2017全球威脅情報中心（GTIC）Q2威脅情報報告

NTT Security及其全球威脅情報中心（GTIC）通過對現存的和新出現的安全威脅進行研究和分析，為用戶提供及時和可操作的信息，使用戶能夠更好地了解其組織面臨的威脅。

GTIC Q2威脅情報報告介紹了NTT Security研究人員、安全專家以及分析師在過去三個月的研究成果。除了各種各樣的開源智能工具和蜜罐外，GTIC-威脅研究（TR）還分析了全球NTT Security管理安全服務（MSS）平台的數據，為研究人員更深入地了解整體威脅形勢提供數據支持。

分析結果概要

在2017年第二季度報告中，NTT Security研究人員和分析師通過對全球NTT Security客戶端進行的可見性重大事件進行研究，發現了以下重點信息：

1. 全球威脅可見性

總體而言，與上一季度相比，本季度針對客戶的攻擊事件增加了24%；

基於NTT Security的客戶端數據，網路犯罪分子似乎正在使用包含PowerShell命令惡意附件的網路釣魚電子郵件作為主要攻擊向量；

67%的惡意軟體分發是基於電子郵件的；

面向公眾的Microsoft SQL（MSSQL）伺服器是2017年第二季度網路犯罪分子暴力攻擊最喜歡的目標；

在所有攻擊類型中，Web應用程序攻擊佔據21％；應用程序特定攻擊佔據16%；惡意軟體攻擊佔據12%；偵查攻擊佔據12%；DoS/DDoS攻擊佔據10%；

在Web應用程序攻擊中，97%是基於SQL注入的；3%是基於PHP注入的；

總體來說，惡意軟體檢測在2016年Q4和2017年Q2之間下降了41%；如下圖所示，病毒／蠕蟲、廣告軟體以及勒索軟體在17年Q2均有所增加，而其他惡意軟體變體檢測量均呈下降趨勢；

Top10被確定的漏洞大致可以分為3種攻擊方式：代碼執行（73%）；數據竊取（20%）；拒絕服務（7%）；

針對Adobe Flash Player漏洞的活動佔據針對所有Adobe產品活動的98％；

最易遭受攻擊的前五大行業包括製造業（34%）、金融（25%）、醫療健康（13%）、商業服務（6%）以及科技公司（5%）；

2. 製造業攻擊現狀

NCMS高級副總裁Rebecca Taylor表示，

「如今，大多數的製造系統都是為了生產效率而不是為了安全而存在的，這使得每個製造商都面臨著嚴峻的風險。它們會不會成為攻擊目標已經是一個既定的事實，現在就是威脅何時降臨的問題。」

製造業是2017第二季度NTT Security客戶中遭受攻擊最嚴重的行業，佔據整體攻擊活動的34%；

【製造業攻擊時間線】

製造業在2016年的報告中也是重點攻擊目標（13%），出現在五個地區（共六個地區）的「前三名」行列，「前三名」中的其他行業均沒有出現在17年第二季度的榜單中；

58%的惡意軟體分發在製造業環境中是通過網路下載實現的；

製造業中86%的惡意軟體是木馬和滴管（droppers）的變體；

 「偵查攻擊」（reconnaissance attack）佔據所有針對製造業攻擊活動的33%；在此過程中，犯罪分子主要使用ZmEu、Metasploit以及Muieblackcat等工具來掃描面向公眾的系統；而在針對製造業的偵查攻擊中，75%的偵查工作目標是基於PHP的應用程序；14%為DNS伺服器；7%為SNMP或ICMP協議；2%為Web伺服器；0.7%為Wordpress；0.05%為NetBIOS 埠；1.25%為其他；

【偵查攻擊的目標應用】

Top3與PHP應用相關的漏洞，用於對製造業進行偵查和滲透工作：

3. Apache Struts漏洞相關數據

Apache Struts是美國阿帕奇（Apache）軟體基金會負責維護的一個開源項目，是一套用於創建企業級Java Web應用的開源MVC框架。
漏洞編號：CVE-2017-5638；
漏洞簡介：Struts使用的Jakarta解析文件上傳請求包不當，當遠程攻擊者構造惡意的Content-Type，可能導致遠程命令執行；
影響範圍：Struts 2.3.5 – Struts 2.3.31、Struts 2.5 – Struts2.5.10；

【Struts攻擊流程】

Apache Struts（CVE-2017- 5638）漏洞在發現一周內就迅速入圍「Top5」攻擊類型之列，直至6月底依然位居「Top7」之列；

針對Apache Struts的所有攻擊活動中有76％的IP地址屬於中國；

在美國，遭受Apache Struts攻擊最嚴重的行業包括教育（37％）和醫療保健（28％）；在日本，最嚴重的行業是政府（46％）。

安全建議

針對上述威脅，NTT Security建議可以通過下述步驟進行緩解：

定期進行漏洞掃描和滲透測試以確定漏洞狀態；

始終堅持深度防禦（DiD）安全措施，包括定義內部細分和隔離，從而增加犯罪分子攻擊的難度；

建立有正式流程支持的事件響應小組；

通過自動和手動流程實施有效的補丁管理，以確保必要的軟體和硬體修補程序，減少漏洞利用概率；

建立應用程序白名單；

確保關鍵數據、信息、操作系統、應用程序、工具以及配置文件的備份和離線存儲工作；

總結

與2016年第四季度相比，17年第二季度的整體攻擊活動增加了24%，其特徵主要表現為多種攻擊手段相結合。第二季度觀察到的攻擊包括各種Web應用程序攻擊、允許遠程執行代碼的攻擊以及基於網路釣魚的攻擊等。然而，在這些網路釣魚活動中，犯罪分子開始傾向於在惡意附件的VBA宏中運用PowerShell命令實施攻擊。

NTT研究人員還發現「偵查攻擊」呈現明顯上升趨勢-這種趨勢在2017年後兩個季度可能會持續下去，因為攻擊者在確定目標的漏洞後會再次進行更具針對性的工具。

對於製造業來說，今年是難熬的一年，因為33%的偵查攻擊都是針對製造業的，預計2017年下半年針對製造業的攻擊和惡意軟體活動依然會呈上升趨勢。

隨著越來越多的技術和連接不斷被引入製造行業，攻擊者也開始將目光瞄準這塊「寶地」。雖然通常並不被認為是高度「可攻擊的」，但是事實證明，過去幾年來，製造業已經成為最受攻擊者關注的行業之一，同時也是2017年第二季度最具針對性的行業。

除了製造商獨有的潛在威脅外，該行業還面臨著各種各樣其他的威脅，包括內部和技術等許多行業普遍存在的威脅。

目前，網路犯罪分子的技術手段正在隨著技術的發展而不斷更新。話雖如此，很多攻擊者仍然會使用一些「可靠的」方法，例如利用未打補丁的漏洞等，這一現象也值得企業深思。

關於NTT Security

NTT Security是NTT集團（日本電報電話公司）旗下的專業安全公司，憑藉嵌入式安全，我們的集團企業（Dimension Data、NTT Communications 以及 NTT DATA）可以為客戶的數字轉型提供有彈性的業務解決方案。NTT Security擁有10個安全運維管理平台（SOC）、7個研發中心以及超過1500名安全專家，每年服務處理六大洲數十萬起安全事件。

點擊閱讀原文查看完整報告信息。

*參考來源：

nttcomsecurity

，米雪兒編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！