秘密

Size: px

Start display at page:

Download "秘密"

窃明
5 years ago
Views:

1 江苏省互联网网络安全月度报告 (2018 年第 2 期总第 122 期 ) 国家计算机网络应急技术处理协调中心江苏分中心 2018 年 3 月 19 日目录一 2 月份网络安全基本态势...2 二网络安全事件信息通报... 2 ( 一 ) 网络安全事件处理情况... 2 ( 二 ) 信息报送情况... 2 三江苏省网络流量监测情况...3 ( 一 ) 全网流量... 3 ( 二 ) 应用协议分析... 3 四网络安全事件分析... 4 ( 一 ) 行业地区网络安全事件分布...4 ( 二 ) 木马僵尸网络事件... 4 ( 三 ) 飞客蠕虫病毒事件...5 ( 四 ) 手机病毒事件... 6 ( 五 ) 网页篡改事件... 7 五重要网络安全威胁公告... 7 ( 一 ) 关于利用 memcached 服务器实施反射 DDoS 攻击的安全公告... 7 六业界新闻速递... 9 ( 一 ) 美国参议员议案 : 美国政府应封杀华为和中兴网络设备... 9 ( 二 ) 美国司法部网络安全工作组将重点关注美国大选操纵情况... 9 ( 三 ) 英美政府网站被植入恶意软件 : 电脑被迫挖掘门罗币...9 ( 四 ) 官员确认平昌冬奥会开幕式期间遭到网络黑客攻击...10 国家计算机网络应急技术处理协调中心江苏分中心 1

2 一 2 月份网络安全基本态势 2018 年 2 月, 我省公共互联网网络安全状况整体评价为良我省基础网络运行总体平稳, 互联网骨干网各项监测指标正常, 未发生较大以上网络安全事件互联网网络安全环境方面,2 月我省僵尸木马事件和飞客蠕虫事件数量均有所下降, 但网页篡改事件有所上升, 事件总数仍位居全国前列二网络安全事件信息通报 ( 一 ) 网络安全事件处理情况 2018 年 2 月, 我中心共牵头协调处理各类网络安全事件共起 DDOS 攻击事件起, 高频次僵尸木马受控端事件起, 运营商自用地址木马飞客蠕虫事件 291 起, 移动互联网恶意程序传播源 17 个, 党政机关重要信息系统漏洞事件 28 起, 钓鱼网站事件 8 起, 及时向用户通报情况并指导用户进行系统恢复, 使事件在最快时间内得到处理, 消除了不良影响 ( 二 ) 信息报送情况 2018 年 2 月份, 来自省内各基础电信运营企业增值电信运营企业网络安全厂商上报及管局发现和接收的安全事件共起, 其中, 计算机病毒事件 7 起, 蠕虫事件 904 起, 木马事件起, 僵尸网络事件起, 域名劫持事件 4 起, 网络仿冒事件 200 起, 网页篡改事件 6814 起, 网页挂马事件 28 起, 拒绝服务攻击事件 1 起, 后门漏洞事件 666 起, 非授权访问事件 34 起, 垃圾邮件事件 3601 起, 其他网络安全事件 734 起国家计算机网络应急技术处理协调中心江苏分中心 2

三江苏省网络流量监测情况 ( 一 ) 全网流量 2018 年 2 月, 江苏省全网流量峰值为 16.90Tbps, 峰值出现时间为 2 月 4 日 21:30, 每日 20:00 至 22:00 流量较高全网流量谷值为 6.68Tbps, 谷值出现时间为 2 月 19 日 04:35, 每日 04:00 至 06:00 流量较低全网流量均值为 11.

