9 月，為 6824 個。第 37 頁 共 153 頁2.2.2.6.2受影響 IP 資產分析從受影響的 IP 資產維度進行分析，以下為 2022 年 IP 資產告警量 TOP10 的情況：從上圖可以看出，IP：61.XX.XX.191 產生的告警次數最多，占比為：72.7%。其次是

61、 IP：123.XX.XX.2，占比為 11.3%。2.2.2.6.3受影響地域分析2022 年，對命中“海蓮花”APT 組織告警量 TOP 10 的 IP 所屬地域進行分析，發現甘肅遭受的攻擊告警最多，占比為 61.5%。其次是北京，占比為 17%。第 38 頁 共 153 頁2.2.2.7“海蓮花海蓮花”APT 攻擊攻擊成功事件分析成功事件分析2.2.2.7.1事件簡介XX 月 XX 日，恒安嘉新數據智能研究團隊綜合采用僵木蠕監測平臺、惡意程序監測平臺、金睛全流量態勢感知平臺等多源數據進行深度研判分析，發現XX 局 IP 地址 61.XX.XX.191 被用于“海蓮花”APT 組織 Lin

62、ux 后門木馬的主控端。2.2.2.7.2事件分析監測發現名為“HEUR:Trojan.Linux.Agent.ml”的 Linux 后門木馬近期在互聯網中較為活躍，且不斷嘗試向 XX 局 IP 地址 61.XX.XX.191 的 8443 端口發起上線請求和傳輸加密數據。對本次事件木馬樣本的行為比對及特征分析可以確認此事件與 APT 組織“海蓮花”有關，該關聯木馬是 2 年前“海蓮花”組織就已經使用的 Buni 變種木馬，第 39 頁 共 153 頁整體功能改動不大。深入分析發現在.data 段存在硬編碼 C2，通信端口為 8443端口，硬編碼 C2 通過 0 xB1 異或解密，解密后即為

63、XX 局 IP 地址 61.XX.XX.191。木馬樣本代碼該木馬通過各類系統命令收集系統的基本信息，包括 CPU 架構、進程 PID、用戶名、主機名、網卡信息等，再通過自定義通信協議數據包與主控端進行交互，木馬在本地運行后使用隨機進程名偽裝，通過日志追蹤和情報分析，發現“海蓮花”APT 組織利用銳捷 EWEB 網管系統遠程命令執行漏洞入侵了 XX 局 IP 地址 61.XX.XX.191，并將其作為 Buni變種木馬的主控端和“海蓮花”僵尸網絡其中一個主控節點。XX 局 IP 地址 61.XX.XX.191 被“海蓮花”APT 組織控制后，對香港IP:134.XX.XX.9 發起了僵尸網絡上

64、線請求，同時對 XX 集團、XX 出版社等單位發起了主動攻擊嘗試行為。受控 IP受控 IP 歸屬控制端 IP控制端歸屬61.XX.XX.191XX 局103.XX.XX.103:6XX8香港XX 局 IP 向香港 IP 發起僵尸網絡上線請求第 40 頁 共 153 頁攻擊 IP攻擊 IP 歸屬被攻擊 IP被攻擊 IP 歸屬61.XX.XX.191XX 局103.XX.XX.103XX 集團61.XX.XX.191XX 局103.XX.XX.103XX 出版社有限公司XX 局 IP 對 XX 集團、XX 出版社等單位發起攻擊嘗試2.2.2.7.3拓展分析利 用 金 睛 全 流 量 分 析，有 1

65、85 個 IP 地 址 主 動 訪 問 了 主 控 端61.XX.XX.191:8443，有可能已經感染了“海蓮花”Buni 變種木馬，涉及數十家單位。主動訪問主控端請求次數 TOP10IP 地址IP 接入單位139.XX.XX.76XX 云計算有限公司103.XX.XX.178XX 信息工程有限公司123.XX.XX.7XX 網絡技術有限公司101.XX.XX.56XX 科技股份有限公司183.XX.XX.14XX 網絡有限公司106.XX.XX.3XX 科技股份有限公司222.XX.XX.205XX 網絡科技有限公司60.XX.XX.19XX 有限公司 XX 分公司222.XX.XX.18

66、1XX 有限公司 XX 分公司113.XX.XX.89XX 有限公司 XX 分公司通過本次捕獲木馬的特征關聯分析，還找到了同特征的其他變種木馬。進一步分析發現還有其他 5 個 IP 地址也部署有銳捷 EWEB 網管系統，且和海蓮花Buni變種木馬存在通訊。推測這些IP也曾遭受過海蓮花APT組織的入侵和控制，涉及 XX 中心等重要單位。具體如下：同特征受害設施列表IP 地址歸屬運營商歸屬單位第 41 頁 共 153 頁103.XX.XX.178XXXX 中心60.XX.XX.19XX/111.XX.XX.234XX/221.XX.XX.89XX/122.XX.XX.74XX/第 42 頁 共 1

67、53 頁2.3 勒索病毒活動態勢專題2.3.1勒索病毒概述勒索病毒，是一種新型電腦病毒，主要以郵件、程序木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。勒索病毒文件一旦被用戶點擊打開，會利用連接至黑客的 C&C 服務器，進而上傳本機信息并下載加密公鑰。然后，將加密公鑰寫入到注冊表中，遍歷本地所有磁盤中的 Office 文檔、圖片等文件，對這些文件進行格式篡改和加密;加密完成后，還會在桌面等明顯位置生成勒索提示文件，指導用戶去繳納贖金。該類型病毒可以導致重要文

68、件無法讀取，關鍵數據被損壞，給用戶的正常工作帶來了極為嚴重的影響。2.3.2勒索病毒告警態勢分析自 2022 年 1 月 1 日至 2022 年 12 月 31 日，恒安嘉新通過勒索病毒行為規則成功捕獲 1451 個 IP 訪問過 70 個勒索病毒 IOC。對國內受害資產訪問勒索病毒IOC 的告警進行分析發現，訪問 GandCrab 勒索病毒 IOC 的 IP 數量最多，其次是 Ransom。下圖為各勒索病毒家族告警趨勢圖。第 43 頁 共 153 頁2.3.3DarkSide 勒索病毒攻擊告警分析DarkSide 勒索病毒于 2020 年 8 月被首次發現，其背后的運營者及其附屬機構曾發起過

69、全球性的犯罪狂潮，該勒索團伙已經襲擊了近百個受害者,并影響了超過 15 個國家的多個行業和組織。與其它勒索軟件一樣，這些犯罪分子會進行多方面的勒索，如數據竊取、本地加密，以威脅受害者支付解密贖金,2021 年 5月該團伙襲擊了美國最大成品油管道運營商 Colonial Pipeline 公司的工業控制系統。DarkSide 勒索軟件團伙在近一年的時間里開展非常頻繁的勒索攻擊，此前該組織的部分私鑰泄露使得部分老版本病毒加密的文件能夠得以解密。圖 1 DarkSide 解密工具第 44 頁 共 153 頁DarkSide 勒索軟件運行之后，會解密 RSA-1024 的公鑰信息和配置信息到內存中。公

70、鑰信息包括 RSA-1024 用到的 e 和 n，配置文件包括其在加密受害用戶文件前需要排除的文件后綴名、文件路徑、需要殺死的系統進程、服務以及 CC地址等相關信息。此外，勒索病毒會通過動態調用 GetUserDefaultLangID 和 GetUserDefaultUILanguage 函數判斷系統語言。排除系統語言為俄語的國家。圖 2 檢測系統語言勒索軟件會加密除以下后綴名之外的其他后綴文件：圖 3 排除文件后綴名2.3.3.1每月每月告警告警事件事件數分析數分析從每月告警事件數維度進行分析，以下為 2022 年每月告警事件數的趨勢情況：第 45 頁 共 153 頁從上圖可以看出，202

71、2 年 8 月遭受 DarkSide 勒索的事件數量最多，為 23926個。其次是 2022 年 9 月為 9723 個。2.3.3.2受影響受影響 IP 資產分析資產分析從受影響的 IP 資產維度進行分析，以下為 IP 資產告警量 TOP10 的情況：表 1 IP 資產告警量 TOP10序號訪問勒索病毒 IOC 主機訪問次數1210.*.*.2277042210.*.*.1912813180.*.*.15259454.*.*.672265114.*.*.382106180.*.*.1411747180.*.*.1481368183.*.*.2001299114.*.*.671061034.*

72、.*.11198從上表可以看出，IP：210.*.*.2 產生的告警次數最多，占比為：95%第 46 頁 共 153 頁2.3.3.3受影響地域分析受影響地域分析對命中 DarkSide 勒索病毒告警量 TOP 10 的 IP 所屬地域進行分析，發現北京遭受的攻擊告警最多，占比為 95%：圖 4 DarkSide 勒索病毒告警量 TOP 102.3.4Bad Rabbit 勒索病毒攻擊告警分析2017 年，名為“壞兔子”（the Bad Rabbit）的勒索病毒正在東歐和俄羅斯地區傳播，據悉，目前影響了俄羅斯部分媒體組織，烏克蘭的部分業務，包括基輔的公共交通系統和國家敖德薩機場，此外還影響了保

73、加利亞和土耳其?！皦耐米印敝饕峭ㄟ^偽裝 flash 安裝程序讓用戶下載運行和暴力枚舉 SMB服務帳號密碼的形式進行傳播，使用“永恒浪漫”漏洞進行傳播，感染形式上和此前的 NotPetya 勒索病毒相似，會主動加密受害者的主引導記錄(MBR)?！皦耐米印痹诶账髭H金上有所變化，初始贖金為 0.05 比特幣，隨時間的推移會進一步增加贖金。第 47 頁 共 153 頁“壞兔子”會試圖感染目標主機上的以下類型文件和主引導分區。圖 5 感染文件列表“壞兔子”勒索病毒并沒有利用任何漏洞,需要受害者手動啟動下載名為install_flash_player.exe 的可行性文件，該文件需要提升的權限才能運行,

74、WindowsUAC 會提示這個動作，如果受害者還是同意了，病毒就會按照預期運行。感染此惡意軟件的計算機會將用戶跳轉到.onion Tor 域，提示受害者需要支付 0.05 比特幣的贖金解鎖他們的數據。付款的網架設在 Tor 網絡中。第 48 頁 共 153 頁圖 6 支付勒索贖金網站2.3.4.1每月每月告警告警事件事件數分析數分析從每月告警事件數維度進行分析，以下為 2022 年每月告警事件趨勢的分布情況：從上圖可以看出，2022 年 1 月遭受 Bad Rabbit 的勒索事件數量最多，為 2916個。其次是 2022 年 3 月為 136 個。第 49 頁 共 153 頁2.3.4.2

75、受影響受影響 IP 資產分析資產分析從受影響的 IP 資產維度進行分析，以下為 IP 資產告警量 TOP10 的情況：表 2 IP 資產告警量 TOP10序號訪問勒索病毒 IOC 主機訪問次數1222.*.*.2163057213.*.*.1592663208.*.*.174384212.*.*.7219549.*.*.15676124.*.*.21957219.*.*.5748222.*.*.162923.*.*.2821077.*.*.812從上表可以看出，IP：222.*.*.216 產生的告警次數最多，占比為：91%2.3.4.3受影響地域分析受影響地域分析對命中 Bad Rabbit

76、 告警量 TOP 10 的 IP 所屬地域進行分析，發現上海市遭受的攻擊告警最多，占比為 99%：第 50 頁 共 153 頁圖 7 Bad Rabbit 勒索病毒告警量 TOP 102.3.5GandCrab 勒索病毒攻擊告警分析GandCrab 勒索病毒于 2018 年 1 月面世以來，短短一年內歷經多次版本更新，目前最新的版本為 V5。該病毒利用多種方式對企業網絡進行攻擊傳播，受感染主機上的數據庫、文檔、圖片、壓縮包等文件將被加密，若沒有相應數據或文件的備份，將會影響業務的正常運行。V5 版本面世以來，GandCrab 出現了包括了 5.0、5.0.2、5.0.3、5.0.4 以及最新的

77、 5.0.5 多個版本的變種。病毒采用Salsa20和 RSA-2048 算法對文件進行加密，并修改文件后綴為.GDCB、.GRAB、.KRAB 或 5-10 位隨機字母，勒索信息文件為 GDCB-DECRYPT.txt、KRAB-DECRYPT.txt、5-10 隨機字母-DECRYPT.htmltxt，并將感染主機桌面背景替換為勒索信息圖片。圖 8 GandCrab 背景圖GandCrab 病毒家族主要通過 RDP 暴力破解、釣魚郵件、捆綁惡意軟件、僵尸網絡以及漏洞利用傳播。病毒本身不具有蠕蟲傳播能力，但會通過枚舉方式對第 51 頁 共 153 頁網絡共享資源進行加密，同時攻擊者往往還會通

