工业互联网网络安全情况通报（2023年第2期）

一、工业互联网安全监测情况

2023年2月贵州省级工业互联网安全态势感知平台（以下简称“省级平台”）监测发现网络攻击事件共10.33万次，较上月增加1.4万次，环比上升15.7%，共涉及146家工业企业。截止2月省级平台监测发现联网工业企业 1596家，重点工业企业纳入省级平台监测539家。

从网络攻击类型方面看，网络攻击类型主要以网络嗅探和非法外联为主，合计占网络攻击总数的88.5%，其中网络嗅探事件数量最多、占比最大，共6.97万次，占网络攻击总数的67.5%，较上月环比上升41.3%。2月挖矿事件数量降幅最大，较上月环比下降78.5%，命令执行事件数量增幅最大，较上月环比上升150%，但数量仅占网络攻击总数的0.2%。

从境外网络攻击方面看，本月监测发现由境外IP发起的网络攻击6.26万次，占网络攻击总量的60.6%，较上月增加1.71万次，环比上升37.6%。从境外网络攻击来源来看，以美国、荷兰和英国等国家居多，其中源自美国的最多,共发起网络攻击3.4万次，占境外网络攻击总数的54.3%。

二、工业互联网网络安全分析

1、非法外联分析

2023年2月监测发现重点工业企业非法外联事件0.86万次，占重点工业企业网络攻击总数的15.3%，较上月环比下降28%。

对非法外联事件进行分析，以外联恶意服务器和DNS查询恶意域名为主。外联恶意服务器通信次数排行前三的IP为36.155.28.155、104.18.32.68和172.64.155.188；DNS查询恶意域名次数最多的为phlogin.com（APT组织Kimsuky）。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

2、木马后门分析

2023年2月监测发现重点工业企业遭受的木马后门攻击数共254次，较上月环比下降28.5%，仅占重点工业企业网络攻击总数的0.5%。

对木马后门攻击行为分析，活跃的木马后门病毒主要为Ramnit worm。木马后门危害较大，涉及到的工业企业应高度重视，积极整改处置。

3、挖矿事件分析

2023年2月监测发现重点工业企业挖矿事件共337次，较上月环比下降78.5%。

对挖矿事件分析发现，通信次数较多的矿池IP为52.76.235.216（新加坡）和47.243.187.166（中国香港），上述矿池IP均指向auto.c3pool.org，为公共矿池域名。挖矿事件是主机被渗透成功获取服务器权限后，植入挖矿木马，造成计算资源和电力资源的大量消耗，同时加大企业数据泄露风险，企业应高度重视，及时整改处置。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报，督促指导工业企业整改修复网络安全威胁。2023年2月向4家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1、贵州某金属公司感染勒索病毒

2023年2月省级平台监测发现贵州某金属公司IP（218.*.*.228）存在勒索病毒通信事件，从其外联的日志分析发现，该IP主动外联了域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，威胁情报标记为“wannacry”勒索病毒，域名虽然已被安全机构接管（安全厂商/安全研究员控制的服务器，用于抢注和占用已知的恶意域名），用于接管/检测恶意软件流量、统计感染量等目的。但不等于安全，连接该域名的恶意软件也依旧会发起请求，只是不再会有进一步的控制指令下发。

建议企业立即在边界网络设备或其他安全设备对恶意IP/域名进行封堵；核查企业局域网中与恶意IP/域名通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门，清除异常进程、服务、系统账号和计划任务等。

案例2、贵州某医药公司系统存在SQL注入漏洞

2023年2月漏洞检测发现贵州某医药公司网站（g*yy.cn）存在SQL注入高危漏洞，由于系统未对用户登录参数的合法性、安全性进行校验和过滤，导致可通过修改get请求传递的参数‘account’进行修改，拼接SQL语句，不法分子可利用该漏洞查询数据库中所有数据。SQL注入漏洞是通过构建特殊的恶意SQL语句作为参数传入应用程序，通过执行SQL语句达到攻击的目的。

建议企业采用SQL预编译、过滤SQL注入基本字符（单引号、-、#、+、%等），过滤SQL语句关键字（or、and、select、database、column、all等），并将数据库普通用户与管理员用户的权限进行严格区分，以减少注入式攻击对数据库带来的危害。