( 第 W003 期 ) 总第 30 期 1 情况综述 2016 年 4 月, 全省公共互联网网络安全状况整体评价为良本月, 我省互联网基础设施运行平稳, 全省范围内未发生造成重大影响的基础设施运行安全事件, 未发生网络安全方面重大事件通过国家计算机网络应急技术处理协调中心陕西分中心 ( 以下简

Size: px

Start display at page:

Download "( 第 W003 期 ) 总第 30 期 1 情况综述 2016 年 4 月, 全省公共互联网网络安全状况整体评价为良本月, 我省互联网基础设施运行平稳, 全省范围内未发生造成重大影响的基础设施运行安全事件, 未发生网络安全方面重大事件通过国家计算机网络应急技术处理协调中心陕西分中心 ( 以下简"

鸡夏
7 years ago
Views:

1 陕西省公共互联网网络安全情况月报 2016 年 4 月陕西省通信管理局国家计算机网络应急技术处理协调中心陕西分中心目录 1 情况综述安全事件分析木马僵尸网络事件分析飞客蠕虫病毒事件分析网页篡改事件分析网站后门事件分析移动互联网恶意程序感染情况分析安全事件处置情况安全预警信息本月重要安全漏洞信息通报本月活跃网络病毒情况本月恶意代码捕获情况本月挂马网站统计情况本月钓鱼网站统计情况本月重要漏洞修补信息业界动态陕西网信办组织学习习总书记重要讲话精神习近平主持召开网络安全和信息化工作座谈会第三届 4.29 首都网络安全日系列活动成功举办美国称将开始对伊斯兰国实施网络攻击孟加拉国央行失窃案 : 攻击软件系量身定做... 25

2 ( 第 W003 期 ) 总第 30 期 1 情况综述 2016 年 4 月, 全省公共互联网网络安全状况整体评价为良本月, 我省互联网基础设施运行平稳, 全省范围内未发生造成重大影响的基础设施运行安全事件, 未发生网络安全方面重大事件通过国家计算机网络应急技术处理协调中心陕西分中心 ( 以下简称陕西互联网应急中心 SNCERT) 监测及电信运营企业安全厂商安全通报成员单位报送, 我省被境外通过木马僵尸程序控制的主机 ( 受控端 )IP 数为 39,875 个, 较上个月减少 1.72%, 占全国总数的 1.88%; 木马僵尸控制服务器 ( 控制端 )IP 数为 41 个, 较上个月减少 16.33%, 占全国总数的 0.81%; 省内被篡改网页的网站数为 62 个, 较上个月增加 1.64%, 占全国总数的 0.97%; 省内被植入后门网站数为 166 个, 较上个月增加 95.3%, 占全国总数的 1.34%; 省内感染飞客蠕虫的主机 IP 数为 17,1691 个, 较上个月减少 37.11%, 占全国总数的 2.47% 2 安全事件分析 2.1 木马僵尸网络事件分析 2016 年 4 月,CNCERT/CC 对木马僵尸的活动状况进行了抽样监测, 发现中国大陆地区 2,122,908 个 IP 地址对应的主机被木马或僵尸程序秘密控制事件高发的三个省份分别为广东省 ( 约占 11.9%) 浙江省 ( 约占 9.9%) 江苏省( 约占 8.2%), 分布情况如图 1 所示第 2 页

图 1: 中国大陆地区木马或僵尸程序受控主机地区分布图 2015 年 5 月 -2016 年 4 月境内木马或僵尸程序受控主机 IP 数量月度统计情况如图 2 所示图 2: 中国大陆地区木马或僵尸程序受控主机 IP 数量月度统计 2016 年 4 月, 陕西省有 39,875 个 IP 地址对应的主机被境内外黑客通过木马或僵尸程序控制, 约占全国总数的

3 图 1: 中国大陆地区木马或僵尸程序受控主机地区分布图 2015 年 5 月年 4 月境内木马或僵尸程序受控主机 IP 数量月度统计情况如图 2 所示图 2: 中国大陆地区木马或僵尸程序受控主机 IP 数量月度统计 2016 年 4 月, 陕西省有 39,875 个 IP 地址对应的主机被境内外黑客通过木马或僵尸程序控制, 约占全国总数的 1.88%, 居全国第 16 位 ; 有 41 个 IP 地址对应的主机被用作木马和僵尸程序控制主机与境外进行通信, 约占全国总数的 0.81%, 居全国第 19 位 2.2 飞客蠕虫病毒事件分析 2016 年 4 月,CNCERT/CC 对飞客蠕虫的活动状况进行了抽样监测, 发现境内感染飞客蠕虫的主机 IP 地址共 694,704 个事第 3 页

4 件高发的三个省份分别为广东 ( 约占 25.5%) 江苏 ( 约占 10.7%) 和浙江 ( 约占 6.7%); 其中陕西省 17,169 个 IP 地址, 约占全国总数的 2.47%, 排名第 11 位其分布情况如图 3 所示图 3: 境内感染飞客蠕虫的主机 IP 按地区分布图 2.3 网页篡改事件分析 2016 年 4 月,CNCERT/CC 监测发现中国大陆地区被篡改网站 6,406 个, 其中境内被篡改政府网站 (.gov) 数量为 176 个被篡改网站分布情况如图 4 所示, 最多的地区分别为广东省 ( 约占 20.8%) 北京市 ( 约占 20.7%) 和河南省 ( 约占 10.9%) 图 4: 境内被篡改网站按地区分布第 4 页

所示 2015 年 5 月 -2016 年 4 月境内被篡改网站数量按月度统计如图 5 图 5: 境内被篡改网站数量月度统计 2016 年 4 月, 陕西省内被篡改网站数量为 62 个, 全国排名第 14 位, 约占全国总数的 0.97% 2.

