1 情况综述 2016 年 2 月, 全省公共互联网网络安全状况整体评价为良本月, 我省互联网基础设施运行平稳, 全省范围内未发生造成重大影响的基础设施运行安全事件, 未发生网络安全方面重大事件通过国家计算机网络应急技术处理协调中心陕西分中心 ( 以下简称陕西互联网应急中心 SNCERT) 监测

Size: px

Start display at page:

Download "1 情况综述 2016 年 2 月, 全省公共互联网网络安全状况整体评价为良本月, 我省互联网基础设施运行平稳, 全省范围内未发生造成重大影响的基础设施运行安全事件, 未发生网络安全方面重大事件通过国家计算机网络应急技术处理协调中心陕西分中心 ( 以下简称陕西互联网应急中心 SNCERT) 监测"

纹桥艾
7 years ago
Views:

1 2016 年 2 月陕西省通信管理局国家计算机网络应急技术处理协调中心陕西分中心目录 1 情况综述安全事件分析木马僵尸网络事件分析飞客蠕虫病毒事件分析网页篡改事件分析网站后门事件分析安全事件处置情况安全预警信息本月重要安全漏洞信息通报本月活跃网络病毒情况本月恶意代码捕获和传播情况本月钓鱼网站统计情况本月重要漏洞修补信息业界动态工信部决定在浙江试点云计算信息安全管理工作中国互联网网络安全威胁治理联盟成立中国首个网络安全专项基金成立 3 亿元支持人才培养美国成立网络安全促进委员会提升网络安全环境黑客攻击土耳其国家警察服务器 : 公布 17.8GB 数据... 23

2 1 情况综述 2016 年 2 月, 全省公共互联网网络安全状况整体评价为良本月, 我省互联网基础设施运行平稳, 全省范围内未发生造成重大影响的基础设施运行安全事件, 未发生网络安全方面重大事件通过国家计算机网络应急技术处理协调中心陕西分中心 ( 以下简称陕西互联网应急中心 SNCERT) 监测及电信运营企业安全厂商安全通报成员单位报送, 我省被境外通过木马僵尸程序控制的主机 ( 受控端 )IP 数为 25,490 个, 较上个月减少 35.4%, 占全国总数的 1.88%; 木马僵尸控制服务器 ( 控制端 )IP 数为 38 个, 较上个月减少 25.49%, 占全国总数的 0.99%; 省内被篡改网页的网站数为 65 个, 较上个月减少 10.96%, 占全国总数的 1.13%; 省内被植入后门网站数为 44 个, 较上个月减少 38.03%, 占全国总数的 1.02%; 省内感染飞客蠕虫的主机 IP 数为 23,243 个, 较上个月增加 37.14%, 占全国总数的 3.96% 2 安全事件分析 2.1 木马僵尸网络事件分析 2016 年 2 月,CNCERT/CC 对木马僵尸的活动状况进行了抽样监测, 发现中国大陆地区 1,353,783 个 IP 地址对应的主机被木马或僵尸程序秘密控制事件高发的三个省份分别为广东省 ( 约占 10.6%) 山东省 ( 约占 8.9%) 江苏省 ( 约占 8.6%), 分布情况如图 1 所示第 2 页

图 1: 中国大陆地区木马或僵尸程序受控主机地区分布图 2015 年 3 月 -2016 年 2 月境内木马或僵尸程序受控主机 IP 数量月度统计情况如图 2 所示图 2: 中国大陆地区木马或僵尸程序受控主机 IP 数量月度统计 2016 年 2 月, 陕西省有 25,490 个 IP

3 图 1: 中国大陆地区木马或僵尸程序受控主机地区分布图 2015 年 3 月年 2 月境内木马或僵尸程序受控主机 IP 数量月度统计情况如图 2 所示图 2: 中国大陆地区木马或僵尸程序受控主机 IP 数量月度统计 2016 年 2 月, 陕西省有 25,490 个 IP 地址对应的主机被境内外黑客通过木马或僵尸程序控制, 约占全国总数的 1.88%, 居全国第 19 位 ; 有 38 个 IP 地址对应的主机被用作木马和僵尸程序控制主机与境外进行通信, 约占全国总数的 0.99%, 居全国第 18 位 2.2 飞客蠕虫病毒事件分析 2016 年 2 月,CNCERT/CC 对飞客蠕虫的活动状况进行了抽样第 3 页

监测, 发现境内感染飞客蠕虫的主机 IP 地址共 587,559 个事件高发的三个省份分别为广东 ( 约占 21.7%) 江苏 ( 约占 9.1%) 和浙江 ( 约占 7.7%); 其中陕西省 23,243 个 IP 地址, 约占全国总数的 3.96%, 排名第 8 位其分布情况如图 3 所示图 3: 境内感染飞客蠕虫的主机 IP 按地区分布图 2.

