当前位置: 首页 > 新闻动态 > 公告

工业互联网网络安全情况通报(2024年第3期)

发布时间:2024-04-18 17:47

一、工业互联网安全监测情况

2024年3月,贵州省级工业互联网安全态势感知平台(以下简称“省级平台”)监测发现网络攻击事件共41.61万次,环比环比上升3.6%,共295家工业企业遭受网络攻击。截止3月,省级平台监测联网工业企业3210家,重点工业企业纳入省级平台监测540家。

从网络攻击类型方面来看,主要以网络嗅探为主,共37.34万次,占网络攻击总数的89.7%,环比上升22.2%。异常流量事件数量排名第二、数量增幅最大,占网络攻击总数的1.8%,环比上升121.7%,非法外联事件数量降幅最大,环比下降24.2%。

从境外网络攻击方面看,本月监测发现由境外IP发起的网络攻击37.03万次,占网络攻击总量的89%。从境外网络攻击来源来看,以美国、英国和德国等国家居多,其中源自美国的最多,发起网络攻击26.19万次,占境外网络攻击总数的70.7%。

二、工业互联网网络安全分析

1、非法外联分析

2024年3月,监测发现重点工业企业非法外联事件2024次,占重点工业企业网络攻击总数的0.8%,环比上升7.1%。

对非法外联事件进行分析,外联通信次数前三的恶意IP/域名分别为:118.34.123.43、imddos.my03.com和fget-career.com,威胁类型均为恶意程序远控端,主动外联存在网络安全风险,疑似感染木马后门,建议企业根据威胁通报将恶意IP在网络出口拦截通信,及时对内网主机进行病毒查杀。

2、木马后门分析

2024年3月,监测发现重点工业企业遭受的木马后门攻击数共1974次,占重点工业企业网络攻击总数的0.76%,环比上升112.5%。活跃的木马后门主要为Bladabindi backdoor和Backdoor/Win.Gh0stRAT,木马后门危害较大,涉及到的工业企业应高度重视,积极整改处置。

3、挖矿事件分析

2024年3月,监测发现重点工业企业挖矿事件数共1556次,占重点工业企业网络攻击总数的0.6%,环比上升38.1%。对挖矿事件分析发现,通信次数最多的矿池IP为13.248.169.48。挖矿事件是主机被渗透成功获取服务器权限后,植入挖矿木马,造成计算资源和电力资源的大量消耗,同时加大企业数据泄露风险,企业应高度重视,及时整改处置。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报,指导督促工业企业整改修复网络安全威胁。2024年3月,向7家重点工业企业下发威胁信息处置通知单和安全分析报告,网络安全通报案例如下:

案例1、贵州征途混凝土有限公司存在HTTP.sys远程代码执行漏洞

2024年3月,工业互联网安全漏洞检测发现贵州征途混凝土有限公司WEB系统(http://117.*.*.152:8089)存在HTTP.sys远程代码执行漏洞(CVE-2015-1635),成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。

建议企业临时建议禁用IIS内核缓存(可能降低IIS性能);安装官方补丁:https://support.microsoft.com/zh-cn/kb/3042553。

案例2、贵州安达科技能源股份有限公司感染木马后门

2024年3月,省级平台监测发现贵州安达科技能源股份有限公司IP(117.*.*.136)感染木马后门。主动外联恶意域名_ superyou.zapto.org,存在木马后门通信流量,该恶意域名威胁类型为Bladabindi后门、njRAT远控和Spybot蠕虫等多种恶意程序远控端。

建议企业立即在边界网络设备或其他安全设备对恶意IP/域名进行封堵;核查企业局域网中与恶意IP/域名通信的主机,对主机进行病毒查杀。

【返回顶部】 【关闭窗口】 【打印本页】