5 所示 2015 年 5 月年 4 月境内被篡改网站数量按月度统计如图 5 图 5: 境内被篡改网站数量月度统计 2016 年 4 月, 陕西省内被篡改网站数量为 62 个, 全国排名第 14 位, 约占全国总数的 0.97% 2.4 网站后门事件分析 2016 年 4 月,CNCERT/CC 监测发现中国大陆地区网站被植入后门数量 12,364 个网站被植入后门分布情况如图 6 所示, 最多的地区分别为北京 ( 约占 22.3%) 广东 ( 约占 21.4%) 和河南 ( 约占 8.9%) 图 6: 境内网站被植入后门按地区分布第 5 页

6 2016 年 4 月, 陕西省境内监测发现网站被植入后门数量 166 个, 约占全国总数的 1.34%, 全国排名第 14 名 2.5 移动互联网恶意程序感染情况分析 2016 年 4 月,CNCERT/CC 监测发现中国大陆地区移动互联网恶意程序感染用户数量 112,500,143 个移动互联网恶意程序感染用户分布情况如图 8 所示, 最多的地区分别为广东省 ( 约占 10.8%) 安微省 ( 约占 6.7%) 和江苏省 ( 约占 6.3%) 图 7: 境内移动互联网恶意程序感染用户按地区分布移动互联网恶意程序控制服务器 IP 地址分布情况如图 8 所示图 8: 境内移动互联网恶意程序控制服务器 IP 地址数量分布 2016 年 4 月, 陕西省境内监测发现移动互联网恶意程序感染用户数量 6,991,360 个, 约占全国总数的 5.6%, 全国排名第 7 名第 6 页

3 安全事件处置情况 2016 年 4 月, 陕西互联网应急中心共协调处理各类网络安全事件 11,711 起, 其中僵尸木马受控事件 6,453 起, 僵尸木马控制事件 17 起, 飞客病毒事件 5,215 起, 网站安全事件 26 起 ; 其中重要信息系统网页篡改事件 6 起,Java 反序列化漏洞 2 起,SQL 注入漏洞 13 起, 弱口令漏洞 4 起, 未授权访问漏洞 1 起

7 3 安全事件处置情况 2016 年 4 月, 陕西互联网应急中心共协调处理各类网络安全事件 11,711 起, 其中僵尸木马受控事件 6,453 起, 僵尸木马控制事件 17 起, 飞客病毒事件 5,215 起, 网站安全事件 26 起 ; 其中重要信息系统网页篡改事件 6 起,Java 反序列化漏洞 2 起,SQL 注入漏洞 13 起, 弱口令漏洞 4 起, 未授权访问漏洞 1 起陕西互联网应急中心及时向用户作了情况通报并指导用户进行系统恢复, 使事件在最快时间内得到处理, 消除了不良影响 4 安全预警信息 4.1 本月重要安全漏洞信息通报 2016 年 4 月,CNCERT/CC 收到的来自国家信息安全漏洞共享平台 (CNVD) 报告的漏洞数量 655 个, 其中高危漏洞 210 个中危漏洞 369 个低危漏洞 76 个, 其中 0day 漏洞 76 个, 可远程攻击漏洞 547 个 2015 年 5 月年 4 月 CNVD 收录漏洞按月统计情况分布如图 9 所示图 9: CNVD 收录漏洞按月统计情况第 7 页

2016 年 4 月 CNVD 收录漏洞按类型统计情况分布如图 10 所示图 10: CNVD 收录漏洞按类型统计情况 2016 年 4 月, 国家信息安全漏洞共享平台 (CNVD) 收录漏洞的补丁总数 579 个, 其中高危漏洞补丁 190 个中危漏洞补丁 318 个低危漏洞补丁 71 个 ( 一 ) 关于 Squid 服务器存在多个拒绝服务漏洞的有关情况通报近期,

8 2016 年 4 月 CNVD 收录漏洞按类型统计情况分布如图 10 所示图 10: CNVD 收录漏洞按类型统计情况 2016 年 4 月, 国家信息安全漏洞共享平台 (CNVD) 收录漏洞的补丁总数 579 个, 其中高危漏洞补丁 190 个中危漏洞补丁 318 个低危漏洞补丁 71 个 ( 一 ) 关于 Squid 服务器存在多个拒绝服务漏洞的有关情况通报近期, 国家信息安全漏洞共享平台 (CNVD) 收录了 Squid 存在的多个拒绝服务漏洞 (CNVD CNVD CNVD CNVD ; 对应 CVE CVE CVE CVE ) 攻击者可利用上述漏洞远程发起拒绝服务攻击 CNCERT 第一时间对上述漏洞的相关情况进行了解和分析, 具体通报如下 : 一漏洞情况分析 Squid( 全称 Squid Cache) 是一套代理服务器和 Web 缓存服务器软件该软件提供缓存万维网过滤流量代理上网等功能第 8 页

