工业互联网网络安全情况通报（2022年第9期）

一、工业互联网安全监测情况

截至2022年9月，贵州省级工业互联网安全态势感知平台（以下简称“省级平台”）共监测发现联网工业企业 1511家；重点工业企业纳入省级平台监测539家。

本月省级平台监测工业互联网网络攻击事件共11.61万次，较上月减少3.42万次，环比下降22.8%，共涉及116家工业企业。从网络攻击类型方面看，本月网络攻击类型主要以网络嗅探、非法外联和异常流量为主，合计占网络攻击总数的88.6%，其中网络嗅探事件数量最多、占比最大，共5.07万次，占网络攻击总数的43.6%，较上月环比下降13.8%，9月漏洞利用攻击事件增幅最大，较上月环比上升362.1%，但仅占网络攻击总数的0.4%。

从境外网络攻击方面看，本月监测发现由境外IP发起的网络攻击事件共6.56万次，占网络攻击总量的56.5%，较上月减少1.59万次，环比下降19.5%。从境外网络攻击来源来看，以美国、荷兰和加拿大等国家居多，其中源自美国的最多,共发起网络攻击3.29万次，占境外网络攻击总数的50.1%。

二、工业互联网网络安全分析

1、非法外联分析

2022年9月监测发现重点工业企业非法外联事件2.6万万次，共涉及13家重点工业企业，较上月环比下降13.3%，占重点工业企业网络攻击总数的31.4%。

对非法外联事件分析发现，以外联恶意服务器和DNS查询恶意域名为主。外联恶意服务器通信次数排行TOP3的IP为82.112.184.197、206.189.61.126和35.205.61.67；DNS查询恶意域名次数TOP3为haeundaejugong.com、maingoogie.com和helpnaver.com，为恶意软件的远控端域名、垃圾邮件和钓鱼域名。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

2、僵尸网络感染分析

2022年9月监测发现重点工业企业僵尸网络感染事件143次，占重点工业企业网络攻击总数的0.2%，较上月环比下降51.7%，涉及3家重点工业企业。

对僵尸网络分析发现，9月最活跃的僵尸网络病毒家族为pykspa_v2，攻击表现为受害IP主动请求DNS服务器解析DGA域名（不规则、可读性差，算法生成的域名），9月僵尸网络通信次数最多的DGA域名为：akymvgjofhd.com。建议涉事企业应切断感染主机的网络，防止僵尸网络病毒横行感染，并对内网所有主机进行病毒查杀。

3、挖矿事件分析

2022年9月监测发现重点工业企业挖矿事件9次，涉及1家重点工业企业。对挖矿事件分析发现，通信的矿池IP为47.243.143.146（中国香港），上述矿池IP指向域名auto.c3pool.org，为公共矿池、挖矿木马远控域名，且域名的通信样本中检测出CoinMiner挖矿木马。建议涉事企业根据威胁通报将矿池IP、域名在网络出口处拦截通信。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报，督促指导工业企业整改修复网络安全威胁。2022年9月向7家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1、某材料公司感染木马后门

2022年9月省级平台监测发现某材料公司IP（58.*.*.82）感染木马后门,与境外恶意IP（8.208.80.83和59.110.168.53）进行木马后门通信，被攻击端口为53（NDS服务），攻击表现为恶意IP向受控主机发送域名解析请求，解析域名lokipanelhostingnew.gq，该域名为恶意软件控制域名、木马下载器。

建议企业立即在边界网络设备或其他安全设备对恶意IP进行封堵；核查企业局域网中与恶意IP通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门，清除异常进程、服务、系统账号和计划任务等。

案例2、某药业公司OA系统存在SQL注入漏洞

2022年9月检测发现某药业公司OA系统（http://e*p.*.*:88）存在SQL注入高危漏洞，主要由于对hdWhere参数未进行过滤导致，且系统使用的是数据库DBA最高权限。SQL注入漏洞是通过构建特殊的恶意SQL语句作为参数传入应用程序，通过执行SQL语句达到攻击的目的，建议企业采用SQL预编译、对用户输入内容进行过滤等方式避免恶意语句嵌入，并将普通用户与管理员用户的权限进行严格区分，以减少注入式攻击对数据库带来的危害。