本报告以CNCERT监测数据和通报成员单位报送数据作为主要依据,对我国互联网面临的各类安全威胁进行总体态势分析,并对重要预警信息和典型安全事件进行探讨。
2018年3月,互联网网络安全状态整体评价为良。主要数据如下:
➣境内感染网络病毒的终端数为75万余个;
➣境内被篡改网站数量为2559个,其中被篡改政府网站数量为57个;境内被植入后门的网站数量为2858个,其中政府网站有73个;针对境内网站的仿冒页面数量为3791个;
➣国家信息安全漏洞共享平台(CNVD)收集整理信息系统安全漏洞1902个,其中,高危漏洞598个,可被利用来实施远程攻击的漏洞有1631个。
网络病毒监测数据分析
2018年3月,境内感染网络病毒的终端数为75万余个。其中,境内42万余个IP地址对应的主机被木马或僵尸程序控制,与上月的近29万个相比增长47.5%。
1木马僵尸网络监测数据分析
2018年3月,境内42万余个IP地址对应的主机被木马或僵尸程序控制,按地区分布感染数量排名前三位的分别是浙江省、河南省、广东省。
木马或僵尸网络控制服务器IP总数为17563个。其中,境内木马或僵尸程序控制服务器IP有2259个,按地区分布数量排名前三位的分别为广东省、北京市、浙江省。境外木马或僵尸程序控制服务器IP有15304个,主要分布于美国、越南、日本。其中,位于美国的控制服务器控制了境内224952个主机IP,控制境内主机IP数量居首位,其次是位于中国香港和加拿大的IP地址,分别控制了境内50741个和14351个主机IP。
2网络病毒捕获和传播情况
网络病毒主要针对一些防护比较薄弱,特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。2018年3月,CNCERT监测发现排名前十的活跃放马站点域名和活跃放马站点IP如下表所示。
表 2018年3月活跃放马站点域名和IP
网络病毒在传播过程中,往往需要利用黑客注册的大量域名。2018年3月,CNCERT监测发现的放马站点中,通过域名访问的共涉及有39个域名,通过IP直接访问的共涉及有45个IP。在39个放马站点域名中,于境内注册的域名数为27个(约占69.2%),于境外注册的域名数为12个(约占30.8%)。放马站点域名所属顶级域名排名前5位的具体情况如下表所示。
表 2018年3月活跃恶意域名所属顶级域名
网站安全数据分析
1境内网站被篡改情况
2018年3月,境内被篡改网站的数量为2559个,境内被篡改网站数量按地区分布排名前三位的分别是广东省、北京市、浙江省。按网站类型统计,被篡改数量最多的是.COM域名类网站,其多为商业类网站;值得注意的是,被篡改的.GOV域名类网站有57个,占境内被篡改网站的比例为2.2%。
2境内网站被植入后门情况
2018年3月,境内被植入后门的网站数量为2858个,境内被植入后门的网站数量按地区分布排名前三位的分别是广东省、北京市、河南省。按网站类型统计,被植入后门数量最多的是.COM域名类网站,其多为商业类网站;值得注意的是,被植入后门的.GOV域名类网站有73个,占境内被植入后门网站的比例为2.6%。
2018年3月,境外2597个IP地址通过植入后门对境内2858个网站实施远程控制。其中,境外IP地址主要位于美国、中国香港和俄罗斯等国家或地区。从境外IP地址通过植入后门控制境内网站数量来看,来自乌克兰的IP地址共向境内526个网站植入了后门程序,入侵网站数量居首位;其次是来自中国香港和俄罗斯的IP地址,分别向境内487个和383个网站植入了后门程序。
3境内网站被仿冒情况
2018年3月,CNCERT共监测到针对境内网站的仿冒页面有3791个,涉及域名2046个,IP地址428个,平均每个IP地址承载近9个仿冒页面。在这428个IP中,98.1%位于境外,主要位于中国香港和美国。
漏洞数据分析
2018年3月,CNVD收集整理信息系统安全漏洞1902个。其中,高危漏洞598个,可被利用来实施远程攻击的漏洞有1631个。受影响的软硬件系统厂商包括Adobe、Cisco、Drupal、Google、IBM、Linux、Microsoft、Mozilla、WordPress等。
根据漏洞影响对象的类型,漏洞可分为操作系统漏洞、应用程序漏洞、WEB应用漏洞、数据库漏洞、网络设备漏洞(如路由器、交换机等)和安全产品漏洞(如防火墙、入侵检测系统等)。本月CNVD收集整理的漏洞中,按漏洞类型分布排名前三位的分别是应用程序漏洞、WEB应用漏洞、操作系统漏洞。
