根据深信服安全云脑及深信服安全监测平台统计数据显示，2019年第三季度，网站攻击数量总体呈波动下降趋势，网站态势有所缓减，企业、政府及教育行业拦截的攻击数量最多。

第三季度发现感染范围较大的勒索病毒是globeimposter和sodinokibi家族，攻击次数最多的家族是wannamine挖矿病毒；2019年第三季度新增漏洞呈现上升趋势；csrf跨站请求伪造以及信息泄露问题位居漏洞数量前列。

具体情况如下：

恶意程序方面，勒索软件的攻击趋势整体呈波动增加态势，其投放速度加快，版本迭代更加敏捷；季度加密数字货币价格的波动下降，恶意挖矿攻击也出现缓减，wannamine、xmrig、coinminer家族仍然流行；供应链木马的活跃程度增加明显，其中广东地区拦截数量最多。

网站安全态势方面，第三季度网站攻击总量整体较之前下降明显，捕获攻击类型以web扫描、信息泄露和webshell攻击利用等分类为主。

漏洞态势方面，2019年第三季度新增漏洞数量平均每月1738个，相比之前前半年每月有明显增加，而高危以上漏洞新增数量保持稳定。漏洞类型中以信息发现、链接失效和csrf跨站请求为主；跟踪的主要漏洞中，weblogic系列漏洞的攻击总体呈波动状态，攻击数量大幅上升。

     恶意程序安全态势

1、勒索软件--季度持续活跃，迭代更频繁

近几年勒索软件是最有利可图的恶意软件类型之一。最初，恶意攻击主要目的是盗取信息，并保持对资源及系统的长期访问。但是勒索软件的出现改变了这一情况，从暗中访问变成明目张胆地敲诈勒索。同时比特币等加密数字货币的快速发展，使得恶意攻击者可以轻易逃避被追踪的风险，从而轻松获利，并为下一代勒索软件的开发提供资金支持。

根据2019年第三季度深信服安全团队跟踪的一些勒索病毒及响应的勒索攻击案例，发现不管是之前的gandcrab 勒索病毒，还是现在的globeimposter，都是采用raas(勒索软件即服务)模式进行分发，病毒开发投放速度更快。globeimposter变种，globeimposter2.0变种、“十二生肖”以及“十二主神”等，均是在短短几个月内不断更新变种。下图是深信服安全团队跟踪globelmposter勒索病毒的时间线，可以看出勒索病毒的投放速度快，版本迭代频繁：

▲globelmposter勒索病毒演进时间线

第三季度深信服安全团队捕获勒索软件变种较多，其中热门的包括globelmposter2.0及4.0新变种、crypton勒索变种、sodinokibi勒索变种。勒索软件的攻击走势有陡峭的波峰波谷，并呈现增加态势：

3月总计拦截恶意程序16.31亿次，其中挖矿病毒的拦截量占比60.24%，其次是感染型病毒（16.4%）、木马远控病毒（12.29%）、蠕虫病毒（6.71%）、后门软件（3.01%)、勒索病毒（1.21%)。

▲2019年第三季度勒索病毒攻击趋势

在2019年第三季度，从勒索病毒家族的数据中发现了一些细微变化：sodinokibi作为gandcrab勒索病毒的“继承者”，本季度活跃度明显提升，跻身第三季度高发家族前列；wannacry虽然已经爆发许久，但是仍有较多用户不注意修复漏洞，仍然会被该病毒“光顾”。国内高发的勒索病毒家族主要有sodinokibi、globelmposter、wannacry、crysis、crypton等：

▲2019年第三季度高发勒索病毒家族

从勒索病毒攻击目标来看，企业、科研教育成为勒索病毒的主要目标行业，拦截总占比达到51%；在企业受害用户中，文件服务器、财务服务器等存储重要数据文件的服务器通常是攻击者的首要目标：

▲ 勒索病毒感染行业分布

（3）攻击传播方式

从深信服第三季度应急响应的大量案例上看，rdp暴力破解仍是使用最广泛的攻击方式。恶意攻击者一般首先通过爆破的方式得到公网某台机器的远程桌面登陆口令，操作上传病毒后，然后利用这台机器作为跳板进行内网横向移动，经常会发现在被入侵的系统内部会有多台设备同时被感染相同的勒索病毒。因此，将服务器3389端口映射到公网并使用简单密码，非常容易受到病毒入侵。

勒索病毒攻击方式如下：

▲勒索病毒攻击方式分布

近几年，利用加密数字货币的攻击主要是在勒索软件和恶意挖矿木马上，而恶意挖矿攻击已经逐渐超过勒索攻击成为针对加密数字货币的主要威胁。相比勒索获得的经济，加密货币挖矿的收入更加具有持续性，并且风险更小，越来越多的恶意攻击者逐渐转为兜售风险较低的加密货币挖矿软件。随着季度加密数字货币价格的波动下降，近期恶意挖矿攻击出现小幅下降。

