2012年度

Transcription

1 江苏省互联网网络安全报告 (2014 年度 ) 江苏省通信管理局江苏省互联网应急中心江苏省互联网行业管理服务中心 2015 年 4 月

2 编制人员名单 总 编 : 苏少林 副总编 : 王鹏 编写成员 : 任光裕 王云飞 张月萍 马旸 杨晓丽 蔡 冰 刘永清 尹魏昕 仲思超俞宙罗雅琼韦芹余 吴超蒋大伟王林汝邢学锋

3 前言 为真实有效地反映江苏省互联网网络安全状况, 给政府部门 重要信息系统 电信运营企业 互联网业界以及全省网民提供网络安全态势的宏观分析及预测, 江苏省通信管理局 江苏省互联网应急中心 ( 全称国家计算机网络应急技术处理协调中心江苏分中心, 英文简称 JSCERT) 江苏省互联网行业服务管理中心自 2009 年开始每年撰写和发布 江苏省互联网网络安全年度报告 2014 年度江苏省互联网网络安全年度报告 汇总分析了国家互联网应急中心 江苏省通信管理局 江苏省互联网应急中心自有网络安全监测数据和江苏省通信行业 网络安全企业等相关单位报送的信息, 具有鲜明的行业特色 报告分析了 2014 年江苏省网络安全宏观形势, 涉及网站安全 主机安全 移动互联网安全等多个安全领域, 对省内发生的各类网络安全事件进行多维度的统计分析, 并深入剖析了几个典型的网络安全案例, 针对性的提出网络安全防护对策建议 希望本报告能够对提高江苏省互联网网络安全防护水平起到积极的促进作用 本报告撰写过程中, 中国电信股份有限公司江苏分公司 中国移动通信集团江苏有限公司 中国联合通信有限公司江苏省分公司 奇虎 360 软件 ( 北京 ) 有限公司 北京天融信网络安全技术有限公司 恒安嘉新 ( 北京 ) 科技有限公司 南京铱迅信息技术股份有限公司等单位提供了数据素材, 在此一并致谢 由于水平有限, 报告本身难免存在疏漏和欠缺 在此, 我们诚挚地希望广大读者 业界同仁不吝赐教, 多提宝贵意见 江苏省通信管理局江苏省互联网应急中心江苏省互联网行业管理服务中心 2015 年 4 月

4 版权声明 本报告所包含的信息代表报告编制单位对截至发布日期之前所讨论问题的观点 本报告仅用于提供信息之目的 对于报告中的信息不做任何明示 暗示或法定的担保 报告编制单位不保证所提供的任何信息无疏漏情况 本文档版权为报告编制单位所有 非商业目的情况下, 转载或引用其中的有关内容, 包括数据及图表, 请注明出处 遵守所有适用的版权法是用户的责任 如未获得报告编制单位明确的书面许可, 不得以任何形式将本报告的任何部分或全部内容用于商业目的

5 目录 1 江苏省互联网网络安全概况 网络安全态势 网络安全数据导读 江苏省互联网网络安全状况分析 网站安全状况分析 网站篡改事件 网站后门事件 网页仿冒事件 网页挂马事件 网站安全管理防护建议 互联网主机安全状况分析 僵尸木马受控端情况 僵尸木马控制端情况 互联网主机感染飞客蠕虫情况 主机及设备安全管理防护建议 移动互联网安全状况分析 移动互联网恶意程序感染的总体情况 移动互联网恶意程序类型分析 移动互联网恶意程序感染平台分析 移动互联网恶意程序 TOP10 分析 移动互联网安全防护建议 区域和重点行业网络安全状况分析 区域互联网安全事件综述 区域网络安全状况分析 南京市互联网安全状况 苏州市互联网安全状况 无锡市互联网安全状况 镇江市互联网安全状况 常州市互联网安全状况 南通市互联网安全状况 泰州市互联网安全状况 扬州市互联网安全状况 盐城市互联网安全状况 淮安市互联网安全状况 连云港市互联网安全状况 宿迁市互联网安全状况 徐州市互联网安全状况 重点行业互联网安全状况分析 党政机关互联网安全状况 金融行业互联网安全状况 高校互联网安全状况... 84

6 4 网络安全案例专题分析 黑客通过网站漏洞获利之 用户信息被泄露 事例回放 事例分析 危害分析 处置建议 黑客通过假冒网站获利之 政府网站被假冒 案例回放 案例剖析 危害分析 处置建议 黑客控制僵尸网络发起攻击之 监控设备成肉机 案例回放 案例剖析 危害分析 处置建议 黑客通过短信传播恶意程序之 XX 神器 爆发 案例回放 案例剖析 危害分析 处置建议 黑客通过移动 APP 窃取用户信息之 接口漏洞被利用 案例回放 案例剖析 危害分析 处置建议 年重大网络安全事件及 JSCERT 专项行动 年国际国内重大网络安全事件 心脏出血 Shellshock 漏洞致用户服务器面临安全危机 ebay 遭黑客入侵, 大量用户数据泄露 网站安全存缺陷, 超 13 万用户信息 裸奔 万份用户信息被泄漏, 网上出售仅卖 1000 元 UC 漏洞 山寨网银 小米信息泄露 安全事件集中爆发 阿里云遭互联网史上最大规模 DDoS 攻击 年 JSCERT 专项行动 联合开展南京青奥会网络信息安全专项演练 组织召开 2014 年江苏省互联网网络安全年会 成功举办 紫金吉山杯 第二届江苏省网络安全技能竞赛 圆满完成国家公祭日网络安全保障任务 持续开展公共互联网环境安全监测治理 落实开展移动互联网恶意程序专项治理行动 年网络安全威胁预测及安全防护建议 年网络安全威胁预测 政务云的发展带来信息安全挑战

7 6.1.2 大量互联网设备加入僵尸网络大军 社交网络成恶意代码传播新途径 信息消费平台 移动支付面临安全风险 反射型拒绝服务攻击频出现,DNS 成攻击对象 WiFi 安全继续升温, 恶意攻击频发 利字当头, 互联网黑客产业链愈加猖獗 年网络安全防护对策建议 完善政务云服务平台的安全建设和管理 金融机构与安全厂商在支付产业链上加深安全服务合作 多方合力, 共同打击黑客产业链, 净化互联网环境 多措并举, 加强用户信息保护 附录 关于 JSCERT JSCERT 网络安全应急技术支撑单位及信息通报成员单位名单 图表索引 图索引 表索引

8 1 江苏省互联网网络安全概况 2014 年是我国接入国际互联网 20 周年, 也是江苏互联网发展的 20 年 随着 宽带江苏 无线江苏 工程的推进, 以及基础互联网升级改造和资源共享的加快, 江苏互联网取得了飞速发展 截至 2014 年, 江苏省互联网网民数达 4,274 万人, 普及率达 53.8%; 手机网民数达 3,740 万人, 占总体网民的 87.5%; 光缆线路总长度达 万公里, 全国排名第一 ; 省际出口带宽达 8,453G, 全国排名第二 ; 江苏省 IPv4 地址数量为 1,594 万个, 占全国 IPv4 地址总数的 4.8%, 全国排名第五 ; 江苏省域名总数达 836,449 个, 占全国域名总数的 4.1%, 全国排名第七 ; 江苏省备案网站总数达 34.3 万个, 备案网站主体达 27.8 万个 1 网络安全方面,2014 年, 江苏省互联网运行整体平稳, 骨干网各项监测指标正常 但从 JSCERT 接收和自主发现的网络安全事件情况看,2014 年江苏省互联网依然面临着严峻的威胁, 网络窃密 APT 攻击 网站篡改 漏洞攻击 网络钓鱼 僵尸木马病毒 手机恶意程序 拒绝服务攻击等各类网络攻击事件数均位居全国各省前列 据 JSCERT 监测统计,2014 年, 江苏省共发生各类网络安全事件 3,737,597,410 起 2, 其中网站遭篡改事件 15,130 起 网站被挂马事件 814,967 起 网站被境外植入后门事件 11,255 起 网站被黑客曝光存在漏洞事件 960 起 仿冒官方网站进行钓鱼诈骗事件 25,413 起 主机感染僵尸木马病毒成为受控端事件 189, 917,016 起 主机通过僵尸木马病毒发起控制行为事件 188,945,641 起 主机感染飞客蠕虫病毒事件 2,484,285 起 移动互联网用户感染恶意程序事件 3,355,382,743 起, 平均每月感染恶意程序的手机用户 988,509 个 受各类网络攻击威胁的对象包括互联网基础设施, 也包括各级党政机关 高校 金融 大型企业的网络信息系统及广大网民, 网络攻击直接威胁着国家安全以及网民切身利益 1 数据出自 2014 年度 江苏省互联网发展状况报告 2 起 : 网络安全事件计数单位, 计数规则为监测发现的网络安全事件通信频次 -1-

9 1.1 网络安全态势 一 域名系统面临黑客攻击,DNS 服务器成黑客放大拒绝服务攻击的工具 2014 年, 域名系统仍然是江苏省互联网安全的薄弱环节, 是黑客攻击的对象 2014 年 12 月, 江苏省各基础电信运营企业的 DNS 递归服务器三次遭受大规模拒绝服务攻击, 黑客控制大量用户无线路由器 视频监控设备 家用机顶盒等网络设备组成庞大的僵尸网络, 向 DNS 递归服务器发起以某些域名为后缀的泛域名查询, 攻击流量峰值达 400 万 QPS 在 JSCERT 及各基础电信运营企业快速响应处置的情况下, 攻击未对用户访问造成严重影响 3 DNS 服务器在遭受黑客攻击的同时, 也被黑客利用成为发起 DNS 放大攻击的工具 2014 年, 江苏省发生 32 起 DNS 放大攻击事件, 均为省内部分企业自用的未限制循环查询的 DNS 服务器被黑客利用, 向外发起大规模的 DNS 放大型拒绝服务攻击 二 NTP 4 服务器漏洞被利用, 成为大规模拒绝服务攻击工具 NTP 服务器包含一个 monlist 功能, 在收到 monlist 请求后 NTP 服务器最多可返回 100 个响应包, 攻击主机可伪造受害主机 IP 地址向 NTP 服务器发送 monlist 请求,NTP 服务器向受害主机返回大量响应包造成其网络拥塞, 从而达到攻击目的, 属于典型的分布式反射拒绝服务 (DRDoS) 攻击 2014 年, 江苏省 NTP 反射放大攻击事件频发, 且攻击流量逐步增大, 有进一步扩大蔓延的趋势 据 JSCERT 统计, 江苏省共发生 41 起 NTP 反射放大攻击事件, 均为企业 NTP 服务器被黑客利用向外发起反射放大攻击 NTP 反射放大攻击给互联网的正常安全运行带来了极大影响 一方面, 利用 NTP 服务可以把攻击流量轻易放大几十到几百倍, 一旦被黑客大规模利用, 会耗尽 NTP 服务器和路由器的计算资源, 并耗费有限的互联网物理带宽 ; 另一方面, NTP 反射放大攻击隐藏了僵尸主机的 IP 地址, 极大地增加了追踪溯源的难度 5 三 Bash 软件远程命令执行漏洞曝出, 波及大量基础互联网设备 3 DNS 放大攻击 :DNS 放大攻击 (DNS Amplification Attack) 利用回复包比请求包大的特点, 伪造请求包的源 IP 地址, 将应答包引向被攻击的目标, 可以在短时间内向受攻击地址发出巨大的攻击流量 4 NTP: NTP 是网络时间协议 (Network Time Protocol) 的简称, 它可以使计算机对其服务器或时钟源 ( 如 石英钟 GPS 等 ) 做同步化, 提供精准度的时间校正 -2-

10 2014 年 9 月, 据 CNVD 漏洞共享平台通报,Bash 软件被曝存在一个环境变量远程命令执行漏洞, 利用此漏洞黑客可以绕过环境限制远程执行服务器 shell 命令, 获取服务器控制权限 Bash 软件应用极为广泛, 包括 Redhat CentOS Ubuntu Debian 等主流 Linux 及类 Unix 操作系统均受到该漏洞影响 CNVD 漏洞共享平台对此漏洞的综合评级为 高危 据 CNCERT 不完全统计,9 月份已监测发现不少于 2 万台服务器受此漏洞影响, 其中包括大量基础互联网设备 四 政府部门网站篡改 漏洞事件频发, 地市级以下部门网站是重灾区 2014 年, 据 JSCERT 统计, 江苏省共发生 15,130 起网站篡改事件, 其中, 各级党政部门网站遭篡改的事件 646 起, 占被篡改事件总量的 4.27% 2014 年, 江苏省党政部门共发生 960 起网站漏洞事件 在江苏省政府部门网站篡改及网站漏洞事件中, 涉及地市级以下党政部门事件数远高于省厅级政府部门网站事件数, 是事件发生的重灾区, 其网站安全管理及防护能力亟需加强 例如,2014 年江苏省党政部门网站篡改事件中, 省级党政部门网站发生 47 起 地市级党政部门网站发生 413 起 区县级党政部门网站发生 186 起 政府部门网站漏洞事件中, 省厅级政府部门网站漏洞事件 148 起, 地市级政府部门网站漏洞事件 509 起 五 高校和 IDC 机房或成间接网络攻击源, 亟需加强网络安全监管 2014 年, 江苏省各类网络安全事件中, 发生在高校的事件 836,073 起, 其中僵尸木马控制事件 738,683 起, 占高校网络安全事件的 88.35% 2014 年, 江苏省内疑似放马源网站 715 个, 其中 90% 以上的网站部署在基础电信运营企业 IDC 机房 JSCERT 对高校及 IDC 机房网络安全事件进行部分核实后发现, 高校网络安全事件中通过僵尸木马程序发起控制行为的事件均为被动攻击, 即黑客控制了高校主机, 利用高校主机作为跳板控制大批肉机向外发起攻击 ; 在 IDC 机房疑似放马源网站的事件中, 所有放马源网站几乎均为主动攻击, 即 IDC 机房内放马源网站为黑客部署的 专门用于挂马的网站 由此可见, 我省高校和 IDC 机房或成我省间接网络攻击源, 亟需加强网络安全监管 5 Bash 软件 :Bash 软件是一种被广泛使用的解释执行系统命令的 shell 工具, 最初是为 GNU 操作系统开发的, 但能运行于大多数类 Unix 系统的操作系统之上, 包括 Linux 与 Mac OS X v10.4 都将它作为默认 shell -3-