网络安全事件接收与处理情况
1事件接收情况
2018年3月,CNCERT收到国内外通过电子邮件、热线电话、网站提交、传真等方式报告的网络安全事件9650件(合并了通过不同方式报告的同一网络安全事件,且不包括扫描和垃圾邮件类事件),其中来自国外的事件报告有25件。
在9650件事件报告中,排名前三位的安全事件分别是漏洞、网页仿冒、恶意程序。
2事件处理情况
对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件,以及自主监测发现的网络安全事件,CNCERT每日根据事件的影响范围和存活性、涉及用户的性质等因素,筛选重要事件进行协调处理。
2018年3月,CNCERT以及各省分中心共同协调处理了9751件网络安全事件。各类事件处理数量中漏洞、网页仿冒类事件处理数量较多。
本月重点网络安全信息
1通报Memcached服务器反射攻击情况
针对近期呈大幅上升趋势的Memcached服务器反射攻击事件,CNCERT有序开展应急响应工作,并于3月3日、3月9日持续向公众进行预警通报。截止3月9日,CNCERT通报处置了13981个已被利用发起攻击或探测扫描的Memcached服务器。在Memcached服务器反射流量分析方面,CNCERT抽样监测发现,3月1日全网Memcached服务器反射攻击流量达到高峰后,3月2日至4日有所回落,但3月5至7日反射攻击峰值流量又上升接近500GB。CNCERT将密切关注Memcached服务器反射攻击的演变情况,并进行持续通报。
2CNCERT圆满完成2018年APCERT应急演练
2018年3月7日, CNCERT/CC参加了亚太地区计算机应急响应组织(APCERT)发起举办的2018年亚太地区网络安全应急演练,圆满完成了各项演练任务。本次演练主题是“物联网上恶意软件导致的数据泄露”,是基于互联网上真实存在的事件与情况,模拟医疗机构受网络攻击的场景,分析并协调处置由恶意软件引发的医疗机构的数据渗透和物联网设备感染事件。 来自20个经济体(澳大利亚、孟加拉国、文莱、中国、中国台北、中国香港、印度、印尼、日本、韩国、老挝、中国澳门、马来西亚、蒙古、缅甸、新西兰、新加坡、斯里兰卡、泰国和越南)的27个CSIRT成员参加了此次演练。此外,本次演练第五次邀请了伊斯兰计算机应急响应合作组织(OIC-CERT)的成员参加,来自5个经济体(埃及、摩洛哥、尼日利亚、阿曼、巴基斯坦)的OIC-CERT成员参加了演练。
3通报Exim SMTP Mail Server存在缓存区溢出漏洞
3月,CNVD收录了Exim SMTP Mail Server缓冲区溢出漏洞 。攻击者可利用该漏洞在受影响的应用程序上下文中,通过堆溢出实现代码的执行,若攻击尝试失败仍可导致拒绝服务条件。该漏洞是源于Exim 4.90.1之前版本中SMTP侦听器'base64d()'解码函数在发送handcrafted消息时存在缓冲区溢出漏洞,由于Exim未能充分检查用户提供的数据,受影响也是Exim 4.90.1之前的版本。厂商已发布漏洞修复版本,下载地址:https://www.exim.org/mirmon/ftp_mirrors.html。目前,漏洞利用代码已公开,建议及时更新到漏洞修复后版本。
4通报Drupal core远程代码执行漏洞
3月,CNVD收录了Drupal core远程代码执行漏洞 。综合利用该漏洞,攻击者可实现远程代码执行攻击。Drupal是一个由Dries Buytaert创立的自由开源的内容管理系统,用PHP语言写成。在业界Drupal常被视为内容管理框架,而非一般意义上的内容管理系统,此次曝出的漏洞将影响到Drupal的6.x,7.x和8.x版本。根据CNVD统计情况,全球系统规模约为30.9万,用户量排名前五的分别是美国(48.5%)、德国(8.1%)、法国(4%)、英国(3.8%)和俄罗斯(3.7%),而在我国境内的分布较少(0.88%)。目前,漏洞细节尚未公开,CNVD提出了详细修复建议,具体可参考CNVD发布的安全公告http://www.cert.org.cn/publish/main/9/2018/20180330135822851987471/20180330135822851987471_.html。
声明:本文来自国家互联网应急中心CNCERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
