当前位置: 首页 > 政务公开 > 网络信息安全 > 工作通知

贵州省工业互联网安全情况通报 2022年第6期

发布时间:2022-07-25 16:04 来源:网安处 邹建

一、工业互联网安全监测情况

截至2022年6月,贵州省级工业互联网安全态势感知平台(以下简称“省级平台”)共监测发现联网工业企业 1509家;重点工业企业纳入省级平台监测539家。

本月省级平台监测工业互联网网络攻击事件共7.48万次,较上月减少15.7万次,环比下降67.7%,涉及96家工业企业。从网络攻击类型方面分析发现,本月暴力破解攻击事件4.04万次,占网络攻击总数的54%,非法外联事件1.96万次,占网络攻击总数的26.2%,异常流量和网络嗅探事件合计共0.81万次,占网络攻击总数的10.8%。境外网络攻击方面,本月监测发现由境外IP发起的网络攻击事件共2.13万次,占网络攻击总数的28.5%。

二、工业互联网网络安全分析

1、暴力破解分析

2022年6月监测发现重点工业企业遭受暴力破解攻击事件3.64万次,占重点工业企业网络攻击总数的67%,较上月环比上升68.6%,涉及10家重点工业企业。

对暴力破解攻击行为分析发现,6月针对SMTP的暴力破解攻击事件数最多,占比达82.6%; SMTP是简单邮件传输协议,默认端口号为25,主要用来处理电子邮件的发送,攻击者若利用爆破工具爆破出邮箱用户/口令,会导致邮件信息泄露。企业应重视对邮件系统的安全防护,制定防范暴力破解的安全策略。

2、非法外联分析

2022年6月监测发现重点工业企业非法外联事件1.65万次,共涉及9家重点工业企业,虽较上月环比下降18.2%,但仍占重点工业企业网络攻击总数的30.3%,企业仍需重点关注。

对非法外联事件分析发现,以外联恶意服务器和DNS查询恶意域名为主。外联恶意服务器通信次数排行TOP3的IP为107.172.89.150、36.153.85.51和162.255.119.224;DNS查询恶意域名次数TOP3为y.szmr.org(CAD盗图团伙)、t.zer9g.com (恶意软件远控)、和webmine.cz(网页挖矿)。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

3、僵尸网络感染分析

2022年6月监测发现重点工业企业僵尸网络通信事件共252次,较上月环比下降28%,占重点工业企业网络攻击总数的0.5%,涉及4家重点工业企业。对僵尸网络分析发现,6月活跃的僵尸网络病毒家族主要为:kraken、enviserv和pykspa_v2,涉及到的企业应切断感染主机的网络,进行病毒查杀,加强网络安全意识,不要轻易打开未知来源的可执行文件。

4、勒索病毒分析

2022年6月监测发现重点工业企业勒索病毒事件6次,涉及1家重点工业企业。分析发现该企业与Locky勒索软件的控制端域名xhrnfffaixawpuob.pw进行通信,勒索病毒相对于其他网络攻击类型,破坏力更大,企业将面临数据泄露、业务中断和高额赎金的风险。企业应立即切断感染主机的网络,进行病毒查杀,防止内网横向感染。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报,督促指导工业企业整改修复网络安全威胁。2022年6月向6家重点工业企业下发威胁信息处置通知单和安全分析报告,网络安全通报案例如下:

案例1 某材料公司感染僵尸网络病毒

2022年6月省级平台监测发现某材料公司感染僵尸网络病毒,从网络流量中发现IP(58.*.*.82)存在大量请求DNS服务器解析DGA域名(不规则、可读性差,算法生成的域名),经分析域名ummytxygnygoutfv.com、qxqkdvwayhengjqm.com、qpkpqowsohir.in和enbbojmjpss.com分别能解析到境外主控IP(172.105.157.192、204.95.99.228、216.218.185.162、64.225.91.73)。

主机感染僵尸网络病毒后,在控制者和被感染主机之间所形成的一个可一对多控制的网络主机,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,存在较大网络安全风险。建议企业及时切断感染主机的网络,防止横向传播,并进行全面的病毒查杀。

案例2 某钢铁公司系统存在未授权访问漏洞

2022年6月检测发现某钢铁公司系统存在Apache mod_jk非授权访问漏洞,JK状态管理器是mod_jk的管理界面,由于httpd和Tomcat的路径解析规范之间存在差异,可以绕过Apache mod_jk连接器对由JkMount httpd指令定义的端点的访问控制。该漏洞导致系统信息泄露,公开了内部服务器的主机名、IP 和端口、mod_jk服务的路由以及文件系统上httpd服务器的绝对路径。建议加入用户身份认证机制或者tonken验证,防止直接通过链接就可访问mod_jk的管理界面。

【返回顶部】 【关闭窗口】 【打印本页】