2018年国内外信息安全相关重大事件

纵观2018年的网络安全事件以太坊大事件，网络犯罪分子的攻击方式难以预料。除了利用零日漏洞外，勒索软件和恶意挖矿也很流行。区块链领域充满危险，暗网上的数据泄露层出不穷。渠道日新月异，物联网设备和工业网络也成为无良黑客攻击的重点，都给整个网络空间安全环境带来了新的挑战。

知创宇404实验室通过对全球威胁活动信息的监测和分析，根据国内外各安全研究机构和安全厂商披露的2018年重大网络攻击事件，根据这些重大事件，积极参与各类安全事件的应急响应。攻击事件的攻击技术和危害程度入选2018年与信息安全相关的重大事件。

国际的

1. 内存缓存 DDoS 攻击

2018 年 3 月 1 日，Github 遭受了大小为 1.35TB 的 DDoS 攻击，随后几天，NETSCOUT Arbor 再次确认了由 Memcache DDoS 引起的高达 1.7 Tbps 的反射放大 DDoS 攻击。2018年上半年，当虚拟货币价值飙升，黑灰生产转向挖矿领域，反射放大攻击持续下降时，利用Memcache DDoS造成如此大流量攻击的威力可见一斑。

2. Cisco 路由器受到攻击

2018年1月，思科正式发布了关于Cisco ASA防火墙webvpn远程代码执行漏洞的公告。2018年3月，思科正式发布了针对思科智能安装远程命令执行漏洞的安全公告。这两个漏洞都是未经授权的远程命令执行漏洞，允许攻击者在没有登录凭据等信息的情况下成功执行攻击。2018 年 4 月 6 日，一个名为“JHT”的黑客组织攻击了包括俄罗斯和伊朗在内的多个国家的网络基础设施。被攻击的思科设备的配置文件会显示美国国旗，因此该事件又被称为“美国国旗”事件。

3. 供应链攻击

供应链攻击一直以隐蔽和高效而著称。2018 年的供应链攻击发生在不同的层面和不同的原因。有火融安全最先曝光的针对Drive Life公司的攻击，有因NodeJS库作者任意授予相关库权限而被攻击者植入的攻击，以及感染易语言模块并使用“微信支付”的勒索软件攻击为敲诈。病毒。供应链中的任何弱点都可能导致供应链攻击。

4. GPON 远程命令执行漏洞

2018 年 4 月 30 日，vpnMentor 公布了 GPON 路由器中的两个高危漏洞，一个验证绕过漏洞（CVE-2018-10561) 和一个命令注入漏洞（CVE-2018-10562)）。结合这两个漏洞，只需发送一个请求即可在GPON路由器上执行任意命令，在漏洞披露后的十天内，该漏洞已被多个僵尸网络家族整合利用，并在公网上作为蠕虫使用。 传播。

5. Java 反序列化漏洞

2018年Java反序列化漏洞持续爆发。在 2018 年已知创宇 404 Lab 的紧急漏洞中，受影响最严重的是 WebLogic，它是美国甲骨文公司生产的应用服务器。2018年，我知道创宇404实验室已经响应了5个WebLogic反序列化漏洞。由于Java反序列化漏洞可以达到执行任意命令的攻击效果，是黑客用来传播病毒、挖矿程序等恶意软件的攻击手段之一。

6. Drupal 远程代码执行漏洞 (Drupalgeddon2)

Drupal 是一个用 PHP 编写的开源内容管理框架。Drupal 社区是世界上最大的开源社区之一。全世界有一百万个网站正在使用 Drupal。今年 3 月，Drupal 安全团队披露了一个非常关键的（21/25 NIST）级别）漏洞，称为 Drupalgeddon 2 (CVE-2018-7600)，该漏洞允许未经身份验证的攻击者远程执行命令。

7. 数据泄露事件

2018年，多起大规模数据泄露事件被曝光。2018年6月12日，智创宇暗网雷达监测到，某国内视频网站的数据库在暗网上出售。2018年8月28日，暗网雷达再次监测到中国某酒店在暗网上出售的数据。2018年11月30日，一家公司宣布旗下一家酒店的数据库遭到入侵，多达约5亿客人的信息被泄露。2018年12月，一位推特用户发帖称，国内超过2亿用户的简历信息被泄露。此外，Facebook 向第三方机构泄露个人信息数据的行为也备受关注。随着暗网用户的增加以及黑市和加密数字货币的发展，暗网威胁将持续增长。

8. EOS平台远程命令执行漏洞

2018年5月末，360公司Vulcan团队在EOS平台上发现了一系列高危漏洞，其中部分漏洞可以远程执行EOS节点上的任意代码。这意味着攻击者可以利用此漏洞直接控制和接管运行在 EOS 上的所有节点。在漏洞危害等方面，称漏洞为“史诗级”是名副其实的。

9. 多个区块链项目的RPC接口安全问题

2018 年 3 月 20 日，慢雾科技和 BLOCKCHAIN SECURITY LAB 披露了与以太坊黑色日事件（以太坊走私漏洞）相关的攻击细节。2018年8月1日，知创宇404实验室在前者的基础上结合蜜罐数据，补充了后走私时代利用以太坊RPC接口盗币的多种方式：离线攻击、重放攻击和爆破攻击。2018年8月20日，已知创宇404实验室再次增加了一种攻击形式：“清道夫攻击”。RPC 接口并非以太坊独有，在区块链项目中有很多应用。2018年12月1日，腾讯安全联合实验室发布NEO RPC接口安全问题预警。区块链项目的RPC接口不仅方便了交易，也带来了很大的安全隐患。