4 监测, 发现境内感染飞客蠕虫的主机 IP 地址共 587,559 个事件高发的三个省份分别为广东 ( 约占 21.7%) 江苏 ( 约占 9.1%) 和浙江 ( 约占 7.7%); 其中陕西省 23,243 个 IP 地址, 约占全国总数的 3.96%, 排名第 8 位其分布情况如图 3 所示图 3: 境内感染飞客蠕虫的主机 IP 按地区分布图 2.3 网页篡改事件分析 2016 年 2 月,CNCERT/CC 监测发现中国大陆地区被篡改网站 5,744 个, 其中境内被篡改政府网站 (.gov) 数量为 87 个被篡改网站分布情况如图 4 所示, 最多的地区分别为广东省 ( 约占 21.4%) 北京市 ( 约占 19.2%) 和福建省 ( 约占 11.1%) 图 4: 境内被篡改网站按地区分布第 4 页

5 所示 2015 年 3 月 -2016 年 2 月境内被篡改网站数量按月度统计如图图 5: 境内被篡改网站数量月度统计 2016 年 2 月, 陕西省内被篡改网站数量为 65 个, 全国排名第 13 位, 约占全国总数的 1.13% 2.

5 5 所示 2015 年 3 月年 2 月境内被篡改网站数量按月度统计如图图 5: 境内被篡改网站数量月度统计 2016 年 2 月, 陕西省内被篡改网站数量为 65 个, 全国排名第 13 位, 约占全国总数的 1.13% 2.4 网站后门事件分析 2016 年 2 月,CNCERT/CC 监测发现中国大陆地区网站被植入后门数量 4,298 个网站被植入后门分布情况如图 6 所示, 最多的地区分别为广东 ( 约占 23.7%) 北京 ( 约占 22.1%) 和江苏 ( 约占 12.6%) 图 6: 境内网站被植入后门按地区分布第 5 页

6 2016 年 2 月, 陕西省境内监测发现网站被植入后门数量 44 个, 约占全国总数的 1.02%, 全国排名第 13 名 3 安全事件处置情况 2016 年 2 月, 陕西互联网应急中心共协调处理各类网络安全事件 8,294 起, 其中僵尸木马受控事件 5186 起, 僵尸木马控制事件 27 起, 飞客病毒事件 3040 起, 网站安全事件 41 起 ; 其中重要信息系统网页篡改事件 18 起,Java 反序列化漏洞 9 起,SQL 注入漏洞 10 起, 弱口令漏洞 2 起, 信息泄露漏洞 1 起, 后门漏洞 1 起陕西互联网应急中心及时向用户作了情况通报并指导用户进行系统恢复, 使事件在最快时间内得到处理, 消除了不良影响 4 安全预警信息 4.1 本月重要安全漏洞信息通报 2016 年 2 月,CNCERT/CC 收到的来自国家信息安全漏洞共享平台 (CNVD) 报告的漏洞数量 559 个, 其中高危漏洞 160 个中危漏洞 372 个低危漏洞 27 个, 其中 0day 漏洞 63 个, 可远程攻击漏洞 491 个 2015 年 3 月年 2 月 CNVD 收录漏洞按月统计情况分布如图 7 所示第 6 页

7 图 7: CNVD 收录漏洞按月统计情况 2016 年 2 月 CNVD 收录漏洞按类型统计情况分布如图 8 所示图 8: CNVD 收录漏洞按类型统计情况 2016 年 2 月, 国家信息安全漏洞共享平台 (CNVD) 收录漏洞的补丁总数 496 个, 其中高危漏洞补丁 146 个中危漏洞补丁 323 个低危漏洞补丁 27 个 ( 一 ) 关于 Cisco ASA Software IKE 密钥交换协议缓冲区溢出漏洞的安全公告第 7 页

8 近日, 国家信息安全漏洞共享平台 (CNVD) 收录了 Cisco ASA Software IKE 密钥交换协议缓冲区溢出漏洞 (CNVD , 对应 CVE ) 攻击者利用漏洞可致网络设备重载或远程代码执行, 进而可获取目标系统的控制权限, 构成信息泄露和运行安全风险一漏洞情况分析 Cisco ASA 是一款自适应安全设备, 可提供安全和 VPN 服务的模块化平台, 可提供防火墙 IPS anti-x 和 VPN 服务由于 Cisco ASA Software 分段协议中的 IKE 网络密钥交换算法存在设计缺陷, IKEv1 及 IKEv2 代码中存在缓冲区溢出漏洞未经身份验证的远程攻击者利用漏洞发送特制的 UDP 数据包到受影响系统, 可致设备重载或远程代码执行, 进而可获取到目标系统的完整控制权 CNVD 对该漏洞的综合评级为高危, 且对应的安全威胁 CVSS 基准评分为 10 分 ( 最高分即为 10 分 ) 二漏洞影响范围漏洞影响多款运行了思科 ASA 防火墙软件的设备, 产品用户遍及电信金融服务零售等行业以及政府部门和教育机构等, 部分设备还附带 VPN 模块或可用作 VPN 用途, 对于内部区域网络构成直接威胁受影响设备列表包括 : 思科 ASA 5500 系列自适应安全设备思科 ASA 5500-X 系列下一代防火墙思科 Catalyst 6500 系列交换机的思科 ASA 服务模块第 8 页

