当前位置: 首页 > 政务公开 > 网络信息安全 > 工作通知

工业互联网网络安全情况通报 2022年第8期

发布时间:2022-10-09 15:58

一、工业互联网安全监测情况

截至2022年8月,贵州省级工业互联网安全态势感知平台(以下简称“省级平台”)共监测发现联网工业企业 1510家;重点工业企业纳入省级平台监测539家

本月省级平台监测工业互联网网络攻击事件共15万次,较上月增加10.7万次,环比上升249.5%,涉及119业企业。从网络攻击类型方面看,本月网络嗅探事件数量最多、增幅最大,共5.88万次,占网络攻击总数的39.1%,较上月环比上升3847.3%,其次为非法外联事件,共3.89万次,占比25.8%,暴力破解攻击事件数量大幅减少,较上月环比下降92.6%,共1459次,占网络攻击总数的1%

从境外网络攻击方面看,本月监测发现由境外IP发起的网络攻击事件共8.2次,占网络攻击总数的54.2%,较上月增加6.6万次,环比上升419.4%。从境外网络攻击来源来看,以美国、荷兰和加拿大等国家居多,其中源自美国的最多,共发起网络攻击3.84万次,占境外网络攻击总数的47.1%。

二、工业互联网网络安全分析

1、非法外联分析

2022年8月监测发现重点工业企业非法外联事件3.0万万次,共涉及15家重点工业企业较上月环比上升275%,占重点工业企业网络攻击总数的29.8%。

对非法外联事件分析发现,以外联恶意服务器和DNS查询恶意域名为主。外联恶意服务器通信次数排行TOP3的IP为152.32.210.131、59.110.150.75和202.106.0.20;DNS查询恶意域名次数TOP3为bilenbiliyor.com、bulbanews.org和d.ttr3p.com,均为恶意软件的远控端域名。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

2、暴力破解分析

2022年8月监测发现重点工业企业遭受暴力破解攻击事件704次,占重点工业企业网络攻击总数的0.7%,较上月环比下降96%,涉及4家重点工业企业4家企业遭受暴力破解攻击次数均较上月环比大幅下降

对暴力破解攻击行为分析发现,8月针对SMTP的暴力破解事件数最多,占比达47.4%;SMTP是电子邮件传输协议,默认端口号为25,主要用来处理电子邮件的收发,攻击者若利用爆破工具爆破出邮箱用户/口令,会导致邮件信息泄露。企业应重视对邮件系统的安全防护,制定防范暴力破解的安全策略

3、挖矿事件分析

2022年8月监测发现重点工业企业挖矿事件85,涉及2家重点工业企业。对挖矿事件分析发现,8月通信次数TOP3的矿池IP为146.190.62.0(美国)、137.184.0.20(美国)和47.242.93.143(中国香港),上述矿池IP指向域名xmr-rx0.pwndns.pw,为公共矿池、挖矿木马远控域名,且域名的通信样本中检测出CoinMiner挖矿木马。建议根据威胁通报将矿池IP、域名在网络出口处拦截通信

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报,督促指导工业企业整改修复网络安全威胁。2022年8月向15家重点工业企业下发威胁信息处置通知单和安全分析报告,网络安全通报案例如下:

案例1、某建设公司存在挖矿事件

2022年8月省级平台监测发现某建设公司存在挖矿通信事件21次,分析发现该公司IP(222.*.*.197)感染挖矿木马,存在与境外恶意IP(146.190.62.0、109.206.241.249)的通信流量,流量特征明显识别出挖矿行为,且上述恶意IP域名反查指向xmr-rx0.pwndns.pw,为私有矿池CoinMiner挖矿木马远控端域名。

主机被渗透成功,攻击者获取服务器权限后植入挖矿木马,造成计算资源和电力资源的大量消耗,同时存在数据泄露风险,建议企业加大对主机的安全扫描力度,清除恶意挖矿程序,同时主机基线安全加固、修复系统漏洞

案例2、某粉末科技公司感染木马后门

2022年8月省级平台监测发现某粉末科技公司IP(111.*.*.234)感染木马后门, 存在与多个境外恶意IP(59.5.53.168、110.225.247.48和1.227.204.153等)进行木马后门通信,被攻击端口为23(Telnet远程管理工具),从攻击载荷中发现C&C指令,分析指令发现攻击者通过wget工具下载恶意脚本至受控主机。

建议企业立即在边界网络设备或其他安全设备对恶意IP进行封堵;核查企业局域网中与恶意IP通信的主机,对主机进行病毒查杀,漏洞扫描与修复,清除后门,清除异常进程、服务、系统账号计划任务等

案例3、某酒股份公司网站目录遍历漏洞导致信息泄露

2022年8检测发现某酒股份公司网站存在IIS目录遍历漏洞,目录遍历漏洞是由于网站存在配置缺陷,导致网站目录可以被任意浏览,这会导致网站隐私文件与路径泄露,访问发现系统SetUSBKey路径下,存在编号、用户名和序列号等敏感信息。建议企业紧急修复该漏洞,关闭IIS服务器端“目录浏览”功能。


【返回顶部】 【关闭窗口】 【打印本页】