中國信通院：2020年上半年網絡安全態勢情況綜述（16頁）.pdf

1、20202020 年上半年網絡安全年上半年網絡安全 態勢情況綜述態勢情況綜述 指導：工業和信息化部網絡安全管理局指導：工業和信息化部網絡安全管理局 編制：中國信息通信研究院編制：中國信息通信研究院 20202020 年年 9 9 月月 前前 言言 在工業和信息化部網絡安全管理局的指導下， 中國信息 通信研究院發布2020 年上半年網絡安全態勢情況綜述 ， 通過對電信和互聯網行業 2020 年上半年網絡安全威脅及事 件的監測、匯總、分析認定和處置情況進行梳理和分析，提 出上半年十大網絡安全態勢的突出特點， 并對下半年網絡安 全趨勢進行預測。 本報告版權屬于中國信息通信研究院，并受法律保護。 oP

2、sNpQmQqOrNqMtOsQtNqP7NbP7NmOoOoMoOjMrRyRfQmNoQaQrQpQvPnRmMuOmOtP 2020 年上半年網絡安全態勢情況綜述 1 一、上半年網絡安全態勢 與 2019 年下半年相比，安全形勢依舊嚴峻，2020 年上 半年公共互聯網網絡安全威脅數量總體呈大幅度上升趨勢， 但整體安全態勢平穩，未發生重大區域性、行業性網絡安全 突發事件。 （一）（一）DDoS 攻擊強度、類型、重點目標基本不變。攻擊強度、類型、重點目標基本不變。共 監測到針對基礎通信網絡的 DDoS 攻擊 45 萬余次，與去年 相比無明顯變化。攻擊類型主要為 TCP SYN Flood 和

3、 UDP Flood，未發現新類型。攻擊規模主要以 10Gbps 以下的攻擊 為主，占比約 70%。攻擊源方面，攻擊流量中境外流量占比 約 50%。攻擊對象方面，浙江、江蘇、福建、北京、山東等 ICP 資源比較集中的省網依然是主要攻擊目標。 （二）安全威脅處置數量大幅增長，處置率顯著提高。（二）安全威脅處置數量大幅增長，處置率顯著提高。 2020 年上半年， 工業和信息化部網絡安全威脅信息共享平臺 （以下簡稱平臺）共完成約 7.6 萬個各類威脅處置。一是完 成約 1.2 萬個安全隱患的處置工作， 相比 2019 年下半年上漲 約 5 倍，北京市、廣東省、上海市和江蘇省等地處置完成量 約占安全隱

4、患處置總量的 53.76%。 二是完成惡意程序傳播威 脅處置約 4 萬個，相比 2019 年下半年增長 13 倍，廣東省、 北京市、江蘇省為處置數量排名前三的省份，在仿冒 APP 治 理工作中，累計處置騰訊應用寶、百度手機助手等應用商店 仿冒 APP 類事件 72 件。三是協調處置網頁篡改問題近 5 千 2020 年上半年網絡安全態勢情況綜述 2 個、網站仿冒 35 個，相比 2019 年下半年增長 40.11%，北京 市、廣東省、河南省為處置數量排名前三的省份。四是處置 僵尸網絡類事件近 7 千起，相比 2019 年下半年增長 36 倍， 來自河南省、廣東省、浙江省、遼寧省、北京市的 IP

5、占重復 發起攻擊 IP 的 33.49%，廣東省、江蘇省、浙江省、北京市 和山東省處置 43.16%的僵尸網絡事件。 （三）多個境外（三）多個境外 APT 組織利用組織利用“新型肺炎新型肺炎”話題為誘餌話題為誘餌 對我國境內目標和機構實施攻擊活動。對我國境內目標和機構實施攻擊活動。 監測發現 APT 組織蔓 靈花、摩訶草、海蓮花、透明部落等攻擊活動活躍，其中， 海蓮花是對我境內攻擊最頻繁的 APT 組織，利用以 COVID-19 為主題的釣魚郵件，對我目標進行入侵。從攻擊 手法看，從釣魚郵件攻擊向利用 0day 或 Nday 漏洞實施攻擊 轉變。 （四）醫療行業高危漏洞數量與（四）醫療行業高危