11 六 党政机关和高校网站成钓鱼新目标, 不法分子利用钓鱼网站办假证 2014 年, 江苏省发生针对党政机关网站的钓鱼网站事件 1 起, 涉及 5 个党政机关网站被仿冒, 针对高校网站的钓鱼网站 1 起 不法分子利用网络获取的政府部门组织机构代码证和用户身份证扫描件, 注册 gov 和 edu 域名, 制作高仿党政机关和高校的钓鱼网站, 在网站上提供职称 学历证书查询 教育资格注册申报 会计从业资格信息查询等功能, 通过用户输入的查询信息收集用户的身份证号 姓名 职称号码等隐私信息用于制作假证 虚假官方网站同时导致了大量用户信息被泄露 七 僵尸木马网络打击见成效, 但境外控制行为依然严重 2014 年, 江苏省僵尸木马受控事件 189,917,016 起, 涉及受控 IP 地址 661,639 个, 出现了首次下降, 同比下降 40.36% 但与此同时, 我省被境外控制的情况依然严重 2014 年, 控制江苏省主机的控制端 IP 地址来源最多的国家和地区是葡萄牙 美国 德国和中国香港 其中, 来自葡萄牙的 10 个 IP 地址控制了我省 134,036 个 IP 地址, 占总受控 IP 地址数的 39.68%, 控制频次全年达 104,609,092 次 ; 来自美国的 1,592 个控制端控制了我省 273,585 个 IP 地址, 控制频次全年达 14,776,145 次 八 网络设备被控组成僵尸网络, 发起大规模拒绝服务攻击 2014 年, 据 JSCERT 监测及各基础电信运营企业上报, 江苏省内发生超过 1Gbps 的 DDoS 攻击事件 46,885 起 受攻击的对象包括多个网络游戏运营公司, 也包括青奥会官方网站及全省 DNS 服务器 拒绝服务攻击源方面, 2014 年出现了大量用户无线路由器 家用机顶盒 视频监控设备作为攻击源向外发起大规模拒绝服务攻击, 大部分设备因弱口令等漏洞被黑客利用 2014 年 11 月, 某企业视频监控设备被黑客曝光存在管理后台弱口令和 Web 登录弱口令漏洞, 由此导致该企业大量视频监控设备被黑客控制, 组成了庞大的僵尸网络并向外实施网络安全攻击 据 CNCERT 监测 JSCERT 统计, 2014 年 月两个月, 江苏省该企业用户约 5 万余台视频监控设备被境外 25 个 IP 地址控制, 成为僵尸网络肉机, 向外发起网络安全攻击 九 移动互联网恶意程序感染事件持续高发, 利用可信好友迅速传播 -4-

12 2014 年,JSCERT 发现我省各类移动互联网恶意程序感染事件 3,355,382,743 起, 同比增长 %, 平均每月有 988,509 个用户感染 传播方式方面, 移动互联网恶意程序越来越多地瞄准用户 好友可信 心理, 通过读取用户通讯录 好友列表, 向其好友推送恶意程序链接 例如,2014 年 8 月, 一款名为 XX 神器 的移动互联网恶意程序在我国智能手机用户中快速传播, 全国近百万用户感染, 大部分感染用户操作系统为 Android 系统 受感染的用户手机在用户不知情的情况下向手机通讯录中的所有联系人发送短信, 诱骗联系人点击下载, 下载后继续发送感染其他好友 1.2 网络安全数据导读 2014 年, 江苏省发生 15,130 起网站篡改事件, 同比上升 %, 其中党政部门网站篡改事件 646 起, 占被篡改事件总量的 4.27%, 同比下降 15.22% 地市级以下政府部门网站篡改事件占总党政部门篡改事件的 89.94% 网站篡改类型集中在广告链接和网站黑页, 其中, 广告链接型篡改占总事件的 85.76% 2014, 江苏省各级党政部门网站共发生 960 起安全漏洞事件, 其中省厅级漏洞事件 148 起, 地市级 509 起 网站漏洞类型主要集中在 SQL 注入 弱口令 远程代码执行漏洞, 其中 SQL 注入漏洞事件 574 起, 占总漏洞事件的 59.79% 2014 年, 江苏省发生网站后门攻击事件 11,255 起, 共计 745 个网站被境外植入后门, 南京市发生的网站后门攻击事件最多, 占总事件数的 23.68% 被植入后门的网站中,.com 域名网站 5342 个,.edu 域名网站 778 个,.gov 域名 474 个 2014 年江苏省发生网页仿冒事件 25,413 起, 同比下降 1.55%, 其中虚假购物类的仿冒事件最多, 占总事件数的 42.43% 被仿冒的单位中, 仿冒境外银行网站 16 个 仿冒国内银行网站 3 个 仿冒国内证券网站 7 个 仿冒党政机关网站 1 个 仿冒高校 1 个 2014 年江苏省发生网页挂马事件 814,967 起, 其中疑似放马源网站 715 个 镇江市是网页挂马事件发生的 高发区, 占江苏省网页挂马事件总数的 48.51% 挂马网站中,.com.org 和.fm 域名最多 -5-

13 2014 年江苏省发生僵尸木马受控事件 189,917,016 起, 涉及受控 IP 地址 661,639 个,IP 地址总数出现了首次下降, 同比下降 40.36%, 受控 IP 地址中有 623 个 IP 地址感染了具有 APT 攻击行为的窃密木马, 疑似遭受 APT 攻击 控制江苏省主机的控制端主要来自于境外, 控制频次最高的三个国家为葡萄牙 美国和德国 其中, 来自于葡萄牙的 10 个 IP 地址控制了我省 134,036 个 IP 地址, 占总受控 IP 地址数的 39.68%, 控制频次全年达 104,609,092 次 ; 来自于美国的 1,592 个控制端控制了我省 273,585 个 IP 地址, 控制频次全年 14,776,145 次 2014 年江苏省发生僵尸木马控制事件 188,945,641 起, 涉及僵尸木马控制服务器 IP 地址 4,839 个, 同比下降 71.53% 其中, 徐州市 盐城市和无锡市控制端 IP 地址数占总数的 55.52% 2014 年江苏省发生飞客蠕虫病毒感染事件 2,484,258 起, 涉及 650,348 个 IP 地址被感染, 同比下降 57.32% 南京 苏州和无锡三市感染飞客蠕虫病毒数量占事件总数的 46.14% 党政机关感染事件数为 32,354 起, 涉及 IP 地址 1,072 个 2013 年江苏省移动互联网用户感染恶意程序事件 3,355,382,743 起, 同比增长 % 全年共有 11,862,108 个用户感染, 同比增长 13.30% 安卓(Android) 平台和塞班 (Symbian) 平台是用户感染恶意程序最多的两个手机操作系统, 其中安卓 (Android) 平台全年共有 8,673,762 个用户感染 全省发生网络安全事件总数最多的地域为苏州 南京和无锡市, 事件总数分别为 42,233,593 起 18,685,499 起和 12,681,024 起 ; 网站篡改事件总数最多的地域为苏州 南京和扬州市 ; 网站后门事件总数最多的地域为南京 苏州和无锡市 ; 网页仿冒事件事件总数最多的地域为镇江 苏州和南京市 ; 网页挂马事件事件总数最多的地域为分别为镇江 徐州和常州市 ; 木马僵尸受控事件总数最多的地域为苏州 南京和无锡市 ; 僵尸木马控制事件总数最多的地域为盐城 镇江和扬州市 ; 飞客蠕虫事件总数最多的地域为苏州 南京和无锡市 -6-

14 2 江苏省互联网网络安全状况分析 2.1 网站安全状况分析 网站篡改事件 2014 年, 据 JSCERT 发现统计, 江苏省共发生 15,130 起网站篡改事件, 同比上升 %, 被篡改网站数占全国篡改网站总数的 11.01%, 全国各省中排名第四 年江苏省网站篡改事件总数分布如图 2.1 所示,2014 年江苏省网站篡改事件总数月度分布如图 2.2 所示 图 年江苏省网站篡改事件总数分布图 -7-

15 图 年江苏省网站篡改事件总数月度分布图 攻击动因分析 黑客攻击网站的动因主要以投放广告暗链接的方式取得经济利益, 以及在网站上张贴反动标语的方式进行反动宣传 2014 年, 据 JSCERT 发现统计, 江苏省被篡改的网站中有 105 个网站疑似被境内外黑客组织篡改, 其中 阿呆 黑客组织篡改 30 个 ; 1923Turk 黑客组织篡改 15 个 ; MagelangCybe 黑客组织篡改 10 个 ; 反共黑客 组织篡改 4 个 2014 年黑客组织篡改江苏省网站分布如图 2.3 所示 图 年黑客组织篡改江苏省网站分布图 广告链接型网站篡改事件截图 : -8-

16 图 2.4 广告链接型网站篡改事件截图 网站黑页型网站篡改事件截图 : 图 2.5 网站黑页型网站篡改事件截图 -9-

17 2.1.2 网站后门 6 事件 2014 年, 据 JSCERT 发现统计, 江苏省共发生 11,255 起境外植入后门事件, 共计 745 个网站被境外植入后门, 占全国植入后门网站的 23.44%, 全国各省排名第三 其中, 一月份发生的网站后门事件数最多, 占总事件数的 67.28% 南京市是江苏省被植入网站后门数最多的城市, 占总事件数的 23.68% 被植入后门的网站中,.com 域名网站 5342 个,.edu 域名网站 778 个,.gov 域名 474 个 2014 年江苏省被植入网站后门事件月度分布图和所属域名分布图如图 所示 图 2.6 江苏省网站后门事件月度分布图 图 2.7 江苏省网站后门事件所属域名分布图 6 网站后门, 指黑客利用网站漏洞上传到网站源代码中的脚本文件, 利用脚本文件长期控制网站, 如进 行网站文件操作 服务器提权 数据库操作等 -10-

18 网站后门事件截图 : 图 2.8 网站后门事件截图 网页仿冒事件 2014 年, 据 JSCERT 发现统计, 江苏省内发生的网页仿冒事件 25,413 起, 同 比减少 1.55% 年江苏省网页仿冒事件总数分布和 年江苏省 网页仿冒事件月度分布图, 分别如图 2.9 和 2.10 所示 图 年江苏省网页仿冒事件总数分布图 -11-

19 图 年江苏省网页仿冒事件月度分布图 事件类型分布情况 网页仿冒事件中, 虚假购物 7 类型的仿冒事件最多, 达 10,784 起, 占仿冒事件总数的 42.43%; 销售假药 类型的仿冒事件 2,663 起, 占仿冒事件总数的 10.48% 其中, 被仿冒的单位中, 仿冒境外银行网站 16 个 仿冒国内银行网站 3 个 仿冒国内证券网站 7 个 仿冒党政机关网站 1 个 仿冒高校 1 个 2014 年江苏省仿冒事件所属类型总占比分布如图 2.11 所示 网页仿冒事件类型月度分布如图 2.12 所示 7 虚假购物主要指假淘宝 假手机充值等涉及购物欺诈的钓鱼网站 -12-

20 图 年江苏省网页仿冒事件所属类型分布图 图 年江苏省网页仿冒事件所属类型月度分布图 网页仿冒注册域名类型分布情况 网页仿冒的网站域名类型包括.com.cn.net 等, 其中.com 和.cn 是注册仿冒网站最多的域名类型 2014 年江苏省网页仿冒事件所属域名类型分布如图 2.13 所示 -13-

21 图 年江苏省网页仿冒事件所属域名类型分布图 网页仿冒产业链分析 2014 年, 针对各种娱乐节目的虚假中奖仿冒网站依然十分猖獗 此外,2014 年, 江苏省发生了仿冒党政机关网站和高校网站的钓鱼网站 不法分子利用网络获取的政府部门组织机构代码证和用户身份证扫描件, 在网上注册 gov 和 edu 域名, 并制作高仿党政机关 高校的钓鱼网站, 在网站上提供职称 学历证书查询 教育资格注册申报 会计从业资格信息查询等功能, 通过用户输入信息查询收集用户的身份证号 姓名 职称等信息, 用于制作假证, 并通过 QQ 空间或其他渠道销售假证 网页仿冒事件截图 : 图 2.14 网页仿冒事件截图 -14-

22 2.1.4 网页挂马事件 2014 年, 据 JSCERT 发现统计, 江苏省内网页马挂事件 814,967 起, 其中疑 似放马源网站 715 个 年江苏省网页挂马事件总数分布和 2014 年网页 挂马事件月度分布, 分别如图 2.15 和图 2.16 所示 图 年江苏省网页挂马事件总数分布图 图 年网页挂马事件月度分布图 被挂马网站域名类型分布情况 网页挂马事件中被挂马的网站域名包括.com.org 等, 其中.com.org 和.fm 域名是遭受挂马最多的域名类型, 挂马事件数分别为 593,209 起 156,610 起 10,021 起, 网页挂马事件域名所属类型分布如图 2.17 所示 -15-

23 图 年江苏省网页挂马事件挂马域名所属类型分布图 网页放马源分析 2014 年, 江苏省内疑似放马源网站 715 个, 其中 90% 以上的网站部署在基础电信运营企业 IDC 机房 放马源网站事件中, 所有放马源网站几乎为主动攻击, 即 IDC 机房内放马源网站为黑客部署的 专门用于挂马的网站 由此可见, 我省 IDC 机房存或成我省间接网络攻击源, 是我省网络安全监管的短板 网页挂马事件截图 : 图 2.18 网页挂马事件截图 -16-

24 2.1.5 网站安全管理防护建议 1. 严格把控网站开发环节的安全设计及源码开发 ; 2. 网站上线前及更新功能模块后先扫描漏洞, 确保安全后再上线 ; 3. 保留网站访问日志, 定期分析日志, 及时发现攻击 ; 4. 网站数据库不连互联网, 设置严格的访问限制, 记录数据库下载行为 ; 5. 隐藏网站管理后台, 设置复杂的管理密码和严格的访问限制 2.2 互联网主机安全状况分析 僵尸木马受控端情况 2014 年, 江苏省内被境内外主机通过僵尸木马控制的事件 189,917,016 起, 涉及受控 IP 地址 661,639 个,IP 总数出现了首次下降, 同比下降 40.36%, 受控 IP 地址中有 623 个 IP 地址感染了具有 APT 攻击行为的窃密木马, 疑似遭受 APT 攻击 年江苏省僵尸木马受控事件总数分布图如图 2.19 所示 2014 年江苏省僵尸木马受控事件数和 IP 地址数量月度分布如图 2.20 所示 图 年江苏省僵尸木马受控事件总数分布图 -17-