9 由于 Squid 服务器 http.cc 文件以及 Edge Side Includes(ESI) 解析器存在设计缺陷, 程序在解析失败时对 HTTP 响应状态码参数有依赖关系, 同时在解析 XML 对象期间未能检查缓冲区限制, 未能正确将数据附加到 String 对象远程攻击者可借助畸形的响应信息构造的 XML 文档或较长的字符串, 造成服务器断言失败和守护进程退出, 构成拒绝服务攻击 Squid 作为应用广泛的服务器软件, 漏洞仍有可能被黑客地下产业利用发起以拒绝服务网络敲诈为目的攻击 CNVD 对上述漏洞的技术评级均为中危二漏洞影响范围漏洞影响 Squid 3.x(<3.5.15) 和 Squid 4.x(<4.0.7) 版本 ) 根据 CNVD 普查情况, 受漏洞影响 Squid 的服务器共计约 47.5 万台, 主要分布在经济较发达信息化水平发展较快的国家和地区在全球范围内排名前五的国家分别是 : 美国 ( 占比 52.9%) 罗马尼亚 (9.7%) 中国(8.6%) 英国(2.3%) 德国(1.9%) 在中国境内, 共有约 4.1 万台服务器受漏洞影响, 排名前五的省份分别为 : 四川 ( 占比 43.6%) 山东(21.1%) 北京(6.5%) 广东(3.3%) 上海 (3.0%) 三漏洞修复建议 Squid 生产厂商已发布了安全补丁修复该漏洞,CNVD 建议相关用户及时下载使用, 避免引发漏洞相关的网络安全事件安全更新参考以下厂商链接 : 第 9 页

10 patch quid patch quid patch quid patch ( 二 ) 关于 Apache Struts 2 S2-032 高危漏洞可被利用发起大规模攻击的安全公告 4 月 26 日, 互联网上披露了 Apache Struts 2 S2-032 远程代码执行漏洞 (CNVD ,CVE ) 的利用代码, 根据 CNVD 初步测试, 远程攻击者利用漏洞可在开启动态方法调用功能的 Apache Struts 2 服务器上执行任意代码, 取得网站服务器控制权一漏洞情况分析 Struts2 是第二代基于 Model-View-Controller (MVC) 模型的 java 企业级 web 应用框架, 并成为当时国内外较为流行的容器软件中间件 Struts2 的核心 jar 包 -struts2-core 中存在一个默认配置 default.properties 默认配置文件用于配置全局信息, 当 struts.enable.dynamicmethodinvocation = true, 即开启动态方法调用尽管在 Struts2 目前的安全策略中, 对部分动态调用方法进行了特殊字符传递的限制, 但在该漏洞中攻击者仍能通过通过 OGNL 表第 10 页

11 达式静态调用获取 ognl.ognlcontext 的 DEFAULT_MEMBER_ACCESS 属性并覆盖 _memberaccess 的方式进行绕过, 进而可在受控制的服务器端执行任意代码 CNVD 对该漏洞的综合评级为高危二漏洞影响范围漏洞影响 Struts ( 除和以外 ) 版本, 同时攻击利用代码已经在互联网上快速传播目前, 对于默认开启动态方法调用功能的 Apache Struts2 服务器比例还需要进一步评估根据国内民间漏洞报告平台的信息报送情况, 目前已经出现涉及银行保险行业单位以及大型互联网增值电信企业的信息系统受漏洞影响的案例报告三漏洞修复建议 Apache Struts 官方已发布了升级程序修复该漏洞,CNVD 建议用户升级至 struts , , 版本更新地址 : ide 未能及时升级的用户也可通过如下参数设置关闭动态方法调用功能来规避该漏洞的攻击威胁 : ( 注 : 由于动态方法调用涉及部分通配符功能, 此操作暂不能完全确保用户网站系统其他功能不受影响 ) 参考链接 : ( 三 )Apache Struts XSLTResult 任意代码执行漏洞第 11 页

12 Apache Struts 是美国阿帕奇 (Apache) 软件基金会负责维护的一款用于创建企业级 Java Web 应用的开源框架 Apache Struts 版本至版本的 XSLTResult 中存在安全漏洞, 远程攻击者可利用该漏洞注入并执行任意代码影响产品 :struts >=2.0.0 及 <=2.3.28, 属于高危漏洞,CNVD-ID 为 CNVD ,CVE-ID 为 CVE 目前厂商已经发布了升级补丁以修复这个安全问题, 请到厂商的主页下载 : ( 四 )Oracle MySQL Enterprise Monitor 组件存在未明漏洞 Oracle MySQL 是一套开源的关系数据库管理系统 Oracle MySQL 的的 MySQL Enterprise Monitor 组件中的 Monitoring: Server 子组件存在安全漏洞, 允许远程攻击者可利用漏洞影响系统的保密性, 完整性及可用性影响产品 :MySQL <= 及 <=3.1.2, 属于高危漏洞,CNVD-ID 为 CNVD ,CVE-ID 为 CVE 用户可参考如下厂商提供的安全补丁以修复该漏洞 : apr2016v html ( 五 )PHPback 'orderby' 参数 SQL 注入漏洞 PHPback 是一款开源的 Web 应用反馈系统, 提供用户反馈问题和建议, 帮助完善网站 PHPback 版本存在 SQL 注入漏洞攻击第 12 页