9 思科 7600 系列路由器思科 ASA 1000V 云防火墙思科自适应安全虚拟设备 (ASAV) 思科 Firepower 9300 ASA 安全模块思科 ISA 3000 工业安全设备根据 CNVD 初步检测结果, 互联网上共有 1 万台 Cisco ASA 系列防火墙设备暴露在互联网上, 其中欧美国家占绝大多数居前五位的是美国 (60.7%) 英国(5.0%) 加拿大(3.7%) 德国 (3.2%) 荷兰(3.1%), 中国占比约为 1.0% 三漏洞修复建议目前, 互联网上已披露针对漏洞利用原理的详细分析 ( 暂未出现公开的攻击利用代码 ), 厂商已发布了安全公告修复该漏洞 CNVD 建议相关用户及时下载更新, 避免引发漏洞相关的网络安全事件, 特别是国内电信和互联网行业以及重要行业单位注意排查本单位使用的上述设备列表情况附 : 参考链接 : curityadvisory/cisco-sa asa-ike 第 9 页

10 ( 二 ) 关于 GNU glibc getaddrinfo() 堆栈缓冲区溢出漏洞的安全公告近日, 国家信息安全漏洞共享平台 (CNVD) 收录了 GNU glibc getaddrinfo() 堆栈缓冲区溢出漏洞 (CNVD , 对应 CVE ) 攻击者利用漏洞可通过构建恶意 dns 服务或使用中间人的方法对受害者发起攻击, 对 Linux 终端设备构成安全威胁一漏洞情况分析 GNU glibc 是一款按 LGPL 许可协议发布的开源 C 语言编译程序, 是 Linux 操作系统中 C 库的实现 glibc 中 getaddrinfo 函数在处理特定 dns response 数据包时存在栈溢出漏洞由于 glibc 通过 alloca() 函数在栈中为 _nss_dns_gethostbyname4_r 函数 2048 字节的空间, 用于托管 DNS 响应 ; 若响应大于 2048 字节, 程序会从堆中重新分配一个缓冲区, 并更新所有信息 ( 缓冲区指针, 缓冲区大小和响应大小 ); 在一定条件下, 会出现栈缓冲区和新分配的堆内存的错误匹配, 导致超过栈缓冲区大小的响应仍然存储在栈中, 进而发生缓冲区溢出攻击者利用漏洞可通过构建恶意 dns 服务或使用中间人攻击的方法对 Linux 主机或相关设备发起攻击, 导致远程代码执行, 进而可获取用户终端控制权 CNVD 对该漏洞的综合评级为高危二漏洞影响范围第 10 页

11 漏洞影响 glibc>2.9 的所有版本,glibc 是 Linux 系统中最底层的 API, 应用于众多 Linux 发行版本中, 因此该漏洞影响范围广泛所有 Debian 系列 Red Hat 系列的 Linux 发行版, 只要 glibc 版本大于 2.9 均受该漏洞影响三漏洞修复建议目前, 互联网上已披露针对该漏洞的利用原理分析及利用代码厂商暂未发布升级补丁修复该漏洞,CNVD 建议用户采取如下临时措施 : 该漏洞存在于 resolv/res_send.c 文件中, 当 getaddrinfo() 函数被调用时会触发该漏洞, 技术人员可以通过将 TCP DNS 响应的大小限制为 1024 字节, 并丢弃所有超过 512 字节的 UDP DNS 数据包来缓解该问题附 : 参考链接 : ( 补丁链接 ) ( 三 )Apache Tomcat Security Manager 远程代码执行漏洞 Apache Tomcat 是一个流行的开源 JSP 应用服务器程序 Apache Tomcat Security Manager 在会话持续性机制的实现上存在安全限制绕过漏洞, 允许攻击者在会话中放置构造的对象, 利用此漏洞可触发任意代码执行第 11 页