25 图 年江苏省僵尸木马受控事件数和 IP 地址数量月度分布图 TOP10 受控木马类型分析 僵尸木马受控事件中, 通过感染 Trojan/Win32. Killav Trojan\Win32.Frethoq.ait VirusWin32.Sality.aa sdbot.ela 等病毒而被控制的事件数最多, 分别为 92,461,254 起 36,067,160 起 6,414,693 起 4,038,991 起 实际受控 IP 地址中, 通过感染 Trojan/Win32.Killav MDDOS linux ddos-hkws3 等病毒而被控的 IP 地址数最多, 分别为 155,045 个 41,448 个 23,976 个 IP 地址 受控端所属病毒类型 Top10 如图 2.21 所示 图 年江苏省僵尸木马受控事件感染病毒类型 Top10 分布图 TOP10 控制端国家分析 葡萄牙 美国 德国 中国香港是江苏省僵尸木马受控事件中控制端数量最多的国家和地区 其中, 来自于葡萄牙的 10 个 IP 地址控制了我省 134,036 个 IP 地址, 占总受控 IP 地址数的 39.68%, 控制频次全年达 -18-

26 104,609,092 次 ; 来自于美国的 1,592 个控制端控制了我省 273,585 个 IP 地址, 控 制频次全年 14,776,145 次 境外国家和地区控制江苏省主机分布如图 2.22 所示 图 年江苏省僵尸木马受控事件控制端所属国家和地区 TOP10 分布图 TOP10 受控 IP 地址分析 江苏省内感染僵尸木马病毒成为受控主机的前 10 个 IP 地址中, 事件发生次数最高的 IP 地址全年共被控 5,164,837 次, 且同时被芬兰 葡萄牙 美国 捷克等多个国家控制 2014 年江苏省内僵尸木马受控 TOP10 IP 地址情况如表 2.1 所示 表 年江苏省僵尸木马受控事件 TOP10 受控端 IP 地址表 僵尸木马控制端情况 2014 年, 据 JSCERT 发现统计, 江苏省僵尸木马控制事件 188,945,641 起, 有 4,839 个 IP 地址对应的主机作为僵尸木马控制端与其他国家或地区进行通信, 同比 下降 71.53% 江苏省控制端 IP 地址数全国各省中排名第四 年江苏省 -19-

27 僵尸木马控制事件总数分布, 如图 2.23 所示 2014 年江苏省僵尸木马控制端事件 数及控制端 IP 地址数分布图, 如图 2.24 所示 图 年江苏省僵尸木马控制事件总数分布图 图 年江苏省僵尸木马控制事件月度分布图 控制端病毒类型 TOP10 分析 僵尸木马控制事件中, 控制端主要通过 Ghost 木马及其变种 Trojan-Ransom.Win32.PornoBlocker IMDDOS 等病毒控制受控端, 其中通过 Ghost 木马及其变种病毒控制的 IP 地址数达 100,958 个, 位居首位 ; 通过 Trojan-Ransom.Win32.PornoBlocker 病毒控制受控端的事件频次最高, 达 1,927,898 次 僵尸木马控制病毒所属类型分布如图 2.25 所示 -20-

28 图 年江苏省僵尸木马控制事件感染病毒类型 Top10 分布图 TOP10 控制端 IP 地址分析 江苏省内僵尸木马控制端的前十个 IP 地址中, 事件发生次数最高的 IP 地址为 218.* , 全年共发现控制频次 41,543,376 次, 实际控制的 IP 地址数达 90,138 个 僵尸木马控制端 IP 地址如表 2.2 所示 表 年江苏省僵尸木马受控事件 TOP10 控制端 IP 地址表 互联网主机感染飞客蠕虫情况 2014 年, 据 JSCERT 发现统计, 江苏省内感染飞客蠕虫病毒事件 2,484,285 起, 涉及 650,348 个 IP 地址, 同比下降 57.32% 江苏感染 IP 地址数在全国各省中排名第三 2012 年至 2014 年感染飞客蠕虫病毒事件数分布如图 2.26 所示 2014 年飞客蠕虫病毒事件月度分布如图 2.27 所示 -21-

29 图 年江苏省飞客蠕虫病毒事件总数分布图 图 年江苏省飞客蠕虫病毒事件月度分布图 感染 IP 地址 TOP10 分析 JSCERT 对感染飞客蠕虫病毒通信频次最高的前十个 IP 地址进行统计, 发现通信频次最高的 IP 地址全年飞客蠕虫病毒通信 225 次 感染飞客蠕虫病毒的 IP 地址分布如表 2.3 所示 -22-

30 表 年江苏省飞客蠕虫病毒事件 TOP10 感染 IP 地址表 主机及设备安全管理防护建议 主机安全篇 1. 安装杀毒软件, 定期杀毒 及时修补漏洞 ; 2. 设置复杂的登录口令 ; 3. 不点击来历不明的邮件, 尤其是邮件附件 ; 4. 不浏览色情 赌博等非正规网站 ; 5. 不连接免费 Wi-Fi 设备安全篇 1. 除因必要, 关闭设备 telnet SSH 3389 等远程管理功能 ; 2. 不使用默认的 简单的登录用户名和密码 ; 3. 关注设备型号的漏洞信息, 及时升级安装补丁 ; 4. 定期检查设备异常, 及时发现黑客攻击 2.3 移动互联网安全状况分析 移动互联网恶意程序感染的总体情况 随着智能手机等移动互联网终端逐步普及, 越来越多的移动互联网安全问题 也随之出现 2014 年,JSCERT 发现各类移动互联网恶意程序感染事件 3,355,382,743 起, 同比增长 %, 平均每月有 988,509 个用户感染

31 年江苏省移动互联网恶意程序感染事件总数分布, 如图 2.28 所示 2014 年感染的 事件数和用户数月度分布, 如图 2.29 所示 图 年江苏省移动互联网恶意程序感染事件总数分布图 图 年江苏省移动互联网恶意程序感染的事件数和用户数月度分布图 移动互联网恶意程序类型分析 根据通信行业标准 YD/T 移动互联网恶意程序描述格式 的规定, 移动互联网恶意程序主要分为恶意扣费 隐私窃取 远程控制 恶意传播 资费消耗 系统破坏 诱骗欺诈 流氓行为等类型 其中, 恶意扣费 隐私窃取和远程控制的危害级别最高 2014 年,JSCERT 发现感染用户数最多的恶意程序类型 -24-

32 为隐私窃取和远程控制类恶意程序, 两种恶意程序感染事件数占总事件数的 88.36% 具体类型分布如图 2.30 所示 图 年江苏省移动互联网恶意程序事件类型分布图 移动互联网恶意程序感染平台分析 2014 年,JSCERT 发现安卓 (Android) 平台和塞班 (Symbian) 平台是用户感染恶意程序最多的两个手机操作系统 其中安卓 (Android) 平台用户数最多, 全年共有 8,673,762 个用户感染, 塞班 (Symbian) 平台全年共有 1,852,409 个用户感染 2014 年江苏省移动互联网恶意程序事件所属平台分布如图 2.31 所示 图 年江苏省移动互联网恶意程序事件所属平台分布图 -25-

33 2.3.4 移动互联网恶意程序 TOP10 分析 2014 年, 江苏省移动互联网恶意程序中感染用户数最多的前三种病毒分别为 Waps.a uuserv.a TunkooScan.a 病毒 Waps.a 病毒的主要行为是不定时的推送通知栏广告, 诱骗用户点击, 用户点击之后会下载未知应用并诱导用户安装, 具有诱骗欺诈行为 ;uuserv.a 病毒主要是会在用户不知情的情况下窃取隐私信息, 造成用户信息泄露 TunkooScan.a 病毒会在用户不知情的情况下通过后台窃取用户手机号码 IMEI 号 IMSI 号 用户联网 IP 地址 用户手机当前位臵信息 用户手机上所有已安装的应用程序信息以及当前系统运行任务信息等, 并将窃取到的用户信息进行压缩后上传到远端服务器 具体 TOP10 病毒类型感染情况如图 2.32 所示 图 年江苏省移动互联网恶意程序事件病毒类型 Top10 分布图 移动互联网安全防护建议 手机安全篇 1. 安装手机杀毒软件 ; 2. 从正规的 大型的应用商店上下载应用程序 ; 3. 不扫描安全性未知的二维码 ; 4. 不点击安全性未知的短信 彩信 朋友圈中的网站链接 -26-

34 安全购物篇 1. 不在公共的 免费的 Wi-Fi 环境下进行移动支付 ; 2. 不随意告诉他人自己手机上收到的验证码 ; 3. 及时更新购物类 移动支付类应用程序版本 ; 4. 不轻易支付他人发来的支付交易 -27-

35 3 区域和重点行业网络安全状况分析 3.1 区域互联网安全事件综述 2014 年, 据 JSCERT 发现统计, 全省发生网络安全事件总数排前三的市为苏州 南京和无锡, 事件总数分别为 42,233,593 起 18,685,499 起和 12,681,024 起 ; 其中网站篡改事件总数排前三的市分别为苏州 南京和扬州 ; 网站后门事件总数排前三的市分别为南京 苏州和无锡 ; 网页仿冒事件事件总数排前三的市分别为镇江 苏州和南京 ; 网页挂马事件总数排前三的市分别为镇江 徐州和常州 ; 木马僵尸受控事件总数排前三的市分别为苏州 南京和无锡 ; 僵尸木马控制事件总数排前三的市分别为盐城 镇江和扬州 ; 飞客蠕虫事件总数排前三的市分别为苏州 南京和无锡 各市发生的网络安全事件数量与其互联网发展水平基本成正比, 各市网络安全事件总数及各类网络安全事件数排名如图 所示 图 年江苏省网络安全事件区域分布图 -28-

36 图 年江苏省网站篡改事件区域分布图 图 年江苏省网站后门事件区域分布图 图 年江苏省网页仿冒事件区域分布图 -29-

37 图 年江苏省网页挂马事件区域分布图 图 年江苏省僵尸木马受控事件区域分布图 图 年江苏省僵尸木马控制事件区域分布图 -30-

38 图 年江苏省飞客蠕虫事件区域分布图 3.2 区域网络安全状况分析 南京市互联网安全状况 2014 年, 南京市发生的各类网络安全事件数共 18,685,499 起, 其中主机类病毒事件中最多的是僵尸木马受控事件, 达 18,321,114 起, 涉及 IP 地址 73,639 个 网站类网络安全事件中最多的是网页仿冒事件, 达 2,971 起 南京市主机病毒类网络安全事件及涉事 IP 地址数分布如图 3.9 所示, 网站类安全事件分布如图 3.10 所示 图 年南京市主机病毒类网络安全事件分布图 -31-

39 图 年南京市网站类网络安全事件分布图 2014 年, 南京市全年主机病毒安全事件,12 月份发生事件最多, 达 306,882 起, 涉及 16,299 个 IP 地址 网站安全事件 8 月最多, 达 55,379 起 2014 年南京市主机病毒事件月度分布和网站安全事件月度分布分别如图 3.11 和 3.12 所示 图 年南京市主机病毒事件网络安全事件月度分布图 -32-

40 图 年南京市网站安全事件月度分布图 主机病毒事件行业分析 2014 年, 南京市主机病毒安全事件共 317,488 起, 其中发生在高校的僵尸木马受控事件最多, 达 217,860 起 2014 年南京市网络安全事件按行业分布如图 3.13 所示 图 年南京市主机病毒事件行业分布图 网站篡改事件月度分析 -33-

41 2014 年, 南京市网站篡改事件中, 发生在各级党政部门的事件 86 起, 占南京 市网站篡改事件的 1.79% 党政网站篡改中 2 月份篡改事件较多 2014 年南京市 党政部门网站篡改事件月度分布如图 3.14 所示 图 年南京市党政部门网站篡改事件月度分布图 南京市网络安全监管建议 2014 年, 南京市发生的主机病毒事件中, 僵尸木马受控事件数量最多, 且较集中发生在各大高校 南京市针对各大高校的网络安全监管亟需加强 此外, 南京市发生的网页仿冒事件较多, 仿冒类型多为虚假购物类, 建议相关部门对虚假交易类网站加大监管力度 苏州市互联网安全状况 2014 年, 苏州市发生的各类网络安全事件数共 42,233,593 起, 其中主机类病毒事件中最多的是僵尸木马受控事件, 达 41,804,602 起, 涉及 IP 地址 133,615 个 网站类网络安全事件中最多的是网站篡改事件, 达 5,804 起 苏州市主机病毒类网络安全事件及涉事 IP 地址数分布如图 3.15 所示, 网站类安全事件分布如图 3.16 所示 -34-

42 图 年苏州市主机病毒类网络安全事件分布图 图 年苏州市网站类网络安全事件分布图 2014 年, 苏州市全年主机病毒安全事件,8 月份发生事件最多, 达 506,057 起, 涉及 18,793 个 IP 地址 网站安全事件 5 月最多, 达 3,248 起 2014 年南京市主机病毒事件月度分布和网站安全事件月度分布分别如图 3.17 和 3.18 所示 -35-

43 图 年苏州市主机病毒事件网络安全事件月度分布图 图 年苏州市网站安全事件网络安全事件月度分布图 主机病毒事件行业分析 2014 年, 苏州市主机病毒安全事件共 397,582 起, 其中发生在党政部门的僵尸木马受控事件最多, 达 330,475 起 2014 年南京市网络安全事件按行业分布如图 3.19 所示 -36-

44 图 年苏州市主机病毒事件行业分布图 网站篡改事件月度分析 2014 年, 苏州市网站篡改事件中, 发生在各级党政部门的事件 66 起, 占苏州市网站篡改事件的 1.03% 党政网站篡改中 7 8 月份篡改事件较多 2014 年南京市党政部门网站篡改事件月度分布如图 3.20 所示 图 年苏州市党政部门网站篡改事件月度分布图 苏州市网络安全监管建议 2014 年, 苏州市发生的主机病毒事件中, 大量事件发生在各级党政部门, 且事件类型多为感染僵尸木马病毒, 个别单位感染了具有 APT 攻击特征的窃密木马, 极易造成网络失泄密事件 建议苏州市各级党政部门加强针对互联网主机的安全 -37-

45 管理, 如统一互联网出口 部署安全攻击监测平台等 此外, 苏州市发生的网站 篡改事件最多, 各市排名第一, 建议苏州市加强对各单位门户网站的安全防护和 管理 无锡市互联网安全状况 2014 年, 无锡市发生的各类网络安全事件数共 12,681,024 起, 其中主机类病毒事件中最多的是僵尸木马受控事件, 达 12,427,190 起, 涉及 IP 地址 56,687 个 网站类网络安全事件中最多的是网页仿冒事件, 达 1,282 起 无锡市主机病毒类网络安全事件及涉事 IP 地址数分布如图 3.21 所示, 网站类安全事件分布如图 3.22 所示 图 年无锡市主机病毒类网络安全事件分布图 图 年无锡市网站类网络安全事件分布图 -38-

