2016 年中国互联网网络安全报告 + 国家计算机网络应急技术处理协调中心著人民邮电出版社北京

Size: px

Start display at page:

Download "2016 年中国互联网网络安全报告 + 国家计算机网络应急技术处理协调中心著人民邮电出版社北京"

鳜上车
5 years ago
Views:

1 著 E R T /C + 国家计算机网络应急技术处理协调中心 C 2016年中国互联网网络安全报告 C N C 年中国互联网网络安全报告年中国互联网网络安全报告分类建议计算机/网络安全人民邮电出版社网址网络安全报告封面424定稿.indd 1-3 ISBN 定价:89.00元 :48:49

2 2016 年中国互联网网络安全报告 + 国家计算机网络应急技术处理协调中心著人民邮电出版社北京

3 内容提要本书是国家计算机网络应急技术处理协调中心发布的 2016 年中国互联网网络安全年报本书汇总分析了国家互联网应急中心自有网络安全监测数据和通信行业相关单位报送的数据, 具有鲜明的行业特色和重要的参考价值, 内容涵盖我国互联网网络安全态势分析网络安全监测数据分析网络安全事件案例详解网络安全政策和技术动态等多个方面其中, 本书对计算机恶意程序传播和活动移动互联网恶意程序传播和活动网站安全监测安全漏洞预警与处置网络安全事件接收与处理网络安全信息通报等情况进行深入细致的分析, 并对典型网络安全事件做专题分析此外, 本书对 2016 年国内外网络安全监管动态国内网络安全组织发展情况和国内外网络安全重要活动等情况做了阶段性总结, 并预测 2017 年网络安全热点问题本书内容依托国家互联网应急中心多年来从事网络安全监测预警和应急处置等工作的实际情况, 是对我国互联网网络安全状况的总体判断和趋势分析, 可以为政府部门提供监管支撑, 为互联网企业提供运行管理技术支持, 向社会公众普及互联网网络安全知识, 提高全社会全民的网络安全意识 2016 年中国互联网网络安全报告著国家计算机网络应急技术处理协调中心责任编辑牛晓敏人民邮电出版社出版发行北京市丰台区成寿寺路 11 号邮编电子邮件网址北京光之彩印刷有限公司印刷开本 : /16 印张 : 年 5 月第 1 版字数 :380 千字 2017 年 5 月北京第 1 次印刷 ISBN 定价 :89.00 元读者服务热线 :(010) 印装质量热线 :(010) 反盗版热线 :(010)

4 2016 年中国互联网网络安全报告编委会主任委员副主任委员执行委员委员黄澄清云晓春刘欣然严寒冰丁丽李佳狄少嘉徐原何世平温森浩李志辉姚力张洪朱芸茜郭晶朱天高胜胡俊王小群张腾吕利锋何能强李挺陈阳李世淙徐剑王适文刘婧饶毓肖崇蕙贾子骁张帅吕志泉韩志辉马莉雅徐丹丹雷君邱乐晶王江波

5 前言 Foreword 互联网在我国政治经济文化以及社会生活中发挥着举足轻重的作用国家计算机网络应急技术处理协调中心 ( 简称国家互联网应急中心, 英文缩写为 CNCERT 或 ) 作为我国非政府层面网络安全应急体系核心技术协调机构, 在社会网络安全防范机构公司大学科研院所的支撑和支援下, 在网络安全监测预警处置等方面积极开展工作, 历经十余年的实践, 形成多种渠道的网络攻击威胁和安全事件发现能力, 与国内外数百个机构和部门建立了网络安全信息通报和事件处置协作机制, 依托所掌握的丰富数据资源和信息实现对网络安全威胁和宏观态势的分析预警, 在维护我国公共互联网环境安全保障基础信息网络和网上重要信息系统安全运行保护互联网用户上网安全宣传网络安全防护意识和知识等方面起到重要作用自 2004 年起, 国家互联网应急中心根据工作中受理监测和处置的网络攻击事件和安全威胁信息, 每年撰写和发布网络安全工作报告, 为相关部门和社会公众了解国家网络安全状况和发展趋势提供参考 2008 年, 在收录统计通信行业相关部门网络安全工作情况和数据基础上, 网络安全工作报告正式更名为中国互联网网络安全报告自 2010 年起, 在工业和信息化部通

6 信保障局的指导以及互联网网络安全应急专家组的帮助下, 国家互联网应急中心精心编制并公开发布年度互联网网络安全态势报告, 受到社会各界的广泛关注 2016 年中国互联网网络安全报告汇总分析国家互联网应急中心自有网络安全监测数据和通信行业相关单位报送的数据, 具有鲜明的行业特色和重要的参考价值报告涵盖我国互联网网络安全态势分析网络安全监测数据分析网络安全事件案例详解网络安全政策和技术动态等多个方面的内容其中, 报告对计算机恶意程序传播和活动移动互联网恶意程序传播和活动网站安全监测安全漏洞预警与处置网络安全事件接收与处理网络安全信息通报等情况进行深入细致的分析, 并对 2016 年典型网络安全事件进行专题介绍此外, 报告对 2016 年国内外网络安全监管动态国内网络安全组织发展情况和国内外网络安全重要活动等做了阶段性总结最后, 报告对 2017 年网络安全热点问题进行预测本书电子版可从官方网站 ( org.cn) 下载国家计算机网络应急技术处理协调中心 2017 年 5 月

7 致谢 Thanks 2016 年中国互联网网络安全报告的写作素材均来自于国家互联网应急中心网络安全工作实践网络安全工作离不开政府主管部门长期以来的关心和指导, 也离不开各互联网运营企业网络安全厂商安全研究机构以及相关合作单位的大力支持在 2016 年中国互联网网络安全报告撰写过程中, 向北京启明星辰信息安全技术有限公司北京奇虎科技有限公司哈尔滨安天科技股份有限公司北京神州绿盟科技有限公司深信服科技有限公司恒安嘉新 ( 北京 ) 科技有限公司任子行网络技术股份有限公司征集了数据和专题分析素材 [1], 特此致谢 2016 年, 为维护公共互联网安全, 净化公共互联网网络环境, 联合有关单位, 在网络安全监测预警处置等方面积极开展工作其中, 阿里云计算有限公司北京新网数码信息技术有限公司上海美橙科技信息发展有限公司厦门商中在线科技有限公司成都西维数码科技有限公司厦门纳网科技有限公司成都飞数科技有限公司厦门市中资源网络服务有限公司等单位对事件处置要求及时响应, 积极配合北京天融信网络安全技术有限公司成都卫士通信息产业股份有限公司 ( 北京 ) 哈尔滨安天科技股份有限公司北京神州绿盟信息安全科技股份有限公司恒安嘉新 ( 北京 ) 科技有限公司等单位向进行了大量有价值的信息通报, 为网络安全预警通报工作提供了良好的支撑中国移动 MM OPPO 软件商店木蚂蚁百度手机助手小米应用商店 360 手机助手 PP 助手腾讯应用宝华为应用市场安智市场积极配合开展移动互联网恶 [1] 2016 年中国互联网网络安全报告中其他单位所提供数据的真实性和准确性由报送单位负责, 未做验证

8 意程序下架移动互联网应用自律白名单等工作北京启明星辰信息安全技术有限公司北京神州绿盟科技有限公司北京天融信网络安全技术有限公司恒安嘉新 ( 北京 ) 科技有限公司杭州安恒信息技术有限公司哈尔滨安天科技股份有限公司蓝盾信息安全技术股份有限公司杭州华三通信技术有限公司沈阳东软系统集成工程有限公司北京奇虎科技有限公司 ( 补天平台 ) 漏洞盒子以及腾讯玄武实验室广西鑫瀚科技有限公司西安四叶草信息技术有限公司深信服科技股份有限公司中国电信集团系统集成有限责任公司华为技术有限公司等在漏洞信息报送方面表现突出北京市政务信息安全应急处置中心中国教育和科研计算机网中国科技网中国电信集团公司网络运行维护事业部中国移动通信集团公司信息安全管理与运行中心中国联合网络通信集团有限公司信息安全部上海交通大学网络信息中心北京安赛创想科技有限公司西门子 ( 中国 ) 有限公司拓尔思信息技术股份有限公司腾讯安全响应中心 (TSRC) 百度安全响应中心 (BSRC) 等单位在漏洞处置及技术能力协作方面表现突出北京知道创宇信息技术有限公司哈尔滨安天科技股份有限公司河北翎贺计算机信息技术有限公司北京神州绿盟科技有限公司杭州安恒信息技术有限公司恒安嘉新 ( 北京 ) 科技有限公司在网络安全威胁治理工作中起到了重要支撑作用此外, 本报告的完成离不开各单位在日常工作中给予的配合和支持, 在此一并感谢由于编者水平有限, 2016 年中国互联网网络安全报告难免存在疏漏和欠缺在此, 诚挚地希望广大读者不吝赐教, 多提意见, 并继续关注和支持我中心的发展将更加努力地工作, 不断提高技术和业务能力, 为我国以及全球互联网的安全保障贡献力量

9 关于国家计算机网络应急技术处理协调中心 About Cncert/cc 国家计算机网络应急技术处理协调中心 ( 简称国家互联网应急中心, 英文简称是 CNCERT 或 ), 成立于 2002 年 9 月, 为非政府非营利性的网络安全技术中心, 是我国网络安全应急体系的核心协调机构作为国家级应急中心, 的主要职责是 : 按照积极预防及时发现快速响应力保恢复的方针, 开展互联网网络安全事件的预防发现预警和协调处置等工作, 维护国家公共互联网安全, 保障基础信息网络和重要信息系统的安全运行国家互联网应急中心的主要业务能力如下事件发现依托公共互联网网络安全监测平台开展对基础信息网络金融证券等重要信息系统移动互联网服务提供商增值电信企业等安全事件的自主监测同时还通过与国内外合作伙伴进行数据和信息共享, 以及通过热线电话传真电子邮件网站等接收国内外用户的网络安全事件报告等多种渠道发现网络攻击威胁和网络安全事件预警通报依托对丰富数据资源的综合分析和多渠道的信息获取实现网络安全威胁的分析预警网络安全事件的情况通报宏观网络安全状况的态势分析等, 为用户单位提供互联网网络安全态势信息通报网络安全技术和资源信息共享等服务应急处置对于自主发现和接收到的危害较大的事件报告, 及时响应并积极协调处置, 重点处置的事

10 件包括 : 影响互联网运行安全的事件, 波及较大范围互联网用户的事件, 涉及重要政府部门和重要信息系统的事件, 用户投诉造成较大影响的事件, 以及境外国家级应急组织投诉的各类网络安全事件等测试评估作为网络安全检测评估的专业机构, 按照支撑监管, 服务社会的原则, 以科学的方法规范的程序公正的态度独立的判断, 按照相关标准为政府部门企事业单位提供安全评测服务还组织通信网络安全相关标准制定, 参与电信网和互联网安全防护系列标准的编制等同时, 作为我国非政府层面开展网络安全事件跨境处置协助的重要窗口, 积极开展国际合作, 致力于构建跨境网络安全事件的快速响应和协调处置机制为著名网络安全合作组织 FIRST 的正式成员以及亚太应急组织 APCERT 的发起人之一截至 2016 年, 与 69 个国家和地区的 185 个组织建立了国际合作伙伴关系联系方式建立了 7 24 小时的网络安全事件投诉机制, 国内外用户可通过网站电子邮件热线电话传真 4 种主要渠道向投诉网络安全事件网址 : 电子邮件 :cncert@cert.org.cn 热线电话 : ( 中文 ) (English) 传真 :

12 目录 Contents 年网络安全状况综述年我国互联网网络安全监测数据分析年我国互联网网络安全状况数据导读网络安全专题分析年 IoT 设备漏洞专题分析 ( 来源 :) 关于 2016 年相册类安卓恶意程序监测处置情况的通报 ( 来源 :) Mirai 僵尸网络深度分析 ( 来源 : 启明星辰公司奇虎 360 公司 ) 来自南亚次大陆的网络攻击 ( 来源 : 安天公司 ) Billgates 僵尸网络中的黑雀现象分析 ( 来源 : 启明星辰公司 ) 计算机恶意程序传播和活动情况木马和僵尸网络监测情况飞客蠕虫监测情况恶意程序传播活动监测通报成员单位报送情况移动互联网恶意程序传播和活动情况移动互联网恶意程序监测情况移动互联网恶意程序传播活动监测通报成员单位报送情况

13 网络安全监测情况网络篡改情况网站后门情况网页仿冒情况通报成员单位报送情况信息安全漏洞公告与处置 CNVD 漏洞收录情况 CNVD 行业漏洞库收录情况漏洞报送和通报处置情况高危漏洞典型案例网络安全事件接收与处理事件接收情况事件处理情况事件处理典型案例网络安全信息通报情况互联网网络安全信息通报行业外互联网网络安全信息发布情况国内外网络安全监管动态年国内网络安全监管动态年国外网络安全监管动态

14 安全组织发展情况网络安全信息通报成员单位发展情况 CNVD 成员发展情况 ANVA 成员发展情况中国互联网网络安全威胁治理联盟成员发展情况应急服务支撑单位国内外网络安全重要活动国内重要网络安全会议和活动国际重要网络安全会议和活动年网络安全热点问题网络安全术语解释 249

网络安全人才奖网络安全优秀教师奖等奖项, 以奖励为国家网络安全事业做出突出贡献的人员三部门联合发布

月 22 日, 中央网信办国家质检总局国家标准委近日联合印发关于加强国家网络安全标准化工作的若干意见,

15 大事记中国互联网发展基金会网络安全专项基金正式成立年 2 月 2 日, 中国互联网发展基金会网络安全专项基金宣告正式成立该基金设立网络安全人才奖网络安全优秀教师奖等奖项, 以奖励为国家网络安全事业做出突出贡献的人员三部门联合发布关于加强国家网络安全标准化工作的若干意见 8.22 中国网络空间安全协会成立年 3 月 25 日, 中国网络空间安全协会在北京成立这是中国首个网络安全领域的全国性社会团体, 首任理事长为中国工程院院士北京邮电大学教授方滨兴 2016 年 8 月 22 日, 中央网信办国家质检总局国家标准委近日联合印发关于加强国家网络安全标准化工作的若干意见, 对加强网络安全标准化工作作出部署习近平总书记发表 4.19 讲话年 4 月 19 日, 中共中央总书记国家主席中央军委主席中央网络安全和信息化领导小组组长习近平在北京主持召开网络安全和信息化工作座谈会并发表重要讲话六部门联合发布关于防范和打击电信网络诈骗犯罪的通告年 9 月 23 日, 最高人民法院最高人民检察院公安部工业和信息化部中国人民银行中国银行业监督管理委员会等六部门联合发布关于防范和打击电信网络诈骗犯罪的通告

2016 中国网络安全年会于成都召开 5 月 24-26 日,2016 中国网络安全年会在四川成都顺利召开本次大会主题为聚网络英才, 筑安全生态, 政府

日, 第十二届全国人大常委会第二十四次会议通过中华人民共和国网络安全法, 进一步界定了关键信息基础设施范围, 对攻击

16 2016 中国网络安全年会于成都召开 5 月日,2016 中国网络安全年会在四川成都顺利召开本次大会主题为聚网络英才, 筑安全生态, 政府企业高校以及东盟国家等代表参会, 参会人员有 900 余人工业和信息化部发布工业控制系统信息安全防护指南 2016 年 10 月, 工业和信息化部印发工业控制系统信息安全防护指南, 指导工业企业开展工业控制安全防护工作中华人民共和国主席和俄罗斯联邦总统关于协作推进信息网络空间发展的联合声明发布人大通过中华人民共和国网络安全法 2016 年 11 月 7 日, 第十二届全国人大常委会第二十四次会议通过中华人民共和国网络安全法, 进一步界定了关键信息基础设施范围, 对攻击破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施, 增加了惩治网络诈骗等新型网络违法犯罪活动的规定等网络安全法将于 2017 年 6 月 1 日起施行年 6 月 25 日, 习近平主席和俄罗斯总统普京发布中华人民共和国主席和俄罗斯联邦总统关于协作推进信息网络空间发展的联合声明, 两国达成多项共识国家互联网信息办公室发布国家网络空间安全战略年 12 月 27 日, 经中央网络安全和信息化领导小组批准, 国家互联网信息办公室发布国家网络空间安全战略该战略阐明了中国关于网络空间发展和安全的重大立场和主张, 是指导国家网络安全工作的纲领性文件

18 年网络安全状况综述年我国互联网网络安全监测数据分析持续对我国网络安全宏观状况开展抽样监测,2016 年, 移动互联网恶意程序捕获数量网站后门攻击数量以及安全漏洞收录数量较 2015 年有所上升, 而木马和僵尸网络感染数量拒绝服务攻击事件数量网页仿冒和网页篡改页面数量等均有所下降木马和僵尸网络抽样监测,2016 年约 9.7 万个木马和僵尸网络控制服务器控制了我国境内 1699 万余台主机, 控制服务器数量较 2015 年下降 8.0%, 近 5 年来总体保持平稳向好发展其中, 来自境外的约 4.8 万个控制服务器控制了我国境内 1499 万余台主机, 其中来自美国的控制服务器数量居首位, 其次是中国香港和日本就所控制的我国境内主机数量来看, 来自美国中国台湾和荷兰的控制服务器规模分列前三位, 分别控制了我国境内约 475 万 182 万 153 万台主机在监测发现的因感染恶意程序而形成的僵尸网络中, 规模在 100 台主机以上的僵尸网络数量 4896 个, 其中规模在 10 万台以上的僵尸网络数量 52 个 2016 年, 在工业和信息化部指导下, 根据木马和僵尸网络监测与处 15

19 2016 年中国互联网网络安全报告置机制, 组织基础电信企业域名服务机构等成功关闭 1011 个控制规模较大的僵尸网络, 成功切断黑客对约 71.4 万台感染主机的控制年木马和僵尸网络控制端数量对比如图 1-1 所示 2016 年僵尸网络的规模分布如图 1-2 所示单位 ( 个 ) 图年 2013 年 2014 年 2015 年 2016 年年木马和僵尸网络控制端数量对比 ( 来源 :) 单位 ( 个 ) ~ ~ ~ 万 ~5 万 5 万 ~10 万 >10 万图年僵尸网络的规模分布 ( 来源 :) 16

20 1 第章 2016 年网络安全状况综述移动互联网安全 2016 年, 通过自主捕获和厂商交换获得的移动互联网恶意程序数量 205 万余个, 较 2015 年增长 39.0%, 近 7 年来保持持续高速增长趋势按恶意行为进行分类, 前三位分别是流氓行为类恶意扣费类和资费消耗类 [2], 占比分别为 61.1% 18.2% 和 13.6% 发现移动互联网恶意程序下载链接近 67 万条, 较 2015 年增长近 1.2 倍, 涉及的传播源域名 22 万余个,IP 地址 3 万余个, 恶意程序传播次数达 1.24 亿次 2016 年, 重点对通过短信传播, 且具有窃取用户短信和通信录等恶意行为的相册类安卓恶意程序 [3] 及具有恶意扣费恶意传播属性的色情软件进行监测, 并开展协调处置工作全年共发现此类恶意程序个, 累计感染用户超过 101 万人, 用于传播恶意程序的域名 6045 个, 用于接收用户短信和通信录的恶意邮箱账户 7645 个, 用于接收用户短信的恶意手机号 6616 个, 泄露用户短信和通信录的邮件 222 万封, 严重危害用户个人信息安全和财产安全在工业和信息化部的指导下, 根据移动互联网恶意程序监测与处置机制, 组织邮箱服务商域名注册商等积极开展协调处置工作, 对发现的恶意邮箱账号恶意域名等进行关停处置年移动互联网恶意程序走势如图 1-3 所示 2016 年移动互联网恶意程序数量按行为属性统计如图 1-4 所示 [2] 分类方法参照通信行业标准移动互联网恶意程序描述格式 (YD/T ) [3] 相册类安卓恶意程序是指一类针对安卓系统的, 主要通过短信进行传播的移动互联网恶意程序, 黑客通过发送带有恶意程序下载链接的短信, 诱骗用户点击安装, 导致感染手机的个人信息泄露 17

21 2016 年中国互联网网络安全报告单位 ( 个 ) 图 1-3 资费消耗类,13.6% 恶意扣费类,18.2% 图年 2006 年 2007 年 2008 年 2009 年 2010 年 2011 年 2012 年 2013 年 2014 年 2015 年 2016 年年移动互联网恶意程序走势 ( 来源 :) 远程控制类,2.7% 隐私窃取类,3.8% 诱骗欺诈类,0.4% 系统破坏类,0.1% 恶意传播类,0.1% 流氓行为类,61.1% 2016 年移动互联网恶意程序数量按行为属性统计 ( 来源 :) 目前, 移动互联网 APP 传播途径多样, 包括应用商店网盘云盘和广告宣传等平台, 且大量的未备案网站也在提供 APP 下载服务在工业和信息化部的指导下, 经过连续 4 年的治理, 要求国内的应用商店网盘云盘和广告宣传等平台积极落实安全责任, 不断完善安全检测安全审核 18

22 1 第章 2016 年网络安全状况综述社会监督举报恶意 APP 下架等制度, 积极参与处置响应与反馈, 严格控制恶意 APP 传播途径 2016 年, 累计向 141 家已备案的应用商店网盘云盘的广告宣传等网站运营者通报恶意 APP 事件 8910 起, 较 2015 年减少 47.8%, 表明在移动互联网恶意程序持续快速增长的情况下, 恶意 APP 在备案网站上传播的途径得到有效控制 2016 年通知下架的恶意 APP 数量前 10 名平台如图 1-5 所示单位 ( 起 ) 图七牛腾讯网百度悠悠村安智网酷云阿里云腾讯斯凯网络 360 缓存 API 服务应用宝拒绝服务攻击 2016 年通知下架的恶意 APP 数量前 10 名平台 ( 来源 :) 2016 年, 牵头组织通信行业和安全行业单位, 宣布成立了中国互联网网络安全威胁治理联盟, 并着力开展分布式拒绝服务攻击 ( 以下简称 DDoS 攻击 ) 防范打击工作经过协同治理, 有效缓解了 DDoS 攻击的危害,2016 年监测到 1Gbit/s 以上的 DDoS 攻击事件日均 452 起, 比 2015 年下降 60% 但同时发现,2016 年大流量攻击事件数量全年持续增加,10Gbit/s 以上的攻击事件数量第四季度日均攻击次数较第一季度增长 1.1 倍, 全年日均达 133 次, 占日均攻击事件的 29.4% 另外 100Gbit/s 以上的攻击事件数量日均在 6 起以上, 并监测发现阿里云多次遭受 500Gbit/s 以上的攻击从攻击流量来源来看, 在 2016 年攻击事件中, 超 19

23 2016 年中国互联网网络安全报告过 60% 的攻击流量来自境外 ; 从攻击目的来看,67% 涉及互联网地下黑色产业链 ; 从攻击方式来看, 反射攻击依旧占据主流 ; 从攻击源 IP 地址对应的设备来看, 除了传统的 PC 肉鸡和 IDC 服务器外, 智能设备逐渐被利用为 DDoS 攻击工具安全漏洞 2016 年, 国家信息安全漏洞共享平台 (CNVD) 共收录通用软硬件漏洞个, 较 2015 年增长 33.9% 其中, 高危漏洞收录数量高达 4146 个 ( 占 38.3%), 较 2015 年增长 29.8%; 零日漏洞 [4] 2203 个, 较 2015 年增长 82.5% 漏洞主要涵盖 Google Oracle Adobe Microsoft IBM Apple Cisco Wordpress Linux Mozilla Huawei 等厂商产品, 其中涉及 Google 产品 ( 含操作系统手机设备以及应用软件等 ) 的漏洞最多, 达到 819 个, 占全部收录漏洞的 7.6% 按影响对象类型分类, 应用程序漏洞占 60.0%, Web 应用漏洞占 16.8%, 操作系统漏洞占 13.2%, 网络设备漏洞 ( 如路由器交换机等 ) 占 6.5%, 安全产品漏洞占 2.0%, 数据库漏洞 ( 如防火墙入侵检测系统等 ) 占 1.5% 2016 年,CNVD 加强原创通用软硬件漏洞的收录工作, 成为全年漏洞收录数量一个新的增长点, 全年接收白帽子国内漏洞报告平台安全厂商等报送的相关漏洞 1926 个, 占全年收录总数的 17.8% 年 CNVD 收录漏洞数量对比如图 1-6 所示 2016 年 CNVD 收录的漏洞按影响对象类型分类统计如图 1-7 所示 2016 年 CNVD 收录的漏洞涉及厂商情况统计见表 1-1 [4] CNVD 收录时还未公布补丁 20

24 1 第章 2016 年网络安全状况综述单位 ( 个 ) 图年 2013 年 2014 年 2015 年 2016 年操作系统漏洞,13.2% Web 应用漏洞,16.8% 图 1-7 图注 : 收录漏洞数量高危漏洞年 CNVD 收录的漏洞数量对比 ( 来源 :) 安全产品漏洞,2.0% 网络设备漏洞,6.5% 数据库漏洞,1.5% 应用程序漏洞,60.0% 2016 年 CNVD 收录的漏洞按影响对象类型分类统计 ( 来源 :) 21

25 2016 年中国互联网网络安全报告表年 CNVD 收录漏洞涉及的厂商情况统计 ( 来源 :) 漏洞涉及产品漏洞数量 ( 个 ) 占全年收录数量百分比 Google % Oracle % Adobe % Microsoft % IBM % Apple % Cisco % Wordpress % Linux % Mozilla % Huawei % 其他 % CNVD 对现有漏洞进一步整理, 建立基于重点关注方向的子漏洞库, 目前已建立有移动互联网电信行业电子政务和工业控制系统 4 类子漏洞库 2016 年这 4 类子漏洞库分别收录漏洞 985 个 ( 占总收录的比例为 9.1%) 640 个 ( 占总收录的比例为 5.9%) 344 个 ( 占总收录的比例为 3.1%) 和 172 个 ( 占总收录的比例为 1.5%) CNVD 收集的子漏洞库情况见表 1-2 表 1-2 CNVD 收集的子漏洞库情况 ( 来源 :) 子漏洞库收录漏洞数量 ( 个 ) 占全年收录数量百分比移动互联网子漏洞库 % 电信行业子漏洞库 % 电子政务子漏洞库 % 工业控制系统子漏洞库 % CNVD 针对重点关注方向子漏洞库的安全漏洞影响情况进行巡查, 全年通报涉及政府机构重要信息系统部门以及行业安全漏洞事件起, 较 2015 年上升 3.1% 22

26 1 第章 2016 年网络安全状况综述网站安全 2016 年, 监测发现约 17.8 万个针对我国境内网站的仿冒页面, 页面数较 2015 年下降 3.6%, 约 2 万个 IP 地址承载了上述仿冒页面, 其中位于境外的 IP 地址占 85.4% 从承载的仿冒页面数量来看, 来自中国香港的数量最多,4332 个 IP 地址共承载了仿冒页面 2.8 万余个, 其次是中国境内和美国, 承载的仿冒页面均约为 1.7 万个为有效防止网页仿冒引起的网民经济损失, 重点针对金融行业电信行业网上营业厅的仿冒页面进行处置, 全年共协调处置仿冒页面个从处置的页面类型来看, 积分兑换和用户登录仿冒页面数量最多, 分别占处置总数的 32% 从承载仿冒页面 IP 地址归属情况来看, 绝大多数 IP 地址位于境外, 主要分布在中国香港美国及中国台湾, 其中位于中国香港的 IP 地址超过境外总数的一半针对跨境仿冒页面的处置, 继续与国际网络安全组织加强合作, 全年协调境外安全组织处置跨境网页仿冒事件起 2016 年仿冒境内网站的境外 IP 地址及其承载的仿冒页面数量按国家或地区分布 TOP5 如图 1-8 所示单位 ( 个 ) 图注 : 2921 IP 地址数量承载仿冒页面数量中国香港中国境内美国韩国日本图年仿冒境内网站的境外 IP 地址及其承载的仿冒页面数量按国家或地区分布 TOP5( 来源 :) 23

27 2016 年中国互联网网络安全报告 2016 年, 监测发现约 4 万个 IP 地址对我国境内 8 万余个网站植入后门, 网站数量较 2015 年增长 9.3% 境外有约 3.3 万个 ( 占全部 IP 地址总数的 84.9%)IP 地址通过向网站植入后门对境内约 6.8 万个网站进行远程控制其中, 来自美国的 IP 地址最多, 占比 14.0%, 其次是来自中国香港和俄罗斯的 IP 地址从控制我国境内的网站总数来看, 来自中国香港的 IP 地址控制数量最多, 有 1.3 万余个, 其次是来自美国和乌克兰的 IP 地址, 分别控制了 9734 个和 8756 个网站 2016 年境外向我国境内网站植入后门 IP 地址所属国家或地区 TOP6 如图 1-9 所示单位 ( 个 ) 图美国中国香港俄罗斯韩国马来西亚乌克兰图注 : 境外 IP 地址数量承载境内网站数量 2016 年境外向我国境内网站植入后门 IP 地址所属国家或地区 TOP6 ( 来源 :) 2016 年, 监测发现, 我国境内约 1.7 万个网站被篡改, 较 2015 年减少 31.7%, 其中被篡改的政府网站有 467 个, 较 2015 年减少 24

28 第 1章 2016 年网络安全状况综述 47.9% 从网页篡改的方式来看被植入暗链的网站占全部被篡改网站的比例高达 86% 是我国境内网站被篡改的主要方式从境内网页被篡改的类型分布来看以.com 为后缀的商业网站被篡改的数量最多占总数的 72.3% 其次是以.net 为后缀的网络服务公司网站和以.gov 为后缀的政府网站分别占总数的 7.3% 和 2.8% 2016 年境内被篡改网站按类型分布如图 1-10 其他 15.7% T /C.edu 0.1%.org 1.8%.gov 2.8%.com 72.3% E R.net 7.3% 图1-10 C 所示 2016年境内被篡改网站按类型分布来源 C 年我国互联网网络安全状况 C N 近年来随着我国网络安全法律法规管理制度的不断完善我国在网络安全技术实力人才队伍国际合作等方面取得明显成效 2016 年我国互联网网络安全状况总体平稳网络安全产业快速发展网络安全防护能力得到提升网络安全国际合作进一步加强但随着网络空间战略地位的日益提升世界主要国家纷纷建立网络空间攻击能力国家级网络冲突日益增多我国网络空间面临的安全挑战日益复杂域名系统安全状况良好防攻击能力明显上升 2016 年我国域名服务系统安全状况良好无重大安全事件发生据抽样监测 2016 年针对我国域名系统的流量规模在 1Gbit/s 以上的 DDoS 攻年网络安全报告.indd :42:04

