年 中国互联网 网络安全报告 国家计算机网络应急技术处理协调中心著 人民邮电出版社 北京

Transcription

1 年 中国互联网 网络安全报告 国家计算机网络应急技术处理协调中心著

2 年 中国互联网 网络安全报告 国家计算机网络应急技术处理协调中心著 人民邮电出版社 北京

3 内容提要本书是国家计算机网络应急技术处理协调中心 ( 简称国家互联网应急中心 ) 发布的 2014 年中国互联网网络安全年报 本书汇总分析了国家互联网应急中心自有网络安全监测结果和通信行业 网络安全企业相关单位报送的大量数据, 具有鲜明的行业特色 报告涵盖了我国互联网网络安全宏观形势判断 网络安全监测数据分析 网络安全事件案例详解 网络安全政策和技术动态等多个方面的内容, 对计算机恶意程序传播和活动 移动互联网恶意程序传播和活动 网站安全监测 安全漏洞预警与处置 网络安全信息通报等情况进行深入细致的分析 本书的内容依托国家互联网应急中心多年来从事网络安全监测 预警和应急处置等工作的实际情况, 是对我国互联网网络安全状况的总体判断和趋势分析, 可以为政府部门提供监管支撑, 为互联网企业提供运行管理技术支持, 向社会公众普及互联网网络安全知识, 提高全社会 全民的网络安全意识 2014 年中国互联网网络安全报告 著 国家计算机网络应急技术处理协调中心 责任编辑 牛晓敏 人民邮电出版社出版发行 北京市丰台区成寿寺路 11 号 邮编 电子邮件 315@ptpress.com.cn 网址 北京光之彩印刷有限公司印刷 开本 : /16 印张 : 年 5 月第 1 版 字数 :130 千字 2015 年 5 月北京第 1 次印刷 ISBN 定价 :59.00 元 读者服务热线 :(010) 印装质量热线 :(010) 反盗版热线 :(010)

4 2014 年中国互联网网络安全报告 编委会 主任委员副主任委员执行委员委员 黄澄清云晓春刘欣然严寒冰李佳纪玉春徐娜徐原何世平温森浩赵慧李志辉姚力张洪朱芸茜朱天高胜胡俊王小群张腾何能强李挺陈阳李世淙党向磊徐晓燕王适文刘婧饶毓赵宸肖崇蕙张帅贾子骁摆亮 3

5 前言 当前, 互联网在我国政治 经济 文化以及社会生活中发挥着越来越重要的作用 国家计算机网络应急技术处理协调中心 ( 简称国家互联网应急中心, 英文缩写为 CNCERT 或 CNCERT/CC) 作为我国非政府层面网络安全应急体系核心技术协调机构, 在社会网络安全防范机构 公司 大学 科研院所的支撑和支援下, 在网络安全监测 预警 处置等方面积极开展工作, 历经十余年的实践, 形成多种渠道的网络攻击威胁和安全事件发现能力, 与国内外数百个机构和部门建立网络安全信息通报和事件处置协作机制, 依托所掌握的丰富数据资源和信息实现对网络安全威胁和宏观态势的分析预警, 在维护我国公共互联网环境安全 保障基础信息网络和网上重要信息系统安全运行 保护互联网用户上网安全 宣传网络安全防护意识和知识等方面起到重要作用 自 2004 年起, 国家互联网应急中心根据工作中受理 监测和处置的网络攻击事件和安全威胁信息, 每年撰写和发布 CNCERT/CC 网络安全工作报告, 为相关部门和社会公众了解国家网络安全状况和发展趋势提供参考 2008 年, 在收录 统计通信行业相关部门网络安全工作情况和数据基础上, CNCERT 网络安全工作报告 正式更名为 中国互联网网络安全报告 自 2010 年起, 在工业和信息化部通信保障局的指导和互联网网络安全应急专家组的帮助下, 国家互联网应急中心精心编制并 4

6 公开发布年度互联网网络安全态势报告, 受到社会各界的广泛关注 2014 年中国互联网网络安全报告 汇总分析国家互联网应急中心自有网络安全监测数据和通信行业相关单位报送的大量信息, 具有鲜明的行业特色 报告涵盖互联网网络安全宏观形势判断 网络安全监测数据分析 网络安全事件案例详解 网络安全政策和技术动态等多个方面的内容 其中, 报告对计算机恶意程序传播和活动 移动互联网恶意程序传播和活动 网站安全监测 安全漏洞预警与处置 网络安全事件接收与处理 网络安全信息通报等情况进行深入细致的分析 同时, 报告对 2014 年开展的移动互联网恶意程序治理工作 分布式反射型拒绝服务攻击等专题进行专门介绍, 并首次吸纳通信行业的网站安全监测数据 接下来, 报告对 2014 年国内外网络安全监管动态 我国网络安全行业联盟和应急组织的发展 国内外网络安全重要活动等情况做了阶段性总结 最后, 针对当前网络安全热点和难点问题, 结合对 2014 年网络安全的威胁和形势判断, 预测了 2015 年网络安全热点问题 国家计算机网络应急技术处理协调中心 2015 年 3 月 5

7 致谢 2014 年中国互联网网络安全报告 的写作素材均来自于国家互联网应急中心网络安全工作实践 国家互联网应急中心网络安全工作离不开政府主管部门长期以来的关心和指导, 也离不开各互联网运营企业 网络安全厂商 安全研究机构以及相关合作单位的大力支持 在 2014 年中国互联网网络安全报告 撰写过程中, 国家互联网应急中心向北京瑞星信息技术有限公司 北京网秦天下科技有限公司 北京知道创宇信息技术有限公司 哈尔滨安天科技股份有限公司 恒安嘉新 ( 北京 ) 科技有限公司 北京奇虎科技有限公司 趋势科技 ( 中国 ) 有限公司 深信服科技有限公司 北京安管佳科技有限公司等单位征集了数据素材 [1], 特此致谢 2014 年, 为维护公共互联网安全, 净化公共互联网网络环境,CNCERT/CC 联合有关单位, 在网络安全监测 预警 处置等方面积极开展工作 北京新网数码信息技术有限公司 厦门商中在线科技有限公司 北京新网互联科技有限公司 成都西维数码科技有限公司 厦门三五互联科技股份有限公司 阿里巴巴通信技术 ( 北京 ) 有限公司等单位对国家互联网应急中心事件处置要求及时响应, 配合积极 ; 北京奇虎科技有限公司 猎豹 [1] 2014 年中国互联网网络安全报告 中其他单位所提供数据的真实性和准确性由报送单位负责, 国家互联网应急中心未做验证 6

8 移动公司 北京瑞星信息技术有限公司 哈尔滨安天科技股份有限公司等单位向国家互联网应急中心报送了大量有价值的信息通报, 起到了很好的预警效果 ; 百度手机助手 PP 助手 木蚂蚁 应用汇 安智网 安卓网 中国移动应用商场积极配合开展移动互联网恶意程序下架和信息报送工作 此报告的完成离不开各单位在日常工作中给予的配合和支持, 在此一并感谢 由于编者水平有限, 2014 年中国互联网网络安全报告 难免存在疏漏和欠缺 在此, 国家互联网应急中心诚挚地希望广大读者不吝赐教, 多提意见, 并继续关注和支持国家互联网应急中心的发展 国家互联网应急中心将更加努力地工作, 不断提高技术和业务能力, 为我国以及全球互联网的安全保障贡献力量 7

9 关于国家计算机网络应急技术处理协调中心 国家计算机网络应急技术处理协调中心 ( 简称 国家互联网应急中心, 英文简称是 CNCERT 或 CNCERT/CC), 成立于 2002 年 9 月, 为非政府非营利的网络安全技术中心, 是我国网络安全应急体系的核心协调机构 2003 年, 国家互联网应急中心在全国 31 个省 ( 自治区 直辖市 ) 成立分中心 作为国家级应急中心,CNCERT/CC 的主要职责是 : 按照 积极防御 及时发现 快速响应 力保恢复 的方针, 开展互联网网络安全事件的预防 发现 预警和协调处置等工作, 维护国家公共互联网安全, 保障基础信息网络和重要信息系统的安全运行 国家互联网应急中心的主要业务能力如下 事件发现 依托 公共互联网网络安全监测平台, 开展对基础信息网络 金融证券等重要信息系统 移动互联网服务提供商 增值电信企业等安全事件的自主监测 同时还通过与国内外合作伙伴进行数据和信息共享, 以及通过热线电话 传真 电子邮件 网站等接收国内外用户的网络安全事件报告等多种渠道发现网络攻击威胁和网络安全事件 预警通报 依托对丰富数据资源的综合分析和多渠道的信息获取, 实现网络安全威胁的分析预警 网络安全事件的情况通报 宏观网络安全状况的态势分析等, 为用户单位提供互联网网络安全态势信息通报 网络安全技术和资源信息共享等服务 应急处置 对于自主发现和接收到的危害较大的事件报告, 及时响应并积极协调处置, 重点处置的事件包括 : 影响互联网运行安全的事件 波及较大范围互联网用户的事件 涉及重要政府部门和重要信息系统的事件 用户投诉造成较大影响的事件, 以及境外国家级应急组织投诉的各类网络安全事件等 测试评估 作为网络安全检测 评估的专业机构, 按照 支撑监管, 服务社会 的原则, 以科学的方法 规范的程序 公正的态度 独立的判断, 按照相关标准为 8

10 政府部门 企事业单位提供安全评测服务 CNCERT/CC 还组织通信网络安全相关标准制定, 参与电信网和互联网安全防护系列标准的编制等 同时, 作为中国非政府层面开展网络安全事件跨境处置协助的重要窗口, CNCERT/CC 积极开展网络安全国际合作, 致力于构建跨境网络安全事件的快速响应和协调处置机制 CNCERT/CC 为国际著名网络安全合作组织 FIRST 的正式成员以及亚太应急组织 APCERT 的发起者之一 截至 2014 年年底,CNCERT/CC 已与世界上 63 个国家和地区的 144 个组织建立 CNCERT 国际合作伙伴 关系 联系方式网址 : 电子邮件 热线电话 : ( 中文 ), (English) 传真 : PGP Key: 9

11 目录 年网络安全状况综述 我国互联网网络安全总体状况 数据导读 25 2 网络安全专题分析 移动互联网恶意程序专项治理工作 ( 来源 :CNCERT/CC) 分布式反射型拒绝服务攻击专题分析 ( 来源 :CNCERT/CC) 智能硬件蠕虫威胁互联网安全专题 ( 来源 : 奇虎 360 公司 ) 短信拦截黑客地下产业链案例分析 ( 来源 : 安天公司 ) 泄密事件到国内外信息泄露安全事件分析 ( 来源 : 深信服公司 ) 工业控制网络安全分析 ( 来源 :CNCERT/CC) 68 3 计算机恶意程序传播和活动情况 木马和僵尸网络监测情况 75 10

12 3.2 飞客 蠕虫监测情况 恶意程序传播活动监测 通报成员单位报送情况 88 4 移动互联网恶意程序传播和活动情况 移动互联网恶意程序监测情况 移动互联网恶意程序传播活动监测 通报成员单位报送情况 网站安全监测情况 网页篡改情况 网页挂马情况 网页仿冒情况 网站后门情况 安全漏洞预警与处置 CNVD 漏洞收录情况 高危漏洞典型案例 CNVD 行业漏洞库 CNVD 漏洞处置情况

13 7 网络安全事件接收与处理 事件接收情况 事件处理情况 事件处理典型案例 网络安全信息通报情况 互联网网络安全信息通报 行业外互联网网络安全信息发布情况 国内外网络安全监管动态 年国内网络安全监管动态 年国外网络安全监管动态 173 国内网络安全组织发展情况 网络安全信息通报成员发展情况 CNVD 成员发展情况 ANVA 成员发展情况 CNCERT/CC 应急服务支撑单位

14 国内外网络安全重要活动 国内重要网络安全会议和活动 国际重要网络安全会议和活动 年网络安全热点问题 218 网络安全术语解释

15

16 2014 年网络安全状况综述 年网络安全状况综述 1.1 我国互联网网络安全总体状况 2014 年是我国接入国际互联网 20 周年, 也是我国网络安全和信息化国家战略迈出重要步伐的一年 党中央高度重视网络安全工作, 成立中央网络安全和信息化领导小组, 党的十八届四中全会明确提出加强互联网领域立法, 政府工作报告首次出现 维护网络安全 表述, 相关管理办法和指导意见先后出台, 各类宣传和竞赛活动接连开展, 提高了各行业 各领域对网络安全的关注和重视, 网络安全意识水平逐年提高, 投入逐年增大, 在各方共同努力下, 我国互联网网络安全状况总体平稳 近年来, 我国互联网市场规模和用户体量高速增长, 截至 2014 年 12 月底, 网站总量保持规模化发展, 为 万个 [2], 网站使用的独立域名为 万余个 [3], 互联网接入服务商达 1068 家 [4], 网民规模达 6.49 亿 [5], 手机网民规模达 5.57 亿 [6], 互联网普及率达到 47.9% [7], 宽带中国 战略持续推进实施, 互联网全面升级提速,4G 商用全力推进, 带动移动应用 智能终端等整个产业链条创新, 促进信息消费快速增长 与此同时, 信息化的迅猛发展也带来诸多网络安全威胁等伴生性问题 我国基础网络仍存在较多漏洞风险, 云服务日益成为网络攻击的重点目标 域名系统面临严峻的拒绝服务攻击, 针对重要网站的域名解析篡改攻击频发 网络攻击威胁日益向工业互联网领域渗透, 已发现我国部分地址感染专门针对工业控制系统的恶意程序事件 分布式反射型的拒绝服务攻击日趋频繁, 大量伪造攻击数据包来自境外网络 针对重要信息系 [2] 中国互联网协会 中国互联网站发展状况及其安全报告 (2015) 数据 [3] 中国互联网协会 中国互联网站发展状况及其安全报告 (2015) 数据 [4] 中国互联网协会 中国互联网站发展状况及其安全报告 (2015) 数据 [5] CNNIC 第 35 次中国互联网络发展状况统计报告 数据 [6] CNNIC 第 35 次中国互联网络发展状况统计报告 数据 [7] CNNIC 第 35 次中国互联网络发展状况统计报告 数据 15

17 年 中国互联网网络安全报告 统 基础应用和通用软硬件漏洞的攻击利用活跃, 漏洞风险向传统领域 智能终端领域泛化演进 网站数据和个人信息泄露现象依然严重, 移动应用程序成为数据泄露的新主体 移动恶意程序不断发展演化, 环境治理仍然面临挑战 网络基础设施 (1) 基础网络 2014 年, 宽带中国 战略继续推进实施, 我国基础网络建设不断升级完善, 安全防护水平进一步提升, 但基础网络相关设备仍存在安全风险, 日益普及的云服务经常发生因系统故障 网络攻击导致的安全问题, 影响业务运行和用户使用 基础网络安全防护水平进一步提升 2014 年, 工业和信息化部重点围绕网络安全防护措施落实 网络数据安全 用户个人电子信息保护等内容, 继续推进基础通信网络安全防护工作 基础电信企业不断加大网络安全投入, 加强体系 制度和手段建设, 推动工作系统化 规范化和常态化 根据抽查结果, 各企业符合性测评平均得分均在 90 分以上, 风险评估检查发现的单个网络或系统的安全漏洞数量较 2013 年下降 72%, 检查发现问题的难度逐年加大 截至 2014 年年底, 各企业已对 80% 以上的漏洞完成修复, 并对其余漏洞采取了应急措施, 制定了整改计划 基础网络设备仍存在较多安全漏洞风险 随着基础网络安全防护工作的深入推进, 发现和处置的深层次安全风险和事件逐渐增多 2014 年,CNCERT/CC 协调处置涉及基础电信企业的漏洞事件 1578 起, 是 2013 年的 3 倍 CNVD [8] 收录与基础电信企业软硬件资产相关的漏洞 825 个, 其中与路由器 交换机等网络设备相关的漏洞占比达 66.2%, 主要包括内置后门 远程代码执行等类型 这些漏洞将可能导致网络设备或节点被操控, 出现窃取用户信息 传播恶意代码 实施网络攻击 破坏网络稳定运行等安全事件 云服务日益成为网络攻击的重点目标 我国基础电信企业和许多大型互联网服务商纷纷加快云平台部署, 大力推广云服务, 大量金融 游戏 电子商务 电子政务等业务迁移至云平台 2014 年先后发生了多起因电力 机房线路和网络故障导致的云服 [8] CNVD 全称为国家信息安全漏洞共享平台 (China National Vulnerability Database), 是由 CNCERT/CC 联合国内重要信息系统单位 基础电信企业 网络安全厂商 软硬件厂商和互联网企业建立的信息安全漏洞信息共享知识库 16

18 2014 年网络安全状况综述 1 务宕机事件, 针对云平台的攻击事件也逐年增多, 仅由 CNCERT/CC 协助处置的大规模攻击事件就有十余起, 涉及 UCloud 公司 浙江宁波某 IDC 机房等国内云平台 据有关单位报告,2014 年 12 月中旬, 某大型互联网服务商的云平台的一家知名游戏公司遭受拒绝服务攻击, 攻击峰值流量超过 450Gbit/s 云平台运行的稳定性直接影响业务的可用性和连续性, 而且针对云平台上某一目标的攻击, 还可能导致其他业务受到牵连, 造成大面积用户无法访问或使用 (2) 域名系统域名是网站的入口, 其解析安全直接影响网站的正常访问 域名系统承担域名解析工作, 面临严重的拒绝服务攻击威胁, 一些重要网站频繁发生域名解析被篡改事件 域名系统面临的拒绝服务攻击威胁进一步加剧 据抽样监测,2014 年针对我国域名系统的流量规模达 1Gbit/s 以上的拒绝服务攻击事件日均约 187 起, 约为 2013 年的 3 倍, 攻击目标上至国家顶级域名系统, 下至 CDN 服务商的域名解析系统 与往年相比, 攻击发生频率更高, 流量规模更大 6 月, 我国某权威新闻网站的域名服务器遭受拒绝服务攻击, 峰值流量达 1.6Gbit/s,CNCERT/CC 对攻击进行追溯分析, 为公安部门破案提供了重要线索 同月, 国内某主要 CDN 服务商的域名服务器遭到大规模异常流量攻击, 由于其承载国内大量重要网站的 CDN 加速服务, 导致对这些网站的访问均受到严重影响 10 月, 国家.cn 顶级域名系统继 2013 年 8 月 25 日之后再次遭受大规模流量攻击, 由于系统加强了安全防护措施, 未受到严重影响, 但在一定程度上反映出我国顶级域名系统面临的严峻外部威胁 12 月, 我国多个省份的递归域名解析服务器受到攻击, 造成部分地区的互联网使用受到影响 针对重要网站的域名解析篡改事件频发 2014 年发生了多起国内政府网站 重要媒体或企事业单位网站的域名解析被篡改的事件 某省重要新闻网站在短时间内连续数次遭受域名解析被恶意篡改的攻击, 黑客入侵该网站域名注册服务商的业务系统, 直接篡改数据库中相应数据, 获取该网站的域名管理权限, 将其域名解析服务器篡改为专门提供免费域名解析的 DNSPOD 服务器地址, 并将其域名指向境外地址 经 CNCERT/ CC 对我国政府网站 ( 以.gov.cn 结尾 ) 域名解析情况监测分析,10 月期间测试的 870 万余个域名中, 约有 107 万余个域名被解析到境外 IP 地址, 其中有 2.9 万个域名的 Web 端口能 17

19 年 中国互联网网络安全报告 够访问, 部分指向推广游戏 色情 赌博等内容的异常页面, 还有部分页面被植入恶意代码, 不仅影响网站管理方形象, 甚至可能造成大面积网络安全危害 (3) 工业互联网随着互联网的推进和制造业的转型升级, 工业互联网成为推动制造业向智能化发展的重要支撑, 将工业领域的生产 研发 管理 销售等各个环节与互联网紧密相连, 网络安全风险逐渐累积和延伸, 威胁扩展至传统工业基础设施 网络攻击威胁日益向工业互联网渗透 针对工业控制系统的攻击方法和手段已逐渐成熟, 并有能力影响物理生产运行环境 根据国际有关机构披露,2014 年 9 月出现一种远程木马 Havex, 它利用 OPC 工业通信技术 [9], 具有很强的针对性, 主要功能是扫描发现工业系统联网设备, 收集工控设备详细信息并秘密回传, 预置后门并在必要时接收 执行控制端发送的恶意代码, 全球能源行业的数千个工业控制系统曾被其入侵 据监测, 我国境内已有部分 IP 地址感染了该恶意程序, 所对应的控制端均位于境外, 并存在部分 IP 地址持续向控制端发送信息的情况 公共互联网网络安全环境 (1) 木马僵尸网络 2014 年, 我国境内木马僵尸网络控制服务器和感染主机数量继续呈下降趋势, 治理工作成效明显 我国境内木马僵尸网络感染主机数量稳步下降 据抽样监测,2014 年我国境内感染木马僵尸网络的主机为 万余台, 较 2013 年下降 2.3%, 境内木马僵尸控制服务器 6.1 万余个, 较 2013 年大幅下降 61.4% 2014 年, 在工业和信息化部的指导下, CNCERT/CC 协调基础电信企业 域名服务机构等成功关闭了 744 个控制规模较大的僵尸网络, 累计处置 767 个恶意控制服务器和恶意域名, 成功切断黑客对 98 万余台感染主机的控制, 有力净化了公共互联网网络安全环境 随着我国持续加大公共互联网环境监管和治理力度, 大量僵尸网络控制服务器向境外迁移,2014 年抽样监测发现境 [9] 一种开放 通用的工业数据交换协议, 能够实现基于 Windows 平台的工业控制系统应用程序与过程控制硬件之间的交互通信 18

20 2014 年网络安全状况综述 1 外 4.2 万个控制服务器控制了我国境内 1081 万余个主机, 境外控制服务器数量较 2013 年增长 45.3% (2) 拒绝服务攻击传统拒绝服务攻击主要依托木马僵尸网络, 通过控制大量主机或服务器 ( 俗称 肉鸡 ) 对受害目标发起攻击, 近年来, 拒绝服务攻击的方式和手段不断发展变化, 分布式反射型的拒绝服务攻击日趋频繁 分布式反射型攻击逐渐成为拒绝服务攻击的重要形式 分布式反射型攻击是指黑客不直接攻击目标, 而利用互联网的一些网络服务协议和开放服务器, 伪造被攻击目标地址向开放服务器发起大量请求包, 服务器向攻击目标反馈大量应答包, 间接发起攻击 这种方式能够隐藏攻击来源, 以较小代价实现攻击规模放大, 且攻击目标难以防御 此类攻击在我国呈现三个明显特点 一是频繁发生且流量规模大 仅 2014 年 10 月, 我国就有数十个重要政府的网站和邮件系统遭受此类攻击, 部分攻击流量规模超过 10Gbit/s 二是攻击方式复杂多样 攻击者综合运用 DNS 协议 NTP [10] UPnP 协议 [11] CHARGEN [12] 等进行攻击, 防御困难 三是攻击包来源以境外为主 在 2014 年发现的分布式反射型攻击中, 绝大部分伪造的请求包来自境外, 一方面是由于我国基础网络持续开展虚假源地址流量整治工作, 攻击者难以从境内网络发出此类伪造包 ; 另一方面也从一定程度上反映出境外对我国攻击频繁 (3) 安全漏洞 2014 年, 安全漏洞信息共享工作持续推进, 重要行业和政府部门信息系统的漏洞事件备受关注, 心脏出血 破壳 等漏洞反映了基础应用和通用软硬件面临的高危风险, 漏洞威胁向传统领域和智能设备领域演化延伸 涉及重要行业和政府部门的高危漏洞事件增多 近年来,CNVD 新增收录漏洞数量年均增长率在 15%~25% 之间, 针对漏洞的挖掘和利用研究日趋活跃 2014 年, CNVD 收录并发布各类安全漏洞 9163 个, 较 2013 年增长 16.7%, 平均每月新增收录漏洞 [10] NTP 即 (Network Time Protocol, 即网络时间协议 ) [11] UPnP 协议即 (Universal Plug and Play, 即通用即插即用 ) 协议 [12] CHARGEN 即 (Character General Protocol, 即字符发生器协议 ) 19

21 年 中国互联网网络安全报告 763 个 ; 其中高危漏洞 2394 个, 占 26.1%, 可诱发零日攻击的漏洞 3266 个 ( 即披露时厂商未提供补丁 ), 占 35.6% 漏洞研究者对重要企事业单位信息系统安全问题的关注程度日益提升, 在 2014 年收录的漏洞中, 涉及电信行业的占 9.0%, 涉及工控系统的占 2.0%, 涉及电子政务的占 1.9%,CNCERT/CC 全年向政府机构和重要信息系统部门通报漏洞事件 9068 起, 较 2013 年增长 3 倍 基础应用或通用软硬件漏洞风险凸显 2014 年 CNCERT/CC 通报处置通用软硬件漏洞事件 714 起, 较 2013 年增长 1 倍 由于基础应用和通用软硬件产品部署广泛, 漏洞容易被批量利用, 而且定位和修复困难, 影响范围可能波及全网, 危害程度远大于一般漏洞 4 月 8 日, 开源加密协议 OpenSSL 被披露存在内存泄露高危漏洞 (CNVD 编号 :CNVD , 对应 CVE ), 又称 心脏出血 (HeartBleed) 漏洞, 利用该漏洞可窃取服务器敏感信息, 实时获取用户的账号和密码, 危害波及大量互联网站 电子商务 网上支付 即时聊天 办公系统 邮件系统等 据抽样统计, 我国境内受该漏洞影响的 IP 地址超过 3 万个 9 月 25 日,GNU BASH(Bourne Again SHell) 组件被披露存在远程代码执行高危漏洞 (CNVD 编号 : CNVD , 对应 CVE ), 又称 破壳 (Bash Shell Shock) 漏洞,Redhat Fedora CentOS Ubuntu Debian MAC OS 等几乎目前所有主流 UNIX/Linux 操作系统平台 使用 ForceCommand 功能的 OpenSSH SSHD 使用 mod_cgi 或 mod_cgid 的 Apache 服务器 DHCP 客户端和其他使用 BASH 作为解释器的应用均受到影响, 不仅是服务器系统, 还包括交换机 防火墙 网络设备以及摄像头 IP 电话等许多基于 Linux 的定制系统, 影响范围比 心脏出血 漏洞更为严重 根据对部分漏洞的持续监测来看, 漏洞修复的速度总体较为缓慢 心脏出血 漏洞披露 3 个月后发现仍有约 16% 尚未修复, 而知名度相对较低的 Ngnix 文件解析漏洞 ( 影响 Web 应用 ) 在披露 1 年后未修复率仍高达 55% 此外,4 月 8 日微软公司正式停止对 Windows XP 系统的支持服务, 而从 4 月底至 8 月中旬的抽样监测统计发现, 在我国使用微软操作系统的用户中, 超过半数仍在使用 Windows XP 系统, 这些用户在未来相当长的一段时间内将面临严重的 零日攻击 风险 漏洞威胁向传统领域泛化演进 随着信息化发展, 传统广播电视 公共管理 社会服务等领域与互联网紧密融合, 漏洞威胁也在演化跟进 2014 年 CNCERT/CC 处置 20

22 2014 年网络安全状况综述 1 多起公共服务管理系统存在漏洞风险的事件, 涉及公共场所 LED 信息管理 高速公路视频监控 区域车辆 GPS 调度监控等, 这些漏洞一旦被利用, 将直接影响日常交通管理和公众生活 漏洞威胁向新兴智能设备领域延伸 2014 年, 移动互联网与传统产业结合催生智能硬件新业态, 智能手环 智能手表等可穿戴设备 互联网电视等产品成为市场热点, 智能汽车 智能家居 智慧城市成为新时尚, 随着终端设备的功能和性能大幅提升, 面临的安全威胁随之增大 例如, 国外某著名电动汽车车载控制系统存在安全漏洞, 导致攻击者可远程控制车辆, 实现开锁 鸣笛 闪灯 开启天窗等操作 2014 年已经发现一些 ADSL 终端 智能监控设备 智能路由器 网络摄像头 机顶盒等联网智能设备被黑客控制发起网络攻击, 这些联网智能设备普遍存在弱口令 配置不当等安全问题, 很容易被攻击者安装木马变成 肉鸡 长期进行控制 (4) 网络数据泄露 自 2011 年 CSDN 社区信息泄露事件后, 近年来网站数据泄露事件不断发生,2014 年网站拖库 [13] [14] 撞库攻击现象仍然严重 网站数据和个人信息泄露仍呈高发态势 网站管理者对数据保护的重视程度日益提升, 但在网站数据和个人信息利益价值凸显的背景下, 数据泄露事件仍频繁出现, 有的依然是由于技术漏洞或管理问题导致的拖库事件, 有的则来自撞库攻击 2014 年我国多家知名电商 快递公司 招聘网站 考试报名网站等发生数据泄露事件 5 月中旬, 工业和信息化部处理一起某知名手机厂商论坛数据泄露事件, 由于此前使用的用户管理模块存在漏洞, 导致包括账号 密码和社交账号等 800 万条用户信息泄露, 其中有 140 万个用户的密码从未修改过 ( 包括开通了云平台账号的 130 个万用户 ), 是此次泄露事件受威胁对象, 存在黑客针对特定用户实施密码暴力破解的风险 12 月 25 日, 国内某著名交通购票网站遭受撞库攻击, 导致包括用户账号 明文密码 身份证号码 手机号码和电子邮箱等在内的 13 万多条用户数据在互联网上流传 针对所泄露的数据分析发现, a a 等弱口令高居榜首, 用户 [13] 拖库是指黑客入侵网站, 将网站的用户资料数据库全部盗走的行为 [14] 撞库是指黑客利用从某些网站或渠道获取的用户账号和密码, 在其他网站上进行登录尝试 这主要是由于目前有相 当一部分互联网用户喜欢在不同网站上使用统一的用户名和密码 21

23 年 中国互联网网络安全报告 的密码安全意识仍有待提高 移动应用程序成为数据泄露的新主体 2014 年, 订票 社交 点评 论坛 浏览器等国内多种知名移动应用发生用户数据泄露事件 一些移动应用开发者经验不足, 安全意识和水平不够, 网站服务器对移动端的访问控制机制较弱, 黑客利用移动应用程序与网站服务器之间的接口漏洞, 对网站服务器发起攻击, 能够轻易获得相应服务器的地址和接口信息, 再通过挖掘接口漏洞, 直接获取服务器中所有信息, 造成信息泄露 2014 年 CNVD 收录 1710 个涉及移动互联网终端设备或软件产品的漏洞, 这些都可能成为黑客攻击获取用户信息新的入口 (5) 移动互联网恶意程序在工业和信息化部的指导下, 通信行业各方共同努力, 积极开展移动互联网环境治理, 国内主流应用商店的安全状况有所改善, 但移动互联网恶意程序不断发展演化, 给治理工作带来挑战 移动互联网网络安全威胁治理取得明显成效 2014 年 4-9 月, 工业和信息化部联合公安部 工商总局开展打击治理移动互联网恶意程序专项行动,CNCERT/CC 基础电信企业 域名注册服务机构 安全企业 应用商店和数字认证服务企业等多家单位积极参与, 取得明显成效 专项行动期间, 及时有效处置了 神器 病毒大规模传播事件, 协调处置移动恶意程序控制服务器和传播源链接 1.01 万个 ; 开办主体主动关停或监管部门依法关停应用商店 283 家 ; 中国互联网协会反网络病毒联盟 (ANVA [15] ) 电子认证服务机构 应用商店 手机安全软件厂商和手机终端生产企业等多方力量联合, 试点开展移动应用程序开发者第三方数字证书签名与验证, 以实现移动应用程序的防篡改和可溯源 ; 持续推进自律黑白名单共享工作, 发布移动恶意程序黑名单 4.9 万条, 传播地址黑名单 1187 条, 发布中国农业银行 奇虎 360 百付宝 搜房 4 张移动互联网应用自律白名单证书 移动恶意程序逐渐从主流应用商店向小型网站蔓延 2014 年, 根据工业和信息化部 移动互联网恶意程序监测与处置机制,CNCERT/CC 每周协调应用商店下架移动恶意程序, 累计通知 139 家应用商店 网盘 下载站点等下架恶意程序 4.1 万个, [15] ANVA 全称为中国反网络病毒联盟 (Anti Network-Virus Allice of China), 是由 CNCERT/CC 联合国内重要信息系统单位 基础电信企业 网络安全厂商 软硬件厂商和互联网企业建立的信息安全漏洞信息共享知识库, 网址为 22

24 2014 年网络安全状况综述 1 实际下架 3.9 万余个, 下架率达到 95.5% 经过连续两年的治理, 国内 30 余家主流应用商店的安全意识均有提高, 审核制度和检测手段逐步改善, 恶意程序数量由 2013 年的 3.73 万个大幅下降至 0.93 万个, 安全状况明显改善 移动恶意程序逐渐向个人网站 广告平台等小型网站蔓延,2014 年监测发现 100 余个小型网站传播移动恶意程序 3 万余个, 其中单个网站传播移动恶意程序的数量最多超过 2000 个, 针对这类网站的监测处置将是未来移动互联网环境治理工作的重点 移动恶意程序治理打击对抗性初显 2014 年,CNCERT/CC 通过自主监测和交换捕获的移动互联网恶意程序样本有 95.1 万余个 按行为属性分类 [16], 恶意扣费类的恶意程序数量居首位, 占 55.0%; 其次是资费消耗类和信息窃取类, 分别占 15.3% 和 12.9%, 信息窃取类所占比例较 2013 年的 3.2% 大幅上升 据抽样监测,2014 年我国感染移动恶意程序的用户数量达 2292 万, 其中感染安卓平台恶意程序的用户数量最多, 超过 1575 万个, 发现约 30 万用户感染基于苹果 ios 平台的恶意程序, 如 Panda Wirelurker 等 移动恶意程序的对抗性明显增强, 制作者普遍采用 加固 技术对抗安全检测,2014 年发现的移动恶意程序样本中有 2.2% 经过 加固 处理, 检测难度加大, 给治理工作带来新的挑战 具有短信拦截功能的移动恶意程序大量爆发 目前网银 网购等普遍通过短信验证码方式对用户身份进行校验,2014 年具有拦截 转发手机短信功能的移动恶意程序数量大幅增长 黑客从短信中获取用户的重要个人信息, 如姓名 身份证号码 银行卡账号 支付验证码 各种登录账号和密码等, 再结合其他钓鱼欺诈手段, 窃取用户资金或实施诈骗活动, 威胁用户财产安全 这类恶意程序开发成本低, 更新速度快, 一般还带有隐私窃取 远程控制 诱骗欺诈 资费消耗等其他功能 据抽样监测分析, 此类恶意程序最早出现于 2013 年 5 月,2014 年起开始流行爆发, 目前已发现该类样本 16 万余个,8 月爆发的 神器 移动恶意程序通过拦截和转发短信, 全国感染用户数量达到 11 万, 波及国内 31 个省 ( 自治区 直辖市 ), 在工业和信息化部指导下,CNCERT/CC 及时完成对该样本的分析, 并协调进行处置, 有效控制了其传播态势 [16] 如果单个恶意程序具有多重恶意行为属性, 统计时根据 YD/T 移动互联网恶意代码描述格式 中对恶意行为属性的恶意性等级划分, 按其等级最高的恶意行为属性进行统计 23

