当前位置: 首页 > 政务公开 > 网络信息安全 > 工作通知

工业互联网网络安全情况通报 2022年第4期

发布时间:2022-05-23 17:39 来源:网安处 邹建

一、工业互联网安全监测情况

截至2022年4月,贵州省级工业互联网安全态势感知平台(以下简称“省级平台”)共监测联网工业企业 3196家;重点工业企业纳入省级平台监测539家

本月省级平台监测发现工业互联网网络攻击共36.13万次,其中高危安全事件(木马后门、挖矿事件和僵尸网络)0.30万,共涉及3家重点工业企业,中危安全事件(非法外联、暴力破解、漏洞利用、渗透提权和web攻击26.81万,共涉及20家重点工业企业。

二、工业互联网网络安全分析

1.僵尸网络分析

2022年4月监测发现重点工业企业僵尸网络事件共332次,涉及3家重点工业企业4月活跃的僵尸网络病毒家族主要为:bebloh、pyskpa_v2和gameover,涉及到的企业应切断感染主机的网络,进行病毒查杀,加强网络安全意识,不要轻易打开未知来源的可执行文件。

2.暴力破解分析

2022年4月监测发现重点工业企业暴力破解事件3.95次,较上月环比上升8.31%,涉及10家重点工业企业, 较上月新增5对暴力破解攻击分析发现,4月暴力破解攻击主要针对SMTP、SSH、和MSSQL,其中针对SMTP的暴力破解事件数最多,共3.39次。SMTP是简单邮件传输协议,默认端口号为25,主要用来处理电子邮件的发送,攻击者若利用爆破工具爆破出用户的账号口令,会导致信息泄露。企业应重视对开启远程登录主机的安全防护,制定防范暴力破解的安全策略。

3.非法外联分析

2022年4月监测发现重点工业企业非法外联事件2.46次,较上月环比下降58.27%,涉及13家重点工业企业,较上月新增2家。分析发现,非法外联事件以外联恶意服务器和DNS查询恶意域名为主。外联恶意服务器通信次数排行TOP3的IP为27.100.244.190(韩国,矿池)、194.195.223.249(美国,矿池)和139.177.196.162(加拿大,矿池);DNS查询恶意域名次数TOP3为fget-career.com(Ramnit蠕虫病毒远控)、donate.v2.xmrig.com(公共矿池)和coco.miniast.com(私有矿池,挖矿木马远控)。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报,督促指导工业企业整改修复网络安全威胁。2022年4月向8家重点工业企业下发威胁信息处置通知单和安全分析报告。

1.贵州某科技发展公司感染僵尸网络病毒

2022年4月省级平台监测发现贵州某科技发展公司存在僵尸网络通信事件,发现IP(58.*.*.209)存在大量请求DNS服务器解析DGA域名(不规则、可读性差,算法生成的域名),分析发现jrsb--0401083333.01-08.sepc--0912.gn1yg2fyt.com域名能解析到境外主控IP 202.79.174.227

主机感染僵尸网络病毒,在控制者和被感染主机之间所形成的一个可一对多控制的网络主机,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,存在较大网络安全风险。建议企业及时切断感染主机的网络,防止横向传播,并进行全面的病毒查杀。

2.贵州某制药公司系统存在SQL注入漏洞

2022年4检测发现贵州某制药公司系统网站存在SQL注入高危漏洞,网站通过get方式传id参数到后台数据库查询,由于网站未对用户输入的参数进行校验和过滤,导致恶意用户可通过参数拼接SQL语句进行攻击,非法获取数据库中的敏感数据或植入WebShell非法控制服务器。SQL注入的本质原因是应用层代码的漏洞,建议企业紧急修复该漏洞,对所有用户传递的参数进行过滤,过滤SQL语句基本字符(单引号、-、#、+、concat、%等),过滤SQL语句关键字(or、and、select、database、column、all等)。


【返回顶部】 【关闭窗口】 【打印本页】