46 2014 年, 无锡市全年主机病毒安全事件,12 月份发生事件最多, 达 68,706 起, 涉及 14,653 个 IP 地址 网站安全事件 1 月最多, 达 1,118 起 2014 年无锡市主机 病毒事件月度分布和网站安全事件月度分布分别如图 3.23 和 3.24 所示 图 年无锡市主机病毒事件网络安全事件月度分布图 图 年无锡市网站安全事件网络安全事件月度分布图 主机病毒事件行业分析 2014 年, 无锡市主机病毒安全事件共 83,692 起, 其中发生在高校的僵尸木马受控事件最多, 达 60,646 起 2014 年无锡市网络安全事件按行业分布如图 3.25 所示 -39-

47 图 年无锡市主机病毒事件行业分布图 网站篡改事件月度分析 2014 年, 无锡市网站篡改事件中, 发生在各级党政部门的事件 45 起, 占无锡市网站篡改事件的 2.15% 党政网站篡改中 5 月份篡改事件较多 2014 年南京市党政部门网站篡改事件月度分布如图 3.26 所示 图 年无锡市党政部门网站篡改事件月度分布图 无锡市网络安全监管建议 2014 年, 无锡市发生的主机病毒事件中, 僵尸木马受控事件数量最多, 很多事 件发生在无锡市各大高校 无锡市针对高校的网络安全监管亟需加强 此外, 无 -40-

48 锡市发生的网页仿冒事件较多, 仿冒类型多为虚假购物类, 建议相关部门对虚假 交易类网站加大监管力度 镇江市互联网安全状况 2014 年, 镇江市发生的各类网络安全事件数共 4,906,423 起, 其中主机类病毒事件中最多的是僵尸木马受控事件, 达 4,451,304 起, 涉及 IP 地址 20,347 个 网站类网络安全事件中最多的是网页挂马事件, 达 395,304 起 镇江市主机病毒类网络安全事件及涉事 IP 地址数分布如图 3.27 所示, 网站类安全事件分布如图 3.28 所示 图 年镇江市主机病毒类网络安全事件分布图 图 年镇江市网站类网络安全事件分布图 -41-

49 2014 年, 镇江市全年主机病毒安全事件,12 月份发生事件最多, 达 97,311 起, 涉及 3,340 个 IP 地址 网站安全事件 10 月最多, 达 240,415 起 2014 年镇江市主 机病毒事件月度分布和网站安全事件月度分布分别如图 3.29 和 3.30 所示 图 年镇江市主机病毒事件网络安全事件月度分布图 图 年镇江市网站安全事件网络安全事件月度分布图 主机病毒事件行业分析 2014 年, 镇江市主机病毒安全事件共 43,354 起, 其中发生在党政部门的僵尸木马受控事件最多, 达 33,080 起 2014 年镇江市网络安全事件按行业分布如图 3.31 所示 -42-

50 图 年镇江市主机病毒事件行业分布图 网站篡改事件月度分析 2014 年, 镇江市网站篡改事件中, 发生在各级党政部门的事件 38 起, 占镇江市网站篡改事件的 6.26% 党政部门网站篡改中 12 月份篡改事件较多 2014 年镇江市党政部门网站篡改事件月度分布如图 所示 图 年镇江市党政部门网站篡改事件月度分布图 镇江市网络安全监管建议 2014 年, 镇江市发生的网页仿冒和网页放马事件数均位居全省各市第一位 经核实, 镇江市的网页仿冒和网页放马事件大部分集中在某 IDC 机房, 且事件性 -43-

51 质大部分为主动攻击, 即黑客专门在 IDC 机房内部署网站, 用于钓鱼诈骗和传播 木马 建议相关部门加大对 IDC 机房的网络安全监管 常州市互联网安全状况 2014 年, 常州市发生的各类网络安全事件数共 11,286,226 起, 其中主机类病毒事件中最多的是僵尸木马受控事件, 达 11,159,254 起, 涉及 IP 地址 30,548 个 网站类网络安全事件中最多的是网页挂马事件, 达 7,138 起 常州市主机病毒类网络安全事件及涉事 IP 地址数分布如图 3.33 所示, 网站类安全事件分布如图 3.34 所示 图 年常州市主机病毒类网络安全事件分布图 -44-

52 图 年常州市网站类网络安全事件分布图 2014 年, 常州市全年主机病毒安全事件,11 月份发生事件最多, 达 145,385 起, 涉及 6,295 个 IP 地址 网站安全事件 7 月最多, 达 5,550 起 2014 年常州市主机病毒事件月度分布和网站安全事件月度分布分别如图 3.35 和 3.36 所示 图 年常州市主机病毒事件网络安全事件月度分布图 -45-

53 图 年常州市网站安全事件网络安全事件月度分布图 主机病毒事件行业分析 2014 年, 常州市主机病毒安全事件共 211,932 起, 其中发生在党政部门的僵尸木马受控事件最多, 达 149,801 起 2014 年常州市网络安全事件按行业分布如图 3.37 所示 图 年常州市主机病毒事件行业分布图 网站篡改事件月度分析 -46-

54 2014 年, 常州市网站篡改事件中, 发生在各级党政部门的事件 27 起, 占常州 市网站篡改事件的 5.03% 党政部门网站篡改中 4 月份篡改事件较多 2014 年常 州市党政部门网站篡改事件月度分布如图 3.38 所示 图 年常州市党政部门网站篡改事件月度分布图 常州市网络安全监管建议 2014 年, 常州市发生的僵尸木马受控事件和网页挂马事件较多 经核实, 大量事件发生在常州市某 IDC 机房, 建议相关部门加大对 IDC 机房的网络安全监管 此外,2014 年, 常州市部分党政部门感染僵尸木马病毒成为受控端, 个别单位感染了具有 APT 攻击特征的窃密木马, 极易造成网络失泄密事件 建议常州市各级党政部门加强针对互联网主机的安全管理, 如统一互联网出口 部署安全攻击监测平台等 南通市互联网安全状况 2014 年, 南通市发生的各类网络安全事件数共 8,118,581 起, 其中主机类病毒事件中最多的是僵尸木马受控事件, 达 80,025,365 起, 涉及 IP 地址 29,486 个 网站类网络安全事件中最多的是网页挂马事件, 达 3,975 起 南通市主机病毒类网络安全事件及涉事 IP 地址数分布如图 3.39 所示, 网站类安全事件分布如图 3.40 所示 -47-

55 图 年南通市主机病毒类网络安全事件分布图 图 年南通市网站类网络安全事件分布图 2014 年, 南通市全年主机病毒安全事件,12 月份发生事件最多, 达 66,753 起, 涉及 8,020 个 IP 地址 网站安全事件 11 月最多, 达 2,421 起 2014 年南通市主机病毒事件月度分布和网站安全事件月度分布分别如图 3.41 和 3.42 所示 -48-

56 图 年南通市主机病毒事件网络安全事件月度分布图 图 年南通市网站安全事件网络安全事件月度分布图 主机病毒事件行业分析 2014 年, 南通市主机病毒安全事件共 23,442 起, 其中发生在党政部门的僵尸木马受控事件最多, 达 12,227 起 2014 年南通市网络安全事件按行业分布如图 3.43 所示 -49-

57 图 年南通市主机病毒事件行业分布图 网站篡改事件月度分析 2014 年, 南通市网站篡改事件中, 发生在各级党政部门的事件 35 起, 占南通市网站篡改事件的 28.68% 党政部门网站篡改中 1 月份和 5 月份篡改事件较多 2014 年南通市党政部门网站篡改事件月度分布如图 3.44 所示 图 年南通市党政部门网站篡改事件月度分布图 南通市网络安全监管建议 2014 年, 南通市发生的僵尸木马受控事件中, 大量受控地址为视频监控设备, 建议相关部门对自建的视频监控设备进行漏洞加固, 加强安全管理 此外,

58 年, 南通市发生的网页挂马事件大量集中在南通市某 IDC 机房, 建议相关部门加 强对 IDC 机房的网络安全监管 泰州市互联网安全状况 2014 年, 泰州市发生的各类网络安全事件数共 5,228,668 起, 其中主机类病毒事件中最多的是僵尸木马受控事件, 达 5,187,098 起, 涉及 IP 地址 17,007 个 网站类网络安全事件中最多的是网页仿冒事件, 达 386 起 泰州市主机病毒类网络安全事件及涉事 IP 地址数分布如图 3.45 所示, 网站类安全事件分布如图 3.46 所示 图 年泰州市主机病毒类网络安全事件分布图 图 年泰州市网站类网络安全事件分布图 -51-

59 2014 年, 泰州市全年主机病毒安全事件,4 月份发生事件最多, 达 35,814 起, 涉及 4,411 个 IP 地址 网站安全事件 10 月最多, 达 321 起 2014 年南京市主机病 毒事件月度分布和网站安全事件月度分布分别如图 3.47 和 3.48 所示 图 年泰州市主机病毒事件网络安全事件月度分布图 图 年泰州市网站安全事件网络安全事件月度分布图 主机病毒事件行业分析 2014 年, 泰州市主机病毒安全事件共 117,099 起, 其中发生在党政部门的僵尸木马受控事件最多, 达 115,431 起 2014 年泰州市网络安全事件按行业分布如图 3.49 所示 -52-

60 图 年泰州市主机病毒事件行业分布图 网站篡改事件月度分析 2014 年, 泰州市网站篡改事件中, 发生在各级党政部门的事件 50 起, 占泰州市网站篡改事件的 56.81% 党政部门网站篡改中 7 月份篡改事件较多 2014 年泰州市党政部门网站篡改事件月度分布如图 3.50 所示 图 年泰州市党政部门网站篡改事件月度分布图 泰州市网络安全监管建议 -53-

61 2014 年, 泰州市发生的僵尸木马受控事件中, 大量受控地址为视频监控设备, 建议相关部门对自建的视频监控设备进行漏洞加固, 加强安全管理 此外,2014 年, 泰州市发生的网页仿冒事件较多, 且多为虚假购物类, 建议相关部门对虚假交易网站加大管理力度 扬州市互联网安全状况 2014 年, 扬州市发生的各类网络安全事件数共 8,013,316 起, 其中主机类病毒事件中最多的是僵尸木马受控事件, 达 7,945,152 起, 涉及 IP 地址 30,208 个 网站类网络安全事件中最多的是网页挂马事件, 达 3,187 起 扬州市主机病毒类网络安全事件及涉事 IP 地址数分布如图 3.51 所示, 网站类安全事件分布如图 3.52 所示 图 年扬州市主机病毒类网络安全事件分布图 -54-

62 图 年扬州市网站类网络安全事件分布图 2014 年, 扬州市全年主机病毒安全事件,12 月份发生事件最多, 达 456,018 起, 涉及 13,726 个 IP 地址 网站安全事件 2 月最多, 达 2,252 起 2014 年扬州市主机病毒事件月度分布和网站安全事件月度分布分别如图 3.53 和 3.54 所示 图 年扬州市主机病毒事件网络安全事件月度分布图 -55-

63 图 年扬州市网站安全事件网络安全事件月度分布图 主机病毒事件行业分析 2014 年, 扬州市主机病毒安全事件共 174,732 起, 其中发生在金融的僵尸木马受控事件最多, 达 144,300 起 2014 年扬州市网络安全事件按行业分布如图 3.55 所示 图 年扬州市主机病毒事件行业分布图 网站篡改事件月度分析 -56-

64 2014 年, 扬州市网站篡改事件中, 发生在各级党政部门的事件 57 起, 占扬州 市网站篡改事件的 8.28% 党政部门网站篡改中 10 月份篡改事件较多 2014 年扬 州市党政部门网站篡改事件月度分布如图 3.56 所示 图 年扬州市党政部门网站篡改事件月度分布图 扬州市网络安全监管建议 2014 年, 扬州市金融部门发生大量僵尸木马受控事件, 经核查, 大部门受控地址为视频监控设备使用, 建议相关部门对自建的视频监控设备进行漏洞加固, 加强安全管理 此外,2014 年, 扬州市发生的网页挂马事件大量集中在扬州市某 IDC 机房, 建议相关部门加强对 IDC 机房的网络安全监管 盐城市互联网安全状况 2014 年, 盐城市发生的各类网络安全事件数共 6,982,672 起, 其中主机类病毒事件中最多的是僵尸木马受控事件, 达 6,923,517 起, 涉及 IP 地址 49,801 个 网站类网络安全事件中最多的是网页挂马事件, 达 509 起 盐城市主机病毒类网络安全事件及涉事 IP 地址数分布如图 3.57 所示, 网站类安全事件分布如图 3.58 所示 -57-

65 图 年盐城市主机病毒类网络安全事件分布图 图 年盐城市网站类网络安全事件分布图 2014 年, 盐城市全年主机病毒安全事件,12 月份发生事件最多, 达 37,601 起, 涉及 11,156 个 IP 地址 网站安全事件,3 月最多, 达 410 起 2014 年盐城市主机病毒事件月度分布和网站安全事件月度分布分别如图 3.59 和 3.60 所示 -58-

66 图 年盐城市主机病毒事件网络安全事件月度分布图 图 年盐城市网站安全事件网络安全事件月度分布图 主机病毒事件行业分析 2014 年, 盐城市主机病毒安全事件共 46,287 起, 其中发生在高校的僵尸木马 受控事件最多, 达 16,664 起 2014 年盐城市网络安全事件按行业分布如图 3.61 示 -59-

67 图 年盐城市主机病毒事件行业分布图 网站篡改事件月度分析 2014 年, 盐城市网站篡改事件中, 发生在各级党政部门的事件 46 起, 占盐城市网站篡改事件的 53.48% 党政部门网站篡改中 12 月份篡改事件较多 2014 年盐城市党政部门网站篡改事件月度分布如图 3.62 所示 图 年盐城市党政部门网站篡改事件月度分布图 盐城市网络安全监管建议 2014 年, 盐城市发生的僵尸木马控制事件数位居全省各市第一位, 已成江苏 省僵尸木马控制事件的 发起源 经核实, 盐城市发起控制行为的大部分地址为用 -60-

68 户的动态地址, 存在用户主机被黑客利用作为跳板向外发起攻击的可能 建议电信部门加大对用户主机安全事件的协调处置力度, 相关部门采取措施提高用户的网络安全意识 此外,2014 年, 盐城市发生的僵尸木马受控事件中, 大量受控地址为视频监控设备, 建议相关部门对自建的视频监控设备进行漏洞加固, 加强安全管理 淮安市互联网安全状况 2014 年, 淮安市发生的各类网络安全事件数共 3,638,348 起, 其中主机类病毒事件中最多的是僵尸木马受控事件, 达 36,027,794 起, 涉及 IP 地址 20,182 个 网站类网络安全事件中最多的是网页仿冒事件, 达 184 起 淮安市主机病毒类网络安全事件及涉事 IP 地址数分布如图 3.63 所示, 网站类安全事件分布如图 3.64 所示 图 年淮安市主机病毒类网络安全事件分布图 -61-

