工业互联网网络安全情况通报（2024年第9期）

一、工业互联网安全监测情况

2024年9月，经监测发现网络攻击事件共39.5万次，环比下降23.9%，共涉及372家工业企业。截至9月末，监测联网工业企业3039家，其中重点工业企业540家。

从网络攻击类型方面看，网络嗅探占比最大，共36.65万次，占网络攻击总数的92.8%，数量降幅最大，环比下降27.2%。木马后门数量排名第二、增幅最大，占网络攻击总数的1.6%，环比大幅上升，是上月的9.9倍。

从网络攻击来源方面看，由境外IP发起的网络攻击29.63万次，占网络攻击总量的75%，以美国、英国和荷兰等国家居多，其中源自美国的最多，发起网络攻击19.77万次，占境外网络攻击总数的67.7%。

二、工业互联网网络安全分析

（一）非法外联分析

2024年9月，监测发现重点工业企业非法外联事件630次，占重点工业企业网络攻击总数的0.3%，环比下降49.8%。对非法外联事件进行分析，外联通信次数前三的恶意IP分别为: 51.77.53.200、38.45.125.10和103.234.72.176，威胁类型均为恶意程序远控端，主动外联存在网络安全风险，疑似感染木马后门，建议企业根据威胁通报将恶意IP在网络出口拦截通信，及时对内网主机进行病毒查杀。

（二）木马后门分析

2024年9月，监测发现重点工业企业遭受的木马后门攻击数共4102次，占重点工业企业网络攻击总数的1.9%，环比大幅上升，是上月的14.8倍。活跃的木马后门威胁对象主要为活跃的木马后门威胁对象主要为Bladabindi backdoor ，远控通信域名为superyou.zapto.org，木马后门危害较大，涉及到的工业企业应高度重视，积极整改处置。

（三）挖矿事件分析

2024年9月，监测发现重点工业企业挖矿事件数共1025次，占重点工业企业网络攻击总数的0.5%，环比下降0.5%。对挖矿事件分析发现，通信次数较多的矿池IP为13.248.252.114、99.83.138.213、3.64.163.50。挖矿事件是主机被渗透成功获取服务器权限后，植入挖矿木马，造成计算资源和电力资源的大量消耗，同时加大企业数据泄露风险，企业应高度重视，及时整改处置。

三、重点工业企业网络安全通报

省通信管理局开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2024年9月，向6家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1：贵州某企业存在HTTP.sys远程代码执行漏洞

2024年9月，工业互联网安全漏洞检测发现贵州企业的管理系统（https://117.*.*.134:8088）存在HTTP.sys远程代码执行漏洞(CVE-2015-1635)，当攻击者向受系统发送特殊设计的HTTP 请求，HTTP.sys 未正确分析时就会导致此漏洞，成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。建议企业及时安装官方补丁：https://support.microsoft.com/zh-cn/kb/3042553。

案例2：贵州某企业感染木马后门

2024年9月，监测发现贵州某企业IP（117.*.*.134）遭受网络攻击感染木马后门，监测流量分析发现存在解析恶意域名superyou.zapto.org的通信行为，威胁类型为Bladabindi后门。建议企业立即核查局域网中与恶意域名通信的主机，对主机进行病毒查杀，漏洞扫描与修复。