3 三江苏省网络流量监测情况 ( 一 ) 全网流量 2018 年 2 月, 江苏省全网流量峰值为 16.90Tbps, 峰值出现时间为 2 月 4 日 21:30, 每日 20:00 至 22:00 流量较高全网流量谷值为 6.68Tbps, 谷值出现时间为 2 月 19 日 04:35, 每日 04:00 至 06:00 流量较低全网流量均值为 11.90Tbps 全网流量抽样如图 1 所示 ( 二 ) 应用协议分析图 1: 全网流量抽样图 2018 年 2 月, 全省地区全网流量最高的 TCP 和 UDP 端口及相应的应用协议分布如表 1 和表 2 所示端口号排名百分比主要业务种类端口号排名百分比主要业务种类 % 网页服务 % MSN 聊天等 % HTTPS % 腾讯 QQ 服务 % 网页服务 % 未知 % 未知 % NetBus 木马 % 实时流量播放 % 网页服务 % 未知 % 未知 % 实时消息传送 % 未知 % 未知 % 未知 % MSN 聊天 % 未知 % 未知 % 未知国家计算机网络应急技术处理协调中心江苏分中心 3

4 表 1:TCP 协议端口 TOP10 分布表四网络安全事件分析表 2:UDP 协议 TOP10 端口分布表 ( 一 ) 行业地区网络安全事件分布 2 月份, 我省发生多起政府金融国有大型企业高校等重要机构的互联网主机感染木马僵尸飞客蠕虫病毒的事件其中, 涉及各级政府部门 IP 地址 23 个, 涉及银行证券保险等金融部门 IP 地址 31 个, 涉及高等院校 IP 地址 140 个南京徐州盐城三个地市发生的网络安全事件数居全省前三位网络安全事件按行业及地域占比分布如图 3 4 所示图 3: 网络安全事件按行业占比分布图 4: 网络安全事件按地域占比分布 ( 二 ) 木马僵尸网络事件 2018 年 2 月, 国家计算机网络应急技术处理协调中心 ( 简称 CNCERT/CC) 对木马僵尸的活动状况进行了抽样监测, 发现中国大陆地区万个 IP 地址对应的主机被木马或僵尸程序秘密控制事件高发的三个省份分别为浙江省 ( 约占 12.45%) 河南省 ( 约占 11.90%) 广东省( 约占 8.54%), 其分布情况如图 5 所示我省被境外木马僵尸控制的 IP 数量为 1.50 万个, 环比下降 40.24%, 其中常州连云港南京受控事件数居全省前三位所属地域分布情况如图 6 所示国家计算机网络应急技术处理协调中心江苏分中心 4

飞客蠕虫的主机 IP 地址 22.80 万个事件高发的三个省份分别为广东省 ( 约占 29.

5 图 5: 中国大陆地区木马或僵尸程序受控主机地区分布图图 6: 我省木马或僵尸程序受控主机所属地域分布图 ( 三 ) 飞客蠕虫病毒事件 2018 年 2 月,CNCERT/CC 对飞客蠕虫的活动状况进行了抽样监测, 发现境内感染飞客蠕虫的主机 IP 地址万个事件高发的三个省份分别为广东省 ( 约占 29.10%) 浙江省( 约占 7.32%) 和北京市 ( 约占 6.19%), 其分布情况如图 7 所示国家计算机网络应急技术处理协调中心江苏分中心 5

6 图 7: 中国大陆地区感染飞客蠕虫的主机 IP 按地区分布图我省感染飞客蠕虫病毒主机 IP 数量 1.37 万个, 环比下降 27.89%, 全国排名第四, 所属地域分布情况如图 8 所示 ( 四 ) 手机病毒事件图 8: 江苏省感染飞客蠕虫主机所属地市分布图 2018 年 2 月, 我省发现 4,328,899 起手机用户感染手机恶意程序事件, 环比下降 3.87%; 累计感染用户 19,150 个, 环比增加 2.72%, 感染用户数排名前 10 说的活跃手机病毒信息如表 1 所示 : 序号病毒名称病毒名称感染用户数 1 A.Privacy.htmlapp.j 网页应用病毒变种 A.Remote.uuserv.a 伪父数据服务木马 A.Privacy.Gsservice.a 邪恶推广病毒 1721 国家计算机网络应急技术处理协调中心江苏分中心 6