29 2016 年中国互联网网络安全报告击事件日均约 32 起, 均未对我国域名解析服务造成影响, 在基础电信企业侧也未发生严重影响解析成功率的攻击事件, 主要与域名系统普遍加强安全防护措施, 抗 DDoS 攻击能力显著提升相关 2016 年 6 月, 发生针对全球根域名服务器及其镜像的大规模 DDoS 攻击, 大部分根域名服务器受到不同程度的影响, 位于我国的域名根镜像服务器也在同时段遭受大规模网络流量攻击因应急处置及时, 且根区顶级域缓存过期时间往往超过 1 天, 此次攻击未对我国域名系统网络安全造成影响针对工业控制系统的网络安全攻击日益增多, 多起重要工业控制系统安全事件应引起重视 2016 年, 全球发生的多起工业控制领域重大事件值得我国警醒 3 月, 美国纽约鲍曼水坝的一个小型防洪控制系统遭受攻击 ;8 月, 卡巴斯基安全实验室揭露了针对工业控制行业的食尸鬼网络攻击活动, 该攻击主要对中东和其他国家的工业企业发起定向网络入侵 ;12 月, 乌克兰电网再一次经历了供电故障, 据分析本次故障缘起恶意程序黑暗势力的变种我国工业控制系统规模巨大, 安全漏洞恶意探测等均给我国工业控制系统带来一定的安全隐患截至 2016 年年底,CNVD 共收录工业控制漏洞 1036 条, 其中 2016 年收录 173 个, 较 2015 年增长 38.4% 工业控制系统主要存在缓冲区溢出缺乏访问控制机制弱口令目录遍历等漏洞风险同时, 通过联网工业控制设备探测和工业控制协议流量监测,2016 年共发现我国联网工业控制设备 2504 个, 协议主要涉及 S7Comm Modbus SNMP EtherNetIP Fox FINS 等, 厂商主要为西门子罗克韦尔施耐德欧姆龙等通过对网络流量分析发现,2016 年度累计监测到联网工业控制设备指纹探测事件 88 万余次, 并发现来自境外 60 个国家的 1610 个 IP 地址对我国联网工业控制设备进行指纹探测年 CNVD 收录的工业控制系统漏洞情况如图 1-11 所示工业控制系统高危漏洞涉及厂商情况如图 1-12 所示发现的联网工业控制设备厂商分布情况如图 1-13 所示 26

30 1 第章 2016 年网络安全状况综述单位 ( 个 ) 其他,55.3% 2013 年 2014 年 2015 年 2016 年图年 CNVD 收录的工业控制系统漏洞情况 ( 来源 :) 西门子,14.1% 惠普,4.7% 施耐德,9.4% 研华,9.4% 罗克韦尔,7.1% 图 1-12 工业控制系统高危漏洞涉及厂商情况 ( 来源 :) 27

31 2016 年中国互联网网络安全报告其他 14.8% 欧姆龙 3.4% 西门子 44.3% C 罗克韦尔 10.0% 施耐德 15.5% 图1-13 T /C 韦益可自控 12.0% 发现的联网工业控制设备厂商分布情况来源高级持续性威胁常态化我国面临的攻击威胁尤为严重 E R 截止到 2016 年年底国内企业发布高级持续性威胁 APT 研究报告共提及 43 个 APT 组织其中针对我国境内目标发动攻击的 APT 组织有 36 个 [5] 从攻击实现方式来看更多 APT 攻击采用工程化实现即依托商业攻击平台和互联网黑色产业链数据等成熟资源实现 APT 攻击这类攻击不 C 仅降低了发起 APT 攻击的技术和资源门槛而且加大了受害方溯源分析的难度 2016 年多起针对我国重要信息系统实施的 APT 攻击事件被曝光 C N 包括白象行动 [6] 蔓灵花攻击行动等主要以我国教育能源军事和科研领域为主要攻击目标 2016 年 8 月黑客组织影子经纪人 Shadow Brokers 公布了方程式组织 [7] 经常使用的工具包包含各种防火墙的漏洞利用代码黑客工具和脚本涉及 Juniper 飞塔思科天融信华为等厂商产品对公布的 11 个产品漏洞有 4 个疑似为 0day 漏洞进行普查分析发现全球约有 12 万个 IP 地址承载了相关产品的网络 [5] 360 威胁情报中心发布的 2016 中国高级持续性威胁 APT 研究报告 [6] 又称 Hang Over 摩诃草组织 APT-C-09 VICEROY TIGER The Dropping Elephant Patchwork 等 [7] 方程式组织 Equation Group 世界上最尖端的网络攻击组织之一疑似与美国国家安全局 NSA 有联系年网络安全报告.indd :42:05

32 1 第章 2016 年网络安全状况综述设备, 其中我国境内 IP 地址约有 3.3 万个, 占全部 IP 地址的 27.8%, 对我国网络空间安全造成严重的潜在威胁 2016 年 11 月, 黑客组织影子经纪人又公布一组曾受美国国家安全局网络攻击与控制的 IP 地址和域名数据, 中国是被攻击最多的国家, 涉及我国至少 9 所高校,12 家能源航空电信等重要信息系统部门和 2 个政府部门信息中心大量联网智能设备遭受恶意程序攻击形成僵尸网络, 被用于发起大流量 DDoS 攻击近年来, 随着智能可穿戴设备智能家居智能路由器等终端设备和网络设备的迅速发展和普及利用, 针对物联网智能设备的网络攻击事件比例呈上升趋势, 攻击者利用物联网智能设备漏洞可获取设备控制权限, 进而被控制形成大规模僵尸网络, 或用于用户信息数据窃取网络流量劫持等其他黑客地下产业交易 2016 年年底, 因美国东海岸大规模断网事件和德国电信大量用户访问网络异常事件,Mirai 恶意程序受到广泛关注 Mirai 是一款典型的利用物联网智能设备漏洞进行入侵渗透以实现对设备控制的恶意代码, 被控设备数量积累到一定程度将形成一个庞大的僵尸网络, 称为 Mirai 僵尸网络又因物联网智能设备普遍是 24h 在线, 感染恶意程序后也不易被用户察觉, 形成稳定的攻击源对 Mirai 僵尸网络进行抽样监测, 截至 2016 年年底, 共发现 2526 台控制服务器控制万余台物联网智能设备, 对互联网的稳定运行形成严重的潜在安全威胁此外, 还对 Gafgyt 僵尸网络进行抽样检测分析, 在 2016 年第 4 季度, 共发现 817 台控制服务器控制了 42.5 万台物联网智能设备, 累计发起超过 1.8 万次的 DDoS 攻击, 其中峰值流量在 5Gbit/s 以上的攻击次数高达 72 次网站数据和个人信息泄露屡见不鲜, 衍生灾害严重由于互联网传统边界的消失, 各种数据遍布终端网络手机和云上, 加上互联网黑色产业链的利益驱动, 数据泄露威胁日益加剧 2016 年, 国内外网站数据和个人信息泄露事件频发, 对政治经济社会的影响逐步加 29

33 2016 年中国互联网网络安全报告深, 甚至个人生命安全也受到侵犯在国外, 美国大选候选人希拉里的邮件泄露, 直接影响到美国大选的进程 ; 雅虎两次账户信息泄露涉及约 15 亿的个人账户, 致使美国电信运营商威瑞森 48 亿美元收购雅虎计划搁置甚至可能取消在国内, 我国免疫规划系统网络被恶意入侵,20 万儿童信息被窃取并在网上公开售卖 ; 信息泄露导致精准诈骗案件频发, 高考考生信息泄露间接夺去即将步入大学的女学生徐玉玉的生命 ;2016 年公安机关共侦破侵犯个人信息的案件 1800 多起, 查获各类公民个人信息 300 亿余条此外, 据新闻媒体报道, 俄罗斯墨西哥土耳其菲律宾叙利亚肯尼亚等多个国家政府的网站数据发生泄露移动互联网恶意程序趋利性更加明确, 移动互联网黑色产业链已经成熟 2016 年, 通过自主捕获和厂商交换获得的移动互联网恶意程序数量 205 万余个, 较 2015 年增长 39.0%, 近 6 年来持续保持高速增长趋势通过恶意程序行为分析发现, 以诱骗欺诈恶意扣费锁屏勒索等攫取经济利益为目的的应用程序骤增, 占恶意程序总数的 59.6%, 较 2015 年增长了近三倍从恶意程序传播途径发现, 诱骗欺诈行为的恶意程序主要通过短信广告和网盘等特定渠道进行传播, 感染用户数达到 2493 万人, 造成重大经济损失从恶意程序的攻击模式发现, 通过短信方式传播窃取短信验证码的恶意程序数量占比较大, 全年共获得相关样本个, 表现出制作简单攻击模式固定暴利等特点, 移动互联网黑色产业链已经成熟敲诈勒索软件肆虐, 严重威胁本地数据和智能设备安全监测发现,2016 年在传统 PC 端, 捕获敲诈勒索类恶意程序样本约 1.9 万个, 数量创近年来新高对敲诈勒索软件攻击对象分析发现, 勒索软件已逐渐由针对个人终端设备延伸至企业用户针对企业用户方面, 主要表示为加密企业数据库,2016 年年底开源 MongoDB 数据库遭受一轮勒索软件的攻击, 大量用户受到影响针对个人终端设备方面, 敲诈勒索软 30

34 1 第章 2016 年网络安全状况综述件恶意行为在传统 PC 端和移动端表现出明显的不同特点 : 在传统 PC 端, 主要通过加密数据进行勒索, 即对用户电脑中的文件加密, 胁迫用户购买解密密钥 ; 在移动端, 主要通过加密设备进行勒索, 即远程锁住用户移动设备, 使用户无法正常使用设备, 并以此胁迫用户支付解锁费用但从敲诈勒索软件的传播方式来看, 传统 PC 端和移动端表现出共性, 主要是通过邮件仿冒正常应用 QQ 群网盘贴吧受害者等传播 1.3 数据导读多年来, 对我国网络安全宏观状况进行持续监测, 以下是 2016 年抽样监测获得的主要数据分析结果 2016 年木马或僵尸程序控制服务器 IP 地址总数为个, 较 2015 年减少 8.0% 其中, 境内木马或僵尸程序控制服务器 IP 地址数量为个, 较 2015 年增长 19.5%; 境外木马或僵尸程序控制服务器 IP 地址数量为个, 较 2015 年下降 25.4% 2016 年木马或僵尸程序受控主机 IP 地址总数为个, 较 2015 下降 10.1% 其中, 境内木马或僵尸程序受控主机 IP 地址数量为个, 较 2015 年下降 14.1%; 境外木马或僵尸程序受控主机 IP 地址数量为个, 较 2015 年下降 1.1% 2016 年全球互联网月均有 465 万余台主机 IP 地址感染飞客蠕虫, 其中, 我国境内感染的主机 IP 地址数量月均近 67 万台 2016 年捕获及通过厂商交换获得的移动互联网恶意程序样本数量为个, 相比 2015 年增长 39.0% 31

35 2016 年中国互联网网络安全报告按行为属性统计, 流氓行为类的恶意程序数量居首位, 为个, 占 61.1%, 恶意扣费类 ( 占 18.2%) 资费消耗类( 占 13.6%) 分列第二三位按操作系统统计, 主要是针对 Android 平台的移动互联网恶意程序, 占 99.9% 2016 年我国境内被篡改网站数量为个, 较 2015 年的个减少 31.7% 其中, 境内政府网站被篡改数量为 467 个, 较 2015 年的 898 个大幅减少 48.0%, 占境内全部被篡改网站数量的 2.8%, 较 2015 年下降 0.9 个百分点 2016 年, 监测到仿冒我国境内网站的钓鱼页面个, 涉及 IP 地址个在这个 IP 地址中,85.4% 位于境外在仿冒我国境内网站的境外 IP 地址中, 中国香港占 25.4%, 位居第一, 美国 ( 占 9.6%) 和韩国 ( 占 1.9%) 分列第二三位从钓鱼站点使用域名的顶级域分布来看, 以.com 最多, 占 53.3%, 其次是.cc 和.pw, 分别占 32.7% 和 4.7% 2016 年, 监测到境内个网站被植入后门, 其中政府网站有 2361 个, 占境内被植入后门网站的 2.9% 向我国境内网站植入后门的 IP 地址有个位于境外, 主要位于美国 (13.8%) 中国香港 (6.3%) 和俄罗斯 (3.8%) 2016 年,CNVD 收集新增漏洞个, 包括高危漏洞 4146 个 ( 占 38.3%), 中危漏洞 5993 个 ( 占 55.4%), 低危漏洞 683 个 ( 占 6.3%) 与 2015 年相比,2016 年 CNVD 收录的漏洞总数增长 33.9%, 高危漏洞增加 42.5% 按漏洞影响对象类型统计, 排名前三的分别是应用程序漏洞 ( 占 60.0%) Web 应用漏洞 ( 占 14.4%) 和操作系统漏洞 ( 占 13.2%) 2016 年, 共接收境内外报告的网络安全事件起, 32

36 1 第章 2016 年网络安全状况综述较 2016 年的起下降 1.0% 其中, 境外报告的网络安全事件数量为 474 起, 较 2015 年下降 14.0% 接收的网络安全事件中, 排名前三位的分别是网页仿冒事件 ( 占 42.3%) 漏洞事件( 占 24.6%) 和恶意程序事件 (12.0%) 2016 年, 共成功处理各类网络安全事件起, 较 2015 年的起增长 0.1% 其中, 网页仿冒事件 ( 占 43.0%) 漏洞事件 ( 占 25.0%) 和恶意程序类事件 ( 占 12.0%) 等处理较多 2016 年, 共收到通信行业各单位报送的月度信息 533 份, 事件信息和预警信息 1593 份, 全年共编制并向各单位发送互联网网络安全信息通报 28 期 2016 年, 通过发布网络安全专报周报月报年报和在期刊杂志上发表文章等多种形式面向行业外发布报告 266 份 33

37 年 IoT 设备漏洞专题分析 ( 来源 :) 近年来, 随着智能手机可穿戴设备活动追踪器无线网络智能汽车智能家居等终端设备和网络设备的迅速发展和普及利用, 针对 IoT 设备的网络攻击事件比例呈上升趋势, 攻击者利用 IoT 设备漏洞可导致设备拒绝服务获取设备控制权限进而形成大规模恶意代码控制网络, 或用于用户信息数据窃取网络流量劫持等其他黑客地下产业交易为此, 对 2016 年收录的 IoT 设备漏洞 ( 含通用软硬件漏洞以及针对具体目标系统的事件型漏洞 ) 进行统计和专题分析 IoT 设备漏洞基本情况 2 网络安全专题分析 2016 年 CNVD 收录的 IoT 设备漏洞 1117 个, 涉及 Cisco Huawei Google Moxa 等厂商其中, 传统网络设备厂商思科 (Cisco) 设备漏洞有 356 个, 占全年 IoT 设备漏洞的 32%; 华为 (Huawei) 位列第二, 共收录 155 个 ; 安卓系统提供商谷歌 (Google) 位列第三, 工业设备产品提供厂商摩莎 34

38 2 第章网络安全专题分析科技 (Moxa) 西门子 (Siemens) 分列第四和第五位 IoT 设备漏洞数量 TOP 厂商排名如图 2-1 所示单位 ( 个 ) 图 2-1 IoT 设备漏洞数量 TOP 厂商排名 ( 来源 :) 2016 年 CNVD 收录的 IoT 设备漏洞类型分别为权限绕过拒绝服务信息思科 Cisco 华为 Huawei 谷歌 Google 摩莎科技 Moxa 西门子 Siemens 飞塔科技 Fortinet 三星 Samsung 施耐德 Schneider Electric 网件 Netgear 友讯科技 D-Link 泄露跨站命令执行缓冲区溢出 SQL 注入弱口令设计缺陷等漏洞其中, 权限绕过拒绝服务信息泄露漏洞数量位列前三, 分别占收录漏洞总数的 23.5% 19.4% 12.6% 对于弱口令 ( 或内置默认口令 ) 漏洞, 虽然在统计比例中漏洞条数占比不大 (2.1%), 但实际影响却十分广泛, 成为恶意代码攻击利用的重要风险点 IoT 设备按漏洞类型 TOP 分布如图 2-2 所示 35

39 2016 年中国互联网网络安全报告设计缺陷 1.3% 弱口令 2.1% SQL注入 4.7% 其他 9.9% 权限绕过 23.5% 缓冲区溢出 5.9% 跨站 11.7% T /C C 命令执行 8.9% 拒绝服务 19.4% 信息泄露 12.6% 图2-2 按漏洞类型TOP分布(来源 ) E R ３ＩｏＴ设备通用漏洞按设备标签类型分布 2016年CNVD公开收录的1117个IoT设备漏洞中影响设备的类型以标签定义包括网络摄像头路由器手机设备防火墙网关设备交换机等其中网络摄像头路由器手机设备漏洞数量位列前三分别 C 占公开收录漏洞总数的10.1% 9.4% 4.7% IoT设备漏洞通用按设备类 C N 型TOP分布如图2-3所示网络摄像头 10.1% 路由器 9.4% 其他 67.7% 手机设备 4.7% 防火墙 3.3% 交换机 2.7% 网关设备 2.1% 图2-3 IoT设备漏洞通用按设备类型TOP分布来源年网络安全报告.indd :42:08

40 2 第章网络安全专题分析根据 CNVD 白帽子补天平台以及漏洞盒子等来源的汇总信息,2016 年 CNVD 收录的 IoT 设备事件型漏洞 540 个与通用软硬件漏洞影响设备标签类型有所不同, 主要涉及交换机路由器网关设备 GPS 设备手机设备智能监控平台网络摄像头打印机一卡通产品等其中,GPS 设备一卡通产品网络摄像头漏洞数量位列前三, 分别占公开收录漏洞总数的 22.2% 6.9% 6.9% 值得注意的是, 目前政府高校以及相关行业单位陆续建立一些与交通环境能源校园管理相关的智能监控平台, 这些智能监控平台漏洞占比虽然较少 (1.9%), 一旦被黑客攻击, 带来的实际威胁却是十分严重 IoT 设备漏洞 ( 事件 ) 按设备类型 TOP 分布如图 2-4 所示其他,45.3% 打印机,1.1% 智能监控平台,1.9% 交换机,2.0% GPS 设备,22.2% 路由器,5.0% 手机设备,2.6% 一卡通产品,6.9% 网络摄像头,6.9% 网关设备,6.1% 图 2-4 漏洞 ( 事件 ) 按设备类型 TOP 分布 ( 来源 :) 根据 CNVD 平台近 5 年公开发布的网络设备 ( 含路由器交换机防火墙以及传统网络设备网关等产品 ) 漏洞数量分布分析, 传统网络设备漏洞数量总体呈上升趋势 2016 年 CNVD 公开发布的网络设备漏洞 697 条, 与 2015 年环比增加 27% CNVD 收录的网络设备漏洞近 5 年数量分布如图 2-5 所示 37

41 2016 年中国互联网网络安全报告单位 ( 条 ) 图年 2013 年 2014 年 2015 年 2016 年 CNVD 收录的网络设备漏洞近 5 年数量分布 ( 来源 :) IoT 设备漏洞典型案例 FortiGate( 飞塔防火墙 ) 是 Fortinet( 飞塔 ) 公司推出的网络防火墙产品, 用于防御网络层和内容层的网络和恶意代码等攻击根据境外研究者的分析以及相关验证情况, 业内认定 FortiGate 防火墙存在一处后门漏洞, 漏洞形成的原因是由于 FortiGate 防火墙 Fortimanager_Access 用户的密码采用较为简单的算法来生成, 攻击者通过分析破解后可直接获得认证的最高权限 (root), 进而控制防火墙设备, 后续攻击者可通过防火墙作为跳板, 渗透内部区域网络, 进行信息嗅探数据拦截等操作 CNVD 对该漏洞的综合评级为高危 Cisco ASA 是一款自适应安全设备, 可提供安全和 VPN 服务的模块化平台, 还可提供防火墙 IPS anti-x 和 VPN 服务由于 Cisco ASA Software 分段协议中的 IKE 网络密钥交换算法存在设计缺陷,IKEv1 及 IKEv2 代码中存在缓冲区溢出漏洞未经身份验证的远程攻击者利用漏洞发送特制的 UDP 数据包到受影响系统, 可致设备重载或远程代码执行, 进而可获取到目标系

42 2 第章网络安全专题分析统的完整控制权 CNVD 对该漏洞的综合评级为高危 Pulse Secure Desktop Client( 原用名为 Juniper Junos Pulse) 是访问 Juniper Pulse Secure 网关终端设备的客户端程序软件 Pulse Secure Desktop Client 安装的系统服务 dsaccessservice.exe 会创建一个名为 NeoterisSetupService 的命名管道该命名管道的访问控制列表被设置为 Everyone 完全控制, 所有用户均具有读写权限管道服务端使用了自定义的加密算法, 该管道用于安装新的系统服务时, 可以作为自动升级机制的一部分当有新数据写入管道时, 这段数据会被当作文件路径解密, 指向的文件会被复制到 C:\Windows\ Temp\ 并执行服务安装逻辑在 dsinstallservice.dll 中实现, 它首先读入路径并从路径中切出文件名这个实现逻辑存在一个漏洞 : 只切出了路径中 \ 字符之后的部分, 但忽略了 / 字符攻击者可以传入一个恶意构造的路径, 再通过 DLL 劫持的方式即可实现权限提升和任意代码执行 CNVD 对该漏洞的综合评级为高危 Netgear R7000 R6400 和 R8000 是美国网件 (Netgear) 公司的无线路由器产品 Netgear 上述路由器的固件包含一个任意命令注入漏洞远程攻击者可能诱使用户访问精心构建的 Web 站点或诱使用户点击设置好的 URL, 从而以设备 root 用户权限在受影响的路由器上执行任意命令 CNVD 对该漏洞的技术评级为高危 Sony 公司 IPELA ENGINE IP 系列摄像头产品包含多个产品型号, 其中以 SNC-* 编号的摄像头原固件中,Web 版管理控制台包含两个经过硬编码且永久开启的账号, 分别是用户名 :debug/ 密码 :popeyeconnection 及用户名 : primana/ 密码 :primana, 后者可用来开启 Telnet 访问, 甚至可获取摄像头的管理员权限远程攻击者利用漏洞可使用 Telnet/SSH 服务进行远程管理, 从而 39

43 2016 年中国互联网网络安全报告获得摄像头产品的完全控制权 CNVD 对该漏洞的技术评级为高危 Android on Android One 是美国谷歌 (Google) 公司和开放手持设备联盟 ( 简称 OHA) 共同开发的一套运行于 Android One( 智能手机 ) 中, 并以 Linux 为基础的开源操作系统 MediaTek GPS Driver 是使用在其中的一个联发科 (MediaTek) 公司开发的 GPS 驱动组件 Android One 设备上 Android 之前版本中的 MediaTek GPS 驱动存在提权漏洞攻击者可利用该漏洞借助特制的应用程序获取特权 CNVD 对该漏洞的技术评级为高危上海广升信息技术股份有限公司是全球领先的终端管理云平台提供商, FOTA( 无线升级 ) 为 IoT 设备 ( 智能汽车穿戴家居 VR 等 ) 提供专业的无线升级解决方案多款 MTK 平台手机广升 FOTA 服务存在 system 权限提升漏洞由于使用广升 FOTA 服务的手机存在某绑定服务的系统 APP 存在漏洞, 可实现以 system 权限执行命令攻击者利用漏洞可将权限提升至 system CNVD 对该漏洞的综合评级为中危格尔安全认证网关为网络应用提供基于数字证书的高强度身份认证服务和高强度数据链路加密服务格尔安全认证网关系统存在多处命令执行漏洞攻击者利用漏洞可构造请求, 执行任意命令, 写入 webshell, 获取服务器权限, 造成敏感信息泄露 CNVD 对该漏洞的综合评级为高危 Android on Nexus 9 是美国谷歌 (Google) 公司和开放手持设备联盟共同开发的一套运行于 Nexus 9( 平板电脑 ) 中并以 Linux 为基础的开源操作系统 NVIDIA camera driver 是使用在其中的一个摄像头驱动程序基于 Nexus 9 设备上 Android 之前版本中的 NVIDIA 摄像头驱动程序存在权限 40

44 2 第章网络安全专题分析获取漏洞攻击者可借助特制的应用程序利用该漏洞获取权限 CNVD 对该漏洞的综合评级为高危 Lexmark printer 是美国利盟公司的一款打印机产品 Lexmark 打印机的初始化进程中存在竞争条件漏洞远程攻击者通过 security-jumper 状态的不正确检测绕过身份验证 CNVD 对该漏洞的综合评级为高危 2.2 关于 2016 年相册类安卓恶意程序监测处置情况的通报 ( 来源 :) 相册类安卓恶意程序是一类传播广泛的具有窃取用户隐私的安卓恶意程序持续对通过短信传播, 且具有窃取用户短信和通信录等恶意行为的相册类安卓恶意程序进行监测 2016 年全年监测发现该类恶意程序变种为个, 传播该类恶意程序的域名新增 6045 个, 累计传播次, 用于接收用户短信和通信录的恶意邮箱账户 7645 个, 用于接收用户短信的恶意手机号码 6616 个, 泄露用户短信和通信录的邮件 222 万封, 累计感染用户超过 101 万人, 对用户信息安全造成严重威胁第一时间对该类恶意程序的传播地址恶意邮箱和手机号码进行处置, 有效控制了恶意程序的影响范围恶意程序行为分析相册类恶意程序主要通过短信进行传播, 黑客通过发送带有恶意程序下载链接的短信, 诱骗用户点击安装该类恶意程序具有以下恶意行为 : 运行后隐藏安装图标, 同时诱骗用户点击激活设备管理器功能, 导致用户无法正常卸载 ; 私自向黑客指定的手机号码发送提示短信软件安装完毕 \n 识别码 :IMEI 号码型号手机系统版本和激活成功 ; 41

45 2016 年中国互联网网络安全报告私自将用户手机中已存在的所有短信和通信录上传至指定的邮箱 ; 私自将用户接收到的新短信转发至指定的手机号码, 同时在用户的收件箱中删除该短信恶意程序传播情况黑客产业链从业者通过阅读恶意程序窃取的用户短信和通信录, 可以了解用户身份信息工作职务家庭情况社会关系和经济基础等个人信息, 从而可进行具有针对性的诈骗攻击为提高诈骗成功率, 黑客产业链从业者会根据目标人群制作具有针对性的恶意短信和恶意程序, 冒充好友亲属同事领导或公职人员等多种身份向目标人群发送恶意短信和恶意程序下载地址截止到 2016 年年底, 监测发现该类恶意程序使用的程序名称多达 527 种其中黑客产业链从业者使用恶意程序名称频次最多的是新的影集, 占所有恶意程序的 9.3%, 其次是录像和相片, 分别占 8.3% 和 7.7% 此外, 黑客产业链从业者使用最多的 10 个恶意程序名称还有影集录像校讯通照片中国移动相册资料 2016 年全年相册类恶意程序所用程序名称占比统计如图 2-6 所示其他,37.7% 新的影集,9.3% 录像,8.3% 相片,7.7% 影集,7.5% 录像,7.4% 资料,3.6% 相册,4.2% 中国移动,4.4% 照片,4.6% 校讯通,5.3% 图年全年相册类恶意程序所用程序名称占比统计 ( 来源 :) 42

2 第章网络安全专题分析目前黑客产业链从业者都是利用伪基站或者手机肉鸡等设备, 向目标人群发送带有恶意程序下载 URL 链接, 通过这种方式传播恶意程序为了提高链接的点击率, 黑客产业链从业者一般将链接进行短链接转化, 达到与其他正常短信中短链接类似的效果, 诱骗用户点击截止到 2016 年年底, 监测发现相册类恶意程序 71816 次, 使用的短链接域名

46 2 第章网络安全专题分析目前黑客产业链从业者都是利用伪基站或者手机肉鸡等设备, 向目标人群发送带有恶意程序下载 URL 链接, 通过这种方式传播恶意程序为了提高链接的点击率, 黑客产业链从业者一般将链接进行短链接转化, 达到与其他正常短信中短链接类似的效果, 诱骗用户点击截止到 2016 年年底, 监测发现相册类恶意程序次, 使用的短链接域名 4056 个这其中使用 t.cn 转换的恶意链接最多, 占总数的 14.8%; 其次是使用 dwz.cn 转换的恶意链接, 占总数的 4.5%; 第三是使用 guo.kr 转换的恶意链接, 占总数的 2.4% 2016 年全年相册类恶意程序传播短链接域名统计如图 2-7 所示其他,69.1% t.cn,14.8% 图年全年相册类恶意程序传播短链接域名统计 ( 来源 :) dwz.cn,4.5% guo.kr,2.4% du.in,2.1% url.cn,1.6% dwz.hk,1.4% x61.cn,1.4% fty.me,0.9% 6du.in,0.9% xwh.cn,0.9% 用户点击恶意短信中的短链接后会重定向至恶意程序的下载链接, 最终下载恶意程序文件通过对重定向后的恶意下载链接进行分析, 监测发现这些传播相册类恶意程序的网站 81.1% 未进行备案, 只有 18.9% 的网站进行了备案, 其中 19.0% 的网站在境内接入,81.0% 的网站在境外接入由此可以看出, 传播相册类恶意程序的网站具有大部分未备案且大部分在境外接入的特点 2016 年全年相册类恶意程序传 43

47 2016 年中国互联网网络安全报告播域名备案统计如图 2-8 所示 2016 年全年相册类恶意程序传播服务器境内外统计如图 2-9 所示已备案,18.9% 图 2-8 未备案,81.1% 2016 年全年相册类恶意程序传播域名备案统计 ( 来源 :) 境内,19.0% 图年全年相册类恶意程序传播服务器境内外统计 ( 来源 :) 境外,81.0% 在境外接入的恶意程序传播服务器中, 位于中国香港的恶意服务器数量最多, 占总数的 78.9%, 其次是位于美国和日本的服务器, 分别占总数的 9. 9% 和 3.4% 在境内接入的恶意程序传播服务器中, 位于北京的服务器数量最多, 占总数的 19.4%, 其次是位于上海和内蒙古的服务器, 分别占总数的 9.7% 和 7.8% 2016 年全年相册类恶意程序传播服务器境外统计 44

48 第 2章网络安全专题分析如图2-10所示 2016年全年相册类恶意程序传播服务器境内省份统计如图2-11所示孟加拉 1.4% 其他 6.4% 日本 3.4% 美国 9.9% 北京 19.4% 上海 9.7% C 其他 31.2% 2016年全年相册类恶意程序传播服务器境外统计来源 E R 图2-10 T /C C 中国香港 78.9% C N 河北 2.3% 内蒙古 7.8% 山东 3.2% 陕西 3.5% 湖南 4.4% 图2-11 广东 7.2% 河南 5.5% 新疆 5.8% 2016年全年相册类恶意程序传播服务器境内省份统计来源恶意程序所用邮箱统计相册类恶意程序会将用户手机中已存在的所有短信和通信录上传至指定邮箱截止到2016年年底分析发现该类恶意程序所年网络安全报告.indd :42:11

49 2016 年中国互联网网络安全报告用的恶意邮箱账户7645个其中 21cn.com 恶意邮箱账户数量最多占总数的22.4% 其次是 vip.sina.com 恶意邮箱账户占总数的17.6% 第三是 163.com 恶意邮箱账户占总数的16.1% 图2-12显示了黑客产业链从 jce68.com 0.6% 139.com 1.0% 263.net 1.6% sina.cn 3.4% C 业者使用量排名前10的恶意邮箱类型其他 11.2% T /C sina.com 6.5% 21cn.com 22.4% vip.sina.com 17.6% 189.cn 9.1% E R aliyun.com 10.5% 图 com 16.1% 黑客产业链从业者使用量排名前10的恶意邮箱类型来源 C 恶意程序所用手机号码统计相册类恶意程序会将用户接收到的新短信转发至指定的手机号码 C N 截止到2016年年底监测到用于接收用户短信的恶意手机号码6616个其中中国移动网内手机号码数量最多占总数的64.9% 其次是中国联通和中国电信分别占总数的31.5%和2.5% 2016年全年相册类恶意程序所用手机号码运营商统计如图2-13所示年网络安全报告.indd :42:11