12 该漏洞影响产品为 Apache Tomcat Security Manager, 属高危漏洞,CNVD-ID 为 CNVD ,CVE-ID 为 CVE 目前厂商已经发布了升级补丁以修复这个安全问题, 请到厂商的主页下载 : ( 四 )Huawei Policy Center 权限提升漏洞 Huawei Policy Center 是华为公司的一套策略管理中心软件该软件存在权限提升漏洞攻击者可利用该漏洞获取提升的权限, 执行未授权操作该漏洞影响产品为 Huawei Policy Center, 属高危漏洞, CNVD-ID 为 CNVD 用户可参考如下供应商提供的安全公告获得补丁信息 : ( 五 )Kingsoft WPS Office 内存损坏漏洞 Kingsoft WPS Office 是一款办公软件套件, 常用组件包括 : Writer Spreadsheets 和 Presentation 等 Kingsoft WPS Office 存在内存破坏漏洞, 允许攻击者利用该漏洞构建恶意文件, 诱使用户解析, 可使应用程序崩溃或执行任意代码该漏洞影响产品为 Kingsoft WPS Office 2016, 属高危漏洞, CNVD-ID 为 CNVD 用户可参考如下厂商提供的安全补丁以修复该漏洞 : ( 六 )PostgreSQL 权限提升漏洞第 12 页

13 PostgreSQL 是一款高级对象 - 关系型数据库管理系统, 支持扩展的 SQL 标准子集 PostgreSQL 存在安全漏洞, 由于某些版本未能正确限制访问 PL/Java 的自定义配置设备, 远程攻击者利用此漏洞可获取提升的权限该漏洞影响产品为 PostgreSQL, 属高危漏洞,CNVD-ID 为 CNVD ,CVE-ID 为 CVE 目前厂商已经发布了升级补丁以修复这个安全问题, 请到厂商的主页下载 : html 4.2 本月活跃网络病毒情况活跃网络病毒 TOP5 病毒名称 Trojan.Win32.FakeLPK.g ( 木马病毒 ) Worm.AutoIt.b( 蠕虫病毒 ) Backdoor.Win32.Rbot.gcy ( 后门病毒 ) 病毒特点病毒运行后伪装成系统服务并设置自身为开机自启动, 启动服务进程后台调用命令行进行自我删除,System32 目录释和 C 盘根目录下释放恶意软件 : C:\WINDOWS\system32\hra33.dll C:\RCXB.tmp, 感染局域网内其它电脑, 收集用户隐私信息发送至黑客指定地址电脑中毒后将面临网络账密被盗等风险病毒运行后系统关键目录释放自身的副本 : C:\WINDOWS\system32\RVHOST.exe C:\WINDOWS\RVHOST.exe 调用 cmd, 取消计划的自动关机, 设定每周的每一天运行自身 9 个小时整, 设置自身为开机自启动, 访问黑客指定地址电脑中毒后, 系统运行缓慢, 网络资源被大量占用, 严重者可导致系统宕机病毒运行后将在系统目录下释放恶意文件并通过修改注册表注册系统服务此外, 病毒还将远程注入系统进程 svchost.exe, 静默调用 cmd 并自我删除, 在系统关键目录下释放恶意软件 C:\WINDOWS\system32\hra33.dll 和 C:\RCX5.tmp, 感染磁盘 exe 文件, 在根目录下释放伪装 lpk 的恶意软件后台连接黑客指定网址, 下载其它恶意程序中毒后电脑将会被黑客监控, 并开启后门, 成为黑客的肉鸡第 13 页

14 Trojan.Win32.Generic ( 木马病毒 ) Trojan.DL.Win32.Jongiti. a( 木马病毒 ) 病毒运行后加载 ID 为 0x65 的资源 ( 名字字符串 ), 以此创建互斥体, 保证系统中只有一个实例在运行加载 ID 为 0x66 的资源 ( 可执行文件 ), 释放到临时目录, 名字为 hrlx.tmp 遍历盘符感染磁盘上所有后缀为 exe 的文件, 感染方式为在 exe 同目录下释放伪装的恶意软件 lpk.dll, 并且设置其属性为系统隐藏只读电脑中毒后用户将面临网络账密被盗风险病毒运行后读取系统配置文件, 拼接字符串, 访问指定页面, 下载恶意软件到临时目录下并执行 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\z.ico 修改注册表, 劫持浏览器首页, 电脑中毒后用户将面临网络账密被盗风险表 1: 活跃网络病毒 TOP5 4.3 本月恶意代码捕获和传播情况以下表 2 为中国反病毒联盟 (ANVA) 近期监测发布的散布恶意代码的 URL, 登陆这些 URL, 会弹出下载指令, 如点击下载, 将使用户主机感染恶意程序 %B9%E4%B8%8B%E8%BD%BD%E7%94%B5%E8%84%91%E7%89%88@135_44057.exe 表 2: 恶意 URL 列表 4.4 本月钓鱼网站统计情况第 14 页

