书签 分享 收藏 举报 版权申诉 / 12

类型微步在线重保情报订阅-2022年10月10日(29)(1).pdf

  • 上传人:max1024
  • 文档编号:100758361
  • 上传时间:2023-07-23
  • 格式:PDF
  • 页数:12
  • 大小:671.68KB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    在线 情报 订阅 2022 10 29
    资源描述:
    1微步客户专属情报服务,未经许可,禁止转载重保情报订阅服务2022/10/12022/10/10微步在线 微步情报局Page 2北京微步在线科技有限公司|目录一、整体攻击态势.31.1攻击源分析.31.2攻击手法分析.41.3防御建议.8二、APT/黑客组织动态.8三、漏洞情报.8四、行业威胁情报.8附录-微步情报局.11Page 3北京微步在线科技有限公司|微步在线为企业提供重保时期的全局视野。基于微步三大核心能力 威胁情报、漏洞情报和检测引擎,在重保时期,输出覆盖整体攻击态势、APT/黑客组织动态、漏洞情报、行业情报等多维度安全情报,便于微步客户实时掌握最新态势信息,针对性地制定防御政策。一、整体攻击态势1.1 攻击源分析1.基于微步云端大数据和 IP 基础情报统计发现,过去 24 小时内,境外攻击源地理位置主要分布于美国、荷兰、俄罗斯等地,具体分布如下图所示:2.基于微步云端大数据和 IP 基础情报统计发现,过去 24 小时内,境内攻击源地理位置主要分布于天津市、浙江省、广东省等地,具体分布如下图所示:Page 4北京微步在线科技有限公司|3.在过去 24 小时内,以下境外攻击源发起大量漏洞攻击。攻击源 IP攻击特征微步情报标签129.226.211.159大量漏洞扫描腾讯云主机、基础信息167.71.108.98大量漏洞扫描傀儡机139.162.80.45大量漏洞扫描基础信息、Linode 云主机、扫描、傀儡机46.101.145.18大量漏洞扫描扫描、傀儡机188.166.92.250大量漏洞扫描扫描、傀儡机54.226.76.81大量漏洞扫描亚马逊云主机、基础信息、IDC 服务器20.195.215.120大量漏洞扫描基础信息、微软云主机176.37.60.16大量漏洞扫描VPN 代理入口、扫描、代理172.105.198.48大量漏洞扫描基础信息、Linode 云主机、扫描、傀儡机165.22.209.0大量漏洞扫描扫描Page 5北京微步在线科技有限公司|139.59.30.14大量漏洞扫描扫描、傀儡机142.93.208.83大量漏洞扫描扫描、傀儡机142.93.208.41大量漏洞扫描垃圾邮件、扫描、傀儡机159.65.30.91大量漏洞扫描动态 IP、基础信息、扫描、傀儡机68.183.80.22爆破 SSH动态 IP、基础信息、扫描、傀儡机68.183.83.242大量漏洞扫描动态 IP、基础信息、扫描、傀儡机80.76.51.230爆破 SSH扫描、傀儡机172.104.92.67大量漏洞扫描基础信息、Linode 云主机、扫描、傀儡机177.8.172.254大量漏洞扫描159.65.147.59大量漏洞扫描扫描、傀儡机1.2 攻击手法分析1.基于微步云端大数据分析,在过去24小时内,攻击者利用“PHPCMS 安全漏洞”、“ApacheLog4j 代码问题漏洞”漏洞攻击较多,多数攻击针对 23、80、445 等端口,发起攻击手法的 TOP20 如下。漏洞名称CVE 编号PHPCMS 安全漏洞CVE-2018-14399Apache Log4j 代码问题漏洞CVE-2021-44228rConfig 操作系统命令注入漏洞CVE-2019-16662Drupal Drupalgeddon2 远程代码执行CVE-2018-7600GNU Bash 远程代码执行漏洞CVE-2014-6271phpMyAdmin=4.8.1 后台 checkPageValidity 函数缺陷可导致CVE-2018-12613Page 6北京微步在线科技有限公司|GETSHELLApache Struts 2 远程命令执行漏洞CVE-2017-5638Apache HTTPd 2.4.49 路径穿越与命令执行漏洞CVE-2021-41773Microsoft Exchange SSRF 漏洞CVE-2021-26855Apache SkyWalking SQL 注入漏洞CVE-2020-9483Apache Shiro 1.7.1 权限绕过漏洞CVE-2020-17523apache druid 信息泄露漏洞CVE-2021-36749Zabbix 3.0.3 SQL 注入漏洞CVE-2016-10134Dasan GPON 家庭路由器命令注入漏洞CVE-2018-10562VMware vRealize