50 2 第章网络安全专题分析中国电信,2.5% 虚拟运营商,1.1% 中国联通,31.5% 中国移动,64.9% 图年全年相册类恶意程序所用手机号码运营商统计 ( 来源 :) 按照手机号码归属地统计, 此批恶意手机号码分布在全国 29 个省自治区和直辖市, 其中归属于广东省的恶意手机号码最多, 占总数的 54.2%, 其次是归属于江苏省的恶意手机号码, 占总数的 7.0%, 第三是归属于北京市的恶意手机号码, 占总数的 6.2% 2016 年全年相册类恶意程序所用手机号码按地域统计如图 2-14 所示 60.0% 50.0% 40.0% 30.0% 20.0% 10.0% % 7.0% 6.2% 6.0% 5.9% 4.8% 3.6% 3.4% 1.8% 1.7% 1.3% 1.3% 1.0% 0.8% 0.7% 0.3% 广东江苏北京上海山东广西辽宁其他河北陕西河南浙江安徽内蒙古湖北海南图年全年相册类恶意程序所用手机号码按地域统计 ( 来源 :) 47

51 2016 年中国互联网网络安全报告处置结果分析确认相册类恶意程序的影响范围后, 立即启动针对该恶意代码的处置工作协调中国电信中国移动网易公司新浪公司阿里巴巴公司对恶意程序用于接收用户信息的 7645 个恶意邮箱账户进行关停处理, 切断了黑客窃取用户信息的途径 2.3 Mirai 僵尸网络深度分析 ( 来源 :CNCERT/ CC 启明星辰公司奇虎 360 公司 ) Mirai 是 2016 年影响力最大的僵尸网络 2016 年发生的多次重大网络攻击事件均与 Mirai 有关例如,2016 年 10 月 21 日发生的美国域名解析服务提供商 dyn 公司遭受 DDoS 攻击导致的美国东海岸地区大面积网络瘫痪事件, 即所谓的美国断网事件下面结合对 Mirai 僵尸网络的监测情况启明星辰公司对 Mirai 源代码的分析情况以及奇虎 360 公司对 Mirai 攻击案例的回顾情况, 对 Mirai 僵尸网络的感染形式技术原理和典型案例进行多角度阐述 Mirai 僵尸网络感染情况 ( 来源 :) 对 Linux.Mirai 木马僵尸程序在 2016 年 10 月 24 日至 12 月 31 日的网络攻击情况进行抽样检测, 共发现恶意代码下载服务器 IP 地址 73 个, 恶意代码下载次数超过 2 亿次监测数据显示, 恶意代码下载方式主要为 Telnet 远程执行 wget 或 tftp 下载, 下载恶意代码的文件名主要是 mirai.arm7 mirai.arm mirai.mips mirai.x86 和 mirai. ppc, 从恶意代码文件名上可以看出 Mirai 支持多种硬件平台从恶意代码植入攻击指令中下载链接数量看, 荷兰 IP 地址上的恶意代码下载次数最多, 达到万次 ; 南非 IP 地址上的恶意代码下载次数排在第二位, 达到万次, 其他的恶意代码下载链接及下载次数情况见表

52 2 第章网络安全专题分析表 2-1 Mirai 植入攻击指令中下载链接统计 (2016 年 10 月 24 日至 12 月 31 日监测数据 )( 来源 :) 植入攻击次数 ( 次 ) 恶意代码下载方式恶意代码下载链接 wget :80/mirai.arm wget :80/mirai.arm wget :80/mirai.arm wget :80/mirai.arm wget :80/mirai.arm wget :80/mirai.arm wget :80/mirai.arm wget :80/mirai.arm wget :80/mirai.arm wget :80/mirai.arm wget :80/mirai.arm wget :80/mirai.arm tftp /mirai.arm tftp /mirai.arm tftp /mirai.arm wget :80/mirai.mips tftp/wget 其他下载链接对 Linux.Mirai 木马僵尸程序在 2016 年 10 月 24 日至 12 月 31 日的网络攻击情况进行抽样检测, 共发现控制服务器 IP 地址 2526 个 Mirai 木马僵尸程序控制端 IP 地址在境内和境外的分布情况见表 2-2, 2016 年 10 月 24 至 12 月 31 日, 位于境内的控制端 IP 地址数量略少于位于境外的控制端 IP 地址数量境内控制端 IP 地址主要集中在广东湖北山东江苏湖南等省份, 而境外控制端 IP 地址数量最多的是越南, 其次是南非韩国和中国台湾 49

53 2016 年中国互联网网络安全报告表 2-2 Mirai 木马僵尸程序控制端 IP 地址在境内和境外的分布统计 (2016 年 10 月 24 日至 12 月 31 日监测数据 )( 来源 :) 境内省区市控制服务器 (Load)IP 地址数量 ( 个 ) 境外国家 / 地区控制服务器 (Load)IP 地址数量 ( 个 ) 广东 176 越南 189 湖北 114 南非 127 山东 107 韩国 120 江苏 103 中国台湾 104 湖南 87 俄罗斯 72 福建 78 美国 71 北京 66 巴西 60 浙江 64 罗马尼亚 52 辽宁 35 巴基斯坦 51 上海 32 乌克兰 38 河南 29 印度 29 山西 29 英国 28 重庆 23 中国香港 27 河北 22 美国 25 安徽 19 波兰 22 云南 19 保加利亚 21 海南 16 巴西 20 江西 15 德国 19 四川 14 荷兰 16 天津 13 马来西亚 16 广西 12 荷兰 15 黑龙江 12 哥伦比亚 14 吉林 10 瑞士 14 宁夏 10 智利 14 新疆 9 加拿大 12 青海 8 比利时 11 内蒙古 6 西班牙 11 贵州 5 亚美尼亚 10 甘肃 4 墨西哥 9 对 Linux.Mirai 木马僵尸程序在 2016 年 10 月 24 日至 12 月 31 日 50

54 2 第章网络安全专题分析的网络攻击情况进行抽样检测, 共发现疑似被控设备 IP 地址约万个 Mirai 木马僵尸受控端 IP 地址在境内和境外的分布情况见表 2-3 境内受控端 IP 地址最多的是广东江苏浙江湖北等省份, 而境外控制端 IP 地址数量最多的是印度俄罗斯巴西和巴基斯坦等国家和地区表 2-3 Mirai 木马僵尸受控端 IP 地址境内外分布 (2016 年 10 月 24 日至 12 月 31 日监测数据 )( 来源 :) 境内省区市疑似被控设备 IP 地址数量 ( 个 ) 境外国家 / 地区疑似被控设备 IP 地址数量 ( 个 ) 广东印度江苏俄罗斯浙江巴西湖北巴基斯坦四川意大利新疆伊朗重庆越南上海日本湖南土耳其山东印度尼西亚河南韩国福建特立尼达和多巴哥青海阿根廷海南美国河北罗马尼亚 8496 安徽利比亚 8325 辽宁 9817 墨西哥 8036 广西 9293 哥斯达黎加 7930 山西 9128 哥伦比亚 7520 吉林 8178 中国台湾 7320 宁夏 7767 泰国 6946 北京 7497 菲律宾 5077 天津 5777 波兰 4973 云南 5372 乌克兰 4955 陕西 4231 以色列 4797 内蒙古 3907 斐济群岛 4695 江西 3350 西班牙 4329 黑龙江 3274 摩洛哥

55 2016 年中国互联网网络安全报告 ( 续表 ) 境内省区市疑似被控设备 IP 地址数量 ( 个 ) 境外国家 / 地区疑似被控设备 IP 地址数量 ( 个 ) 贵州 2910 加拿大 3289 甘肃 1342 马达加斯加 3210 西藏 808 其他国家和地区 Mirai 源码分析 ( 来源 : 启明星辰公司 ) Mirai 源码是 2016 年 9 月 30 日由黑客 Anna-senpai 在论坛上公布其公布在 github 上的源码被 star( 收藏 ) 了 2538 次, 被 fork( 创建分支 ) 了 1371 次, 如图 2-15 所示 Watch 237 Star 2538 Fork 1371 图 2-15 公布在 github 上的 Mirai 源码利用情况 ( 来源 : 启明星辰公司 ) Mirai 通过扫描网络中的 Telnet 等服务进行传播, 实际受感染设备 bot 并不充当感染角色, 其感染是通过黑客配置服务来实施, 这个服务被称为 Load 黑客的另外一个服务器 C&C 服务主要用于下发控制指令, 对目标实施攻击通过对僵尸源码的分析发现, 该僵尸具备如下特点 : 黑客服务端实施感染, 而非僵尸自己实施感染 ; 采用高级 SYN 扫描, 扫描速度提升 30 倍以上, 提高了感染速度 ; 强制清除其他主流的 IoT 僵尸程序, 除掉竞争对手, 独占资源, 比如清除 QBOT Zollard Remaiten bot anime bot 以及其他僵尸 ; 一旦通过 Telnet 服务进入, 便强制关闭 Telnet 服务, 以及其他入口, 如 SSH 和 Web 入口, 并且占用服务端口防止这些服务复活 ; 过滤掉通用电气公司惠普公司美国国家邮政局国防部等公司和机构的 IP 地址, 防止无效感染 ; 独特的 GRE 协议洪水攻击, 加大了攻击力度 Mirai 感染示意如图 2-16 所示 52

56 2 第章网络安全专题分析回传扫描破解结果 bot ScanListen 在目标设备中下 bot 执行 dvrhelper Load 远程登录执行目标设备并实施感染解析并格式化回传信息图 2-16 Mirai 感染示意 ( 来源 : 启明星辰公司 ) 图 2-16 简单显示了 Mirai 僵尸的感染过程, 与普通僵尸感染不同的是, 其感染端是通过黑客服务端实施的, 而不是靠 bot 实施感染感染到设备端的 bot 程序通过随机策略扫描互联网上的设备, 并会将成功猜解设备的用户名密码 IP 地址端口信息以一定格式上传给 ScanListen;ScanLiten 解析这些信息后交由 Load 模块来处理 ;Load 通过这些信息登录相关设备对设备实施感染, 感染方式有 echo 方式 wget 方式和 tftp 方式这三种方式都会向目标设备推送一个具有下载功能的微型模块, 这个模块被传给目标设备后, 命名为 dvrhelper; 最后,dvrHelper 远程下载 bot 执行, bot 再次实施 Telnet 扫描并进行密码猜解, 由此周而复始地在网络中扩散这种感染方式极为有效,Anna-senpai 曾经每秒得到 500 个成功爆破的结果 bot 是 Mirai 僵尸的攻击模块, 主要实现对网络服务设备 ( 扫描过程不只针对 IoT 设备, 只要开启 Telnet 服务的网络设备均不会放过 ) 的 Telnet 服务的扫描并尝试进行暴力破解其会将成功破解的设备 IP 地址端口用户名 53

57 2016 年中国互联网网络安全报告密码等信息发送给黑客配置的服务器, 并且同时接收 C&C 服务器的控制命令对目标发动攻击由于 Mirai 的攻击目标主要设计用来针对 IoT 设备, 因此其无法将自身写入到设备固件中, 只能存在于内存, 所以一旦设备重启,Mirai 的 bot 程序就会消失为了防止设备重启,Mirai 向看门狗发送控制码 0x 来禁用看门狗功能, 相关代码如图 2-17 所示图 2-17 Mirai 向看门狗发送控制码 0x 禁用看门狗功能 ( 来源 : 启明星辰公司 ) 通常在嵌入式设备中, 固件会实现一种叫看门狗的功能, 有一个进程会不断地向看门狗进程发送一个字节数据, 这个过程叫喂狗如果喂狗过程结束, 那么设备就会重启, 因此为了防止设备重启,Mirai 关闭了看门狗功能这种技术常常广泛应用于嵌入式设备的攻击中, 比如曾经的海康威视漏洞 (CVE ) 攻击代码中就采用过这种防重启技术这里有个小插曲,2016 年 8 月 31 日, 一位逆向分析人员将此代码判定错误, 认为这是为了做延时而用, 黑客 Anna-senpai 在 Hackforums 论坛公布源码时嘲笑并斥责该逆向分析人员的错误 Mirai 为了防止进程名被暴露, 在一定程度上做了隐藏, 虽然这种隐藏并不能起到很好的作用 Mirai 的具体做法是将字符串进行了随机化, 如图 2-18 所示 54

第 2章网络安全专题分析随机化进程名来源启明星辰公司３防止多实例运行 T /C 图2-18 C 随机化进程名 Mirai同大多数恶意代码一样需要一种互斥机制防止同一个设备多个实例运行但Mirai采用的手段有所不同其通过开启48101端口来防止多个实例运行具体做法是通过绑定和监听此端口如果失败便会关闭已经

58 第 2章网络安全专题分析随机化进程名来源启明星辰公司３防止多实例运行 T /C 图2-18 C 随机化进程名 Mirai同大多数恶意代码一样需要一种互斥机制防止同一个设备多个实例运行但Mirai采用的手段有所不同其通过开启48101端口来防止多个实例运行具体做法是通过绑定和监听此端口如果失败便会关闭已经 E R 开启此端口的进程确保只有一个实例运行这个特点是检测网络设备中 C N C 是否存在Mirai最高效的检测方法如图2-19所示绑定失败关闭对方进程监听失败关闭对方进程图2-19 通过开启48101端口防止多个实例运行来源启明星辰公司年网络安全报告.indd :42:15

2016 年中国互联网网络安全报告４重绑定技术防止外来者抢占资源 Mirai有一个特点就是具有排他性设备一旦感染其会通过端口来关闭Telnet 23 SSH 22 编译时可选删除项 HTTP 80 编译时可选删除项服务并且会阻止这些服务进行重启其主要实现方法是通过kill 强制关闭这三个服务进程并强行占用这些服务开启时所需要的端口此 C

59 2016 年中国互联网网络安全报告４重绑定技术防止外来者抢占资源 Mirai有一个特点就是具有排他性设备一旦感染其会通过端口来关闭Telnet 23 SSH 22 编译时可选删除项 HTTP 80 编译时可选删除项服务并且会阻止这些服务进行重启其主要实现方法是通过kill 强制关闭这三个服务进程并强行占用这些服务开启时所需要的端口此 C 举Mirai既可以防止设备被其他恶意软件感染也可以防止安全人员从外部访问该设备提高Mirai的取证难度此功能在killer.c文件中实现 T /C Telnet服务的重绑定实现如图2-20所示 SSH和HTTP服务采用类似的方式实现 E R 通过端口得到进程并且强行关闭进程 C 监听23端口防止Telnet服务重启图2-20 Telnet服务的重绑定实现来源启明星辰公司 C N SSH服务的重绑定实现如图2-21所示图2-21 通过Killer_Rebind_SSH的定义与否来确定是否对SSH进程重绑定服务 SSH服务的重绑定实现来源启明星辰公司 HTTP服务的重绑定实现如图2-22所示年网络安全报告.indd :42:16

具体做法是搜索内存中是否存在QBOT特征 UPX特征 Zollard蠕虫特征 C Remaiten bot特征来除掉对手以达到独占资源的目的如图2-23所示通过memory scraping技术除掉设备中的其他恶意软件来源

60 第 2章网络安全专题分析 HTTP服务的重绑定实现来源启明星辰公司 T /C 图2-22 C 通过Killer_Rebind_HTTP的定义与否来决定是否对HTTP服务进行重绑定通过对实际样本的分析发现大部分黑客并没有对SSH和HTTP进行重绑定操作绝大部分都只针对Telnet服务进行重绑定５除掉竞争对手独占资源 Mirai会通过一种 memory scraping的技术除掉设备中的其他恶意软件其 E R 具体做法是搜索内存中是否存在QBOT特征 UPX特征 Zollard蠕虫特征 C Remaiten bot特征来除掉对手以达到独占资源的目的如图2-23所示通过memory scraping技术除掉设备中的其他恶意软件来源启明星辰公司 C N 图2-23 此外 Mirai如果发现anime恶意软件同样也会强行除掉它如图2-24 所示强行除掉anime恶意软件图2-24 强行除掉anime恶意软件来源启明星辰公司年网络安全报告.indd :42:16

2016 年中国互联网网络安全报告６可感染设备探测 Mirai僵尸随机扫描网络中IoT设备的Telnet服务并通过预植的用户名和密码进行暴力破解然后将扫描得到的设备IP地址端口处理器架构等信息回传给Load服务器这里要注意的是 Mirai的随机扫描有一个过滤条件其中比较有意思的就是它会过滤掉通用电气公司惠普公司美国国 T /C C 家邮政局国防部等公司和机构的IP地址

61 2016 年中国互联网网络安全报告６可感染设备探测 Mirai僵尸随机扫描网络中IoT设备的Telnet服务并通过预植的用户名和密码进行暴力破解然后将扫描得到的设备IP地址端口处理器架构等信息回传给Load服务器这里要注意的是 Mirai的随机扫描有一个过滤条件其中比较有意思的就是它会过滤掉通用电气公司惠普公司美国国 T /C C 家邮政局国防部等公司和机构的IP地址如图2-25所示 C E R 无需进行扫描的IP地址图2-25 Mirai随机扫描过滤的IP地址来源启明星辰公司 C N Mirai僵尸中内置有60余个用户名和密码其中内置的用户名和密码是加密处理过的加密算法是通过简单的单字节多次异或实现其密钥为 0xDEADBEEF 解密密钥为0xEFBEADDE 如图2-26所示年网络安全报告.indd :42:16

62 第 2章图2-26 E R T /C C 网络安全专题分析 Mirai僵尸中内置有60余个用户名和密码来源启明星辰公司 Mirai使用高级SYN扫描技术对网络中的设备进行扫描破解其速度较 C 僵尸程序QBOT所采用的扫描技术快80倍资源消耗减少至少达20倍因此具备强大的扫描感染能力黑客在收集肉鸡过程中曾经每秒可新增500个 C N IoT设备 Telnet服务扫描实现如图2-27所示年网络安全报告.indd :42:17

63 2016 年 T /C C 中国互联网网络安全报告 C N C E R 此处是提高扫描速度的关键图2-27 Telnet服务扫描实现来源启明星辰公司当Mirai扫描到Telnet服务时会连接Telnet并进行暴力登录尝试 Mirai 首先会使用内置的用户名和密码尝试登录之后通过发送一系列命令来判定登录成功与否如果成功则试图进行一些操作比如开启shell等其发送的命令被初始化在一个表中具体见表年网络安全报告.indd :42:18

64 2 第章网络安全专题分析表 2-4 Mirai 连接 Telnet 成功后进行的一些操作 ( 来源 : 启明星辰公司 ) 命令操作类型 Index 是否有效功能描述 TABLE_SCAN_CB_DOMAIN 18 yes domain to connect to TABLE_SCAN_CB_PORT 19 yes Port to connect to TABLE_SCAN_SHELL 20 yes 'shell' to enable shell access TABLE_SCAN_ENABLE 21 yes 'enable' to enable shell access TABLE_SCAN_SYSTEM 22 yes 'system' to enable shell access TABLE_SCAN_SH 23 yes 'sh' to enable shell access TABLE_SCAN_QUERY 24 yes echo hex string to verify login TABLE_SCAN_RESP 25 yes utf8 version of query string TABLE_SCAN_NCORRECT 26 yes 'ncorrect' to fast-check for invalid password TABLE_SCAN_PS 27 no /bin/busybox ps TABLE_SCAN_KILL_9 28 no /bin/busybox kill -9 表 2-4 中只有 TABLE_SCAN_PS 和 TABLE_SCAN_KILL_9 进行初始化而未对目标设备进行预执行操作,20~26 的操作均是在发送用户名和密码后的登录验证操作, 其中 TABLE_SCAN_CB_DOMAIN 和 TABLE_SCAN_CB_ PORT 是为黑客配置的 Load 服务器该服务器用于获取有效的 Telnet 扫描结果, 扫描结果中包含 IP 地址端口 Telnet 用户名和密码等信息发送信息的格式见表 2-5 zero (1 字节 ) IP 地址 (4 字节 ) 表 2-5 发送信息的格式 ( 来源 : 启明星辰公司 ) 端口 (2 字节 ) 用户名长度 (4 字节 ) 用户名 ( 多字节 ) 密码长度 (4 字节 ) 密码 ( 多字节 ) Mirai 的攻击类型包含 UDP 攻击 TCP 攻击 HTTP 攻击以及新型的 GRE 攻击其中,GRE 攻击就是著名安全新闻工作者 Brian Krebs 的网站 KrebsOnSecurity.com 遭受的主力攻击形式, 攻击的初始化代码如图 2-28 所示 61

65 2016 年图2-28 T /C C 中国互联网网络安全报告攻击的初始化代码来源启明星辰公司 E R C&C会被初始化在一张表中当Mirai回连C&C时会从表中取出C&C 进行连接如图2-29所示 C N C 获取C&C域名获取C&C端口图2-29 Mirai回连C&C时获取C&C进行连接来源启明星辰公司年网络安全报告.indd :42:18

66 2 第章网络安全专题分析成功连接 C&C 后,Mirai 会进行上线, 其上线过程非常简单, 自身简单向 C&C 发送 4 个字节的 0, 如图 2-30 所示图 2-30 上线过程简单 ( 来源 : 启明星辰公司 ) 接下来会等候 C&C 的控制命令, 伺机对目标发动攻击对于接受的控制命令要进行一些处理, 比如首先会进行试读来做预处理 ( 控制指令长度判定等 ), 最后才会接受完整的控制命令当接受到控制命令后,Mirai 对控制命令做解析并且执行, 控制命令格式如图 2-31 所示 type Attackstruct { Duration uint32 Type uint8 Targets map[uint32]uint8 //Prefix/netmask Flags map[uint8]string // key=value 图 2-31 控制命令格式 ( 来源 : 启明星辰公司 ) 其中, 前 4 个字节为攻击时长, 接下来的 4 个字节为攻击类型 ( 攻击 ID), 然后是攻击目标, 攻击目标格式见表 2-6 目标数 (4 字节 ) 表 2-6 攻击目标格式 ( 来源 : 启明星辰公司 ) IP 地址 (4 字节 ) MASK (1 字节 ) IP 地址 (4 字节 ) MASK (1 字节 ) IP 地址 MASK 最后是 Flag,Flag 是一系列的键值对数据, 结构类似于攻击目标的格式 Mirai 僵尸网络攻击功能见表

2016 年中国互联网网络安全报告表 2-7 Mirai 僵尸网络攻击功能 ( 来源 : 启明星辰公司 ) 攻击类型 (32 位 ) 类型值攻击函数 ATK_VEC_UDP 0 attack_udp_generic ATK_VEC_VSE 1 attack_udp_vse ATK_VEC_DNS 2 attack_udp_dns ATK_VEC_UDP_PLAIN 9

67 2016 年中国互联网网络安全报告表 2-7 Mirai 僵尸网络攻击功能 ( 来源 : 启明星辰公司 ) 攻击类型 (32 位 ) 类型值攻击函数 ATK_VEC_UDP 0 attack_udp_generic ATK_VEC_VSE 1 attack_udp_vse ATK_VEC_DNS 2 attack_udp_dns ATK_VEC_UDP_PLAIN 9 attack_udp_plain ATK_VEC_SYN 3 attack_tcp_syn ATK_VEC_ACK 4 attack_tcp_ack ATK_VEC_STOMP 5 attack_tcp_stomp ATK_VEC_GREIP 6 attack_gre_ip ATK_VEC_GREETH 7 attack_gre_eth ATK_VEC_PROXY 8 attack_app_proxy( 已经被取消 ) ATK_VEC_HTTP 10 attack_app_http 表 2-7 中 GRE 攻击就是 2016 年 9 月 20 日安全新闻工作者 Brian Krebs 攻击事件的主力攻击类型 ScanListen 主要用于处理 bot 扫描得到的设备信息 (IP 地址端口用户名密码 ), 并将其转化为图 2-32 的格式后输入给 Load 处理图 2-32 ScanListen 分析 ( 来源 : 启明星辰公司 ) Load 模块的主要功能是处理 ScanListen 的输入并将其解析后针对每个设备实施感染其感染实现方法如下 (1) 首先通过 Telnet 登录目标设备 (2) 登录成功后, 尝试运行 /bin/busybox ps 来确认是否可以执行 busybox 命令如图 2-33 所示 64

68 2 第章网络安全专题分析图 2-33 尝试运行命令 /bin/busybox ps( 来源 : 启明星辰公司 ) (3) 远程执行 /bin/busybox cat /proc/mounts 用于发现可读写的目录, 如图 2-34 所示图 2-34 远程执行 /bin/busybox cat /proc/mounts 命令 ( 来源 : 启明星辰公司 ) (4) 如果发现可用于读写的文件目录, 进入该目录并将 /bin/echo 拷贝到该目录, 文件更名为 dvrhelper, 并开启所有用户的读写执行权限, 如图 2-35 所示图 2-35 开启读写执行权限 ( 来源 : 启明星辰公司 ) (5) 接下来通过执行命令 /bin/busybox cat /bin/(echo\r\n) 获取当前设备的架构信息, 如图 2-36 所示图 2-36 执行命令 /bin/busybox cat /bin/(echo\r\n)( 来源 : 启明星辰公司 ) (6) 如果成功获取架构信息, 样本试图通过三种方式对设备进行感染, 这三种方式分别为 echo 方式 wget 方式 tftp 方式, 如图 2-37 所示 65

69 2016 年中国互联网网络安全报告图 2-37 通过 echo wget tftp 三种方式对设备进行感染 ( 来源 : 启明星辰公司 ) (7) 接下来通过 Telnet 远程执行下放程序, 如图 2-38 所示图 2-38 通过 Telnet 远程执行下放的程序 ( 来源 : 启明星辰公司 ) (8) 最后远程删除 bot 程序, 如图 2-39 所示 66

70 2 第章网络安全专题分析图 2-39 远程删除 bot 程序 ( 来源 : 启明星辰公司 ) Mirai 攻击案例 ( 来源 : 奇虎 360 公司 ) 自 Mirai 被曝光以来, 已经发起了若干次有重大影响的攻击下面选择几次所谓的断网事件加以详细描述, 阐明攻击事件与 Mirai 的关系, 展示 Mirai 对网络空间和现实世界的危害这些事件包括 : 2016 年 10 月 21 日, 美国断网事件 ; 2016 年 11 月 28 日, 德国电信断网事件 ; 2016 年月, 利比里亚断网事件总体来看, 这些重要事件向世人展示了 Mirai 僵尸网络惊人的攻击能力在这种级别的网络攻击面前没有幸存者, 因此有必要联合政府企业安全社区民众的力量, 采取措施积极抵御来自 Mirai 的威胁 2016 年 10 月 21 日晚间, 北美地区大量反馈若干重要的互联网网站无法正常访问, 涉及到的网站包括 twitter paypal github 等由于这些网站与北美地区日常生活强烈相关, 这次网络故障被北美主要媒体广泛报道, 也引起了安全社区的强烈关注奇虎 360 公司与安全社区一起协同, 对本次网络事件提供数据, 加以分析并做了溯源跟踪确认在本次事件中, 当天 19:00-22:50 期间,twitter.com 托管在 dyn 公司 4 个 IP 地址上的 DNS 服务遭受到 DDoS 攻击,4 个 IP 地址分别是 , 见表

2016 年中国互联网网络安全报告表 2-8 4 个 IP 地址上的 DNS 服务遭受到 DDoS 攻击 ( 来源 : 奇虎 360 公司 ) dyn 公司下属 IP 地址该 IP 地址上的域名域名解析服务器所服务的客户 208.78.70.34 ns1.p34.dynect.net twitter.com 208.78.71.34 ns2.p34.dynect.net twitter.com 204.

