启明星辰2017网络安全态势观察报告201810112页

2017网络安全态势观察报告2017网络安全态势观察报告2017网络安全态势观察报告本报告的研究数据和分析资料来自于启明星辰金睛安全研究团队，统计数据来自于启明星辰VenusEye威胁情报中心。主要针对中国2017年（部分安全事件发生于2018年初）的网络安全状况进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构作为互联网信息安全状况的介绍和研究资料，请相关单位酌情使用。如若本报告阐述之状况、数据与其他机构研究结果有差异，请使用方自行辨别，启明星辰公司不承担与此相关的一切法律责任。免责声明2017网络安全态势观察报告关于作者启明星辰金睛安全研究团队金睛安全研究团队是启明星辰集团检测产品本部专业从事威胁分析的团队。主要职责是对现有产品搜集上报的安全事件、样本数据进行挖掘、分析，并向用户提供专业分析报告。该组织会依据数据产生的威胁情报，对其中采用的各种攻防技术做深入的跟踪和分析，并且给出专业的分析结果、提出专业建议，为用户决策提供帮助。金睛安全研究团队成立至今，先后发布了《海德薇Hedwig组织分析报告》、《绕过UAC的恶意样本分析报告》、《“宏”攻击防不胜防，江湖再现新变种》、《卷土重来年度报告之2016年金睛监测数据分析》、《新鲜出炉~内核级后门“DoublePulsar”分析报告》、《金睛为你揭秘APT28是如何干扰法国大选的》、《隐藏17年的Office远程代码执行漏洞现POC样本启明星辰提供解决方案》、《“白象”APT组织近期动态分析报告》等数十份专业安全分析报告。启明星辰VenusEye威胁情报中心Venuseye威胁情报中心（）是由启明星辰集团倾力打造的集威胁情报收集、分析、处理、发布和应用为一体的威胁情报服务系统，是启明星辰多年网络安全研究和积累的集中体现。系统以自有情报和第三方交换情报为基础数据，综合运用静态分析、动态分析、大数据关联分析、深度学习、多源情报聚合等先进技术，生产和提供高质量的威胁情报信息。基于Venuseye威胁情报中心可以提供威胁情报数据、系统、技术和专业能力的输出，启明星辰丰富的网络安全产品和庞大的企业用户群为Venuseye威胁情报中心提供了国内最优质的威胁情报应用生态环境，可以通过在线查询、API对接、离线情报库、私有威胁情报中心解决方案等多种不同形式为广大用户提供全方位的威胁情报服务。2017网络安全态势观察报告在刚刚过去的“两会”上，李克强总理在政府工作报告中指出“过去五年来，我国的国内生产总值从54万亿元增加到82.7万亿元，年均增长7.1%，占世界经济比重从11.4%提高到15%左右，对世界经济增长贡献率超过30%”。上述数字毫无疑问证明我国的经济正走在高速发展的快车道上，这其中数字化经济、互联网+、中国制造2025、一带一路等战略的落地和实施起到了举足轻重的作用。在其驱动下各行各业的业务模式和价值链都在悄然发生着变革，以云计算、大数据、人工智能、物联网为代表的一系列新兴IT技术被广泛应用于生产和生活中，一方面极大地促进了生产力的提升，另一方面也带来了新的网络安全问题。刚刚过去的2017年，对于网络安全来说注定是不平凡的一年。从NSA方程式组织网络攻击武器的大规模泄露，到频繁曝光的各类Office漏洞、Web应用漏洞；从上半年勒索病毒借助网络武器的大爆发，到下半年各类挖矿攻击的大规模盛行；从日益增长的各种供应链攻击，到各类有针对性的APT组织的不断活动。种种爆炸性的网络安全事件让我们深切感受到攻击者的手段更加武器化，利益驱使下的网络攻击呈现产业化、组织化，网络攻击面正在不断扩大。同时，空前规模的DDOS攻击、海量数据的泄漏、关键基础设施一次次的停摆等一个个鲜活的事实向我们证明网络安全早已不再是能不能上网的寻常小事，而是直接关系到国计民生、社会生产乃至国家稳定的大事。2017年已经是网络安全发展史上的过去时，但是历史时刻都在提醒我们正在面临的日益严峻的网络安全状况。对此，启明星辰金睛安全研究团队、VenusEye威胁情报中心联合发布《2017年网络安全态势观察报告》，以观察者的视角尝试剖析2017年网络安全形势及其变化，希望以此为各行业以及相关企业提供网络安全战略和决策的参考。前言2017网络安全态势观察报告概述...............................................................................................................11.NSA网络武器泄露影响深远，网络武器民用化态势明显................................22.Struts2漏洞仍为主力，WebLogic漏洞后发制人.........................................33.僵尸网络攻击态势严重，我国受影响最深....................................................44.Office漏洞爆发年，黑客普遍喜新厌旧.......................................................55.APT组织攻击维度广泛，政府部门最受“偏爱”..........................................66.“上半年勒索，下半年挖矿”，黑客追求更高效的经济利益........................77.IoT设备成黑客新宠，攻击面愈加广泛........................................................78.供应链攻击暗流涌动，令人防不胜防...........................................................9一、web攻击态势观察................................................................................101.1高危加高产的Struts2系列漏洞..............................................................121.2经久不衰的SQL注入攻击........................................................................141.3Webshell木马多样变化多端，难以单点防护...........................................151.4XSS脚本注入攻击风险地位有所降低仍不容忽视.....................................151.5WebLogic系列漏洞成为黑客挖矿攻击的首选...........................................161.6IIS解析漏洞“古老”而又常刷存在感...................................................161.7被格外“器重”的反序列化漏洞..............................................................16二、僵尸网络（木马）攻击态势观察...........................................................192.1僵尸网络（木马）感染态势分析...............................................................202.2通过邮件传播的木马攻击态势分析...........................................................222.3典型样本分析...........................................................................................262.3.1典型窃密木马分析-FormBook.........................................................262.3.2典型键盘记录木马分析-HawkEyeKeylogger..................................272.3.3典型Loader分析-DelphiLoader..................................................30三、恶意文档攻击态势观察.........................................................................323.12017年Office漏洞攻击态势综述............................................................333.2典型漏洞技术分析....................................................................................353.2.1常见的Office文档格式及OLE的存储方式...................................363.2.2OLE处理孪生漏洞：CVE-2017-0199和CVE-2017-8570...................383.2.3.NET框架解析漏洞：CVE-2017-8759.............................................413.2.4公式编辑器栈溢出漏洞：CVE-2017-11882.....................................433.2.5被滥用的DDE机制........................................................................483.3典型组合攻击样本分析.............................................................................48四、高级持续性威胁攻击态势观察...............................................................514.1针对我国攻击的APT组织.........................................................................524.1.1海莲花组织...................................................................................524.1.2白象组织.......................................................................................674.1.3蔓灵花组织...................................................................................77目录2017网络安全态势观察报告4.1.4Lazarus组织................................................................................804.1.5泛APT组织-海德薇...........................................