Operations 服务端请求伪造漏洞CVE-2021-21975MessageSolution 企业邮件归档管理系统 EEA 信息泄露漏洞Atlassian Jira ViewUserHover 用户名枚举信息泄露漏洞CVE-2020-14181Citrix Application Delivery Controller 和 Gateway 目录遍历漏洞CVE-2019-19781ShopXO 存在任意文件读取漏洞(CNVD-2021-15822)SonarQube API 未授权访问导致信息泄露漏洞CVE-2020-27986Page 7北京微步在线科技有限公司|Page 8北京微步在线科技有限公司|1.3 防御建议1.建议对上述活跃的攻击源加强监测,并在必要情况下采取防御措施;2.建议结合主流利用漏洞信息采取及时修复措施,并进行资产风险收敛。二、APT/黑客组织动态今日暂无新增 APT/黑客组织动态。三、漏洞情报今日暂无新增漏洞威胁情报。四、行业威胁情报4.1 Witchetty 组织使用新的工具瞄准政府展开攻击Tag:Witchetty,政府事件概述:Witchetty(又名 LookFrog)是一个新的间谍组织,旨在使用新的恶意软件瞄准中东和非洲的目标。该组织最早由 ESET 于 2022 年 4 月在报告中披露,并指出该组织是 TA410 的三个子组织之一。近日,Symantec 发文指出 Witchetty 组织在 2022 年 2 月至 2022 年 9 月 瞄准两个中东国家的政府和一个非洲国家的证券交易所展开攻击。攻击者利用 ProxyShell(CVE-2021-34473、CVE-2021-34523Page 9北京微步在线科技有限公司|和 CVE-2021-31207)和 ProxyLogon(CVE-2021-26855 和 CVE-2021-27065)漏洞,在面向公众的服务器上安装 Web Shell 窃取凭据、在网络中横向移动以及在其他计算机上安装恶意软件展开攻击。技术详情:威胁组织利用 ProxyShell 和 ProxyLogon 漏洞,在服务器上安装 webshell,利用 LSASS 进程转储并在网络中进行横向移动,下载远程文件安装 LookBack 后门,执行 PowerShell 脚本,并试图从 C2 服务器执行恶意代码。来源:https:/symantec-enterprise- 施 耐 德 电 气 修 复 可 编 程 逻 辑 控 制 器(PLC)关 键 漏 洞(CVE-2021-22779)Tag:施耐德,漏洞事件概述:近日,外媒发表报道指出施耐德电气为其 EcoStruxure 平台和一些 Modicon 可编程逻辑控制器(PLC)发布了补丁,以解决一年多前披露的一个严重漏洞 CVE-2021-22779。该漏洞是身份验证绕过漏洞,攻击者可通过欺骗控制器和 M340 控制器之间的 Modbus 通信,以读写模式进行未经授权的访问,可以改变 PLC 的操作,同时对管理控制器的工程工作站隐藏恶意修改。Page 10北京微步在线科技有限公司|在研究人员披露漏洞时,该漏洞具备相应的缓解措施,但施耐德电气尚未发布补丁。该供应商于 2022 年 3 月开始发布补丁,最初为 EcoStruxure 软件发布了修复程序,在接下来的几个月中,该公司针对可编程逻辑控制器(PLC)发布了固件补丁。来源:https:/ 11北京微步在线科技有限公司|附录-微步情报局微步情报局,即微步在线研究响应中心,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。Page 12北京微步在线科技有限公司|北京:北京市海淀区苏州街 49-3 号 4 层 1-24上海:上海市杨浦区大连路588688号宝地广场b座1104广州:广州市天河区体育东路116号财富广场东塔2401A深圳:深圳市南山区科技南十二路曙光大厦701室武汉:湖北省武汉市东湖新技术开发区高新大道438号宜科中心园区2栋12层1203成都:成都市高新区吉泰五路118号3栋10层2号南京:南京市江宁区东山街道金源路 2 号绿地之窗商务广场 D1 幢 1206 室邮箱:电话:400-030-1051官网:
    展开阅读全文
    提示  文档分享网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:微步在线重保情报订阅-2022年10月10日(29)(1).pdf
    链接地址:https://www.wdfxw.net/doc100758361.htm
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    版权所有:www.WDFXW.net 

    鲁ICP备09066343号-25 




    收起
    展开