78、過內網人工滲透方式，利用口令提取、端口掃描、口令爆破等手段對其他主機進行攻擊并植入該病毒。病毒首先會結束以下進程，其中包括數據庫、office 套件、游戲客戶端等 mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe、thebat64.exe、thunderbird.exe、v

79、isio.exe、winword.exe、wordpad.exe。圖 9 病毒結束進程列表隨后病毒會識別鍵盤布局，對指定語言區域主機不進行加密，如俄羅斯，但不包含中國。第 52 頁 共 153 頁圖 10 檢測鍵盤布局最后遍歷本地磁盤及網絡共享資源，加密除白名單以外的所有文件，并生成勒索信息文件，其中白名單包括文件擴展名、系統目錄及系統文件。2.3.5.1每月每月告警告警事件事件數分析數分析從每月告警事件數維度進行分析，以下為 2022 年每月告警事件趨勢的分布情況：從上圖可以看出，2022 年 6 月遭受 GandCrab 的勒索事件數量最多，為 1397個。其次是 2022 年 3 月為

80、73 個。2.3.5.2受影響受影響 IP 資產分析資產分析從受影響的 IP 資產維度進行分析，以下為 IP 資產告警量 TOP10 的情況：表 3 IP 資產告警量 TOP10序號訪問勒索病毒 IOC 主機訪問次數147.*.*.66622219.*.*.18853第 53 頁 共 153 頁347.*.*.2749447.*.*.6443547.*.*.17941661.*.*.194387119.*.*.14131847.*.*.161309222.*.*.9425108.*.*.24524從上表可以看出，IP：47.*.*.66 產生的告警次數最多，占比為：13%2.3.5.3受影響地

81、域分析受影響地域分析對命中 GandCrab 勒索病毒告警量 TOP 10 的 IP 所屬地域進行分析，發現山西省遭受的攻擊告警最多，占比分別為 52%：圖 11 GandCrab 勒索病毒告警量 TOP 102.3.6勒索病毒防范和應急2.3.6.1防范措施防范措施1.加強主機設備、應用、數據庫等安全配置。通過主機安全防護產品收集各類設第 54 頁 共 153 頁備的安全配置數據，比對安全基線及時發現設備上的不符合安全要求的配置項，及時做出告警或遠程下發加固腳本。2.關注最新的漏洞，及時更新電腦上的終端安全軟件，修復最新的漏洞。3.在內網部署全息誘捕系統，將惡意流量引入到誘捕密網，并且在第一

82、時間識別進入到內部網絡中的惡意 IOC 信息。結合全流量分析系統，持續跟蹤監控惡意IOC 相關攻擊數據，對入侵行為進行全流程解析。4.培養員工的安全意識，與員工一起開展安全意識培訓、檢查和討論：1)設置高強度的密碼，而且要不定期進行密碼的更新，避免使用統一的密碼，統一的密碼會導致企業多臺電腦被感染的風險，此前我就遇到過一個企業內網的密碼都使用同一個的情況，導致企業內部多臺電腦被勒索加密。2)企業內部應用程序的管控與設置，所有的軟件都由 IT 部門統一從正規的網站進行下載，進行安全檢測之后，然后再分發給企業內部員工，禁止員工自己從非正規的網站下載安裝軟件。3)企業內部使用的 office 等軟件

83、，要進行安全設置，禁止宏運行，避免一些惡意軟件通過宏病毒的方式感染主機。4)從來歷不明的網站下載的一些文檔，要經過安全檢測才能打開使用，切不可直接雙擊運行。5)謹慎打開來歷不明的郵件，防止被郵件釣魚攻擊和垃圾郵件攻擊，不要隨便點擊郵件中的不明附件或快捷方式，網站鏈接等，防止網頁掛馬，利用漏洞攻擊等。6)可以不定期進行安全攻防演練，模擬攻擊等，讓員工了解黑客有哪些攻擊第 55 頁 共 153 頁手法。7)可以給員工進行勒索病毒感染實例講解，用真實的勒索病毒樣本，進行模擬感染攻擊，讓員工了解勒索病毒的危害。5.養成良好的備份習慣，對重要的數據和文檔進行定期非本地備份，可使用移動存儲設置保存關鍵數據

84、，同時要定期測試保存的備份數據是否完整可用。2.3.6.2應急響應應急響應1.隔離被感染的服務器主機。拔掉中毒主機網線，斷開主機與網絡的連接，關閉主機的無線網絡 WIFI、藍牙連接等，并拔掉主機上的所有外部存儲設備。2.確定被感染的范圍。查看主機中的所有文件夾、網絡共享文件目錄、外置硬盤、USB 驅動器，以及主機上云存儲中的文件等，是否已經全部加密了。3.確定是被哪個勒索病毒家族感染的，在主機上進行溯源分析，查看日志信息等。主機被勒索病毒加密之后，會在主機上留上一些勒索提示信息，我們可以先去加密后的磁盤目錄找到勒索提示信息，有些勒索提示信息上就有這款勒索病毒的標識，顯示是哪一種勒索病毒。如果日

85、志被刪除了，可以去主機上找相關的病毒樣本或可疑文件，通過這些可疑的文件來猜測可能是通過哪種方式進來的，有些是能過銀行類木馬下載傳播的，有些是通過遠控程序下載傳播的，有些是通過網頁掛馬方式傳播的，還可以去主機的瀏覽器歷史記錄中去找相關的信息等等。4.找到病毒樣本，提取主機日志，進行溯源分析之后，關閉相應的端口、網絡共享、打上相應的漏洞補丁，修改主機密碼，安裝高強度防火墻，防病毒軟件等措第 56 頁 共 153 頁施，防止被二次感染勒索。5.進行數據和業務的恢復，如果主機上的數據存在備份，則可以還原備份數據，恢復業務，如果主機上的數據沒有備份，可以在確定是哪種勒索病毒家族之后，查找相應的解密工具。

86、或者嘗試通過一些磁盤數據恢復手段，恢復被刪除的文件。第 57 頁 共 153 頁2.4 數字貨幣挖礦監測分析專題2.4.1概述2021 年 5 月 21 日，國務院金融穩定發展委員會召開第五十一次會議，研究部署下一階段金融領域重點工作。官方文件稱，將打擊比特幣挖礦和交易行為，堅決防范個體風險向社會領域傳遞。2021 年 11 月 24 日，國家發改委、工信部、公安部等部門發布通知，加強虛擬貨幣“挖礦”活動上下游全產業鏈監管，嚴禁以數據中心名義開展虛擬貨幣“挖礦”活動。針對礦池、礦場、礦機等治理對象，恒安嘉新技術團隊提取了多種數字貨幣的挖礦協議通訊特征，對網絡流量中的挖礦行為進行持續監測。本專題

87、主要針對 2022 年礦場的網絡活動態勢進行深入分析，為虛擬貨幣“挖礦”活動精準監管和打擊提供相應的數據支撐。2.4.2礦場活動態勢2.4.2.1礦場識別原理礦場識別原理恒安嘉新技術團隊通過分析礦機挖礦活動的網絡通信過程，發現礦機首先會通過 DNS 服務器解析礦池域名；其次礦機會通過 Stratum 協議登錄礦池，訂閱挖礦任務，提交工作量證明，同時礦池也通過 Stratum 協議分配挖礦任務，調節挖礦難度，該過程可以通過專有挖礦協議規則進行匹配。規則匹配過程如下圖所示：第 58 頁 共 153 頁通過精準識別網絡流量中的挖礦協議動作，可以有效分析出礦機登錄礦池時使用的賬戶名。而礦場是多個礦機集

88、中托管挖礦的場所，通常一個礦場的出口 IP的挖礦流量中會包含大量有規律的賬戶名。如下表所示：序號出口 IP賬戶名1110.184.xx.15zz1616.10 x35x38x1582110.184.xx.15zz1616.10 x35x38x1453110.184.xx.15zz1616.10 x35x38x1584110.184.xx.15zz1616.10 x35x38x159180110.184.xx.15zz1616.10 x35x38x182從表中可以看到 110.184.xx.15 這個 IP 地址的挖礦流量中包含了 180 個不同的礦機用戶，且賬戶名均為 zz1616 作為前綴，

89、以內網 IP 地址 10 x35x38x*作為后綴。因此可以判斷該礦場至少有 180 臺礦機在進行集中挖礦活動且礦場的出口IP 為 110.184.xx.15。本報告中將同一 IP 的挖礦流量中包含 10 個以上有規律的賬戶名的地址作為礦場的出口 IP 地址。第 59 頁 共 153 頁2.4.2.2當前礦場概況當前礦場概況通過對 2022 年的挖礦監測數據進行分析，發現全國存在挖礦行為的礦場 IP1086 個，包含礦機 49768 臺。其中挖礦幣種主要為 BTC 和 ETH；連接的礦池主要為螞蟻礦池(*)和 Poolin 礦池(*)。2.4.2.3礦場挖礦幣種分布礦場挖礦幣種分布通過對 20

90、22 年的挖礦監測數據進行分析，發現礦場 IP 主要挖礦幣種為 BTC和 ETH，占比分別為 42.8%和 26.1%。2.4.2.4礦場連接礦池分布礦場連接礦池分布通過對 2022 年的挖礦監測數據進行分析，發現礦場 IP 挖礦礦池主要為：螞蟻礦池(*)和 Poolin 礦池(*)。第 60 頁 共 153 頁2.4.2.5礦場規模變化情況礦場規模變化情況2022 年，活躍礦場規模 TOP5 如下表所示：礦場 IP礦機數223.11.15.XXX481101.249.114.XXX468223.11.42.XXX460223.11.46.XXX456101.249.124.XXX456通過對

91、 2022 年的挖礦監測數據進行分析，發現礦場 IP 數量和礦機數量 1 月份至 7 月份整體呈下降趨勢，7 月份至 12 月份數量緩慢上升后回落。第 61 頁 共 153 頁對比相鄰月份之間減少的礦場數量和礦機數量以及增加的礦場數量和礦機數量。從礦場 IP 數量趨勢中可以發現，每月都有礦場下線，不再進行網絡活動，同時也有礦場加入到挖礦活動中。第 62 頁 共 153 頁2.4.3礦機活動態勢2.4.3.1當前礦機概況當前礦機概況通過對 2022 年的挖礦監測數據分析發現，除了上述礦場 IP 以外，還有 20806個 IP 地址存在個人挖礦行為，包含礦機 36479 臺，主要挖礦幣種為 ETH

92、 和 XMR。2.4.3.2礦機挖礦幣種分布礦機挖礦幣種分布通過對 2022 年的挖礦監測數據進行分析，發現個人挖礦 IP 主要挖礦幣種為ETH 和 XMR，占比分別為：39.4%和 28.1%。第 63 頁 共 153 頁2.4.3.3礦機連接礦池分布礦機連接礦池分布通過對 2022 年的挖礦監測數據進行分析，發現個人挖礦 IP 挖礦礦池主要為：F2Pool()和蜜蜂礦池(eth-pool.beepool.org)。2.4.3.4礦機數量變化情況礦機數量變化情況從數量變化趨勢來看，6 月份增長幅度較大，7 月份至 8 月份下降明顯，9第 64 頁 共 153 頁月份至 12 月份呈緩慢上升趨

93、勢。2.4.4木馬挖礦態勢通過對 2022 年的挖礦監測數據進行分析，發現全國被植入木馬進行挖礦行為的 IP 地址 239868 個。木馬挖礦幣種主要為門羅幣。從數量變化趨勢來看，2022 年 1 月份至 8 月份，木馬挖礦 IP 活動數量呈下降趨勢，9 月份至 12 月份有所回升。第 65 頁 共 153 頁2.5 互聯網安全漏洞分析2022 年，恒安嘉新收錄的新增安全漏洞數量 23900 個。其中，包括高危漏洞 8379 個，可被遠程利用的數量 19720 個，2022 年活躍漏洞數量與 2021 年（26566 個）數量相比減少 10.0%。2.5.1漏洞類型分析按照漏洞危害級別劃分，2

94、022 年收錄高危漏洞 8379 個（占 35.1%）、中危漏洞 12862 個（占 53.8%）、低危漏洞 2659 個（占 11.1%）。漏洞按等級分布按照漏洞影響對象類型劃分，WEB 應用類 10470 個，應用程序類 6856 個，網絡設備（交換機、路由器等網絡端設備）類 3623 個，操作系統類 1150 個，智能設備（物聯網終端設備）類 1064 個，數據庫類 374 個，安全產品類 363 個。第 66 頁 共 153 頁漏洞按影響對象類型分布按照漏洞所屬行業劃分，電信行業漏洞 2580 個，移動互聯網行業漏洞 1257個，工控行業漏洞 418 個。其中，“ZTE MF286R

