工业互联网网络安全情况通报
（2023年第5期）

一、工业互联网安全监测情况

2023年5月贵州省级工业互联网安全态势感知平台（以下简称“省级平台”）监测发现网络攻击事件共7.48万次，较上月环比下降16%，共涉及154家工业企业。截止5月省级平台监测发现联网工业企业 1212家，重点工业企业纳入省级平台监测540家。

从网络攻击类型方面看，网络攻击类型主要网络嗅探和非法外联为主，合计占网络攻击总数的91.1%，其中网络嗅探事件数量最多、占比最大，共5.63万次，占网络攻击总数的75.3%，较上月环比下降17.3%。非法外联事件数量排名第二，占网络攻击总数的15.8%，环比上升3.7%。暴力破解事件数量排名第三，占网络攻击总数的4.4%，环比下降18.8%。木马后门事件虽较上月环比上升35.9%，但数量仅占网络攻击总数的0.7%。

从境外网络攻击方面看，本月监测发现由境外IP发起的网络攻击5.31万次，占网络攻击总量的71.1%，环比下降10.8%。从境外网络攻击来源来看，以美国、荷兰和俄罗斯等国家居多，其中源自美国的最多,共发起网络攻击2.45万次，占境外网络攻击总数的46.1%。

二、工业互联网网络安全分析

1、非法外联分析

2023年5月监测发现重点工业企业非法外联事件0.97万次，占重点工业企业网络攻击总数的17.3%，较上月环比上升6.2%。

对非法外联事件进行分析，以外联恶意服务器和DNS查询恶意域名为主。外联恶意服务器通信次数排行前三的IP为172.93.194.60、3.220.57.224和54.91.59.199；DNS查询恶意域名次数最多的为webmine.cz（公共矿池）。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

2、木马后门分析

2023年5月监测发现重点工业企业遭受的木马后门攻击数共364次，仅占重点工业企业网络攻击总数的0.7%。

对木马后门攻击行为分析，活跃的木马后门病毒主要为Ramnit worm和MooBot，木马后门远控通信次数前三的攻击IP为141.98.6.222、163.123.142.162和103.178.228.35；木马后门危害较大，涉及到的工业企业应高度重视，积极整改处置。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2023年5月向7家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1、贵州某金属公司感染勒索病毒

2023年5月省级平台监测发现贵州某金属公司IP（218.*.*. 228）感染勒索病毒, 主动请求解析域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，该域名为WannaCry病毒家族，一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用此前披露的Windows SMB服务漏洞（对应微软漏洞公告：MS17-010）攻击手段，向终端用户进行渗透传播。

建议企业立即核查企业局域网中与恶意域名通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门、异常进程、服务、系统账号和计划任务等。

案例2、贵州某水泥公司系统存在多个安全漏洞

2023年5月漏洞检测发现贵州某水泥公司网站（http://222.*.*.5:8002）存在目录浏览漏洞和敏感信息泄露漏洞，IIS目录浏览漏洞是由于网站存在配置缺陷，导致网站目录可以被任意浏览，这会导致网站很多隐私文件与目录泄露。由于未验证用户身份，可未授权访问系统客户结算表、SQL查询语句等敏感信息泄露。

建议企业修改IIS服务器配置，禁用目录浏览功能；系统设置严格访问控制功能，禁用未授权访问系统页面。