13 者利用漏洞, 通过 orderby 参数构造包含 ExtractValue() 函数的 SQL 语句, 用于执行数据库命令, 可获取数据库相关信息影响产品 : PHPBack1.3.0, 属高危漏洞, CNVD-ID 为 CNVD 目前厂商已发布了新版本修复该漏洞, 请将软件更新至版本 : ( 六 )HP Data Protector 远程代码执行漏洞 (CNVD ) HP Data Protector 是美国惠普 (HP) 公司的一套统一数据保护解决方案该方案通过利用智能数据管理方法, 保护跨所有物理和虚拟环境的数据, 提供三方 ( 应用源备用服务器和目标设备 ) 重复数据删除功能 HP Data Protector 中存在安全漏洞远程攻击者可利用该漏洞执行任意代码, 或泄露受限制的信息该漏洞影响产品为 :HP Data Protector <7.03_108 <8.15 及 <9.06, 属于高危漏洞, 其 CNVD-ID 为 CNVD ,CVE-ID 为 CVE 目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : docdisplay?docid=emr_na-c ( 七 )Juniper Networks ScreenOS 安全绕过漏洞第 13 页

14 Juniper Networks QFX5100 和 QFX10002 是美国瞻博网络公司的交换机产品 Juniper Networks ScreenOS 存在安全漏洞, 允许远程攻击者可利用该漏洞获取系统的管理员权限, 进行拒绝服务攻击影响产品 :Juniper Networks ScreenOS <6.3.0r21, 属高危漏, CNVD-ID 为 CNVD ,CVE-ID 为 CVE 用户可参考如下厂商提供的安全补丁以修复该漏洞 : JSA10732&actp=search 4.2 本月活跃网络病毒情况活跃病毒 TOP5 病毒名称 Worm.VB.fa( 蠕虫病毒 ) Worm.Win32.Agent.yzs( 蠕虫病毒 ) Trojan.Win32.Fednu.rr( 木马病毒 ) Worm.AutoIt.b( 蠕虫病毒 ) Trojan.Win32.VBCode.fin ( 木马病毒 ) 病毒特点病毒通过系统关键位置释放大量恶意软件或者劫持原系统文件, 供恶意软件加载等形式, 并命名为系统文件名字, 具有迷惑性, 然后修改属性为隐藏, 设置服务自启动从而借助用户主动下载 QQ 阿里旺旺等即时通讯工具释放大量恶意软件病毒通过在系统关键目录下释放伪装的自身副本, 并以系统关键进程命名, 然后添加其自启动的方式侵入用户电脑, 并借由用户主动下载网页挂马即时通信软件传播等途径释放的自身副本, 交叉感染系统病毒通过用户主动下载网页挂马即时通信软件等渠道进行传播, 在其根目录下释放 lpk.dll( 伪装命名 ) 恶意软件, 并注册服务为自启动, 从而感染磁盘所有 EXE 文件夹目录病毒运行后在系统目录下释放自身的副本 C:\WINDOWS\system32\RVHOST.exe C:\WINDOWS\RVHOST.exe, 修改注册表, 设置自身为开机自启动, 并禁用任务管理器, 禁用注册表, 每天运行 9 小时, 后台连接黑客指定地址病毒伪装成文件夹引诱用户点击, 运行后病毒伪装成安全卫士进程, 修改注册表添加自启动, 隐藏文件后缀名 : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentV ersion\explorer\advanced\hidefileextvalue:0x , 后台连接黑客指定地址表 1: 活跃网络病毒 TOP5 4.3 本月恶意代码捕获情况第 14 页

15 以下表 3 为中国反病毒联盟 (ANVA) 近期监测发布的散布恶意代码的 URL, 登陆这些 URL, 会弹出下载指令, 如点击下载, 将使用户主机感染恶意程序表 2: 恶意 URL 列表 4.4 本月挂马网站统计情况 TOP5 挂马攻击手段统计挂马攻击手段攻击次数机器台数 risks.url(ignored) 18 5 risks.shellcode.url(ignored) 10 4 Suspicious.Trojan-Downloader.Unescape.ShellCode.c 3 3 risks.url(reportclsid and proid) 26 3 Script.Exploit.IExplore 5 2 表 3:TOP5 挂马攻击手段统计注 : 陕西地区截获的挂马攻击总次数为 :74 次, 占全国次的 0.10%, 陕西地区截获的挂马攻击总台数为 :11 台, 占全国 685 台的 1.61% 被挂马网站及挂马 URL TOP10 统计第 15 页

