报告解读 > 正文

网宿互联网安全报告之主机安全篇:打工人,你的电脑也正在偷偷为别人打工…

2020-11-19

近日,网宿科技正式发布《2020上半年中国互联网安全报告》,《报告》显示上半年网络攻击呈倍数激增,网络安全形势愈加严峻。借此,我们将推出系列报告解读,帮助行业客户了解网络安全趋势及应对策略。

在我们自嘲“打工人”的时候,殊不知,我们的电脑可能正沦为替别人挖矿的“黑劳工”。

近年来,随着区块链和数字货币的兴起,挖矿成了很多人叩开财富大门的钥匙,也引诱来越来越多唯利是图的黑产团伙。

黑产利用挖矿病毒“绑架”他人电脑,为自己不舍昼夜“挖币”,牟取非法利益高达数千万元甚至更多——去年爆出的一名计算机专业学生给网吧电脑装木马远程“挖矿”,一年半的时间敛财上亿元。

云时代下,作为企业承载数据资产和业务管理的基础设施以及信息安全的最后一公里,主机安全防护面临的威胁不断加剧。网宿科技《2020上半年中国互联网安全报告》显示,2020上半年,86.73%的被入侵主机中都检测出了挖矿病毒,挖矿病毒已经成为黑客变现的主要手段。

网宿科技正式加入CSA全球云安全联盟

下面,让我们一起来看《报告》的具体解读。

超7成攻击集中在80端口、1433端口

据网宿主机安全平台统计,2020上半年,近90%的企业主机使用Linux系统。▼

网宿科技正式加入CSA全球云安全联盟

Linux系统具有更好的兼容性与稳定性、更低的资源消耗,深受企业用户青睐。并且在运维管理上,Linux更适合于大批量自动化管理。

Linux系统82.71%的主机开启了SSHD远程管理,并使用默认的22端口对外提供服务。Windows系统91.08%的主机则开启了RDP远程管理,并使用默认的3389端口对外提供服务。

网宿科技正式加入CSA全球云安全联盟

开放管理端口容易遭受暴力破解攻击,其中,超过7成的攻击集中在80端口和1433端口。▼

网宿科技正式加入CSA全球云安全联盟

网宿云安全团队建议,通过修改默认端口,限制访问IP等方式能够有效缓解暴力破解攻击

异常登录IP大部分来自于海外,尤其是美国

《报告》显示,85.42%的异常登录告警IP来自海外,其中,来源于美国的IP数量远超其他国家和地区。▼

网宿科技正式加入CSA全球云安全联盟

这是因为美国拥有较多的IP资源——许多大型的云厂商、IDC厂商,而这些正是代理服务器的主要来源。

利用应用层组件高危漏洞成主机入侵的重要途径

根据网宿主机探针采集的流行应用、容器、组件漏洞数据,结合入侵溯源分析发现,应用层组件高危漏洞已是主机入侵的重要途径。

网宿科技正式加入CSA全球云安全联盟

与操作系统漏洞相比,应用层组件更多地暴露在互联网上,可直接被远程攻击,且存在更多的远程执行漏洞。与Web业务应用漏洞相比,组件漏洞的通用性更强、使用面更广泛,攻击者无需针对Web业务应用进行漏洞挖掘,组件漏洞结合自动化工具,更容易组成自动化“肉鸡”控制、自动化挖矿等黑产工具链。

《报告》还提到,随着越来越多企业使用大数据技术,许多大数据组件都提供自动化管理API,可提供文件操作、命令执行功能,但企业往往会忽视这些功能的安全使用规范,因而造成许多接口被未授权访问入侵。在对入侵主机进行溯源分析后,发现多起由于Hadoop、Redis、Spark等组件的管理功能被利用导致的入侵事件。

持久化几乎成为主机入侵必备的辅助手段

2020上半年,网宿主机安全平台在超过95%的被入侵主机中均发现了持久化行为。

黑客入侵后通常会通过修改定时任务、开机启动等手段保障恶意进程的持久运行,并通过植入后门账号、后门进程等方式维持控制权限。

网宿科技正式加入CSA全球云安全联盟

相比于传统的PC入侵,服务端的入侵通过修改定时任务维持恶意进程运行的比例远远高于通过修改开机启动的方式,这是由于服务器为了保证业务的连续性,很少进行重启。

同时,主机入侵植入后门的方式也更为多样、更为随机,许多入侵会留下多个后门通道——后门账号、进程、密钥同时实施。普遍存在的持久化入侵行为隐蔽性强,这就要求企业提高排查分析能力。

超8成入侵主机中检测出挖矿病毒

通过对近半年入侵事件进行统计分析发现,86.73%的被入侵主机中检测出了挖矿病毒。

挖矿产业变现快、匿名化、产业链短等特点,使其成为黑客变现主要手段——以往黑客变现需要较长的流程和成熟的团队,而区块链货币出现以后,任何一个黑客都可以“挟持”他人主机算力挖矿,直接牟利,且无法通过经济链路追踪真实身份。由于挖矿病毒产业链极短,黑客还能更方便地使用工具开展自动化的入侵。

网宿主机安全平台从入侵主机当中多次提取到dota家族病毒,该家族病毒已迅速发展到第3代版本,能够自动执行攻击主机、下载病毒、运行挖矿、植入后门、修改定时任务等恶意行为。

企业用户几乎不修改默认安全配置

通过对主机安全基线的核心配置项进行抽样检测分析后发现,用户几乎没有修改操作系统默认的安全配置。对于操作系统默认设置的不安全配置,只有少数用户进行了安全加固。

网宿科技正式加入CSA全球云安全联盟

其原因在于,其一,部分用户认为安全基线不是安全漏洞,造成入侵的可能较低;其二,部分用户在安全与便捷之间选择了便捷,比如使用复杂度低的密码等。除了安全意识不足以外,企业缺乏强制的安全规定也是重要原因。

从上面的分析我们可以看到,当前企业主机安全面临内忧外患的严峻形势,企业亟待升级主机安全防护水平。

部署有效的主机安全防护措施是公认的应对之策。

值得一提的是,网宿打造的主机入侵检测系统HIDS,基于全球智能平台积累的海量攻击数据,通过部署轻量级的主机探针,结合云端智能分析引擎,可为企业主机资产提供覆盖全生命周期的安全威胁监测、分析、预警等服务,包括高效识别弱口令、高危漏洞等常见安全风险;实时监测网页后门植入、病毒木马运行、敏感文件篡改等黑客入侵行为,保障主机安全,守护企业数字资产。(一键了解