10. 区块链智能合约相关漏洞

许多区块链安全漏洞出现在智能合约中。“昊天”是由404区块链安全研究团队自主研发的区块链智能合约监控、扫描、分析、审计自动化平台。将问题归纳为漏洞模型，归纳为“知创宇以太坊合约审计清单”。它涵盖了以太坊审计过程中会遇到的超过 29 个问题，其中一些会影响 74.49% 的开源合约。,

随着 2017 年底一款名为 CryptoKitties 的区块链游戏的爆发，智能合约 DApp 成为 2018 年区块链发展的主旋律。 2018 年 4 月 22 日，攻击者利用 BEC 智能合约转账函数中的乘法溢出漏洞对清除所有 BEC 合约代币。2018年7月24日，国外安全研究员利用Fomo3D的空投功能外加随机数漏洞，导致Fomo3D丢失空投池中的所有代币。2018年8月22日，第一轮Fomo3D大奖颁奖。攻击者利用以太坊底层的交易顺序问题获得了超过10000个ETH。死。包括以太坊 DApp 和 EOS DApp，从实际的安全漏洞到业务安全问题，智能合约安全漏洞直接威胁到代币的安全，

国内文章

1. 驱动生活供应链事件

2018年12月14日下午，通过“Drive Life”升级渠道传播的木马突然爆发，短短两个小时内感染了10万台电脑。后续调查显示，这是一次精心策划的供应链入侵。

2. 数据泄露事件

2018年6月12日，知创宇暗网雷达监测到，某国内视频网站数据库在暗网上售卖。2018年8月28日，暗网雷达再次监测到中国某酒店在暗网上出售的数据。2018年12月，一位推特用户发帖称，国内超过2亿用户的简历信息被泄露。此外，Facebook 向第三方机构泄露个人信息数据的行为也备受关注。随着暗网用户的增加以及黑市和加密数字货币的发展，暗网威胁将持续增长。据了解，创宇404安全研究团队将继续利用技术手段绘制暗网地图，提供威胁情报，跟踪和应对暗网对互联网的威胁。

3. 勒索软件继续在内网上肆虐

2018年，借助永恒之蓝漏洞，勒索软件在内网持续肆虐。2018年11月，已知创宇404实验室抓获了一款名为Lucky的勒索软件。已知创宇404安全研究团队分析病毒加密算法后，发布了勒索软件()的解密工具。

4. 虚拟货币交易所被攻击等

2018年上半年是区块链行业快速发展的时期。区块链行业发展速度与安全建设速度的不对称，导致安全事件频发。除了区块链本身的问题，虚拟货币交易所等也是黑客的主要攻击目标之一。入侵交易所、通过交易所漏洞间接影响币价等攻击方式是黑客常用的手段。这些攻击的背后，往往是巨大的损失。

5. Weblogic 组件中的多个远程命令执行漏洞

2018年我知道创宇404实验室响应了5个WebLogic反序列化漏洞（CVE-2018-2628/2893/3245/3191/3252)。由于Java反序列化漏洞，可以执行任意命令这些漏洞已经成为黑客传播病毒、挖矿程序等恶意软件的攻击手段之一。

6. “应用克隆”攻击

2018年1月9日，腾讯安全玄武实验室和智创鱼404实验室联合披露了攻击威胁模型“应用克隆”。值得一提的是，这种攻击威胁模型几乎适用于所有移动应用。在这种攻击威胁模型下，攻击者可以“克隆”用户账户来窃取隐私信息，窃取账户和资金。

7. ZipperDown 通用漏洞

2018年5月，盘古实验室在IOS应用安全审计过程中发现了一类通用安全漏洞，可能影响10%的IOS应用。该漏洞被命名为 ZipperDown。根据盘古实验室披露的信息，微博、陌陌、网易云音乐、QQ音乐、快手等热门应用受到影响。

8. 智能门锁安全需重视

随着物联网的发展，智能门锁应运而生，但智能门锁的安全性一直存在争议。2018年5月26日，第九届中国（永康）国际门业博览会上，王海丽女士通过特斯拉线圈开启了八个品牌的智能门锁。此外，通过手机/指纹等方式解锁也引入了新的攻击面，重放等攻击大放异彩。智能门锁厂商对智能门锁本身安全性的重视不足，也让智能门锁的漏洞暴露后不修复或未完全修复成为常态。

9. WEB应用0day攻击事件

2018年6月13日，知识世界404主动防御团队通过知识世界的云防御产品“创宇盾”拦截并抓获了对某知名区块链交易所网站的攻击。通过分析，发现了攻击。攻击者利用的官方 ECShop 2.x 版本的 0day 漏洞利用。2018年6月14日，提交至知创鱼Seebug漏洞平台并收录。

2018年12月10日，ThinkPHP正式发布“ThinkPHP5.\*版本安全更新”，修复了远程代码执行漏洞。获悉创宇404实验室主动防御团队调查相关日志后，该漏洞仍处于0day阶段，已被用于攻击多个虚拟货币和金融网站。在漏洞细节披露后的一周内以太坊大事件，该漏洞已被僵尸网络集成到恶意样本中，并通过蠕虫在网络空间传播。

受2018年区块链虚拟货币高价刺激，网黑行业利用0day攻击虚拟货币/金融网站的行为越来越多。

10.雄迈摄像头漏洞影响百万摄像头

2018年，多个制造商/型号的相机被披露了多个漏洞。在创宇404实验室紧急事件已知的漏洞中，雄迈IP摄像机受影响的设备数量最多。通过 ZoomEye 搜索引擎，可以获得 200 万台雄迈设备并暴露在公共互联网上，但通过枚举 Cloud ID，大约可以访问 900 万台雄迈设备。该设备还具有硬编码凭据和远程代码执行漏洞。如果这些设备被用来传播僵尸网络，将对网络空间造成极大的危害。