工业互联网网络安全情况通报
（2023年第4期）

一、工业互联网安全监测情况

2023年4月，贵州省级工业互联网安全态势感知平台（以下简称“省级平台”）监测发现网络攻击事件共8.9万次，较上月环比下降10.1%，共涉及156家工业企业。截至4月，省级平台监测发现联网工业企业 1596家，重点工业企业纳入省级平台监测539家。

从网络攻击类型方面看，网络攻击类型主要网络嗅探和非法外联为主，合计占网络攻击总数的89.3%，其中网络嗅探事件数量最多、占比最大，共6.81万次，占网络攻击总数的76.5%，较上月环比下降12%。4月木马后门数量降幅最大，较上月环比下降48.4%，漏洞利用事件数量增幅最大，较上月环比上升51.4%，但数量仅占网络攻击总数的1.3%。

从境外网络攻击方面看，4月监测发现由境外IP发起的网络攻击5.95万次，占网络攻击总量的66.9%，环比下降4.7%。从境外网络攻击来源来看，以美国、荷兰和俄罗斯等国家居多，其中源自美国的最多,共发起网络攻击2.92万次，占境外网络攻击总数的49.1%。

二、工业互联网网络安全分析

1、非法外联分析

2023年4月监测发现重点工业企业非法外联事件0.91万次，占重点工业企业网络攻击总数的13.8%，较上月环比上升10.4%。

对非法外联事件进行分析，以外联恶意服务器和DNS查询恶意域名为主。外联恶意服务器通信次数排行前三的IP为3.220.57.224、172.93.194.60和54.91.59.199；DNS查询恶意域名次数最多的为a66.camdvr.org（spyra木马远控端）。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

2、木马后门分析

2023年4月监测发现重点工业企业遭受的木马后门攻击数共220次，仅占重点工业企业网络攻击总数的0.9%，较上月环比下降63%，经研判分析，通报2家重点工业企业。

对木马后门攻击行为分析，活跃的木马后门病毒主要为Ramnit worm和njRAT。木马后门危害较大，涉及到的工业企业应高度重视，积极整改处置。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报，督促指导工业企业整改修复网络安全威胁。2023年4月向5家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1、贵州某电缆公司感染木马后门

2023年4月，省级平台监测发现贵州某电缆公司IP（119.*.*.165）感染木马后门,遭受多个恶意IP发起的木马远控攻击，威胁类型为变种木马ELF/MooBot CnC Checkin。

建议企业立即在边界网络设备或其他安全设备对恶意IP进行封堵；核查企业局域网中与恶意IP通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门，清除异常进程、服务、系统账号和计划任务等。

案例2、贵州某制药公司系统存在多个安全漏洞

2023年4月，漏洞检测发现贵州某制药公司网站（http://58.*.*.188）存在用户信息泄露、任意文件读取和数据库信息泄露安全漏洞，由于系统接口未严格身份认证、参数安全校验，可获取配置文件、数据库账户/口令等敏感信息，上述安全问题可被不法分子用于数据窃取。

建议企业从软件厂商获取补丁包，更新软件版本至最新。对已存的在泄露风险，应及时修改服务器和数据库管理账户/口令。