71 2016 年中国互联网网络安全报告表个 IP 地址上的 DNS 服务遭受到 DDoS 攻击 ( 来源 : 奇虎 360 公司 ) dyn 公司下属 IP 地址该 IP 地址上的域名域名解析服务器所服务的客户 ns1.p34.dynect.net twitter.com ns2.p34.dynect.net twitter.com ns3.p34.dynect.net twitter.com ns4.p34.dynect.net twitter.com 4 个 IP 地址在当天 19:00-22:50 期间的网络流量波形如图 2-40 所示峰值达到日常背景流量的 20 倍, 可以判定发生了流量攻击 18: :00 14:00 20: :00 12:00 Date : :00 18:00 图注 : 图个 IP 地址在 19:00-22:50 期间的网络流量波形 ( 来源 : 奇虎 360 公司 ) 在本次攻击中,dyn 公司域名服务器遭受了 syn_flood 和 dns_flood 的混合攻击其中 syn_flood 部分, 倾向认为来自 Mirai 僵尸网络 ;dns_flood 部分, 倾向排除来自 Mirai 僵尸网络的可能, 见表

72 2 第章网络安全专题分析类别表 2-9 syn_flood 和 dns_flood 的混合攻击情况 ( 来源 : 奇虎 360 公司 ) 事实 45% 的 IP 地址有 port23/port2323 的扫描行为 ; 公开渠道认为流量模型是 Mirai ( 或其家族 ) 发出的 ; syn flood 在当前原始版本 Mirai 的 bot 列表中命中率 <2%; 泄露版本 Mirai 在 syn flood 攻击中不伪造源 IP 地址没有历史扫描行为 ; IP 地址分布直观上看不够离散 ; dns flood 探查部分 IP 地址的开放端口, 看起来不像是 IoT 设备 ; 泄露版本 Mirai 在 dns flood 攻击中不伪造源 IP 地址源 IP 地址是否真实真实伪造源 IP 地址是否属于 Mirai 家族是否因为没有扫描行为, 开放端口也不像 IoT 设备行为是否源自变种行为是否源自版本 Mirai 或者其泄露版本 Mirai 他僵尸网络家族否因为与已知 Mirai bot 列表比中率过低否泄露版本不伪造源 IP 可能是可能是德国电信在 2016 年 11 月 28 日前后遭遇一次大范围的网络故障在这次故障中,2000 万固定网络用户中大约有 90 万个路由器发生故障 ( 约 4.5%) 德国电信进一步确认了该问题是由于路由设备的维护界面被暴露在互联网, 并且互联网上正在发生针对性的攻击而导致德国电信连夜与设备供应商生成了新的升级包, 并且要求客户如果怀疑受到影响就断电重启路由器, 之后利用自动 / 手动的升级过程来减轻问题, 显然德国电信还是采取了一系列的过滤措施来保证升级过程不受攻击影响德国电信对该事件给出了较为详细的描述, 链接为 telekom.com/en/media/media-information/archive/information-on-currentproblems 按照奇虎 360 公司对这次事件以及 Mirai 僵尸网络的理解, 这次事件前后的时间脉络如下 : 2016 年 11 月 7 日,kenzo 发布了一个针对 7547 端口上路由器等设备的 69

73 2016 年中国互联网网络安全报告 TR-069/TR-064 相关安全公告 ; 2016 年 11 月 26 日 21:27:23, 奇虎 360 公司首次探测到 Mirai 僵尸网络发起了针对 7547 端口的扫描 ; 2016 年 11 月日, 端口 7547 上的 Mirai 僵尸网络规模积累到足以影响大面积网络 ; 2016 年 11 月 28 日,telekom 德国电信累积大约 90 万个路由器被 Mirai 僵尸网络攻击, 网络大面积受到影响 ; 2016 年 11 月 28 日至今,telekom 德国电信在自身网络范围内采取措施遏制 Mirai 僵尸网络的扫描过程有一组 IP 地址空间属于西非国家利比里亚在 2016 年月期间, 这组 IP 地址反复遭受了来自 Mirai 僵尸网络的大流量长时间攻击这些 IP 地址见表 2-10 表 2-10 来自 Mirai 僵尸网络大流量长时间攻击的 IP 地址 ( 来源 : 奇虎 360 公司 ) IP 地址范围国家所属 AS /24 Liberia/LR AS /24 Liberia/LR AS /24 Liberia/LR AS /24 Liberia/LR AS /24 Liberia/LR AS /24 Liberia/LR AS37410 这组 IP 地址和网段在 2016 年月期间反复遭受来自 Mirai 的攻击, 并且多次攻击的持续时间较长, 攻击指令中要求 bot 攻击的持续时长达到 3600s (1h) 按照对 Mirai 僵尸网络的理解, 上述时间越长, 越容易带来较大的攻击流量按照外电的报道,2016 年 11 月 2-5 日, 利比里亚遭受的攻击大约有 500Gbit/s Mirai 僵尸网络的攻击次数和时长见表

74 2 第章网络安全专题分析表 2-11 Mirai 僵尸网络的攻击次数和时长 ( 来源 : 奇虎 360 公司 ) 指令中要求僵尸网络攻击时长 (s) 次数来自南亚次大陆的网络攻击 ( 来源 : 安天公司 ) 概述在过去的 4 年中, 安天公司的工程师关注到中国的机构和用户反复遭遇来自西南方向的网络入侵尝试这些攻击虽进行了一些掩盖和伪装, 但是依然可以将其推理回原点来自南亚次大陆的某个国家尽管安天公司积极地提醒和协助客户进行改进防护, 并谨慎而有限地披露信息, 给予警告, 但这种攻击并未偃旗息鼓, 恰恰相反, 攻击者却以更高的能力卷土重来安天公司在本报告中披露了其中两组高频度攻击事件, 尽管尚未最终确定这两个攻击波的内在关联, 但可以确定的是它们具有相似的目的和同样的国家背景, 因此将这两组攻击统称为白象行动年, 安天公司陆续捕获到来自白象组织的多次载荷投放, 此后依托关联信息同源分析, 关联到了数百个样本, 这些样本多数的投放目标是巴基斯坦, 少数是针对中国的高等院校和其他机构 2013 年 7 月, 安全厂商 Norman 发布的报告, 将这一攻击称为 HangOver 安天公司技术负责人 2014 年 4 月在计算机学会通讯发表的反病毒方法的现状挑战与改进一文中, 披露了安天捕获到的该组织针对中国 71

75 2016 年中国互联网网络安全报告的攻击事件 : 从 2012 年 3 月起, 我们已经陆续捕获了该事件的一些相关的样本, 而这些样本对应的网络事件非常稀少, 呈现出高度定向的特点安天公司在这篇文章中披露了其中 6 个样本的 Hash 和被攻击的目标中国的两所高等院校在 2014 年的中国互联网安全大会上, 安天公司在题为 APT 事件样本集的度量的公开报告中, 对这个事件做了首次全面披露 2014 年 8 月, 安天公司完成了报告白象的舞步 HangOver 攻击事件回顾及部分样本分析, 并将这一攻击组织中文命名为白象为区分这两波的攻击, 安天公司将年高度活跃的这组攻击, 在本报告中称之为白象一代白象一代投放了至少近千个不同 Hash 的 PE 样本, 使用了超过 500 个 C&C 域名地址 ; 其开发团队人员较多技能混杂, 样本使用了 VC VB.net AutoIt 等多种开发编译语言 ; 同时其未使用复杂的加密算法, 也未被发现使用 0day 和 1day 的漏洞, 而更多的是采用被部分中国安全研究者称为乱扔 EXE 的简易社会工程学鱼叉式网络钓鱼攻击 PE 免杀处理是该攻击组织所使用的主要技巧, 这也是使这组攻击中的 PE 载荷数量很大的原因之一在 2015 年 6 月 16 日的中国反病毒大会上, 安天在题为 A 2 PT 与准 APT 事件中的攻击武器的技术报告中, 把这组攻击划分为轻量级 APT 攻击在第一波攻击发生后, 具有相关基因特点的攻击载荷开始减少, 攻击活跃度明显下降直到 2015 年年底, 安天公司又发现一组来自西南方向的攻击行动, 通过持续跟踪分析, 本次行动的主要目标依然为中国和巴基斯坦, 通过监控预警体系分析发现, 中国的受攻击者主要为教育军事科研等领域第二波攻击行动摆脱了白象一代杂乱无章的攻击手法, 整体攻击行动显得更加正规化和流程化第二波攻击行动普遍使用了具有极高社工构造技巧的鱼叉式钓鱼邮件进行定向投放, 至少使用了 CVE

76 2 第章网络安全专题分析 4114 和 CVE 两个漏洞 ; 在传播层上不再单纯采用附件而转为下载链接, 部分漏洞利用采取了反检测技术对抗 ; 相关载荷的 Hash 数量则明显减少, 其中使用了通过 AutoIt 脚本语言和疑似由商业攻击平台 MSF 生成的 ShellCode 代码 ; 同时其初步具备更为清晰的远程控制指令体系安天公司将这组攻击称为白象二代, 但尚无证据表明白象一代和白象二代两个组织间存在人员交叉整体上来看, 白象二代相比白象一代的技术手段更为高级, 攻击行动在整体性和技术能力上的提升, 可能带来攻击成功率的提升, 而其采用的更加暴力和野蛮的投放方式, 使攻击次数和影响范围远远比白象一代更大相比白象一代, 白象二代的技术手法有质的提升, 更符合某些研究者对于 APT 攻击的技术定义安天公司始终指出,APT 的 A( 高级 ) 是相对的, 是否称为 APT 攻击, 主要是分析攻击的发起方与其动机和意志, 而所谓的技术水平则不是定性的主要因素同时, 无论是白象一代轻量级的攻击, 还是显得更为高明的白象二代, 对于中国庞大的信息体系, 特别是针对高等院校等机构构成了严重的威胁白象一代 :HangOver 的样本目标与源头分析安天公司在 2012 年获取相关载荷的最早投放行为曾淹没于其他海量的安全事件中, 并未将相关事件判定为 APT 攻击因此需要感谢安全厂商 Norman 在 2013 年 7 月所发布的报告 Operation HangOver Executive Summary Unveiling an Indian Cyberattack Infrastructure,Norman 将此事件命名为 HangOver, 这组事件即是安天称为白象一代的行动这让安天反思过去在发现和追踪 APT 攻击中, 过度考虑攻击技巧和漏洞利用的问题, 并针对周边国家对中国攻击的特点, 形成了新的检测方法和视角安天公司认为白象一代组织中人员较多, 人员能力参差不齐, 采用的开发语言混杂, 作业相对混乱通过安天公司后端分析平台的关联统计, 查找到该攻击组织的相关样本 910 个, 其模块功能包括键盘记录下载 73

77 2016 年中国互联网网络安全报告器信息窃取等相关样本最新的版本号为HangOver 1.5.7(Startup) １对中国境内目标的攻击安天公司在2014年4月的相关文章中披露了针对中国两所高校被攻击的事件涉及6个样本图2-41为白象一代对中国两所高校攻击的时间链白象一代针对中国高等院校的载荷投放攻击与数据控制获取的地 C 理场景可视化复现如图2-42所示 sample sample 3 sample 1 sample 4 sample sample 2 VDS捕获时间 sample 3/5/ sample sample sample 样本时间戳 2012年3月 Norman报告揭露 E R 白象一代攻击中国两所高校的6个样本的时间戳与安天捕获时间对比来源安天公司 C N C 图2-41 T /C 间隔7个月图2-42 白象一代针对中国高等院校的载荷投放攻击与数据控制获取的地理场景可视化复现来源安天公司２样本中的典型组件白象一代样本集中有数百个样本包含的主要功能组件见表年网络安全报告.indd :42:22

78 2 第章网络安全专题分析表 2-12 白象一代样本集中的多个功能组件 ( 来源 : 安天公司 ) 组件名功能 Keyloger 键盘记录 download 下载 Upload http backup FTP backup Usb Propagator Mail Password Decryptor 上传 HTTP 上传 FTP 上传 U 盘摆渡邮件口令解密样本时间戳是一个十六进制的数据, 存储在 PE 文件头中, 该值一般由编译器在开发者创建可执行文件时自动生成, 时间单位细化到秒, 通常可以认为该值为样本生成时间 (GMT 时间 ) 由于白象一代样本数量较多, 因此可以通过统计学方法将样本开发时间进行统计分析, 图 2-43 是对白象一代样本开发时间的统计结果 ( 以小时分组 ) 75

2016 年中国互联网网络安全报告样本数量个 200 178 150 C 114 105 100 55 50 T /C 69 71 66 42 22 6 0 0 1 2 0 1 2 3 11 4 9 5 6 7 8 15 3 8 4 7 7 4 2 4 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 E R 小时 UTC 图2-43

79 2016 年中国互联网网络安全报告样本数量个 C T /C E R 小时 UTC 图2-43 白象组织开发者的工作时间来源安天公司从图2-43的统计结果来看如果假设攻击者的工作时间是早上八九点至下午五六点则根据统计结果可以匹配到一个来自UTC+4 或UTC+5时区 C N C 的攻击者的工作时间时区分布位置如图2-44所示图2-44 UTC+4或UTC+5的世界时区分布图位置来源安天公司年网络安全报告.indd :42:23

第 2章网络安全专题分析根据匹配的攻击者所在时区 UTC+4 或UTC+5 并对照世界时区分布图可推断攻击者所在的区域或国家如下 UTC+4 阿拉伯联合酋长国阿曼毛里求斯留尼汪/留尼旺法塞舌尔第比利斯亚美尼亚阿塞拜疆阿富汗阿布扎比 UTC+5 巴基斯坦马尔代夫叶卡特琳堡乌兹别克斯坦土库 C 曼斯坦塔吉克斯坦斯里兰卡印度４攻击组织分析 T /C

80 第 2章网络安全专题分析根据匹配的攻击者所在时区 UTC+4 或UTC+5 并对照世界时区分布图可推断攻击者所在的区域或国家如下 UTC+4 阿拉伯联合酋长国阿曼毛里求斯留尼汪/留尼旺法塞舌尔第比利斯亚美尼亚阿塞拜疆阿富汗阿布扎比 UTC+5 巴基斯坦马尔代夫叶卡特琳堡乌兹别克斯坦土库 C 曼斯坦塔吉克斯坦斯里兰卡印度４攻击组织分析 T /C 安天公司对该攻击组织挖掘综合线索基于互联网公开信息进行画像分析认为这是一个由10~16人组成的攻击小组其中6人的用户ID是 E R cr01nk neeru rana andrew Yash Ita nagar Naga 如图2-45所示 Neeru rana C cr01nk C N Andrew Naga Yash Ita nagar 图2-45 安天公司对该攻击组织进行综合分析来源安天公司通过分析和挖掘安天公司发现部分ID是一些印度较为常见的人名进而对所有用户名进行追踪最终发现 cr01nk 的如下信息 2009年10月27日有人在寻求最好的道德黑客可能是要寻找一些网络安全人才在这篇帖子中 cr01nk zer0回帖问年网络安全报告.indd :42:23

81 2016 年中国互联网网络安全报告 C E R T /C C 询注册方法并与发帖人进行沟通 cr01nk 网上交流快照如图2-46所示图2-46 cr01nk 网上交流快照来源安天公司 C N 图2-46中的邮件地址被Google隐藏了部分安天公司通过其他方式分析出完整的邮件地址即ID cr01nk 邮箱 cr01nk@gmail.com cr01nk的真实名字如图2-47所示图2-47 cr01nk的真实名字来源安天公司年网络安全报告.indd :42:24

2 第章网络安全专题分析通过对 cr01nk 邮箱的反向追踪, 发现 cr01nk 的昵称 ( 名字 ) 为 Vishwas Sharma,Vishwas Sharma 是一个印度人名根据已知的信息对 cr01nk 进行深入挖掘, 发现此人还注册了 OpenRCE, 这是一个逆向工程技术论坛, 该论坛显示其国家也是印度, 如图 2-48 所示图 2-48 cr01nk 注册了

82 2 第章网络安全专题分析通过对 cr01nk 邮箱的反向追踪, 发现 cr01nk 的昵称 ( 名字 ) 为 Vishwas Sharma,Vishwas Sharma 是一个印度人名根据已知的信息对 cr01nk 进行深入挖掘, 发现此人还注册了 OpenRCE, 这是一个逆向工程技术论坛, 该论坛显示其国家也是印度, 如图 2-48 所示图 2-48 cr01nk 注册了 OpenRCE( 来源 : 安天公司 ) 综合以上信息,cr01nk 的确是来自印度, 一个计算机网络安全技术人士, 通过图 2-49 的讨论内容, 可看出此人具有一定的技术实力图 2-49 cr01nk 对安全技术的一些讨论 ( 来源 : 安天公司 ) 通过以上分析知道此人注册了 Nullcon, 进一步在 Nullcon 检索其讨论的内容发现, 他在 2011 年 Nullcon GOA 上做过一个关于模糊测试的演讲, 其中演示了一个 PDF 格式漏洞的例子 79

2016 年中国互联网网络安全报告演讲视频地址 :http://www.securitytube.

83 2016 年中国互联网网络安全报告演讲视频地址 : 至此可以确认此人姓名为 Vishwas Sharma, 进一步通过姓名深入挖掘, 在领英上发现此人的信息如图 2-50 所示图 2-50 cr01nk 在领英的个人信息 ( 来源 : 安天公司 ) cr01nk 相关个人信息如下 ID:cr01nk 真实姓名 :Vishwas Sharma 领英个人主页 : 个人简介 :2009 年毕业于印度理工学院 ( 德里校区 ), 曾经就职于 McAfee( 印度分部 ) Security Brigade 国家物理实验室 CareerNet, 目前就职于自己创立的公司 Syryodya, 一个为太阳能行业提供管理软件的 IT 服务公司 80

84 2 第章网络安全专题分析所做项目 :Fuzzing with complexities Intelligent debugging and in memory fuzzing Failure of DEP and ASLR, ACM-IIT Delhi and Null Delhi meet Spraying Just in time 擅长领域 : 计算机安全恶意代码分析渗透测试 C/Python/Linux 开发, 其他安全研究等鉴于此人的研究领域网上讨论的内容和工作履历, 可以看出具备一定的技术能力, 具有参与此次攻击的可能虽然未发现直接证据表明此人与白象事件有关, 不过仅从攻击能力来看, 表明印度的确具有一定实力发起此次攻击白象二代 : 受害者漏洞和能力 2015 年下半年开始的白象二代攻击与白象一代有很大不同, 其开始使用 CVE CVE 等漏洞作为攻击载荷, 不再直接在附件中投放 EXE, 而是采用投放社工钓鱼邮件 + 链接的方式,PE 载荷数量大大减少根据安天公司监控预警平台信息显示, 白象二代的攻击目标主要为中国和巴基斯坦中国受到的攻击面积极为广泛, 白象二代对中国发起了大量攻击事件自 2016 年以来, 安天公司持续跟踪该组织, 图 2-51 为白象二代行动的攻击时间链 81

85 2016 年中国互联网网络安全报告邮件数量 ( 封 ) 月 20 日 5 月 26 日 4 月 22 日 3 月 29 日 2 月 26 日 1 月 26 日图年白象二代行动的攻击时间链 ( 来源 : 安天公司 ) 白象二代组织的攻击主要通过鱼叉式钓鱼电子邮件, 大部分邮件以插入恶意链接的方式进行攻击, 通过精心构造的诱饵内容诱导受害者打开链接, 一旦打开恶意链接就会下载带有漏洞的恶意文档在安天公司捕获到的文档中, 大部分是利用 CVE 漏洞的 PPS 文件, 少量利用 CVE 漏洞的 rtf 文件鱼叉式钓鱼攻击是 APT 攻击中最常见的攻击方式, 与普通的钓鱼邮件不同, 鱼叉式钓鱼攻击不会批量的发送恶意邮件, 而只针对特定公司组织的成员发起针对性攻击, 具体的攻击手法又分为以下两种一是, 在邮件中植入恶意附件, 诱导受害者打开附件文件 ; 二是, 在邮件正文中插入恶意链接, 诱导受害者点击链接, 一旦受害人点击链接就会跳转到恶意链接, 该链接或是挂马网站, 或是恶意文件下载地址 82

第 2章网络安全专题分析本次行动中白象二代组织使用的手法主要是第二种因为该方式在邮件中不存在附件更容易通过安全软件的检测相对附件链接更容易骗取用户的信任邮件内的链接都是利用第三方域名跳转这是一封针对中国高校教师的鱼叉式钓鱼邮件正文内容是关于南海问题在邮件的最后诱导受害者点击链接查看完整版报告一旦用户点 C 击该链接就会下载恶意文档

86 第 2章网络安全专题分析本次行动中白象二代组织使用的手法主要是第二种因为该方式在邮件中不存在附件更容易通过安全软件的检测相对附件链接更容易骗取用户的信任邮件内的链接都是利用第三方域名跳转这是一封针对中国高校教师的鱼叉式钓鱼邮件正文内容是关于南海问题在邮件的最后诱导受害者点击链接查看完整版报告一旦用户点 C 击该链接就会下载恶意文档该文档使用了CVE 漏洞且采用 C N C E R T /C PPS格式自动播放的特点实现文档打开漏洞即被触发如图2-52所示图2-52 鱼叉式钓鱼邮件实例来源安天公司邮件内容大意如下中国与东南亚的关系中国南海更有张力和挑战 2016年5月报告在2016年年初多个国家关注中国南海争议以美国为首的多个国家对中国进行了言辞强烈的谴责中国强烈谴责美国的行动和军事部署北京仍然有决心解决有争议的问题尤其是习近平主席在2015年9月期间提出中国在南海无意搞军事化紧张情绪并没有蔓延美国中国会议增多的迹象向东南亚各国政府表明华盛顿没有北京也没有寻求对年网络安全报告.indd :42:26

2016 年中国互联网网络安全报告抗在此背景下, 这些国家的政府对中国挑战其在中国南海权益的答复仍然是衡量为主过去, 他们常常减少面对中国时的自信, 展示了对中国的一些批评, 变得更愿意以阻止中国, 并与美国更紧密地联系起来安天公司目前监测到的白象二代组织使用的漏洞均为已知的 Office 格式文档漏洞, 部分样本使用一定技巧用于对抗安全软件的检测, 从对历史扫描结果的追溯来看,

87 2016 年中国互联网网络安全报告抗在此背景下, 这些国家的政府对中国挑战其在中国南海权益的答复仍然是衡量为主过去, 他们常常减少面对中国时的自信, 展示了对中国的一些批评, 变得更愿意以阻止中国, 并与美国更紧密地联系起来安天公司目前监测到的白象二代组织使用的漏洞均为已知的 Office 格式文档漏洞, 部分样本使用一定技巧用于对抗安全软件的检测, 从对历史扫描结果的追溯来看, 这种技巧是有效的在跟踪沙虫攻击组织中, 曾对 CVE 漏洞进行过较长时间的分析, 这个漏洞的最大特点是其虽然依托格式文档, 但并非依靠格式溢出, 而是通过远程代码执行来实现, 因此穿透了 Windows 的 DEP ASLR 机制白象攻击使用的 PPS 扩展名样本利用 Windows OLE 远程代码执行漏洞 CVE 释放并运行可执行文件值得注意的是, 在此前分析过的其他攻击组织使用的 4114 样本中, 多数为 Office 高版本格式, 该格式是一个以 XML 为索引的压缩包, 其内嵌的 PE 载荷被杀毒软件在解压递归中检测到图 2-53 白象二代相关样本的结构 ( 来源 : 安天公司 ) 这次白象二代组织使用了低版本 Office 的传统 LAOLA 格式, 由于对安全厂商来说这是一个未公开格式, 达到了一定的免杀效果图 2-53 是多引擎对照扫描结果, 可以看出此样本的确躲避了大部分安全软件的检测从目前捕获的样本来看, 白象二代组织使用的 PE 载荷样本技术水 84

88 第 2章网络安全专题分析平不高没有较为复杂的模块体系和加密抗分析机制一部分样本是利用脚本语言编写的程序还有一些是采用网上公开的代码重新编译后利用白象二代组织使用的攻击样本中有多个样本是使用AutoIt编写的主要目的是用于窃取数据并打包回传到远程服务器具体功能如下回传系统基本信息包括系统版本架构是否装有Chrome 样本 T /C 图2-54 C 版本信息等如图2-54所示回传系统的基本信息来源安天公司远程控制根据远程服务器的指令不同执行不同的操作从相关指令集上来看设计相对比较粗糙见表2-13 分支以及对应功能来源安天公司 E R 表2-13 分支对应功能 1 输出调试信息并延迟1s后重新连接C&C 2 利用PowerShell提权并执行远程接受的PowerShell指令对应的指令编号为2 3 这个指令是修改$stat的标记值退出 C 4 5 收集Chrome浏览器中记录的网站用户名及密码对应的指令编号为5 6 利用PowerShell执行下载新恶意程序并运行对应的指令编号为6 利用AutoIt自带函数执行下载新恶意程序并运行对应的指令编号为7 C N 7 8 以隐藏的模式执行CMD命令并记录命令返回数据收集计算机内的各类文档文件以MD5命名打包后上传到C&C 白象一代和白象二代收集的扩展名对比见表2-14 表2-14 白象一代和白象二代收集的扩展名对比来源安天公司白象一代 *.doc *.docx *.xls *.ppt *.pps *.pptx *.xlsx *.pdf 白象二代 *.doc *.docx *.xls *.ppt - *.pptx *.xlsx *.pdf *.csv *.pst *.jpeg 释放cup.exe程序并以打包的文件路径为参数调用 cup.exe的主要功能是上传窃取的文件如图2-55所示年网络安全报告.indd :42:26

在商业攻击平台MSF生成的ShellCode中可以找到这个片段但由于这个方法过于通用目前还不能得出白象攻击组织使用了MSF平台的结论样本从服务器接收到ShellCode再完成自解密之后会与服务器进行交互 E R 操作接收指令并执行将结果返回给服务器

89 2016 年中国互联网网络安全报告图2-55 调用cup.exe回传窃取的文件来源安天公司 C ２ＳｈｅｌｌＣｏｄｅ远程控制模块样本使用Microsoft Visual C#编译功能是利用ShellCode来实现连接远 T /C 程服务器接收ShellCode并执行功能简单而且样本没做混淆通过反编译可以看到明文代码在商业攻击平台MSF生成的ShellCode中可以找到这个片段但由于这个方法过于通用目前还不能得出白象攻击组织使用了MSF平台的结论样本从服务器接收到ShellCode再完成自解密之后会与服务器进行交互 E R 操作接收指令并执行将结果返回给服务器图2-56为样本的运行流程受害者通过内部的ShellCode进行连接 C 运行.net样本 C N 内存加载并运行第二段 ShellCode 接收指令解密指令执行指令获取数据加密数据回传数据攻击者下载第二段ShellCode 接收到连接请求发送第二段 ShellCode 连接攻击者服务器发送指令回传加密数据发送指令由攻击者发送指令对受害者机器进行控制可进行多种操作回传加密数据图2-56 样本运行流程来源安天公司年网络安全报告.indd :42:27

90 2 第章网络安全专题分析总结将白象一代和白象二代的部分要素通过表格形式进行对比, 见表 2-15 表 2-15 白象一代和白象二代的部分要素对比分析 ( 来源 : 安天公司 ) 对比项目白象一代白象二代主要威胁目标先导攻击手段窃取的文件类型社会工程技巧使用漏洞巴基斯坦大面积的目标和中国的巴基斯坦和中国的大面积目标, 包括少数目标 ( 如高等院校 ) 教育军事科研媒体等各种目标鱼叉式钓鱼邮件, 发送带有格式漏鱼叉式钓鱼邮件, 含直接发送附件洞文档的链接 *.doc *.docx *.xls *.ppt *.doc *.docx *.xls *.ppt *.pptx *.xlsx *.pdf *.csv *.pps *.pptx *.xlsx *.pdf *.pst *.jpeg PE 双扩展名, 打开内嵌图片, 图伪造相关军事政治信息, 较为精片伪造为军事情报法院判决书细等, 较为粗糙 CVE 未见使用 CVE CVE 二进制攻击载荷开发编译环境 VC VB DEV C++ AutoIt Visual C# AutoIt 二进制攻击载荷加壳情况少数使用 UPX 不加壳数字签名盗用 / 仿冒未见未见攻击组织规模猜想 10~16 人, 水平参差不齐有较高攻击能力的小分队威胁后果判断造成一定威胁后果可能造成严重后果在过去数年间, 中国的信息系统和用户遭遇了来自多方的网络入侵持续考验, 这些攻击使用各种高级 ( 也包括看起来并不足够高级 ) 的攻击技巧, 以获取机要信息科研成果和其他秘密为对象攻击组织在关键基础设施和关键信息系统中长期持久化, 以窃密和获取更多行动主动权为目的, 其危害潜在之大, 影响领域之深, 绝非网站篡改涂鸦或传统 DDoS 所能比拟这些攻击也随实施方战略意图能力和关注点的不同, 表现出不同的方法和特点尽管中国用户更多焦虑于那些上帝视角的攻击, 但针对 87

91 2016 年中国互联网网络安全报告白象的分析可以看到, 来自地缘利益竞合国家与地区的网络攻击, 同样是中国信息化的重大风险和挑战这些攻击虽然显得有些粗糙, 但却更为频繁和直接, 挥之不去对于类似白象这样的攻击组织, 因缺少人脉和电磁能力作为掩护, 其更多依赖类似电子邮件这样的互联网入口从一个全景的防御视图来看, 这本来是一个可以收紧的入口, 但对于基础感知检测防御能力不足的社会肌体来说, 这种具有定向性的远程攻击是高度有效的, 而且会淹没在大量其他的非定向的安全事件中从白象系列攻击中, 首先能看到中国在信息化发展上的不足在白象二代组织所投放的目标电子邮箱当中, 其中很大比例是免费个人邮箱, 在安天公司之前关于我国邮件安全的内部报告中, 就已经指出国内机构用户有近一半使用免费个人信箱作为联络邮件这一问题, 而国内免费信箱的安全状况已高度不容乐观在启动信息高速公路建设 20 年后, 国内依然没有对官方机构和政务人员实现有效的安全电子邮件服务的覆盖, 这种企业机构级信息化基础设施的匮乏, 包括互联网服务商缺乏有效的安全投入, 导致可攻击点高度离散, 降低攻击门槛, 提升防御难度从白象系列攻击中, 可以看到中国大量基础的信息安全环节和产品能力还不到位, 白象一代曾被安天公司定性为轻量级 APT 攻击, 以免杀 PE 辅以有限的社会工程技巧进行投放, 但却成功入侵了中国的高等学府白象二代组织尽管在手法上有很大提高, 但亦未见其具备 0day 储备, 其所使用的三个漏洞, 在为白象组织使用时, 微软已经将其修补, 而其中两个并未经过免杀处理类似这样的攻击依然能够大行其道, 是当前补丁系统加固等基础安全环节不到位产品能力不足的体现相关攻击亦说明, 传统的以单包检测为核心的流量入侵检测机制, 实时检测为诉求的边界安全机制等需要得到有效补充和扩展, 重要系统必须建 88

92 2 第章网络安全专题分析立起在流量还原层面针对载荷投放的有效留存和异步深度检测机制流量还原与沙箱的组合, 将成为重要系统的标配沙箱不是简单地补充行为分析能力, 而是提升攻击者预测防御能力和手段的成本, 不进行能力改进, 简单汉化开源沙箱的做法, 等于放弃了沙箱产品的抗绕过这一重要安全特性沙箱绝非简单的合规安全环节, 当年部分 IDS 简单借鉴模仿开源 SNORT 就能够有效发现问题的时代已经过去沙箱也不是简单的扩展反病毒引擎的检测能力, 其核心价值在于有效的漏洞触发能力和行为的揭示能力, 这需要长期以来的安全积累实现工程能力转化其单对象输入, 多向量输出的产品特点, 意味着这是必须依托网络管理者和厂商支撑团队的有效互动才能有效发挥价值的产品同时无论形态是 PC 服务器或云, 终端都是数据的基本载体, 安全的终极战场, 网络侧的安全能力必须与终端侧连通, 形成纵深防御体系国产操作系统同样需要安全手段和机制的保驾护航反 APT 攻击, 要对抗攻击者在人员机构装备工程体系方面的综合投入, 其必然是一场成本较量反 APT 攻击, 要对抗攻击者坚定持续的攻击意志, 这同样对对抗 APT 的安全分析团队提出了更高的要求, 从安全厂商角度, 是在感知分析工程体系支撑下的持续对抗 ; 必须持续跟踪攻击者的技巧意图和路径, 将这些经验转化为用户侧的防御改善和产品能力更新 2.5 Billgates 僵尸网络中的黑雀现象分析 ( 来源 : 启明星辰公司 ) 分析概述 2016 年, 启明星辰公司 ADLab 在对 Death 僵尸网络分析过程中, 发现该僵尸网络中存在三级黑客架构的黑雀攻击 ( 大黑雀黑雀螳螂 ), 并且 89

2016 年中国互联网网络安全报告发布了长篇深度分析报告黑雀攻击揭秘 Death 僵尸网络背后的终极控制者,Death 僵尸网络中终极控制者大黑雀总共控制了 1000 多个子僵尸网络, 并且对其中的三级黑客进行了黑客身份信息的追踪同时, 启明星辰公司 ADLab 联合电信云堤在对僵尸网络黑客产业链的进一步分析中发现, 目前 Linux/Unix 服务器中最为流行感染规模最大的僵尸

93 2016 年中国互联网网络安全报告发布了长篇深度分析报告黑雀攻击揭秘 Death 僵尸网络背后的终极控制者,Death 僵尸网络中终极控制者大黑雀总共控制了 1000 多个子僵尸网络, 并且对其中的三级黑客进行了黑客身份信息的追踪同时, 启明星辰公司 ADLab 联合电信云堤在对僵尸网络黑客产业链的进一步分析中发现, 目前 Linux/Unix 服务器中最为流行感染规模最大的僵尸网络之一的 Billgates 僵尸网络中存在大量的黑雀攻击行为, 如图 2-57 所示由于 Billgates 僵尸网络中存在的黑雀数量太大, 所以仅对其中一个典型的黑雀进行逆向分析虽然网络中已经存在不少关于 Billgates 僵尸的分析文章, 但是几乎所有的分析都忽略了该僵尸网络存在的黑雀攻击现象偷梁换柱 Billgates 图 2-57 黑雀攻击行为 ( 来源 : 启明星辰公司 ) 本次分析中将揭秘 Billgates 黑雀攻击中的另外一种有趣的攻击方式 : 偷梁换柱, 一个新的黑雀利用技术手段将原始黑雀取而代之的攻击方式启明星辰公司根据发现的僵尸样本找到了生产该僵尸的原始 bot 生成器, 利用该生成器生成的所有僵尸程序中存在一个原始黑雀 C&C, 但其中的一些黑客发现了这种情况, 并利用内存补丁技术将原始黑雀 C&C 替换成为自己的 C&C 后出售给另外一批黑客使用, 以利用这些黑客帮助自己感染肉鸡下面将阐述黑雀攻击的原理以及黑雀的偷梁换柱通过对原始黑雀 ( 被置换掉的黑雀 ) 追踪分析发现, 该原始黑雀至少控制着 166 个螳螂僵尸网络依据电信云堤提供的国内抽样监测数据进行分析 (1) 电信云堤的抽样数据根据 C&C 当前解析地址以及 C&C 端口 6001 进行 TCP 连接流量抽样监测所得 90