15 本月钓鱼网站 Top5: 序号钓鱼类型钓鱼 URL 危害 1 假冒小米腾讯类 2 假冒支付类 3 假冒中国移动类 4 假冒邮箱类 hp 假冒购物类骗取用户邮箱账号及密码信息骗取用户卡号及密码信息骗取用户手机号及服务密码信息骗取用户账号及个人信息骗取用户账号及密码 4.5 本月重要漏洞修补信息 ( 一 )Ubuntu Linux 本地权限提升漏洞 (CNVD ) 的补丁 Ubuntu 是英国科能 (Canonical) 公司和 Ubuntu 基金会共同开发的一套以桌面应用为主的 GNU/Linux 操作系统 Ubuntu Linux 中存在本地提权漏洞本地攻击者可利用该漏洞获取提升的权限目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : ( 二 )Cisco StarOS 权限提升漏洞的补丁 Cisco StarOS on ASR 5000 是美国思科 (Cisco) 公司的一套运行于 5000 系列路由器设备中的操作系统 Cisco ASR 5000 上的 Cisco StarOS 19.3.M 之前版本和 20.0.M 之前 20.x 版本存在权限提升漏洞, 允许已通过身份验证的远程用户通过建立从第 15 页

16 以前用于管理员连接的终结点的连接获得权限目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : curityadvisory/cisco-sa asr ( 三 )HP Continuous Delivery Automation 命令执行漏洞的补丁 HP Continuous Delivery Automation 是一套用于实现自动化部署多层应用程序的解决方案 HP Continuous Delivery Automation 存在安全漏洞, 允许远程攻击者可利用特制的序列化的 Java 对象执行任意命令目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : /docdisplay?docid=emr_na-c ( 四 )WeBid SQL 注入漏洞的补丁 WebID 是可以自动获取 ESET 杀毒软件的序列号 WeBid 存在 SQL 注入漏洞由于 '$_SESSION["id"]' 回话变量未能正确过滤, 攻击者可以利用漏洞在应用程序的数据库改变原始的 SQL 查询和执行任意的 SQL 命令目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : 第 16 页

17 ity-patch-for-1-1-2p2-and-older.9078/ ( 五 )Adobe Photoshop CC 拒绝服务漏洞 (CNVD ) 的补丁 Adobe Photoshop CC 即 Creative Cloud, 是美国 Adobe 公司开发的基于云时代的图形处理软件 Adobe Photoshop CC 之前的版本,Photoshop CC 之前的版本,Bridge CC 6.2 之前的版本存在拒绝服务漏洞, 允许攻击者通过未指定向量执行任意代码或导致拒绝服务目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : sb16-03.html ( 六 )Android 内存破坏漏洞 (CNVD ) 的补丁 Android 是美国谷歌 (Google) 公司和开放手持设备联盟 ( 简称 OHA) 共同开发的一套以 Linux 为基础的开源操作系统 mediaserver 是其中的一个多媒体服务组件 Android LMY49G 之前 5.x 版本和之前 6.x 版本的 mediaserver 中的 media/libmediaplayerservice/nuplayer/genericsource.cpp 文件中的 NuPlayer::GenericSource::notifyPreparedAndCleanup 函数中存在安全漏洞, 该漏洞源于程序未能正确管理 mdrmmanagerclient 对象远程攻击者可借助特制的多媒体文件利用该漏洞造成拒绝服务 ( 内存破坏 ) 或执行任意代码目前, 供应商发布了安全公告及相关第 17 页

18 补丁信息, 修复了此漏洞补丁链接 : ( 七 )Microsoft Windows 远程桌面协议特权提升漏洞的补丁 Microsoft Remote Desktop Protocol(RDP, 远程桌面协议 ) 是美国微软 (Microsoft) 公司的一个基于 Windows 系统中的多通道 (multi-channel) 的协议, 它能够远程连接和控制服务器或电脑 Microsoft Windows 中的远程桌面协议 (RDP) 中存在特权提升漏洞远程攻击者可通过使用 RDP 登录目标系统并通过经过身份验证的连接发送经特殊设计的数据, 利用该漏洞以提升的特权执行代码目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : 5 业界动态 5.1 工信部决定在浙江试点云计算信息安全管理工作近日, 工信部决定在浙江阿里云计算有限公司开展云计算业务信息安全管理工作试点据了解, 工信部网络安全管理局中国信息通信研究院相关专家在调研阿里云计算有限公司云计算业务信息安全技术手段建设情况的基础上认为 : 云计算业务具有 IDC 机房跨省分布机房间高速互联流量全局调度承载业务动态迁移流动性强等特点, 传统 IDC 业务信第 18 页

