工业互联网网络安全情况通报（2022年第11期）

一、工业互联网安全监测情况

截至2022年11月，贵州省级工业互联网安全态势感知平台（以下简称“省级平台”）共监测发现联网工业企业 1507家；重点工业企业纳入省级平台监测539家。

本月省级平台监测工业互联网网络攻击事件共11.68万次，较上月增加3.43万次，环比上升41.6%，共涉及121家工业企业。从网络攻击类型方面来看，网络攻击类型主要以网络嗅探和非法外联为主，合计占网络攻击总数的74.2%，其中网络嗅探事件数量最多、占比最大，共6.81万次，占网络攻击总数的58.3%，环比上升75.7%。本月异常流量事件降幅最大，较上月减少0.63万次，环比下降98.8%。

从境外网络攻击方面看，本月监测发现由境外IP发起的网络攻击共6.9万次，占网络攻击总量的59.1%，较上月增加2.42万次，环比上升54.1%。从境外网络攻击来源来看，以美国、荷兰和加拿大等国家居多，其中源自美国的最多,共发起网络攻击3.9万次，占境外网络攻击总数的56.5%。

二、工业互联网网络安全分析

1、非法外联分析

2022年11月监测发现重点工业企业非法外联事件1.55万次，较上月环比上升13.5%，占重点工业企业网络攻击总数的21%，通报涉及10家重点工业企业。

对非法外联事件进行分析，以外联恶意服务器和DNS查询恶意域名为主。外联恶意服务器通信次数排行前三的IP为209.99.40.222、31.13.80.37和209.197.3.8；DNS查询恶意域名次数前三分别为fget-career.com（Ramnit蠕虫远控域名）、auto.c3pool.org（公共矿池域名）和cake.pilutce.com（XMRCoinMiner挖矿木马远控域名）。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

2、木马后门分析

2022年11月监测发现重点工业企业遭受的木马后门攻击数共2842次，环比下降35.4%，经研判分析，通报涉及5家重点工业企业，占重点工业企业网络攻击总数的3.9%。

对木马后门攻击行为分析，11月活跃的木马后门病毒主要有BackDoor.Pigeon1、Ramnit worm和ELF/MooBot Variant等。木马后门危害较大，涉及到的工业企业应高度重视，积极整改处置。

3、挖矿事件分析

2022年11月监测发现重点工业企业挖矿事件共84次，环比下降75.7%，涉及1家重点工业企业。对挖矿事件分析发现，通信次数最多的矿池IP为47.243.248.184（中国香港），上述矿池IP指向auto.c3pool.org（公共矿池域名），且域名的通信样本中检测出CoinMiner挖矿木马。建议涉事企业根据威胁通报将矿池IP、域名在网络出口处拦截通信。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报，督促指导工业企业整改修复网络安全威胁。2022年11月向11家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1、某制药公司系统存在shiro反序列rce漏洞

2022年11月检测发现某制药公司生产管理系统（http://117.*.*.75:8180/）存在shiro反序列rce漏洞。Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反序列化，就导致了反序列化RCE漏洞，攻击者可利用该漏洞执行命令获取权限、上传文件。漏洞修复建议：1、Apache shiro官方的漏洞修复采用了在代码中随机生成密钥的方式，因此可以采用升级Shiro版本为1.2.5及以上；2、采用在Shiro配置文件中加入rememberMeManager管理器来硬编码指定加密密钥，此密钥建议采用私有密钥，切勿采用网络上已有密钥。

案例2、某化工公司感染木马后门

2022年11月省级平台监测发现某化工公司IP（222.*.*.52）感染木马后门, 攻击表现为受控主机主动向DNS服务器发起大量域名解析请求，请求解析的域名为fget-career.com，该域名为Ramnit蠕虫病毒的远程控制域名。

建议企业立即在边界网络设备或其他安全设备对恶意IP进行封堵；核查企业局域网中与恶意IP通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门，清除异常进程、服务、系统账号和计划任务等。