工业互联网网络安全情况通报（2022年第10期）

一、工业互联网安全监测情况

截至2022年10月，贵州省级工业互联网安全态势感知平台（以下简称“省级平台”）共监测发现联网工业企业 1510家；重点工业企业纳入省级平台监测539家。

本月省级平台监测工业互联网网络攻击事件共8.25万次，较上月减少3.36万次，环比下降29%，共涉及124家工业企业。网络攻击类型主要以网络嗅探和非法外联为主，合计占网络攻击总数的69.9%，其中网络嗅探事件数量最多、占比最大，共3.87万次，占网络攻击总数的47%，较上月环比下降23.5%。本月挖矿事件增幅最大，较上月环比上升4546.2%，但事件数量仅占网络攻击总数的0.7%。

从境外网络攻击方面看，本月监测发现由境外IP发起的网络攻击事件共4.48万次，占网络攻击总量的54.3%，较上月减少2.09万次，环比下降31.8%。从境外网络攻击来源来看，以美国、荷兰和加拿大等国家居多，其中源自美国的最多,共发起网络攻击2.36万次，占境外网络攻击总数的52.8%。

二、工业互联网网络安全分析

  1、非法外联分析

2022年10月监测发现重点工业企业非法外联事件1.36万次，较上月环比下降47.6%，占重点工业企业网络攻击总数的16.5%。

对非法外联事件分析发现，外联恶意服务器通信次数排行TOP3的IP为162.255.119.63、185.107.56.204和139.99.125.38；DNS查询恶意域名次数TOP3为auto.c3pool.org（公共矿池域名）、fget-career.com（Ramnit蠕虫远控域名）和restless.su（Dofoil木马远控域名）。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

  2、木马后门分析

2022年10月监测发现重点工业企业遭受的木马后门攻击数共4399次，较上月环比上升11.9%，占重点工业企业网络攻击总数的5.3%，经研判分析，通报涉及5家重点工业企业。

对木马后门攻击行为分析，10月活跃的木马后门病毒主要有BackDoor.Pigeon1.12826、Ramnit worm和Gh0st Trojan等，被攻击最多的端口为80（HTTP协议）。木马后门危害较大，涉及到的工业企业应高度重视，积极整改处置。

3、挖矿事件分析

   2022年10月监测发现重点工业企业挖矿事件共604次，涉及2家重点工业企业。对挖矿事件分析发现，通信次数TOP3的矿池IP分别为139.99.123.196（新加坡）、47.243.248.184（中国香港）和47.242.126.131（中国香港），上述矿池IP指向域名pool.supportxmr.com和auto.c3pool.org，均为公共矿池域名，且域名的通信样本中检测出CoinMiner挖矿木马。建议涉事企业根据威胁通报将矿池IP、域名在网络出口处拦截通信。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报，督促指导工业企业整改修复网络安全威胁。2022年10月向9家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

  案例1、某轮胎生产公司感染木马后门

2022年10月省级平台监测发现某轮胎生产公司IP（61.*.*.198）感染木马后门, 攻击表现为受控主机主动向境外DNS服务器（64.6.64.6）发起大量域名解析请求，请求解析的域名为fget-career.com，该域名为Ramnit病毒的远程控制域名、木马下载器。

建议企业立即在边界网络设备或其他安全设备对恶意IP进行封堵；核查企业局域网中与恶意IP通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门，清除异常进程、服务、系统账号和计划任务等。

  案例2、某酿酒公司系统存在弱口令和任意文件上传漏洞

2022年10月检测发现某酿酒公司系统管理系统（g*jt.com）存在弱口令和任意文件上传漏洞，通过弱口令进入系统后台，发现系统存在任意文件上传，getshell获取系统权限。建议企业禁止使用弱口令，口令应满足一定的复杂度，网络安全最佳实践的密码策略必须包含大写字母、小写字母、数字和特殊符号，长度不低于8位；应对任意文件上传，应在系统后台设置白名单限制文件后缀名, 重命名上传的文件,设置上传文件的大小限制,只允许授权用户上传文件。