6、漏洞數量與 Web 攻擊事件占比最攻擊事件占比最 高，攻擊危害不容忽視。高，攻擊危害不容忽視。從漏洞類型和分布區域看，高危漏 洞占比高達 72%，上海、江蘇等規模較大省市漏洞數量相對 較多。 從事件類型與后果看， Web 攻擊事件占比高達 96.44%， 而僵木蠕攻擊危害同樣嚴重，可造成系統不可用、數據丟失 等嚴重后果。多家醫療機構網站遭受漏洞利用等攻擊，其中 暴力破解達到單日 80 萬次高峰。例如，某市中心醫院數據 上報系統存在未授權訪問漏洞，攻擊者可獲取醫護人員敏感 信息。 2020 年上半年網絡安全態勢情況綜述 3 （五）人工智能數據流通存在泄露和濫用風險。（五）人工智能數據流通存在泄露

7、和濫用風險。目前， 多數人工智能初創企業普遍使用開源框架進行應用開發并 存在較大依賴性。由于缺乏嚴格的安全認證，將面臨不可預 期的系統漏洞、數據泄露和供應鏈斷供等安全風險。例如， 2020 年上半年，中國信息通信研究院對我國 14 款 APP 進行 傳輸安全、權限控制等安全項檢測，發現 5 款 APP 存在數據 泄露風險。 （六）（六）5G 智慧城市智慧城市加速發展同時仍需防范加速發展同時仍需防范可用性破壞、可用性破壞、 數據泄露等風險。數據泄露等風險。5G 與城市現代化的深度融合與迭代演進， 推動 5G 智慧城市建設提速發展。5G 新技術新架構加大了網 絡安全邊界泛化的程度，導致線上線下安全

8、問題復雜交織、 智能基礎設施安全防御難度增大。具體而言，5G 智慧城市網 絡架構主要包括應用層、數據平臺層、網絡層、邊緣層、終 端層等架構層面，可能面臨服務中斷、數據濫用與隱私信息 泄露等風險。 （七）部分遠程辦公軟件存在安全漏洞，我國成為重要（七）部分遠程辦公軟件存在安全漏洞，我國成為重要 攻擊目標。攻擊目標。隨著遠程辦公方式興起，一定程度上增加了暴露 面， 2020 年上半年出現多起圍繞 VPN 漏洞的 APT 攻擊活動。 4 月，APT 組織 DarkHotel 利用 VPN 零日漏洞入侵多家我國 政府單位及駐外機構， 兩百余臺 VPN 服務器被入侵。 此外， DarkHotel 和 W

9、ellmess 組織利用 VPN 漏洞進行攻擊， 前者主 要針對我基層單位，后者主要針對我多家科研機構。 2020 年上半年網絡安全態勢情況綜述 4 （八）遠程桌面協議訪問點仍是最常見的勒索病毒攻擊（八）遠程桌面協議訪問點仍是最常見的勒索病毒攻擊 媒介，攻擊目標正向關鍵基礎設施滲透媒介，攻擊目標正向關鍵基礎設施滲透。與惡意程序關聯的 勒索病毒中，占比排名前三的依次是 phobos、GlobeImposter 和 Crysis，安全性較差的遠程桌面協議訪問點仍是最常用攻 擊媒介。同時，攻擊目標正逐漸滲透至能源、制造等行業。 例如，2020 年 4 月，葡萄牙能源公司 EDP 遭到勒索攻擊， 贖金

10、 1 千余萬美元。 （九）僵木蠕攻擊中以僵尸網絡為主，針對大中型政企（九）僵木蠕攻擊中以僵尸網絡為主，針對大中型政企 機構的攻擊事件中挖礦木馬占比較多。機構的攻擊事件中挖礦木馬占比較多。上半年僵木蠕事件共 2.8 億起，其中，僵尸網絡事件 1.9 億條，木馬事件 8 千余萬 條， 蠕蟲事件 77 萬條。 北京受到僵尸網絡的侵害最為嚴重， 江蘇受到木馬侵害最為嚴重，陜西省受到蠕蟲侵害最為嚴重。 此外，在上半年大中型政企機構遭受惡意程序攻擊事件中， 挖礦木馬占比僅次于勒索病毒。 （十）誘騙欺詐和流氓行為成為移動惡意程序最主要攻（十）誘騙欺詐和流氓行為成為移動惡意程序最主要攻 擊手段擊手段。上半年移

11、動惡意程序事件近 1.3 億條。其中，誘騙 欺詐事件 1.1 億條，流氓行為事件近兩千萬條，隱私竊取事 件三百余萬條，遠程控制事件一百余萬條，資費消耗事件 23 萬條，惡意扣費事件 16 萬條，系統破壞類事件 6 萬條，惡 意傳播事件 2 萬條，誘騙欺詐事件和流氓行為事件數量遠超 其他六類事件數量總和。 2020 年上半年網絡安全態勢情況綜述 5 二、下半年網絡安全趨勢 （一）后疫情時代的網絡安全形勢更加嚴峻。（一）后疫情時代的網絡安全形勢更加嚴峻。隨著在線 辦公、在線教育等線上生產和生活方式日趨成為主流，現實 和數字世界邊界逐漸模糊，網絡攻擊、勒索病毒、安全漏洞 等網絡安全風險將進一步向現實