16 被挂马网站 ;listtype=1&fromdesktop=1&pagecode=qyxw&menuitemid=0&a mp;idlist=9163,8710,8559,7712,6961,6857,4755,4705,4665,4178,4142,4083,398 7,3926,3920,3919,3892,3891,3884,3840,3838,3836,3835,3832,3830&tabI 受影响机器台数 lah-catacombs-bafflement-resonated/ mxiohx-fagcphfe tively-whacked-thereby/ 9MjAwMDAxXzEwMDEzNV8wMV8wMg&r2=145&ref=union_ 表 4: 被挂马网站及挂马 URL 统计注 : 陕西地区受挂马网站的影响计算机台数总数为 11 台, 占全国 685 台的 1.61% 4.5 本月钓鱼网站统计情况本月钓鱼网站 Top5: 序号钓鱼类型钓鱼 URL 危害 1 假冒 Facebook 类 2 假冒支付类骗取用户邮箱账号及密码信息骗取用户卡号及密码信息 3 假冒中国移动类 4 假冒邮箱类 guages/ 假冒购物类骗取用户手机号及服务密码信息骗取用户账号及个人信息骗取用户账号及密码第 16 页

17 表 5: 本月钓鱼网站 TOP5 4.6 本月重要漏洞修补信息 ( 一 )Foxit Reader/PhantomPDF 内存错误引用漏洞的补丁 Foxit Reader 是一款小型的 PDF 文档查看器和打印程序 Foxit Reader/PhantomPDF 之前版本存在内存错误引用漏洞, 远程攻击者可利用该漏洞执行任意代码目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞 s.php 补丁链接 : ( 二 )Wireshark IEEE 解析器拒绝服务漏洞的补丁 Wireshark( 前称 Ethereal) 是 Wireshark 团队开发的一套网络数据包分析软件 Wireshark 之前 1.12.x 版本和之前 2.0.x 版本的 IEEE 解析器中存在安全漏洞, 远程攻击者可通过发送特制的数据包, 利用该漏洞造成拒绝服务 ( 深度递归和应用程序崩溃 ) 目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : ( 三 )Systech SysLINK M2M Modular Gateway 权限获取漏洞的补丁 Systech SysLINK SL-1000 M2M((Machine-to-Machine)Modular Gateway 是美国 Systech 公司的一款提供了 DHCP NAT VPN 和防火第 17 页

18 墙功能的路由器产品使用 01A.8 之前版本固件的 Systech SysLINK SL-1000 M2M Modular Gateway 的 Web 接口中存在权限获取漏洞, 该漏洞源于程序使用硬编码的密码且不会提醒管理员更改远程攻击者可借助已知的密码利用该漏洞获取设备的 root 访问权限目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : ( 四 )giflib gif2rgb 堆缓冲区溢出漏洞的补丁 giflib 是一个用于处理 GIF 图像的库及实用程序 gif2rgb 是其中的一个基于 C 语言将 GIF 文件格式转换为 RGB24 格式的模块 giflib 的 gif2rgb 中的 util/gif2rgb.c 文件存在堆缓冲区溢出漏洞, 允许远程攻击者可构建特殊的 GIF 文件使应用程序崩溃目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : 3e16a5acfa3d24e2c2f608cd88/ ( 五 )systemd 信息泄露漏洞的补丁 systemd 是德国软件开发者 Lennart Poettering 和其他人共同研发的一款基于 Linux 的系统和服务管理器 systemd 229 之前版本的 tmpfiles.d/systemd.conf 文件中存在任意文件读取漏洞, 本地攻击者可利用该漏洞通过读取文件获取敏感信息目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : 第 18 页

19 4c ac5de6aeb4daf4889f ( 六 )gifcolor 内存错误引用漏洞的补丁 gifcolor 是一套用于对 GIF 文件输出进行设置的工具 gifcolor 存在内存错误引用漏洞, 允许攻击者可利用该漏洞提交特殊文件, 诱使应用解析, 造成 EGifCloseFile 的重复调用目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : ( 七 )NTP ntpq 组件权限提升漏洞的补丁 NTP(Network Time Protocol, 网络时间协议 ) 是一种以数据包交换把两台电脑的时钟同步化的网络协议 NTP 4.2.8p5 版本的 ntpq 组件中存在权限提升漏洞, 远程攻击者可通过 filename 参数, 利用该漏洞影响完整性目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : uary_2016_ntp_4_2_8p6_securit ( 八 )TYPO3 跨站脚本漏洞的补丁 TYPO3 是一套免费开源的内容管理系统 TYPO3 存在跨站脚本漏洞, 允许远程攻击者利用漏洞注入恶意脚本或 HTML 代码, 当恶意数据被查看时, 可获取敏感信息或劫持用户会话目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞第 19 页

