中央企业网络安全态势月报(2022年12月)
2023.01.02
一、整体情况 2022年12月,国资国企网络信息安全在线监管平台共监测到中央企业网络安全告警13亿条,环比(上月)减少2.7%,其中高危及以上告警1.5亿条,占比超过10%。
二、攻击情况
针对中央企业的网络攻击类型主要为漏洞探测、口令暴破、信息收集。
漏洞探测方面:发现漏洞探测行为15余万次,尝试利用的安全漏洞主要为Spring Boot Actuator未授权访问漏洞、目录遍历漏洞、PHP代码执行漏洞等。 口令暴破方面:发现口令暴破行为近3万次,主要为HTTP协议口令暴力破解、ORACLE数据库口令暴力破解,SMTP协议口令暴力破解。 信息收集方面:发现信息收集行为8000余次,主要为Spring Boot Actuator未授权访问攻击、网络爬虫行为、Redis未授权访问攻击。三、事件情况 监测发现的网络安全事件类型主要为恶意代码投递、异常通信行为、账号窃取,环比(上月)减少11%。
恶意代码投递常见于僵木蠕事件,攻击者通过引诱目标下载或利用系统漏洞上传等方式向目标植入恶意代码。本月,攻击者利用Apache Struts2架构漏洞向某单位业务系统植入攻击代码,由于通告处置及时,未造成进一步损失。
异常通信行为表现为内部资产与恶意IP地址或域名进行持续性通联,此行为多发生于恶意代码向C2服务器传输窃取的敏感信息。本月,某单位内网资产持续通联恶意IP地址,经调查该资产被植入知名恶意软件CobaltStrike攻击载荷,该单位及时进行了处置闭环。
账号窃取常见于弱口令事件,弱口令暴破是网络渗透的常用攻击手段。本月,监测到某单位邮件系统遭到口令暴破攻击,攻击者破解弱口令后成功登录邮件系统,中资网安协同该单位,及时阻止了攻击者的进一步行动。
