近日，三六零公司(股票代碼：601360.SH，以下簡(jiǎn)稱“360”)網(wǎng)絡(luò)安全響應(yīng)中心（以下簡(jiǎn)稱“360CERT”）發(fā)布《網(wǎng)絡(luò)安全九月月報(bào)》（以下簡(jiǎn)稱“九月月報(bào)”），通過(guò)對(duì)九月份安全漏洞分析、網(wǎng)絡(luò)安全重大事件、勒索病毒攻擊態(tài)勢(shì)、移動(dòng)安全數(shù)據(jù)分析、樣本分析等內(nèi)容的梳理，幫助相關(guān)人員全局掌握當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域最新發(fā)展態(tài)勢(shì)。

安全漏洞

2021年9月，360CERT共收錄13個(gè)漏洞，其中嚴(yán)重1個(gè)，高危9個(gè)，中危3個(gè)。主要漏洞類(lèi)型包含⾝份驗(yàn)證繞過(guò)、棧溢出、服務(wù)器端請(qǐng)求偽造等。涉及的廠商主要是Apache 、Cisco、QNAP、Windows、 VMware等。

在九月月報(bào)收錄的13個(gè)漏洞中，重點(diǎn)介紹了其中5個(gè)嚴(yán)重及高危級(jí)別漏洞事件，包括VMware vCenter Server多個(gè)高危漏洞、2021-09 補(bǔ)丁日: 微軟多個(gè)漏洞安全更新、2021-09 補(bǔ)丁日: Chrome多個(gè)漏洞安全更新、微軟官方發(fā)布MSHTML組件在野0day漏洞、Confluence OGNL 注入漏洞。

安全事件

本月360CERT共收錄安全事件211項(xiàng)，話題集中在數(shù)據(jù)泄露、惡意程序、網(wǎng)絡(luò)攻擊方面，涉及的組織有：Microsoft 、Google 、Intel 、Cisco、Apple、FBI、instagram等。涉及的行業(yè)主要包含IT服務(wù)業(yè)、金融業(yè)、制造業(yè)、政府機(jī)關(guān)及社會(huì)組織、醫(yī)療行業(yè)、交通運(yùn)輸業(yè)等，其中IT服務(wù)業(yè)發(fā)生安全事件的占比依然遠(yuǎn)超其他行業(yè)，這一點(diǎn)在九月月報(bào)中梳理的重點(diǎn)事件回顧中可見(jiàn)一斑，在收錄的13起事件中有7起為IT服務(wù)業(yè)領(lǐng)域發(fā)生的。

APT事件作為網(wǎng)絡(luò)安全領(lǐng)域不容忽視的一大網(wǎng)絡(luò)安全威脅，在九月依然活躍。九月月報(bào)中重點(diǎn)梳理了17起極具代表性的APT事件，并對(duì)收錄的APT事件進(jìn)行了簡(jiǎn)要的說(shuō)明。在九月月報(bào)中，收錄了兩起關(guān)于APT-C-56（透明部落）的預(yù)警——APT-C-56（透明部落）近期最新攻擊分析與關(guān)聯(lián)疑似Gorgon Group攻擊和疑似APT-C-56透明部落攻擊預(yù)警。

透明部落（Transparent Tribe）別名APT36、ProjectM、C-Major，是⼀個(gè)具有南亞背景的APT組織，其長(zhǎng)期針對(duì)周邊國(guó)家和地區(qū)（特別是印度）的政治、軍事進(jìn)行定向攻擊活動(dòng)，其開(kāi)發(fā)有自己的專(zhuān)屬木馬CrimsonRAT，還曾被發(fā)現(xiàn)廣泛傳播USB蠕蟲(chóng)。TransparentTribe也曾經(jīng)對(duì)Donot的惡意文檔宏代碼進(jìn)行模仿，兩者高度相似。之前透明部落也曾經(jīng)模仿響尾蛇組織進(jìn)行攻擊。其⼀直針對(duì)印度的政府、公共部門(mén)、各行各業(yè)包括但不限于醫(yī)療、電力、金融、制造業(yè)等進(jìn)行攻擊和信息窺探。 

近日360高級(jí)威脅研究分析中心在日常情報(bào)挖掘中發(fā)現(xiàn)并捕獲到了透明部落攻擊印度的文檔，惡意文檔最終釋放CrimsonRAT。與此同時(shí)，360高級(jí)威脅研究分析中心還監(jiān)控到了疑似Gorgon Group利用Netwire對(duì)印度的攻擊行動(dòng)，該組織由疑似巴基斯坦或與巴基斯坦有其他聯(lián)系的成員組成。此外，360高級(jí)威脅研究院在日常情報(bào)挖掘中發(fā)現(xiàn)并捕獲到了多批疑似透明部落攻擊印度的文檔，惡意文檔最終釋放NetWireRAT。 

對(duì)此，九月月報(bào)也根據(jù)當(dāng)月情況從網(wǎng)絡(luò)防護(hù)、系統(tǒng)防護(hù)、數(shù)據(jù)安全、安全管理等方面給出了相應(yīng)的安全建議。

惡意程序

對(duì)于近年來(lái)呈現(xiàn)高發(fā)態(tài)勢(shì)的勒索病毒，九月月報(bào)顯示，2021年9月全球新增的活躍勒索病毒家族有 :AtomSilo 、 BlackByte 、 Groove 、Sodinokibi(REvil) 等 勒 索 軟 件 。 其中AtomSilo的數(shù)據(jù)泄露網(wǎng)站與BlackMatter高度相似，兩者可能存在密切關(guān)系；Groove勒索軟件由Babuk核心成員之一開(kāi)發(fā)，并創(chuàng)建了一個(gè)名為RAMP的暗網(wǎng)論壇；消失近兩月的Sodinokibi(REvil)在本月正式回歸。

在勒索病毒態(tài)勢(shì)分析針對(duì)本月統(tǒng)計(jì)的勒索病毒受害者所中勒索病毒家族進(jìn)行感染數(shù)據(jù)分析時(shí)顯示，phobos家族占比18.95%居首位，其次是占比17.32%的BeijingCrypt，Stop家族以14.05%位居第三。本月BeijingCrypt勒索感染量有大幅度的上升，從8月份的4.06%上升至本月的17.32%。在本月底，該家族出現(xiàn)新的變種，將被加密文件后綴修改為“.520”。

面對(duì)嚴(yán)峻的勒索病毒威脅態(tài)勢(shì)，360安全大腦為企業(yè)用戶給出了有針對(duì)性的安全建議，建議企業(yè)用戶做好企業(yè)安全規(guī)劃建設(shè)，包括安全規(guī)劃、安全管理和人員管理等；此外，企業(yè)用戶還應(yīng)完善遭受勒索病毒攻擊后的處理流程，并及時(shí)完善遭受攻擊后的防護(hù)措施，避免損失進(jìn)一步擴(kuò)大；最重要的一點(diǎn)針對(duì)勒索病毒勒索不建議支付贖金。