20 补丁链接 : o3-core/typo3-core-sa / ( 九 )xdelta3 缓冲区溢出漏洞的补丁 xdelta 是软件开发者 Joshua MacDonald 开发的一套用于处理增量编码 ( 非完整存储或传输数据 ) 的命令行程序 xdelta3 是 xdelta 的一个增强版 xdelta 之前的版本存在缓冲区溢出漏洞, 允许远程攻击者通过精心编制的输入文件执行任意代码目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : 5 业界动态 5.1 陕西网信办组织学习习总书记重要讲话精神 21 日上午, 陕西省委网信办组织召开专家学者和网信企业代表座谈会, 传达学习习近平总书记 4.19 重要讲话精神大家一致认为, 习近平总书记的重要讲话高屋建瓴, 着眼全局, 对网络安全和信息化工作提出了明确目标和新的要求, 充分体现了以习近平为总书记的党中央对网络安全和信息化建设的高度重视大家要把学习好宣传好贯彻好落实好总书记重要讲话精神作为当前全省网信领域的首要政治任务, 领会核心要义, 把握精神实质, 坚持以人民为中心的发展理念, 以务实的态度创新的精神和强烈的责任感, 积极探索新形势下推动陕西省网络安全和信息化发展的新举措, 第 20 页

21 不折不扣地把讲话精神贯彻落实到各项工作中, 让讲话精神在陕西落地生根开花结果大家表示, 习近平总书记在此次网络安全和信息化工作座谈会上提出了一系列重大论断, 为网信事业的发展指明了方向, 提供了基本遵循, 是指导网信工作的纲领性文献要吃透悟准讲话精神, 在省委省政府的坚强领导下, 坚持问题导向, 补齐发展短板, 瞄准发展前沿, 主动作为, 科学谋划, 用创新协调绿色开放共享五大发展理念推动陕西省网络安全和信息化工作发展, 让陕西人民在共享互联网发展成果上有更多获得感 5.2 习近平主持召开网络安全和信息化工作座谈会中共中央总书记国家主席中央军委主席中央网络安全和信息化领导小组组长习近平 19 日上午在京主持召开网络安全和信息化工作座谈会并发表重要讲话, 强调按照创新协调绿色开放共享的发展理念推动我国经济社会发展, 是当前和今后一个时期我国发展的总要求和大趋势, 我国网信事业发展要适应这个大趋势, 在践行新发展理念上先行一步, 推进网络强国建设, 推动我国网信事业发展, 让互联网更好造福国家和人民中共中央政治局常委中央网络安全和信息化领导小组副组长李克强刘云山出席座谈会习近平主持座谈会, 他首先表示, 我国互联网事业快速发展, 网络安全和信息化工作扎实推进, 取得显著进步和成绩, 同时也存在不第 21 页

22 少短板和问题召开这次座谈会, 就是要当面听取大家意见和建议, 共同探讨一些措施和办法, 以利于我们把工作做得更好座谈会上, 中国工程院院士中国电子科技集团公司总工程师吴曼青, 安天实验室首席架构师肖新光, 阿里巴巴集团董事局主席马云, 友友天宇系统技术有限公司首席执行官姚宏宇, 解放军驻京某研究所研究员杨林, 北京大学新媒体研究院院长谢新洲, 北京市委网信办主任佟力强, 华为技术有限公司总裁任正非, 国家计算机网络与信息安全管理中心主任黄澄清, 复旦大学网络空间治理研究中心副主任沈逸先后发言他们分别就实现信息化发展新跨越加快构建信息领域核心技术体系互联网企业的国家责任实现网信军民融合深度发展发挥新媒体在凝聚共识中的作用突破信息产业发展和网络安全保障基础理论和核心技术加强网络信息安全技术能力建设顶层设计等谈了意见和建议习近平认真听取了大家的发言, 并不时就有关问题同发言者深入讨论在听取了发言后, 习近平发表了重要讲话他表示, 几位同志讲得很好, 分析了当前互联网发展新情况新动向, 介绍了信息化发展新技术新趋势, 提出了很好的意见和建议, 听了很受启发你们的发言, 体现了务实的态度创新的精神强烈的责任感, 也体现了在互联网领域较高的理论和实践水平, 对我们改进工作很有帮助有关部门要认真研究大家的意见和建议, 能吸收的尽量吸收习近平指出, 我国有 7 亿网民, 这是一个了不起的数字, 也是一个了不起的成就我国经济发展进入新常态, 新常态要有新动力, 互联网在这方面可以大有作为要着力推动互联网和实体经济深度融合发展, 第 22 页

23 以信息流带动技术流资金流人才流物资流, 促进资源配置优化, 促进全要素生产率提升, 为推动创新发展转变经济发展方式调整经济结构发挥积极作用习近平强调, 要聚天下英才而用之, 为网信事业发展提供有力人才支撑网络空间的竞争, 归根结底是人才竞争引进人才力度要进一步加大, 人才体制机制改革步子要进一步迈开各级党委和政府要从心底里尊重知识尊重人才, 为人才发挥聪明才智创造良好条件要不拘一格降人才, 解放思想, 慧眼识才, 爱才惜才对待特殊人才要有特殊政策, 不要求全责备, 不要论资排辈, 不要都用一把尺子衡量要建立灵活的人才激励机制, 让作出贡献的人才有成就感获得感要构建具有全球竞争力的人才制度体系不管是哪个国家哪个地区的, 只要是优秀人才, 都可以为我所用马凯王沪宁刘奇葆范长龙孟建柱栗战书杨洁篪周小川出席座谈会中央网络安全和信息化领导小组成员, 中央和国家机关有关部门负责同志, 部分省市党委宣传部部长, 各省区市网信办主任, 部分中央新闻单位和中央新闻网站负责同志, 有关专家学者, 部分网信企业负责人等参加座谈会 5.3 第三届 4.29 首都网络安全日系列活动成功举办当前, 网络空间成为继陆海空天之后的第五大主权空间, 是大国博弈的又一个主战场网络安全不仅关乎国家安全, 同时与老百姓的日常生活息息相关电力能源交通金融等重要信息系统安全直接关系国计民生 ; 云计算大数据的发展伴随着电子政务电子商务安全问题层出不穷, 对政治经济秩序造成越来越大的威胁 ; 物第 23 页

24 联网智慧城市的推广应用, 在为百姓生活带来巨大便利的同时, 也将个人信息安全问题推到了风口浪尖为了贯彻落实习近平总书记没有网络安全就没有国家安全的总体要求, 为创建首善之区保驾护航, 北京市政府于 2016 年 4 月 28 日至 30 日在北京展览馆举办第三届 4.29 首都网络安全日系列活动此次活动由北京市政府批准, 市委网信办协调指导, 市公安局主办, 将深入推进网络安全的防火墙护城河启明星孵化器四大工程, 组织高峰论坛和系列会展活动政府与网络安全论坛是 4.29 首都网络安全日防火墙工程的重要环节, 于 4 月 29 日下午在北京展览馆举行本次论坛将以积极防御主动安全为主题, 围绕习近平总书记有自己的技术过硬的技术的战略要求, 突出主动防御纵深防御的思想, 涵盖政府网络安全大数据安全智慧城市安全云计算安全等内容, 邀请中国工程院院士沈昌祥倪光南, 国务院参事牛文元, 公安部信息安全等级保护评估中心常务副主任张宇翔等专家做精彩报告, 国内相关企业代表将结合各自技术和产品特点进行现场交流国家和行业主管部门领导北京市各委办局领导网络安全产学研用各界代表及相关媒体约 300 人应邀出席本次论坛 5.4 美国称将开始对伊斯兰国实施网络攻击据法国费加罗报 4 月 26 日报道, 驻扎在巴格达的美国空军少将彼得格斯腾 (Peter Gersten) 于当地时间 4 月 26 日称, 美军将开始对极端组织伊斯兰国 (IS) 实施网络攻击第 24 页

25 在网络攻击中, 美国将力求使 IS 的网络容量达到饱和以限制其与招募成员间的联系和沟通美国国防部部长卡特以及美军参联会主席约瑟夫邓福德 2 月曾提出, 美国已决心加快打击 IS 的斗争, 其中网络战争将会发挥越来越重要的作用报道称, 美国网络指挥部主要负责保护美国的军用网络和某些民用网络, 同时在必要情况下, 发起适当的攻击目前, 大约有 65 人在近东地区执行任务, 并瞄准 IS 的网络至 2018 年, 该指挥中心将招募逾 6000 人, 其中包括军人和平民 5.5 孟加拉国央行失窃案 : 攻击软件系量身定做新华网北京 4 月 26 日电英国网络安全研究人员 25 日说, 孟加拉国央行失窃案中, 黑客利用一款恶意软件操控银行电脑系统, 其用心不仅是盗走该国钱财, 还可能攻击环球银行间金融通信协会 (SWIFT) 的转账支付系统路透社当天援引英国航空航天系统公司安全威胁情报部门主管阿德里安尼什的话报道, 他们发现一款名为 evtdiag.exe 的恶意软件, 虽然不能百分百认定黑客就是借助这款软件行凶, 但它所携带的各种信息均指向孟加拉国央行失窃案按尼什的说法, 这是一款为孟加拉国央行量身订制的恶意软件, 黑客可以靠它修改央行连接 SWIFT 转账支付系统的密码拦截从 SWIFT 方面发来的转账确认信息以及删除转账记录等黑客还可以借助这款软件人为操控孟加拉国央行的账户结余情况, 以便在失窃资金洗白前不被发现英国航空航天系统公司发给路透社的相关资料第 25 页

26 显示, 虽然这款恶意软件专门针对孟加拉国央行, 但本次网络攻击中使用的通用工具技术和步骤可能使黑客团体能够再次发起别的攻击对于路透社的报道,SWIFT 迅速经由官方网站发文回应, 称该机构注意到有恶意软件攻击客户的软件系统文章说, 路透社所提到的恶意软件只能在黑客已经成功发现并利用当地 ( 银行 ) 系统网络安全隐患之后才能被植入 ; 只是, 按这家机构的说法, 要预防和拦截网络攻击, 关键还得靠客户自身采取充分且恰当的安全措施,SWIFT 发布软件更新可起辅助效应孟加拉国警方法医培训研究院负责人穆罕默德沙阿阿拉姆 21 日说, 该国央行之所以遭黑客成功攻击, 原因是这家金融机构的电脑没有安装防火墙且使用廉价的网络交换机按他的说法, 央行电脑使用的网络交换机是二手货, 单个售价大约 10 美元, 安全性能堪忧没有更高级的网络交换机作为辅助, 调查人员很难查清黑客具体做了些什么以及从哪里发起攻击阿拉姆提到, 央行账户失窃,SWIFT 也应承担一定责任, 因为它没有事先提醒孟加拉国央行电脑系统存在风险第 26 页

