当前位置: 首页 > 政务公开 > 网络信息安全 > 工作通知

工业互联网网络安全情况通报(2023年第1期)

发布时间:2023-02-17 08:56

一、工业互联网安全监测情况

2023年1月贵州省级工业互联网安全态势感知平台(以下简称“省级平台”)监测发现网络攻击事件共8.93万次,较上月增加750次,环比上升0.8%,共涉及147家工业企业。截止1月省级平台监测发现联网工业企业 1597家,重点工业企业纳入省级平台监测539家。

从网络攻击类型方面看,网络攻击类型主要以网络嗅探和非法外联为主,合计占网络攻击总数的86.4%,其中网络嗅探事件数量最多、占比最大,共4.93万次,占网络攻击总数的55.3%,较上月环比上升33.2%。1月挖矿事件数量增幅最大,较上月环比上升398.1%,但数量仅占网络攻击总数的1.8%。1月漏洞利用攻击事件数量降幅最大,较上月环比下降88.6%。

从境外网络攻击方面看,本月监测发现由境外IP发起的网络攻击4.55万次,占网络攻击总量的51%,较上月增加0.16万次,环比上升3.7%。从境外网络攻击来源来看,以美国、荷兰和巴西等国家居多,其中源自美国的最多,共发起网络攻击2.33万次,占境外网络攻击总数的51.2%。

二、工业互联网网络安全分析

1、非法外联分析

2023年1月监测发现重点工业企业非法外联事件1.19万次,较上月环比上升17.6%,占重点工业企业网络攻击总数的25.3%,通报涉及6家重点工业企业。

对非法外联事件进行分析,以外联恶意服务器和DNS查询恶意域名为主。外联恶意服务器通信次数排行前三的IP为104.18.32.68、172.64.155.188和221.0.94.20;DNS查询恶意域名次数最多的为auto.c3pool.org(公共矿池域名)。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

2、暴力破解分析

2023年1月监测发现重点工业企业遭受暴力破解攻击事件0.29万次,较上月环比下降81.4%,占重点工业企业网络攻击总数的6.2%;通报涉及4家重点工业企业。

对暴力破解攻击行为分析发现,1月针对SMTP的暴力破解事件数最多,共0.23万次,占比达77.5%;SMTP是电子邮件传输协议,默认端口号为25,主要用来处理电子邮件的收发,攻击者若利用爆破工具爆破出邮箱用户/口令,会导致邮件信息泄露。企业应重视对邮件系统的安全防护,制定防范暴力破解的安全策略。

3、木马后门分析

2023年1月监测发现重点工业企业遭受的木马后门攻击数共355次,较上月环比下降83.9%,仅占重点工业企业网络攻击总数的0.8%,通报涉及3家重点工业企业。

对木马后门攻击行为分析,1月活跃的木马后门病毒主要有BackDoor.Pigeon1.12826 M2和Ramnit worm。木马后门危害较大,涉及到的工业企业应高度重视,积极整改处置。

4、挖矿事件分析

2023年1月监测发现重点工业企业挖矿事件共1564次,较上月环比上升298.1%,仅占重点工业企业网络攻击总数的3.3%,通报涉及2家重点工业企业。

对挖矿事件分析发现,通信次数较多的矿池IP为52.76.235.216(新加坡)、47.243.28.118(中国香港)和47.243.187.166(中国香港),上述矿池IP指向auto.c3pool.org,为公共矿池域名。挖矿事件是主机被渗透成功获取服务器权限后,植入挖矿木马,造成计算资源和电力资源的大量消耗,同时加大企业数据泄露风险,企业应高度重视,及时整改处置。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报,督促指导工业企业整改修复网络安全威胁。2023年1月向10家重点工业企业下发威胁信息处置通知单和安全分析报告,网络安全通报部分案例如下:

案例1、贵州某材料等三家公司存在系统弱口令漏洞

2023年1月检测发现贵州某材料(http://117.*.*.118:81/portal/ui/login)、贵阳某车辆公司(http://117.*.*.118:81/portal/ui/login)和遵义某铝业公司(http://117.*.*.132:8000)三家公司存在系统弱口令漏洞。均使用默认管理员账户admin,存在弱口令,可获得系统管理员权限。系统管理员应定期进行账户弱口令审计,应避免使用默认管理员账户名称,口令应满足一定的复杂度,信息安全最佳实践的密码策略密码必须包含大写字母、小写字母、数字和特殊符号,长度大于8位。

案例2、贵州某制药公司感染挖矿木马

2023年1月省级平台监测发现贵州某水务公司IP(582.*.*.189)遭受网络攻击,感染挖矿木马,存在与境外恶意IP(52.76.235.216、47.243.28.118 、47.243.187.166 、47.243.68.80 、54.255.40.253 、18.142.60.98 、47.242.180.89 、54.255.110.7 、54.255.151.45和52.221.167.149)的通信流量,从流量特征识别出挖矿行为,从流量中分析发现挖矿客户端软件为xmrig/6.18.1-c3pool (linux x86_64) libuv/1.44.1 gcc/9.3.0,感染挖矿木马的主机为linux操作系统,且上述恶意IP绑定域名为auto.c3pool.org、mine.c3pool.com,域名为公共矿池。

建议企业立即在边界网络设备或其他安全设备对恶意IP进行封堵;核查企业局域网中与恶意IP通信的主机,对主机进行病毒查杀,漏洞扫描与修复,清除后门,清除异常进程、服务、系统账号和计划任务等。

【返回顶部】 【关闭窗口】 【打印本页】