当前位置: 首页 > 政务公开 > 网络信息安全 > 工作通知

工业互联网网络安全情况通报
(2023年第3期)

发布时间:2023-04-24 15:13

一、工业互联网安全监测情况

2023年3月贵州省级工业互联网安全态势感知平台(以下简称“省级平台”)监测发现网络攻击事件共9.9万次,较上月环比小幅下降4.2%,共涉及161家工业企业。截止3月省级平台监测发现联网工业企业 1596家,重点工业企业纳入省级平台监测539家。

从网络攻击类型方面看,网络攻击类型主要以网络嗅探和非法外联为主,合计占网络攻击总数的90.9%,其中网络嗅探事件数量最多、占比最大,共7.74万次,占网络攻击总数的78.2%,较上月环比上升11%。3月挖矿事件数量降幅最大,较上月环比下降97%,木马后门事件数量增幅最大,较上月环比上升95.5%,但数量仅占网络攻击总数的0.7%。

从境外网络攻击方面看,本月监测发现由境外IP发起的网络攻击6.25万次,占网络攻击总量的63.1%,较上月环比下降0.1%。从境外网络攻击来源来看,以美国、荷兰和立陶宛等国家居多,其中源自美国的最多,共发起网络攻击3.82万次,占境外网络攻击总数的61.1%。

二、工业互联网网络安全分析

1、非法外联分析

2023年3月监测发现重点工业企业非法外联事件0.83万次,占重点工业企业网络攻击总数的12.3%,较上月环比下降3.4%。

对非法外联事件进行分析,以外联恶意服务器和DNS查询恶意域名为主。外联恶意服务器通信次数排行前三的IP为172.64.155.188、104.18.32.68和209.197.3.8;DNS查询恶意域名次数最多的为a66.camdvr.org(spyra木马远控端)。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

2、木马后门分析

2023年3月监测发现重点工业企业遭受的木马后门攻击数共595次,较上月环比上升134.3%,但仅占重点工业企业网络攻击总数的0.9%,经研判分析,通报1家重点工业企业。

对木马后门攻击行为分析,活跃的木马后门病毒主要为Ramnit worm。木马后门危害较大,涉及到的工业企业应高度重视,积极整改处置。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报,督促指导工业企业整改修复网络安全威胁。2023年3月向5家重点工业企业下发威胁信息处置通知单和安全分析报告,网络安全通报案例如下:

案例1、贵州某酒业公司感染挖矿木马病毒

2023年3月省级平台监测发现贵州某酒业公司IP(117.*.*.148)存在挖矿通信事件,存在与恶意IP(52.77.129.137和47.242.76.148)的通信流量,且上述恶意IP绑定矿池域名为auto.c3pool.org。从流量特征识别出登录矿池行为,登录矿池钱包地址为:45ddrgT29vNJ1UZTVkgZDHGJdZyEpYye92SgdaV2G2di6xgRXCcFwUFLFkn3EoyDWSKkj9nkE5ogYGpVrAy8j19qRCoPNb3,挖矿客户端软件为XMRig/6.19.0 (Linux x86_64) libuv/1.44.2,主要挖取“门罗币”,感染挖矿木马的主机为linux操作系统。

建议企业立即在边界网络设备或其他安全设备对恶意IP进行封堵;核查企业局域网中与恶意IP通信的主机,对主机进行病毒查杀,漏洞扫描与修复,清除后门,清除异常进程、服务、系统账号和计划任务等。

案例2、贵州某医药公司系统存在源代码泄露

2023年3月漏洞检测发现贵州某医药公司网站(g**y.cn)存在源代码泄露漏洞,由于源代码备份压缩包未限制访问,存在源代码泄露风险,可查询源代码、web应用配置文件、数据库账户/口令等敏感信息,上述安全问题可被不法分子用于数据窃取。

建议企业立即删除源代码备份压缩包,限制备份文件公开访问下载。对已存在的泄露风险,应及时修改服务器和数据库管理账户/口令。

【返回顶部】 【关闭窗口】 【打印本页】