当前位置: 首页 > 政务公开 > 网络信息安全 > 工作通知

工业互联网网络安全情况通报(2022年第12期)

发布时间:2023-01-19 15:25

一、工业互联网安全监测情况

截至2022年12月,贵州省级工业互联网安全态势感知平台(以下简称“省级平台”)共监测发现联网工业企业 1507家;重点工业企业纳入省级平台监测539家。

本月省级平台监测工业互联网网络攻击事件共8.85万次,较上月减少2.83万次,环比下降24.2%,共涉及119家工业企业。从网络攻击类型方面来看,网络攻击类型主要以网络嗅探、暴力破解和非法外联为主,合计占网络攻击总数的76.5%,其中网络嗅探事件数量最多、占比最大,共3.7万次,占网络攻击总数的41.8%,较上月环比下降45.6%。12月暴力破解事件数量上升最多,较上月增加 0.91万次,挖矿事件数量增幅最大,较上月环比上升273.8%,但数量仅占网络攻击总数的0.4%。

从境外网络攻击方面看,本月监测发现由境外IP发起的网络攻击共4.39万次,占网络攻击总量的49.6%,较上月减少2.51万次,环比下降36.4%。从境外网络攻击来源来看,以美国、巴西和加拿大等国家居多,其中源自美国的最多,共发起网络攻击2.53万次,占境外网络攻击总数的57.7%。

二、工业互联网网络安全分析

1、非法外联分析

2022年12月监测发现重点工业企业非法外联事件1.01万次,较上月环比下降34.7%,占重点工业企业网络攻击总数的19.1%,通报涉及9家重点工业企业。

对非法外联事件进行分析,以外联恶意服务器和DNS查询恶意域名为主。外联恶意服务器通信次数排行前三的IP为114.255.222.101、218.91.199.221和31.13.80.37;DNS查询恶意域名次数排行前三为auto.c3pool.org(公共矿池域名)、fget-career.com(Ramnit蠕虫远控域名)、和ax.ns1.name(恶意软件远控域名)。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

2、暴力破解分析

2022年12月监测发现重点工业企业遭受暴力破解攻击事件1.56万次,较上月环比上升143.6%,占重点工业企业网络攻击总数的29.5%,通报涉及6家重点工业企业。

对暴力破解攻击行为分析发现,12月针对SMTP的暴力破解事件数最多,共1.47万次,占比达94.33%;SMTP是电子邮件传输协议,默认端口号为25,主要用来处理电子邮件的收发,攻击者若利用爆破工具爆破出邮箱用户/口令,会导致邮件信息泄露。企业应重视对邮件系统的安全防护,制定防范暴力破解的安全策略。

3、木马后门分析

2022年12月监测发现重点工业企业遭受的木马后门攻击数共2200次,较上月环比下降22.6%,占重点工业企业网络攻击总数的4.2%,经研判分析,通报3家重点工业企业,占重点工业企业网络攻击总数的4.2%。

对木马后门攻击行为分析,12月活跃的木马后门病毒主要有BackDoor.Pigeon1.12826 M2、Ramnit worm和Trojan-Gh0st等。木马后门危害较大,涉及到的工业企业应高度重视,积极整改处置。

4、挖矿事件分析

2022年12月监测发现重点工业企业挖矿事件共314次,涉及1家重点工业企业。对挖矿事件分析发现,通信矿池IP为165.22.182.211(美国)、142.93.163.207(德国),上述矿池IP指向c4k-rx0.pwndns.pw,为“8220挖矿团伙”的CoinMiner挖矿木马远控端域名。建议涉事企业根据威胁通报将矿池IP、域名在网络出口处拦截通信。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报,督促指导工业企业整改修复网络安全威胁。2022年12月向13家重点工业企业下发威胁信息处置通知单和安全分析报告,网络安全通报案例如下:

案例1、某酿酒公司系统存在任意文件上传漏洞

2022年12月检测发现某酿酒公司系统(http://www.g****t.com/static/admin/ueditor)存在ueditor任意文件上传漏洞。Ueditor是百度开发的一个网站编辑器,绕过文件格式的限制,在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断。漏洞的成因是在获取资源时仅检查了ContentType,导致可以绕过达到任意文件上传。攻击者可以上传任意文件包括脚本执行文件,包括aspx脚本木马,asp脚本木马,还可以利用该UEditor漏洞对服务器进行攻击,执行系统命令破坏服务器。漏洞修复建议:建议将文件上传目录设置无脚本执行权限,uploadvideo、uploadimage、catchimage、uploadscrawl、uploadfile等目录都设置无脚本权限。

案例2、贵州某水务公司感染挖矿木马

2022年12月省级平台监测发现贵州某水务公司IP(222.*.*.107)遭受网络攻击,沦为傀儡机,感染挖矿木马,存在与境外恶意IP(165.22.182.211和142.93.163.207)的通信流量,从流量特征识别出挖矿行为,从流量中分析发现挖矿登录钱包地址:"46khmoXAwCSE7WqR1FTkWNXPQ91uNmpsbj8Bh6XQ9cGtis2RaQNz8YdRKEzJLA1SkAYi85vz8PRWqSqD3ghEHsagRZbwU11,登录密码:pass,挖矿客户端软件为pwnRig/(by pwned) (Linux x86_64),分析感染挖矿木马程序的主机为linux系列服务器,且上述恶意IP绑定域名为c4k-rx0.pwndns.pw,该域名为挖矿木马远程控制端域名。

建议企业立即在边界网络设备或其他安全设备对恶意IP进行封堵;核查企业局域网中与恶意IP通信的主机,对主机进行病毒查杀,漏洞扫描与修复,清除后门,清除异常进程、服务、系统账号和计划任务等。

【返回顶部】 【关闭窗口】 【打印本页】