95、SQL 注入漏洞”、“Apple iOSand iPadOS 任意代碼執行漏洞”、“ABB MicroSCADAPro SYS600 代碼執行漏洞”、“Siemens Industrial 產品拒絕服務漏洞”等漏洞的綜合評級為“高?！?。漏洞按所屬行業統計按照漏洞所屬廠商劃分，涉及漏洞廠商包括 WordPress、Google、Tenda、Adobe、Microsoft、IBM、TOTOLINK、D-Link、Huawei 和 Apache 等。其中，第 67 頁 共 153 頁收錄 WordPress 漏洞位列第一，共 1035 個；收錄 Google 漏洞位列第二，共 663個；收錄 Ten

96、da 漏洞位列第三，共 556 個。具體如下所示。漏洞所屬廠商排名 TOP 102.5.2重點高危漏洞收錄情況2022 年，收錄的重點高危漏洞（部分）如下：2022 年重點高危漏洞列表漏洞名稱漏洞描述影響對象類型 漏洞參考鏈接Aruba ClearPass Policy Manager 遠程命令注入漏洞（CNVD-2022-55527）Aruba ClearPass Policy Manager 是美國 Aruba 公司的一個應用系統提供無線網絡安全接入管理系統。Aruba ClearPass Policy Manager 6.10.4 及之前版本、6.9.9 及之前版本和 6.8.9-HF2

97、 及之前版本的 web 管理界面存在遠程命令注入漏洞，經過身份驗證的遠程攻擊者利用該漏洞在底層主機上運行任意命令。應用程序https:/nvd.nist.gov/vuln/detail/CVE-2022-23666Aruba ClearPass Policy Manager 遠程命令注入漏洞（CNVD-Aruba ClearPass Policy Manager 是美國 Aruba 公司的一個應用系統提供無線網絡安全接入管理系統。Aruba ClearPass Policy Manager 6.10.4 及之前版本、6.9.9 及之前版本和 6.8.9-HF2 及之前版本的 web 管理界應用

98、程序https:/nvd.nist.gov/vuln/detail/CVE-2022-23663第 68 頁 共 153 頁2.5.3 IOT 漏洞分析2022 年，收錄涉及 IOT 產品漏洞數量共計 5027 個，其中高危漏洞 2031 個（占 40.4%），中危漏洞 2632 個（占 52.4%），低危漏洞 364 個（占 7.2%），2022-55532）面存在遠程命令注入漏洞。攻擊者可利用該漏洞在底層主機上運行任意命令。Online Ordering System SQL注入漏洞Online Ordering System 是一個多商店訂購系統，可用于任何小型企業。Online Ord

99、ering System 2.3.2版本存在SQL注入漏洞，該漏洞源于/ordering/admin/user/index.php?view=editid=頁面缺少對外部輸入 SQL 語句的驗證，攻擊者可利用該漏洞執行非法 SQL 命令竊取數據庫敏感數據。WEB 應用https:/ Member Hero plugin 代碼注入漏洞WordPress 和 WordPress plugin 都是 WordPress 基金會的產品。WordPress 是一套使用 PHP 語言開發的博客平臺。該平臺支持在 PHP 和 MySQL 的服務器上架設個人博客網站。WordPress plugin 是一個應

100、用插件。WordPress Member Hero plugin 1.0.9 版本及之前版本存在代碼注入漏洞，該漏洞源于不驗證 AJAX 操作中的請求參數。攻擊者可利用該漏洞調用不帶參數的任意 PHP函數。WEB 應用https:/ ClearPass Policy Manager 遠程身份驗證繞過漏洞Aruba ClearPass Policy Manager 是美國 Aruba 公司的一個應用系統提供無線網絡安全接入管理系統。Aruba ClearPass Policy Manager 6.10.4 及之前版本、6.9.9 及之前版本和 6.8.9-HF2 及之前版本存在遠程身份驗證繞過漏

101、洞。攻擊者可利用該漏洞在底層主機上運行任意命令。應用程序https:/nvd.nist.gov/vuln/detail/CVE-2022-23660Aruba ClearPass Policy Manager 遠程命令注入漏洞（CNVD-2022-55530）Aruba ClearPass Policy Manager 是美國 Aruba 公司的一個應用系統提供無線網絡安全接入管理系統。Aruba ClearPass Policy Manager 6.10.4 及之前版本、6.9.9 及之前版本和 6.8.9-HF2 及之前版本存在遠程命令注入漏洞。攻擊者可利用該漏洞在底層主機上運行任意命令。

102、應用程序https:/nvd.nist.gov/vuln/detail/CVE-2022-23662Aruba ClearPass Policy Manager 遠程命令注入漏洞（CNVD-2022-55531）Aruba ClearPass Policy Manager 是美國 Aruba 公司的一個應用系統提供無線網絡安全接入管理系統。Aruba ClearPass Policy Manager 6.10.4 及之前版本、6.9.9 及之前版本和 6.8.9-HF2 及之前版本的 web 管理界面存在遠程命令注入漏洞。攻擊者可利用該漏洞在底層主機上運行任意命令。應用程序https:/nvd

103、.nist.gov/vuln/detail/CVE-2022-23664第 69 頁 共 153 頁具體如下所示。IOT 漏洞按等級分布涉及 IOT 產品高危漏洞列表（部分）漏洞名稱危害等級影響對象類型漏洞參考鏈接Zyxel NBG6604 訪問控制錯誤漏洞高網絡設備（交換機、路由器等網絡端設備）https:/nvd.nist.gov/vuln/detail/CVE-2021-35034D-Link DIR-X1860 拒絕服務漏洞（CNVD-2022-11517）高網絡設備（交換機、路由器等網絡端設備）https:/nvd.nist.gov/vuln/detail/CVE-2021-4144

104、1Netgear Nighthawk R6700 授權問題漏洞高網絡設備（交換機、路由器等網絡端設備）https:/nvd.nist.gov/vuln/detail/CVE-2021-23147Trendnet AC2600 TEW-827DRU 身份驗證繞過漏洞高網絡設備（交換機、路由器等網絡端設備）https:/ TLR-2005KSH訪問控制錯誤漏洞高網絡設備（交換機、路由器等網絡端設備）https:/ NETGEAR D7000授權問題漏洞（CNVD-2022-06684）高網絡設備（交換機、路由器等網絡端設備）https:/nvd.nist.gov/vuln/detail/CVE-2

105、021-45495Huawei Smartphone 緩沖區溢出漏洞（CNVD-2022-08047）高智能設備（物聯網終端設備）https:/nvd.nist.gov/vuln/detail/CVE-2021-39993D-Link DIR-2640 信任管理問題漏洞高網絡設備（交換機、路由器等網絡端設備）https:/nvd.nist.gov/vuln/detail/CVE-2021-20132Zyxel GS1900操作系統命令高網絡設備（交換機、路由 https:/nvd.nist.gov/vuln/detail/第 70 頁 共 153 頁注入漏洞器等網絡端設備）CVE-2021-3

106、5032Tenda G1 and G3 緩沖區溢出漏洞（CNVD-2022-10750）高網絡設備（交換機、路由器等網絡端設備）https:/ 71 頁 共 153 頁2.6 工業互聯網態勢分析2.6.1概述2022 年，恒安嘉新工業互聯網平臺監測到全國工業企業 406 萬家，規模以上工業企業 37 萬家。累計監測到工業資產共 1683 萬個，其中工業資產平臺 2.4 萬個，工業設備資產 1613 萬個，工業 APP 2.5 萬個，其他工業網絡基礎設施 65 萬個。同時還監測到工業資產漏洞 15 萬個，工業網絡安全告警 36.7 億起，成功攻擊事件 684 萬余起。中國工業互聯網二級節點共 1

107、66 個，其中上海頂級節點登記二級節點最多，有 59 個。中國工業互聯網三級節點（已在二級節點登記）的企業共 9645 家，共登記在 153 個二級節點下，其中 88.118（江蘇中天互聯科技有限公司）登記三級節點最多，共 3215 家。2.6.2標識解析節點分析2.6.2.1全國二級節點數據分析全國二級節點數據分析2.6.2.1.1二級節點登記分布中國工業互聯網二級節點共 166 個，分別登記在上海、北京、廣州、重慶、武漢 5 個頂級節點，其中上海頂級節點登記二級節點最多，有 59 個。表 1 全國二級節點登記分布序號頂級節點二級節點個數1上海592北京423廣州33第 72 頁 共 153

108、 頁4重慶175武漢152.6.2.1.2二級節點企業地區分布中國工業互聯網二級節點共 166 個，企業分布在北京、安徽、廣東、江蘇等25 個省，其中江蘇省最多，共 41 個企業。表 2 全國二級節點企業地市 TOP10 分布序號地市企業個數1江蘇省412廣東省293北京市214重慶市115上海市106湖北省87山東省78浙江省69遼寧省510河南省32.6.2.1.3二級節點企業行業分布中國工業互聯網二級節點共 166 個，企業共涉及信息傳輸、軟件和信息技術服務業、制造業等 14 個行業大類，其中信息傳輸、軟件和信息技術服務業最多，共 84 家。第 73 頁 共 153 頁圖 1 二級節點企

109、業行業大類分布共涉及軟件和信息技術服務業、互聯網和相關服務、電信、廣播電視和衛星傳輸服務等 38 個行業小類，其中軟件和信息技術服務業最多，共 49 家。圖 2 二級節點企業行業小類分布第 74 頁 共 153 頁2.6.2.2全國三級節點數據分析全國三級節點數據分析2.6.2.2.1三級節點登記分布中國工業互聯網三級節點（已在二級節點登記）的企業共 9645 家，共登記在 153 個二級節點下，其中 88.118（江蘇中天互聯科技有限公司）登記三級節點最多，共 3215 家。表 3 三級節點登記分布 TOP10序號節點名稱節點標識三級節點登記個數1江蘇中天互聯科技有限公司88.1183215

110、2廣東鑫興科技有限公司88.1689763濟南大陸機電股份有限公司88.1636704重慶建工建材物流有限公司88.1934685大同煤礦集團有限責任公司88.1354516欣旺達電子股份有限公司88.2384467吳忠市聚創大數據運營有限責任公司88.1622358紫光云技術有限公司88.1552059中檢集團溯源技術有限公司88.13318910福州市電子信息集團有限公司88.1211742.6.2.2.2三級節點企業地區分布中國工業互聯網三級節點（已在二級節點登記）的企業共 9645 家，共分布在安徽省、北京市、福建省等 32 個省及自治區，其中江蘇省最多，有 2853 家。表 4 三級

111、節點企業地區分布 TOP10序號地區企業個數1江蘇省28532廣東省17573重慶市5194山東省5135浙江省5036上海市4747山西省4418北京市266第 75 頁 共 153 頁9寧夏回族自治區24010福建省2352.6.2.2.3三級節點企業行業分布中國工業互聯網三級節點（已在二級節點登記）的企業共 9645 家，企業共涉及信息傳輸、軟件和信息技術服務業、批發和零售業等 19 個行業大類，其中制造業最多，有 4861 家。圖 3 三級節點企業行業大類分布中國工業互聯網三級節點（已在二級節點登記）的企業共 9645 家，企業共涉及保險業、餐飲業等 91 個行業小類，其中批發業最多，

112、共 913 家。第 76 頁 共 153 頁圖 4 三級節點企業行業小類分布 TOP102.6.3工控協議識別數據類型分布對 2022 年監測到的工控協議識別數據分析發現，數據量最多的是“moxa-nport 協議”，占總工控協議識別數據量的 7.4%，如下表所示。工控協議識別數據類型 TOP5 統計協議識別數據類型數據占比moxa-nport 協議7.4%hollysys-macs 協議3.5%HART-IP 協議3.1%lantronix 協議0.5%EtherNet/IP 協議0.5%通過下圖可以看出工控協議識別數據類型 TOP5 情況：第 77 頁 共 153 頁工控協議識別數據類型排