69 图 年淮安市网站类网络安全事件分布图 2014 年, 淮安市全年主机病毒安全事件,11 月份发生事件最多, 达 83,435 起, 涉及 2,708 个 IP 地址 网站安全事件 6 月最多, 达 352 起 2014 年淮安市主机病毒事件月度分布和网站安全事件月度分布分别如图 3.65 和 3.66 所示 图 年淮安市主机病毒事件网络安全事件月度分布图 -62-

70 图 年淮安市网站安全事件网络安全事件月度分布图 主机病毒事件行业分析 2014 年, 淮安市主机病毒安全事件共 24,801 起, 其中发生在党政部门的僵尸木马受控事件最多, 达 18,814 起 2014 年淮安市网络安全事件按行业分布如图 3.67 所示 图 年淮安市主机病毒事件行业分布图 网站篡改事件月度分析 -63-

71 2014 年, 淮安市网站篡改事件中, 发生在各级党政部门的事件 24 起, 占淮安 市网站篡改事件的 26.66% 党政部门网站篡改中 2 月份篡改事件较多 2014 年淮 安市党政部门网站篡改事件月度分布如图 3.68 所示 图 年淮安市党政部门网站篡改事件月度分布图 淮安市网络安全监管建议 2014 年, 淮安市发生的僵尸木马受控事件中, 大量受控地址为视频监控设备, 建议相关部门对自建的视频监控设备进行漏洞加固, 加强安全管理 此外,2014 年, 淮安市发生的网页仿冒事件较多, 仿冒类型多为虚假购物类, 建议相关部门对虚假交易类网站加大监管力度 连云港市互联网安全状况 2014 年, 连云港市发生的各类网络安全事件数共 3,821,788 起, 其中主机类病毒事件中最多的是僵尸木马受控事件, 达 3,793,399 起, 涉及 IP 地址 20,396 个 网站类网络安全事件中最多的是网站篡改事件, 达 98 起 连云港市主机病毒类网络安全事件及涉事 IP 地址数分布如图 3.69 所示, 网站类安全事件分布如图 3.70 所示 -64-

72 图 年连云港市主机病毒类网络安全事件分布图 图 年连云港市网站类网络安全事件分布图 2014 年, 连云港市全年主机病毒安全事件,12 月份发生事件最多, 达 20,382 起, 涉及 3,377 个 IP 地址 网站安全事件 4 月最多, 达 45 起 2014 年连云港市主 -65-

73 机病毒事件月度分布和网站安全事件月度分布分别如图 3.71 和 3.72 所示 图 年连云港市主机病毒事件网络安全事件月度分布图 图 年连云港市网站安全事件网络安全事件月度分布图 主机病毒事件行业分析 2014 年, 连云港市主机病毒安全事件共 28,730 起, 其中发生在党政部门的僵尸木马受控事件最多, 达 26,240 起 2014 年连云港市网络安全事件按行业分布如图 3.73 所示 -66-

74 图 年连云港市主机病毒事件行业分布图 网站篡改事件月度分析 2014 年, 连云港市网站篡改事件中, 发生在各级党政部门的事件 30 起, 占连云港市网站篡改事件的 15.70% 党政部门网站篡改中 9 月份篡改事件较多 2014 年连云港市党政部门网站篡改事件月度分布如图 3.74 所示 图 年连云港市党政部门网站篡改事件月度分布图 连云港市网络安全监管建议 2014 年, 连云港市发生的僵尸木马受控事件中, 大量受控地址为视频监控设 备, 建议相关部门对自建的视频监控设备进行漏洞加固, 加强安全管理 此外, -67-

75 2014 年, 连云港市部分党政部门互联网主机感染了具有 APT 攻击特征的窃密木马 和远程控制木马, 与控制端频繁连接, 潜在危害严重 建议连云港市相关部门加 强互联网主机的安全管理和攻击监测 宿迁市互联网安全状况 2014 年, 宿迁市发生的各类网络安全事件数共 4,310,596 起, 其中主机类病毒事件中最多的是僵尸木马受控事件, 达 4,291,220 起, 涉及 IP 地址 17,713 个 网站类网络安全事件中最多的是网页挂马冒事件, 达 2,028 起 宿迁市主机病毒类网络安全事件及涉事 IP 地址数分布如图 3.75 所示, 网站类安全事件分布如图 3.76 所示 图 年宿迁市主机病毒类网络安全事件分布图 图 年宿迁市网站类网络安全事件分布图 -68-

76 2014 年, 宿迁市全年主机病毒安全事件,2 月份发生事件最多, 达 433,060 起, 涉及 1,619 个 IP 地址 网站安全事件 5 月最多, 达 18,468 起 2014 年宿迁市主机 病毒事件月度分布和网站安全事件月度分布分别如图 3.77 和 3.78 所示 图 年宿迁市主机病毒事件网络安全事件月度分布图 图 年宿迁市网站安全事件网络安全事件月度分布图 主机病毒事件行业分析 2014 年, 宿迁市主机病毒安全事件共 3,234,626 起, 其中发生在高校的僵尸木马受控事件最多, 达 3,215,257 起 2014 年宿迁市网络安全事件按行业分布如图 3.79 所示 -69-

77 图 年宿迁市主机病毒事件行业分布图 网站篡改事件月度分析 2014 年, 宿迁市网站篡改事件中, 发生在各级党政部门的事件 27 起, 占宿迁市网站篡改事件的 58.69% 党政部门网站篡改中 4 月份篡改事件较多 2014 年宿迁市党政部门网站篡改事件月度分布如图 3.80 所示 图 年宿迁市党政部门网站篡改事件月度分布图 宿迁市网络安全监管建议 -70-

78 2014 年, 宿迁市发生的僵尸木马受控事件中, 大量受控地址为视频监控设备, 建议相关部门对自建的视频监控设备进行漏洞加固, 加强安全管理 此外,2014 年, 宿迁市发生的网页挂马事件大量集中在宿迁市某 IDC 机房, 建议相关部门加强对 IDC 机房的网络安全监管 徐州市互联网安全状况 2014 年, 徐州市发生的各类网络安全事件数共 10,544,225 起, 其中主机类病毒事件中最多的是僵尸木马受控事件, 达 10,458,529 起, 涉及 IP 地址 47,765 个 网站类网络安全事件中最多的是网页挂马事件, 达 14,111 起 徐州市主机病毒类网络安全事件及涉事 IP 地址数分布如图 3.81 所示, 网站类安全事件分布如图 3.82 所示 图 年徐州市主机病毒类网络安全事件分布图 -71-

79 图 年徐州市网站类网络安全事件分布图 2014 年, 徐州市全年主机病毒安全事件,1 月份发生事件最多, 达 56,847 起, 涉及 7,373 个 IP 地址 网站安全事件,11 月最多, 达 6,889 起 2014 年徐州市主机病毒事件月度分布和网站安全事件月度分布分别如图 3.83 和 3.84 所示 图 年徐州市主机病毒事件网络安全事件月度分布图 -72-

80 图 年徐州市网站安全事件网络安全事件月度分布图 主机病毒事件行业分析 2014 年, 徐州市主机病毒安全事件共 253,767 起, 其中发生在高校的僵尸木马受控事件最多, 达 190,366 起 2014 年徐州市网络安全事件按行业分布如图 3.85 所示 图 年徐州市主机病毒事件行业分布图 网站篡改事件月度分析 -73-

81 2014 年, 徐州市网站篡改事件中, 发生在各级党政部门的事件 21 起, 占徐州 市网站篡改事件的 33.87% 党政部门网站篡改中 4 月份篡改事件较多 2014 年徐 州市党政部门网站篡改事件月度分布如图 3.86 所示 图 年徐州市党政部门网站篡改事件月度分布图 徐州市网络安全监管建议 2014 年, 徐州市上百个党政部门互联网主机感染了具有 APT 攻击特征的窃密木马和远程控制木马, 与控制端连接十分频繁, 潜在危害严重 同时, 徐州市发生的僵尸木马受控事件中, 大量受控地址为视频监控设备 建议徐州市相关部门加强互联网主机的安全管理和攻击监测, 加强对自建的视频监控设备进行漏洞加固和安全管理 此外,2014 年, 徐州市发生的网页挂马事件大量集中在徐州市某 IDC 机房, 建议相关部门加强对 IDC 机房的网络安全监管 3.3 重点行业互联网安全状况分析 党政 金融 高校等行业由于其政治 经济利益等因素, 是黑客攻击的重点 目标 2014 年, 据 JSCERT 发现统计, 江苏省各类网络安全事件中, 发生在重点 高校的事件 836,073 起, 其中僵尸木马控制事件 738,683 起, 占高校事件的 88.35%; -74-

82 发生在党政机关的事件 108,374 起 ; 发生在金融行业的事件 5,357 起 ; 发生在大型企业的事件 526,568 起 各行业网络安全事件分布及占比如图 3.87 所示 JSCERT 对高校网络安全事件进行部分核实后发现, 高校网络安全事件中僵尸木马控制事件均为被动攻击, 即黑客控制了高校主机, 利用高校主机作为跳板控制大批肉机向外发起攻击 ; 由此可见, 高校或成我省间接网络攻击源, 是我省网络安全监管的短板 图 年江苏省网络安全事件所属行业分布图 党政机关互联网安全状况 2014 年, 据 JSCERT 发现统计, 江苏省各级党政部门发生各类网络安全事件 起 其中, 网站篡改事件 646 起, 网站漏洞事件 960 起, 僵尸木马受控和控制事件分别为 25,842 起 起, 飞客蠕虫事件 32,354 起, 党政部门感染的网络安全事件分布如图 3.88 所示 -75-

83 图 年江苏省党政机关网络安全事件分布图 主机安全状况 发生僵尸木马控制事件数量最多的前 5 个党政部门分别为教育 公安 气象 党委和政府, 其中教育部门感染事件数最多, 为 48,514 起 党政部门僵尸木马控 制事件 TOP5 分布如图 3.89 所示 图 年江苏省僵尸木马控制事件所属党政机关 TOP5 分布图 -76-

84 感染飞客蠕虫事件数量最多的前 5 个党政部门分别为政府 卫生 公安 环 保和住建部门, 其中各级政府感染事件数多达 9,079 起 党政机关飞客蠕虫病毒事 件 TOP15 分布如图 3.90 所示 图 年江苏省飞客蠕虫病毒事件所属党政机关 TOP15 分布图感染僵尸木马受控事件数量最多的前 5 个党政部门分别为政府 公安 卫生 交通和统计, 其中政府感染事件数达 279,165 起 党政机关僵尸木马受控事件 TOP15 分布如图 3.91 所示 图 年江苏省僵尸木马受控事件所属党政机关 TOP15 分布图 -77-

85 网站安全状况 2014 年, 各级党政机关网站被篡改事件 646 起, 占被篡改事件总量的 4.27%, 同比下降 15.22% 2012 开始, 境外 反共黑客 组织对我国党政 高校等重要部门网站实施篡改攻击, 在被篡改的网站上发布有针对性的反动言论并通过互联网媒介大肆宣扬, 对国家和社会安全构成严重威胁 2014 年, 江苏省共有 4 个党政 高校网站被 反共黑客 组织篡改, 且篡改时期为全国两会 青奥会 国家公祭日等热点时期, 危害严重 2013 年至 2014 年江苏省党政部门网站篡改事件月度分布如图 3.92 所示 图 年江苏省政府部门网站篡改事件月度分布图 2014 年我省各级政府部门网站被篡改事件数有所减少,2012 年至 2014 年我 省政府部门网站篡改事件分布如图 3.93 所示 -78-

86 图 年江苏省政府部门网站篡改事件数量分布图 2014 年, 江苏省党政部门网站篡改事件中, 省级党政部门网站发生 47 起, 地市级党政部门网站发生 413 起, 区县级党政部门网站发生 186 起 2014 年江苏省党政部门网站篡改事件所属行政级别分布如图 3.94 所示 图 年江苏省政府部门网站篡改事件所属行政级别分布图政府部门网站篡改类型最多的是广告链接 8 和网站黑页 9 其中, 广告链接型篡改 554 起, 占总事件的 85.76%; 网站黑页事件 75 起, 占总事件的 11.61% 2014 年江苏省政府部门网站篡改事件所属类型分布如图 3.95 所示 8 广告链接指当用户访问篡改网页时, 页面自动跳转到链接网站或增加链接网站的点击量 -79-

87 图 年江苏省政府部门网站篡改事件所属类型分布图 网站漏洞事件 据国家互联网应急中心 (CNCERT) 和国家信息安全漏洞共享平台 (CNVD) 通报,JSCERT 验证,2014 年, 江苏省各级党政部门共发生 960 起网站漏洞事件, 其中省厅级漏洞事件 148 起, 地市级 509 起 南京和南通两市漏洞事件发生最多, 分别为 236 起和 137 起 网站漏洞类型主要集中在 SQL 注入 弱口令 远程代码执行漏洞, 其中 SQL 注入漏洞事件 574 起, 占总漏洞事件的 59.79% 全年中九月份发生的政府部门网站漏洞事件最多 2014 年江苏省各级党政部门网站漏洞事件按单位级别分布 区域分布 漏洞类型分布和月度分布, 分别如图 和 3.99 所示 9 网站黑页指网站入侵者为了证明自己的存在, 黑掉网站首页或上传其他网页, 在网页中往往留下签名 -80-

88 图 年江苏省政府部门网站漏洞区域分布图 图 年江苏省政府部门网站漏洞按单位级别分布图 -81-

89 图 年江苏省政府部门网站漏洞月度分布图 图 年江苏省政府部门网站漏洞类型分布图 金融行业互联网安全状况 2014 年, 据 JSCERT 发现统计, 江苏省银行 保险 证券等金融行业共发生 网络安全事件 5,357 起 其中, 飞客蠕虫事件 2,955 起, 僵尸木马受控为 2,366 起, 网站篡改事件 36 起 金融行业网络安全事件分布如图 所示 -82-

90 图 年江苏省金融行业网络安全事件分布图感染飞客蠕虫病毒事件数量最多的金融部门类型为银行 保险和证劵, 其中银行感染事件数多达 1,304 起 金融行业感染飞客蠕虫病毒主要分布如图 所示 图 年江苏省飞客蠕虫病毒事件所属金融行业分布图 感染僵尸木马受控事件数量最多的金融部门为银行 证券和保险, 其中银行 感染事件数最多, 共 168,405 起 金融行业僵尸木马受控事件分布如图 所示 -83-