7 4 A.Privacy.Microcells.a 乖乖猪锁屏病毒 S.Privacy.WapGuide.b2 伪 WAP 向导家族病毒变种 A.remote.lien.a lien 病毒变种 A.Rogue.gamex.f 恶魔传播者病毒变种 A.System.Player.a 流氓播放器病毒 S.Privacy.NksysSvr.a 伪系统保护病毒 S.Privacy.NksysSvr.a1 伪系统保护家族病毒 104 表 3: 江苏省感染手机病毒用户数排名前 10 的活跃手机病毒 ( 五 ) 网页篡改事件 2018 年 2 月,CNCERT/CC 对网页篡改事件进行了抽样监测, 发现境内被篡改的网站共 3678 个事件高发的三个省份分别为广东 ( 约占 43.77%) 北京( 约占 13.02%) 和河南 ( 约占 7.97%), 其分布情况如图 9 所示图 9: 境内被篡改网站按地区分布 2 月份, 监测发现全省被篡改的网站数量为 25 个, 全国排名第十五政府部门及高校网站篡改类型中广告链接占 88%, 网站黑页占 8%, 网页后门占 4% 五重要网络安全威胁公告 ( 一 ) 关于利用 memcached 服务器实施反射 DDoS 攻击的安全公告近日, 利用 memcached 服务器实施反射 DDOS 攻击的事件呈大幅上升趋势针对这一情况,CNCERT 第一时间开展跟踪分析, 监测发现 memcached 反射攻击自 2 国家计算机网络应急技术处理协调中心江苏分中心 7

8 月 21 日开始在我国境内活跃,3 月 1 日的攻击流量已超过传统反射攻击 SSDP 和 NTP 的攻击流量,3 月 1 日凌晨 2 点 30 分左右峰值流量高达 1.94Tbps 随着 memcached 反射攻击方式被黑客了解和掌握, 预测近期将出现更多该类攻击事件 (1) 情况分析 : memcached 反射攻击利用了在互联网上暴露的大批量 memcached 服务器 ( 一种分布式缓存系统 ) 存在的认证和设计缺陷, 攻击者通过向 memcached 服务器 IP 地址的默认端口发送伪造受害者 IP 地址的特定指令 UDP 数据包 (stats set/get 指令 ), 使 memcached 服务器向受害者 IP 地址反射返回比原始数据包大数倍的数据 ( 理论最高可达 5 万倍, 通过持续跟踪观察攻击流量平均放大倍数在 100 倍左右 ), 从而进行反射攻击 (2) 开放 memcached 服务的服务器分布情况 :CNCERT 抽样监测发现开放 memcached 服务的服务器 IP 地址 7.21 万个, 其中境内 5.32 万个境外 1.89 万个其中, 位于江苏开放 memcached 服务的服务器 IP 地址 2473 个, 居全国第七 (3) 漏洞处置建议 : 建议主管部门安全机构和基础电信企业推动境内 memcached 服务器的处置工作, 特别是近期被利用发动 DDoS 攻击的 memcached 服务器 :a) 在 memcached 服务器或者其上联的网络设备上配置防火墙策略, 仅允许授权的业务 IP 地址访问 memcached 服务器, 拦截非法的非法访问 ;b) 更改 memcached 服务的监听端口为之外的其他大端口, 避免针对默认端口的恶意利用 ;c) 升级到最新的 memcached 软件版本, 配置启用 SASL 认证等权限控制策略 ( 在编译安装 memcached 程序时添加 -enable-sasl 选项, 并且在启动 memcached 服务程序时添加 -S 参数, 启用 SASL 认证机制以提升 memcached 的安全性 ); 建议基础电信企业云服务商及 IDC 服务商在骨干网城域网和 IDC 出入口对源端口或目的端口为的 UDP 流量进行限速限流和阻断, 对被利用发起 memcached 反射攻击的用户 IP 进行通报和处置 ; 建议相关单位对其他可能被利用发动大规模反射攻击的服务器资源 ( 例如 NTP 服务器和 SSDP 主机 ) 开展摸排, 对此类反射攻击事件进行预防处置国家计算机网络应急技术处理协调中心江苏分中心 8