113、行 TOP52.6.4工業平臺設備測繪案例恒安嘉新安全運營團隊針對相關監測數據深入分析，梳理測繪出大量的平臺數采網關工控設備完整通聯關系。典型案例如下：2.6.4.1某生產智能監控平臺某生產智能監控平臺利用流量和通聯數據分析，梳理測繪出某生產智能監控平臺進行生產數據通訊的數采網關 4 臺，對應壓鑄機、冷媒機和沖片機等工業設備 186 臺。示意圖第 78 頁 共 153 頁通聯測繪圖2.6.4.2某工業互聯網設備故障預警與診斷平臺某工業互聯網設備故障預警與診斷平臺利用流量和通聯數據分析，梳理測繪出某工業互聯網設備故障預警與診斷平臺進行生產數據通訊的數采網關 8 個，對應電機、水泵汽機等設備達 2

114、2812 個。示意圖第 79 頁 共 153 頁通聯測繪圖2.6.5工業管理平臺漏洞案例分析2.6.5.1某智慧環境云平臺弱口令漏洞某智慧環境云平臺弱口令漏洞取得相關單位授權后，恒安嘉新安全運營團隊對平臺告警數據深入分析后發現通過弱口令漏洞可登陸某環境云平臺，該平臺具備多個工業控制項目的緊急停止啟動的功能、以及項目管理等眾多功能，涉及大量敏感數據和私有協議。同時利用該平臺登錄權限，可遠程進行測流控制存在進一步進行滲透可能，獲取服務器權限，危及內網安全的風險。給企業安全生產帶來風險和隱患，甚至造成重大經濟損失。第 80 頁 共 153 頁漏洞截圖2.6.5.2某工程掘進風險預警遠程監控系統某工程

115、掘進風險預警遠程監控系統 SQL 注入漏洞注入漏洞取得相關單位授權后，恒安嘉新安全運營團隊對平臺告警數據深入分析后發現平臺登錄界面存在用戶名參數存在 SQL 注入，從數據庫情況來看，多個平臺共用一個生產庫，涉及大量生產數據。通過密碼解密登錄平臺。平臺具備實時預警統計、預警流程處理、風險預警配置、掘進機狀態監測、進度統計、地質信息評估、塌方動態預警、周圍巖質查詢等功能、涉及大量生產數據。若預警數據被修改，可能導致大型生產事故的發生。同時利用該平臺登錄權限，可遠程進行測流控制存在進一步進行滲透可能，獲取服務器權限，危及內網安全的風險。給企業安全生產帶來風險和隱患，甚至造成重大經濟損失。通過用戶名密

116、碼可登錄平臺，該平臺具備人員管理、SIM 卡管理、終端調試等眾多功能，涉及大量敏感數據和私有協議。同時利用該平臺登錄權限，可遠程進行測流控制存在進一步進行滲透可能，獲取服務器權限，危及內網安全的風險。給企業安全生產帶來風險和隱患，甚至造成重大經濟損失。第 81 頁 共 153 頁漏洞截圖2.6.5.3某水輪泵水電站網站弱口令漏洞某水輪泵水電站網站弱口令漏洞取得相關單位授權后，恒安嘉新安全運營團隊對平臺告警數據深入分析后發現可以直接以管理員身份進入后臺系統，可監測到水輪泵站全部信息，包括泵站信息、水情測報等多個站點信息及系統管理操作。如果被不法分子利用此弱口令，就能實時監測各處的水泵閘門開閉狀態

117、及控制權限，實時對應當前雨量、水位情況。在關鍵時間節點下進行惡意操作，將會造成嚴重影響，波及人民的生命財產安全。第 82 頁 共 153 頁漏洞截圖第 83 頁 共 153 頁2.7 物聯網&車聯網態勢分析2.7.1物聯網協議識別數據分析2.7.1.1物聯網協議識別數據類型分布物聯網協議識別數據類型分布對 2022 年監測到的物聯網協議識別數據分析發現，數據量最多的類型是“MQTT 協議”，占總物聯網協議識別數據量的 71.0%，如下表所示。物聯網協議識別數據類型 TOP5 統計數據名稱通訊次數占比MQTT 協議71.0%DDS-RTP 協議9.5%RTPS 協議9.4%joylink 協議3

118、.2%EDP 協議0.9%通過下圖可以看出物聯網協議識別數據類型 TOP5 情況：物聯網協議識別數據類型排行 TOP5第 84 頁 共 153 頁2.7.1.2物聯網物聯網協議識別數據協議識別數據跨境通訊跨境通訊情況情況物聯網協議數據跨境通訊的境外地區排行 TOP10 如下：物聯網協議數據跨境通訊的境外地區排行 TOP10物聯網協議數據與境外地區通訊的數據類型 TOP5 如下：物聯網協議數據與境外地區通訊的數據類型 TOP5由上圖可知，物聯網協議數據跨境通訊數據量最多的境外地區是托斯卡納大區，其次為紐約州和盧瓦爾河谷大區；對物聯網協議數據與境外地區通訊的數據第 85 頁 共 153 頁類型分析

119、發現，數據量最多的類型是“MQTT 協議”，占境外地區通訊的物聯網協議識別數據量的 45.3%2.7.1.3物聯網物聯網漏洞利用漏洞利用告警分析告警分析2022 年，恒安嘉新對監測到的物聯網漏洞利用告警分析發現，告警數量最多的類型是“MVPower DVR-shell 命令執行漏洞”，占總物聯網漏洞利用告警數的 64.1%，詳情如下表所示。物聯網漏洞利用告警類型 TOP10 統計告警名稱告警數占比MVPower DVR-shell 命令執行漏洞64.1%Netgear DGN 設備遠程認證繞過漏洞13.8%Netlink GPON 路由器命令執行漏洞11.5%Vacron VIEWLOG-遠程

120、命令執行漏洞3.5%華為路由器 HG532 安全漏洞2.9%D-Link-通過 UPnP 接口進行 OS 命令注入漏洞0.5%D-Link DSL-2750B-系統命令注入漏洞0.5%Netgear 路由器-cgi_bin-遠程命令注入漏洞0.5%Vacron_NVR-遠程命令執行漏洞0.5%CCTV-DVR-遠程代碼執行漏洞0.4%第 86 頁 共 153 頁2.7.1.3.1物聯網漏洞利用告警境外攻擊源分布情況物聯網漏洞利用告警境外地區 TOP10 排行境外攻擊源物聯網漏洞利用告警類型 TOP5 如下：境外攻擊源物聯網漏洞利用告警類型 TOP5由上圖可知，物聯網漏洞利用告警量最多的境外地區

121、是加利福尼亞州，其次為弗吉尼亞州和西開普??；對境外攻擊源物聯網漏洞利用告警類型分析發現，告警量最多的類型是“MVPower DVR-shell 命令執行漏洞”，占境外攻擊源物聯第 87 頁 共 153 頁網漏洞利用告警量的 66.2%。2.7.1.4物聯網僵尸網絡告警分析物聯網僵尸網絡告警分析2.7.1.4.1物聯網僵尸網絡告警總體分析2022 年，恒安嘉新共監測到的物聯網僵尸境外控制端 4474 個、國內控制端7556 個、國內受控端 38421 個。物聯網僵尸網絡家族類型告警統計家族類型境外控制端數國內控制端數國內受控端數僵尸網絡 Gafgyt 家族41020944938僵尸網絡 Mira

122、i 家族4062543333347僵尸網絡 Tsunami 家族229136物聯網僵尸網絡各家族告警類型如下表所示：物聯網僵尸網絡告警類型家族類型告警名稱僵尸網絡 Gafgyt 家族僵尸網絡 HEUR:Backdoor.Linux.Gafgyt.bj-上線僵尸網絡 HEUR:Backdoor.Linux.Gafgyt.av-上線僵尸網絡 DDoS.IoT.Gafgyt 主控發送指令到肉雞僵尸網絡 DDoS.IoT.Gafgyt 傳播命令僵尸網絡 DDoS.IoT.Gafgyt 肉雞發送上線包且主控回包-上線驗證僵尸網絡 Backdoor.Linux.Gafgyt.y 上線僵尸網絡 Backdo

123、or.Linux.Gafgyt.bj-上線僵尸網絡 Backdoor.Linux.Gafgyt.az 上線僵尸網絡 Backdoor.Linux.Gafgyt.am 腳本命令傳輸僵尸網絡 Backdoor.Linux.Gafgyt.am 上線僵尸網絡 Backdoor.Linux.Gafgyt.aj 上線僵尸網絡 Backdoor.Linux.Gafgyt.af 上線Trojan.Linux.Gafgyt.m!e 上線IOT 僵尸網絡 Gafgyt 通信信息IOT 僵尸網絡 Gafgyt 上線僵尸網絡 Mirai 家族僵尸網絡 DDoS.IoT.Mirai 通信-bot 端爆破特征僵尸網絡 B

124、ackdoor.Linux.Mirai.c 登錄特征第 88 頁 共 153 頁僵尸網絡 DDoS.IoT.Mirai 通信特征-心跳包僵尸網絡 DDoS.IoT.Mirai 通信特征-用戶上線僵尸網絡 mirai.arm 下載文件特征僵尸網絡 Backdoor.Linux.Mirai.ad 上線事件僵尸網絡 mirai 下載文件特征僵尸網絡 Tsunami 家族僵尸網絡 Tsunami-全版本-上線Gafgyt 是一款基于 IRC 協議的物聯網僵尸網絡程序，主要用于發起 DDoS攻擊。它可以利用內置的用戶名、密碼字典進行 telnet 爆破和對 IOT 設備 RCE（遠程命令執行）漏洞利用進

125、行自我傳播。于2015年泄露源碼并被上傳至github，此后衍生出多個變種，次年對互聯網上的 IOT 設備的總感染數達到 100W。Gafgyt家族曾發起過峰值 400Gbps 的 DDoS 攻擊。Mirai 是一種掃描互聯網上基于 ARC 處理器 IOT 設備的僵尸網絡程序，ARC處理器設備上運行的是精簡版 Linux 操作系統，假設用戶沒有更改 ARC 處理器設備上的默認用戶名和密碼組合，那么 Mirai 僵尸網絡程序能夠輕易登錄并感染該類設備。于 2016 年 9 月，該 Mirai 僵尸網絡程序的作者在一個著名安全專家的網站上發起了 DDoS 攻擊，一周后，該作者疑似為隱藏此次攻擊的源

126、頭，在互聯網中公布了 Mirai 僵尸網絡程序源代碼，此后 Mirai 僵尸網絡程序代碼被互聯網黑客們廣泛復制傳播與利用。同年 10 月，Mirai 僵尸網絡程序攻擊的大量出現導致美國大范圍網絡癱瘓。Tsunami 僵尸網絡基于 Internet 中繼聊天(IRC)的命令控制服務器操作，在受感染設備的配置中修改 DNS 服務器設置，使來自物聯網設備的流量被重定向到攻擊者控制的惡意服務器。Tsunami 僵尸網絡主要使用下載器下載、利用漏洞、遠程登錄掃描等方式進行傳播。此外，該僵尸網絡的主要功能為遠程控制、DDoS攻擊和其他惡意行為。第 89 頁 共 153 頁2.7.1.4.2境外物聯網僵尸網

127、絡主控端分布情況境外地區物聯網僵尸網絡主控端分布 TOP10 排行序號地區主控端數1首爾5782京畿道2883巴西2014日本1475韓國1266奧克西塔尼大區1027哥倫比亞988釜山廣域市879東京都7810慶尚南道76物聯網僵尸網絡主控端數境外地區 TOP10 排行物聯網僵尸網絡主控端數境外地區 TOP10 排行2.7.2車聯網協議識別數據分析2.7.2.1車聯網協議識別數據類型車聯網協議識別數據類型分析分析對2022年監測到的車聯網協議識別數據分析發現，數據量最多的類型是“特第 90 頁 共 153 頁斯拉車輛識別”，占總車聯網協議識別數據量的 62.6%，如下表所示。車聯網協議識別數

128、據類型 TOP5 統計數據名稱通訊次數占比特斯拉車輛識別62.6%GB_T_32960 協議_平臺登入7.3%JTT905 協議_位置信息匯報6.0%JTT905 協議_ISU 報警6.0%T808 協議信息上報5.0%通過下圖可以看出車聯網協議識別數據類型 TOP5 情況：車聯網協議識別數據類型排行 TOP5車聯網協議識別數據類型“特斯拉車輛識別”占據榜首位置，TOP5 中占比62.6%，是 2022 年數據量最多的車聯網協議識別類型。2.7.2.2車聯網協議識別數據車聯網協議識別數據跨境通訊情況跨境通訊情況車聯網協議數據跨境通訊的境外地區排行 TOP10 如下：第 91 頁 共 153 頁

