当前位置: 首页 > 政务公开 > 网络信息安全 > 工作通知

工业互联网网络安全情况通报 2022年第3期

发布时间:2022-04-25 13:38

一、工业互联网安全监测情况

截至2022年3月,贵州省级工业互联网安全态势感知平台(以下简称“省级平台”)共监测联网工业企业 3196家;重点工业企业纳入省级平台监测539家。

本月省级平台监测发现工业互联网恶意网络行为共73.70万次,其中高危安全事件(木马后门、挖矿事件和僵尸网络)1.19万次,共涉及19家重点工业企业,中危安全事件(非法外联、暴力破解、漏洞利用、渗透提权和web攻击)25.33万次,共涉及29家重点工业企业。

二、工业互联网网络安全分析

2.1 挖矿事件分析

2022年3月监测发现重点工业企业挖矿事件共45次,较上月环比下降88.06%,涉及3家重点工业企业,较上月新增2家。对挖矿事件分析发现,3月通信次数TOP3的矿池IP为192.161.164.90(美国)、170.187.142.86(美国)和164.92.143.229(美国),上述矿池IP指向域名xmrs.wulifang.nl、ait.pilutce.com,为矿池、挖矿木马远控域名,且域名的通信样本中检测出CoinMiner挖矿木马。

2.2 木马后门分析

2022年3月监测发现重点工业企业遭受的木马后门事件数共1509次,较上月环比下降12.98%,涉及17家重点工业企业,较上月新增4家。对木马后门攻击行为分析,发现3月发起攻击次数最多的木马后门利用恶意DNS查询十六进制编码的IP地址作为域名,持续向DNS服务器请求解析3132372e302e302e31.workgroup,3132372e302e302e31.getCachedDhcpResultsForCurrentConfig。木马后门威胁严重,涉及到的工业企业应高度重视,积极整改处置。

2.3 暴力破解分析

2022年3月监测发现重点工业企业暴力破解事件36509次,较上月环比上升202.20%,涉及12家重点工业企业, 较上月新增4家,对暴力破解攻击分析发现,3月暴力破解攻击主要针对SMTP、SSH、和MSSQL,其中针对SMTP的暴力破解事件数最多,共32255次。SMTP是简单邮件传输协议,默认端口号为25,主要用来处理电子邮件的发送,攻击者若利用爆破工具爆破出用户的账号口令,会导致信息泄露,企业应重视对开启远程登录主机的安全防护,制定防范暴力破解的安全策略。

2.4 非法外联分析

2022年3月监测发现重点工业企业非法外联事件58998次,较上月环比上升96.31%,涉及21家重点工业企业,较上月新增7家。分析发现,非法外联事件以外联恶意服务器和DNS查询恶意域名为主,外联恶意服务器通信次数排行TOP3的IP为18.119.154.66、72.52.178.23和54.209.32.212;DNS查询恶意域名次数TOP3为o.auntions.com、donate.v2.xmrig.com和fget-career.com,为矿池域名、恶意软件远控端域名。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

2.5 僵尸网络分析

2022年3月监测发现重点工业企业僵尸网络事件共575次,涉及5家重点工业企业。对僵尸网络分析发现,3月活跃的僵尸网络病毒家族主要为:bebloh、gameover和pyskpa_v2,涉及到的企业应切断感染主机的网络,进行病毒查杀,加强网络安全意识,不要轻易打开未知来源的可执行文件。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报,督促指导工业企业整改修复网络安全威胁。2022年3月向16家重点工业企业下发威胁信息处置通知单和安全分析报告。

3.1 贵阳某茶叶公司感染挖矿木马

2022年3月省级平台监测发现贵阳某茶叶公司挖矿事件39次,分析发现该公司IP(218.*.*.162)感染挖矿木马,存在大量与境外恶意IP(161.35.181.214、164.92.143.229、170.187.142.86、138.68.44.84、157.245.77.105、96.126.117.129)的通信流量,流量特征明显识别出挖矿行为,且上述恶意IP域名反查指向ait.pilutce.com,为挖矿木马控制端、私有矿池域名。

主机被渗透成功,攻击者获取服务器权限后植入挖矿木马,造成资源和电力资源的大量消耗,同时存在数据泄露风险。建议企业对主机加大安全扫描力度,清除相关恶意程序,修复系统,避免访问带有恶意挖矿程序的文件、网站,加固主机安全,实时评估系统的安全状态,消除风险。并根据威胁通报将矿池IP、域名在网络出口处拦截通信。

3.2 贵州某制药公司感染僵尸网络病毒

2022年3月省级平台监测发现贵州某制药公司存在僵尸网络通信事件159次,分析发现IP(58.*.*.189)存在大量请求DNS服务器解析DGA域名(不规则、可读性差,算法生成的域名),经分析gpaqrrdkmdw.info、ltrfjxikj.biz域名能解析到境外主控IP 208.100.26.245 。

主机感染僵尸网络病毒后,在控制者和被感染主机之间所形成的一个可一对多控制的网络主机,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,存在较大网络安全风险。建议企业采用Web过滤服务,扫描Web站点发出的不正常的行为,或者扫描已知的恶意活动;部署防御系统,调整IDS和IPS,使之查找有僵尸特征的活动,检测并清除僵尸病毒。

【返回顶部】 【关闭窗口】 【打印本页】