19 息安全技术手段已无法满足监管要求, 结合新版电信业务分类目录的发布, 亟须完善配套管理措施, 开展相关工作试点十分迫切为此, 工信部计划在浙江的阿里云计算有限公司开展云计算业务信息安全管理工作试点试点工作由中国信息通信研究院会同浙江省通信管理局及相关企业组建试点专项小组, 共同制定云计算业务信息安全管理技术标准, 通过试点验证标准及技术手段建设方案的可行性有效性, 为新形势下加强云计算业务信息安全管理提供经验 5.2 中国互联网网络安全威胁治理联盟成立 2016 年 2 月 26 日, 国家互联网应急中心 ( 以下简称 CNCERT ) 联合中国互联网协会网络与信息安全工作委员会在京召开互联网网络安全威胁治理行动 ( 以下简称行动 ) 总结大会, 对行动所取得的积极成果予以总结, 并对行动过程中表现突出的单位进行了表彰为巩固行动取得的成果, 建立互联网网络安全威胁治理长效机制, 大会宣布成立中国互联网网络安全威胁治理联盟 ( 以下简称联盟 ), 首批共 90 家企业申请加入联盟行动自 2015 年 7 月 31 日启动以来, 举全行业之力, 通过投诉举报情报共享威胁认定协同处置信息发布等多项措施环环相扣, 取得了显著治理效果互联网黑产已经成为影响我国互联网正常有序运行的重要原因之一, 如博彩或私服等网站链接通过向政府网站或知名网站植入暗链提高网络搜索排名, 通过采用拒绝服务攻击 ( 以下简称 DDoS 攻击 ) 对竞争对手发起网络攻击导致网络不能正常提供服第 19 页

20 务等此次行动重点针对 DDoS 攻击网页篡改等与互联网黑产密切相关的事件进行重点处置行动期间共接到广大网民举报的网络安全事件起, 处置网络安全事件起, 发布黑名单地址条 DDoS 攻击事件次数由行动启动前的日均 1491 起下降到现在的日均 265 起, 大幅下降 82.2%; 境内被篡改网站相比行动启动前下降 21.4%, 其中被篡改政府网站相比下降了 56.2% 此次行动直面互联网黑产背后存在巨大的利益链条, 不惧触动链条上利益群体, 行动参与单位排除顾虑, 积极行动, 对于发现的网上 DDoS 攻击售卖和传播等互联网黑产行为进行了坚决处置大会对行动过程中表现突出的 31 家单位进行了表彰, 号召受表彰单位充分发挥带头和模范作用, 带动行业内企业发挥各自作用, 坚决维护我国网络安全会上, 部分行动参与单位受邀发言, 均表示积极参与联盟的有关工作, 切实落实企业责任最后, 会上讨论通过了联盟章程, 公布首批联盟成员单位名单, 联盟成员单位主要由境内的基础电信企业非经营性互联单位域名注册服务机构互联网和安全企业 IDC 应用商店等覆盖安全产业链上下游的企业组成该联盟的成立, 提供了一个行业内公共沟通交流的平台, 联盟以行业自律为主导, 联合网络安全领域上下游各方面力量, 充分发挥联盟成员单位作用, 加强互联网网络安全威胁情报共享相互协作, 对与互联网黑产密切相关的各类威胁进行整治, 有效净化网络安全环境, 维护用户网络安全和利益, 树立我国负责任网络大国的良好形象第 20 页

21 5.3 中国首个网络安全专项基金成立 3 亿元支持人才培养国际在线报道 : 中国首个网络安全专项基金日前成立, 启动资产达 3 亿元, 将专门用于支持国家网络安全人才培养和奖励近日, 中国网站安全报告显示 : 中国超过四成的网站存在漏洞, 超过 13% 的网站存在高危漏洞, 网络安全再次引发社会关注此次网络安全专项基金的 3 亿元启动资金由一位香港企业家捐出网信办网络安全协调局局长赵泽良介绍, 专项基金设在中国互联网发展基金会之下, 将主要用于奖励网络安全优秀人才优秀教师优秀标准优秀教材, 资助网络安全专业优秀学生的学习和生活, 支持网络安全人才培养基地等重要工作, 每年跟捐资人都有详细计划, 每年资助多少学生奖励多少人才多少教师, 都有非常的预算, 捐资人也提出会按照这个来监督, 我们也会按照这个来指导赵泽良说, 之所以将 3 亿元资金着重于网络安全人才的培养上, 是因为在这个领域, 中国的人才缺口巨大, 我们国家的网络安全人才本科硕士博士加在一起不过八千人, 中国有七亿网民, 八千的毕业生远远不够, 无论是数量上还是质量上, 我看过一个材料, 说新加坡的网络安全人才缺口是八万人, 咱们想想这个比例, 我们这么大的国家, 要做好网络安全工作, 最大的短板就是人才培养, 所以已经是时不我待, 非常紧迫了当前, 四川大学西安电子科技大学北京邮电大学上海交通大学解放军信息工程大学正在建设国家网络安全人才培养基地四川大学网络安全研究院常务副院长陈兴蜀向记者介绍了培养网络安第 21 页

