网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

2019.6,致远互联旗下产品致远OA A8办公自动化软件被发现存在远程Getshell漏洞。致远互联是中国协同管理软件及云服务的厂商，致远OA A8 是一款流行的协同管理软件，很多大型企业都有应用。致远A8系统，被发现存在远程任意文件上传文件上传漏洞，攻击者上传精心构造的恶意文件，成功利用漏洞后可造成Getshell。漏洞细节已被公开，并且已经被在野利用。

漏洞影响版本：A8+V7.0 SP3、A8+ V6.1 SP2

4.  企业端口开放情况

企业在网络空间的基础设施包含网站服务器以及运行在服务器上的各种应用、服务，承载了包括网站、电子邮件、文件传输等各种网络通信功能。他们在互联网上的机器语言表现形式是以基于TCP和UDP的各种端口的网络通信。

5.  高危端口开放情况

我们将黑客攻击频次较高的常用端口划为高危端口，并抽样对Web服务器等互联网空间资产做了空间测绘，发现仍有33%的资产开放着这些高危端口，存在较高的安全隐患。

除了22、1900等端口，还有较大比重的邮件服务、数据库服务等端口暴露在公网上。

22端口是Linux平台默认的SSH远程连接服务端口， 而3389 是Windows默认的远程桌面的服务（RDP, Remote Desktop Protocol）端口，通过SSH、RDP远程连接是非常方便的对服务器的操作方式，所以很多服务器管理员都会开启22、3389端口远程桌面服务。

因而很多黑客攻击者很喜欢对22、3389端口尝试入侵，例如通过爆破，如果服务器存在弱密码登录的，很容易就被爆破成功，进而服务器被黑客控制。

7001端口是WebLogic的默认端口，WebLogic近期被爆出多个可被远程攻击的高危漏洞，如果漏洞未能及时修复，则不排除有远程攻击的可能。

1900 UDP端口 源于SSDP Discovery Service服务。通过使用SSDP协议对端口1900进行扫描可以发现UPnP（即插即用协议）设备，攻击者可以利用这些设备发动DDoS攻击，制造出大量流量，可导致目标企业的网站和网络瘫痪。

根据测绘结果分析，仍有部分服务器资产开放了445端口。如果这些服务器没有打上相应的补丁，那么仍然存在被勒索病毒攻击的风险。即便是打上了补丁，也仍然需要面对勒索病毒变种的攻击。

(三)  邮件安全

一封电子邮件从广义上来看，可以被分类为“正常邮件”与“非正常邮件”。我们在“邮件安全”这部分，将“非正常邮件”分为“垃圾邮件”与“恶意邮件”两大类，且由于“恶意邮件”对企业用户的危害程度更大，因此我们重点通过案例总结2019上半年中的恶意邮件的影响情况。

1.  邮件安全趋势

1) 垃圾邮件

根据友商卡巴斯基公开报告数据，在2019年第一季度全球邮件通信中的垃圾邮件占比超过55.97%，与2018年第四季度基本持平。其中3月份的垃圾邮件占比最高，达到56.33%。

为了对抗各类邮箱反过滤机制，垃圾邮件无缝不入，从广撒网式分发到精准发送，如下 “代开发票”垃圾邮件就通过滥用VMware官方账号绑定修改机制以达到绕过邮箱过滤机制效果。

2) 恶意邮件

从恶意行为的角度来看，恶意邮件可以分为如下几种：骗回复敏感信息；骗打开钓鱼页面链接；骗打开带毒附件。企业用户日常容易遇到后两种案例，典型代表如带恶意附件的鱼叉邮件。

鱼叉邮件是一种针对特定人员或特定公司的员工进行定向传播攻击。网络犯罪分子首先会精心收集目标对象的信息，使“诱饵”更具诱惑力。

然后结合目标对象信息，制作相应主题的邮件和内容，骗取目标运行恶意附件。

根据友商卡巴斯基公开报告数据，目前在全球的邮件流量中排名前十的恶意软件家族如下（2019Q1）：

从攻击手段来看，有5类是通过直接投递病毒实体文件进行攻击，4类通过office文档进行攻击，1类通过PDF文档钓鱼攻击。

其中最值得关注的仍然是office类攻击（office漏洞或者宏），缺乏安全知识的用户较容易忽略安装office补丁，或者轻易允许宏代码运行。