9 六业界新闻速递 ( 一 ) 美国参议员议案 : 美国政府应封杀华为和中兴网络设备新浪科技消息北京时间 2 月 8 日早间消息, 美国两名共和党参议员周三提出一项议案, 希望禁止美国政府购买或租用来自华为或中兴的电信设备华为相当于中国政府的一个部门, 他们完全有能力通过黑入自家设备来窃取美国官员的信息阿肯色州参议员汤姆考顿 (Tom Cotton) 说, 还有很多公司能满足我们的技术需求, 我们不能让中国这么容易窃听我们在涉及战略性行业的问题时, 特朗普政府针对于中国的立场较为强硬有知情人士称, 今年早些时候, 在多名国会议员提出反对后,AT&T 就被迫取消了与华为的手机零售合作协议 ( 二 ) 美国司法部网络安全工作组将重点关注美国大选操纵情况 cnbeta.com 消息据外媒 SlashGear 报道, 美国司法部将成立一个名为网络数字工作组的全新网络安全工作组这一举措由美国司法部长杰夫塞申斯 (Jeff Sessions) 命令创建, 他曾表示恐怖分子和其他人曾出于恶意原因利用互联网网络数字工作组将评估解决这些问题的方法根据塞申斯的说法, 工作组主要关心的是通过在线研究美国选举, 避免再次发生 2016 年的情况除了研究与在线平台相关的选举干涉之外, 网络数字工作组还将优先考虑与网络安全相关的关键基础设施干扰, 互联网被用来传播危险意识形态和招募新成员的方式, 以及技术如何被用来避免或阻碍执法, 黑客如何窃取大量数据及劫持计算机司法部警告说, 新的工作组不仅限于这些任务, 而是它将关注其后可能涉及的其他事情这个工作组的第一份报告将在六月底之前提交给美国司法部长 ( 三 ) 英美政府网站被植入恶意软件 : 电脑被迫挖掘门罗币凤凰网消息据外媒 The Register 报道, 包括英国和美国政府机构在内的数千家网站都在周日被一组恶意代码感染, 时间长达数小时, 导致感染的电脑开始秘密挖国家计算机网络应急技术处理协调中心江苏分中心 9

10 掘数字加密货币 The Register 称, 共有 4200 多个网站感染了该恶意软件, 这款恶意软件是英国软件公司 Texthelp 公司开发的 Browsealoud 工具的恶意版本, 这款工具原本的目的是为有视觉问题的人朗读网页内容据悉, 访问受感染网站的电脑会被迫运行专门挖掘门罗币的软件, 从而为幕后黑客谋取利益 Texthelp 表示, 为了制止这一黑客活动, 他们已经停用 Browsealoud, 该公司的工程团队也展开了调查 ( 四 ) 官员确认平昌冬奥会开幕式期间遭到网络黑客攻击凤凰网消息据路透社报道, 平昌冬奥会组织者已经证实在开幕式当天遭到网络攻击, 但拒绝透露攻击者的相关信息包括冬奥会网站电视服务在内均遭到黑客攻击, 但是没有造成太过严重的影响, 周五主新闻中心的 IPTV 突然黑屏, 网络访问和 WiFi 关闭, 与会者无法打印门票, 直到周六才恢复正常国际奥委会发言人马克亚当斯 (Mark Adams) 说 : 我们不会对这个 ( 网络攻击 ) 问题发表置评这是我们正在解决的问题我们正在确保我们的系统安全上月,McAfee 就曾表示公司在过去数月中已经检测到多次针对冬奥会的网络攻击, 主要通过恶意邮件的方式网络安全专家吉姆路易斯 (Jim Lewis) 告诉 CBS 说, 黑客以前也经常瞄准奥运会国家计算机网络应急技术处理协调中心江苏分中心 10

11 版权说明江苏省网络安全月度报告 ( 简称月报 ) 是由国家计算机网络应急技术处理协调中心江苏分中心 ( 简称江苏省互联网应急中心 ) 编制并发布, 版权归江苏省互联网应急中心月报中凡摘录或引用内容已指明出处的, 其版权归相应单位所有本月报所有权利及许可由江苏省互联网应急中心进行管理, 任何单位或个人如需转载或引用其中内容, 须经江苏省互联网应急中心同意, 并标明出处国家计算机网络应急技术处理协调中心江苏分中心 11

秘密

江苏省互联网网络安全月度报告 (2016 年第 12 期总第 108 期 ) 国家计算机网络应急技术处理协调中心江苏分中心 2016 年 1 月 18 日目录一 12 月份网络安全基本态势... 2 二网络安全事件信息通报... 2 ( 一 ) 网络安全事件处理情况... 2 ( 二 ) 信息报送情况... 2 三江苏省网络流量监测情况... 3 ( 一 ) 全网流量... 3 ( 二 )