产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
十二月安全舆情报告
2018-01-19 08:48:08
一、国际舆情概况
根据腾讯反病毒实验室的后台统计,12月讨论话题与11月份基本一致,热议话题仍然是漏洞、勒索敲诈、有害样本、攻击事件。而钓鱼事件,垃圾邮件也都保持着稳定的讨论热度,下图为12月资讯分布情况。
12月没有发生重量级安全事件,年底全球欢度节日,安全事件级别都有所下降,不过常见的安全事件类型依旧不断,如“圣诞节临近,出现伪装成Facebook登录页面的钓鱼网页”的钓鱼事件、“加拿大日产被黑,110万客户数据泄露 ”的数据泄露事件、“虚假发票附件”的垃圾邮件事件、以及各种勒索样本、银行木马、漏洞等安全事件。下文将具体列出12月最为典型的4起安全事件,一例为针对工业安全发起的攻击,此次攻击对工业安全来说又敲响了一次警钟;第二个案例是安卓挖矿程序,由于功能的负荷较重,从软件危害演变成硬件危害,带给用户更直观的危害感受;第三个案例是11月份就讨论很火的Mirai僵尸网络的变种Satori,该僵尸网络持续活跃,引起很大的重视,利用的相关漏洞也被厂商及时修复;第四个案例是一起漏洞事件,该漏洞是使用广泛的GoAhead Web Server的,此漏洞将影响IOT安全,在某款路由器上可成功复现。四个案例的详细介绍见下文。
二、热点安全事件概况
12月里没有出现讨论过热的安全事件,以下列举12月四个较典型案例。
1. 工业基础设施遭受Triton攻击——热度☆☆
中东某企业关键基础设施遭受了恶意软件Triton的攻击,攻击者利用Triton攻击框架能与施耐德电气公司的Triconex安全仪表系统控制器SIS形成通信交互。
攻击者通过获取SIS工作站的远程访问控制权限,对SIS控制器进行重新编译,从而在SIS系统中部署Triton攻击框架,利用TriStation协议与SIS控制器发起通信,攻击者可以发送停止命令导致进程关闭,或向SIS控制器上传恶意代码造成保护失效。
2. 安卓Loapi恶意软件,包含挖矿代码,会破坏电池——热度☆☆
本月发现一种Loapi新型安卓恶意软件,伪装成反病毒或色情应用程序,安卓Loapi恶意软件采用模块化构架,可用于执行各种各样的恶意活动,既可以参与DDOS僵尸网络攻击,也可发送短信轰炸。本月发现该恶意软件会针对Monero进行加密货币挖掘,由于挖矿行为产生的负荷比较重,所以会导致电池盖变形。
3. Mirai变种Satori僵尸网络利用华为路由器漏洞CVE-2017-17215进行攻击——热度☆☆☆
华为家用路由器HG532存在0day漏洞(CVE-2017-17215),可以远程执行任意代码,本月发现Satori僵尸网络在37215端口进行攻击,该攻击模式出现在美国、意大利、德国、埃及等地的传感器中,由华为路由器组成了僵尸网络。僵尸主机用伪造的UDP和TCP包对目标发起洪泛攻击,攻击开始后,僵尸主机发起对硬编码域名的DNS请求来解析C&C服务器的IP地址,从DNS响应中获取IP地址,并尝试用硬编码的接口连接。
4. GoAhead远程代码执行漏洞CVE-2017-17562——热度☆
GoAhead Web Server被广泛应用在嵌入式设备中,本月被爆出一个高危漏洞CVE-2017-17562,与 glibc 动态链接器结合使用, 可以利用特殊参数名称 ,如 LD_PRELOAD,实施远程代码执行。攻击者可以在请求的正文中POST其共享对象有效Payload, 并使用/proc/self/fd/0 引用它,目前在某款路由器上可成功复现。
在线咨询
方案定制