22 全人才的特殊性, 网络空间安全是一级学科, 去年刚刚成立这个学科很大特点就是对人的要求又特殊性举个例子, 比如做系统安全的, 以前只要把系统说清楚, 整个系统该如何构建但是现在需要做系统安全的人, 必须理解系统的构架, 还要知道安全问题在哪里, 如何解决所以对网络安全的人才有技术特殊性和悟性要求, 这个资金进来, 我们希望直接吸引年轻人学生和老师这个基金刚刚成立, 下一步如何使用会通过相应协议, 我们学校也会成立相应机构来管理这笔基金据了解, 就在 2015 年, 教育部已将网络空间安全设为一级学科, 并制订了学位基本要求和教学质量国家标准目前, 网络安全信息对抗保密管理三个专业在各高校布点共 121 个, 电子信息类计算机类等与网络人才培养相关专业布点 4800 余个而此次网络安全专项基金的成立将进一步鼓励高校在培养网络安全人才的思路理念培养模式同企业的合作方面探索出新路径 5.4 美国成立网络安全促进委员会提升网络安全环境中新社华盛顿 2 月 17 日电, 美国总统奥巴马当地时间 17 日宣布任命前白宫国家安全事务助理多尼隆担任网络安全促进委员会主席, 新委员会的主要任务是帮助联邦政府私营企业和公民个人改善网络安全环境, 为提升美国长期网络安全提供一份路线图多尼隆曾于 2010 年至 2013 年担任美国总统国家安全事务助理, 是一位在网络安全领域有丰富经验的政策专家奥巴马同时任命 IBM 公司前首席执行官彭明盛担任委员会副主席第 22 页

23 奥巴马当天在白宫与多尼隆等会晤时表示, 网络安全促进委员会的工作范围非常广泛, 包括确保联邦政府数据库运行更加安全, 提升政府部门软硬件水平, 保护其不受黑客攻击, 推动政府更有效地与金融基础设施等关键行业开展合作确保行业系统运行更安全, 推动美国公民的金融健康等信息更安全等, 以帮助联邦政府私营企业和公民个人改善网络安全环境, 提升美国国家安全奥巴马说, 他将确保国土安全部部长约翰逊商务部长普里茨克等政府高官与网络安全促进委员会保持密切合作, 委员会须于 2016 年 12 月 1 日前形成建议报告提交奥巴马, 为提升美国长期网络安全提供一份路线图白宫本月早些时候已宣布计划在 2017 财年斥资 190 亿美元强化网络安全, 将资金拨付国防部联邦调查局退伍军人事务部和联邦人事管理局等部门, 升级政府机构网络安全基础设施, 淘汰陈旧的计算机系统, 招募优秀的网络安全人才近年来, 美国政府已多次鼓励企业与政府共享网络威胁信息, 但出于公民隐私保护等考虑, 一些企业不愿共享目前国土安全部下属的网络安全和通信整合中心是负责推动政府与企业共享网络威胁信息的主要机构 5.5 黑客攻击土耳其国家警察服务器 : 公布 17.8GB 数据据外媒报道, 近日, 一名叫做 ROR(RG) 的黑客从土耳其国家警察 (EMG) 服务器盗取了大量数据, 现在这些数据已经在网上发布了 BitTorrent 下载链接 ROR(RG) 这名黑客还曾是 Adult Friend Finder 第 23 页

24 数据泄露的幕后黑手, 当时他公布了 380 多万用户的高敏感个人信息这次,ROR(RG) 选择同一个网站 --The Cthulhu-- 来公布数据该名黑客告诉 The Cthulhu, 其实早在两年前就已经尝试过攻击土耳其警察局服务器, 同时期, 他还曾渗透到其他政府系统两年过后,ROR(RG) 仍旧可以访问那些被他攻击过的网站 ROR(RG) 表示, 他之所以公布这些信息则是因为他相信, 土耳其警察内部存在严重的腐败现象现在, 关于土耳其腐败问题和职权滥用的报道络绎不绝各大国际媒体记者和匿名者 (Anonymous) 黑客都认为土耳其政府应当为美国记者 Serena Shim 的死负责对此, 匿名者也曾向土耳其政府发起网络攻击, 该组织指责土耳其协助叙利亚国内的 IS 成员, 甚至还为他们提供医疗帮助另外, 土耳其媒体也已经多次公开指责土耳其政府在镇压公众抗议上采取的暴力滥用现象虽然此次公布的数据包大约只有 2GB 大, 但将其解压之后则有 17.8GB 的信息量所有数据都以.myd 和.myi 的格式存在第 24 页