91 图 年江苏省僵尸木马受控事件所属金融行业分布图 高校互联网安全状况 2014 年, 江苏省高校发生的各类网络安全事件共 836,073 起, 其中僵尸木马控制事件最多, 达 738,683 起, 占事件总数的 88.35% JSCERT 对高校网络安全事件进行部分核实后发现, 高校网络安全事件中僵尸木马控制事件均为被动攻击, 即黑客控制了高校主机, 利用高校主机作为跳板控制大批肉机向外发起攻击 由此可见, 我省高校或成我省间接网络攻击源, 是我省网络安全监管的短板 高校网络安全事件分布如图 所示 图 年江苏省高校网络安全事件所属类型分布图 -84-

92 4 网络安全案例专题分析 4.1 黑客通过网站漏洞获利之 用户信息被泄露 事例回放 2014 年,JSCERT 监测发现互联网上有人通过攻击江苏省某行业主管部门相关业务系统来获取用户信息并出售, 包括用户个人的姓名 身份证号 邮箱 家庭地址等信息, 由此,JSCERT 对该行业主管部门相关网站和业务系统进行了重点网络安全监测 经监测, 该行业主管部门主办的某业务系统已经被黑客控制, 在网站页面中增加了大量非法网站广告链接, 同时, 网站存在 SQL 注入等高危安全漏洞, 导致上千万条用户个人信息泄露 事例分析 图 4.1 某行业主管部门业务系统被控分析图 (1) 黑客批量扫描网站 : 黑客在互联网上通过工具批量扫描存在 SQL 注入漏洞 的网站 -85-

93 (2) 黑客入侵并控制网站 : 黑客发现某行业主管部门某业务系统存在 SQL 注入 漏洞, 利用漏洞入侵网站, 在网站中植入后门程序对网站进行远程控制 网站漏 洞截图如图 4.2 所示 : 图 4.2 某行业主管部门业务系统 SQL 注入漏洞截图 (3) 黑客招收非法网站广告代理 : 黑客通过各种渠道招收非法网站推广代理, 如 仿冒万安工商管理局的钓鱼网站 ) 仿冒 KFC 订餐的钓鱼网站 ) (4) 黑客利用网站进行非法网站广告推广获利 : 黑客篡改某行业主管部门业务系统网站源代码, 在网站首页 新闻页等多个页面源代码中增加非法网站的网址链接及搜索关键字, 并将增加的非法广告设置为在页面中不显示 网站篡改截图图 4.3 所示 : -86-

94 图 4.3 某行业主管部门业务系统被黑客植入非法网站广告链接截图 (5) 黑客获取网站用户个人信息 : 黑客利用网站 SQL 注入漏洞获取网站用户的个人信息 (6) 黑客出售网站用户个人信息 : 黑客通过互联网或渠道商出售获取的网站用户个人信息 危害分析 由于开发单位对源代码编写的安全因素考虑不足, 网站或业务系统往往都会存在各种 Web 应用安全漏洞, 如 SQL 注入 远程代码执行 文件上传等 若网站没有对安全漏洞进行有效加固, 或没有对攻击进行有效防御, 网站极易被黑客控制, 成为黑客进行非法广告推广 钓鱼网站传播 获取网站用户个人信息的渠道, 如网站被反动组织利用还会成为其进行反动宣传的工具, 影响十分恶劣 处置建议 针对网站漏洞事件, 建议 : -87-

95 (1) 网站或系统上线前对其进行漏洞扫描和加固, 确保网站安全后再上线 ; 遇网站改版或增加模块时, 再次对网站进行漏洞扫描和加固 ; (2) 保存网站访问日志, 定期分析网站访问日志, 及时发现黑客的各种攻击, 或利用监测系统对网站进行安全监测 ; (3) 当网站已被黑客攻击时, 及时清理黑客上传的后门程序, 修补网站存在的 Web 漏洞, 同时完善网站 数据库 管理后台的安全访问策略等加固工作, 必要时重装服务器 重新架设网站 4.2 黑客通过假冒网站获利之 政府网站被假冒 案例回放 2014 年,JSCERT 接省内某厅局投诉, 称发现一个与其单位网站内容极其相像的假冒网站, 网站标题为 江苏 XX 网, 域名为 对用户极具迷惑性, 假冒网站截图如图 4.4 所示 某厅局请求 JSCERT 给予帮助, 协调关闭此网站 图 4.4 高仿省某厅局的假冒网站截图 JSCERT 对事件进行分析, 结论为 : 某黑客盗用了江苏省某市政府部门的组织机构代码证和某用户的身份证扫描件, 于 2013 年 8 月注册了 XX.gov.cn 等五个 gov 域名, 并制作了五个高仿各省党政机关的假冒网站, 在网站上提供职称证书查询 -88-

96 教育资格注册申报 会计从业资格信息查询等功能 黑客的实际目的为通过用户 信息查询收集用户的身份证号 姓名 职称号码等信息, 用于制作假证, 并通过 QQ 空间或其他渠道销售假证 案例剖析 图 4.5 假冒省某厅局网站进行诈骗获利分析图 (1) 黑客获取用户真实证件 : 黑客通过互联网或其他渠道, 获取某市局组织机 构代码证及某用户个人身份证扫描件, 某市局组织机构代码证如图 4.6 所示 -89-

97 图 4.6 某市局组织机构代码证扫描件 (2) 黑客成功注册 gov 域名 : 黑客在某域名注册网站上提交获取的某市局组织机构代码证及某用户个人身份证扫描件, 填写虚假信息, 成功注册五个.gov 域名 (3) 黑客搭建并运行高仿政府部门的假冒网站 : 黑客分别搭建并运行五个高仿不同省政府部门的假冒网站, 网站上分别提供职称证书查询 教育资格注册申报 会计从业资格信息查询等功能, 查询功能如图 4.7 所示 图 4.7 假冒网站上的 XX 证书查询功能 (4) 黑客获取用户向网站提交的查询信息 : 当用户在假冒网站上输入身份证号 姓名 职称号码等信息进行查询时, 黑客获取到用户的相关信息 (5) 黑客制作假证 : 黑客根据收集到的用户身份证号 姓名 职称号码等信息, 制作假证 -90-

98 (6) 黑客出售假证获利 : 黑客通过 QQ 空间等渠道发布办假证广告, 出售假证, 如图 4.8 所示 图 4.8 黑客通过 QQ 空间发布办假证广告 危害分析 针对金融的假冒网站往往以诈骗用户金钱为目的, 而针对政府部门的假冒网 站一般是为了获取用户信息, 进一步实施非法行为 由于针对政府部门的假冒网 站采用 gov 域名, 对用户极具迷惑性, 用户很难辨别真假 处置建议 针对仿冒网站进行诈骗事件, 建议 : (1) 不在安全性未知的网站上提交个人信息, 如姓名 身份证号等内容 ; (2) 对网站的真实性做核验, 如核查其政府网站标识 网站备案信息 官方网站电话等 -91-

99 4.3 黑客控制僵尸网络发起攻击之 监控设备成肉机 案例回放 某企业生产的视频监控设备在江苏省应用十分广泛, 设备 Web 监控页面如图 4.9 所示 2014 年 11 月, 该企业视频监控设备被黑客曝光存在管理后台弱口令和 Web 登录弱口令漏洞, 由此导致大量监控设备被黑客控制, 组成了庞大的僵尸网络并向外实施网络安全攻击 国家互联网应急中心 (CNCERT) 对该企业监控设备被控情况进行了特征监测 据 JSCERT 统计,2014 年 两个月, 江苏省约 5 万余台该企业视频监控设备被境外 25 个 IP 地址控制, 成为僵尸网络肉机, 向外发起网络安全攻击, 其中发起 DDoS 攻击共 起, 发起扫描攻击共 起 监测事件信息举例如图 4.10 所示 图 4.9 某企业视频监控设备 Web 监控页面 -92-

100 图 4.10 某企业视频监控设备被控事件举例 案例剖析 图 4.11 某企业监控设备被控事件分析 (1) 黑客扫描视频监控设备弱口令 : 黑客在互联网上批量扫描该企业的视频监控设备, 找出存在 telnet 登录弱口令的设备 ; (2) 黑客组建监控设备僵尸网络 : 黑客利用视频监控设备 telnet 登录弱口令控制设备, 远程植入 socket 代理及 DDoS 攻击工具,socket 代理工具截图如图 4.12 所示 ; -93-

101 图 4.12 某企业监控设备被植入 socket 代理工具 (3) 黑客进行 DDoS 攻击交易 : 黑客通过各种渠道招揽 DDoS 攻击需求客户, 进行 DDoS 攻击交易 ; (4) 黑客向监控设备僵尸网络发送攻击指令 : 黑客利用 socket 代理工具 ( 可以隐藏黑客的真实 IP 地址 ) 向监控设备发送 DDoS 攻击指令, 指令中包含将要攻击的 IP 地址 攻击时间 攻击类型 攻击数据包大小等信, 举例如图 4.13 所示 ; 图 4.13 某企业监控设备接收黑客攻击指令 (5) 监控设备僵尸网络发起 DDoS 攻击 : 收到指令的视频监控设备根据指令内 容向用户 IP 地址发起指定类型的 DDoS 攻击 危害分析 目前江苏省许多企事业单位安装了视频监控设备, 由于对设备的安全管理不到位, 极易被黑客控制利用, 组成庞大的僵尸网络向外发起攻击, 成为黑客实施违法行为的工具 例如,2014 年全国多个省份的 DNS 服务器遭受大规模 DDoS 攻击 ( 泛域名查询方式 ), 经查, 发起攻击的地址几乎全是用户的机顶盒设备 无线路由器以及视频监控设备等 -94-

102 4.3.4 处置建议 针对视频监控设备事件, 建议 : (1) 修改视频监控设备默认登录用户名和密码, 使用强口令, 设置安全策略, 限制设备远程访问地址 ; (2) 清除黑客在设备上植入的 socket 代理工具, 切断黑客控制后门 4.4 黑客通过短信传播恶意程序之 XX 神器 爆发 案例回放 2014 年 8 月, 一款名为 XX 神器 的移动互联网恶意程序在我国智能手机用户中快速传播, 全国近百万用户感染, 大部分感染用户操作系统为 Android 系统 受感染的用户手机在用户不知情的情况下向手机通讯录中的所有联系人发送 ( 联系人姓名 ) 看这个, /XXshenqi.apk 内容的短信, 诱骗联系人点击下载, 如图 4.14 所示 一旦联系人点击下载并安装链接中的恶意程序, 其手机也会感染此恶意程序, 并向手机通迅录中的所有联系人发送同样内容的短信, 受感染用户往往会导致几十元的短信费用损失 图 4.14 XX 神器 恶意程序传播短信 -95-

103 4.4.2 案例剖析 图 4.15 XX 神器 恶意程序爆发分析图 (1) 黑客制作 XX 神器 恶意程序 : 黑客搭建 网站, 制作 XX 神器 恶意程序并挂载在网站上 恶意程序具有三个主包和三个子包, 主包病毒名为 A.Privacy.xxshenqi, 子包病毒名为 A.Privacy.trogoogle; (2) 黑客传播 XX 神器 恶意程序 : 黑客通过手机短信传播 XX 神器 恶意程序, 短信内容为 ( 联系人姓名 ) 看这个, /XXshenqi.apk ; (3) 用户感染 XX 神器 恶意程序 : 用户点击链接后,apk 程序自动安装运行, 获取用户的身份证号和姓名发送到指定手机, 读取用户通讯录并向通讯录上的号码发送恶意程序传播短信, 诱骗用户安装资源子包, 恶意程序源代码分析如图 4.16 所示 ; -96-

104 图 4.16 XX 神器 恶意程序源代码分析 (4) XX 神器 恶意程序爆炸式传播 : 所有收到恶意程序链接短信的用户点击链接, 感染恶意程序, 再向其通讯录上的号码发送恶意程序传播短信 危害分析 一方面, 移动互联网恶意程序移植了传统互联网病毒的各种恶意行为, 并将其行为延伸至与用户生活极为紧密的用户通讯录 短信 定位信息 移动支付上, 其恶意行为包括盗取用户手机号 IMEI 号 IMSI 号 通讯录 短信 备忘录等个人信息, 也包括远程控制用户手机 进行恶意扣费 向外发送垃圾短信等, 因此移动互联网恶意程序较传统互联网病毒的危害更大 ; 另一方面 : 移动互联网恶意 -97-

105 程序的传播方式日益灵活, 如手机短信 微信 微平台 各种手机交友工具, 由 于其传播源从表面上具有可信性, 因此其传播的 中招率 极大 处置建议 针对移动互联网恶意程序传播事件, 建议 : (1) 不随意点击来源不明的短信 彩信 朋友圈中的网址, 不扫描安全性未知的二维码 ; (2) 从正规的 安全的应用商店下载应用程序, 安装应用程序时审核其所需权限, 对于所需权限不相符的应用软件拒绝安装 ; (3) 从正规渠道购买手机, 防止手机被植入恶意程序 4.5 黑客通过移动 APP 窃取用户信息之 接口漏洞被利用 案例回放 2014 年, 江苏省某政府部门试点性建设移动办公云平台, 向市民推出了 信息惠民 公众服务平台, 市民可以下载政务 APP 客户端, 通过客户端查询自己的公积金账户 社保账户 驾照 违章记录 水费等各类信息, 十分便利 在政务 APP 上线后不久,JSCERT 发现该政务 APP 的 Web 接口网站存在远程代码执行漏洞, 利用该漏洞黑客可以远程控制政务 APP 服务器, 获取 APP 用户信息 此外, 黑客可以将破译后的政务 APP 进行篡改, 添加恶意代码并上传至互联网供用户下载, 潜在危害极大 -98-

106 4.5.2 案例剖析 图 4.17 政务 APP Web 接口漏洞事件分析图 (1) 黑客下载政务 APP: 黑客通过江苏省某政府部门门户网站下载政务 APP, APP 客户端界面如图 4.18 所示 图 4.18 政务 APP 客户端界面截图 (2) 黑客破译政务 APP: 黑客利用工具将政务 APP 进行破译, 找出 APP 的 Web 接口地址, 如图 4.19 所示 -99-

107 图 4.19 破译政务 APP, 找出 Web 接口地址 (3) 扫描 Web 接口应用漏洞 : 黑客扫描政务 APP 的 Web 接口网站漏洞, 发现其存在 Apache struts2 远程代码执行漏洞 (4) 黑客控制政务 APP 服务器 : 利用 Apache struts2 远程代码执行漏洞黑客可以远程执行任意命令, 远程控制政务 APP 服务器, 并获取 APP 用户信息, 漏洞截图如图 4.20 所示 图 4.20 通过 Web 接口地址执行远程命令 -100-

