云顶4008网站-云顶娱4008网址

联系我们

售前服务电话:800-820-8876
售后服务电话:800-820-8839
手机用户可拨打:400-820-8839

2019年第三季度网络安全威胁报告

2019年第3季度安全威胁


本季安全警示:


勒索、挖矿、银行木马、APT


2019年第3季度安全威胁概况


●    本季度替换后客户终端检测并拦截恶意程序约18,590万次。


●    本季度替换后拦截的恶意URL地址共计41,311,314次。


2019年第3季度,替换后共拦截勒索病毒5,160次,其月检测量呈递减趋势:


【2019年勒索病毒检测数量图】


2019年第3季度拦截勒索病毒TOP10中,排名第一位的是RANSOM_WCRY,占到总拦截次数的90%。其次是RANSOM_WANNA和RANSOM_BLOCKER病毒。


【2019年第3季度勒索病毒检测类型TOP10】


替换后对勒索病毒全球分布情况进行统计,其中巴西居首位,其勒索病毒占全球总数的21%,其次是中国和印度。


【2019年第3季度勒索病毒全球分布TOP10】


从勒索病毒分布行业看,黑客更倾向于制造业、保险、银行和医疗等网络安全相对薄弱的企事业单位。


【2019年第3季度勒索病毒行业分布TOP10】


2019年第三季度,替换后截获了多个勒索病毒变种文件,这些勒索病毒家族出现了快速、持续更新版本的现象,而且其功能设计上越来越复杂,在隐藏手法、攻击手法方面不断创新,与杀软厂商的技术持续对抗。


本季度,替换后截获了Paradise(天堂)勒索病毒变种,该病毒从今年4月份开始一直非常活跃。本次截获的最新变种文件,将自身勒索主体代码在内存中解密后执行,通过Flash漏洞(漏洞编号CVE-2018-4878)传播,如果客户使用较低版本的Flash Player将会存在网页被挂马攻击的风险。该勒索病毒加密后的文件扩展名为.NewCore:



加密后勒索通知信息如下:



本季度,替换后还截获了通过混淆JavaScript代码传播的Sodinokibi勒索病毒变种。Sodinokibi勒索病毒首次出现在今年4月份,早期版本使用Web服务相关漏洞传播,后来发现该勒索病毒通过垃圾邮件附件传播,替换后曾经多次截获此类垃圾邮件,其附件是伪装的Word文档,实际上是PE格式的可执行文件,其附件文件名称通常为:關於你案件的文件.doc.exe,聯繫方式.doc.exe,來自最高法院的文件\錶殼材料.doc.exe,稅務局的文件\樣品填充.doc.exe等等,这些带有诱惑性的文件名,极易误导用户点击。


【通过混淆JavaScript代码传播的Sodinokibi勒索病毒】


除了上述提及利用垃圾邮件传播Sodinokibi勒索病毒,本季度替换后还截获了利用PowerShell脚本以“无文件”方式传播的Sodinokibi勒索病毒,如果用户内网存在弱口令、系统漏洞或者应用漏洞,就极有可能被注入恶意的PS脚本,然后下载加密的Sodinokibi勒索病毒主体文件到系统内存中,最终完成勒索行为。


我们对本次截获的病毒样本进行分析,发现它尝试利用CVE-2018-8453漏洞进行提权,该漏洞是安全研究人员于2018年8月份发现的,其是win32k.sys模块中的漏洞,位于win32kfull!xxxDestroyWindow中,是一种“释放后使用”(UAF)类型的漏洞。


... ...



点击下面的地址,下载完整《2019年第三季度网络安全威胁报告》:

2019年第三季度网络安全威胁报告.zip



关于替换后

替换后是云顶娱4008集团“领航产业互联网”版图中的重要业务板块,于2015年由云顶娱4008科技对全球最大的独立网络安全软件提供商趋势科技中国区业务进行收购重组,专注于产业互联网安全服务领域,是中国领先的云与大数据安全技术、产品、方案和服务供应商。替换后在中国北京和南京设有独立研发中心,拥有超过2000人的专业安全团队,以“护航产业互联网”为使命,以“云与大数据的安全技术领导者”为战略愿景,替换后坚持“产品、服务、运营三位一体”的经营模式 ,助力客户构建“立体化主动防御体系”,为国家提供网络安全与云产业安全保障,推动实施自主可控战略。更多关于替换后公司及最新产品信息,请访问:http://www.asiainfo-sec.com

法律声明隐私政策
? 2020 版权所有 云顶4008网站,云顶娱4008网址 蜀ICP备15028617号
XML 地图 | Sitemap 地图