129、車聯網協議數據跨境通訊的境外地區排行 TOP10車聯網協議數據與境外地區通訊的數據類型 TOP5 如下：車聯網協議數據與境外地區通訊的數據類型 TOP5由上圖可知，車聯網協議數據跨境通訊數據量最多的境外地區是加利福尼亞州，其次為俄勒岡州和黑森州；對車聯網協議數據與境外地區通訊的數據類型分析發現，數據量最多的類型是“特斯拉車輛識別”，占境外地區通訊的車聯網協議識別數據量的 80.9%。第 92 頁 共 153 頁2.7.2.3特斯拉跨境通訊特斯拉跨境通訊數據分析數據分析恒安嘉新通過特斯拉車聯網協議特征識別監測到特斯拉新能源汽車和特斯拉車聯網平臺直接的通訊行為 62 萬次，共涉及車聯網平臺域名 2

130、7 個。其中境外通訊 3036 次，涉及車聯網平臺域名 14 個。具體情況如下：表 1：特斯拉新能源汽車和特斯拉車聯網平臺通訊情況27 個特斯拉車聯網平臺域名中，采用 HTTP 協議的請求地址 2 個，經分析發現具體的通訊動作是特斯拉車輛與車聯網平臺之間通聯狀態確認請求。其他 25個域名地址均采用了 HTTPS 協議加密通訊，因此無法獲得其傳輸的具體內容。但根據車輛通信識別碼、域名特征、通訊目的地和通訊次數等深入分析可以得出如下結論：一、跨境通訊包含敏感業務第 93 頁 共 153 頁特斯拉車輛境外通訊次數雖然不多，但有 11 個域名的全部通訊都指向境外。從域名特征分析，對應業務包含位置信息（

131、）、RUM 信息收集（）、車輛文件（vehicle-）等。二、特定數據請求指向境外節點1）akamai-apigateway-gio-、owner- 3 個域名的大部分通訊指向了亞馬遜云的國內節點，但依然有少量通訊數據包指向了境外。對這3個域名的境內外通訊歸屬車輛進行分析發現同一輛車針對同一個域名的通訊記錄存在境內外 2 個不同的目的地指向，具體見下圖的淺橙色標記部分。推測特斯拉車聯網平臺同一個域名下的不同數據接口對應的通訊節點存在區別，大部分請求會指向國內節點，但存在少部分特定數據請求指向境外節點。表 2：同一輛車針對同一個域名的通訊記錄樣例三、國內節點數據存在通過亞馬遜云內網傳輸至境外的可

132、能特斯拉車聯網平臺采用亞馬遜云進行 CDN 加速，在國內的主要節點位于北京。但特斯拉車輛數據上報到亞馬遜的國內節點后，存在通過亞馬遜云的內部網第 94 頁 共 153 頁絡傳輸到境外其他節點的可能性。圖 1：特斯拉車聯網平臺域名 CND 加速情況2.7.2.4車聯網車聯網協議識別案例協議識別案例2.7.2.4.1車聯網管理平臺識別對物聯網卡通聯記錄中目的 IP，進行常用端口探測獲取頁面內容，通過語義分析嗅探結果及人工運營分析，統計出車聯網管理平臺，目前已完成對全國多個車聯網平臺 IP 發現。部分車聯網管理平臺詳情如下表：IP 地址端口平臺名稱所屬公司訪問量終端數58.248.166.xx80車

133、聯網平臺 2.0XX 科技有限公司281xxx187xx119.29.100.xx80車車助手XX 網絡科技有限公司1169xxx80 xx222.240.204.xx9090XX 道路運輸車輛衛星定位系統監控平臺XX 科技開發有限公司4790 xxx63xx218.75.139.xx9080XX 市出租車綜合監管平臺XX 交通科技有限公司33xxx41xx113.247.234.xx8999車載監控平臺其他971xxx38xx119.29.82.xx5003GPS 在線監控XX 科技有限公司2799xxx37xx第 95 頁 共 153 頁2.7.2.4.2車輛信息識別對 T808、GB_T

134、_32960 協議的通聯數據包深度解析和整合分析，可以獲取車輛基本信息。其中部分詳情如下表：終端卡號省域 ID市縣 ID制造商 id終端型號終端 ID車牌顏色車牌號6481123xxxx4310070107HB-DV061232740黃色湘AY55XX6481122xxxx1310170101ET-578D1229689黃色湘AY57XX6481122xxxx348270444FHT-GPS/PKE900D1229597黃色湘AY17XX6489317xxxx001234580080083172309黃色湘AY55XX2.7.2.4.3車輛違規行為識別通過對 T808 協議流量中的車輛運行狀態

135、進行分析，將持續行駛時長超 4 小時的車輛判定為可能存在疲勞駕駛，其中部分詳情如下表：終端手機號持續行駛時間（小時）212150500 xx6400345977xx6400345977xx6648678437xx5通過對車輛行駛速度進行分析，將行駛速度超過 100km/h 的客運車輛判定為可能存在超速行為，部分詳情如下表：終端手機號:緯度經度高度速度0159619900 xx北緯 32.196222東經 130.61975011 米120 km/h0648977255xx北緯 31.932094東經 110.5783864 米110 km/h0144350194xx北緯 32.014453東經

136、 122.49416113 米107 km/h0144350194xx北緯 32.518134東經 121.36289611 米132 km/h0400209566xx北緯 32.014453東經 123.14931022 米129 km/h第 96 頁 共 153 頁2.7.3車聯網平臺漏洞案例2.7.3.1某智能環保自卸車監控平臺弱口令漏洞某智能環保自卸車監控平臺弱口令漏洞取得相關單位授權后，恒安嘉新安全運營團隊對平臺告警數據深入分析后發現通過弱口令漏洞可登陸某智能環保自卸車監控平臺，該平臺具備全國各地環衛車的控制指令下發、緊急停止啟動的功能、以及在線政務、車輛調配等眾多功能，涉及大量敏感

137、數據和私有協議。同時利用該平臺登錄權限，存在進一步進行滲透可能，獲取服務器權限，危及內網安全的風險。給企業安全生產帶來風險和隱患，甚至造成重大經濟損失。2.7.3.2某車聯網平臺未授權訪問漏洞某車聯網平臺未授權訪問漏洞取得相關單位授權后，恒安嘉新安全運營團隊對平臺告警數據深入分析后發現某車聯網平臺可繞過登錄直接訪問管理后臺，可以查看相關車輛信息，對遠程車載終端下達危險指令造成不良危害。第 97 頁 共 153 頁第 98 頁 共 153 頁2.8 WEB 攻擊分析2022 年，全國共監測 WEB 攻擊告警近 14 億條，其中，WEB 攻擊告警次數最多的是“Apache Log4j2 遠程代碼執

138、行漏洞”，占 2022 年總告警量的 39.5%，如下表所示。web 攻擊告警類型 TOP5 統計告警名稱告警占比Apache Log4j2 遠程代碼執行漏洞39.5%跨站腳本攻擊(XSS)7.6%fastjson 遠程代碼執行2.4%MVPower DVR-shell 命令執行漏洞2.2%struts2(s2-029)遠程代碼執行漏洞2.1%通過下圖可以看出 web 攻擊告警類型排行情況：web 攻擊告警類型排行情況Apache Log4j 是一個基于 Java 的日志記錄組件。Apache Log4j2 是 Log4j 的升級版本，通過重寫 Log4j 引入了豐富的功能特性。該日志組件被廣

139、泛應用于業務系統開發，用以記錄程序輸入輸出日志信息。由于 Log4j2 組件在處理程序日志記錄時存在 JNDI 注入缺陷，未經授權的攻擊者利用該漏洞，可向目標服務器發送精心構造的惡意數據，觸發 Log4j2 組件解析缺陷，實現目標服務器的任意代碼執行，獲得目標服務器權限。第 99 頁 共 153 頁2.9 Spring 遠程命令執行漏洞專題2.9.1概述2022 年，互聯網上曝出 Spring 框架存在 RCE 0day 漏洞。已經證實由于SerializationUtils#deserialize 基于 Java 的序列化機制，可導致遠程代碼執行(RCE)，Spring core 是 Spr

140、ing 系列產品中用來負責發現、創建并處理 bean 之間的關系的一個工具包，是一個包含 Spring 框架基本的核心工具包，Spring 其他組件都要使用到這個包。未經身份驗證的攻擊者可以使用此漏洞進行遠程任意代碼執行。該漏洞廣泛存在于 Spring 框架以及衍生的框架中，JDK 9.0 及以上版本會受到影響。使用舊 JDK 版本的產品不受影響。受此漏洞影響的條件：JDK9=Spring Cloud FunctionApache Tomcat 作為 Servlet 容器以傳統的 WAR 格式打包（與 Spring Boot 的可執行 jar 相比）?；?spring-webmvc 或者 s

141、pring-webflux 的依賴Spring 框架的 5.3.0 至 5.3.17、5.2.0 至 5.2.19 版本，以及舊版本事實上，如果我們回顧一下 Spring 框架的發展歷程，會發現這不是 Spring框架第一次被曝出漏洞。2009 年 9 月 Spring 3.0 RC1 發布后，Spring 就引入了 SpEL(Spring ExpressionLanguage)。SpEL 是基于 spring 的一個表達式語言，類似于 struts 的 OGNL，能夠在運行時動態執行一些運算甚至一些指令，類似于 Java 的反射功能。第 100 頁 共 153 頁類比 Struts2 框架，

142、會發現絕大部分的安全漏洞都和 OGNL 脫不了干系。尤其是遠程命令執行漏洞，這導致 Struts2 越來越不受待見。因此，Spring 引入 SpEL 必然增加安全風險。事實也是如此，過去多個 SpringCVE 都與其相關：表 1 spring 框架歷史影響漏洞漏洞編號漏洞名稱CVE-2016-4977Spring Security OAuth2 遠程命令執行CVE-2017-4971Spring Web Flow 框架遠程代碼執行CVE-2017-8046Spring Data Rest 遠程命令執行命令CVE-2018-1270Spring Messaging 遠程命令執行突破CVE-2

143、018-1273Spring Data Commons 遠程命令執行漏洞2.9.2互聯網暴露面資產分析根據通過資產探測系統發現，顯示全球范圍內使用 SpringBoot 框架共有 1,141,725 個相關服務對外開放。中國使用數量最多，共有 531,594 個；美國第二，共有 306,873 個；德國第三，共有 41,449 個；新加坡第四，共有 31,445 個；韓國第五，共有 30,754 個。圖 1 使用 Spring 框架世界占比圖第 101 頁 共 153 頁中國大陸地區北京使用數量最多，共有 78,410 個；浙江第二，共有 65,499個；廣東第三，共有 55,699 個；上海

144、第四，共有 48,127 個；山東第五，共有15,430 個。圖 2 國內使用 spring 框架數據統計圖2.9.3漏洞原理分析恒安嘉新安全團隊目前發現網絡上已經曝出的漏洞利用 exp 主要是通過修改日志配置的方式將 shell 以日志的方式進行寫入，但這種利用方式存在嚴重缺陷，如果文件寫入成功后，每次訪問 http 請求就會繼續在文件追加寫入，這可能會造成大量的垃圾數據將磁盤寫滿影響服務器正常運行，以下為漏洞成因分析：Spring中變量覆蓋漏洞的利用方式是修改Class屬性中的classLoader相關信息，但正常情況下開發人員不會在POJO中添加Class的屬性，而在Spring框架中使

145、用了Intropector.getBeanInfo()來獲取POJO的屬性，Intropector.getBeanInfo()有多種實現方式，如下所示：第 102 頁 共 153 頁圖 3 Intropector.getBeanInfo()多種實現方式Spring最終調用的代碼如下所示：圖 4 Spring最終調用的代碼直接使用了Intropector.getBeanInfo(ClassbeanClass)，這個方法會導致在獲取對象信息的時候會包含一個Class屬性。如下圖所示：圖 5 獲取對象信息時包含的Class屬性但如果使用Intropector.getBeanInfo(Classbea

146、nClass,Class stopClass)的方式就不會包含class屬性，如下所示：圖 6 漏洞成因2.9.4漏洞利用態勢從 2022 年 4 月 1 日至 2022 年 12 月 31 日，恒安嘉新技術團隊監測到來自 93個國家的 147670 個 IP 地址利用該漏洞對 554916 個受害 IP 發起了 12452618 次攻擊。第 103 頁 共 153 頁2.9.4.1漏洞漏洞利用活動趨勢利用活動趨勢2.9.4.1.1境外地區攻擊源漏洞利用趨勢自 2022 年 4 月 1 日至 2022 年 12 月 31 日，境外地區攻擊源 SpringCore-RCE漏洞利用告警數隨漏洞熱度

147、呈起伏不定趨勢。建議各單位盡快進行自查，及時修復漏洞，避免資產遭受更嚴重的損失。圖 7 境外攻擊源漏洞利用趨勢圖2.9.4.1.2境內攻擊源漏洞利用趨勢自 2022 年 4 月 1 日至 2022 年 12 月 31 日，境內攻擊源 springcore-rce 漏洞利用告警數隨漏洞熱度呈起伏不定趨勢。建議各單位盡快進行自查，及時修復漏洞，避免資產遭受更嚴重的損失。第 104 頁 共 153 頁圖 8 境內攻擊源漏洞利用趨勢圖2.9.4.2攻擊源情況分析攻擊源情況分析2.9.4.2.1境外地區攻擊源分布恒安嘉新共監測到來自 89 個境外國家的 43695 個攻擊 IP 地址利用SpringCo

148、re 遠程代碼執行漏洞攻擊，境外攻擊 IP 歸屬地區 TOP5 如下表所示。境外攻擊 IP 歸屬地區 TOP5境外攻擊IP歸屬地區TOP5境外攻擊 IP 占比倫敦38.60%黑森州23.24%加利福尼亞州11.38%新澤西州6.70%喬治亞州4.83%境外攻擊 IP 歸屬地區 TOP5 統計如下圖所示。第 105 頁 共 153 頁圖 9 境外攻擊 IP 歸屬地區 TOP5由上述圖表可知，利用 SpringCore 遠程代碼執行漏洞發起攻擊的境外 IP 數量最多的歸屬地區是倫敦，占境外攻擊 IP 總量的 38.6%，其次為黑森州與加利福尼亞州，分布占 23.24%與 11.38%。2.9.4.

