当前位置: 首页 > 政务公开 > 网络信息安全 > 工作通知

工业互联网网络安全情况通报 2022年第2期

发布时间:2022-03-28 08:55 来源:网安处 邹建

工业互联网网络安全情况通报

2022年第2期)

一、工业互联网安全监测情况

截至2022年2月,贵州省级工业互联网安全态势感知平台(以下简称“省级平台”)共监测联网工业企业 3196家;重点工业企业纳入省级平台监测539家

本月省级平台监测发现工业互联网恶意网络行为共78.33万次,其中高危安全事件(木马后门、挖矿事件和僵尸网络)1.56万,共涉及27家重点工业企业,中危安全事件(非法外联、暴力破解、漏洞利用、渗透提权和web攻击16.01万,共涉及38家重点工业企业。

二、工业互联网网络安全分析

2.1 挖矿事件分析

2022年2月监测发现重点工业企业挖矿事件共377次,较上月环比下降24.90%,涉及6家重点工业企业,较上月新增3家。对挖矿事件分析发现,2月通信次数TOP3的矿池IP为47.241.118.174(新加坡)、151.106.6.34(法国)和47.241.211.197(新加坡),上述矿池IP指向域名auto.c3pool.org、b.ccmd.website,为公共矿池、挖矿木马远控域名,且域名的通信样本中检测出CoinMiner挖矿木马

2.2 木马后门分析

2022年2月监测发现重点工业企业遭受的木马后门事件数共1734次,较上月环比上升100.93%,涉及22家重点工业企业,较上月新增7家。对木马后门攻击行为分析,发现2月发起攻击次数最多的木马后门利用恶意DNS查询十六进制编码的IP地址作为域名,持续向DNS服务器请求解析3132372e302e302e31.DHCP。木马后门威胁严重,涉及到的工业企业应高度重视,积极整改处置。

2.3 暴力破解分析

2022年2月监测发现重点工业企业暴力破解事件12081次,较上月环比上升105.84%,涉及13家重点工业企业, 较上月新增7家 对暴力破解攻击分析发现,2月暴力破解攻击主要针对SSH、SMTP和TELNET,其中针对SSH的暴力破解事件数最多,共9614次SSH暴力破解攻击行为是通过远程访问Linux 服务器22端口,使用默认账户/弱口令、结合社会工程学猜测用户名/口令不断地尝试登录服务器,若攻击成功获得服务器管理权限,将给企业带来经济和名誉损失,严重可造成社会不良影响,企业应重视对开启远程登录主机的安全防护,制定防范暴力破解的安全策略。

2.4 非法外联分析

2022年2月监测发现重点工业企业非法外联事件30054次,较上月环比下降4.08%,涉及17家重点工业企业,较上月新增5家。分析发现,非法外联事件以外联恶意服务器和DNS查询恶意域名为主外联恶意服务器通信次数排行TOP3的IP为103.224.212.219、104.244.14.252和1.180.89.186;DNS查询恶意域名次数TOP3为rx.thegov.win、tracker.altrosky.nl和pool.bulehero.in,为恶意软件远控端域名、矿池域名。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报,督促指导工业企业整改修复网络安全威胁。2022年2月向11家重点工业企业下发威胁信息处置通知单和安全分析报告。

3.1 贵州某医药公司感染挖矿木马

2022年2月省级平台监测发现贵州某医药公司挖矿事件164,分析发现该公司IP(222.*.*.147)感染挖矿木马,存在大量与境外恶意IP(151.106.6.34、199.247.27.41、14.42.191.77、178.128.242.134、14.42.191.123)的通信流量,流量特征明显识别出挖矿行为,且上述恶意IP域名反查指向b.ccmd.website 、 donate.v2.xmrig.com、aaaa.usa-138.com,为挖矿木马控制端、私有矿池域名

主机被渗透成功,攻击者获取服务器权限后植入挖矿木马,造成资源和电力资源的大量消耗,同时存在数据泄露风险。建议企业对主机加大安全扫描力度,清除相关恶意程序,修复系统,避免访问带有恶意挖矿程序的文件、网站,加固主机安全,实时评估系统的安全状态,消除风险。并根据威胁通报将矿池IP、域名在网络出口处拦截通信。

3.2 某铝业公司存在非法外联事件

2022年2月省级平台监测发现某铝业公司存在非法外联安全事件3059次,分析发现某铝业公司IP(218.*.*.248)存在大量请求解析info.amynx.com、info.ackng.comt.zz3r0.com等恶意域名的通信流量,上述域名为“柠檬鸭”蠕虫病毒、驱动人生后门等恶意软件的远控端。

主机非法外联恶意软件远控端域名,存在下载恶意代码和被远控的风险。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信,同时确保终端系统配置安全性,提高对木马病毒抵御能力,提高终端安全强度,采取实时监控、智能阻断或隔离等措施,消除非法外联途径。

3.3 煤矿感染僵尸网络病毒

2022年2月省级平台监测发现某煤矿存在僵尸网络通信事件26,分析发现,该煤矿IP(111.*.*.191)存在大量请求DNS服务器解析DGA域名(不规则、可读性差,算法生成的域名),经分析2cadju344u2.com、d0slxo29l9ov02il0.com域名能解析到境外主控IP172.67.203.167、174.139.52.196

主机感染僵尸网络病毒,在控制者和被感染主机之间所形成的一个可一对多控制的网络主机,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,存在较大网络安全风险。建议企业采用Web过滤服务,扫描Web站点发出的不正常的行为,或者扫描已知的恶意活动;部署防御系统,调整IDS和IPS,使之查找有僵尸特征的活动,检测并清除僵尸病毒


【返回顶部】 【关闭窗口】 【打印本页】