2018网络安全事件大盘点

2018年已经过去，绿盟科技通过各种渠道抓取到网络安全事件共44528条，主要为漏洞类、恶意软件类、DDoS、信息泄露以及物联网相关的事件。多宗热点新闻迭代更替，绿盟科技及时处理各类安全事件，并发布技术分析和防护方案。

下面来回顾一下，2018年的各类安全事件吧！

漏洞类

Spring Data Commons远程代码执行漏洞

2018年4月10日，Spring官方宣布Spring Data Commons存在远程代码执行漏洞（CVE-2018-1273），攻击者可构造包含有恶意代码的SPEL表达式实现远程代码攻击，直接获取服务器控制权限。

Weblogic多个远程代码执行漏洞

2018年4月，Oracle发布的季度关键补丁更新中，修复了一个Weblogic高危漏洞（CVE-2018-2628），攻击者可以在未授权的情况下远程执行任意代码。

2018年7月，Oracle官方发布了7月份（第二季度）关键补丁更新CPU（Critical Patch Update）,其中修复了一个4月份（第一季度）CPU补丁中未能完全修复的（CVE-2018-2628）Weblogic反序列化漏洞，此次新修复的漏洞编号为（CVE-2018-2893）。

2018年10月，Oracle官方发布了10月份（第三季度）关键补丁更新CPU（Critical Patch Update）修复了一个高危的WebLogic远程代码执行漏洞（CVE-2018-3191）。该漏洞允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的WebLogic Server，成功的漏洞利用可导致WebLogic Server被攻击者接管，从而造成远程代码执行。

Apache struts2 S2-057 远程代码执行漏洞

2018年8月，Apache struts2 官方发布安全通告修复了一个高危漏洞S2-057（CVE-2018-11776），攻击者可以在目标系统中远程执行任意代码。

勒索软件

GandCrab勒索病毒

GandCrab勒索病毒于2018年1月面世以来，短短一年内历经多次版本更新。该病毒利用多种方式对企业网络进行攻击传播，受感染主机上的数据库、文档、图片、压缩包等文件将被加密，若没有相应数据或文件的备份，将会影响业务的正常运行。从今年9月份V5版本面世以来，出现了多个版本变种，并将感染主机桌面背景替换为勒索信息图片。

勒索病毒"Satan"新变种

2018年11月初，绿盟科技发现部分金融客户感染了linux和windows跨平台的蠕虫病毒样本FT.exe，其采用类似Satan勒索病毒的传播渠道，利用多个应用漏洞进行传播。该蠕虫病毒进入系统后无明显破坏行为，仅传播自身。2018年11月底，国内多个金融客户感染了跨平台的勒索病毒，该病毒是上述蠕虫FT.exe的变种版本，病毒会释放门罗币挖矿程序和勒索软件。该勒索病毒可以在Linux和Windows平台进行蠕虫式传播，并将本地文件加密为.lucky后缀，释放勒索信息文件。

“微信支付”勒索软件

2018年12月，国内爆发“微信支付”勒索病毒，上万台设备受到感染。感染后，病毒会将受害者文件进行加密并弹出微信支付二维码索要赎金。该病毒采用“供应链污染”的方式进行传播，病毒作者以论坛形式发布植入病毒的“易语言”编程软件，并植入到开发者开发的软件中实现病毒传播。

DDoS

Github遭遇有史以来最严重DDoS攻击

2018年3月2日，峰值1.35 Tbps的流量冲击了开发者平台 GitHub。然而，事情才过去五天，DDoS攻击再次刷新纪录，美国一家服务提供商遭遇DDoS攻击的峰值创新高，达到1.7 Tbps。

Github遭遇的攻击并非来源于传统的僵尸网络，攻击者利用暴露在网上的 Memcached 服务器进行攻击。网络安全公司 Cloudflare 的研究人员发现，截止2018年2月底，中国有2.5万 Memcached 服务器暴露在网上。

俄罗斯世界杯遭到近2500万次网络攻击

四年一届的世界杯，不仅是体育运动的狂欢节，而且也是黑客攻击的高潮。仅仅在世界杯揭幕战， 俄罗斯主场5-0战胜沙特阿拉伯，总共有78011人到达现场观战助威，而通过网络、电视等观看的人数更是不计其数。

2018年世界杯结束后不久，俄罗斯总统表示，俄罗斯在世界杯期间遭到将近2500万次网络攻击，但并没有透露谁可能是这些袭击的幕后黑手。

信息泄露

Facebook数据泄露

2018年对于Facebook来说是相当糟糕的一年，这家社交媒体巨头今年发生了一系列安全事件。上半年，最严重的当属3月曝出的“剑桥分析”事件，根据英国媒体报道，数据分析企业剑桥分析（Cambridge Analytics）未经授权，获取Facebook多达5000万用户的信息，用以预测和影响英国脱欧和美国大选中的选民投票行为。