149、2.2境內地區攻擊源分布恒安嘉新共監測到來自境內 34 個地區的 97264 個攻擊 IP 地址利用SpringCore 遠程代碼執行漏洞發起攻擊，境內攻擊 IP 歸屬地區 TOP5 占比如下表所示。境內攻擊 IP 歸屬地區 TOP5境內攻擊 IP 歸屬地區 TOP5境內攻擊 IP 占比浙江39.63%江蘇23.30%香港20.10%重慶9.20%北京7.32%境內攻擊 IP 歸屬地區 TOP5 統計如下圖所示。第 106 頁 共 153 頁圖 10 境內攻擊 IP 歸屬地區 TOP5由上述圖表可知，利用 SpringCore 遠程代碼執行漏洞發起攻擊的境內 IP 數量最多的歸屬地區是浙江省，

150、占境內攻擊 IP 數量的 39.63%，其次為江蘇省與香港，分布占 23.30%與 20.10%。2.9.4.3被攻擊被攻擊 IP 情況分析情況分析2.9.4.3.1被攻擊 IP 省份分布恒安嘉新共監測到國內 35 個地區的 313645 個 IP 地址遭受 SpringCore 遠程代碼執行漏洞利用攻擊，被攻擊 IP 數量 TOP5 省份如下表所示。被攻擊 IP 數量 TOP5 省份被攻擊 IP 數量省份 TOP5被攻擊 IP 數量占比江蘇33.84%甘肅28.35%北京18.66%四川15.33%江西12.70%被攻擊 IP 數量 TOP5 省份統計圖如下。第 107 頁 共 153 頁圖

151、 11被攻擊 IP 數量 TOP5 省份由上述圖表可知，江蘇省遭受 SpringCore 遠程代碼執行漏洞利用攻擊 IP 數量最多，該地區被攻擊 IP 數量占總數量的 33.84%，其次甘肅省與北京市，分布占 28.35%與 18.66%。2.9.5防范建議升級 Spring Framework 版本Spring Framework=5.3.18Spring Framework=5.2.20對于舊版、不受支持的 Spring 框架版本，可嘗試升級到 Apache Tomcat10.0.20、9.0.62 或 8.5.78。如果不能升級Spring框架，也不能升級Apache Tomcat，那么

152、可嘗試降級java8版本。WAF 等網路防護設備防御可以在 WAF 或其他網絡設備上，根據實際部署的流量情況，添加以下規則對特殊輸入的字符串進行過濾：第 108 頁 共 153 頁Class.*、class.*、*.class.*、*Class.*黑名單策略防護可在受影響產品代碼中搜索InitBinder 注解，判斷方法體內是否有dataBinder.serDisallowerFields 方法，若發現存在該方法，則在黑名單中添加如下過濾規則：Class.*、class.*、*.class.*、*Class.*臨時緩解措施在應用系統的項目包下新建以下全局類，并保證這個類被 Spring 加載到

153、(推薦在 Controller 所在的包中添加)。完成類添加后，需對項目進行重新編譯打包和功能驗證測試。并重新發布項目。import org.springframework.core.annotation.Order;import org.springframework.web.bind.WebDataBinder;import org.springframework.web.bind.annotation.ControllerAdvice;import org.springframework.web.bind.annotation.InitBinder;ControllerAdviceOrd

154、er(10000)public class GlobalControllerAdviceInitBinderpublic void setAllowedFields(webdataBinder dataBinder)Stringabd=new stringclass.*,Class.*,*.class.*,*.Class.*;dataBinder.setDisallowedFields(abd);第 109 頁 共 153 頁2.10 互聯網惡意程序分析2.10.1概述2022 年，全國共監測到僵尸網絡、木馬程序、蠕蟲病毒告警近 1.5 億條。其中，僵尸網絡告警量占比 15.8%，木馬程序告警

155、量占比 83.8%，蠕蟲病毒告警量占比 0.4%。2.10.2僵尸網絡攻擊類型分析對 2022 年監測到的僵尸網絡告警分析發現，告警次數最多的類型是“僵尸網絡 billgates 上線”，告警總量占比 24.0%，如下表所示。僵尸網絡告警類型 TOP5 統計告警名稱告警占比僵尸網絡 billgates 上線24.0%僵尸網絡 DDoS.IoT.Gafgyt 指令下發9.7%僵尸網絡 DDoS.Linux.AES.Hacker 上線7.6%僵尸網絡 Linux.Dofloo.d 上線7.6%僵尸網絡 DDoS.Win32.ServStart 上線6.7%通過下圖可以看出僵尸網絡類型排行情況：第

156、110 頁 共 153 頁僵尸網絡類型排行情況BillGates 僵尸網絡木馬是一個感染性及隱蔽性極強的病毒，它會創建進程來進行 C&C 通信、病毒監控等操作，同時還會釋放病毒克隆文件，并將部分系統文件替換為病毒克隆文件以達到偽裝和隱蔽的效果。2.10.3木馬程序攻擊類型分析對 2022 年發生的木馬程序告警分析發現，告警次數最多的類型是“Trojan.Win32.Wauchos 木馬通信”，告警總量占比 20.3%，如下表所示。木馬程序告警類型 TOP5 統計告警名稱告警占比Trojan.Win32.Wauchos 木馬通信20.3%海蓮花 APT 組織-OSX 木馬通信0.5%Trojan

157、.Win32.Agent 變種木馬0.3%Trojan.Win32.Generic 變種木馬0.2%后門木馬 maccms 通信0.2%通過下圖可以看出木馬類型排行情況：第 111 頁 共 153 頁木馬程序攻擊類型排行情況Trojan.Win32.Wauchos 是一類惡意下載的木馬家族。該家族樣本運行后，會在未授權的情況下下載安裝其他惡意程序，而且會修改注冊表，并禁用 LUA。除此之外該類木馬還會持續掃描 C:/windows/systeme32 目錄內文件，降低系統性能，占用系統資源。2.10.4蠕蟲病毒類型分析對 2022 年發生的蠕蟲告警分析發現，告警次數最多的類型是“蠕蟲 RAMN

158、IT.A M2”，告警數占比 42.7%，如下表所示。蠕蟲病毒告警類型統計告警名稱告警占比蠕蟲 RAMNIT.A M242.7%永恒之藍漏洞利用蠕蟲52.7%蠕蟲 Worm.Win32.Dorkbot 上線數據通信2.5%蠕蟲 P2PWorm.Win32.Palevo.hsfb 上線數據通信1.7%蠕蟲 RAMNIT.A M10.4%通過下圖可以看出蠕蟲類型排行情況：第 112 頁 共 153 頁蠕蟲病毒類型排行情況蠕蟲病毒 Ramnit 最早出現在 2010 年，至今已有 13 年之久，因傳播力強而“聞名于世”。Ramnit 蠕蟲病毒通過被感染的 EXE、DLL、HTML、HTM 文件傳播，

159、在正常電腦打開這些染毒文件時會導致新的感染發生。同時，Ramnit 蠕蟲病毒還會通過瀏覽器訪問網頁、寫入 U 盤移動硬盤，創建 U 盤自啟動等方式進行蠕蟲式傳播。第 113 頁 共 153 頁2.11 移動互聯網惡意程序分析2.11.1概述2022 年，恒安嘉新監測到移動惡意程序告警共計 2098 萬條，其中，誘騙欺詐告警占比 45.05%，隱私竊取告警 33.61%，遠程控制告警 12.57%，流氓行為告警 8.58%，資費消耗告警 0.07%，惡意扣費告警 0.05%，惡意傳播告警 0.04%，系統破壞類告警 0.02%。移動惡意程序告警類別占比從上圖可以看出各類告警占比情況，在后續的章節

160、我們將對各類告警分別展開分析。2.11.2受害操作系統分析2022 年受害操作系統主要有五個，分別為安卓系統、黑莓系統、塞班系統、蘋果系統、Linux 系統。其中安卓系統受害占比最大，為 99.997%，如圖所示。第 114 頁 共 153 頁操作系統受害占比2.11.3誘騙欺詐類型分布情況通過全國 2022 年發生的誘騙欺詐告警分析發現，發起攻擊次數最多的是“CnodeManager.a 病毒”，事件日志總量達 560 余萬次，事件類型 TOP5 統計如下所示。誘騙欺詐類型 TOP5 統計告警名稱攻擊告警次數占比CnodeManager.a 病毒62%shazhupan.a 病毒26%vag

161、uegame.a 病毒7%mtcha.a 病毒3%SMSpay.B 病毒2%通過下圖可以看出誘騙欺詐排行 TOP5 情況：第 115 頁 共 153 頁誘騙欺詐排行 TOP52.11.4隱私竊取類型分布情況通過全國 2022 年發生的隱私竊取告警分析發現，發起攻擊次數最多的是“WAPDropper.a 病毒”，告警總量 560 余萬次，告警類型 TOP5 統計如下所示。隱私竊取類型 TOP5 統計告警名稱攻擊告警次數占比WAPDropper.a 病毒84%uploadsuserinfo.a 病毒9%phoneState.a 病毒4%acs86.a 病毒2%smartstudy.a 病毒1%通過

162、下圖可以看出隱私竊取排行 TOP5 情況：第 116 頁 共 153 頁隱私竊取排行 TOP5WAPDropper 目前通過第三方應用商店上托管的惡意應用進行傳播，能夠將其他惡意軟件下載到受感染設備上并執行這些惡意軟件，一旦惡意軟件感染了用戶，它就會開始為他們注冊高級電話號碼，從而為各種類型的服務收取高額費用，這些dropper木馬出現在了近一半的移動惡意軟件攻擊中，在全球范圍內總共造成了數億例感染。2.11.5遠程控制類型分布情況通過全國 2022 年發生的遠程控制告警分析發現，發起攻擊次數最多的是“counterclank.bv 病毒”，事件日志總量達 231 余萬次，事件類型 TOP5

163、統計如下所示。遠程控制類型 TOP5 統計告警名稱攻擊告警次數占比counterclank.bv 病毒99.83%guideadsnoicon.a 病毒0.16%m44video.b 病毒0.01%第 117 頁 共 153 頁Fakeapp.f 病毒0.003%guideadsnoicon.e 病毒0.001%通過下圖可以看出遠程控制排行 TOP5 情況：遠程控制排行 TOP5Counterclank 是特洛伊木馬 Tonclank 的微型變種，被植入 Android 智能手機中收集個人信息，包括復制書簽和手機制造商。它還會修改瀏覽器主頁。此外，黑客還通過惡意軟件向感染的 Android 手

164、機發送垃圾廣告獲利。2.11.6流氓行為類型分布情況通過全國 2022 年發生的流氓行為告警分析發現，發起攻擊次數最多的是“sexspread.a 病毒”，事件日志總量達 36 余萬次，事件類型 TOP5 統計如下所示。流氓行為類型 TOP5 統計告警名稱攻擊告警次數占比sexvideo.a 病毒32%sexspread.a 病毒26%Sexcmsp.a 病毒21%Sex51HD.a 病毒11%第 118 頁 共 153 頁sexpay.a 病毒10%通過下圖可以看出流氓行為排行 TOP5 情況：流氓行為排行 TOP5sexspread 病毒是一款潛伏在應用中的病毒，用戶下載并運行應用后，會進

165、一步獲取用戶權限，向用戶推送包含惡意扣費模塊的惡意應用，可能使用戶個人信息泄漏并造成一定的經濟損失。2.11.7資費消耗類型分布情況通過全國 2022 年發生的資費消耗告警分析發現，發起攻擊次數最多的是“sendsms.b 病毒”，事件日志總量達 7000 余次，事件類型 TOP5 統計如下所示。資費消耗類型 TOP5 統計告警名稱攻擊告警次數占比sendsms.b 病毒54%tatic.zz 病毒26%fakesystem.a 病毒12%mzheng.a 病毒4%Aisrs.g 病毒4%通過下圖可以看出資費消耗排行 TOP5 情況：第 119 頁 共 153 頁資費消耗排行 TOP52.11

166、.8惡意扣費類型分布情況通過全國 2022 年發生的惡意扣費告警分析發現，發起攻擊次數最多的是“newpaysdk.a 病毒”，事件日志總量達 2000 次，事件類型 TOP5 統計如下所示。惡意扣費類型 TOP5 統計告警名稱攻擊告警次數占比newpaysdk.a 病毒28%cosbaidu.a 病毒26%yykb.a 病毒26%tx.a 病毒15%mainservice.bo 病毒5%通過下圖可以看出惡意扣費排行 TOP5 情況：第 120 頁 共 153 頁惡意扣費排行 TOP52.11.9惡意傳播類型分布情況通過全國 2022 年發生的惡意傳播告警分析發現，發起攻擊次數最多的是“gui

167、deadsnoicon.a 病毒”，事件日志總量達 3500 余次，事件類型 TOP5 統計如下所示。惡意傳播類型 TOP5 統計告警名稱攻擊告警次數占比guideadsnoicon.a 病毒49%guideadsnoicon.e 病毒25%guideadsnoicon.ac 病毒24%SpreadPolitics.a 病毒1%systema.a 病毒1%通過下圖可以看出惡意傳播排行 TOP5 情況：第 121 頁 共 153 頁惡意傳播排行 TOP52.11.10系統破壞類型分布情況通過全國 2022 年發生的系統破壞告警分析發現，發起攻擊次數最多的是“systema.a 病毒”，事件日志總

168、量 137 次，事件類型 TOP5 統計如下所示。系統破壞類型 TOP5 統計告警名稱攻擊告警次數占比systema.a 病毒51%qysms.a 病毒22%CHapp.a 病毒11%Lehchifikator.a 病毒9%jianmo.e 病毒7%通過下圖可以看出系統破壞排行 TOP5 情況：第 122 頁 共 153 頁系統破壞排行 TOP5第 123 頁 共 153 頁2.12 互聯網詐騙態勢分析12.12.1互聯網詐騙每小時態勢統計從互聯網詐騙每小時態勢的角度來看，色情、賭博詐騙非常嚴重，每日的互聯網詐騙告警是呈現明顯關聯波動情況，常規的投資、彩票、網貸等詐騙活動，在白天工作時間發生的

169、頻率較高，色情類詐騙告警在夜晚呈現高發態勢。如下圖所示，在晚上下班后從 22 點起逐漸增長，到夜里 0 點左右達到頂峰。圖 色情詐騙告警時間分布圖其他賭博，投資、貸款等詐騙活動下圖所示，由于網民在上班途中或剛開始上班，使用手機頻繁，數據顯示從早 8 點左右開始增長，在下午 15 點達到頂峰，全天呈現一個相對增加的態勢。1本章節部分內容來源于恒安嘉新-星辰應用創新實驗室第 124 頁 共 153 頁圖 其他類型詐騙告警時間分布圖2.12.2詐騙告警相關網址分析2.12.2.1詐騙網址類型分析詐騙網址類型分析恒安嘉新對互聯網詐騙網址的類型進行了分析，其中主要針對網址的類別進行分析，類型主要包括域名

170、與 IP 地址兩個類別，統計分析后，其中域名類詐騙網址總計 3 萬條，ip 類詐騙網址總計 2 千條，詳細占比情況如下圖所示。第 125 頁 共 153 頁圖 域名、IP 比例圖后續對采用 ip 形式的網址進行分析后，發現其中詐騙 APP 接口類型居多，由此可見同類型極大可能來源于同一作者，采用同一套模板。并且我們了解到仿冒公檢法以及其他政府網站的詐騙網站，直接采用域名做服務地址較多。2.12.2.2某借貸某借貸詐騙詐騙分析案例分析案例恒安嘉新監測到某借貸詐騙網站的詐騙事件，該類詐騙網站通過對借貸人放款并收取借貸人高額利息同時對借貸人進行電話詐騙。取得監管單位授權后，恒安嘉新安全運營團隊對平臺

171、告警數據深入分析后進入網站后臺。網站前臺截圖網站管理后臺如下：第 126 頁 共 153 頁網站后臺截圖用戶注冊信息截圖從上圖用戶注冊信息可以看到，注冊用戶多達 3300 多個，很有可能已經有部分用戶被騙子通過借貸詐騙騙取財物。第 127 頁 共 153 頁2.12.3釣魚網站告警分析2.12.3.1釣魚網站類型分析釣魚網站類型分析恒安嘉新通過對某省釣魚網站告警進行監測，統計釣魚網站類型，具體如下圖。釣魚網站告警分類從上圖可知，某省內主要釣魚網站告警類型中，仿冒銀行類的釣魚網站占比最大，占總告警量的 53.6%，其次為仿冒 ETC 速通卡網站，占比 28.6%，由此可見仿冒銀行是目前監測到的釣

172、魚網站類型中最多的一種，下面我們對上述幾種釣魚網站類型進行深度分析。2.12.3.2銀行類釣魚網站分析銀行類釣魚網站分析在發現的仿冒銀行類釣魚網站中，對所仿冒的銀行進行了細分，如下圖。第 128 頁 共 153 頁銀行釣魚分類由上圖可知，銀行類的釣魚網站告警中有三個銀行屬于“四大行”，分別為中國工商銀行、中國建設銀行和中國銀行，占據仿冒銀行類釣魚網站的 73.4%。下面我們例舉部分釣魚網站案例進行詳細介紹。2.12.3.2.1 中國工商銀行釣魚網站案例網址：http:/ 1點擊下一步，提示正在辦理信用卡業務，便沒了后續。第 129 頁 共 153 頁截圖 2通過上述分析，該網站是個典型的仿冒中

173、國工商銀行的釣魚網站，借著辦理信用卡的需要，騙用戶填寫用戶手機、銀行卡密碼等敏感信息來盜取用戶個人財物。2.12.3.2.2 興業銀行釣魚網站案例網址：http:/ 1點擊信用卡提額頁面并輸入信息，如下圖。第 130 頁 共 153 頁截圖 2截圖 3提交信息完成頁面，如下圖。第 131 頁 共 153 頁截圖 4搜索該域名對應的備案信息，發現該域名并不歸屬于興業銀行，歸屬于上海某公司。截圖 5通過上述分析，該網站是個典型的仿冒興業銀行的釣魚網站，借著辦理信用卡的需要，騙用戶填寫用戶銀行卡號、密碼等敏感信息來盜取用戶個人財物。2.12.3.3ETC 類釣魚網站類釣魚網站分析分析ETC 類釣魚網

174、站是借著廣大用戶安裝 ETC 的需求，讓大家填寫信息銀行卡第 132 頁 共 153 頁密碼等敏感信息并提交來辦理 ETC 安裝手續，實際是盜取個人敏感信息與財務，下面例舉出 ETC 類釣魚網站的真實案例。2.12.3.3.1 ETC 速通卡釣魚網站案例網址：http:/0p*d.w*t.top/index2.asp截圖 1點擊立即認證，會提示輸入姓名、身份證號、銀行卡號、銀行卡密碼、銀行卡余額、手機號碼，如下圖：截圖 2提交頁面截圖第 133 頁 共 153 頁截圖 3當輸入完個人信息之后點擊提交后，并不會有后續辦理 ETC 的手續等相關內容。ICP 備案查詢該域名備案信息并非 ETC 速通

175、卡官網：截圖 4通過上述分析，該網站是個典型的 ETC 類釣魚網站，借著廣大用戶需要辦理 ETC 的需求，誘騙用戶填寫用戶銀行卡號、密碼等敏感信息來盜取用戶個人財物。2.12.3.4退款理賠類釣魚網站分析退款理賠類釣魚網站分析退款理賠類釣魚網站是一種近期比較常見的釣魚網站類型，主要通過退款、理賠方式騙取用戶輸入銀行卡和密碼信息，來盜取用戶個人財物，下面對于支付理賠事件進行分類，主要為支付寶退款和快遞理賠兩種，如下圖。第 134 頁 共 153 頁釣魚網站告警分類從上圖可知支付理賠釣魚告警主要分為支付寶退款和快遞理賠兩種，其中支付寶退款占了 50.0%，快遞理賠占了 50.0%，下面我們例舉部分

176、釣魚網站案例進行詳細介紹。2.12.3.4.1 支付寶退款釣魚網站案例網址：http:/www.h* 1隨便輸入用戶名和密碼，即可完成登入，跳轉到銀行卡界面，如下圖。第 135 頁 共 153 頁截圖 2隨即要求填寫銀行卡密碼等隱私信息，如下圖。截圖 3通過上述分析，該網站是個典型的支付寶退款的釣魚網站，為廣大用戶提供支付寶退款的便利，誘騙用戶填寫用戶銀行卡號、密碼等敏感信息來盜取用戶個人財物。2.12.3.4.2 快遞理賠釣魚網站案例網址：http:/www.a* 136 頁 共 153 頁截圖 1隨便輸入用戶名和密碼，即可完成登入，跳轉到銀行卡界面，如下圖。截圖 2隨即要求填寫銀行卡密碼等

177、隱私信息，如下圖。第 137 頁 共 153 頁截圖 3通過上述分析，該網站是個典型的快遞理賠的釣魚網站，為廣大用戶提供快遞理賠退款的便利，誘騙用戶填寫用戶銀行卡號、密碼等敏感信息來盜取用戶個人財物。2.12.3.5工商登記管理中心網站工商登記管理中心網站分析分析工商登記管理中心釣魚網站是借著工商登記管理中心辦理證件的名義，來騙取用戶填寫銀行卡號碼，交易密碼、手機號碼、姓名等敏感信息，下面例舉出工商登記管理中心類釣魚網站的真實案例。2.12.3.5.1 工商登記管理中心釣魚網站案例網址：https:/www.g*y.cc/index2.php訪問網站可以發現是統一全程電子化商事登記管理系統，如

178、下圖。第 138 頁 共 153 頁截圖 1輸入手機號，點擊開始認證，進入填寫敏感信息頁面，如下圖。截圖 2截圖 3隨便輸入任何信息后，點擊下一步，則跳到系統正常提交中頁面，并且沒有后續，如下圖。第 139 頁 共 153 頁截圖 4通過上述分析，該網站是個典型的工商登記管理中心釣魚網站，用戶提供認證登記服務，誘騙用戶填寫用戶銀行卡號、密碼等敏感信息來盜取用戶個人財物。2.12.3.6受害者終端類型分布受害者終端類型分布對釣魚網站告警按受害者終端類型進行分析，統計出受害者終端類型分布情況。終端類型分布如上圖所示，受害者終端多為安卓系統和 IOS，Windows 系統受害者數量占比較少。第 14

179、0 頁 共 153 頁2.12.4仿冒 APP 分析2.12.4.1仿冒仿冒 APP 類型分析類型分析以下是仿冒 APP 危害行為的分布情況：仿冒 APP 危害行為從上圖可知，賭博詐騙 APP 告警量最大，占告警量的 65.7%。賭博詐騙APP是網絡詐騙類 APP，通過上傳 APP 到各大應用商店，誘導用戶下載，下載后會誘騙受害人進行轉賬或者充值，造成財產損失。2.12.4.2受害者終端類型分布受害者終端類型分布對仿冒 APP 事件按受害者終端類型進行分析，統計出受害者終端類型分布情況。第 141 頁 共 153 頁受害者終端類型分布情況2.12.5恒安嘉新反詐運營效果2.12.5.1互聯網反