94 2 第章网络安全专题分析 (2) 根据抽样得到的流量数据统计显示, 国内受到感染的服务器主机有 8000 多台, 值得注意的是这并非是 Billgates 僵尸网络的控制总量, 这 8000 多台仅仅只是众多 Billgates 黑雀中的一个黑雀所感染的服务器量 (3) 目前该黑雀所控制的僵尸服务器主要分布在北京浙江河南和广东一带全国除了青海和台湾没有监测到感染实例, 其他省份均有不同程度的感染 Billgates 僵尸网络 Billgates bot 是中国区僵尸网络规模最大的 4 个僵尸网络之一 ( 另外三个为 Boer_Family Remote-trojan.Nethief Yoddos_Family), 曾多次进行超过 100Gbit/s 攻击流量的大规模 DDoS 攻击 Billgates bot 攻击程序采用 C++ 语言编写而成, 其部分攻击代码重用了 Elknot 恶意代码的源码, 从 2014 年开始被黑客大规模的使用该僵尸流行于 Linux/Unix 平台, 后被改造应用于 Windows 平台的感染因僵尸程序代码中包含 Bill 和 Gates 而得名 Billgates 可对目标进行 ICMP flood TCP flood UDP flood SYN flood HTTP flood 和 DNS 反射等攻击此外,Billgates bot 在 Linux/Unix 平台下还支持内核模式的 DDoS 攻击这使得应用层协议分析工具 ( 如常用的 tshark tcpdump) 无法捕获分析该僵尸程序所产生的网络流量数据, 但可使用内核模式的协议分析工具如 wireshark 进行分析 Billgates 僵尸最主要的一个特性是留有黑雀攻击的接口, 大量的黑客利用这个接口对下游黑客进行黑雀攻击下面是一个典型的黑雀攻击案例, 在案例中黑雀抹除了该僵尸中原来的黑雀并取而代之黑雀的发现启明星辰公司发现 Death 僵尸中出现的一个黑雀控制端此黑雀长期从事网络诈骗通过对该黑雀进一步追踪分析发现, 该黑客不仅对 Death 僵尸进行黑雀攻击, 而且还对主流的 Billgates 僵尸进行过黑雀攻 91

2016 年中国互联网网络安全报告击根据收集的 Linux/Unix 平台 Billgates 僵尸程序的分析发现, 遭受该黑雀攻击的 Billgates 僵尸会连接两个 C&C 控制端, 每个 C&C 控制端同样都可以独立控制一般来说,Billgates 僵尸都会感染 Linux/Unix 文件系统并且劫持系统常用命令, 其中包括命令 ss ps netstat lsof 等, 如图

95 2016 年中国互联网网络安全报告击根据收集的 Linux/Unix 平台 Billgates 僵尸程序的分析发现, 遭受该黑雀攻击的 Billgates 僵尸会连接两个 C&C 控制端, 每个 C&C 控制端同样都可以独立控制一般来说,Billgates 僵尸都会感染 Linux/Unix 文件系统并且劫持系统常用命令, 其中包括命令 ss ps netstat lsof 等, 如图 2-58 所示这些被劫持的命令变成了 Billgates 僵尸的执行实体, 当运行这些命令时, 实际上触发了僵尸程序图 2-58 感染并劫持系统常用命令 ( 来源 : 启明星辰公司 ) 遭受黑雀攻击的 Billgates 僵尸会在感染的文件中混杂一个可以上线到黑雀 C&C 的僵尸病毒, 这个文件伪装成为 getty 进程, 僵尸病毒文件全名为 /usr/bin/bsd-port/getty 只要该僵尸以此文件全路径名 (/usr/bin/bsd-port/ getty) 运行, 就会连接黑雀 C&C 而不再连接黑客 ( 螳螂 ) 所配置的 C&C 这样黑雀就可以在黑客不知情的情况下使用其发展肉鸡资源下面看看黑雀是如何偷偷上线的 Billgates 僵尸为了将 C&C 隐藏在二进制代码中防止被轻易发现或者被批量提取, 其不仅对 C&C 进行加密处理, 而且还对解密该 C&C 的模块做了段隐藏通过分析发现解密代码存在于 0x h 地址处, 如图 2-59 所示 92

第 2章解密代码存在于0x8130800h地址处来源启明星辰公司 T /C 图2-59 C 网络安全专题分析

如图2-60所示图2-60 0x8130800h地址为空代码来源启明星辰公司通过一段时间的调试分析以及段纠正

96 第 2章解密代码存在于0x h地址处来源启明星辰公司 T /C 图2-59 C 网络安全专题分析点击进入该地址却是空代码无论通过IDA还是readelf都没有该地址 C N C E R 存在的段如图2-60所示图2-60 0x h地址为空代码来源启明星辰公司通过一段时间的调试分析以及段纠正发现解密代码存在于一个隐藏段中如图2-61所示年网络安全报告.indd :42:28

2016 年中国互联网网络安全报告图 2-61 解密代码存在于一个隐藏段中 ( 来源 : 启明星辰公司 )

通过对解密代码的分析, 发现两块需要解密的内存代码这两块内存分别是黑客的加密 C&C 和黑雀的加密 C&C, 如图

是通过相邻字节异或算法进行解密的, 解密后得到两个 C&C, 如图 2-63 所示图 2-63 黑客和黑雀的加密

97 2016 年中国互联网网络安全报告图 2-61 解密代码存在于一个隐藏段中 ( 来源 : 启明星辰公司 ) 解密函数地址 0x h 刚好处于 Linux_sys25000( 自命名 ) 段的地址范围内通过对解密代码的分析, 发现两块需要解密的内存代码这两块内存分别是黑客的加密 C&C 和黑雀的加密 C&C, 如图 2-62 所示图 2-62 需解密的内存代码 ( 来源 : 启明星辰公司 ) C&C 是通过相邻字节异或算法进行解密的, 解密后得到两个 C&C, 如图 2-63 所示图 2-63 黑客和黑雀的加密 C&C( 来源 : 启明星辰公司 ) 其中,C&C 是黑客所配置的 C&C 服务器, 而 com 为黑雀所植入的 C&C 服务器 94

98 2 第章网络安全专题分析原始黑雀通过对该黑雀的信息追踪, 发现该黑雀出售的 Billgates 生成器, 如图 2-64 所示图 2-64 Billgates 的去后门生成器.exe ( 来源 : 启明星辰公司 ) 首先测试生成器.exe 程序, 意外发现该生成器.exe 程序生成的 Billgates bot 却包含着另外一个黑雀 C&C 通过同样的分析方法解密出该黑雀, 如图 2-65 所示图 2-65 另一个黑雀 C&C 去后门生成器.exe ( 来源 : 启明星辰公司 ) 当使用去后门生成器.exe 时, 却发现该工具并不是一个去后门的工具, 而是一个替换原始后门 C&C 为另外一个后门 C&C 的生成器也就是说, 该工具将黑雀 C&C 替换成了偷梁换柱为了弄清楚该黑雀是如何进行偷梁换柱的, 对去后门生成器.exe 进行进一步分析在分析过程中发现, 原始 Billgates bot 生成器的作者为了隐藏自身进行黑雀攻击的恶意目的, 也为了防止其生成器被逆向工程, 因而通过虚拟机保护壳 Safengine Shielden 进行加壳保护 Safengine Shielden 是一款采用其独特虚拟机保护技术的强壳, 由于脱壳成本巨大, 因此该黑雀采用一种内存补丁技术绕过强壳的保护, 从而替换其中的后门 C&C 为自己的后门 C&C, 如图 2-66 所示 95

2016 年中国互联网网络安全报告图 2-66 黑雀采用一种内存补丁的技术绕过强壳的保护去后门生成器 ( 来源 : 启明星辰公司 ) 去后门生成器使用 upx 加壳, 脱壳处理后便可以对其进行分析去后门生成器实际上利用文件结尾 0x30 个字节数据进行解密处理, 解密算法为相邻字节异或 ( 后一个字节作为 key 与前一个字节进行异或 ) 图 2-67 为文件末尾的 0x30

99 2016 年中国互联网网络安全报告图 2-66 黑雀采用一种内存补丁的技术绕过强壳的保护去后门生成器 ( 来源 : 启明星辰公司 ) 去后门生成器使用 upx 加壳, 脱壳处理后便可以对其进行分析去后门生成器实际上利用文件结尾 0x30 个字节数据进行解密处理, 解密算法为相邻字节异或 ( 后一个字节作为 key 与前一个字节进行异或 ) 图 2-67 为文件末尾的 0x30 个字节数据图 2-67 文件末尾的 0x30 个字节数据去后门生成器 ( 来源 : 启明星辰公司 ) 解密后果然发现原始黑雀 C&C 和新黑雀 C&C, 如图 2-68 所示图 2-68 原始黑雀 C&C 和新黑雀 C&C 去后门生成器 ( 来源 : 启明星辰公司 ) 解密后的数据实际上是一段配置数据, 其中包括待处理的文件 ( 生成器.exe, 后面会通过 CreateProcess 创建生成器.exe 进程 ), 需要处理的数据地址长度后门地址, 替换后的后门地址, 如图 2-69 所示图 2-69 一段配置数据去后门生成器 ( 来源 : 启明星辰公司 ) 其中, 红色框中的为待处理的文件, 黄色框中为子进程的虚拟地址, 蓝色框中为要被替换掉的后门地址, 绿色框中为替换后的后门地址数据结构如下 : 96

2 第章网络安全专题分析 struct Info{ WCHAR[6] ExeName; // 生成器.exe DWORD lpaddress; // 原始后门 C&C 地址 DWORD Size; // 原始后门字符串大小 } WCHAR[6] ReplacedCnc; WCHAR[6] NewCnc; //www.2xpk.com //www.lxi3.com 去后门生成器.

100 2 第章网络安全专题分析 struct Info{ WCHAR[6] ExeName; // 生成器.exe DWORD lpaddress; // 原始后门 C&C 地址 DWORD Size; // 原始后门字符串大小 } WCHAR[6] ReplacedCnc; WCHAR[6] NewCnc; // // 去后门生成器.exe 启动加载生成器.exe 文件执行, 生成器.exe 会在内存中自动解密出 Billgates bot 模板代码, 原始后门 C&C 就存在该模板代码中, 其地址为 0x c, 大小为 0xC, 如图 2-70 所示图 2-70 Billgates bot 模板代码 ( 来源 : 启明星辰公司 ) 去后门生成器会将自身文件中的配置信息解密后, 获取原始后门 C&C( 并将其与 Billgates 模板中的原始后门进行比较 ( 用于判定地址的正确性 ), 如果相等就表示模板后门 C&C 地址无误, 那么去后门生成器就会直接向这个地址写入需要替代的后门 C&C( 如图 2-71 所示图 2-71 去后门生成器原始后门比对 ( 来源 : 启明星辰公司 ) 因此, 如果是通过去后门生成器运行生成的 Billgates bot, 那么该 bot 的后门 C&C 就会是如果是直接通过生成器.exe 运行生成的 Billgates bot, 其所带的后门 C&C 就是 97

101 2016 年中国互联网网络安全报告螳螂分析由于原始黑雀的 C&C 存在于模板中, 因而会有大量的 Billgates 僵尸中存在该 C&C 通过对 Billgates 样本筛选, 发现目前已经有 258 个不同变种类型的 Billgates 样本中被植入该后门 C&C 根据这批样本中的变种数量及相关变种的发现时间, 可以看出, 该批样本在 2015 年 3 月开始被发现存在两个变种, 而到 2016 年 7-8 月变种样本数量近 30 个, 目前仍有新的变种在不断出现, 如图 2-72 所示单位 ( 个 ) 图 2-72 发现时间 -bot 变种数 ( 来源 : 启明星辰公司 ) 2015 年 1 月 2015 年 3 月 2015 年 5 月 2015 年 7 月 2015 年 9 月 2015 年 11 月 2016 年 1 月 2016 年 3 月 2016 年 5 月 2016 年 7 月 2016 年 9 月 2016 年 11 月通过对这批样本中的螳螂 C&C 进行批量解密去重聚合后发现总共有 166 个独立 C&C 服务器被使用过由于数据缺乏, 目前无法统计出这 166 个 C&C 服务器控制着多少肉鸡, 但可以确认的是该原始黑雀掌控着 166 个 C&C 服务器所控制的所有肉鸡对于螳螂来说, 该原始黑雀所控制的肉鸡资源几乎高出单个螳螂僵尸网络的两个数据量级, 其构成的攻击流量会呈数量级的增加, 如图 2-73 所示

第 2章图2-73 T /C C 网络安全专题分析 166个独立C&C服务器来源启明星辰公司 E R 在解密C&C过程中还发现 C&C后面带有一些特殊的螳螂黑客特有标志的特征据此发现了几个主要螳螂黑客组织图2-74是根据螳螂所拥有的僵尸网络数量进行统计而绘制的饼状图从中可以看出僵尸网络拥有量最大的螳螂为带有 yanke 特征标识的黑客也就是说该黑客所配置的 C

102 第 2章图2-73 T /C C 网络安全专题分析 166个独立C&C服务器来源启明星辰公司 E R 在解密C&C过程中还发现 C&C后面带有一些特殊的螳螂黑客特有标志的特征据此发现了几个主要螳螂黑客组织图2-74是根据螳螂所拥有的僵尸网络数量进行统计而绘制的饼状图从中可以看出僵尸网络拥有量最大的螳螂为带有 yanke 特征标识的黑客也就是说该黑客所配置的 C Billgates僵尸中存在这样的特征统计数据显示大约有57个占比34.3% 具有不同C&C的Billgates僵尸程序中存在着 yanke 字样的特征字符串 C N 其他 58.5% 螳螂1 特征 yanke 34.3% 螳螂4 特征 Fox 3.0% 螳螂3 特征 syn 1.8% 螳螂2 特征 92hkw 1.2% 螳螂5 特征 Internet 1.2% 图2-74 螳螂黑客配置的C&C数量来源启明星辰公司年网络安全报告.indd :42:31

2016 年中国互联网网络安全报告通过对该螳螂的追踪分析发现其和Death僵尸网络中一个网名为yanke 的黑雀为同一个人因此网名为yanke的这个黑客至少采用Billgates僵尸和 Death僵尸两种僵尸程序作为攻击武器发展僵尸网络在两种类型的僵尸网络中该黑客处在两种不同角色在Death僵尸网络中该黑客作为黑雀给螳螂植入后门的同时自己也被大黑雀植入后门

103 2016 年中国互联网网络安全报告通过对该螳螂的追踪分析发现其和Death僵尸网络中一个网名为yanke 的黑雀为同一个人因此网名为yanke的这个黑客至少采用Billgates僵尸和 Death僵尸两种僵尸程序作为攻击武器发展僵尸网络在两种类型的僵尸网络中该黑客处在两种不同角色在Death僵尸网络中该黑客作为黑雀给螳螂植入后门的同时自己也被大黑雀植入后门在Billgates僵尸网络 C 中它单纯的作为螳螂却浑然不知自己的攻击武器中被植入了后门因 T /C 而更新该黑客名片如图2-75所示 QQ **** **** 512**** 96413**** 黑客名片此人对自身信息做了隐藏其专门从事黑客产业链事业其注册的所有域名都与僵尸木马相关长期从事网络攻击行为 Death僵尸使用起始时间 2016年6月14日使用的C&C域名 quanqiuzhuanshu.top ttxdy.net ddos.r00tc.com C N C 身份1 Death 僵尸网络中的黑雀使用了大黑雀的 Death 僵尸其控制着300多个螳螂僵尸网络拥有较强的DDoS攻击实力邮箱 ****@qq.com E R 身份2 Billgates僵尸网络中的螳螂使用了黑雀提供的Billgates僵尸工具配置了至少57个C&C用于发展僵尸网络同样具有较强的攻击实力网名 yanke 小红豆微信号互联***yanke 手机 **** 图2-75 Billgates僵尸网络中的 yanke 黑客名片来源启明星辰公司原始黑雀 C&C 分析根据域名注册历史发现原始域名前两次域名注册者采用了隐私保护无法得知具体信息最近的域名注册记录显示注册者邮箱为daywl***@gmail.com 注册有效时间从2016年5月17日到 2017年5月17日 2015年8月至今年网络安全报告.indd :42:31

104 2 第章网络安全专题分析表解析过的 IP 地址 ( 来源 : 启明星辰公司 ) IP 地址解析时间地区相关域名相关样本数量 ( 个 ) 中国 hljqcw.net 中国中国香港中国中国 0 从表 2-16 可以看出,2016 年 5 月 24 日该域名开始解析到 , 同时和 hljqcw.net 也解析到了该 IP 地址, 并且这三个域名都由同一个人注册通过对域名和 hljqcw.net 的追踪分析发现并没有与其关联的样本, 也未发现该域名使用者与 Billgates 僵尸工具的联系自 2016 年 3 月 4 日起, 域名解析到阿里云主机 IP 地址 ( ), 通过 IP 地址关联分析发现, 曾经有大量域名都解析到该 IP 地址并且该 IP 地址被大量的恶意代码作为 C&C 使用这些恶意代码主要以 Windows 和 Android 平台的恶意代码为主, 但却未找到黑雀使用的 Linux 版本的 Billgates 僵尸更早的 (2016 年 3 月 4 日之前 ) 解析历史基本上都与域名同时解析到同一个 IP 地址, 发现与该域名相关联的样本有 220 个通过对这些样本的分析发现它们均为 Billgates 僵尸, 并且与相关联的样本代码几乎相同, 唯一不同的是本次发现的 Billgates 僵尸并未对解密 C&C 的模块做段隐藏, 而是明确地放在.rodata 段中, 如图 2-76 所示 0 101

2016 年 C&C的模块放在.rodata段中来源启明星辰公司 T /C 图2-76 C 中国互联网网络安全报告与www.vnc8.com相关的样本使用端口12358作为上线端口如图2-77所示与www.vnc8.com相关的样本使用端口12358作为上线端口来源启明星辰公司 E R 图2-77 因此推测原始黑雀曾经可能还使用www.

42的主机上原始黑雀名片如图2-78所示 C N 该黑雀为Billgates僵尸网络中的黑雀之一其中拥有这166个螳螂僵尸网络以感染服务器为主利用服务器高带宽发动DDoS攻击身份黑雀僵尸源码改造者或者是僵尸作者之一拥有强大的 DDoS攻击实力注重自我保护及自我隐藏踪迹难寻

105 2016 年 C&C的模块放在.rodata段中来源启明星辰公司 T /C 图2-76 C 中国互联网网络安全报告与如图2-77所示与来源启明星辰公司 E R 图2-77 因此推测原始黑雀曾经可能还使用 C&C 其最初使用作为控制服务器后依次将C&C服务器转移到 C IP地址为的主机上原始黑雀名片如图2-78所示 C N 该黑雀为Billgates僵尸网络中的黑雀之一其中拥有这166个螳螂僵尸网络以感染服务器为主利用服务器高带宽发动DDoS攻击身份黑雀僵尸源码改造者或者是僵尸作者之一拥有强大的 DDoS攻击实力注重自我保护及自我隐藏踪迹难寻图2-78 黑雀使用过的C&C 年3月4日开始使用阿里云服务器作为 C&C服务器使用过的IP地址历史原始黑雀名片来源启明星辰公司年网络安全报告.indd :42:32

106 2 第章网络安全专题分析总结在研究中, 启明星辰公司 ADLab 发现在这个黑吃黑的链条中, 黑雀或是螳螂的身份并不是单一固定的, 僵尸网络的攻击渠道也不是唯一的, 攻击方式非常混乱复杂比如, 启明星辰公司 ADLab 对该螳螂的追踪分析发现, 其和 Death 僵尸网络中一个网名为 yanke 的黑雀为同一个人, 这个黑客至少采用 Billgates 僵尸和 Death 僵尸两种僵尸程序作为攻击武器发展僵尸网络在两种类型的僵尸网络中, 该黑客处在两种不同角色在 Death 僵尸网络中, 该黑客作为黑雀, 给螳螂植入后门的同时, 自己也被大黑雀植入后门, 而在 Billgates 僵尸网络中, 它单纯的作为螳螂, 却浑然不知自己的攻击武器中被植入了后门通过长期对 Billgates 僵尸程序分析发现, 绝大部分的 Billgates 僵尸都留有这种类型的后门, 并且启明星辰公司查阅到虽然多个安全团队都对 Billgates 僵尸做过深度的技术分析, 但都忽略了其中攻击实力强悍的黑雀更为严峻的是,Billgates 僵尸家族中还存在着无数这样的黑雀, 它们利用普通黑客的攻击资源来发展自己的肉鸡, 以达到坐收渔利的目的同样也使得这样的高效黑吃黑攻击开始流行于黑客之间, 让黑客产业链变得更加复杂和混乱 Death 僵尸网络和 Billgates 僵尸网络中的黑雀攻击并非孤例, 这种攻击模式还大量存在于其他僵尸程序中,Web Shell 攻击工具蠕虫木马攻击工具中也广泛存在黑雀攻击的现象由此, 对于广大网络安全团队和安全机构来说, 面对日益猖獗且日益混乱复杂的黑雀攻击黑客产业链, 应当引起高度重视, 需要提升防范意识, 增加防范手段, 以充分保障网络安全 103

107 3 计算机恶意程序传播和活动情况 3.1 木马和僵尸网络监测情况木马是以盗取用户个人信息, 甚至是以远程控制用户计算机为主要目的的恶意程序由于它像间谍一样潜入用户的电脑, 与战争中的木马战术十分相似, 因而得名木马按照功能分类, 木马程序可进一步分为盗号木马网银木马窃密木马远程控制木马流量劫持木马下载者木马和其他木马等, 但随着木马程序编写技术的发展, 一个木马程序往往同时包含上述多种功能僵尸网络是被黑客集中控制的计算机群, 其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为, 如可同时对某目标网站进行分布式拒绝服务攻击, 或同时发送大量的垃圾邮件等 2016 年抽样监测结果显示, 在利用木马或僵尸程序控制服务器对主机进行控制的事件中, 控制服务器 IP 地址总数为个, 较 2015 年下降 7.9%, 受控主机 IP 地址总数为个, 较 2015 年下降 10.1% 其中, 境内木马或僵尸程序受控主机 IP 地址数量为个, 较 2015 年下降 14.1%, 境内控制服务器 IP 地址数量为个, 较 2015 年 104

108 3 第章计算机恶意程序传播和活动情况上升 19.7% 木马或僵尸程序控制服务器分析 2016 年, 境内木马或僵尸程序控制服务器 IP 地址数量为个, 较 2015 年上升了 19.7%; 境外木马或僵尸程序控制服务器 IP 地址数量为个, 较 2015 年有所下降, 降幅为 25.4%, 具体如图 3-1 所示经过我国木马僵尸专项打击的持续治理, 境内的木马或僵尸程序控制服务器数量较为稳定单位 ( 个 ) 年 2015 年 2016 年图年与最近两年木马或僵尸程序控制服务器数据对比 ( 来源 :) 图注 : 境外 2016 年, 在发现的因感染木马或僵尸程序而形成的僵尸网络中, 僵尸网络数量规模在 100 ~ 1000 个的占 73.1% 以上控制规模在 1000 ~ 5000 个 5000 ~ 个 2 万 ~ 5 万个 5 万 ~ 10 万个的主机 IP 地址的僵尸网络数量与 2015 年相比分别减少 59 个 10 个 80 个 14 个 2016 年木马或僵尸程序控制服务器 IP 地址数量按月度统计分别如图 3-2 所示, 全年呈波动态势,10 月达到最高值个,11 月为最低值 8610 个境内 105

109 2016 年中国互联网网络安全报告单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年木马或僵尸程序控制服务器 IP 地址数量按月度统计 ( 来源 :) 境内木马或僵尸程序控制服务器 IP 地址绝对数量和相对数量 ( 即各地区木马或僵尸程序控制服务器 IP 地址绝对数量占其活跃 IP 地址数量的比例 ) 前 10 位地区分布如图 3-3 和图 3-4 所示, 其中, 广东省江苏省山东省居于木马或僵尸程序控制服务器 IP 地址绝对数量前 3 位, 海南省江苏省广东省居于木马或僵尸程序控制服务器 IP 地址相对数量的前 3 位 106

110 3 第章计算机恶意程序传播和活动情况其他,39.1% 广东省,18.3% 河北省,2.4% 上海市,2.5% 辽宁省,2.9% 福建省,3.7% 河南省,4.0% 浙江省,4.9% 江苏省,9.8% 山东省,6.3% 北京市,6.1% 图年境内木马或僵尸程序控制服务器 IP 地址按地区分布 ( 来源 :) 活跃 IP 地址占比 0.05% 0.04% 0.04% 0.03% 0.02% 0.01% 0.03% 0.03% 0.03% 0.03% 0.02% 0.02% 0.02% 0.02% 0.01% 0 海南省江苏省广东省福建省宁夏回族河南省山西省山东省内蒙古辽宁省自治区自治区图年境内木马或僵尸程序控制服务器 IP 地址占所在地区活跃 IP 地址比例 TOP10( 来源 :) 图 3-5 图 3-6 为 2016 年境内木马或僵尸程序控制服务器 IP 地址数量按基础电信企业分布及所占比例, 木马或僵尸程序控制服务器 IP 地址数量无论是绝对数量还是相对数量 ( 即各基础电信企业网内木马或僵尸程序控 107

111 2016 年中国互联网网络安全报告制服务器 IP 地址绝对数量占其活跃 IP 地址数量的比例 ), 位于中国电信网内的数量均排名第一其中位于中国电信网内的木马或僵尸程序控制服务器 IP 地址数量约占境内控制服务器 IP 地址数量的一半以上中国移动,3.2% 中国联通,22.2% 图 3-5 活跃 IP 地址占比 0.025% 0.020% 0.015% 0.010% 0.005% 0 其他,19.6% 中国电信,55.0% 2016 年境内木马或僵尸程序控制服务器 IP 地址按基础电信企业分布 0.023% ( 来源 :) 0.015% 0.004% 中国电信中国联通中国移动图年境内木马或僵尸程序控制服务器 IP 地址占所属基础电信企业活跃 IP 地址比例 ( 来源 :) 境外木马或僵尸程序控制服务器 IP 地址数量前 10 位按国家和地区分布如图 3-7 所示, 其中美国位居第一, 占境外控制服务器的 22.4%, 中国香港和日本分列第二三位, 占比分别为 3.8% 和 3.7% 108

112 3 第章计算机恶意程序传播和活动情况其他,54.3% 美国,22.4% 图 3-7 俄罗斯,1.7% 中国台湾,1.7% 中国香港,3.8% 日本,3.7% 韩国,3.7% 德国,2.6% 巴西,2.1% 土耳其,2.0% 泰国,2.0% 2016 年境外木马或僵尸程序控制服务器 IP 地址按国家和地区分布木马或僵尸程序受控主机分析 ( 来源 :) 2016 年, 境内共有个 IP 地址的主机被植入木马或僵尸程序, 境外共有个 IP 地址的主机被植入木马或僵尸程序, 数量较 2015 年均有所下降, 降幅分别达到了 14.1% 和 1.0%, 具体如图 3-8 所示 109

113 2016 年中国互联网网络安全报告单位 ( 个 ) 年 2016 年图年和 2015 年木马或僵尸程序受控主机数量对比 ( 来源 :) 图注 : 2016 年, 持续加大木马和僵尸网络的治理力度, 木马或僵尸程序受控主机 IP 地址数量全年总体呈现下降态势,5 月达到最高值个,11 月为最低值个 2016 年木马或僵尸程序受控主机 IP 地址数量按月度统计如图 3-9 所示境内境外 110

114 3 第章计算机恶意程序传播和活动情况单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年木马或僵尸程序受控主机 IP 地址数量按月度统计 ( 来源 :) 境内木马或僵尸程序受控主机 IP 地址绝对数量和相对数量 ( 即各地区木马或僵尸程序受控主机 IP 地址绝对数量占其活跃 IP 地址数量的比例 ) 前 10 位地区分布如图 3-10 和图 3-11 所示, 其中, 广东省江苏省山东省居于木马或僵尸程序受控主机 IP 地址绝对数量前 3 位这在一定程度上反映出经济较为发达互联网较为普及的东部地区因网民多计算机数量多, 该地区的木马或僵尸程序受控主机 IP 地址绝对数量位于全国前列同时, 广东省江苏省山东省也居于木马或僵尸程序受控主机 IP 地址相对数量的前 3 位 111

115 2016 年中国互联网网络安全报告其他,35.4% 广东省,13.4% 江苏省,9.2% 福建省,3.2% 安徽省,3.3% 湖南省,3.4% 河北省,5.1% 河南省,6.1% 辽宁省,5.2% 山东省,8.3% 浙江省,7.4% 图年境内木马或僵尸程序受控主机 IP 地址数量按地区分布 ( 来源 :) 活跃 IP 地址占比 12.0% 10.7% 10.5% 10.2% 9.6% 9.5% 10.0% 8.0% 6.0% 4.0% 2.0% 0 8.9% 8.7% 8.7% 8.4% 8.4% 广东省江苏省山东省浙江省河南省辽宁省河北省湖南省安徽省福建省图年境内木马或僵尸程序受控主机 IP 地址数量占所在地区活跃 IP 地址比例 TOP10( 来源 :) 图 3-12 和图 3-13 为 2016 年境内木马或僵尸程序受控主机 IP 地址数量按基础电信企业分布及所占比例从绝对数量上看, 木马或僵尸程序受控主机 IP 地址位于中国电信网内的数量占总数的近 2/3 从相对数量( 即各基础电信企业网内木马或僵尸程序受控主机 IP 地址绝对数量占其活跃 IP 地 112

116 3 第章计算机恶意程序传播和活动情况址数量的比例 ) 上看, 中国电信中国联通网内感染木马或僵尸程序的主机 IP 地址数量占其活跃 IP 地址数量的比例均超过 4.0% 中国移动,6.7% 其他,1.0% 中国联通,33.0% 图 3-12 活跃 IP 地址占比 9.0% 8.5% 8.0% 7.0% 6.0% 5.0% 4.0% 3.0% 2.0% 1.0% 0 图 3-13 中国电信,59.3% 2016 年境内木马或僵尸程序受控主机 IP 地址数量按基础电信企业分布 ( 来源 :) 7.8% 3.0% 0.5% 中国电信中国联通中国移动其他 2016 年境内木马或僵尸程序受控主机 IP 地址数量占所属基础电信企业活跃 IP 地址数量比例 ( 来源 :) 境外木马或僵尸程序受控主机 IP 地址数量按国家和地区分布位居前 10 位的如图 3-14 所示, 其中, 埃及泰国摩洛哥居前 3 位 113