108 (5) 黑客篡改政务 APP 并上传至互联网 : 由于政务 APP 可以被黑客破译, 因此, 黑客可以将破译后的政务 APP 进行篡改, 增加恶意代码并上传至互联网供用户下 载 危害分析 随着政府信息化水平的提高, 多个部门推出了更加便民的移动办公平台, 市民可以在足不出户的情况下查询政务信息 办理业务 政务 APP 在为市民提供便利的同时, 也引入了新的网络信息安全风险 政务 APP 由于需要与远程服务器交互, 调用 Web 接口, 因此其 Web 接口面临着常见的 Web 应用漏洞攻击, 如 SQL 注入 文件上传 中间件漏洞攻击等 此外, 若政务 APP 没有进行有效加密, 其源程序易被黑客下载反编译, 增加恶意代码后上传至互联网供用户下载, 潜在危害巨大 处置建议 针对政务 APP 安全漏洞事件, 建议 : (1) 政务 APP 上线前进行严格的网络安全渗透测试, 确保安全后再上线 ; (2) 政务 APP 对源代码进行有效加密, 预防 APP 被黑客反编译并篡改 ; (3) 对 APP 的 Web 接口网站进行安全漏洞扫描和加固 -101-

109 年重大网络安全事件及 JSCERT 专项行动 年国际国内重大网络安全事件 心脏出血 Shellshock 漏洞致用户服务器面临安全危机 ( 互联网消息 )2014 年 4 月爆出了 Heartbleed 漏洞 ( 俗称心脏出血漏洞 ), 该漏洞是近年来影响范围最广的高危漏洞, 涉及各大网银 门户网站等 该漏洞可被用于窃取服务器敏感信息, 实时抓取用户的账号密码 从该漏洞被公开到漏洞被修复的期间内, 已经有黑客利用 OpenSSL 漏洞发动大量攻击, 有些网站用户信息或许已经被黑客非法获取 2014 年 9 月份,Shellshock 漏洞被曝出, 此漏洞是继 心脏流血 漏洞之后业界发现的又一个重大安全漏洞 此漏洞的威胁程度堪比 心脏流血 漏洞, 因为 Shellshock 所影响的 Bash 软件被广泛应用于各类网络服务器以及其他电脑主机 美国计算机紧急响应小组在 9 月公布这个漏洞后, 不到几个小时就有上万台机器遭到恶意软件的 DoS 攻击 ebay 遭黑客入侵, 大量用户数据泄露 ( 互联网消息 )2014 年 5 月, 据外媒报道, 财务 500 强 著名在线拍卖网站 ebay 遭黑客入侵, 大量用户数据可能被窃, 这些数据包含 ebay 用户的姓名 登陆账号 密码 邮件地址 联系地址 电话号码以及出生日期 5 月 22 日,eBay 要求近 1.28 亿活跃用户全部重新设置密码, 此前这家零售网站透露黑客能从该网站获取密码 电话号码 地址及其他个人数据 这次泄密事件发生在今年 2 月底和 3 月初,eBay 是在 5 月初才发现这一泄密事件, 并未说明有多少用户受到此次事件的影响 -102-

110 网站安全存缺陷, 超 13 万用户信息 裸奔 ( 互联网消息 )2014 年 12 月 9 日 乌云网 发布漏洞消息, 称大量 用户信息数据在互联网传播售卖, 已知公开传播的数据库涉及用户数超过 13 万条, 包括用户账号 明文密码 身份证 邮箱 信用卡信息 购买记录等 10 日晚某数据网站用户发帖称, 可下载遭泄露的用户信息, 并配有用户信息截图 泄露数据信息的文件标题为 邮箱 - 密码 - 姓名 - 身份证 - 手机 ( 售后群 :31109xxxx).txt, 共计 条记录 文件约 14M 对此,12306 官方网站发布公告称, 经网站认真核查, 此泄露信息全部含有用户的明文密码, 并称 网站数据库所有用户密码均为多次加密的非明文转换码, 网上泄露的用户信息系经其他网站渠道流出 相关网络安全专家建议, 用户应尽快修改 登录密码 ; 修改登录 时使用的邮箱密码, 邮箱和 网站不要使用相同的登录密码 同时, 切勿使用离线抢票功能, 因为离线抢票就是第三方托管服务, 必须明文存密码, 且无法加密 万份用户信息被泄漏, 网上出售仅卖 1000 元 ( 互联网消息 )2014 年 8 月 12 日, 警方破获一起互联网网络信息泄漏案, 犯罪嫌疑人利用技术手段破解快递公司网站后台, 获取 1400 万条快递用户信息后非法出售牟利, 网上售价仅为 1000 余元 据犯罪嫌疑人交代, 通过快递公司官网漏洞, 破解登录用户名及密码之后, 就能轻易进入网站后台, 然后在通过工具对网站数据库中保存的用户资料进行窃取 除了快递编码外, 还详细记录着收货和发货双方的姓名 电话号码 住址等个人隐私信息, 而拿到这些数据, 不法分子仅用了 20 秒的时间 UC 漏洞 山寨网银 小米信息泄露 安全事件集中爆发 ( 互联网消息 )2014 年 5 月 11 日,UC 浏览器存在用户敏感数据的漏洞 通 过该漏洞, 只要通过 UC 浏览器搜索并登录人人 新浪微博等网站, 其提交的用户 -103-

111 信息和密码都有可能被黑客截取 5 月 12 日, 山寨网银和山寨微信客户端, 伪装成常规网银客户端图标 界面, 在手机软件中内嵌钓鱼网站, 欺骗网民提交银行卡号 身份证号 银行卡有效期等关键信息 同时, 部分手机病毒可拦截用户短信, 终端用户面临网银资金被盗风险 5 月 13 日晚间, 小米论坛被爆数据库疑似泄漏 经乌云漏洞平台证实, 结果指明官方数据确实遭受了泄漏事故, 影响 800 万左右论坛注册用户 泄漏数据中包含用户名 密码 邮箱 注册 IP 以及密码盐 (salt) 等信息 建议小米论坛用户及时修改密码, 避免手机敏感信息泄露 阿里云遭互联网史上最大规模 DDoS 攻击 ( 互联网消息 )2014 年 12 月 24 日, 阿里云计算发布声明称,12 月 20 日 -21 日, 部署在阿里云上的一家知名游戏公司遭遇了全球互联网史上最大的一次 DDoS 攻击, 攻击时长 14 个小时, 攻击峰值流量达到每秒 453.8G 阿里云称, 第一波 DDoS 共计从 12 月 20 日 19 点左右开始, 一直持续到 21 日凌晨, 第二天黑客又再次组织大规模攻击, 共持续了 14 个小时 年 JSCERT 专项行动 联合开展南京青奥会网络信息安全专项演练 为扎实开展南京青奥会应急通信保障工作, 研究演练青奥会期间应急通信保障指挥流程和具体应急措施的实施, 江苏省通信管理局 江苏省互联网应急中心于 2014 年 7 月组织开展了南京青奥会通信保障应急专项演练 南京青奥会信息指挥中心指挥长 南京市政协主席沈健 工业和信息化部电管局副局长李湘宁 国家计算机网络应急技术处理协调中心副主任郝晓伟以及南京军区 省公安厅 省政府应急办 省内三家基础电信运营企业代表和来自上海 浙江 安徽 山东 福建 江西 河南通信管理局的领导观摩了本次演练 青奥会通信保障专项演练行动包括两个网络安全演练科目 : 分别是青奥会火炬传递网站遭受大流量攻击拒绝服务攻击和青奥会特许商品网站遭受域名劫持, -104-

112 网络安全演练突出实战, 展现了青奥会相关业务系统遭受网络攻击后, 江苏通管 局组织省内基础运营企业 网络安全支撑单位进行分析研判 应急处置的全过程 各单位通力合作 密切配合, 圆满完成了演练科目, 取得了预期效果 组织召开 2014 年江苏省互联网网络安全年会 2014 年 9 月, 江苏省互联网应急中心 江苏省互联网行业管理服务中心主办了 2014 年江苏省互联网网络安全年会 省委办公厅 省委网信办 省政府办公厅 省公安厅 省安全厅 省保密局 省银监局以及金融 电力 高校 部队等单位相关领导 人员共 160 余人出席了会议 根据当前国际 国内及江苏省互联网网络安全形势, 会议主题为 保安全促发展 护航互联网发展下一个 20 年, 国家互联网应急中心有关专家作了关于 2014 年网络安全态势及热点问题, 江苏省互联网应急中心就江苏省重点网络安全案例进行了分析, 大会还举行了网络安全攻防技能大赛 成功举办 紫金吉山杯 第二届江苏省网络安全技能竞赛 2014 年 10 月, 由江苏省总工会 省人力资源和社会保障厅主办, 江苏省通信管理局 江苏省互联网应急中心承办, 多家单位协办的第二届江苏省网络安全技能竞赛颁奖仪式在江苏软件园科技转化中心举行 工业和信息化部 省总工会 省委省级机关工委 省通信管理局 省公安厅 省安全厅 南京邮电大学 紫金吉山科技创业特别社区等相关单位领导和人员共 150 余人出席了竞赛颁奖仪式 省通信管理局局长苏少林 省总工会副主席曹海出席颁奖仪式并致辞, 省通信管理局副局长朱新煜主持颁奖仪式 来自全省基础电信企业 增值电信企业从事互联网和重要信息系统运营 管理和维护的共 500 余名参赛选手经过初赛 决赛的激烈角逐, 通过笔试答题 实际攻防操作 团队协作等多种环节的考验, 共产生竞赛团体一等奖一个 团体二等奖两个 团体三等奖三个, 个人特等奖一名 个人一等奖两名 个人二等奖三名 个人三等奖四名 获得大赛前六名的个人选手, 被授予 江苏省五一创新能手 -105-

113 称号 ; 获得大赛前十名的个人, 还分别获得相应奖金 同时, 按照竞赛奖励办法, 获得竞赛第一名的选手荣获 江苏省五一劳动奖章 圆满完成国家公祭日网络安全保障任务 12 月 13 日为南京大屠杀死难者国家公祭日 ( 简称国家公祭日 ) 为普及国家公祭知识, 方便全球和平人士公祭, 由侵华日军南京大屠杀遇难同胞纪念馆和新华网共同筹办了国家公祭网 为保障首个国家公祭日期间国家公祭网网站安全, 江苏省互联网应急中心制定了专项保障方案和值班表 根据保障方案, 实施了三方面重点保障工作 : 一是国家公祭网安全漏洞检测 国家公祭网等重点网站篡改监测 ; 二是僵尸木马控制端专项打击 ; 三是重要部门主机病毒事件专项处置和重网页篡改及漏洞预警 公祭日前期, 江苏省互联网应急中心利用多种扫描工具, 对国家公祭网进行远程漏洞扫描测试 经两次渗透测试, 发现该网站存在两个高危安全漏洞, 两个漏洞均可以在网站首页上发布未经审核的新闻信息并推送到手机客户端, 潜在危害极其严重 江苏省互联网应急中心第一时间将漏洞报送给相关部门, 建议网站开发单位尽快修补漏洞, 确保网站安全 持续开展公共互联网环境安全监测治理 2014 年, 江苏省互联网应急中心利用各类网安监测系统, 累计将全省 121 类重要部门 5,000 余个重点单位的主机纳入病毒监测, 将 421 个重要部门网站纳入异常流量监测, 将 10,231 个党政 高校 金融等重要部门的网站纳入网站篡改及挂马监测 根据监测情况, 江苏省互联网应急中心积极开展公共互联网及重要部门的网络安全事件通报处置工作 2014 年, 江苏省互联网应急中心共组织 春节 全国两会 青奥会保障 国家公祭日 等 24 批次公共互联网安全事件专项处置行动, 共协调处置各类网络攻击 网络诈骗事件 147,051 起, 其中清理僵尸木马控制端 -106-

114 2,762 个 僵尸木马受控端 107,678 个, 阻断网页木马传播源 28,852 个 非法 DNS 服务器 96 个 境内外钓鱼网站 75 个 落实开展移动互联网恶意程序专项治理行动 2014 年, 根据 工业和信息化部公安部工商总局关于印发打击治理移动互联网恶意程序专项行动工作方案的通知 ( 工信部联保 号 ) 要求, 江苏省通信管理局, 联合省公安厅 省工商局 省互联网应急中心 省互联网协会成立了专项行动领导小组, 共同制定了江苏省专项行动方案, 共同发布了 关于印发江苏省打击治理移动互联网恶意程序专项行动工作方案的通知 ( 苏通联 号 ), 并进一步落实开展了 APP 应用商店安全管理检查 恶意程序 APP 检测下架 移动终端预装恶意程序抽查等七项重点工作 江苏省通信管理局组织召开了专项行动宣贯会, 对专项行动背景 工作方案等进行了通报, 并要求相关企业根据文件精神进行自查自纠 ; 江苏省互联网应急中心针对省内 10 家应用商店的数万个应用程序进行了安全检测, 检测到各类恶意程序 37 个, 立即向相关企业下发了整改下架通知 ; 江省互联网应急中心赴四家企业进行了现场 APP 安全管理抽查, 并联合省公安厅 省工商局赴手机批发零售市场对在售手机进行抽检 -107-

115 年网络安全威胁预测及安全防护建议 年网络安全威胁预测 政务云的发展带来信息安全挑战 云计算的广泛应用为电子政务建设开辟了一个全新的路径和解决方案, 建立电子政务云对于节省开支 提高电子政务办公的工作效率和政府服务水平具有重大意义 电子政务云的建设在发展的同时也存在一些突出问题, 例如法律法规和标准不健全 虚拟化及多租户安全威胁 应用于数据集中带来的威胁等主要安全问题 特别是政府信息安全问题严重影响了电子政务云的发展, 如果不能很好解决, 甚至会威胁到国家安全 一旦数据中心系统安全受到威胁, 将会给政府 社会带来巨大的损失 包括云安全客户端 接入安全框架 基础设施服务安全 应用支撑服务安全 数据服务安全 应用功能服务安全和安全管理在内的各项技术和解决方案都是政务云建设过程中亟需解决的问题 此外, 目前多个政府部门纷纷推出更加便民的移动办公平台, 即政务 APP, 市民可以在足不出户的情况下查询多种政务信息 办理多种业务 政务 APP 在为市民提供便利的同时, 也引入了新的网络信息安全风险 政务 APP 由于需要与远程服务器交互, 调用 Web 接口, 因此其 Web 接口面临着常见的 Web 应用漏洞攻击, 如 SQL 注入 文件上传 中间件漏洞攻击等 此外, 若政务 APP 没有进行有效加密, 其源程序易被黑客下载反编译, 增加恶意代码后上传至互联网供用户下载, 潜在危害巨大 大量互联网设备加入僵尸网络大军 随着物理网技术的日趋成熟, 除用户 PC 手机外, 越来越多的设备接入网络, 视频监控设备 电视机顶盒 车联网 智能家居 可穿戴设备等各种应用大量涌现, 这些设备由于其安全管理不足, 将成为黑客攻击的对象, 成为新一批的僵尸肉机 -108-

