安全路透社
当前位置:安全路透社 > 网络转载 > 正文

2017全球威胁情报中心(GTIC)Q2威胁情报报告

屏幕快照 2017-08-14 上午9.18.30.png

NTT Security及其全球威胁情报中心(GTIC)通过对现存的和新出现的安全威胁进行研究和分析,为用户提供及时和可操作的信息,使用户能够更好地了解其组织面临的威胁。

GTIC Q2威胁情报报告介绍了NTT Security研究人员、安全专家以及分析师在过去三个月的研究成果。除了各种各样的开源智能工具和蜜罐外,GTIC-威胁研究(TR)还分析了全球NTT Security管理安全服务(MSS)平台的数据,为研究人员更深入地了解整体威胁形势提供数据支持。

分析结果概要

在2017年第二季度报告中,NTT Security研究人员和分析师通过对全球NTT Security客户端进行的可见性重大事件进行研究,发现了以下重点信息:

1. 全球威胁可见性

总体而言,与上一季度相比,本季度针对客户的攻击事件增加了24%;

基于NTT Security的客户端数据,网络犯罪分子似乎正在使用包含PowerShell命令恶意附件的网络钓鱼电子邮件作为主要攻击向量;

67%的恶意软件分发是基于电子邮件的;

 屏幕快照 2017-08-14 上午10.51.28.png

面向公众的Microsoft SQL(MSSQL)服务器是2017年第二季度网络犯罪分子暴力攻击最喜欢的目标;

在所有攻击类型中,Web应用程序攻击占据21%;应用程序特定攻击占据16%;恶意软件攻击占据12%;侦查攻击占据12%;DoS/DDoS攻击占据10%;

屏幕快照 2017-08-14 上午10.38.17.png

在Web应用程序攻击中,97%是基于SQL注入的;3%是基于PHP注入的;

 屏幕快照 2017-08-14 上午10.40.15.png

总体来说,恶意软件检测在2016年Q4和2017年Q2之间下降了41%;如下图所示,病毒/蠕虫、广告软件以及勒索软件在17年Q2均有所增加,而其他恶意软件变体检测量均呈下降趋势;

屏幕快照 2017-08-14 上午10.46.14.png

Top10被确定的漏洞大致可以分为3种攻击方式:代码执行(73%);数据窃取(20%);拒绝服务(7%);

 屏幕快照 2017-08-14 上午10.55.28.png

针对Adobe Flash Player漏洞的活动占据针对所有Adobe产品活动的98%;

 屏幕快照 2017-08-14 上午10.59.09.png

最易遭受攻击的前五大行业包括制造业(34%)、金融(25%)、医疗健康(13%)、商业服务(6%)以及科技公司(5%);

 屏幕快照 2017-08-14 上午10.18.17.png

2. 制造业攻击现状

NCMS高级副总裁Rebecca Taylor表示,

“如今,大多数的制造系统都是为了生产效率而不是为了安全而存在的,这使得每个制造商都面临着严峻的风险。它们会不会成为攻击目标已经是一个既定的事实,现在就是威胁何时降临的问题。”

制造业是2017第二季度NTT Security客户中遭受攻击最严重的行业,占据整体攻击活动的34%;

屏幕快照 2017-08-14 上午10.21.57.png

【制造业攻击时间线】

制造业在2016年的报告中也是重点攻击目标(13%),出现在五个地区(共六个地区)的“前三名”行列,“前三名”中的其他行业均没有出现在17年第二季度的榜单中;

58%的恶意软件分发在制造业环境中是通过网络下载实现的;

 屏幕快照 2017-08-14 上午10.38.54.png

制造业中86%的恶意软件是木马和滴管(droppers)的变体;

 “侦查攻击”(reconnaissance attack)占据所有针对制造业攻击活动的33%;在此过程中,犯罪分子主要使用ZmEu、Metasploit以及Muieblackcat等工具来扫描面向公众的系统;而在针对制造业的侦查攻击中,75%的侦查工作目标是基于PHP的应用程序;14%为DNS服务器;7%为SNMP或ICMP协议;2%为Web服务器;0.7%为Wordpress;0.05%为NetBIOS 端口;1.25%为其他;