117 2016 年中国互联网网络安全报告其他,34.1% 埃及,19.6% 泰国,15.9% 美国,1.1% 马来西亚,1.2% 韩国,1.4% 阿尔及利亚,1.5% 图 3-14 伊朗,1.5% 中国台湾,5.1% 越南,9.0% 摩洛哥,9.6% 2016 年境外木马或僵尸程序受控主机 IP 地址数量按国家和地区分布 ( 来源 :) 3.2 飞客蠕虫监测情况飞客蠕虫 ( 英文名称 Conficker Downup Downandup Conflicker 或 Kido) 是一种针对 Windows 操作系统的蠕虫病毒, 最早出现在 2008 年 11 月 21 日飞客蠕虫利用 Windows RPC 远程连接调用服务存在的高危漏洞 (MS08-067) 入侵互联网上未进行有效防护的主机, 通过局域网 U 盘等方式快速传播, 并且会停用感染主机的一系列 Windows 服务自 2008 年以来, 飞客蠕虫衍生了多个变种, 这些变种感染上亿台主机, 构建一个庞大的攻击平台, 不仅能够被用于大范围的网络欺诈和信息窃取, 而且能够被利用发动大规模拒绝服务攻击, 甚至可能成为有力的网络战工具自 2009 年起对飞客蠕虫感染情况进行持续监测和通报处置抽样监测数据显示,2010 年 12 月至 2015 年 8 月全球互联网月均感染飞客蠕虫的主机 IP 地址数量持续减少, 但从 2015 年 9 月开始飞客蠕虫又呈现活跃态势, 并且 2016 年月均感染 IP 地址数量从 2015 年的月均 391 万提升到 465 万近 6 年全球互联网感染飞客蠕虫的主机 IP 114

118 3 第章计算机恶意程序传播和活动情况地址月均数量变化情况如图 3-15 所示单位 ( 万个 ) 年 2012 年 2013 年 2014 年 2015 年 2016 年图 3-15 近 6 年全球互联网感染飞客蠕虫的主机 IP 地址月均数量 ( 来源 :) 据抽样监测,2016 年全球感染飞客蠕虫的主机 IP 地址数量排名前三的国家和地区分别是中国境内 (14.5%) 印度(9.3%) 和巴西 (5.8%), 具体分布情况如图 3-16 所示 2016 年中国境内感染飞客蠕虫的主机 IP 地址数量月度变化趋势如图 3-17 所示, 月均数量近 67 万个, 总体上有所上升, 较 2015 年上升 38.9% 115

119 2016 年中国互联网网络安全报告其他,46.0% 中国境内,14.5% 印度,9.3% 图 3-16 单位 ( 个 ) 墨西哥,2.6% 阿根廷,2.7% 委内瑞拉,3.0% 意大利,3.2% 巴西,5.8% 越南,4.6% 俄罗斯,4.6% 印度尼西亚,3.7% 2016 年全球互联网感染飞客蠕虫的主机 IP 地址数量按国家和地区分布 ( 来源 :) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年中国境内感染飞客蠕虫的主机 IP 地址数量按月度统计 ( 来源 :) 116

120 3 第章计算机恶意程序传播和活动情况 3.3 恶意程序传播活动监测 2016 年 1-4 月恶意程序传播活动频次逐步降低,5-7 月恶意程序传播活动频次于较低水平趋于稳定,8 月开始恶意程序传播事件数量较前 7 个月出现明显增长,8-12 月恶意程序传播事件数量始终保持在较高水平, 其中 9 月达到顶峰,11 月则相对减少一些频繁的恶意程序传播活动使用户上网面临的感染恶意程序风险加大, 后半年恶意程序传播活动的增加使得对其传播源的清理形势越发严峻, 同时需要更加注重提醒广大用户提高个人信息安全意识 2016 年已知恶意程序传播事件次数按月度统计如图 3-18 所示单位 ( 个 ) 图月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 2016 年已知恶意程序传播事件次数按月度统计 ( 来源 :) 2016 年, 共监测到 9410 个放马站点 ( 去重后 ) 图 3-19 是中国境内地区放马站点数量月度统计情况, 可以看到, 放马站点数量在 2016 年呈现波动趋势,11 月达到峰值,9 月为全年最低值, 第四季度放马站点数量有一定幅度增加 117

121 2016 年中国互联网网络安全报告单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年放马站点数量按月度统计 ( 来源 :) 图 3-20 为监测发现的 2016 年中国境内地区放马站点按省份分布情况, 列前 5 位的省份是浙江省 (9.3%) 江苏省 (8.7%) 广东省 (8.7%) 北京市 (5.6%) 和陕西省 (5.5%) 其他,42.6% 浙江省,9.3% 江苏省,8.7% 广东省,8.7% 北京市,5.6% 陕西省,5.5% 山东省,5.1% 福建省,3.3% 湖北省,4.1% 河北省,3.3% 河南省,3.8% 图年中国境内地区放马站点按省份分布 ( 来源 :) 图 3-21 所示为监测发现的 2016 年中国境内地区放马站 118

122 3 第章计算机恶意程序传播和活动情况点按域名分布情况, 其中, 排名前 3 位的是.com 域名 (66.6%).net 域名 (9.5%) 和.cn 域名 (8.4%).cc,1.1%.org,1.1% 其他,6.6%.ru,6.7%.cn,8.4%.com,66.6%.net,9.5% 图年中国境内地区放马站点按域名分布 ( 来源 :) 监测发现,2016 年恶意程序传播绝大多数使用 80 端口全年监测发现, 恶意程序传播大量使用和 url.tduou.com 这两个域名来承载恶意程序, 其中主要承载的恶意程序为 Trojan/Win32.SGeneric 家族,url.tduou.com 则主要承载两种家族的恶意程序, 分别为 RiskWare[Downloader]/Win32.Agent 家族和 GrayWare[AdWare]/Win32.AdLoad 家族, 传播感染数量均很大 2016 年放马站点使用的端口分布统计如图 3-22 所示 119

123 2016 年中国互联网网络安全报告 89端口 1.5% 其他端口 4.2% 87端口 1.7% 8914端口 2.7% 8888端口 5.3% 80端口 75.8% 图3-22 T /C C 5505端口 8.8% 2016年放马站点使用的端口分布统计来源 E R 3.4 通报成员单位报送情况奇虎 360 公司恶意程序捕获情况 2016 年奇虎 360 互联网安全中心共截获 PC 端新增恶意程序样本 1.9 亿个同比 2015 年 3.6 亿个下降 47.2% 平均每天截获新增恶意程序 C 样本 52.1 万个从拦截量看 2016 年拦截恶意程序攻击亿次同比 2015 年亿次下降 26.7% 平均每天为用户拦截恶意程序攻击约 1.7 C N 亿次 2016 年 PC 端恶意程序新增量和云查询拦截量具体如图 3-23 所示单位万个单位亿次第一季度第二季度第三季度第四季度 a 新增量图3-23 第一季度第二季度第三季度第四季度 b 云查询拦截量 2016年PC端恶意程序新增量和云查询拦截量来源 360互联网安全中心年网络安全报告.indd :42:41

124 3 第章计算机恶意程序传播和活动情况 2016 年, 从地域分布来看, 感染 PC 恶意程序最多的地区为广东省, 感染数量占全国感染数量的 12.5%; 其次为北京市 (7.3%) 浙江省(6.4%) 江苏省 (6.2%) 山东省(6.0%), 遭遇攻击最多的 10 个省的比例之和超过 50% 2016 年 PC 恶意程序拦截量最多的 TOP10 省市如图 3-24 所示拦截量占比 14.00% 12.00% 10.00% 8.00% 6.00% 4.00% 2.00% % 7.3% 6.4% 6.2% 6.0% 5.4% 5.1% 4.6% 3.9% 3.4% 广东省北京市浙江省江苏省山东省河南省河北省四川省福建省湖南省图年 PC 恶意程序拦截量最多的 TOP10 省市安天公司报送的恶意程序情况 ( 来源 :360 互联网安全中心 ) 根据安天公司的监测结果,2016 年全年捕获恶意程序总量为个 ( 按恶意程序名称统计 ), 比 2015 年的个下降 65.3% 2016 年各月捕获的数量如图 3-25 所示, 其中 5 月达到全年最高值个,10 月达到全年最低值个 121

125 2016 年中国互联网网络安全报告单位 ( 个 ) 图注 : 总量 0 新增 1 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年捕获恶意程序数量月度统计 ( 来源 : 安天公司 ) 2016 年全年捕获恶意程序样本总量为个 ( 按 MD5 值统计 ), 比 2015 年的个增长 4.5% 2016 年各月捕获数量如图 3-26 所示, 其中 5 月达到全年最高值个,10 月达到全年最低值个单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年捕获恶意程序样本数量月度统计 ( 来源 : 安天公司 ) 122

126 3 第章计算机恶意程序传播和活动情况年捕获恶意程序数量 ( 按恶意程序名称统计 ) 走势如图 3-27 所示所示单位 ( 个 ) 年 2015 年 2016 年图注 : 图年捕获恶意程序数量走势 ( 来源 : 安天公司 ) 年捕获恶意程序样本数量 ( 按 MD5 值统计 ) 走势如图 3-28 单位 ( 个 ) 总量新增年 2015 年 2016 年图年捕获恶意程序样本数量走势 ( 来源 : 安天公司 ) 123

127 2016 年中国互联网网络安全报告安天公司将捕获的恶意程序类型分为 8 大类, 分别是木马感染式病毒蠕虫灰色软件黑客工具风险软件垃圾文件和测试文件, 主要类别恶意程序捕获的数量 ( 按恶意程序名称统计 ) 按月度统计如图 3-29 所示其中, 木马是对全年捕获恶意程序数量趋势影响最大的一类恶意程序, 全年捕获木马数量共个单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图注 : 木马风险软件灰色软件图年捕获的主要类别恶意程序数量按月度统计 ( 来源 : 安天公司 ) 绿盟科技公司报送的恶意程序情况根据绿盟科技公司的监测结果,2016 年全年捕获恶意程序样本总量为 5711 个 ( 按 MD5 值统计 ), 比 2015 年的 4281 个增长 33% 2016 年各月捕获数量如图 3-30 所示, 其中 10 月达到全年最高值 581 个,5 月达到全年最低值 371 个 124

128 3 第章计算机恶意程序传播和活动情况单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 247 图注 : 2016 年 2016 年新增图年捕获恶意程序样本数量按月度统计 ( 来源 : 绿盟科技公司 ) 绿盟科技公司将捕获的恶意程序类型分为 7 大类, 分别是蠕虫木马僵尸网络 dropper 后门下载和广告等, 主要类别恶意程序捕获数量月度统计如图 3-31 所示其中, 木马是对全年捕获恶意程序数量趋势影响最大的一类恶意程序, 全年捕获木马数量共 3200 余个根据 2015 年和 2016 年监测结果对比, 在捕获的各类恶意程序中, 绝对数量增长最多的是木马类, 上升 22.8% 各类恶意程序数量增幅位居前三位的是, 广告类下载类和后门类, 增幅分别为 204.0% 139.7% 和 72.7% 2015 年与 2016 年捕获恶意程序数量分类对比如图 3-32 所示 125

129 2016 年中国互联网网络安全报告单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图注 : 蠕虫木马僵尸网络 dropper 后门下载广告图年捕获各类恶意程序数量按月度统计 ( 来源 : 绿盟科技公司 ) 单位 ( 个 ) 蠕虫木马僵尸网络 dropper 后门下载广告图注 : 2015 年 2016 年图年与 2016 年捕获的恶意程序数量分类对比 ( 来源 : 绿盟科技公司 ) 绿盟科技公司跟踪 2016 年热点网络安全事件, 对相关恶意程序样本家族进行深度分析 2016 年绿盟科技公司分析的热点事件恶意程序家族前 10 位见表

130 3 第章计算机恶意程序传播和活动情况表年热点事件相关恶意程序家族 TOP10( 来源 : 绿盟科技公司 ) 序号家族名称 1 Locky 2 BlackEnergy 3 Lazarus 4 ispysoft/ HawkEye 5 Remaiten 6 billgates 7 Mirai 8 shifu 9 Petya 10 黑暗幽灵 2016 年, 恶意程序样本表现出越来越强的对抗性 2016 年热点安全事件相关恶意程序所使用的主要壳类型 TOP10 见表 3-2 表年热点事件相关恶意程序所使用的壳类型 TOP10( 来源 : 绿盟科技公司 ) 序号壳名称 1 UPX 2 NsPack 3 ASPack 4 WinUPack 5 PeCompact 6 VM Protect 7 ASProtect 8 Armadillo 9 EXECryptor 10 Themida 深信服公司报送的恶意程序情况根据深信服公司的监测结果,2016 年全年捕获恶意程序总量为个 ( 按恶意程序名称统计 ) 2016 年各月捕获数量如图 3-33 所示, 其中 9 月达到全年最高值个,12 月达到全年最低值个 127

131 2016 年中国互联网网络安全报告单位 ( 个 ) 图注 : 总量新增 0 1 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年捕获恶意程序数量月度统计 ( 来源 : 深信服公司 ) 2016 年全年捕获恶意程序样本总量为个 ( 按 MD5 值统计 ) 2016 年各月捕获数量如图 3-34 所示, 其中 4 月达到全年最高值个, 12 月达到全年最低值个单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图注 : 总量新增图年捕获恶意程序样本数量月度统计 ( 来源 : 深信服公司 ) 2016 年全年监测到感染恶意程序的主机台, 较 2015 年的

132 3 第章计算机恶意程序传播和活动情况台增长 86% 其中感染主机数量 10 月为全年最高点台,2 月达到全年最低值 4002 台, 如图 3-35 所示单位 ( 台 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年感染恶意程序主机数量月度统计 ( 来源 : 深信服公司 ) 129

133 4 移动互联网恶意程序传播和活动情况 2016 年, 按照工业和信息化部移动互联网恶意程序监测与处置机制 ( 工业和信息化部保号 ) 文件规定和要求, 持续加强对移动互联网恶意程序的监测样本分析和验证处置工作根据监测结果,2016 年移动互联网恶意程序的数量继续保持增长趋势, 较 2015 年的数量增长速度有所回升 4.1 移动互联网恶意程序监测情况移动互联网恶意程序是指在用户不知情或未授权的情况下, 在移动终端系统中安装运行以达到不正当目的, 或具有违反国家相关法律法规行为的可执行文件程序模块或程序片段移动互联网恶意程序一般存在以下一种或多种恶意行为, 包括恶意扣费信息窃取远程控制恶意传播资费消耗系统破坏诱骗欺诈和流氓行为 2016 年捕获及通过厂商交换获得的移动互联网恶意程序样本数量为个年, 移动互联网恶意程序样本数量持续高速增长, 如图 4-1 所示 130

134 4 第章移动互联网恶意程序传播和活动情况单位 ( 个 ) 图年年 2012 年 2013 年 2014 年 2015 年 2016 年年移动互联网恶意程序样本数量对比 ( 来源 :) 2016 年, 捕获和通过厂商交换获得的移动互联网恶意程序按行为属性统计如图 4-2 所示其中, 流氓行为类的恶意程序数量仍居首位, 为个, 占 61.1%, 恶意扣费类个 ( 占 18.2%) 资费消耗类个 ( 占 13.6%) 分列第二三位 2016 年, 组织通信行业开展 12 次移动互联网恶意程序专项治理行动, 着重针对影响范围大安全风险较高的电信诈骗类恶意程序进行治理, 结果显示诱骗欺诈类和恶意传播类恶意程序的治理效果显著, 样本数量减少近 19.9 万个, 其比例分别由 2015 年的 7.2% 和 7.0% 下降至 2016 年的 0.4% 和 0.1% 131

135 2016 年中国互联网网络安全报告资费消耗类,13.6% 恶意扣费类,18.2% 图 4-2 远程控制类,2.7% 隐私窃取类,3.8% 诱骗欺诈类,0.4% 系统破坏类,0.1% 恶意传播类,0.1% 流氓行为类,61.1% 2016 年移动互联网恶意程序数量按行为属性统计 ( 来源 :) 按操作系统分布统计,2016 年捕获和通过厂商交换获得的移动互联网恶意程序主要针对 Android 平台, 共有个, 占 99.9%, 位居第一其次是 Symbian 平台, 共有 51 个, 占 0.01% 2016 年, 未捕获 ios 平台和 J2ME 平台的恶意程序, 因此本报告无相关数据由此可见, 目前移动互联网地下产业的目标趋于集中,Android 平台用户成为最主要的攻击对象如图 4-3 所示, 按危害等级统计,2016 年捕获和通过厂商交换获得的移动互联网恶意程序中, 高危的为个, 占 35.9%; 中危的为个, 占 18.2%; 低危的为个, 占 45.9% 相对于 2015 年, 高危移动互联网恶意程序的分布情况大幅提升 33.8%, 中危移动互联网恶意程序所占比例略有提升 (1.1%), 低危移动互联网恶意程序所占比例大幅下降 (34.8%) 132

136 第 4章移动互联网恶意程序传播和活动情况高危 35.9% C 低危 45.9% 图4-3 T /C 中危 18.2% 2016年移动互联网恶意程序数量按危害等级统计来源 E R 4.2 移动互联网恶意程序传播活动监测 2016 年监测发现移动互联网恶意程序传播事件 1.24 亿次较 2015 年 8384 万余次增长 48.1% 移动互联网恶意程序 URL 下载链接个较 2015 年同期的个增长 1.2 倍进行移动互联网恶 C 意程序传播的域名个较 2015 年同期的个增长 4.38 倍进行移动互联网恶意程序传播的 IP 地址个较 2015 年同期的个 C N 增长 73.24% 随着政府部门对应用商店的监督管理愈加完善通过正规应用商店传播移动恶意程序的难度不断增加传播移动恶意程序的阵地已经转向网盘广告平台等目前审核措施还不完善的 APP 传播渠道移动互联网恶意程序传播事件的月度统计如图 4-4 所示结果显示 2016 年 1-5 月移动恶意程序传播活动呈逐月上升趋势 6 月后传播事件数量总体呈下降趋势年网络安全报告.indd :42:47

137 2016 年中国互联网网络安全报告单位 ( 次 ) 图月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 2016 年移动互联网恶意程序传播事件次数月度统计 ( 来源 :) 移动互联网恶意程序传播所使用的域名和 IP 地址数量月度统计如图 4-5 所示, 可以看出 1-6 月传播恶意程序的域名和 IP 地址数量呈逐渐上升趋势, 6 月和 7 月的数量达到最高峰, 单月出现的恶意域名数量达 5.2 万个,7-12 月传播恶意程序的域名和 IP 地址数量呈逐渐下降趋势单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图注 : 通过域名访问涉及的域名数量通过 IP 直接访问涉及的 IP 数量图年移动互联网恶意程序传播源域名和 IP 地址数量月度统计 ( 来源 :) 134

138 4 第章移动互联网恶意程序传播和活动情况 4.3 通报成员单位报送情况奇虎 360 公司报送的移动互联网恶意程序捕获情况 2016 年全年,360 互联网安全中心累计截获 Android 平台新增恶意程序样本万个, 平均每天新增 3.8 万个相比 2015 年 ( 万个 ), 2016 年下降 25.1%, 扭转了 2015 年以来迅猛增长的势头, 但自 2012 年以来, 移动端从几十万跨越到千万级别恶意样本, 显示出移动恶意程序总体进入平稳高发期年 Android 平台新增恶意程序样本数如图 4-6 所示单位 ( 万个 ) 年 2013 年 2014 年 2015 年 2016 年图年 Android 平台新增恶意程序样本数 ( 来源 :360 互联网安全中心 ) 图 4-7 是 2016 年各月 Android 平台新增恶意程序样本量分布由此可见, 新增恶意程序整体呈现上半年高下半年低的态势, 即 1-6 月新增恶意程序数量整体呈现曲线上升,6 月达到最高峰下半年各月新增恶意样本量都不超过 120 万个, 甚至 11 月仅为 68.6 万个, 达到全年最低 135

139 2016 年中国互联网网络安全报告单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年各月 Android 平台新增恶意程序样本量分布 ( 来源 :360 互联网安全中心 ) 2016 年全年, 从手机用户感染恶意程序情况看,360 互联网安全中心累计监测到 Android 用户感染恶意程序 2.53 亿人次, 相比 2015 年 3.7 亿人次下降 31%, 平均每天恶意程序感染量约为 70 万人次从近 5 年的移动恶意程序感染人次看, 经过 2012 年 2013 年 2014 年的高速增长期,2016 年首次出现下降, 说明手机恶意程序进入平稳期年 Android 平台恶意程序感染数量统计如图 4-8 所示 136

140 4 第章移动互联网恶意程序传播和活动情况单位 ( 万人次 ) 年 2013 年 2014 年 2015 年 2016 年图年 Android 平台恶意程序感染数量统计 ( 来源 :360 互联网安全中心 ) 图 4-9 是 2016 年 Android 平台新增恶意程序感染数量按季度对比情况, 分析可知, 一季度的恶意程序样本量不高, 但是感染数量却是全年 4 个季度中最高的全年来看,2016 年 4 个季度的感染数量呈现下降趋势其中第一季度最高约为 8800 万人次, 第四季度的感染数量则最少, 仅为 4400 万人次单位 ( 万人次 ) 单位 ( 万人次 ) 第一季度第二季度第三季度第四季度第一季度第二季度第三季度第四季度 (a) 新增数量 (b) 感染数量图年 Android 平台新增恶意程序感染数量按季度统计 ( 来源 :360 互联网安全中心 ) 根据中国反网络病毒联盟的分类标准,360 互联网安全中心在 2016 年 137

141 2016 年中国互联网网络安全报告全年监测的 Android 平台恶意程序的分类统计如图 4-10 所示从图 4-10 中可见,2016 年 Android 平台新增恶意程序主要是资费消耗类, 占比高达 74.2%, 相比 2015 年增加了 0.6 个百分点流氓行为类,2.3% 远程控制类,0.9% 隐私窃取类,6.1% 资费消耗类,74.2% 恶意扣费类,16.5% 图年全年监测的 Android 平台恶意程序的分类统计 ( 来源 :360 互联网安全中心 ) 资费消耗类的恶意样本占比已达到 3/4, 说明移动端恶意程序依然是以推销广告消耗流量等手段增加手机用户的流量资费等谋取不法商家的经济利益当前主流运营商的资费模式重心已经转向流量, 而不再单纯倚重语音通话资费消耗类恶意程序对用户资费造成的影响还是比较明显 2016 年全年 4 个季度中感染量最高的十大恶意程序名称及类型感染数量, 见表

142 4 第章移动互联网恶意程序传播和活动情况表年各个季度手机木马感染数量 TOP10( 来源 :360 互联网安全中心 ) 第一季度 TOP 恶意程序名称主要危害第二季度感染数量 ( 个 ) TOP 恶意程序名称主要危害感染数量 ( 个 ) 1 com.android.systemul 资费消耗 com.android.systemui 资费消耗 Atci_service 资费消耗 SystemCore 资费消耗 engrils 资费消耗资费消耗 engriks 资费消耗 Sex Position 资费消耗 sexyhot 资费消耗 Mp3 Free Downloader 资费消耗点心省电资费消耗 Alarmclock 资费消耗 MonkeyTest 系统破坏 bct_service 资费消耗 Love Beauty 资费消耗 Vold 资费消耗 com.video.supp 资费消耗 QQ 悄悄话查看器流氓行为 Talent Game Box 资费消耗 Android Tools 资费消耗第三季度第四季度感染数量 TOP 恶意程序名称主要危害 ( 个 ) TOP 感染数量恶意程序名称主要危害 ( 个 ) 1 SystemProcess 资费消耗午夜快播恶意扣费 netalpha 资费消耗 netalpha 资费消耗午夜快播恶意扣费 com.hs.daming 资费消耗送给亲爱的她流氓行为 ZXT Init 资费消耗 System_Server 资费消耗 Mnt Init 资费消耗 AndroidWidget 资费消耗 Videos 资费消耗红警坦克帝国资费消耗 feed 资费消耗 com.video.supp 资费消耗绝色影院资费消耗 TY 资费消耗 magicalart 资费消耗 com.sysa.up 资费消耗 Unix 资费消耗从全年来看,2016 年十大恶意应用见表

143 2016 年中国互联网网络安全报告表年全年手机感染数量 TOP10 的恶意应用 ( 来源 :360 互联网安全中心 ) TOP 恶意应用名称危害类型感染数量 ( 个 ) 1 com.android.systemul 资费消耗 com.android.systemui 资费消耗 engrils 系统破坏 com.video.supp 资费消耗 Atci_service 资费消耗 adobe air 系统破坏 ProcessR 系统破坏 com.facebook.offline.time 资费消耗 AndroidPlayer 资费消耗 engriks 系统破坏年, 从地域分布来看, 感染手机恶意程序最多的地区为广东省, 感染数量占全国感染数量的 11.4%; 其次为河南省 (6.8%) 江苏省 (6.4%) 山东省 (6.2%) 四川省 (5.3%) 值得一提的是, 相比 2015 年, 北京地区的手机病毒感染情况在全国的排名大幅下降, 由第二名下降到第八名此外,2016 年河北省浙江省湖南省广西壮族自治区的恶意感染数量也排在 TOP10 之列, 上述几个省市一直是移动端恶意程序感染的大省 2016 年 Android 平台恶意程序感染数量 TOP10 省级区域分布如图 4-11 所示 140

144 4 第章移动互联网恶意程序传播和活动情况感染数量占比 12.0% 11.4% 10.0% 8.0% 6.0% 4.0% 2.0% 0 6.8% 6.4% 6.2% 5.3% 5.0% 4.8% 4.0% 3.8% 3.6% 广东省河南省江苏省山东省四川省河北省浙江省北京市湖南省广西壮族自治区图年 Android 平台恶意程序感染数量 TOP10 省级区域分布 ( 来源 :360 互联网安全中心 ) 图 4-12 给出了 2016 年 Android 平台恶意程序感染数量最多的十大城市毫无疑问, 北京用户感染 Android 平台恶意程序最多, 占全国城市的 9.1%; 其次是广州 (6.5%) 南京 (5.5%) 成都 (4.7%) 重庆 (4.6%) 位居 TOP10 的城市还有郑州昆明杭州深圳石家庄相比 2015 年, 值得指出的是, 南京地区取代深圳, 成为恶意程序感染数量季军, 深圳排名仅为第九 141

145 2016 年中国互联网网络安全报告感染数量占比 10.0% 9.1% 9.0% 8.0% 7.0% 6.5% 6.0% 5.5% 4.7% 4.6% 5.0% 3.9% 3.8% 4.0% 3.4% 3.3% 3.3% 3.0% 2.0% 1.0% 0 北京广州南京成都重庆郑州昆明杭州深圳石家庄图年 Android 平台恶意程序感染量 TOP10 城市 ( 来源 :360 互联网安全中心 ) 安天公司报送的移动互联网恶意程序捕获情况根据安天公司监测结果, 截至 2016 年年底, 累计发现移动互联网恶意程序个 ( 按恶意程序名称统计 ), 其中 2016 年新发现个截至 2016 年底, 累计捕获移动互联网恶意程序样本个 ( 按照 MD5 值统计 ), 其中 2016 年新捕获样本个按照移动互联网恶意程序描述格式的八类分类标准,2016 年发现的移动互联网恶意程序分类统计数据为 : 恶意扣费类个 ; 信息窃取类个 ; 远程控制类个 ; 恶意传播类个 ; 资费消耗类个 ; 系统破坏类个 ; 诱骗欺诈类个 ; 流氓行为类个 2016 年各月捕获的移动互联网恶意程序数量 ( 按恶意程序名称统计 ) 如图 4-13 所示, 其中 9 月达到全年最高值 ( 个 ),1 月达到全年最低值 (19249 个 ) 142

146 4 第章移动互联网恶意程序传播和活动情况单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年捕获的移动互联网恶意程序数量月度统计 ( 来源 : 安天公司 ) 2016 年各月捕获的移动互联网恶意程序样本数量 ( 按照 MD5 值统计 ) 如图 4-14 所示, 其中 3 月达到全年最高值个,4 月达到全年最低值个 ( 说明 : 由于安天公司只统计新增恶意样本, 所以每月恶意样本总数即为安天公司每月新增恶意样本总数 ) 单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年捕获的移动互联网恶意程序样本数量月度统计 ( 来源 : 安天公司 ) 143

147 2016 年中国互联网网络安全报告年发现的移动互联网恶意程序数量 ( 按恶意程序名称统计 ) 走势如图 4-15 所示 ( 说明 : 由于安天公司只统计新增恶意样本, 所以每月恶意样本总数即为安天公司每月新增恶意样本总数 ) 单位 ( 个 ) 年 2012 年 2013 年 2014 年 2015 年 2016 年图注 : 总量图年移动互联网恶意程序数量走势 ( 来源 : 安天公司 ) 年发现的移动互联网恶意程序样本数量 ( 按 MD5 值统计 ) 走势如图 4-16 所示 ( 说明 : 由于安天公司只统计新增恶意样本, 所以每月恶意样本总数即为安天公司每月新增恶意样本总数 ) 新增 144

148 4 第章移动互联网恶意程序传播和活动情况单位 ( 个 ) 年 2012 年 2013 年 2014 年 2015 年 2016 年图年捕获的移动互联网恶意程序样本数量走势 ( 来源 : 安天公司 ) 截至 2016 年, 累计发现的移动互联网恶意程序下载链接条其中,2016 年共发现移动互联网恶意程序下载链接条, 按恶意程序下载链接数排行前 10 的手机应用商店见表 4-3( 说明 : 由于缺少各应用商店对应的域名信息, 所以无法估算共发现多少个手机应用商店, 只能统计共涉及个域名 ) 表 4-3 手机应用商店按恶意程序下载链接数排行 TOP10 ( 来源 : 安天公司 ) 手机应用商店域名恶意程序下载链接数 ( 条 ) 25PP.com com 4876 baidu.com 4846 myapp.com 2689 hicloud.com 2359 anzhi.com 2203 pconline.com.cn 1330 liqucn.com 590 miidi.net store.com

149 2016 年中国互联网网络安全报告恒安嘉新公司报送的移动互联网恶意程序情况根据恒安嘉新 ( 北京 ) 科技有限公司监测结果, 截至 2016 年年底, 累计发现移动互联网恶意程序个 ( 按恶意程序名称统计 ), 其中 2016 年新发现 7115 个截至 2016 年年底, 累计捕获移动互联网恶意程序样本个 ( 按照 MD5 值统计 ), 其中 2016 年新捕获样本个按照移动互联网恶意程序描述格式的八类分类标准,2016 年发现的移动互联网恶意程序分类统计数据为 : 恶意扣费类个 ; 信息窃取类个 ; 远程控制类个 ; 恶意传播类个 ; 资费消耗类个 ; 系统破坏类个 ; 诱骗欺诈类个 ; 流氓行为类个 2016 年各月捕获移动互联网恶意程序数量 ( 按恶意程序名称统计 ) 如图 4-17 所示, 其中 2 月达到全年最低值 217 个,7 月达到全年最高值 1344 个单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图注 : 新增总量图年移动互联网恶意程序捕获月度统计 ( 来源 : 恒安嘉新公司 ) 2016 年各月捕获的移动互联网恶意程序样本数量 (MD5 值不同 ) 如图 4-18 所示, 其中 2 月达到全年最低值个,7 月达到全年最高值个 146

150 4 第章移动互联网恶意程序传播和活动情况单位 ( 个 ) 图注 : 新增总量 0 1 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年捕获的移动互联网恶意程序样本月度统计 ( 来源 : 恒安嘉新公司 ) 年移动互联网恶意程序数量 ( 按恶意程序名称统计 ) 走势如图 4-19 所示单位 ( 个 ) 图注 : 总量新增 2008 年 2009 年 2010 年 2011 年 2012 年 2013 年 2014 年 2015 年 2016 年图年移动互联网恶意程序数量走势 ( 来源 : 恒安嘉新公司 ) 年移动互联网恶意程序样本数量 (MD5 值不同 ) 走势如图 4-20 所示 147

151 2016 年中国互联网网络安全报告单位 ( 个 ) 年 2009 年 2010 年 2011 年 2012 年 2013 年 2014 年 2015 年 2016 年图注 : 总量图年移动互联网恶意程序样本数量走势 ( 来源 : 恒安嘉新公司 ) 截至 2016 年年底, 累计发现移动互联网恶意程序下载链接条其中,2016 年共发现移动互联网恶意程序下载链接条, 涉及个域名,20 个手机应用商店, 按恶意程序下载链接数排行前 10 的手机应用商店见表 4-4 表 4-4 手机应用下载域名按恶意程序下载链接数排行 TOP10( 来源 : 恒安嘉新公司 ) 手机应用商店域名恶意程序下载链接数 ( 条 ) hiapk.com 68 anzhi.com 56 apk.wsdl.vivo.com.cn 36 ucdl.25pp.com 29 eoemarket.com 27 liqucn.com 23 lenovomm.com 20 gfan.com 19 gamedog.cn 15 app.meizu.com 12 新增 148

152 4 第章移动互联网恶意程序传播和活动情况任子行公司报送的移动互联网恶意程序捕获情况根据任子行网络技术股份有限公司监测结果, 截至 2016 年年底, 累计发现移动互联网恶意程序 4755 个 ( 按恶意程序名称统计 ), 均为 2016 年新发现样本截至 2016 年年底, 累计捕获移动互联网恶意程序样本 5515 个 ( 按照 MD5 值统计 ), 均为 2016 年新捕获样本按照移动互联网恶意程序描述格式的八类分类标准,2016 年发现的移动互联网恶意程序分类统计数据为 : 恶意扣费类 699 个 ; 信息窃取类 1066 个 ; 远程控制类 278 个 ; 恶意传播类 484 个 ; 资费消耗类 1656 个 ; 系统破坏类 315 个 ; 诱骗欺诈类 138 个 ; 流氓行为类 879 个 2016 年 2-12 月捕获的移动互联网恶意程序数量 ( 按恶意程序名称统计 ) 如图 4-21 所示, 其中 7 月达到全年最高值 1143 个,6 月达到全年最低值 106 个单位 ( 个 ) 图注 : 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年 2-12 月捕获的移动互联网恶意程序数量月度统计 ( 来源 : 任子行公司 ) 年 2-12 月捕获的移动互联网恶意程序样本数量 ( 按照 MD5 值统计 ) 如图 4-22 所示新增总量 149

153 2016 年中国互联网网络安全报告单位 ( 个 ) 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图注 : 新增图年 2-12 月捕获的移动互联网恶意程序样本数量月度统计 ( 来源 : 任子行公司 ) 截至 2016 年年底, 累计发现移动互联网恶意程序下载链接 8238 条, 均为 2016 年新发现的链接, 涉及 124 个手机应用商店, 按恶意程序下载链接数排行前 10 的手机应用商店见表 4-5 表 4-5 手机应用商店按恶意程序下载链接数排行 TOP10 ( 来源 : 任子行公司 ) 手机应用商店域名恶意程序下载链接数 ( 条 ) doyo.cn z.com 554 app.easou.com 512 kuai51.com 406 shouji.baidu.com 357 appchina.com 355 anzhi.com 348 apk.gfan.com 322 ttigame.com 317 app.sogou.com 284 总量 150

154 5.1 网页篡改情况 5 网站安全监测情况按照攻击手段, 网页篡改可以分成显式篡改和隐式篡改两种通过显式网页篡改, 黑客可炫耀自己的技术技巧, 或达到声明自己主张的目的隐式篡改一般是在被攻击网站的网页中植入被链接到色情诈骗等非法信息的暗链中, 以助黑客谋取非法经济利益黑客为了篡改网页, 一般需提前知晓网站的漏洞, 提前在网页中植入后门, 并最终获取网站的控制权 2003 年起, 每日跟踪监测我国境内被篡改的网页情况, 发现被篡改的网站后及时通知相关分中心或网站负责人进行协调解决, 以争取在第一时间内恢复被篡改的网站, 减少攻击事件带来的影响我国境内网站被篡改总体情况 2016 年, 我国境内被篡改的网站数量为个 ( 去重后 ), 较 2015 年的个下降 31.7% 2016 年我国境内被篡改网站的月度统计情况如图 5-1 所示 2016 年全年, 持续开展对我国境内网站被植入暗链情况的治理, 组织全国分中心持续开展网站黑链网站篡改事件的处置工作 151

155 2016 年中国互联网网络安全报告单位 ( 个 ) 图月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 2016 年我国境内被篡改的网站数量按月度统计 ( 来源 :) 从篡改攻击的手段来看, 我国被篡改的网站中以植入暗链方式被攻击的超过 90% 从域名类型来看,2016 年我国境内被篡改的网站中, 代表商业机构的网站 (.com) 最多, 占 72.3%, 其次是网络组织类 (.net) 网站和政府类 (.gov) 网站, 分别占 7.3% 和 2.8%, 非营利组织类 (.org) 网站和教育机构类 (.edu) 网站分别占 1.8% 和 0.1% 对比 2015 年, 我国政府类网站被篡改比例持续下降, 从 2014 年的 4.8%,2015 年的 3.7%, 下降至 2016 年的 2.8% 2016 年我国境内被篡改网站按域名类型分布如图 5-2 所示.edu,0.1% 其他,15.7%.org,1.8%.gov,2.8%.net,7.3%.com,72.3% 图年我国境内被篡改网站按域名类型分布 ( 来源 :) 152

156 5 第章网站安全监测情况如图 5-3 所示,2016 年我国境内被篡改网站数量按地域进行统计, 前 10 位的地区分别是 : 北京市广东省河南省福建省江苏省浙江省上海市四川省天津市安徽省前 10 位的地区与 2015 年总体一致, 只是排名略有变化以上均为我国互联网发展状况较好的地区, 互联网资源较为丰富, 总体上发生网页篡改的事件次数较多天津市,2.4% 四川省,3.8% 上海市,5.0% 浙江省,5.1% 江苏省,5.6% 图 5-3 其他,14.4% 福建省,8.1% 河南省,14.5% 北京市,21.9% 广东省,19.2% 2016 年我国境内被篡改网站按地域分布 ( 来源 :) 我国境内政府网站被篡改情况 2016 年, 我国境内政府网站被篡改数量为 467 个 ( 去重后 ), 较 2015 年的 898 个减少 48% 2016 年我国境内被篡改的政府网站数量和其占被篡改网站总数比例按月度统计如图 5-4 所示, 可以看到, 政府网站篡改数量及占被篡改网站总数比例保持在 3% 以下 153

157 2016 年中国互联网网络安全报告单位 ( 个 ) % 1.9% % % 2.8% 2.6% 2.5% 2.5% % 2.5% 2.7% 2.7% 2.5% 2.5% 1 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图注 : 政府网站所占比例图年我国境内被篡改的政府网站数量和所占比例按月度统计 5.2 网站后门情况 ( 来源 :) 网站后门是黑客成功入侵网站服务器后留下的后门程序通过在网站的特定目录中上传远程控制页面, 黑客可以暗中对网站服务器进行远程控制, 上传查看修改删除网站服务器上的文件, 读取并修改网站数据库的数据, 甚至可以直接在网站服务器上运行系统命令 2016 年共监测到境内个 ( 去重后 ) 网站被植入后门, 其中政府网站有 2361 个我国境内被植入后门网站月度统计情况如图 5-5 所示 % 1.5% 1.0% 0.5% 0 154

158 5 第章网站安全监测情况单位 ( 个 ) 图月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 2016 年我国境内被植入后门的网站数量按月度统计 ( 来源 :) 从域名类型来看,2016 年我国境内被植入后门的网站中, 代表商业机构的网站 (.com) 最多, 占 62.3%, 其次是网络组织类 (.net) 和政府类 (.gov) 网站, 分别占 4.8% 和 2.9% 2016 年我国境内被植入后门的网站数量按域名类型分布如图 5-6 所示其他,25.6%.edu,1.9%.org,2.5%.gov,2.9%.net,4.8%.com,62.3% 图年我国境内被植入后门的网站数量按域名类型分布 ( 来源 :) 155

159 2016 年中国互联网网络安全报告如图 5-7 所示,2016 年我国境内被植入后门的网站数量按地域进行统计, 排名前 10 位的地区分别是 : 北京市广东省河南省江苏省浙江省上海市山东省四川省福建省江西省江西省,2.1% 福建省,2.4% 四川省,2.4% 山东省,2.8% 上海市,5.3% 其他,19.8% 浙江省,5.5% 江苏省,5.5% 河南省,8.5% 图年我国境内被植入后门的网站数量按地区分布 ( 来源 :) 北京市,23.5% 广东省,22.2% 向我国境内网站实施植入后门攻击的 IP 地址中, 有个位于境外, 主要位于美国 (14.0%) 中国香港 (6.4%) 和俄罗斯 (3.8%) 等国家和地区, 如图 5-8 所示 156

160 5 第章网站安全监测情况美国,14.0% 其他,55.6% 中国香港,6.4% 俄罗斯,3.8% 韩国,3.6% 图 5-8 马来西亚,3.0% 乌克兰,2.9% 摩洛哥,2.9% 日本,2.7% 越南,2.6% 中国台湾,2.5% 2016 年向我国境内网站植入后门的境外 IP 地址按国家和地区分布 ( 来源 :) 其中, 位于中国香港的 2115 个 IP 地址共向我国境内个网站植入了后门程序, 侵入网站数量居首位, 其次是位于美国和乌克兰的 IP 地址, 分别向我国境内 9734 个和 8756 个网站植入后门程序, 如图 5-9 所示单位 ( 个 ) 中国香港美国乌克兰俄罗斯德国韩国日本菲律宾荷兰马来西亚图年境外通过植入后门控制我国境内网站数量 TOP10 ( 来源 :) 157

161 2016 年中国互联网网络安全报告 5.3 网页仿冒情况网页仿冒俗称网络钓鱼 (Phishing), 是社会工程学欺骗原理与网络技术相结合的典型应用 2016 年, 共抽样监测到仿冒我国境内网站的钓鱼页面个, 涉及境内外个 IP 地址, 平均每个 IP 地址承载 9 个钓鱼页面在这个 IP 地址中, 有 85.5% 位于境外, 其中中国香港 (21.6%) 美国 (8.2%) 和韩国 (1.6%) 居前 3 位, 分别承载个个和个针对我国境内网站的钓鱼页面仿冒我国境内网站的 IP 地址分布情况如图 5-10 和图 5-11 所示其他,53.2% 日本,0.9% 中国香港,21.6% 美国,8.2% 韩国,1.6% 图年仿冒我国境内网站的 IP 地址按国家和地区分布 ( 来源 :) 中国境内,14.5% 158

162 5 第章网站安全监测情况单位 ( 个 ) 中国香港中国境内美国图注 : IP 数量韩国日本其他承载仿冒页面数量图年仿冒我国境内网站的 IP 地址及其承载的仿冒页面数量按国家或地区分布 TOP5( 来源 :) 从钓鱼站点使用域名的顶级域分布来看, 以.com 最多, 占 52.6%, 其次是.cc 和.pw, 分别占 32.3% 和 4.6% 2016 年抽样监测发现的钓鱼站点所用域名按顶级域分布如图 5-12 所示.tk,0.7%.top,0.7%.net,1.1%.cn,3.6%.pw,4.6%.us,0.5%.cf,0.2%.ga,0.2% 其他,3.5%.com,52.6%.cc,32.3% 图年抽样监测发现的钓鱼站点所用域名按顶级域分布 ( 来源 :) 159

163 2016 年中国互联网网络安全报告 5.4 通报成员单位报送情况奇虎 360 公司网站安全检测情况 2016 年全年 ( 截至 2016 年 11 月 15 日 ),360 网站安全检测平台共扫描各类网站万个其中, 被篡改 ( 不包括被植入后门程序 ) 的网站 8.3 万个 ( 全年去重 ), 比 2015 年的 8.4 万相比基本持平, 但比例增加 0.6 个百分点, 占比为 4.2 % 从每月数据统计 ( 当月去重 ) 来看,2016 年前 11 个月平均每月扫描检出被篡改网站 0.85 万个, 相比 2015 年的 1.62 万, 减少 47.5% 2015 年与 2016 年 1-11 月检出被篡改网站数量如图 5-13 所示单位 ( 万个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月图注 : 2015 年 2016 年图年与 2016 年 1-11 月检出被篡改网站数量 ( 来源 :360 互联网安全中心 ) 2016 年,360 互联网安全中心共截获各类新增钓鱼网站万个, 同比 2015 年 (156.9 万个 ) 上升 25.5%; 平均每天新增 5395 个, 每小时涌现超过 225 个钓鱼网站 160

5 第章网站安全监测情况 2016 年,360 互联网安全中心的 PC 端和手机安全软件共为全国用户拦截钓鱼攻击 279.5 亿次, 同比 2015 年 (379.3 亿次 ) 下降 26.3%, 平均每天拦截 7636.6 万次其中 PC 端拦截量为 259.4 亿次, 占总拦截量的 92.8%; 移动端为 20.1 亿次, 占总拦截量的 7.

164 5 第章网站安全监测情况 2016 年,360 互联网安全中心的 PC 端和手机安全软件共为全国用户拦截钓鱼攻击亿次, 同比 2015 年 (379.3 亿次 ) 下降 26.3%, 平均每天拦截万次其中 PC 端拦截量为亿次, 占总拦截量的 92.8%; 移动端为 20.1 亿次, 占总拦截量的 7.2% 2016 年钓鱼网站新增量和拦截量如图 5-14 所示单位 ( 万个 ) (a) 新增量第一季度第二季度第三季度第四季度单位 ( 亿次 ) (b) 云查询拦截量第一季度第二季度第三季度第四季度图年钓鱼网站新增量和拦截量 ( 来源 :360 互联网安全中心 ) 2016 年移动端和 PC 端拦截钓鱼网站次数比较如图 5-15 所示移动端,7.2% PC 端,92.8% 图年移动端和 PC 端拦截钓鱼网站次数比较 ( 来源 :360 互联网安全中心 ) 161

165 2016 年中国互联网网络安全报告在新增钓鱼网站中, 境外彩票以 44.4% 位居首位, 虚假购物 13.4% 假冒银行 7.8% 位列其后钓鱼网站的拦截量方面, 境外彩票占到 60.5%, 排名第一, 其次是虚假购物 5.8% 金融证券 4.3% 2016 年钓鱼网站新增量和拦截量类型分布如图 5-16 所示虚假招聘,1.4% 金融证券,2.1% 虚假中奖,2.3% 模仿登录,7.7% 假冒银行,7.8% 假医假药,0.8% 虚假招聘,1.0% 彩票预测,1.9% 钓鱼广告,2.0% 金融证券,4.3% 虚假购物,5.8% 其他,20.9% 其他,23.7% (a) 新增量 (b) 拦截量虚假购物,13.4% 境外彩票,44.4% 境外彩票,60.5% 图年钓鱼网站新增量和拦截量类型分布 ( 来源 :360 互联网安全中心 ) 另据 360 互联网安全中心监测,2016 年以来, 网站被黑并被篡改为钓鱼网站的情况日益严重全年新增钓鱼网站中, 网站被黑而搭建起来的钓鱼网站占比 19.0%, 攻击者之所以会使用被黑网站作为钓鱼网站, 主要目的就是为了躲避安全软件的监控与拦截同时, 网站被黑也表明网站存在明显的没有修复的安全漏洞 2016 年新增钓鱼网站中被黑网站占比如图 5-17 所示 162

166 第 5章网站安全监测情况网站被黑 19.0% 图5-17 T /C C 不法分子自行搭建 81.0% 2016年新增钓鱼网站中被黑网站占比来源 360互联网安全中心５４１３服务器地域分布从新增钓鱼网站的服务器地域分布来看服务器架设在中国香港地区的占比最高为 20.6% 其次是广东省 3.5% 北京市 1.8% 河南省 0.9% E R 和浙江省 0.9% 2016 年钓鱼网站服务器所属地域分布按新增量如图 5-18 所示 C N C 其他 70.1% 图5-18 中国香港 20.6% 广东省 3.5% 北京市 1.8% 河南省 0.9% 浙江省 0.9% 江苏省 0.8% 上海市 0.6% 中国台湾 0.5% 广西壮族自治区 0.3% 天津市 0.1% 2016年钓鱼网站服务器所属地域分布按新增量来源 360互联网安全中心从钓鱼网站拦截量上看 63.7% 的钓鱼网站攻击所属服务器来自国内位于国外的服务器占 36.3% 在来自国内的攻击中浙江省最多占比为 20.3% 其次是中国香港 19.6% 江苏省 14.2% 广东省 10.4% 年网络安全报告.indd :43:05

167 2016 年中国互联网网络安全报告北京市 7.6% 和福建省 4.6% 在来自国外的攻击中美国最多占比为 58.6% 其次是加拿大 18.6% 日本 3.7% 总体而言国外钓鱼网站的服务器地域分布集中度高 2016 年钓鱼网站服务器所属地域分布按拦截量如图 5-19 所示浙江省 20.3% C 其他 23.2% T /C 福建省 4.6% 中国香港 19.6% 北京市 7.6% 广东省 10.4% 江苏省 14.2% E R a 国内服务器63.7% 韩国 0.4% 芬兰 2.0% 美国 58.6% C N C 澳大利亚 3.3% 日本 3.7% 其他 13.3% 加拿大 18.6% 图5-19 b 国外服务器36.3% 2016年钓鱼网站服务器所属地域分布按拦截量来源 360互联网安全中心安恒公司网站安全检测情况 2016 年安恒公司监测发现我国境内被篡改网站数量为 1230 个较 2015 年的 1418 个减少 13.26% 2016 年我国境内被篡改网站月度统计情况如图 5-20 所示年网络安全报告.indd :43:05

168 5 第章网站安全监测情况单位 ( 个 ) 月月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年我国境内被篡改网站数量按月度统计 ( 来源 : 安恒公司 ) 从域名类型来看,2016 年我国境内被篡改网站中, 代表商业机构的网站 (.com) 占 9.3%, 政府类网站 (.gov) 占 83.5%, 网络组织类网站 (.net) 占 0.5%, 非营利组织类网站 (.org) 占 0.9%, 教育机构类网站 (.edu) 占 1.3% 2016 年我国境内被篡改网站按域名类型分布统计如图 5-21 所示.org,0.9%.edu,1.3%.com,9.3%.net,0.5% 其他,4.5%.gov,83.5% 图年我国境内被篡改网站按域名类型分布统计 ( 来源 : 安恒公司 ) 如图 5-22 所示,2016 年我国境内被篡改网站数量按地域分布进行统计, 165

169 2016 年中国互联网网络安全报告排名前 10 位的地区分别是, 山东省江苏省浙江省安徽省广东省湖北省陕西省四川省湖南省甘肃省山东省,9.2% 其他,41.1% 江苏省,7.0% 甘肃省,4.6% 湖南省,4.6% 四川省,4.6% 陕西省,4.9% 浙江省,6.8% 安徽省,6.3% 广东省,5.9% 湖北省,5.0% 图年我国境内被篡改网站数量按地域分布统计 ( 来源 : 安恒公司 ) 2016 年, 安恒公司监测发现我国境内政府网站被篡改数量为 1027 个, 较 2015 年的 1375 个减少 27.3%, 占安恒公司监测的政府网站列表总数的 0.3%, 即平均每 1000 个政府网站中就有 3 个网站遭到篡改 2016 年我国境内被篡改的政府网站数量和其占被篡改网站总数比例按月度统计如图 5-23 所示单位 ( 个 ) % % 100% % 85.7% 81.5% 90.3% 91.9% 88.6% % % 57.1% 52.9% 60.0% 50.0% % % 50 20% 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图注 : 被篡改数量占被篡改网站总数比例图年我国境内政府网站被篡改数量和所占比例按月度统计 ( 来源 : 安恒公司 ) 166

170 5 第章网站安全监测情况东软公司网站安全检测情况 2016 年, 东软公司监测发现我国境内被篡改网站数量为 500 个从域名类型来看,2016 年我国境内被篡改网站中, 代表商业机构的网站 (.com) 占 87.6%, 政府类网站 (.gov) 占 0.6%, 网络组织类网站 (.net) 占 3.4%, 非营利组织类网站 (.org) 占 0.6% 2016 年我国境内被篡改网站按域名类型分布如图 5-24 所示.org,0.6%.cn,5.8%.net,3.4%.gov,0.6% 其他,2.0%.com,87.6% 图年我国境内被篡改网站按域名类型分布 ( 来源 : 东软公司 ) 2016 年, 东软公司共监测到仿冒我国境内网站的钓鱼页面 261 个从钓鱼站点使用域名的顶级域分布来看, 以.com 最多, 占 51.0%, 其次是.cc 和.cn, 分别占 33.0% 和 3.4% 2016 年东软公司监测发现的钓鱼站点所用域名按顶级域分布统计如图 5-25 所示 167

171 2016 年中国互联网网络安全报告其他,12.6%.cn,3.4%.com,51.0%.cc,33.0% 图年监测发现的钓鱼站点所用域名按顶级域分布统计 ( 来源 : 东软公司 ) 绿盟科技公司网站安全检测情况 2016 年, 绿盟科技公司监测发现我国境内被篡改网站数量为 1686 个 ( 去重后 ), 较 2015 年的 1370 个增加 23%, 我国境内被篡改网站月度统计如图 5-26 所示单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年我国境内被篡改网站数量按月度统计 ( 来源 : 绿盟科技公司 ) 168

172 5 第章网站安全监测情况从域名类型来看,2016 年我国境内被篡改网站中, 代表商业机构的网站 (.com) 占 56.3%, 政府类网站 (.gov) 占 19.1%, 网络组织类网站 (.net) 占 5.0%, 非营利组织类 (.org) 网站占 1.4%, 教育机构类 (.edu) 网站占 2.6% 2016 年我国境内被篡改网站按域名类型分布情况如图 5-27 所示.org,1.4% 其他,15.6%.edu,2.6%.net,5.0%.gov,19.1%.com,56.3% 图年我国境内被篡改网站按域名类型分布 ( 来源 : 绿盟科技公司 ) 2016 年我国境内被篡改网站数量按地域进行统计, 排名前 10 位的地区分别是, 北京市广东省浙江省江苏省上海市福建省河南省四川省山东省湖北省 2016 年, 绿盟科技公司监测发现我国境内政府网站被篡改数量为 337 个, 较 2015 年的 275 个增长 22%, 占绿盟科技公司监测的政府网站列表总数的 0.7%, 即平均每 1000 个政府网站中就有 7 个网站遭到篡改 2016 年我国境内被篡改的政府网站数量和其占被篡改网站总数比例按月度统计如图 5-28 所示 169

173 2016 年中国互联网网络安全报告单位 ( 个 ) % 25% 21.4% % % % 14.8% % 15% % % 80 10% 10.1% 9.4% % 7.3% 40 5% 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图注 : 境内政府网站被篡改数量所占比例图年我国境内政府网站被篡改数量和所占比例按月度统计深信服公司网站安全监测情况 ( 来源 : 绿盟科技公司 ) 2016 年, 深信服公司监测发现我国境内被篡改网站数量为 2560 个, 较 2015 年的 3305 个减少 29% 我国境内被篡改网站月度统计情况如图 5-29 所示单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年我国境内被篡改网站数量按月度统计 ( 来源 : 深信服公司 ) 170

174 5 第章网站安全监测情况从域名类型来看,2016 年我国境内被篡改网站中, 代表商业机构的网站 (.com) 占 20.0%, 政府类网站 (.gov) 占 21.8%, 网络组织类网站 (.net) 占 16.4%, 非营利组织类网站 (.org) 占 9.1%, 教育机构类网站 (.edu) 占 32.7% 2016 年我国境内被篡改网站按域名类型分布情况如图 5-30 所示.edu,32.7%.org,9.1%.net,16.4%.com,20.0%.gov,21.8% 图年我国境内被篡改网站按域名类型分布统计 ( 来源 : 深信服公司 ) 如图 5-31 所示,2016 年我国境内被篡改网站数量按地域进行统计, 排名前 10 位的地区分别是, 广东省江苏省北京市上海市浙江省福建省安徽省河南省河北省湖南省广东省江苏省北京市上海市浙江省福建省安徽省河南省河北省湖南省图年我国境内被篡改网站按地区分布统计 ( 来源 : 深信服公司 ) 171

175 2016 年中国互联网网络安全报告 2016 年, 深信服公司监测发现我国境内政府网站被篡改数量为 2560 个, 较 2015 年的 3305 个减少 29%, 占深信服公司监测的政府网站列表总数的 26%, 即平均每 1000 个政府网站中就有 260 个网站遭到篡改 2016 年我国境内被篡改的政府网站数量和其占被篡改网站总数比例按月度统计如图 5-32 所示单位 ( 个 ) % % % 26% 23% 20% 20% 20% % % 23% 23% 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图注 : 境内政府网站被篡改数量所占比例图年我国境内政府网站被篡改数量和所占比例按月度统计 ( 来源 : 深信服公司 ) 2016 年, 深信服公司共监测到仿冒我国境内网站的钓鱼页面 2107 个从钓鱼站点使用域名的顶级域分布来看, 以最多, 占 47.3%, 其次是和.taobao, 分别占 23.1% 和 11.0% 2016 年深信服公司监测发现的钓鱼站点所用域名按顶级域分布如图 5-33 所示 35% 30% 25% 20% 15% 10% 5% 0 172

176 5 第章网站安全监测情况.95533,8.8%.cmb,6.6%.10000,3.2%.10086,47.3%.taobao,11.0%.10010,23.1% 图年监测发现的钓鱼站点所用域名按顶级域分布 ( 来源 : 深信服公司 ) 173

177 6 信息安全漏洞公告与处置高度重视对安全威胁信息的预警通报工作由于大部分严重的网络安全威胁都是由信息系统所存在的安全漏洞诱发的, 所以及时发现和处理漏洞是安全防范工作的重中之重 6.1 CNVD 漏洞收录情况 2016 年, 国家信息安全漏洞共享平台 (CNVD) 共收录通用软硬件漏洞个其中, 高危漏洞 4146 个 ( 占 38.3%), 中危漏洞 5993 个 ( 占 55.4%), 低危漏洞 683 个 ( 占 6.3%), 各级别比例分布与月度数量统计如图 6-1 图 6-2 所示, 较 2015 年漏洞收录总数 8080 个, 环比增加 33.9% 2016 年,CNVD 接收白帽子国内漏洞报告平台以及安全厂商报送的原创通用软硬件漏洞数量占全年收录总数的 17.8%, 成为 2016 年漏洞数量增长的重要原因在全年收录的漏洞中, 有 2203 个属于零日漏洞, 可用于实施远程网络攻击的漏洞有 9503 个, 可用于实施本地攻击的漏洞有 1319 个 174

178 6 第章信息安全漏洞公告与处置低危,6.3% 高危,38.3% 中危,55.4% 图 6-1 单位 ( 个 ) 图年 CNVD 收录的漏洞按威胁级别分布 ( 来源 :) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图注 : 本月收录的漏洞总数高危中危低危年 CNVD 收录的漏洞数量按月度统计 ( 来源 :) 2016 年,CNVD 收录的漏洞中主要涵盖 Google Oracle Adobe Microsoft IBM Apple Cisco Wordpress Linux Mozilla Huawei 等厂商的产品各厂商产品中漏洞的分布情况如图 6-3 所示, 可以看出, 涉及 Google 产品 ( 含操作系统手机设备以及应用软件等 ) 的漏洞最多, 达到 819 个, 占全部收录漏洞的 7.6% 175

179 2016 年中国互联网网络安全报告其他,56.7% 图 6-3 Google,7.6% Oracle,6.4% Adobe,5.2% Microsoft,4.8% IBM,4.6% Apple,4.1% Cisco,3.3% Wordpress,2.2% Linux,2.0% Mozilla,1.7% Huawei,1.4% 2016 年 CNVD 收录的高危漏洞按厂商分布 ( 来源 :) 根据影响对象的类型, 漏洞可分为 : 应用程序漏洞 Web 应用漏洞操作系统漏洞网络设备漏洞 ( 如路由器交换机等 ) 安全产品漏洞 ( 如防火墙入侵检测系统等 ) 数据库漏洞如图 6-4 所示, 在 2016 年度 CNVD 收录的漏洞信息中, 应用程序漏洞占 60.0%,Web 应用漏洞占 16.8%, 操作系统漏洞占 13.2%, 网络设备漏洞占 6.5%, 安全产品漏洞占 2.0%, 数据库漏洞占 1.5% 安全产品漏洞,2.0% 网络设备漏洞,6.5% 操作系统漏洞,13.2% 数据库漏洞,1.5% 应用程序漏洞,60.0% Web 应用漏洞,16.8% 图年 CNVD 收录的漏洞按影响对象类型分类统计 ( 来源 :) 176

180 6 第章信息安全漏洞公告与处置 2016 年 CNVD 共收录漏洞补丁 8619 个, 为大部分漏洞提供了可参考的解决方案, 提醒相关用户注意做好系统加固和安全防范工作 CNVD 发布的漏洞补丁数量按月度统计如图 6-5 所示单位 ( 个 ) 图月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 2016 年 CNVD 发布的漏洞补丁数量按月度统计 ( 来源 :) 6.2 CNVD 行业漏洞库收录情况 CNVD 对现有漏洞进行了进一步的深化建设, 建立起基于重点行业的子漏洞库, 目前涉及的行业包含 : 电信行业 (telecom.cnvd.org.cn) 移动互联网 (mi.cnvd.org.cn) 工业控制系统 (ics.cnvd.org.cn) 和电子政务 ( 未公开 ) 面向重点行业客户包括 : 政府部门基础电信运营商工业控制行业客户等, 提供量身定制的漏洞信息发布服务, 从而提高重点行业客户的安全事件预警响应和处理能力 CNVD 行业漏洞主要通过行业资产共有信息和行业关键词进行匹配,2016 年行业漏洞库资产总数为 : 电信行业 1513 类, 移动互联网 135 类, 工业控制系统 178 类, 电子政务 165 类 CNVD 行业库关联热词总数为 : 电信行业 84 个, 移动互联网 42 个, 工业控制系统 59 个, 电子政务 13 个 2016 年,CNVD 共收录电信行业漏洞 640 个 ( 占总收录比例 5.9%),

181 2016 年中国互联网网络安全报告移动互联网行业漏洞 985 个 ( 占 9.1%), 工业控制行业漏洞 172 个 ( 占 1.5%), 电子政务行业漏洞 344 个 ( 占 3.1%) 年,CNVD 共收录电信行业漏洞 2823 个, 移动互联网行业漏洞 3409 个, 工业控制行业漏洞 559 个, 电子政务漏洞 931 个年各行业漏洞统计如图 6-6 所示单位 ( 个 ) 图注 : 图年 2014 年 2015 年 2016 年移动互联网电信行业工业控制系统行业电子政务年 CNVD 收录的行业漏洞对比 ( 来源 :) 移动互联网行业漏洞最为相关的厂商包括 :Google Apple Adobe Samsung 等厂商分布如图 6-7 所示 Apple,26.7%% Samsung,1.0% Adobe,3.1% 其他,8.2% Google,61.0% 图年 CNVD 收录的移动互联网行业漏洞按厂商分布 ( 来源 :) 178

182 第 6章信息安全漏洞公告与处置工业控制行业漏洞最为相关的厂商包括 SIEMENS Schneider Electric Advantech Rockwell Automation ABB Ecava Cogent Real-Time Systems General Electric Invensys Infinite Automation Systems, Inc. 等厂商分布如图 6-8 所示 C SIEMENS 17.4% 其他 45.2% T /C Schneider Electric 8.8% Advantech 8.6% 图6-8 E R Infinite Automation Systems Inc 1.4% Invensys 1.8% General Electric 2.1% Rockwell Automation 5.5% ABB 3.8% Ecava 2.9% Cogent Real-Time Systems 2.5% 年CNVD收录的工业控制行业漏洞按厂商分布来源电信行业漏洞最为相关的厂商包括 Cisco Oracle IBM D-Link C Huawei Netgear Juniper Network Apache ASUS TP-Link 等厂商分布如图 6-9 所示 C N ASUS 1.8% Apache 1.8% Juniper Network 1.9% Netgear 2.2% Huawei 3.6% TP-Link 1.3% 其他 8.8% Cisco 31.9% D-Link 5.6% IBM 18.0% Oracle 23.1% 图年CNVD收录的电信行业漏洞按厂商分布来源年网络安全报告.indd :43:17

183 2016 年中国互联网网络安全报告电子政务行业漏洞最为相关的厂商包括 Oracle PhpMyAdmin Samsung DELL Cisco IBM Apache HP Phpcms 山东浪潮齐鲁软件股份产业有限公司等厂商分布如图 6-10 所示其他 21.4% 山东浪潮齐鲁软件股份产业有限公司 1.5% C Oracle 39.8% Phpcms 1.9% HP 2.1% IBM 2.8% Cisco 2.9% DELL 3.4% 图6-10 PhpMyAdmin 12.5% E R Samsung 9.1% T /C Apache 2.6% 年CNVD收录的电子政务行业漏洞按厂商分布来源 C 6.3 漏洞报送和通报处置情况 2016 年国内安全研究者漏洞报告持续活跃 CNVD 依托自有报告渠 C N 道以及与乌云补天漏洞盒子等民间漏洞报告平台的协作渠道接收和处置涉及党政机关和重要行业单位的漏洞风险事件 CNVD 通过各渠道接收到的民间漏洞报告数量统计见表 6-1 表年CNVD接收的民间平台或研究者报告情况统计来源接收渠道报告数量条补天平台乌云平台注截至2016年7月19日 CNVD白帽子 5128 漏洞盒子年网络安全报告.indd :43:18

184 6 第章信息安全漏洞公告与处置 CNVD 对接收到的事件进行核实验证, 主要依托国家中心分中心处置渠道开展处置工作, 同时 CNVD 通过互联网公开信息积极建立与国内其他企事业单位的工作联系机制 2016 年,CNVD 共处置涉及我国政府部门, 银行证券保险交通能源等重要信息系统部门, 以及基础电信企业教育行业等相关行业漏洞风险事件共计起, 按月度统计情况如图 6-11 所示单位 ( 起 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图注 : 基础电信企业重要行业单位各分中心教育行业应急组织国家上级信息安全协调机构网站及厂商图年 CNVD 处置漏洞风险事件数量按月度统计 ( 来源 :) 2016 年,CNVD 自行开展漏洞事件处置 3162 次, 涉及国内外软件厂商 545 家 ( 注 : 不含涉及单个信息系统风险的企事业单位 ), 联系次数最多的厂商见表 6-2 表年 CNVD 协调处置厂商软硬件产品次数 TOP10( 来源 :) 厂商名称漏洞数 ( 次 ) 成都鹏博士电信传媒集团股份有限公司 29 腾讯安全应急响应中心 24 中兴 PSIRT 22 百度安全应急响应中心 20 中国铁建股份有限公司 20 成都星锐蓝海网络科技有限公司 17 北京网御星云信息技术有限公司 16 用友网络科技股份有限公司 12 北京拓尔思信息技术股份有限公司 11 天融信攻防技术研究中心

185 2016 年中国互联网网络安全报告 6.4 高危漏洞典型案例 FortiGate( 飞塔防火墙 ) 是 Fortinet( 飞塔 ) 公司推出的网络防火墙产品, 用于防御网络层和内容层的网络和恶意代码等攻击 2016 年 1 月,CNVD 收录了 FortiGate 防火墙存在 SSH 认证后门漏洞 (CNVD ) 远程攻击者可通过后门获取 FortiGate 防火墙系统的控制权限, 进而渗透到内部网络区域, 构成信息泄露和运行安全风险根据境外研究者的分析以及相关验证情况, 业内认定 FortiGate 防火墙存在一处后门漏洞漏洞形成的原因是由于 FortiGate 防火墙 Fortimanager_Access 用户的密码采用较为简单的算法来生成, 攻击者通过分析破解后可直接获得认证的最高权限 (root), 进而控制防火墙设备, 后续攻击者可通过防火墙作为跳板, 渗透内部区域网络, 进行信息嗅探数据拦截等操作 CNVD 对该漏洞的综合评级为高危后续,Fortinet( 飞塔 ) 公司发布声明称这是一个 2014 年就被内部安全审查发现的问题, 属于管理协议的 bug 而不是主观故意的后门, 并且暂未接收到用户报告称设备在互联网受到黑客攻击漏洞影响版本, 而版本不受影响根据 CNVD 普查的结果, 互联网上约有 1.5 万台 FortiGate 服务器暴露出来, 其中位于中国境内地区的服务器约 730 台, 占比为 4.7% 主要的国家和地区分别为美国 ( 占比 20.7%) 印度 ( 占比 12.5%) 日本 ( 占比 5.7%) 韩国 ( 占比 4.4%) 中国台湾 ( 占比 4.0%) 总体上看, 该漏洞对北美东亚东南亚南亚地区的影响较为严重该算法破解的攻击利用代码已经在互联网上传播, 互联网出现了大量针对 FortiGate 防火墙的攻击 2016 年 1 月,CNVD 收录了 GlassFish 存在任意文件读取漏洞 (CNVD- 182

186 6 第章信息安全漏洞公告与处置 ) 攻击者利用漏洞访问网站链接可获得非授权访问的目录文件列表, 如可读取 Web 应用配置文件等, 进一步渗透构成网站信息泄露和运行风险 GlassFish 是一款基于 JavaEE5 的商业兼容应用服务器软件, 可用于 Web 容器及相关应用的开发部署和分发由于其在实现 unicode 编码上存在缺陷, 导致同一代码的多重解析, 如 :Java 把 "%c0%ae" 解析为 "\uc0ae", 最后转义为 ASCCII 字符. 攻击者利用漏洞构造目录穿越回溯, 获得操作系统主机上的目录文件列表对于熟悉操作系统和 Web 容器架构的攻击者, 构成进一步渗透网站系统的先决条件 CNVD 对该漏洞的综合评级为高危漏洞影响 GlassFish 版本根据 CNVD 初步普查的结果, 互联网上约有 2.36 万台 GlassFish 服务器暴露在互联网上, 其中中国境内地区为 1184 台, 占比约为 5.0%, 其他 GlassFish 服务器应用较多的国家和地区分别有美国 ( 占比 38.4%) 巴西 ( 占比 6.9%) 德国 ( 占比 6.3%) 法国( 占比 3.2%) 英国 ( 占比 2.8%) 俄罗斯(2.7%) 加拿大 ( 占比 2.6%) 总体来看, 该漏洞对北美欧盟以及东亚等地区的影响较为严重 2016 年 4 月,CNVD 收录了 Squid 存在的多个拒绝服务漏洞 (CNVD CNVD CNVD CNVD ; 对应 CVE CVE CVE CVE ) 攻击者可利用上述漏洞远程发起拒绝服务攻击 Squid( 全称 Squid Cache) 是一套代理服务器和 Web 缓存服务器软件该软件提供缓存万维网过滤流量代理上网等功能由于 Squid 服务器 http.cc 文件以及 Edge Side Includes(ESI) 解析器存在设计缺陷, 程序在解析失败时对 Http 响应状态码参数有依赖关系, 同时在解析 XML 对象期间未能检查缓冲区限制, 未能正确将数据附加到 String 对象远程攻击者可借助畸形的响应信息, 构造 XML 文档或较长的字符串, 造成服务器断言失败 183

187 2016 年中国互联网网络安全报告和守护进程退出, 构成拒绝服务攻击漏洞影响 Squid 3.x(<3.5.15) 和 Squid 4.x(<4.0.7) 版本根据 CNVD 普查的情况, 受漏洞影响的 Squid 服务器共计约 47.5 万台, 主要分布在经济较发达信息化水平发展较快的国家和地区在全球范围内排名前 5 的国家分别是 : 美国 ( 占比 52.9%) 罗马尼亚 (9.7%) 中国 (8.6%) 英国 (2.3%) 德国 (1.9%) 在中国境内, 共有约 4.1 万台服务器受漏洞影响, 排名前 5 的省份分别为 : 四川 ( 占比 43.6%) 山东 (21.1%) 北京 (6.5%) 广东 (3.3%) 上海(3.0%) 2016 年 4 月底, 互联网上披露了 Apache Struts2 S2-032 远程代码执行漏洞 (CNVD CVE ) 的利用代码根据 CNVD 初步测试, 远程攻击者利用漏洞可在开启动态方法调用功能的 Apache Struts2 服务器上执行任意代码, 取得网站服务器控制权 Struts2 是第二代基于 Model-View-Controller(MVC) 模型的 Java 企业级 Web 应用框架, 并成为当时国内外较为流行的容器软件中间件 Struts2 的核心 jar 包 -struts2-core 中, 存在一个 default.properties 的默认配置文件用于配置全局信息, 当 struts.enable.dynamicmethodinvocation= True, 即开启动态方法调用尽管在 Struts2 目前的安全策略中, 对部分动态调用方法进行特殊字符传递的限制, 但在该漏洞中攻击者仍能通过 OGNL 表达式静态调用获取 ognl.ognlcontext 的 Default_Member_Access 属性并覆盖 _ memberaccess 的方式进行绕过, 进而可在受控制的服务器端执行任意代码 CNVD 对该漏洞的综合评级为高危漏洞影响 Struts ( 除和以外 ) 版本, 同时攻击利用代码已经在互联网上快速传播对于默认开启动态方法调用功能的 Apache Struts2 服务器比例还需要进一步评估根据 CNVD 技术组成员单位上海交通大学网络信息中心在教育网内的抽样检测结果, 对 706 个采用 184

188 6 第章信息安全漏洞公告与处置 Apache Struts2 作为容器软件的网站进行测试, 有 29 个网站存在 S2-032 漏洞, 占比 4.1%, 而存在 S2-016 及更低版本远程代码执行漏洞 ( 如 S2-005) 的网站有 196 个, 占比 28% 为进一步评估 S2-032 漏洞在各行业领域单位网站的分布情况,CNVD 委托 WOOYUN 平台对相关数据进行检测和整理, 见表 6-3, 境内共有 817 个网站存在 S2-032 漏洞, 其中按行业领域划分, 位于前三位 ( 注 : 不计其他企业 ) 的是政府部门 ( 占比 28.3%) 互联网企业 (25.2%) 教育机构 (9.8%) 表 6-3 CNVD 委托 WOOYUN 平台对相关数据进行的检测和整理 ( 来源 :) 行业领域数量百分比政府部门 % 教育机构 % 金融行业 % 保险行业 % 证券行业 7 0.9% 能源行业 4 0.5% 交通行业 % 电信运营商 % 互联网企业 % 其他企业 % 总计 % 2016 年 5 月,CNVD 收录了 ImageMagick 远程代码执行漏洞 (CNVD , 对应 CVE ) 远程攻击者利用漏洞通过上传恶意构造的图像文件, 可在目标服务器执行任意代码, 进而获得网站服务器的控制权由于有多种编程语言对 ImageMagick 提供调用支持且一些广泛应用的 Web 中间件在部署中包含相关功能, 因此对互联网站安全构成重大威胁 ImageMagick 是一款开源的创建编辑合成图片的软件, 可以读取转换写入多种格式的图片, 遵守 GPL 许可协议, 可运行在大多数操作系统中 ImageMagick 在 MagickCore/constitute.c 的 ReadImage 函数中解析图 185

189 2016 年中国互联网网络安全报告片, 当图片地址以开头时, 就会调用 InvokeDelegate MagickCore/ delegate.c 定义了委托, 最终 InvokeDelegate 调用 ExternalDelegateCommand 执行命令攻击者利用漏洞上传一个恶意图像到目标 Web 服务器, 通过程序解析图像后可执行嵌入的任意代码, 进而获取服务器端敏感信息, 甚至获取服务器控制权限 CNVD 对该漏洞的综合评级为高危漏洞影响 ImageMagick 及以下所有版本 ImageMagick 在网站服务器中的应用十分广泛, 包括 Perl C++ PHP Python Ruby 等主流编程语言提供 ImageMagick 扩展支持, 且 WordPress Drupal 等应用非常广泛的 CMS 系统软件也提供 ImageMagick 选项, 还包括其他调用 ImageMagick 的库实现图片处理渲染等功能的应用此外, 如果通过 Shell 中的 Convert 命令实现图片处理功能, 也会受此漏洞影响根据国内民间漏洞报告平台的收录情况, 已经有多家知名互联网企业网站系统受到漏洞威胁的案例 2016 年 7 月,CNVD 收录了由启明星辰公司提交的 Apache Struts2 devmode 远程代码执行漏洞 (CNVD ) 该漏洞产生的原因是由于开启了 devmode 模式且 Apache Struts2 官方以往修复措施未完善 ( 溯及 S2-008 漏洞 ), 远程攻击者利用该漏洞可执行任意命令, 进而控制服务器主机根据 CNVD 技术组成员单位启明星辰公司提供的分析, 在及之前的版本中,devMode 开启时,DebuggingInterceptor 类会检测提交 debug 参数是否包含 console command browser 这三个 Mode 通过分析代码发现, command browser 这两个 Mode 调用了 stack.findvalue 方法, 可构造特定数据作为 OGNL 表达式执行, 使得 Apache Struts S2-008 漏洞一直延续到版本 Apache Struts 官方对以后的版本代码做了修改, 加强对 OGNL 链式表达式的过滤, 启明星辰公司通过对其安全机制研究, 发现新的绕过缺陷, 并能执行远程指令完成 Http 回显 CNVD 对漏洞的综合评级均为高危 186

190 6 第章信息安全漏洞公告与处置受漏洞影响的版本为 Struts 且开启 devmode 模式的用户根据 CNVD 抽样测试结果, 受影响的 Apache Struts2 服务器比例为 3% ~ 4%, 目前一些民间漏洞报告平台已有相关漏洞的案例报告根据 CNVD 评估, 已有专业人士知晓基本原理, 有可能被快速利用 ( 制造出攻击利用代码 ) 发起大规模检测或攻击 2016 年 8 月,CNVD 收录了 zabbix 存在的 SQL 注入漏洞 (CNVD ) 攻击者利用漏洞无需授权登录即可控制 zabbix 管理系统, 或通过 Script 等功能直接获取 zabbix 服务器的操作权限, 进而有可能危害到用户单位整个网络系统的运行安全由于 zabbix 服务器在境内应用较为广泛, 有可能诱发较高的大规模攻击风险 zabbix 是一个基于 Web 界面的提供分布式系统监视以及网络监视功能的企业级开源解决方案由于 zabbix 默认开启了 Guest 权限, 且默认密码为空, 导致 zabbix 的 jsrpc 中 profileidx2 参数存在 Insert 方式的 SQL 注入漏洞攻击者利用漏洞无需登录即可获取网站数据库管理员权限, 或通过 Script 等功能直接获取 zabbix 服务器的操作系权限 CNVD 对该漏洞的综合评级为高危漏洞影响较低版本的 zabbix 系统, 如已经确认的 2.2.x 版本根据 CNVD 初步普查的情况, 约有 3.5 万台 zabbix 服务器暴露在互联网其中 TOP5 的国家和地区为, 中国 (24.9%) 美国 (18.8%) 俄罗斯 (9.0%) 巴西 (8.0%) 德国 (5.4%) 在中国境内, 排名 TOP5 的省市为, 北京市 (32.6%) 浙江省 (23.2%) 广东省 (11.4%) 上海市 (7.8%) 江苏省 (4.3%) 同时, 根据 CNVD 抽样测试结果 ( 样本数量 >500),zabbix 服务器受漏洞直接影响 ( 验证可攻击成功 ) 的比例为 34.8%, 影响比例较高通过对比发现, 在不受漏洞影响的服务器样本中, 有一部分服务器 Header 字段中不存在 zbx_sessionid 信息, 对于防范攻击有一定的帮助 187

191 2016 年中国互联网网络安全报告 2016 年 11 月,CNVD 收录了 Memcached 存在的多个远程代码执行漏洞 (CNVD CNVD CNVD , 对应 CVE CVE CVE ) 综合利用上述漏洞, 远程攻击者通过发送特制的命令到目标系统, 进而可远程执行任意命令, 有可能诱发以控制为目的的大规模攻击 Memcached 是一个高性能的分布式内存对象缓存系统, 用于动态 Web 应用以减轻数据库负载由于 Memcached 用于插入添加修改键值对的函数 process_bin_append_prepend process_bin_update 以及 Memcached 在编译过程中启用的 SASL 验证存在整数溢出漏洞远程攻击者利用漏洞通过构造特制的 Memcached 命令, 可在目标系统执行任意系统命令, 获取敏感进程信息, 进而绕过通用的漏洞缓解机制, 最终可获取系统控制权限 CNVD 对上述漏洞的综合评级均为高危上述漏洞影响 Memcached 版本由于攻击者可绕过常规的漏洞缓解机制利用漏洞, 直接在公网访问的 Memcached 服务受漏洞威胁严重根据 CNVD 秘书处普查的相关情况, 有超过 2.8 万集成 Memcached 的主机暴露在互联网 ( 暂未区分版本情况 ) 按国家和地区分布排名, 位居前 5 的分别是中国 (53.2%) 美国 (38.9%) 中国香港 (3.3%) 英国 (2.5%) 德国 (2.0%), 其中境内 IP 地址分布方面, 阿里云上承载的服务器主机占比较高, 占境内比例约为 29.2% 按前端承载容器分布, 排名前三的分别是 Apache(62.0%) Nginx(32.3%) IIS(3.6%) 2016 年 11 月,CNVD 收录了多款 MTK 平台手机广升 FOTA 服务存在的 system 权限提升漏洞 (CNVD , 报送者 : 蚂蚁金服巴斯光年安全实验室曲和 ) 综合利用该漏洞, 攻击者可将权限提升至 system 权限, 进而有可能发起植入恶意软件, 以控制或窃取信息为目的的大规模攻击 188

192 6 第章信息安全漏洞公告与处置上海广升信息技术股份有限公司 ( 简称上海广升公司 ) 是终端管理云平台提供商, 主要为 IoT 设备 ( 智能汽车穿戴家居 VR 等 ) 提供无线升级解决方案由于使用广升 FOTA 服务的手机存在某系统内置的 APP, 该 APP 包含对应的绑定服务, 可通过传入参数达到以 system 权限执行命令攻击者利用漏洞可将权限提升至 system 权限 CNVD 对该漏洞的技术评级为中危, 但其影响范围较广, 且后续可实施的其他高权限操作可能危及移动智能终端用户安全该漏洞影响所有使用广升 FOTA 服务的 MTK 平台手机根据报送者提供的测试情况, 目前一些国内主流手机厂商的相关型号手机产品 ( 如 360 f4 手机华为畅享 5S OPPO R9M 等 ) 都受到漏洞的影响上海广升公司已提供漏洞修补方案并已着手积极通报渠道厂商修复该漏洞 CNVD 建议合作渠道手机生产厂商及时与上海广升公司联系, 升级到最新版本, 避免引发漏洞相关的网络安全事件 2016 年 12 月, 收录了多款 Sony IPELA ENGINE IP Cameras 存在后门账号漏洞 (CNVD ) 综合利用该漏洞, 远程攻击者利用漏洞可取得摄像头产品完全操控权限, 构成信息泄露和运行安全风险根据评估, 该漏洞有可能被专门感染 IoT 设备的恶意代码大规模利用发起攻击 Sony 公司 IPELA ENGINE IP 系列摄像头产品包含多个产品型号, 其中以 SNC-* 编号的摄像头原固件中,Web 版管理控制台包含两个经过硬编码且永久开启的账号, 分别是用户名 debug/ 密码 popeyeconnection 及用户名 primana/ 密码 primana, 后者可用来开启 Telnet 访问, 甚至可获取摄像头管理员权限远程攻击者利用漏洞可使用 Telnet/SSH 服务进行远程管理, 从而获得摄像头产品的完全控制权 CNVD 对该漏洞的技术评级为高危漏洞影响 Sony 公司生产的近 80 款摄像头产品根据 CNVD 秘书处在互联网上的普查结果, 共有 2016 台 Sony SNC-* 系列网络摄像头产品暴露 189

193 2016 年中国互联网网络安全报告在互联网上, 受到漏洞直接威胁按国家和地区分布, 以北美地区 ( 占比 52.9.%) 欧洲地区( 占比 33.8%) 为主 ; 在亚洲地区, 日本数量较多, 占总比例的 6.1%, 其次是东南亚和南亚地区, 占总比例的 3.8% 中国境内地区目前受影响数量较少, 仅有 14 台受漏洞威胁 2016 年 12 月,CNVD 收录了网件 (Netgear) 多款路由器存在任意命令注入漏洞 (CNVD ) 综合利用该漏洞, 攻击者利用漏洞执行任意系统命令远程控制路由器设备 Netgear R7000 R6400 和 R8000 是美国 Netgear 公司的无线路由器产品 Netgear 上述路由器的固件包含一个任意命令注入漏洞远程攻击者可能诱使用户访问精心构建的 Web 站点或诱使用户点击设置好的 URL, 从而以设备 Root 用户权限在受影响的路由器上执行任意命令 CNVD 对该漏洞的技术评级为高危, 目前互联网上已经公开利用代码情况漏洞影响 Netgear R7000 路由器, 固件版本 , ;R6400 路由器, 固件版本 , 1.0.4;CERT 社区上报称, 该漏洞还影响 R8000 路由器, 固件版本 , 1.1.2; 可能还有其他型号受到影响根据 CNVD 秘书处的普查情况, 共有 6300 余台上述型号的路由器受到影响, 其中,R7000 最多 ( 占比约 73.4%),R8000 其次 ( 占比 24.3%),R6400 占比最少为 2.2% 按国家和地区分布, 前 5 位的分别是 : 美国 ( 占比 67.2%) 中国 (3.9%) 英国 (3.1%) 澳大利亚 (3.1%) 中国香港 (3.0%) 190

194 7 网络安全事件接收与处理为了能够及时响应处置互联网上发生的攻击事件, 通过热线电话传真电子邮件网站等多种公开渠道接收公众的网络安全事件报告对于其中影响互联网运行安全波及较大范围互联网用户或涉及政府部门和重要信息系统的事件, 积极协调基础电信企业域名注册管理和服务机构以及应急服务支撑单位进行处理 7.1 事件接收情况 2016 年, 共接收境内外报告的网络安全事件起, 较 2015 年下降 1% 其中, 境内报告的网络安全事件起, 较 2015 年下降 1%, 境外报告的网络安全事件数量为 489 起, 较 2015 年下降 0.6% 2016 年接收的网络安全事件数量月度统计情况如图 7-1 所示 191

2016 年中国互联网网络安全报告单位 ( 起 ) 25000 20000 19116 15000 10000 5000 0 13661 8034 9833 8343 11676 7092 6707 8610 9205

接收到的网络安全事件报告主要来自于政府部门金融机构基础电信企业互联网企业域名服务机构 IDC 安全厂商网络安全组织以及普通网民等事件类型主要包括网页仿冒漏洞恶意程序网页篡改网站后门恶意代码网页挂马

195 2016 年中国互联网网络安全报告单位 ( 起 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年网络安全事件接收数量月度统计 ( 来源 :) 2016 年, 接收到的网络安全事件报告主要来自于政府部门金融机构基础电信企业互联网企业域名服务机构 IDC 安全厂商网络安全组织以及普通网民等事件类型主要包括网页仿冒漏洞恶意程序网页篡改网站后门恶意代码网页挂马拒绝服务攻击等, 具体分布如图 7-2 所示恶意程序,12.1% 恶意代码,2.5% 网站后门,7.3% 网页篡改,9.4% 其他,1.3% 网页仿冒,42.6% 漏洞,24.8% 图年接收到的网络安全事件按类型分布 ( 来源 :) 192

196 7 第章网络安全事件接收与处理 2016 年, 接收的网络安全事件数量排名前 3 位的依次是网页仿冒漏洞恶意程序, 具体情况如下网页仿冒事件为起, 占所有接收事件的比例为 42.3%, 位居首位其原因是随着电子商务和在线支付的普及与发展, 人们使用互联网进行在线经济活动越来越频繁漏洞事件数量为起, 较 2015 年的起增加 20.6%, 占所有接收事件的比例为 24.6%, 位居第二这主要是由于在 CNVD 成员单位以及互联网安全从业人员的大力协助下,CNVD 漏洞库新增信息安全漏洞数量较 2015 年继续保持增长态势恶意程序事件数量为起, 较 2015 年的 3640 起增加 315.5%, 位居第三, 占所有接收事件的比例为 12.0% 7.2 事件处理情况对上述投诉以及自主监测发现的事件中危害大影响范围广的事件, 积极进行协调处理, 以消除其威胁 2016 年, 共成功处理各类网络安全事件起, 较 2015 年的起增长 0.01% 2016 年网络安全事件处置数量的月度统计如图 7-3 所示针对互联网尤其是移动互联网恶意程序日益猖獗的发展趋势, 全年共开展 12 次木马和僵尸网络 12 次移动互联网恶意程序的专项清理行动, 并继续加强针对网页仿冒事件的处置工作在事件处置工作中, 基础电信企业和域名注册服务机构的积极配合有效提高事件处置的效率 193

197 2016 年中国互联网网络安全报告单位 ( 起 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月图年网络安全事件处置数量月度统计 ( 来源 :) 处理的网络安全事件的类型分布如图 7-4 所示, 其中网页仿冒事件最多, 共起, 占 42.3%, 较 2015 年的起降低 29.1% 处理的网页仿冒事件主要来源于自主监测发现和接收用户报告 ( 包括中国互联网协会举报中心提供的事件信息 ) 的网页仿冒事件在处理的针对境内网站的仿冒事件中, 有大量网页是仿冒中国建设银行中国工商银行招商银行中国移动中国农业银行中国银行中国邮政储蓄银行淘宝等境内著名金融机构和大型电子商务网站, 黑客通过仿冒页面骗取用户的银行账号密码短信验证码等网上交易所需信息, 进而窃取钱财同时, 有大量是仿冒央视网浙江卫视湖南卫视东方卫视腾讯去哪儿网等知名媒体和互联网企业, 在这类事件中通过发布虚假中奖信息新奇特商品低价销售信息等开展网络欺诈活动通过及时处理这类事件, 有效避免普通互联网用户由于防范意识薄弱而导致的经济损失值得注意的是, 除骗取用户经济利益外, 一些仿冒页面还会套取用户的个人身份地址电话等信息, 导致用户个人信息泄露 194

第 7章网络安全事件接收与处理网页挂马 1.1% 恶意代码 2.5% 网站后门 7.2% 其他 0.9% 网页仿冒 42.3% 网页篡改 9.3% 漏洞 24.7% 图7-4 T /C C 恶意程序 12.0% 2016年处理的网络安全事件按类型分布来源 E R 漏洞事件处置数量排名第二全年共处置 31111 起占 24.

198 第 7章网络安全事件接收与处理网页挂马 1.1% 恶意代码 2.5% 网站后门 7.2% 其他 0.9% 网页仿冒 42.3% 网页篡改 9.3% 漏洞 24.7% 图7-4 T /C C 恶意程序 12.0% 2016年处理的网络安全事件按类型分布来源 E R 漏洞事件处置数量排名第二全年共处置起占 24.7% 主要来源于 CNVD 收录并处理的漏洞事件居第三位的是恶意程序类事件 2016 年处理恶意程序类事件起占 12.0% 较 2015 年的 3624 起增长 317.6% 此外影响 C 范围较大或涉及政府部门重要信息系统的恶意程序网站后门网页挂马拒绝服务攻击等事件也是 2016 年事件处理工作的重点 C N 2016 年加大公共互联网恶意程序治理力度在工业和信息化部的指导下及各地分中心积极组织开展公共互联网恶意程序的专项打击和常态治理加强对木马和僵尸网络等传统互联网恶意程序移动互联网恶意程序的处置以打击黑客地下产业链维护公共互联网安全专项打击工作方面组织基础电信企业互联网接入企业域名注册服务机构和手机应用商店先后开展 12 次公共互联网恶意程序专项打击行动在传统互联网方面共成功关闭境内外 1011 个控制规模较大的年网络安全报告.indd :43:24

展开

目录前言... 1 一 2016 年我国互联网网络安全监测数据分析... 2 ( 一 ) 木马和僵尸网络... 2 ( 二 ) 移动互联网安全移动互联网恶意程序捕获情况移动互联网恶意 APP 监测情况... 6 ( 三 ) 拒绝服务攻击... 7 ( 四 )

目录前言... 1 一 2016 年我国互联网网络安全监测数据分析... 2 ( 一 ) 木马和僵尸网络... 2 ( 二 ) 移动互联网安全移动互联网恶意程序捕获情况移动互联网恶意 APP 监测情况... 6 ( 三 ) 拒绝服务攻击... 7 ( 四 ) 2016 年我国互联网网络安全态势综述国家计算机网络应急技术处理协调中心 2017 年 4 月目录前言... 1 一 2016 年我国互联网网络安全监测数据分析... 2 ( 一 ) 木马和僵尸网络... 2 ( 二 ) 移动互联网安全... 4 1. 移动互联网恶意程序捕获情况... 4 2. 移动互联网恶意 APP 监测情况... 6 ( 三 ) 拒绝服务攻击... 7 ( 四 ) 安全漏洞...

2016 年 中国互联网网络安全报告 + 国家计算机网络应急技术处理协调中心著 人民邮电出版社 北京

2016 年中国互联网网络安全报告 + 国家计算机网络应急技术处理协调中心著人民邮电出版社北京