180、詐案例互聯網反詐案例恒安嘉新某省互聯網系統覆蓋全省電信網和互聯網用戶，原始數據采用三大運營商日志話單，恒安嘉新與管局共同打造了以“統一數據中臺”為核心的涉詐治理模式，賦能服務于公安和各個地市，同時可向其他安全能力方向延展，幫助管局實現網絡信息安全能力的全業務治理。從 2022 年系統上線試運行以來，恒安嘉新安全運營團隊研判數據案件準確率高達 90%。為省內互聯網詐騙防范治理起到了關鍵作用。2.12.5.2電話反詐案例電話反詐案例恒安嘉新為某省聯通建設電話反詐系統，支持詐騙、騷擾電話 2 大類型近 30種細分場景模型，包含詐騙多類場景（仿冒類、金融類、交友類、貸款代辦信用第 142 頁 共 15

181、3 頁卡類等）、騷擾多類場景（高頻/低頻/超低頻/中轉類騷擾等類型）。實現對全省用戶詐騙電話行為的監測、識別及關停處置，并能顯著減少 12321 電信欺詐投訴量，為職能部門進行詐騙行為打擊提供有效數據支撐。從 2019 年 1 月系統上線以來通過系統累計已關停數十萬個號碼（含詐騙和騷擾），準確率達 95%以上；2020 年以來，工信部 12321 詐騙舉報量環比降幅28%，舉報率全國排名持續 20 位以外；公安部涉案號碼環比大幅下降。成績突出，受到該省打擊治理電信網絡新型違法犯罪廳際聯席辦、省通管局、公安廳等政府部門通報表揚。并入圍工信部“眾智護網”2020 年度防范治理電信網絡詐騙創新示范項

182、目名單。第 143 頁 共 153 頁2.13 暗網數據態勢分析2.13.1概述暗網是指那些存儲在網絡數據庫里、但不能通過超鏈接訪問而需要通過動態網頁技術訪問的資源集合，不屬于那些可以被標準搜索引擎索引的表面網絡。它陰暗且鮮為人知，它匿名，隱蔽，搜索引擎無法搜索，監管機構難以觸及。暗網監測平臺 2022 年監測顯示，暗網涉及國內數據售賣共 2241 例子，其中售出量達到 6158 次。售賣價額共 50.24525 個比特幣，約 602.94 萬元，售賣成交額共 8.77675 個比特幣，近 105.32 萬元。2.13.2暗網數據類別分析2022 年，暗網涉及國內數據售賣中“數據-情報”類占比

183、最大，共 1375 例，占總數的 61%?？梢姳灸甓取皵祿?情報”售賣在暗網最為普遍，具體占比如下圖所示。暗網數據類別占比第 144 頁 共 153 頁2.13.3暗網“數據-情報”類數據售賣態勢分析2022 年，通過暗網監測平臺，共監測到暗網涉及國內數據售賣中“數據-情報”類數據共 1375 例，售賣價額共 37.96971 個比特幣，約 455.63 萬元，其中售出成功量達到 2673 次，售賣成交額共 12.6453 個比特幣。下面數據-情報進行細分，其中公民身份信息售賣 631 例，售賣價額共 19.21486 個比特幣，共出售 1230次，售賣成交額共 6.33451 個比特幣；博彩

184、類數據售賣 115 例，售賣價額共 6.59741個比特幣，共出售 204 次，售賣成交額共 0.9688 個比特幣；金融類數據售賣 202例，售賣價額共 8.03275 個比特幣，共出售 938 次，售賣成交額共 2.17296 個比特幣；其他類數據售賣 427 例，售賣價額共 4.12469 個比特幣，共出售 301 次，售賣成交額共 3.15695 個比特幣，具體分布如下圖。暗網內“數據-情報”類數據買賣占比第 145 頁 共 153 頁暗網內“數據-情報”類數據售價柱形圖2.13.4暗網數據涉及區域分析通過監測 2022 年暗網數據售賣情況，對其涉及國內數據售賣所屬地進行統計，涉及相關

185、省份分布情況如下，其中本年江蘇、臺灣、廣東、香港售賣帖子數量最多，主要來源于公民信息售賣數據：數據歸屬地省份分布省份數據售賣帖子數量江蘇59臺灣41廣東25香港25浙江23湖南17上海15河北9福建8河南6北京5安徽4第 146 頁 共 153 頁江西4廣西3四川3天津3海南2湖北2遼寧2山東2陜西2甘肅1貴州1黑龍江1內蒙古1山西1新疆1云南1重慶12.13.5暗網數據售賣價額分析通過監測 2022 年暗網數據售賣情況，對其涉及國內數據售賣價額進行統計排行，其中數據售賣價額 TOP10 如下所示：數據售賣價額排行數據標題售賣價額（BTC）全球華僑馬來西亞華僑數據 1680366 條已去重6.

186、08476新出 22w 高質可驗證菠菜綜合盤數據有聯系方式4.86679保險公司電銷保險數據3.62698獨立站 paypal 收款秒提 T0 技術2.284605 億條女性數據打包私拍一自動 MEGA 網盤發貨1.250928000 萬純女性三要素姓名電話身份號0.88261網站滲透接單只接 2 萬美金以上的大庫訂單0.873672210 新出庫 36w 碩士博士全國 8095 單位帶學歷男女混0.57042最新脫褲 nexo 加密貨幣交易所平臺全站數據庫 570 萬條0.50688微信聊天 24 小時實時監控 2w 美金0.45316根據上表統計的數據售賣價額 TOP10 發現，排第一位的

187、為“全球華僑馬來西亞華僑數據 1680366 條已去重”，售價為 6.08476 個 BTC，但該售賣數據未成第 147 頁 共 153 頁功交易過；其次為“新出 22w 高質可驗證菠菜綜合盤數據有聯系方式”，售價為 4.86679 個 BTC；綜合來看，本年度高售價帖子多與公民信息及博彩相關，世界杯期間，博彩數據也得到較多關注，同時區塊鏈、醫療、金融、教育行業內容也相對較多，其數據往往具有一定的黑產變現價值。整體上售賣數據種類相對繁雜，包括“影視色情”、“數據-情報”等，本年度的高價售賣數據多為“數據-情報”類。2.13.6暗網數據熱度分析通過監測 2022 年暗網數據售賣情況，對其數據售賣

188、熱度進行分析，列舉出熱度 TOP10，如下表。數據售賣熱度排行數據標題2022 上海國家警察 SHGA 數據庫數十億中國公民的數據和信息上海 DY 身份證戶籍及電話數據 200 萬最新一手全國核酸檢測女數據持續更新2022 要打臺灣遠離軍事基地 CCP 最新軍事基地情報俄羅斯入侵烏克蘭_俄羅斯軍人死者資料及俘虜影片最新天眼查 1G 多過億企業數據河南省民警信息 15 萬條中共 200 萬現任高官絕密資料地方主要領導政府內部官員公安數據百萬四要素和戶籍泄露中國移動數據庫 1200 萬泄露個人精準數據本年度暗網售賣數據中，熱度較高的售賣標題如：“2022上海國家警察SHGA數據庫數十億中國公民的數

189、據和信息”，以及“上海 DY 身份證戶籍及電話數據200 萬”等。綜合來看，暗網中高熱度數據，往往與國際國內環境和突發熱點事件緊密相關，其標題也較博人眼球引起興趣，涉及公民信息較多。同時可產生間接經濟利益的售賣數據或服務也一直存于暗網，吸引不法之心人員關注，其數據第 148 頁 共 153 頁被利用變現的能力都相對較高?！吧虾?DY 身份證戶籍及電話數據 200 萬”帖子售賣樣例“最新一手全國核酸檢測女數據持續更新”帖子售賣樣例第 149 頁 共 153 頁“中國移動數據庫 1200 萬泄露個人精準數據”帖子售賣樣例第 150 頁 共 153 頁3 網絡信息安全態勢總結2022 年對比 202

190、1 年，新增了數據安全保障專題、Spring 遠程命令執行漏洞專題、勒索病毒活動態勢專題，通過對比發現今年木馬挖礦 IP 活動數量呈先下降后上升趨勢，木馬挖礦幣種主要為門羅幣；分析發現訪問國內受害資產 IP 數量最多的 APT 組織是 Group123；訪問國內受害資產 IP 告警數量最多的勒索病毒是 GandCrad；網絡安全漏洞數量呈下降態勢；物聯網協議識別數據量最多的類型是“MQTT 協議”；WEB 攻擊告警數量有所下降，攻擊手段主要為“遠程命令/代碼執行”、“注入攻擊”、“弱口令登錄”這三類攻擊手段；僵木蠕告警數量也呈下降趨勢，其中木馬告警數量最多。2022 年新增安全漏洞的數量有所下

191、降，在明年有可能會出現新型攻擊方式和工具，網絡攻擊態勢和工業互聯網安全告警或依舊嚴峻。隨著 5G 技術的深入應用，在開啟萬物互聯新局面的同時，也會帶來新的安全挑戰和風險。需要基于 5G 網絡架構和新特性，在終端設備、網絡虛擬化、網絡切片、邊緣計算等方面逐層完善安全防護手段，進一步完善 5G 安全標準體系，提高 5G 網絡整體安全性。當前互聯網用戶規模不斷擴大，應用場景持續增多，金融、醫療、教育、交通等行業在產業互聯網的高速發展過程中，面臨的企業和個人敏感數據的泄露，非法交易，數據濫用等數據安全問題也愈發嚴峻。隨著網絡邊界的不斷擴大，跨境場景的網絡威脅比重也將不斷增加，各種攻擊手段也將不斷刷新人

192、們的認知，未來的數據安全問題可能會直接影響到人們的生命安全、社會的經濟發展、國家的長治久安。切實做好電信和互聯網行業的數據安全治理尤為重要。第 151 頁 共 153 頁同時，隨著國際形勢的不確定性，各國的 APT 組織活動會更加頻繁，尤其是針對關鍵基礎設施、特別機構、大型工業企業、高精尖技術企業的高級持續威脅將持續增長。面對日益增長的網絡信息安全威脅，恒安嘉新會持續引入新興技術研究成果，加強高階威脅情報積累，繼續擴展工業互聯網、物聯網、區塊鏈等新方向的安全監測，協助國家形成更加及時、精準有效、覆蓋全面的網絡空間安全態勢感知體系，提升網絡安全防護水平。第 152 頁 共 153 頁關于恒安嘉新

193、恒安嘉新是提供“云-網-邊-端-用”綜合解決方案的大數據智能運營運維產品，服務于產業互聯網的科技工程企業。創立十余年來，始終專注于通信網和互聯網數據智能分析領域，賦能智慧治理、智慧網絡、智慧警務、智慧工業、智慧農業、智慧金融、智慧醫療、智慧教育等場景，為政企客戶提供新一代網絡信息安全、數據分析、智能業務應用解決方案和“管家式”運營運維服務。公司圍繞“專、精、特、新”理念，打造了覆蓋采集、分析、認知、決策的全鏈條智能體系；擁有通信網和互聯網海量數據實時處理技術、具有深度學習能力的智能安全引擎技術、“云網邊端用”綜合治理技術、大數據知識中臺等核心技術、安全研運一體的服務體系；研發了網絡空間安全綜合

194、治理、企業安全、5G 通信網數據智能應用產品和運營運維服務，具備“云端”準確識別、“云網”快速聯動、“云邊”智能分析、“網端”精準處置、“端用”協同運營能力。公司產品遍布全國 31 個省，支撐工信等網絡安全主管部門、電信運營商在骨干網、城域網、移動互聯網、工業物聯網、企業網的數千個節點部署了 NTA“網絡攝像頭”，提供全天候、全方位的大數據智能分析產品和服務。公司現有員工上千人，匯聚了通信、安全、AI 等領域的優秀人才；公司是連續 10 多年的國家級網絡安全應急服務支撐單位；設有博士后工作站和云網創新研究院；參與制定上百項國家和行業標準；獲得數十項發明專利和軟件著作權；多次奪得人工智能、工業互

195、聯網、網絡攻防競賽桂冠；為“建黨 100 周年”、“國慶 70 周年”、“十九大”、“兩會”等國家級重大活動提供安全保障；成功入第 153 頁 共 153 頁圍國家級專精特新“小巨人”企業；第五空間反詐平臺避免和挽回群眾損失數億元。公司秉承“養正氣、立正見、懷正念、行正道”的理念；通過 EverOffice 3.0落實數智化內控管理，推動業務經營和財務合法合規健康發展。未來，公司瞄準“第二個一百年”奮斗目標，積極擁抱新技術、新模式、新業態；打造面向 5G 的網絡空間安全態勢感知平臺、新一代大數據知識云平臺、企業數智化風控管理平臺、第五空間反詐聯防聯控云平臺、恒安云 SaaS 公共服務平臺、智慧運營中心和實訓教育，和合作伙伴們一起努力，成為中國“云-網-邊-端-業”數據智能時代基礎能力的搭建者。更多精彩內容和技術文章，歡迎關注恒安嘉新公眾號: