贵州省工业互联网安全情况通报 2022年第6期

一、工业互联网安全监测情况

截至2022年6月，贵州省级工业互联网安全态势感知平台（以下简称“省级平台”）共监测发现联网工业企业 1509家；重点工业企业纳入省级平台监测539家。

本月省级平台监测工业互联网网络攻击事件共7.48万次，较上月减少15.7万次，环比下降67.7%，涉及96家工业企业。从网络攻击类型方面分析发现，本月暴力破解攻击事件4.04万次，占网络攻击总数的54%，非法外联事件1.96万次，占网络攻击总数的26.2%，异常流量和网络嗅探事件合计共0.81万次，占网络攻击总数的10.8%。境外网络攻击方面，本月监测发现由境外IP发起的网络攻击事件共2.13万次，占网络攻击总数的28.5%。

二、工业互联网网络安全分析

1、暴力破解分析

2022年6月监测发现重点工业企业遭受暴力破解攻击事件3.64万次，占重点工业企业网络攻击总数的67%，较上月环比上升68.6%，涉及10家重点工业企业。

对暴力破解攻击行为分析发现，6月针对SMTP的暴力破解攻击事件数最多,占比达82.6%； SMTP是简单邮件传输协议，默认端口号为25，主要用来处理电子邮件的发送，攻击者若利用爆破工具爆破出邮箱用户/口令，会导致邮件信息泄露。企业应重视对邮件系统的安全防护，制定防范暴力破解的安全策略。

2、非法外联分析

2022年6月监测发现重点工业企业非法外联事件1.65万次，共涉及9家重点工业企业，虽较上月环比下降18.2%，但仍占重点工业企业网络攻击总数的30.3%，企业仍需重点关注。

对非法外联事件分析发现，以外联恶意服务器和DNS查询恶意域名为主。外联恶意服务器通信次数排行TOP3的IP为107.172.89.150、36.153.85.51和162.255.119.224；DNS查询恶意域名次数TOP3为y.szmr.org（CAD盗图团伙）、t.zer9g.com (恶意软件远控)、和webmine.cz（网页挖矿）。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

3、僵尸网络感染分析

2022年6月监测发现重点工业企业僵尸网络通信事件共252次，较上月环比下降28%，占重点工业企业网络攻击总数的0.5%，涉及4家重点工业企业。对僵尸网络分析发现，6月活跃的僵尸网络病毒家族主要为：kraken、enviserv和pykspa_v2，涉及到的企业应切断感染主机的网络，进行病毒查杀，加强网络安全意识，不要轻易打开未知来源的可执行文件。

4、勒索病毒分析

2022年6月监测发现重点工业企业勒索病毒事件6次，涉及1家重点工业企业。分析发现该企业与Locky勒索软件的控制端域名xhrnfffaixawpuob.pw进行通信，勒索病毒相对于其他网络攻击类型，破坏力更大，企业将面临数据泄露、业务中断和高额赎金的风险。企业应立即切断感染主机的网络，进行病毒查杀，防止内网横向感染。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报，督促指导工业企业整改修复网络安全威胁。2022年6月向6家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1 某材料公司感染僵尸网络病毒

2022年6月省级平台监测发现某材料公司感染僵尸网络病毒，从网络流量中发现IP（58.*.*.82）存在大量请求DNS服务器解析DGA域名（不规则、可读性差，算法生成的域名），经分析域名ummytxygnygoutfv.com、qxqkdvwayhengjqm.com、qpkpqowsohir.in和enbbojmjpss.com分别能解析到境外主控IP（172.105.157.192、204.95.99.228、216.218.185.162、64.225.91.73）。

主机感染僵尸网络病毒后，在控制者和被感染主机之间所形成的一个可一对多控制的网络主机，可以导致整个基础信息网络或者重要应用系统瘫痪，也可以导致大量机密或个人隐私泄漏，存在较大网络安全风险。建议企业及时切断感染主机的网络，防止横向传播，并进行全面的病毒查杀。

案例2 某钢铁公司系统存在未授权访问漏洞

2022年6月检测发现某钢铁公司系统存在Apache mod_jk非授权访问漏洞,JK状态管理器是mod_jk的管理界面，由于httpd和Tomcat的路径解析规范之间存在差异，可以绕过Apache mod_jk连接器对由JkMount httpd指令定义的端点的访问控制。该漏洞导致系统信息泄露，公开了内部服务器的主机名、IP 和端口、mod_jk服务的路由以及文件系统上httpd服务器的绝对路径。建议加入用户身份认证机制或者tonken验证，防止直接通过链接就可访问mod_jk的管理界面。