屏幕快照 2017-08-14 上午10.28.44.png

【侦查攻击的目标应用】

Top3与PHP应用相关的漏洞,用于对制造业进行侦查和渗透工作:

 屏幕快照 2017-08-14 上午10.35.19.png

3. Apache Struts漏洞相关数据

Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。
漏洞编号:CVE-2017-5638;
漏洞简介:Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行;
影响范围:Struts 2.3.5 – Struts 2.3.31、Struts 2.5 – Struts2.5.10;

屏幕快照 2017-08-14 上午11.17.25.png

【Struts攻击流程】

Apache Struts(CVE-2017- 5638)漏洞在发现一周内就迅速入围“Top5”攻击类型之列,直至6月底依然位居“Top7”之列;

针对Apache Struts的所有攻击活动中有76%的IP地址属于中国;

在美国,遭受Apache Struts攻击最严重的行业包括教育(37%)和医疗保健(28%);在日本,最严重的行业是政府(46%)。

 屏幕快照 2017-08-14 上午11.20.31.png

安全建议

针对上述威胁,NTT Security建议可以通过下述步骤进行缓解:

定期进行漏洞扫描和渗透测试以确定漏洞状态;

始终坚持深度防御(DiD)安全措施,包括定义内部细分和隔离,从而增加犯罪分子攻击的难度;

建立有正式流程支持的事件响应小组;

通过自动和手动流程实施有效的补丁管理,以确保必要的软件和硬件修补程序,减少漏洞利用概率;

建立应用程序白名单;

确保关键数据、信息、操作系统、应用程序、工具以及配置文件的备份和脱机存储工作;

总结

与2016年第四季度相比,17年第二季度的整体攻击活动增加了24%,其特征主要表现为多种攻击手段相结合。第二季度观察到的攻击包括各种Web应用程序攻击、允许远程执行代码的攻击以及基于网络钓鱼的攻击等。然而,在这些网络钓鱼活动中,犯罪分子开始倾向于在恶意附件的VBA宏中运用PowerShell命令实施攻击。

NTT研究人员还发现“侦查攻击”呈现明显上升趋势-这种趋势在2017年后两个季度可能会持续下去,因为攻击者在确定目标的漏洞后会再次进行更具针对性的工具。

对于制造业来说,今年是难熬的一年,因为33%的侦查攻击都是针对制造业的,预计2017年下半年针对制造业的攻击和恶意软件活动依然会呈上升趋势。

随着越来越多的技术和连接不断被引入制造行业,攻击者也开始将目光瞄准这块“宝地”。虽然通常并不被认为是高度“可攻击的”,但是事实证明,过去几年来,制造业已经成为最受攻击者关注的行业之一,同时也是2017年第二季度最具针对性的行业。

除了制造商独有的潜在威胁外,该行业还面临着各种各样其他的威胁,包括内部和技术等许多行业普遍存在的威胁。

目前,网络犯罪分子的技术手段正在随着技术的发展而不断更新。话虽如此,很多攻击者仍然会使用一些“可靠的”方法,例如利用未打补丁的漏洞等,这一现象也值得企业深思。

关于NTT Security

NTT Security是NTT集团(日本电报电话公司)旗下的专业安全公司,凭借嵌入式安全,我们的集团企业(Dimension Data、NTT Communications 以及 NTT DATA)可以为客户的数字转型提供有弹性的业务解决方案。NTT Security拥有10个安全运维管理平台(SOC)、7个研发中心以及超过1500名安全专家,每年服务处理六大洲数十万起安全事件。

点击查看完整报告信息:

*参考来源:nttcomsecurity,米雪儿编译

未经允许不得转载:安全路透社 » 2017全球威胁情报中心(GTIC)Q2威胁情报报告

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册