虽然第三季度恶意挖矿攻击数量存在波峰和波谷，但从深信服在dns层上观察到的与恶意加密货币挖矿相关的流量总量看来，加密货币挖矿活动呈逐步下降的态势。

▲2019年挖矿流量拦截情况

值得注意的是，在同一时期（2019年第三季度），许多常见加密货币的价值都有下跌。以比特币为例，2019年第三季度的成交价格走势如下：

▲2019年第三季度比特币价格走势

由于虚拟货币易于部署且发现之后造成的风险较低，恶意攻击者仍在继续推动恶意加密挖矿活动。恶意挖矿相关的病毒在未来一段时间内仍会保持热门。

恶意加密货币挖矿软件可以通过各种方式进入用户的环境，例如以下几种：

▲感染挖矿病毒的几种方式

在短期内，恶意加密货币挖矿威胁会一直存在，恶意攻击者也会继续传播加密货币挖矿威胁。

活跃挖矿木马家族包括coinminer、wannamine、xmrig、bitcoinminer、tanlang、shadowminer、zombieboyminer、myking、malxmr和bluehero，分布比例如下图所示。

▲挖矿病毒活跃top家族

（3）恶意挖矿拦截量地域分布

在挖矿木马拦截地域分布上，广东省挖矿病毒全国拦截量第一，占top20总量的19.58%，其次为浙江省和北京市。

▲2019年第三季度挖矿病毒拦截情况

从防御者的角度来看，恶意加密货币挖矿值得高度关注。与计算机上的任何软件一样，恶意加密货币将对整体系统性能产生负面影响。黑客会想尽一切手段利用有网络配置或整体安全策略安全漏洞的主机/服务器。

从挖矿病毒拦截行业分布来看，恶意攻击者更倾向于攻击企业、政府、教育行业。企业的拦截数量占拦截总量的41.67%，具体拦截行业分布如下图所示：

▲挖矿病毒拦截行业分布

3、木马远控--供应链木马活跃程度持续增加

（1）木马远控各家族拦截情况

深信服安全云脑第三季度全国检测到木马远控病毒样本10897个，共拦截5.57亿次。其中最活跃的木马远控家族是drivelife，drivelife木马家族作为供应链木马，其攻击态势在第三季度迅速增长，拦截数量达1.52亿次。远控木马拦截量排在其后是injector、andromeda。具体分布数据如下图所示：

▲远控木马病毒各家族拦截量

（2）木马远控病毒区域拦截情况

对木马远控病毒区域拦截量进行分析统计发现，恶意程序拦截量最多的地区为广东省，占top10拦截量的24.31%；其次为北京市（16.31%）、浙江省（12.57%）、湖南省（8.08%）和山东省（7.78%）。此外上海市、四川省、江苏省、河北省、广西壮族自治区的木马远控拦截量也排在前列。

▲木马远控病毒拦截地区分布

▲木马远控病毒拦截行业分布

4、蠕虫病毒--政企及科研教育单位易感染

2019年第三季度深信服安全云脑在全国检测到蠕虫病毒样本5275个，共拦截9.48亿次。通过数据统计分析来看，大多数攻击都是来自于ramnit、gamarue、jenxcus、dorkbot、faedevour、morto家族，这些家族占据了季度全部蠕虫病毒攻击的94%，其中攻击态势最活跃的蠕虫病毒是gamarue，占蠕虫病毒总量的44.99%。

▲蠕虫病毒top家族拦截量

▲蠕虫病毒top地区拦截量

从蠕虫病毒拦截行业上看，企业、科研教育等行业拦截数量占比较高。

▲蠕虫病毒拦截行业分布

网站安全态势

（1）网站安全攻击量有下降，信息泄露问题占比依然重

深信服全网安全监测平台监测到全球84579个站点第三季度攻击总量为8.9亿次。下图为近半年深信服网站安全攻击趋势监测情况，可以看出，第三季度攻击数量呈波动下降状态：

▲近半年网络安全攻击趋势情况

主要网站攻击类型统计分布如下，第三季度捕获攻击类型以web扫描、信息泄露和webshell攻击利用等分类为主。其中web扫描类型的占比更是最高为57%。

▲ 2019年第三季度网站攻击类型分布

详细攻击种类和比例如下：

▲详细攻击种类和比例

2、北京地区拦截的网站攻击次数最多

对深信服监测到的全国各区域第三季度拦截的网站攻击数量进行统计分析，排名前三的区域分别是北京、广东和云南。企业、政府及科研教育行业拦截的攻击数量最多。具体拦截地域分布情况如下图所示：