6月份，Facebook遭遇了一个影响1400万用户的安全问题，事件中的技术漏洞自动将用户的私人帖子设置为公开。

9月28日，Facebook又曝出因安全漏洞遭到黑客攻击，该漏洞允许黑客窃取秘密访问令牌，可以直接访问用户的私人信息，由于无需原始帐户密码或双因素身份验证码，致近3000万用户信息泄露。

12月14日，据外媒报道，Facebook网站上的一个编程错误意外地让1,500个第三方应用程序访问了多达680万用户未发布的Facebook照片。该漏洞使用户的私人数据在9月13日至9月25日期间暴露了12天，直到Facebook在9月25日发现并修复了该漏洞。

A站受黑客攻击 近千万条用户数据外泄

2018年6月，弹幕视频网站AcFun(A站)发布官方声明称其网站被黑客攻击，千万条用户信息泄露，包括用户名ID与密码等。这些泄露的用户信息在暗网上已被公开出售，同时出售的还包括其他商家的用户信息。A站表示，本次事件的根本原因在于公司没有把AcFun做得足够安全。为此，官方向用户道歉，并将马上提升用户数据安全保障能力。

华住旗下酒店信息泄露

2018年8月28日，暗网出现一则售卖华住旗下酒店所有数据的帖子，售价为8比特币折合人民币约37万，华住公司表示已启动内部自查，同时警方也介入调查。这次信息泄露的酒店包括汉庭、美爵、桔子、全季、海友等众多大家熟悉的连锁酒店，泄露信息包括官网注册资料共53G，约1.23亿条，入住登记身份信息共22.3G，共1.3亿条，酒店开房记录，共66.2G，共2.4亿条，此次的数据泄露很可能成为近5年内国内最大最严重的个人信息泄露事件。

万豪5亿客户信息泄露

2018年11月30日，万豪国际集团官方发布声明称，达喜屋旗下酒店的客房预订数据库被黑客入侵，在2018年9月10日或之前曾在该酒店预订的最多约5亿名客人的信息或被泄露。据调查，自2014年以来，攻击者一直都能都访问该集团达喜屋部门的客户预订数据库。这些可能被泄露的信息包括顾客的姓名、出生日期、电话号码、护照号码、通信地址、电子邮箱、喜达屋VIP客户信息和其他一些个人信息。甚至对于部分客户，被泄露的信息还包括支付卡号码和有效日期，但这些数据是加密的。

物联网类

VPNFilter

2018年5月，Talos团队发现一款名为VPNFilter的恶意软件。该恶意软件是一个多阶段、模块化的平台，具有多种功能，可支持情报收集和破坏性网络攻击操作，可感染71款甚至更多物联网设备，这些设备包括路由器、摄像头、机顶盒等。物联网设备中毒后较难发现，漏洞难以及时修补，甚至有的设备已经找不到生产厂商。这些感染物联网病毒的僵尸设备，会对全球网络安全造成很大的隐患。同年9月份，还出现了变种VPNFilter III。

台积电遭勒索软件攻击

2018年8月，台湾半导体制造公司（台积电），由于技术人员软件安装过程的误操作，导致内部网络感染勒索软件WannaCry变种病毒，引起部分工厂生产中断。台积电是全球最大的半导体和处理器制造商，为许多业界最大的科技公司生产处理器和其他芯片，包括Apple、AMD、NVDIA、Qualcomm等。

★ 总结 ★

由于漏洞类信息涉及行业多，漏洞本身存在于各个领域，因此相关的事件数量也是最多的。

恶意软件大部分以勒索软件为最终投放方式，今年由于比特币的火爆，也多了很多以挖矿为主要投放方式的恶意软件，并且从事件的处理来看，恶意软件相关的事件数虽然整体数量下降，但单个恶意软件的精密程度却在上升，更专注在隐蔽性以及破坏性上。

今年的DDoS事件，传统的botnet式攻击在向新方式转变，例如攻击Github的memcached，在攻击强度上大大提高。

信息泄露事件由于本身涉及的话题较为敏感，因此相关的事件不是特别多，但是潜在的威胁是巨大的。由于大数据时代的到来，用户使用的各种软件将或多或少留下在用户来看不重要的信息，然而攻击者利用大数据工具却可以挖掘出更多的价值。

近期，绿盟科技将发布《2018网络

安全观察报告》，尽情期待！

	请点击屏幕右上方“…” 关注绿盟科技公众号NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP