目录

一、恶意程序

(一)恶意程序捕获情况

(二)计算机恶意程序用户感染情况

(三)移动互联网恶意程序

二、安全漏洞

三、拒绝服务攻击

(一)境内目标遭大流量DDoS攻击情况

(二)被用于进行DDoS攻击的网络资源活跃情况

四、网站安全

(一)网页仿冒

(二)网站后门

(三)网页篡改

五、云平台安全

六、工业控制系统安全

为全面反映2021年上半年我国互联网在恶意程序传播、漏洞风险、DDoS攻击、网站安全等方面的情况,CNCERT对上半年监测数据进行了梳理,形成监测数据分析报告如下。

一、恶意程序

(一)恶意程序捕获情况

2021年上半年,捕获恶意程序样本数量约2,307万个,日均传播次数达582万余次,涉及恶意程序家族约20.8万个。按照传播来源统计,境外来源主要来自美国、印度和日本等,具体分布如图1所示;境内来源主要来自河南省、广东省和浙江省等。按照攻击目标IP地址统计,我国境内受恶意程序攻击的IP地址近3,048万个,约占我国IP地址总数的7.8%,这些受攻击的IP地址主要集中在广东省、江苏省、浙江省等地区,我国受恶意程序攻击的IP地址分布情况如图2所示。

图1 恶意程序传播源位于境外分布情况

图2 我国受恶意程序攻击的IP分布情况

(二)计算机恶意程序用户感染情况

我国境内感染计算机恶意程序的主机数量约446万台,同比增长46.8%。位于境外的约4.9万个计算机恶意程序控制服务器控制我国境内约410万台主机。就控制服务器所属国家或地区来看,位于美国、越南和中国香港地区的控制服务器数量分列前三位,分别是约7,580个、3,752个和2,451个,具体分布如图3所示;就所控制我国境内主机数量来看,位于美国、中国香港地区和荷兰的控制服务器控制规模分列前三位,分别控制我国境内约314.5万、118.9万和108.6万台主机,如图4所示。此外,根据CNCERT抽样监测数据,境外约1.2万个IPv6地址控制了我国境内约2.3万台IPv6地址主机。

图3 控制我国境内主机的境外计算机恶意程序控制服务器数量分布

图4 控制我国境内主机数量TOP10的国家或地区

从我国境内感染计算机恶意程序主机所属地区看,主要分布在广东省(占我国境内感染数量的12.2%)、浙江省(占11.0%)、江苏省(占8.0%)等地区,如图5所示。在因感染计算机恶意程序而形成的僵尸网络中,规模在100台主机以上的僵尸网络数量2,307个,规模在10万台以上的僵尸网络数量68个,如图6所示。CNCERT协调相关机构成功关闭259个控制规模较大的僵尸网络,有效控制计算机恶意程序感染主机引发的危害。

图5 我国境内感染计算机恶意程序主机数量按地区分布

图6 僵尸网络的规模分布

(三)移动互联网恶意程序

通过自主捕获和厂商交换发现新增移动互联网恶意程序86.6万余个,同比下降47.0%。通过对恶意程序的恶意行为统计发现,排名前三的仍然是流氓行为类、资费消耗类和信息窃取类,占比分别为47.9%、20.0%和19.2%,如图7所示。为有效防范移动互联网恶意程序的危害,严格控制移动互联网恶意程序传播途径,累计协调国内204家提供移动应用程序下载服务的平台下架25,054个移动互联网恶意程序,有效防范移动互联网恶意程序危害,严格控制移动互联网恶意程序传播途径。

图7 移动互联网恶意程序数量按行为属性统计

二、安全漏洞

国家信息安全漏洞共享平台(CNVD)收录通用型安全漏洞13,083个,同比增长18.2%。其中,高危漏洞收录数量为3,719个(占28.4%),同比减少13.1%;“零日”漏洞收录数量为7,107个(占54.3%),同比大幅增长55.1%。按影响对象分类统计,排名前三的是应用程序漏洞(占46.6%)、Web应用漏洞(占29.6%)、操作系统漏洞(占6.0%),如图8所示。2021年上半年,CNVD验证和处置涉及政府机构、重要信息系统等网络安全漏洞事件近1.8万起。

图8 CNVD收录安全漏洞按影响对象分类统计

三、拒绝服务攻击

为降低DDoS攻击对我国基础网络和关键信息基础设施的威胁,CNCERT持续加强对境内目标遭大流量攻击情况的监测跟踪分析,针对所发现的被用于进行DDoS攻击的网络资源重点开展治理。

(一)境内目标遭大流量DDoS攻击情况

CNCERT监测发现,境内目标遭受峰值流量超过1Gbps的大流量攻击事件同比减少17.5%,主要攻击方式为TCP SYN Flood、UDP Flood、NTP Amplification、DNS Amplification、TCP ACK Flood和SSDP Amplification,这6种攻击的事件占比达到96.1%;攻击目标主要位于浙江省、山东省、江苏省、广东省、北京市、福建省、上海市等地区,这7个地区的事件占比达到81.7%;1月份是上半年攻击最高峰,攻击较为活跃;攻击时长不超过30分钟的攻击事件占比高达96.6%,比例进一步上升,表明攻击者越来越倾向于利用大流量攻击瞬间打瘫攻击目标。

(二)被用于进行DDoS攻击的网络资源活跃情况

CNCERT通过开展对境内目标遭大流量DDoS攻击事件的持续分析溯源,发布《我国DDoS攻击资源季度分析报告》,定期公布控制端、被控端、反射服务器、伪造流量来源路由器等被用于进行DDoS攻击的网络资源(以下简称“攻击资源”)情况,并进一步协调各单位处置,境内可被利用的攻击资源稳定性继续降低,被利用的活跃境内攻击资源数量控制在较低水平。累计监测发现用于发起DDoS攻击的活跃控制端1,455台,其中位于境外的占比97.1%,主要来自美国、德国和荷兰等;活跃肉鸡71万余台,其中位于境内的占比92.7%,主要来自广东省、辽宁省、江苏省、福建省、浙江省等;反射攻击服务器约395万余台,其中位于境内的占比80.7%,主要来自浙江省、广东省、辽宁省、吉林省、四川省等。与2020年上半年相比,境内各类攻击资源数量持续减少,境内活跃控制端数量同比减少60.4%、肉鸡数量同比减少40.1%、活跃反射服务器同比减少40.9%。

四、网站安全

(一)网页仿冒

监测发现针对我国境内网站仿冒页面约1.3万余个。为有效防止网页仿冒引发的危害,CNCERT重点针对金融、电信等行业的仿冒页面进行处置,共协调关闭仿冒页面8,171个,同比增加31.2%。在已协调关闭的仿冒页面中,从承载仿冒页面IP地址归属情况来看,绝大多数位于境外。

监测发现,今年2月份以来,针对地方农信社的仿冒页面呈爆发趋势,仿冒对象不断变换转移,承载IP地址主要位于境外。这些仿冒页面频繁动态更换银行名称,多为新注册域名且通过伪基站发送钓鱼短信的方式进行传播。根据分析,通过此类仿冒页面,攻击者不仅仅可以获取受害人个人敏感信息,还可以冒用受害人身份登录其手机银行系统进行转账操作或者绑定第三方支付渠道进行资金盗取。

(二)网站后门

境内外8,289个IP地址对我国境内约1.4万个网站植入后门,我国境内被植入后门的网站数量较2020年上半年大幅减少62.4%。其中,有7,867个境外IP地址(占全部IP地址总数的94.9%)对境内约1.3万个网站植入后门,位于美国的IP地址最多,占境外IP地址总数的15.8%,其次是位于菲律宾和中国香港地区的IP地址,如图9所示。从控制我国境内网站总数来看,位于中国香港地区的IP地址控制我国境内网站数量最多3,402个,其次是位于菲律宾和美国的IP地址,分别控制我国境内3,098个和2,271个网站。此外,攻击源、攻击目标为IPv6地址的网站后门事件有486起,共涉及攻击源IPv6地址114个、被攻击的IPv6地址解析网站域名累计78个。

图9 境外向我国境内网站植入后门IP地址所属国家或地区TOP10

(三)网页篡改

我国境内遭篡改的网站有近3.4万个,其中被篡改的政府网站有177个。从境内被篡改网页的顶级域名分布来看,占比分列前三位的仍然是“.com”“.net”和“.org”,分别占总数的73.5%、5.4%和1.8%,如图10所示。

图10 境内被篡改网站按顶级域名分布

五、云平台安全

发生在我国云平台上的各类网络安全事件数量占比仍然较高,其中云平台上遭受大流量DDoS攻击的事件数量占境内目标遭受大流量DDoS攻击事件数的71.2%、被植入后门网站数量占境内全部被植入后门网站数量的87.1%、被篡改网站数量占境内全部被篡改网站数量的89.1%。同时,攻击者经常利用我国云平台发起网络攻击,其中云平台作为控制端发起DDoS攻击的事件数量占境内控制发起DDoS攻击的事件数量的51.7%、作为攻击跳板对外植入后门链接数量占境内攻击跳板对外植入后门链接数量的79.3%、作为木马和僵尸网络恶意程序控制端控制的IP地址数量占境内全部数量的65.1%、承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的89.5%。

六、工业控制系统安全

CNCERT监测发现境内大量暴露在互联网的工业控制设备和系统。其中,设备类型包括可编程逻辑控制器、串口服务器等,各类型分布如图11所示;存在高危漏洞的系统涉及煤炭、石油、电力、城市轨道交通等重点行业,覆盖企业生产管理、企业经营管理、政府监管、工业云平台等,如图12、图13所示。

图11 监测发现的联网工业设备的类型统计

图12 监测发现的重点行业联网监控管理系统的漏洞威胁统计

图13 监测发现的重点行业联网监控管理系统类型统计

声明:本文来自国家互联网应急中心CNCERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。