新鲜出炉：安全威胁情报月报-10月报

发布时间：2021-11-18 11:52:26来源：E安全

点击“阅读原文”即可下载完整版报告

一、情报综述

全球资讯：威胁情报中心论坛10月共发布110篇全球威胁资讯，4篇安全威胁情报周报，4篇原创分析文。威胁情报中心猎影实验室捕获到一个Windows内核提权漏洞1day样本，漏洞编号为CVE-2021-36955。TI平台10月收录内容包括恶意软件、热点事件、攻击团伙、恶意活动、最新APT组织事件相关信息；行业遍及政府、能源、金融、教育、航空、水利等等；10月情报资讯中收录的关联IOC，累计3880个。

按照攻击类型，其中勒索软件比例最高为25.05%，APT攻击收录占比第二，为16.11%。

▲10月威胁事件类型占比图

10月多数行业均遭到不同程度的恶意威胁，按照攻击行业，分布如下，其中政府部门、金融、国防、航空、媒体行业收录内容占比较高。

▲10月威胁事件行业占比图

二、IP资产分布

威胁情报中心针对10月恶意IP情报进行分析，整理出10月IP资产分布地图，其中在全球分布地图中，恶意IP最多的前10个国家分别为美国、俄罗斯、荷兰、法国、中国、德国、加拿大、墨西哥、阿根廷。其中美国的恶意IP情报最高，占所有资产20.94%。

▲10月IP情报世界分布图

以中国的省市分布来看，IP恶意情报分布排名前5的分别为中国香港、北京、中国台湾、上海、广东，其中中国香港的恶意IP占比最高，为32.49%。

▲10月IP情报中国分布热力图

▲10月中国IP情报省内分布占比图

三、高伪装域名风险提示

10月高伪装域名示例如下：

高伪装域名

伪装的相关域名

int-onedrive[.]com

伪装Onedrive，

微软云存储服务

mofa[.]live

伪装MinistryofForeignAffairs(MOFA)

digitalresolve[.]live

伪装Digitalresolve相关名，

安全厂商

checkpoint-ds[.]com

伪装Checkpoint相关域名，安全厂商

apple-sdk[.]com

伪装Apple相关域名，

苹果公司

update.kaspernsky[.]com

伪装Kaspersky相关域名，

安全厂商

newtrendmicro[.]com

伪装Trendmicro相关域名，安全厂商

microsoft-support[.]net

伪装MicrosoftSupport相关域名，微软support网站

mcafee-upgrade[.]com

伪装Mcafee相关域名，

安全公司

四、威胁事件

勒索情报：

研究人员针对勒索软件的分析、针对勒索团伙的研究，从未停止。过去1个月，全球勒索攻击频频发生，其中美国、德国、意大利、中国台湾等地的企业先后遭受勒索攻击，其中针对美国的攻击事件最多，占比30.77%，以色列第二为15.29%。

▲10月勒索软件攻击地区比例

勒索软件攻击的行业涉及媒体、教育、制造业、金融、政府、航空等。10月的攻击中，政府部门和行业媒体的占比较高，分布占比11.11%和7.41%。

五、漏洞情报

1.WebLogicServer10月高危安全漏洞风险提示

01漏洞公告

2021年10月19日，Oracle官方发布了2021年10月安全更新公告，包含了其家族WebLogicServer在内的多个产品安全漏洞公告，其中包括远程代码执行漏洞（CVE-2021-35617）、诊断组件不正确的输入验证（CVE-2021-35552）、核心组件的拒绝服务漏洞（CVE-2021-35620）。

参考链接：

https://www.oracle.com/security-alerts/cpuoct2021.html

漏洞风险矩阵参考（直接筛选CVE编号查询简约漏洞描述）：

https://www.oracle.com/security-alerts/cpuoct2021verbose.html

Oracle历史安全漏洞公告参考：

https://www.oracle.com/security-alerts/

通过SUMAP平台对全球部署的OracleWebLogicServer进行统计，最新查询分布情况如下：

▲国外

▲国内

2.微软10月安全更新补丁和多个高危漏洞风险提示

01漏洞公告

2021年10月12日，微软官方发布了10月安全更新公告，包含了微软家族多个软件的安全更新补丁，包括：MicrosoftExchangeServer、MicrosoftOffice、MicrosoftEdge、WindowsHyper-V、VisualStudio等81个安全漏洞。其中包含3个严重和多个高危漏洞。请相关用户及时更新对应补丁修复漏洞。

相关链接参考：

https://msrc.microsoft.com/update-guide/releaseNote/2021-Oct

根据公告，此次更新中修复的MicrosoftExchangeServer远程代码执行漏洞（CVE-2021-26427）、MicrosoftWord远程代码执行漏洞（CVE-2021-40486）、WindowsHyper-V远程代码执行漏洞（CVE-2021-38672、CVE-2021-40461）、WindowsDNS服务器远程代码执行漏洞（CVE-2021-40469）、MicrosoftWin32k权限提升漏洞（CVE-2021-40449、CVE-2021-41357）等风险较大，建议尽快安装安全更新补丁或采取临时缓解措施加固系统。

相关链接参考：

https://msrc.microsoft.com/update-guide/vulnerability/

3.Gitlab远程命令执行漏洞（CVE-2021-22205）风险提示（10月）

01漏洞公告

2021年4月14日，GitLab官方发布了安全更新公告，修复了一个远程代码执行漏洞（CVE-2021-22205），该漏洞允许攻击者在目标服务器上执行任意命令，安恒信息应急响应中心第一时间发布漏洞预警公告。2021年10月，安恒信息应急响应中心监测到已有安全研究员公开该漏洞的利用方式，漏洞威胁等级：严重。

参考链接：

https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13

-10-3-released/#Remote-code-execution-when-uploading-specially-crafted-image-files

▲国外分布

▲国内分布

六、安恒漏洞分析情报

TI漏洞情报发布7条漏洞分析，其中3个超危，4个高危。漏洞情报地址：https://ti.dbappsecurity.com.cn/vul，更多漏洞特权服务，联系邮箱：

ti_support@dbappsecurity.com.cn

七、安全解读

《解读|《个人信息保护法》正式实施，如何影响你的工作生活？》参考链接：https://mp.weixin.qq.com/s/xWIIJtU3wD2_rg3Sv6G38g

注：本文由E安全编译报道。

点击“阅读原文”或电脑端打开下方链接，即可获得完整版报告

https://ti.dbappsecurity.com.cn/info/2803