12、世界滲透，網絡安全成為事 關經濟社會穩定、 生產安全、 人民群眾生命財產安全的問題。 （二）（二）APT 攻擊中仍會大量利用已知漏洞攻擊中仍會大量利用已知漏洞。APT 組織 在網絡攻擊中更傾向于使用包括 1-day1在內的漏洞，將漏洞 披露后的空窗期視為攻擊的黃金時間。特別是對于防御方存 在已知漏洞的系統，如果未及時進行有效的安全加固，仍將 面臨極大的安全風險。 （三）勒索病毒攻擊方式將持續增多。（三）勒索病毒攻擊方式將持續增多。利用漏洞和弱口 令植入勒索病毒事件將逐漸增多，攻擊者將以此類漏洞為跳 板，植入病毒并攻擊其它設備以提升攻擊效率。定向攻擊方 式增多，相對于傳統“廣撒網”的攻擊方式，攻

13、擊者將會選擇 醫院、學校、大型企業等高價值的目標進行定向攻擊。 （四）針對供應鏈的攻擊將成為網絡定向攻擊重要手段。（四）針對供應鏈的攻擊將成為網絡定向攻擊重要手段。 攻擊者利用機器學習等技術對供應鏈發起攻擊，供應鏈安全 形勢愈發嚴峻。供應鏈安全風險主要包括源碼、庫篡改或污 染，開發工具污染以及違規操作等，攻擊者通過尋找相關漏 洞等方式等進行攻擊。供應鏈中的每個環節都可能成為網絡 1 1-day 漏洞與尚未披露的 0-day 漏洞不同，是指剛剛披露且尚沒有足夠時間進行修復或缺乏有效修復手段的漏洞 2020 年上半年網絡安全態勢情況綜述 6 攻擊的對象。 （五）（五）“新基建新基建”安全將成為行業

14、關注熱點。安全將成為行業關注熱點?！靶禄ā币?5G 等通信網絡基礎設施為承載，推動構建全連接的新型網 絡物理世界，網絡安全的戰略性、全局性和基礎性地位尤為 凸顯?！靶禄ā奔夹g架構加速革新、應用生態深度融合、多 元場景不斷涌現等新特征給行業網絡安全工作提出新挑戰， 同時，安全同步建設的戰略保障需求也將為網絡安全產業注 入新動能，帶動網絡安全技術產品創新發展。工信部以引領 網絡安全新產業、建設安全“新基建”為主題，面向全行業征 集 2020 年網絡安全技術應用試點示范項目，挖掘新一代信 息技術與網絡安全技術融合創新的典型應用和最佳實踐，將 有力提升新型信息基礎設施安全保障能力，推動網絡安全生

15、態協同共治。 （六）公共服（六）公共服務平臺將助力產業良性發展。務平臺將助力產業良性發展。疫情期間， 中國電信監測發現各類攻擊億余次，啟動防護措施 3 千余萬 次，有力護航 5 千余家客戶。中國移動流量清洗服務平臺為 近 50 余家企業提供了抗 DDoS、 APT 分析防護等服務， 協助 企業開展應急演練 20 余次， 累計發現防護攻擊 1 千余次。 “聯 通云盾”面向中國聯通全網用戶， 具備全國近 3T 的流量清洗、 DNS 解析監測與處置等多項重要網絡安全技術手段。 基礎電 信企業通過公共服務平臺輸出安全能力已獲得初步成效。隨 著產業公共服務平臺建設的不斷加快，網絡安全相關機構、 2020

16、 年上半年網絡安全態勢情況綜述 7 企業的能力和研究成果不斷推出，我國網絡安全產業環境將 持續優化。 （七）網絡安全市場投融資仍將持續活躍。（七）網絡安全市場投融資仍將持續活躍。截至 2020 年 7 月，已有超過 20 家網絡安全企業獲得資本青睞。從投 融資輪次來看，目前網絡安全相關投融資仍集中在早期階段， B 輪及之前的融資事件占比超過 60%。從投融資金額來看， 數億元大融資頻現， 1億元人民幣及以上的融資事件為10件， 占比達到 43.5%。在國家新型基礎設施相關政策驅動下，網 絡安全產業仍將成為資本市場投融資的熱點方向。 （注：上述態勢分析及監測處置數據主要來自中國電信、 中國移動、

17、中國聯通、奇安信、上海觀安、恒安嘉新等電信 和互聯網行業信息報送單位。 ） 2020 年上半年網絡安全態勢情況綜述 8 附件 2020 年上半年十大網絡安全事件 2020 年上半年，正值疫情全球爆發的特殊時期，網絡空 間安全也面臨巨大挑戰。安全漏洞、APT 攻擊、數據泄露等 網絡安全事件頻發，政府單位、醫療機構、科技企業等成為 攻擊重點目標，數據泄露后果日趨嚴重。 一、境外黑客組織攻擊我國視頻監控系統 2 月， 有境外黑客組織發布推文宣布將于 2 月 13 日對我 國實施網絡攻擊。本次攻擊的主要目的是對視頻監控系統實 施破壞，攻擊目標包括科大訊飛、中集集團、網智天元、浩 瀚深度等國內企業以及政

18、府網站。黑客同時聲稱已掌握我國 境內大量攝像頭控制權限，并在 pastebin 網站上公開了部分 受控目標。經核實，這些受控目標均為我國某視頻監控設備 制造企業生產的視頻監控設備。工信部網絡安全威脅信息共 享平臺針對此次事件，及時發布處置建議，提醒部署該產品 的用戶及時部署安全防護措施。 二、APT 組織“綠斑”（GreenSpot）借“新型肺炎”話題為 誘餌對我國發起網絡攻擊，意圖竊取用戶郵箱賬號密碼 2 月，疑似 APT 組織“綠斑”持續以“新型肺炎”話題為誘 餌，利用仿冒 QQ 和 163 郵箱的域名對我國有關政府部門、 2020 年上半年網絡安全態勢情況綜述 9 醫療機構發起釣魚攻擊。

19、 該黑客組織通過郵件等方式發送“疫 情防控日報表”、“南部杜氏中醫獻方”等文檔下載鏈接， 一旦受害者點擊該鏈接，則會彈出要求驗證郵箱賬號的頁面， 誘導輸入賬號與密碼，并將輸入的信息回傳到攻擊者的服務 器。工信部網絡安全威脅信息共享平臺針對此次事件，及時 發布處置建議，提醒相關單位提高警惕、加強防范。 三、APT 組織“蔓靈花”對我國境內主機發起攻擊，非法 控制主機并竊取敏感信息 3 月 1 日至 4 月 19 日，APT 組織“蔓靈花”對我國 17 臺 主機植入木馬，竊取并對外傳輸主機敏感信息。攻擊者 IP 主要分布在美國，受控流量主要流向保加利亞和美國。6 個 攻擊者控制端域名中，有一半的控

20、制域名注冊商為美國域名 注冊機構。工信部網絡安全威脅信息共享平臺及時處置威脅 信息，督促地方主管部門排查安全風險并完成整改。 四、南亞 APT 組織“肚腦蟲”（Donot）針對我及周邊國 家政府系統開展新一輪攻擊竊密 南亞 APT 組織“肚腦蟲”（Donot）表現活躍，利用新型 冠狀病毒疫情（COVID-19） ，以中國等周邊國家的政府機構 為目標進行網絡攻擊活動， 竊取機密敏感信息。 據調查， 2017 年起該組織開始針對中國等周邊國家和地區發起針對性的 網絡攻擊，該組織目前具備針對 Windows 與 Android 雙平臺 的攻擊能力。 2020 年上半年網絡安全態勢情況綜述 10 五、

21、國外黑客組織針對多國外貿行業發起攻擊，可能導 致敏感信息泄漏 4 月，有國外黑客組織針對外貿行業進行釣魚郵件投放 攻擊。攻擊成功后會自動釋放后門程序，將計算機中 Office 文檔、臺賬資料、郵箱和瀏覽器賬號密碼等敏感信息回傳至 該組織的匿名郵箱中。攻擊目標遍布全球多個國家，國內也 有部分企業遭受此類攻擊。工信部網絡安全威脅信息共享平 臺及時預警處置活躍惡意攻擊 IP、 URL 信息， 并通報遭受攻 擊企業采取相應防范措施。 六、 自動化運維工具 SaltStack 被曝存在兩個遠程命令執 行漏洞 5 月 3 日，國外安全團隊披露自動化運維工具 SaltStack 存在兩個高危遠程命令執行漏洞

