当前位置: 首页 > 政务公开 > 网络信息安全 > 工作通知

贵州省工业互联网网络安全情况通报 2022年第1期

发布时间:2022-03-01 17:56 来源:网安处 邹建

贵州省工业互联网网络安全情况通报

2022年第1期

 

一、工业互联网安全监测情况

贵州省级工业互联网安全态势感知平台(以下简称“省级平台”)共监测联网工业企业 3196家;重点工业企业纳入省级平台监测539家

2022年1月省级平台监测工业互联网恶意网络行为共50.62万次,其中高危安全事件(木马后门、挖矿事件和僵尸网络)0.94,共涉及27家贵州省重点工业企业,中危安全事件(非法外联、暴力破解、漏洞利用、渗透提权和web攻击7.43万,共涉及30家贵州省重点工业企业。

二、工业互联网网络安全分析

2.1 挖矿事件分析

2022年1监测发现重点工业企业挖矿事件共502次,较上月环比下降37.25%,涉及5家重点工业企业,较上月减少3家。对挖矿事件分析发现,1月通信次数TOP3的矿池IP为94.23.247.226(法国)、91.121.140.167(法国)和37.187.95.110(法国),上述矿池IP 均指向域名pool.supportxmr.com,该域名均为公共矿池,且该域名的通信样本中检测出CoinMiner挖矿木马

2.2 木马后门分析

2022年1监测发现重点工业企业遭受的木马后门事件数共863次,较上月环比上升1954.76%,涉及20家重点工业企业,较上月新增16对木马后门攻击行为分析,发现1月发起攻击次数最多的木马后门利用恶意DNS查询十六进制编码的IP地址作为域名,持续向DNS服务器请求解析3132372e302e302e31.DHCP。木马后门威胁严重,涉及到的工业企业应高度重视,积极整改处置。

2.3 暴力破解分析

2022年1监测发现重点工业企业暴力破解事件5869次,较上月环比下降40.33%,涉及12家重点工业企业, 较上月新增1家对暴力破解攻击分析发现,1月暴力破解事件的攻击目标主要为SMTP SSHMSSQLTELNET,其中对SSH发起的暴力破解事件数最多,共2439次。SSH暴力破解攻击行为是通过远程访问Linux 服务器22端口,使用默认账户/弱口令、结合社会工程学猜测用户名/口令不断地尝试登录服务器,若攻击成功获得服务器管理权限,将给企业带来经济和名誉损失,严重可造成社会不良影响,企业应重视对开启远程登录主机的安全防护,制定防范暴力破解的安全策略。

2.4 非法外联分析

2022年1月监测发现重点工业企业非法外联事件31333较上月环比下降45.28%涉及16家重点工业企业,较上月新增2家。分析发现,非法外联事件以外联恶意服务器DNS查询恶意域名为主外联恶意服务器通信次数排行TOP3IP为185.128.41.90(瑞士)、82.112.184.197(俄罗斯51.15.98.97(荷兰DNS查询恶意域名次数TOP3为rx.thegov.wincake.pilutce.com和porno-rx0.pwndns.pw,均为挖矿木马的远控端域名

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报督促指导工业企业整改修复网络安全威胁。20221月8家重点工业企业下发威胁信息处置通知单和安全分析报

3.1 贵州某煤炭公司感染挖矿木马

2022年1月省级平台监测发现贵州某煤炭公司IP(58.*.*.201)发生挖矿事件179次。分析发现,贵州某煤炭公司IP(58.*.*.201)感染挖矿木马,存在大量与境外恶意IP(47.241.211.197、47.241.118.174、139.162.81.90、91.121.140.167、172.105.211.250、139.162.112.195)的通信流量,流量特征明显识别出挖矿行为,且上述恶意IP域名反查指向eth-jp1.nanopool.org、pool.supportxmr.com,均为挖矿木马控制端、公共矿池域名。

主机被渗透成功,攻击者获取服务器权限后植入挖矿木马,造成资源和电力资源的大量消耗,同时存在数据泄露风险。建议企业对主机加大安全扫描力度,清除相关恶意程序,修复系统,避免访问带有恶意挖矿程序的文件、网站,加固主机安全,实时评估系统的安全状态,消除风险。并根据威胁通报将矿池IP、域名在网络出口处拦截通信。

3.2 贵州某股份公司感染僵尸网络病毒

2022年1月省级平台监测发现贵州某股份公司IP(61.*.*.198存在僵尸网络通信事件203,分析发现,贵州某股份公司IP(61.*.*.198)存在请求解析hueycrhjkkggssfksu.xyz ujtltbbvwlfzgmdf.xyzhnzysyjxzz.com 大量DGA域名(不规则、可读性差,算法生成的域名),经分析部分请求解析的域名能解析到境外主控IP(209.141.38.71、192.161.187.200、107.161.23.204等),判读该公司IP(61.*.*.198感染了kraken、gozi、pykspa_v2和dnschanger等多个家族的僵尸网络病毒

主机感染僵尸网络病毒,在控制者和被感染主机之间所形成的一个可一对多控制的网络主机,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,存在较大网络安全风险。建议企业采用Web过滤服务,扫描Web站点发出的不正常的行为,或者扫描已知的恶意活动;部署防御系统,调整IDS和IPS,使之查找有僵尸特征的活动,检测并清除僵尸病毒

3.3 遵义某股份公司存在非法外联事件

2022年1月省级平台监测发现遵义某股份公司IP(218.*.*.248存在非法外联事件691次,分析发现,遵义某股份公司IP(218.*.*.248存在大量请求解析info.amynx.com、info.ackng.comt.zz3r0.com等恶意域名的通信流量,上述域名均为恶意软件的远控端域名。

主机非法外联恶意软件远控端域名,存在下载恶意代码和被远控的风险。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信,同时确保终端系统配置安全性,提高对木马病毒抵御能力,提高终端安全强度,采取实时监控、智能阻断或隔离等措施,消除非法外联途径。


【返回顶部】 【关闭窗口】 【打印本页】