工业互联网网络安全情况通报
（2023年第6期）

一、工业互联网安全监测情况

2023年6月贵州省级工业互联网安全态势感知平台（以下简称“省级平台”）监测发现网络攻击事件共6.16万次，较上月环比下降17.6%，共涉及129家工业企业。截止6月省级平台监测发现联网工业企业1212家，重点工业企业纳入省级平台监测540家。

从网络攻击类型方面看，主要以网络嗅探为主，共5.27万次,占网络攻击总数的85.5%，较上月环比下降6.4%。非法外联事件数量排名第二，占网络攻击总数的7.7%。暴力破解事件数量排名第三，占网络攻击总数的2.6%。挖矿事件虽较上月环比上升375%，但数量仅占网络攻击总数的0.03%。

从境外网络攻击方面看，本月监测发现由境外IP发起的网络攻4.58万次，占网络攻击总量的74.3%，环比下降13.8%。从境外网络攻击来源来看，以美国、荷兰和英国等国家居多，其中源自美国的最多,共发起网络攻击2.02万次，占境外网络攻击总数的44%。

二、工业互联网网络安全分析

1、非法外联分析

2023年6月监测发现重点工业企业非法外联事件0.37万次，占重点工业企业网络攻击总数的8%，较上月环比下降61.9%。

对非法外联事件进行分析，以外联恶意服务器和DNS查询恶意域名为主。外联恶意服务器通信次数排行前三的IP为185.107.56.198、108.160.169.181和179.60.193.9；DNS查询恶意域名次数最多的为a66.camdvr.org（远控）。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

2、木马后门分析

2023年6月监测发现重点工业企业遭受的木马后门攻击数共129次，仅占重点工业企业网络攻击总数的0.3%。

对木马后门攻击行为分析，活跃的木马后门病毒主要为MooBot，木马后门通信次数前三的攻击IP为103.252.119.101、103.118.30.165和194.180.48.149；木马后门危害较大，涉及到的工业企业应高度重视，积极整改处置。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2023年6月向7家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1、贵州某金属公司感染挖矿木马

2023年6月省级平台监测发现贵州某金属公司IP（218.*.*.228）遭受网络攻击感染挖矿木马，存在与恶意IP（51.15.67.17、51.15.55.100、92.222.217.165、152.228.216.245和51.255.34.80）的通信流量，从流量特征识别出挖矿行为，挖矿客户端软件为XMRig/6.19.0 (Windows NT 10.0; Win64; x64)libuv/1.38.0，感染挖矿木马的主机为Windows操作系统，且上述恶意IP绑定域名xmr-eu2.nanopool.org、cfx-eu2.nanopool.org，域名威胁情报为公共矿池。

建议企业立即核查企业局域网中与恶意/IP域名通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门、异常进程、服务、系统账号和计划任务等。

案例2、贵州某印务公司系统存在安全漏洞

2023年6月漏洞检测发现贵州某印务公司IP（117.*.*.208）存在FTP服务匿名访问漏洞和Wibu-Systems未授权访问漏洞。FTP服务匿名访问漏洞是由于FTP服务启用了匿名登录功能，导致可上传恶意文件，从而获取系统权限，并可能造成数据泄露。Wibu-Systems未授权访问漏洞是由于服务器监控系统未设置访问控制权限，可公开访问服务器监控信息，造成敏感信息泄露，存在遭受恶意用户非法操作的风险。

建议企业禁用FTP匿名登录，建议Wibu-Systems监控系统设置访问控制权限，避免造成数据及敏感信息泄露。