116 2014 年 9 月, 一款可以感染路由器 恒温器 烘干机等许多物联网设备的恶意软件, 组成了 1.2 万至 1.5 万台的大型僵尸网络, 并在亚洲和美国实施了各种形式的 DDoS 攻击 攻击流量峰值高达 215G, 每秒 1.5 亿个数据包 物联网设备存在诸多因设备制造商急于联网, 从而忽略了安全问题的严重风险 包括隐私泄露 弱密码 非加密通讯, 以及网页操作等漏洞 而企业网络与员工自带的个人设备又极易发生交叉感染, 且大多数企业管理层对物联网安全的重视程度远远不够 2014 年 11 月, 我国某大型企业的视频监控设备被黑客利用, 组成了宠大的僵尸网络并向外实施网络安全攻击 据江苏省互联网应急中心统计,2014 年 月两个月, 江苏省该企业用户约 5 万余台视频监控设备被境外 25 个 IP 地址控制, 成为僵尸网络肉机, 向外发起网络安全攻击 如果没有新的安全模式来应对这一风险, 那么未来物联网安全的严重性将超出我们的想像 社交网络成恶意代码传播新途径 随着社交媒体的蓬勃发展, 手机终端等的日益普及, 人们的交流沟通方式已呈现多样化趋势, 人们的交流不再局限于 PC 端, 手机终端的交流日益流行 通过红包领取 热点吐槽 优惠信息 视频分享等方式, 人们社交网络形式多种多样, 但是, 通过社交网络传播的恶意软件也让很多网民防不胜防 黑客的攻击工具将越来越多地利用从社交网络获取的信息, 发起更加个性化的攻击 大部分针对性攻击依靠社会情境来提升成功率, 而且现在发起此类攻击更加容易 恶意软件会利用社交媒体的互信作为传播基础, 通过发送当前热点话题, 以获取更多用户的浏览 在 PC 端, 恶意程序会被各类安全工具如杀毒软件 安全卫士等拦截, 但在手机终端, 由于网民还未形成良好的上网习惯, 手机终端大多没有安装防恶意代码程序, 造成手机终端恶意程序的大量传播 黑客通过社交网络进行恶意代码的传播将给互联网安全带来严重的威胁, 一方面, 社交网络活跃度高, 能造成恶意代码的传播速度极高, 另一方面, 通过恶意代码获取的信息会给用户个人信息安全带来严重的威胁 -109-

117 6.1.4 信息消费平台 移动支付面临安全风险 由于互联网与社会经济的融合度加深, 经济信息尤其是信息消费领域面临更多的安全风险 以余额宝 现金宝 理财通等为代表的互联网金融产品市场火爆, 在线经济活动日趋活跃 但与此同时, 钓鱼攻击呈现跨平台发展趋势, 在线交易系统防护稍有不慎即可能引发连锁效应, 影响金融安全和信息消费 互联网公司通过所运营的在线交易信息系统, 掌握大量用户资金 真实身份 经济状况 消费习惯等信息, 系统出现安全问题后, 风险也随之传导至关联的银行 证券 电商等其他行业, 产生连锁反应 随着手机银行 移动钱包 微信红包 微信支付等新业务与新渠道的快速普及与发展, 移动支付服务已经渗透到人们生活的方方面面 但同时, 移动支付服务这种新的支付形态很可能成为黑客攻击的新目标 2014 年, 心脏出血 Shellshock 等重大漏洞爆发, 未来可能会出现专门针对移动支付平台的威胁, 如 Android 的 FakeID 漏洞攻击 目前互联网上已出现针对移动终端以及其他平台的攻击服务和开发套件 反射型拒绝服务攻击频出现,DNS 成攻击对象 2014 年, 依靠僵尸网络和带宽构造大规模攻击流量的传统方式已无法达到预想的攻击效果, 黑客将更多地运用 DNS NTP 和 CHARGEN(Character Generator Protocol, 字符发生器协议 ) 等进行分布式反射放大拒绝服务攻击, 能轻易把攻击流量放大几十倍到几百倍, 耗尽有限的服务器 路由器和带宽资源, 隐藏了攻击僵尸主机 IP 地址的攻击方式也给追踪溯源带来难度 2014 新年内的第一周,NTP 反射攻击占了 DoS 攻击流量的 69%, 整个 NTP 攻击的平均大小为约每秒 7.3G bps, 比 2013 年 12 月平均攻击流量高 3 倍 此外, 攻击者还将不断寻找更多类似的新技术手段, 以最小代价实现攻击流量的放大, 增加攻击威力, 实现 借刀杀人 的目的, 使拒绝服务攻击与防护的对抗进一步激烈 同时, 域名系统成为黑客进行拒绝服务攻击的新目标 近来域名系统自身遭受放大攻击或是域名系统被利用对用户发起放大攻击的事件层出不穷 2014 年, -110-

118 江苏省就发生了基础电信运营企业的 DNS 服务器遭受大规模拒绝服务攻击事件, 黑客控制大量用户无线路由器 视频监控设备 家用机顶盒等网络设备组成庞大的僵尸网络, 向 DNS 递归服务器发起以某些域名为后缀的泛域名查询, 攻击流量峰值达 400 万 QPS 开放的 DNS 服务器是引爆整个互联网的定时炸弹, 如果继续保持开放 DNS 服务器的无管理状态, 加之中国互联网本身的脆弱性和域名系统相关技术还不够成熟, 如果不加强对基础域名系统的安全防护与管理, 那么利用开放 DNS 系统发起的 DNS 放大攻击事件将会越来越多 WiFi 安全继续升温, 恶意攻击频发 随着无线路由器 随身 WiFi 等设备迅速普及,WiFi 安全问题也随之日渐突出, WiFi 设备漏洞和黑客攻击事件不断增加 WiFi 安全问题主要体现在路由器 DNS 地址恶意篡改 公共 WiFi 藏陷阱 共享文件遭泄露等 例如, 绝大多数用户没有更改 WiFi 路由器默认账号密码的习惯, 导致黑客可通过 WiFi 路由器默认设置页面地址和默认用户名密码进行登录, 并恶意篡改路由器的 DNS 地址 当用户在访问正常网站时, 浏览器会被指向非法恶意网址 再例如, 公共 WiFi 安全防护措施不到位, 一旦黑客进入公共 WiFi 以后, 就会对网络中的其他用户进行嗅探, 并截取网络中传输的数据 此外, 黑客恶意搭建免费 WiFi, 收集连接其免费 WiFi 的用户敏感信息 利字当头, 互联网黑客产业链愈加猖獗 互联网安全问题的高发领域多数是由于黑客受到利益驱使 当前, 黑客通过技术谋取利益已经形成了一条 黑色地下产业链 更多的网络犯罪集团将利用专门的地下论坛来分享和贩卖犯罪软件 在这些搜索引擎无法找到的, 或是需要加密客户端才能访问的站点上, 网络攻击服务以及犯罪软件的价格正在逐年下滑, 出现这一现象的原因在于恶意软件在地下市场供应量的增加 例如美国失窃信用卡资料 Facebook 和 Gmail 账号密码的价格大幅下跌, 中国地下网络市场上的犯罪工具和服务也非常 琳琅满目, 而且采用了 明码标价 打包优惠 等促销模式 -111-

119 网络犯罪活动加剧, 将催生出功能更强 规模更大 效果更好的黑客工具及攻击手法 此外, 目前网络违法犯罪活动多是跨地域 跨行业作案, 如假淘宝钓鱼事件安全, 涉及了电商平台 银行 网络服务提供商等行业, 为犯罪侦查工作增加难度 年网络安全防护对策建议 完善政务云服务平台的安全建设和管理 建议各级党政机关及重要信息系统谨慎使用第三方云计算服务, 谨慎使用公共云服务 已经使用云服务 云平台的单位, 建议在国家出台云服务安全评估检测相关规范 标准及审查细则之前, 做好各项云平台的安全建设和管理, 如虚拟化安全 平台安全 网络安全和数据安全的建设和管理, 其中虚拟化安全应选用国产虚拟化设备及防火墙, 并做好逻辑隔离等 ; 平台安全应做好服务器操作系统加固 数据库加固 防病毒等 ; 网络安全应做好对外平台的漏洞扫描加固 APP 应用的漏洞扫描和加固 平台异常流量监测 攻击防御等 ; 数据安全应做好数据备份 安全存储 身份认证等 金融机构与安全厂商在支付产业链上加深安全服务合作 目前移动终端安全问题复杂而多样, 支付类病毒的爆发, 以及系统漏洞的不断涌现, 要求金融机构与安全厂商在支付产业链上继续加深合作, 开展相关研发工作, 服务器安全需要维护, 阻止网络攻击, 阻止黑客窃取数据 ; 终端安全需要维护, 要阻止病毒 木马窃取用户隐私信息, 要加密敏感数据 加强对支付环境的监测和预警, 在服务器端收集运行环境, 配合第三方安全厂商的特征云数据库, 对终端应用执行环境进行动态行为分析 建立移动支付终端安全评估体系, 通过对移动支付的威胁分析与漏洞挖掘, 确定支付产业链中的关键风险指标, 逐步形成终端安全评估体系, 确保高威胁风险可被有效识别与控制 -112-

120 6.2.3 多方合力, 共同打击黑客产业链, 净化互联网环境 建议各部门建立和理顺针对网络安全事件的处置机制, 明确责任分工, 实行网络安全事件问责制 各网络安全管理部门通力合作, 共同打击僵尸木马网络 移动互联网恶意程序 网络诈骗 信息窃取等各类网络犯罪, 挖掘 打击黑客地下产业链, 净化公共互联网网络环境 同时, 建议党政 军队 金融等各重要信息系统及大型互联网企业建立相应的网络安全队伍, 在全省范围内通过技术交流 培训 竞赛 演练等多种形式实现各队伍的技术和信息共享 采用收编 奖励等方法引导社会上高技术水平的黑客正向发展, 最终组建省内高技术水平的网络安全队伍 多措并举, 加强用户信息保护 互联网监管部门方面 : 建议严格落实 全国人大常委会关于加强网络信息保护的决定 工业和信息化部 电信和互联网用户个人信息保护规定 等相关法律法规, 明细各部门职责, 对互联网企业加强正面引导与严格管理, 配合有效的技术检查手段, 杜绝用户信息的源头泄露 互联网企业方面 : 建议存储着大量用户信息的互联网企业加强网络安全管理, 提高安全防护的技术和能力, 落实用户信息保护责任 例如采用强加密方式保存用户密码等关键数据, 采用严格 多重的用户注册和登录认证规则, 自主开展安全评估和漏洞加固工作, 部署网络安全防护系统等 互联网用户方面 : 建议互联网用户提高安全意识, 养成良好的密码使用习惯, 做好个人计算机 手机的安全防护, 避免因感染木马而泄露个人信息 -113-

121 7 附录 7.1 关于 JSCERT 国家计算机网络应急技术处理协调中心江苏分中心 ( 中文简称江苏省互联网应急中心, 英文简称 JSCERT) 是国家计算机网络应急技术处理协调中心 ( 中文简称国家互联网应急中心, 英文简称 CNCERT/CC) 在江苏省的省级分中心, 受 CNCERT/CC 与江苏省通信管理局的双重领导, 在江苏省作为公共互联网网络安全事件的 发现中心 通报中心 处置中心 技术支撑中心, 通过已有应急体系和自身技术平台对江苏省公共互联网络相关的安全威胁进行常规和重点发现, 并定期发布本省网络安全情况通报, 为江苏省公共互联网 重要政府部门 电信运营企业 重要信息系统提供计算机网络安全的发现 预警 通报 处置等技术支撑 JSCERT 的主要业务能力包括 : 事件发现 : 依托全程全网 多层次 多渠道延伸的网络安全综合发现平 台, 实现各类网络安全事件的发现分析 JSCERT 目前已具备木马和僵尸网络 10 发 现 网站篡改 11 发现 网页挂马 12 发现 网页仿冒 13 发现 恶意代码捕获 公共互 联网网络流量异常发现 域名服务发现 手机恶意程序发现等能力 通报预警 : 依托对丰富数据资源的综合分析和多渠道的信息获取, 实现 网络安全威胁的分析预警 网络安全事件的情况通报 宏观网络安全状况的态势 分析等 2009 年工业和信息化部颁布实施的 互联网网络安全信息通报实施办法 承担江苏省通信行业互联网网络安全信息通报工作 应急处置 : 依托与江苏省电信运营企业 重要信息系统 安全服务厂商 等相关部门的快速工作机制, 实现网络安全事件的应急处置 ; 制定并发布江苏省 公共互联网网络安全应急预案, 不定期组织江苏省公共互联网网络安全应急演练 10 木马 : 以盗取用户个人信息, 甚至是远程控制用户计算机为主要目的的恶意代码 ; 僵尸 : 用于构建僵尸网络以形成大规模攻击平台的恶意代码 11 网站篡改 : 恶意破坏或更改网站页面内容, 使网站无法正常工作或出现黑客插入的非正常网站内容 12 网页挂马 : 通过在网页中嵌入恶意代码或链接, 致使用户计算机在访问该页面时被植入恶意代码 13 网页仿冒 : 通过构造与某一目标网站高度相似的页面 ( 俗称钓鱼网站 ), 并通常以垃圾邮件 即时聊天 手机短信 虚假广告等方式诱骗用户访问钓鱼网站获取用户个人秘密信息 -114-

122 技术支撑 : 依托国家互联网应急中心及各网络安全应急支撑单位的技术 团队, 实现对省内重要信息系统的网络安全技术支撑 ; 分析研判并处置针对重要信息系统的网络安全攻击事件 ; 支撑重点单位重要时期的网络安全防护 安全研究 : 持续跟踪研究互联网存在的各种网络安全问题和新兴技术, 通过课题研究 实战演练等形式为网络安全事件发现 应急处置提供技术参考和指引 咨询培训 : 为江苏省政府部门 重要信息系统 重要企事业单位提供网 络安全防护技术 应急处理技术以及应急组织建设等方面的培训和咨询 安全服务 : 计算机网络安全事件监测 预警 处置服务 计算机网络与 信息系统和产品检测服务 网络和系统风险评估服务 互联网舆情服务 JSCERT 联系方式 : 电邮 :jscert@cert.org.cn 热线 : 传真 : 网址 :