工业互联网网络安全情况通报（2023年第7期）

一、工业互联网安全监测情况

2023年7月贵州省级工业互联网安全态势感知平台（以下简称“省级平台”）监测发现网络攻击事件共18.96万次，较上月环比上升207.6%，共131家工业企业遭受网络攻击。大量境外IP对我省工业企业发起网络扫描，截至7月工业互联网攻击事件数量较上月大幅上升。截止7月省级平台监测发现联网工业企业1212家，重点工业企业纳入省级平台监测540家。

从网络攻击类型方面看，主要以网络嗅探为主，共18.32万次,占网络攻击总数的96.7%，较上月环比上升247.7%。非法外联事件数量排名第二，共0.34万次，占网络攻击总数的1.8%，环比下降28.2%。暴力破解事件数量排名第三，占网络攻击总数的0.9%。命令执行事件虽较上月环比上升318.2%，但数量仅占网络攻击总数的0.2%。

从境外网络攻击方面看，本月监测发现由境外IP发起的网络攻击共17.37万次，占网络攻击总量的91.7%。从境外网络攻击来源来看，以美国、英国和荷兰等国家居多，其中源自美国的最多,共发起网络攻击10.86万次，占境外网络攻击总数的62.5%。

二、工业互联网网络安全分析

1、非法外联分析

2023年7月监测发现重点工业企业非法外联事件3324次，占重点工业企业网络攻击总数的2.1%，较上月环比下降9.9%。

对非法外联事件进行分析，以外联恶意服务器为主。外联恶意服务器通信次数排行前三的IP为120.48.101.89、39.108.248.6和210.245.60.235。建议企业根据威胁通报将恶意IP在网络出口拦截通信。

2、木马后门分析

2023年7月监测发现重点工业企业遭受的木马后门攻击数共87次，仅占重点工业企业网络攻击总数的0.1%。

对木马后门攻击行为分析，活跃的木马后门主要为ELF/MooBot CnC Checkin，木马后门通信次数前三的攻击IP为103.178.228.64、89.23.145.30和8.218.240.80；木马后门危害较大，涉及到的工业企业应高度重视，积极整改处置。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2023年7月向6家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1、贵州某电缆公司感染木马后门

2023年7月省级平台监测发现贵州某电缆公司IP（119.*.*.165）感染木马后门,共遭受103.178.228.64和89.23.145.30等共8个恶意IP发起的木马远控攻击，威胁类型为变种木马ELF/MooBot CnC Checkin。

建议企业立即在边界网络设备或其他安全设备对恶意IP进行封堵；核查企业局域网中与恶意IP通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门，清除异常进程、服务、系统账号和计划任务等。

案例2、遵义某水泥公司系统存在安全漏洞

2023年7月漏洞检测发现遵义某水泥公司IP（222.*.*.236）存在弱口令和垂直越权漏洞。系统存在默认账户test，多个账户存在弱口令（123456），建议及时做好用户口令审计，修改弱口令，关停未使用账户，设置大小写字母+数字+特殊字符的强口令。系统存在越权漏洞，权限低的用户可以访问到权限较高的系统信息，存在非法操控系统、敏感数据泄露风险。建议加强用户权限认证，执行关键操作前必须验证用户身份，验证用户是否具备操作数据的权限。