22、，允許攻擊者以 root 身份劫 持使用該框架的數據中心和云服務,執行任意代碼。 受此漏洞 影響的版本為 SaltStack 3000.2 之前的版本。目前，SaltStack 已發布最新更新， 修復了以上漏洞。 據互聯網公開數據顯示， 目前全球共有 5933 個 IP 開放了 SaltStack 服務， 其中國內數 量為 1086 個，占全球總量的 18.3%。針對該事件，工業和信 息化部網絡安全威脅信息共享平臺迅速組織行業力量，對境 內 SaltStack 資產信息開展了檢測和研判， 確認存在漏洞的用 戶，并指導涉事單位按照相關安全建議修復漏洞及整改系統。 七、 以色列研究人員發現新DNS

23、協議漏洞NXNSAttack， 2020 年上半年網絡安全態勢情況綜述 11 可導致大型分布式拒絕服務攻擊 5 月 21 日， 以色列特拉維夫大學和以色列跨學科中心披 露 DNS 協議漏洞 NXNSAttack，可導致大型分布式拒絕服務 攻擊。研究人員表示，該漏洞主要存在于 Unbound 和 BIND 中， 會影響所有遞歸 DNS 解析器， 已被證實會影響由谷歌、 微軟、亞馬遜、甲骨文和 IBM 等提供的 DNS 服務。目前， 受影響的組織已修復了其軟件和服務器，防止被攻擊。 Unbound 是一個具有驗證、遞歸和緩存等功能的 DNS 解析 器。 據互聯網公開數據顯示， 目前全國共有一百余個

24、 IP 使用 了 Unbound 程序。 BIND 是一款實現 DNS 服務器的開放源碼 軟件，提供雙向解析、轉發、子域授權等功能，是世界上使 用最為廣泛的 DNS 服務器軟件。據互聯網公開數據顯示， 目前全國共有一千余個 IP 使用了 BIND 程序。針對該漏洞， 工信部網絡安全威脅信息共享平臺迅速組織行業力量，確認 境內存在對應漏洞的 Unbound 用戶 IP， 并組織涉事單位按照 相關安全防護建議進行漏洞修復及系統整改。 八、 美國 Treck 公司開發的 TCP/IP 協議實現產品存在嚴 重安全漏洞，影響全球數億臺物聯網設備安全 6月18日， 美國國土安全部發布了一項重要的安全建議，

25、 警告稱有十九個新發現的安全漏洞影響到全球多家供應商 生產的數億臺物聯網設備。這組被稱為“Ripple20”的漏洞位 于Treck公司開發的專用于嵌入式系統的低級TCP/IP軟件庫 2020 年上半年網絡安全態勢情況綜述 12 中，這些漏洞可以用于遠程代碼執行、DoS 攻擊和獲取潛在 的敏感信息。 據統計， 受影響的設備目前已應用于各個行業。 針對該事件，Treck 公司已發布了 TCP/IP 協議棧 6.0.1.67 或 更高版本，修復了大部分漏洞。工信部網絡安全威脅信息共 享平臺及時收錄該漏洞，并通過平臺和官方門戶網站發布了 風險提示，給出技術防范措施與建議。 九、甲骨文云數據平臺泄露數十

26、億條網絡數據記錄 6 月 22 日，據國外媒體報道，美國科技巨頭甲骨文公司 （Oracle）的云數據平臺 BlueKai 被曝出泄漏了數十億條記 錄的 Web 跟蹤數據。 由于平臺服務器處于不安全狀態且沒有 密碼，這些數據正在被泄漏到互聯網中，可被任何人查找。 BlueKai 是一個基于云的大數據平臺，支持甲骨文公司進行 個性化的在線、離線和移動營銷活動。目前，甲骨文公司已 表示將采取其他措施以避免此類問題再次發生。除此以外， 該公司拒絕透露更多細節，并拒絕透露是否就此事件向美國 或國際監管機構發出警告。 十、Netgear 路由器曝出嚴重漏洞，影響 79 種不同設備 2020 年上半年，安全研究人員發現 Netgear 路由器存在 棧緩存溢出遠程代碼執行漏洞，該漏洞影響 79 種不同型號 Netgear 路由器的七百余種固件版本， 受影響的固件版本最早 于 2007 年發布。遠程攻擊者可利用該漏洞以 root 權限執行 代碼并接管設備。通過監測，發現境內受該漏洞影響的用戶 2020 年上半年網絡安全態勢情況綜述 13 IP 四百余個，工信部網絡安全威脅信息共享平臺迅速組織人 員，通過平臺進行預警提示，通知涉事單位及時修復。