27 术语解释 : 漏洞 : 指信息系统中的软硬件或通信协议中存在缺陷或不适当的配置, 从而可使攻击者在未授权的情况下访问或破坏系统, 导致信息系统面临安全风险恶意代码 : 是指在未经授权的情况下, 在信息系统中安装执行以达到不正当目的的程序僵尸网络 : 僵尸网络是被黑客集中控制的计算机群, 其核心特点是黑客能够通过一对多的命令与控制信道操作感染僵尸程序的主机执行相同的恶意行为拒绝服务攻击 : 指向某一目标信息系统发送密集的攻击包, 或执行特定攻击操作, 以期致使目标系统停止提供服务网页篡改 : 指恶意破坏或更改网页内容, 使网站无法正常工作或出现黑客插入的非正常网页内容恶意链接 ( 暗链 ): 也称为黑链, 被插入后将会被搜索引擎降权 ; 对网站访问者造成不良影响 ; 将会协助恶意网站 ( 可能为钓鱼网站反动网站赌博网站等 ) 提高搜索引擎排名, 也意味着能被篡改页面网络仿冒 : 指通过构造与某一目标网站高度相似的页面 ( 俗称钓鱼网站 ), 并通常以垃圾邮件即时聊天手机短信或页面虚假广告等方式发送声称来自于被仿冒机构的欺骗性信息, 诱骗用户访问钓鱼网站, 以获取用户个人私密信息 ( 如银行帐号和账户密码 ) 网页挂马 : 指通过破坏网页并植入恶意代码或链接, 致使用户计算机在访问页面时被植入恶意代码第 27 页

28 网站后门 : 指黑客在网站的特定目录中上传远程控制页面从而能够通过该页面秘密远程控制网站服务器的攻击 0Day: 指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息 APT 攻击 : 高级持续性威胁 (Advanced Persistent Threat, APT),APT 是黑客以窃取核心资料为目的网络攻击和侵袭行为这种行为往往经过长期的经营与策划, 并具备高度的隐蔽性 APT 的攻击手法, 在于隐匿自己, 针对特定对象, 长期有计划性和组织性地窃取数据, 这种发生在网络空间的偷窃资料搜集情报的行为, 就是一种网络间谍的行为 SQL 注入 : 由于在编写代码时, 没有对输入数据的合法性进行判断, 使应用程序存在漏洞, 用户可以提交构造的数据库查询代码, 根据返回结果, 获得某些他想得知的数据进而获取数据库完整信息非授权访问 : 指没有访问权限的用户以非正当的手段访问数据信息非授权访问一般发生在存在漏洞的信息系统中, 黑客利用专门的漏洞利用程序 (Exploit) 开获取信息系统访问权限 JAVA 反序列化漏洞 : 序列化是把对象转换成字节流存在内存文件数据库中 ; 反序列化即逆过程,Java 中的 ObjectInputStream 类的 readobject() 方法用于反序列化, 若 Java 应用对用户输入做了反序列化处理, 攻击者可以通过构造恶意输入, 让反序列化产生非预期的对象, 非预期的对象在产生过程中就有可能带来任意代码执行第 28 页

29 关于我们 : 国家互联网应急中心是国家计算机网络应急技术处理协调中心的简称 ( 英文为 CNCERT 或 CNCERT/CC), 成立于 1999 年 9 月, 一个非政府盈利的网络安全技术协调组织, 主要任务是 : 按照积极预防及时发现快速响应力保恢复的方针, 开展中国互联网网络安全事件预防发现预警和协调处置等工作, 以维护中国公共互联网环境的安全保障基础信息网络上重要系统的运行国家计算机网络应急技术处理协调中心陕西分中心 ( 简称陕西互联网应急中心或 SNCERT) 作为国家互联网应急中心在陕的分支机构, 根据业务范围开展陕西省内互联网网络安全事件的预防发现预警协调处置等工作, 并负责编制印发陕西省互联网网络安全情况通报的具体工作联系我们 : 联系人 : 戴小平李相阳电话 : 传真 : 网址 : 第 29 页

1 情况综述 2016 年 3 月, 全省公共互联网网络安全状况整体评价为良本月, 我省互联网基础设施运行平稳, 全省范围内未发生造成重大影响的基础设施运行安全事件, 未发生网

1 情况综述 2016 年 3 月, 全省公共互联网网络安全状况整体评价为良本月, 我省互联网基础设施运行平稳, 全省范围内未发生造成重大影响的基础设施运行安全事件, 未发生网 2016 年 3 月陕西省通信管理局国家计算机网络应急技术处理协调中心陕西分中心目录 1 情况综述... 2 2 安全事件分析... 2 2.1 木马僵尸网络事件分析... 2 2.2 飞客蠕虫病毒事件分析... 3 2.3 网页篡改事件分析... 4 2.4 网站后