《2021高级威胁态势研究报告》即将重磅出炉!先围观威胁情报月报
刚刚过去的12月发了很多事件,小编为大家搜罗国内外重点安全威胁情报。这次的内容包含情报综述、IP资产分布、高伪装域名风险提示、威胁事件、漏洞情报、安全解读等多个方面,可用于趋势分析、安全规划、情报研究等。
PS:本文为简版内容,想获取完整版,滑到文末可限时免费获取!从2022年1月开始威胁情报月报仅提供给会员用户,若需订阅后续完整版内容,可以私信联系邮箱:
ti_support@dbappsecurity.com.cn
另外,即将为您奉上《安恒2021高级威胁态势研究报告》,包含2021年的高级威胁,攻击团伙,重大安全事件,在野0day总结四方面内容总结,以及2022年攻击态势的7点研判预测,为您整理最全威胁情报!
精彩内容马上开始......
一
情报综述
全球资讯威胁情报中心论坛12月共发布104篇全球威胁资讯,5篇安全威胁情报周报,1篇安全月报,转载2篇安全分析文。在《中国台湾多家券商遭黑客攻击,解决撞库需从威胁情报开始》中,据台湾省多家媒体报道,11月25日,包括中国台湾省领先券商元大证券在内的多家券商的交易系统涉嫌被黑客撞库攻击,大量客户的证券账户自动下单,批量购买港股。仅在11月25日当天,深蓝科技股价遭遇暴跌,单日跌幅高达33%。文章以威胁情报的视角,阐述了主动防御是最好的安全思路,并给出了详细的主动防御技术。
TI平台12月收录内容包括恶意软件、热点事件、攻击团伙、恶意活动、APT组织事件相关信息;行业遍及政府、电信、金融、教育、医疗、媒体等等;12月情报资讯中收录的关联IOC,累计1802个。
按照攻击类型,其中勒索软件攻击比例最高为22.12%,钓鱼攻击件收录占比第二,为14.42%。
▲ 12月威胁事件攻击类型占比图
12月多数行业均遭到不同程度的恶意威胁,按照攻击行业,分布如下,其中政府部门、金融、医疗卫生、能源收录内容占比较高。
▲ 12月威胁事件行业占比图
12月收录事件以发生在美国、韩国最多,各地占比图如下:
二
IP资产分布
安恒威胁情报中心针对12月恶意IP情报进行分析,整理出12月恶意IP资产分布地图,其中在全球分布地图中,恶意IP最多的前10个国家分别为中国、美国、德国、法国、荷兰、俄罗斯、加拿大、新加坡、英国、日本。其中中国的恶意IP数量最高。
以中国的省市分布来看,IP恶意情报分布排名前5的分别为浙江、四川、江苏、中国香港、北京,其中浙江省的恶意IP占比最高,为19.84%。
三
高伪装域名风险提示
安恒威胁情报中心每月收录与真实域名非常接近的高伪装恶意域名,提醒广大用户提高警惕。12月发现6个高伪装域名,如下:
高伪装域名 | 伪装的相关域名 |
twtter[.]net | 伪装twitter |
youtu-be[.]net | 伪装youtube |
opensshd[.]com | 伪装openssh |
lnkedin[.]org | 伪装linkedin |
playestore[.]net | 伪装Google Play Store |
instegram[.]co | 伪装Instagram |
四
威胁事件
勒索情报综述12月勒索事件在收录事件比例中占比最高,研究人员针对勒索软件的分析、针对勒索团伙的研究,从未停止。过去1个月收录的全球勒索攻击事件中,勒索软件攻击的行业涉及能源、金融、IT行业、医疗卫生、政府部门、制造业等。其中能源和医疗卫生的占比较高,分别占比11.11%。▲12月勒索软件攻击行业比例
从攻击的国家占比来看,美国的勒索软件攻击居多。
▲12月勒索软件攻击国家比例
行业情报综述本月收录行业情报中,政府情报占比第一,金融行业情报第二。其他医疗为什么、能源、学术、制造业、通信、IT行业也均有收录。12月多数行业均遭到不同程度的恶意威胁,按照攻击行业,分布如下,其中政府部门、金融、医疗卫生、能源收录内容占比较高。
▲ 12月威胁事件行业占比图
在收录的APT组织攻击方式中,利用漏洞的攻击最多,占比33.34%,其次是钓鱼攻击,占比22.22%:
五
漏洞情报
1. 微软12月安全更新补丁和多个高危漏洞风险提示
漏洞公告
微软官方发布了12月安全更新公告,包含了微软家族多个软件的安全更新补丁,包括:Microsoft Windows、Office、ASP.NET、Visual Studio、Defender for IoT、Edge(基于 Chromium)等83个安全漏洞。其中包含7个严重和多个高危漏洞。请相关用户及时更新对应补丁修复漏洞。相关链接参考:
https://msrc.microsoft.com/update-guide/releaseNote/2021-Dec
根据公告,此次更新中修复的Microsoft Windows Installer 特权提升漏洞(CVE-2021-43883)、Windows 打印后台处理程序特权提升漏洞(CVE-2021-41333)、Windows 通用日志文件系统驱动程序提权漏洞(CVE-2021-43207、CVE-2021-43226)、远程桌面客户端远程代码执行漏洞(CVE-2021-43233)、iSNS 服务器内存损坏漏洞(CVE-2021-43215)、微软 4K 无线显示适配器远程代码执行漏洞(CVE-2021-43899)等风险较大,建议尽快安装安全更新补丁或采取临时缓解措施加固系统。相关链接参考:
https://msrc.microsoft.com/update-guide/vulnerability/
2.Grafana任意文件读取漏洞风险提示漏洞公告
近日,安恒信息应急响应中心监测到国外安全研究员披露了Grafana任意文件读取漏洞的POC,经验证,该漏洞允许未经身份验证攻击者读取系统任意文件,建议使用该组件的用户尽快采取措施。
通过安恒SUMAP平台对全球部署的Grafana进行统计,最新查询分布情况如下:
全球分布:
漏洞公告
近日,安恒信息应急响应中心监测到Apache Log4j 2官方发布补丁以解决新的远程代码执行漏洞(CVE-2021-44832)。根据官方描述,有权限修改日志配置文件的攻击者可以构建恶意数据造成JNDI注入实现远程代码执行。安恒信息应急响应中心研判:该漏洞利用条件极其苛刻,请大家不必惊慌,但是由于Apache Log4j 2应用较为广泛,建议使用该组件的用户尽快采取安全措施。
参考链接:
https://lists.apache.org/thread/s1o5vlo78ypqxnzn6p8zf6t9shtq5143
当前漏洞状态
细节是否公开 | POC状态 | EXP状态 | 在野利用 |
是 | 已公开 | 已公开 | 未知 |
六
安恒漏洞分析情报
TI漏洞情报12月共发布17条漏洞分析,其中6个超危,11个高危。漏洞情报地址:
https://ti.dbappsecurity.com.cn/vul,更多漏洞特权服务,联系邮箱:
ti_support@dbappsecurity.com.cn
七
安全解读
点击查看:《限量领取|安恒信息推出“挖矿处置宝典” 精准打击挖矿行为》
本文为12月简版内容
如需完整版
扫描二维码立即预约获取