25 术语解释 : 漏洞 : 指信息系统中的软硬件或通信协议中存在缺陷或不适当的配置, 从而可使攻击者在未授权的情况下访问或破坏系统, 导致信息系统面临安全风险恶意代码 : 是指在未经授权的情况下, 在信息系统中安装执行以达到不正当目的的程序僵尸网络 : 僵尸网络是被黑客集中控制的计算机群, 其核心特点是黑客能够通过一对多的命令与控制信道操作感染僵尸程序的主机执行相同的恶意行为, 如可同时对某目标网站进行分布式拒绝服务攻击, 或发送大量垃圾邮件等拒绝服务攻击 : 指向某一目标信息系统发送密集的攻击包, 或执行特定攻击操作, 以期致使目标系统停止提供服务网页篡改 : 指恶意破坏或更改网页内容, 使网站无法正常工作或出现黑客插入的非正常网页内容恶意链接 ( 暗链 ): 也称为黑链, 被插入后将会被搜索引擎降权 ; 对网站访问者造成不良影响 ; 将会协助恶意网站 ( 可能为钓鱼网站反动网站赌博网站等 ) 提高搜索引擎排名, 也意味着能被篡改页面网络仿冒 : 指通过构造与某一目标网站高度相似的页面 ( 俗称钓鱼网站 ), 并通常以垃圾邮件即时聊天手机短信或页面虚假广告等方式发送声称来自于被仿冒机构的欺骗性信息, 诱骗用户访问钓鱼网站, 以获取用户个人私密信息 ( 如银行帐号和账户密码 ) 第 25 页

26 网页挂马 : 指通过破坏网页并植入恶意代码或链接, 致使用户计算机在访问页面时被植入恶意代码网站后门 : 指黑客在网站的特定目录中上传远程控制页面从而能够通过该页面秘密远程控制网站服务器的攻击事件 0Day: 指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息 APT 攻击 : 高级持续性威胁 (Advanced Persistent Threat, APT),APT 是黑客以窃取核心资料为目的, 针对客户所发动的网络攻击和侵袭行为这种行为往往经过长期的经营与策划, 并具备高度的隐蔽性 APT 的攻击手法, 在于隐匿自己, 针对特定对象, 长期有计划性和组织性地窃取数据, 这种发生在网络空间的偷窃资料搜集情报的行为, 就是一种网络间谍的行为域名劫持 : 是通过拦截域名解析请求或篡改域名服务器上的数据, 使得用户在访问相关域名时返回虚假 IP 地址或使用户的请求失败非授权访问 : 指没有访问权限的用户以非正当的手段访问数据信息非授权访问事件一般发生在存在漏洞的信息系统中, 黑客利用专门的漏洞利用程序 (Exploit) 开获取信息系统访问权限路由劫持 : 路由劫持是通过欺骗方式更改路由信息, 以导致用户无法访问正确的目标, 或导致用户的访问流量绕行黑客设定的路径, 以达到不正常的目的第 26 页

27 关于我们 : 国家互联网应急中心是国家计算机网络应急技术处理协调中心的简称 ( 英文为 CNCERT 或 CNCERT/CC), 成立于 1999 年 9 月, 是一个非政府盈利的网络安全技术协调组织, 主要任务是 : 按照积极预防及时发现快速响应力保恢复的方针, 开展中国互联网网络安全事件预防发现预警和协调处置等工作, 以维护中国公共互联网环境的安全保障基础信息网络上重要系统的运行国家计算机网络应急技术处理协调中心陕西分中心 ( 简称陕西互联网应急中心或 SNCERT) 作为国家互联网应急中心在陕的分支机构, 根据业务范围开展陕西省内互联网网络安全事件的预防发现预警和协调处置等工作, 并负责编制印发陕西省互联网网络安全情况通报的具体工作联系我们 : 联系人 : 戴小平李相阳电话 : 传真 : 网址 : 第 27 页

1 情况综述 2016 年 3 月, 全省公共互联网网络安全状况整体评价为良本月, 我省互联网基础设施运行平稳, 全省范围内未发生造成重大影响的基础设施运行安全事件, 未发生网

1 情况综述 2016 年 3 月, 全省公共互联网网络安全状况整体评价为良本月, 我省互联网基础设施运行平稳, 全省范围内未发生造成重大影响的基础设施运行安全事件, 未发生网 2016 年 3 月陕西省通信管理局国家计算机网络应急技术处理协调中心陕西分中心目录 1 情况综述... 2 2 安全事件分析... 2 2.1 木马僵尸网络事件分析... 2 2.2 飞客蠕虫病毒事件分析... 3 2.3 网页篡改事件分析... 4 2.4 网站后