25 年 中国互联网网络安全报告 (6) 网页仿冒 2014 年, 针对金融 电信行业的网页仿冒事件大幅增长, 大量钓鱼站点向云平台迁移, 加大事件处置难度, 影响用户经济安全和信息消费 针对金融 电信行业的仿冒事件大幅增长 2014 年抽样监测发现, 针对我国境内网站的仿冒页面 (URL 链接 ) 近 10 万个, 较 2013 年增长 2.3 倍, 涉及 IP 地址 6844 个, 较 2013 年增长 61.4% 在针对我国境内网站的钓鱼站点(IP 地址 ) 中有 89.4% 位于境外, 承载仿冒页面 9 万余个, 较 2013 年增长 2.1 倍, 主要是位于中国香港地区的钓鱼页面数量将近 3 万个, 较 2013 年大幅增长 从被仿冒对象来看, 针对第三方支付机构 网上银行等金融机构的仿冒页面占比超过 80%, 主要是诱骗用户提交银行卡号 密码 身份证号码等信息, 同时发现大量针对电信企业的仿冒页面, 主要是虚假充值页面, 占比达 12%, 已超过仿冒知名电视节目或大型互联网站进行虚假抽奖的页面数量 网页仿冒与移动应用结合日益紧密, 许多仿冒页面仅能通过移动智能终端访问, 针对手机网银 微信等移动应用的仿冒事件频发 钓鱼站点逐渐向云平台迁移 云服务申请和使用方便 成本低廉 安全审核不严格, 且云平台同时承载多种不同类型的业务, 传统基于 IP 地址的追踪处置手段难以适用, 日益成为钓鱼网站栖息的 温床 针对 2014 年处置的银行类钓鱼网站分析, 按所承载的钓鱼网站数量 ( 按域名统计 ) 排序, 排名前 10 的 IP 地址有 4 个属于云服务提供商 (7) 网站攻击 匿名者 等黑客组织对我国政府部门和重要企事业单位网站的攻击依然频繁, 出现了向网站中植入钓鱼页面 针对性地实施拒绝服务攻击 窃取网站数据等情况 针对政府部门和重要行业单位网站的网络攻击频度 烈度和复杂度加剧 据监测,2014 年我国境内被篡改的政府网站 1763 个, 被植入后门的政府网站 1529 个, 分别占全部被篡改网站的 4.8% 和全部被植入后门网站的 3.8% 据通信行业信息, 出现的一个新特点是大量政府和教育类网站的子页面被篡改并植入钓鱼页面 黑客组织对我国政府部门网站的攻击依然频繁 匿名者 等黑客组织先后篡改了我国 400 余个网站, 在针对中国大陆和中国香港政府网站的所谓 OpHongKong 攻击行动中, 黑客组织宣称对我国 150 余个重要政府部门的网站发动大规模攻击, 并公布了大量攻击目 24

26 2014 年网络安全状况综述 1 标的 URL 链接 网站服务器类型 IP 地址等详细信息, 据 CNCERT/CC 监测其攻击成功的网站有 40 余个, 除网页篡改和植入后门外, 还发现许多技术手段复杂 流量规模大的拒绝服务攻击, 以及窃取网站内存储的用户信息并公布的情况, 严重影响网站的正常运行 1.2 数据导读 多年来,CNCERT/CC 对我国网络安全宏观状况进行持续监测, 以下是 2014 年抽样监测获得的主要数据分析结果 (1) 木马和僵尸程序监测 2014 年木马或僵尸程序控制服务器 IP 地址总数为 个, 较 2013 年下降 45.0% 其中, 境内木马或僵尸程序控制服务器 IP 地址数量为 个, 较 2013 年大幅下降 61.4%; 境外木马或僵尸程序控制服务器 IP 地址数量为 个, 较 2013 年增加 45.3% 2014 年木马或僵尸程序受控主机 IP 地址总数为 个, 较 2013 年减少 25.2% 其中, 境内木马或僵尸程序受控主机 IP 地址数量为 个, 较 2013 年减少 2.3%; 境外木马或僵尸程序受控主机 IP 地址数量为 个, 较 2013 年大幅减少 60.5% (2) 飞客 蠕虫监测 2014 年全球互联网月均有近 943 万台主机 IP 地址感染 飞客 蠕虫, 其中, 我国境内感染的主机 IP 地址数量月均近 103 万台 (3) 移动互联网安全监测 2014 年 CNCERT/CC 捕获及通过厂商交换获得的移动互联网恶意程序样本数量为 个, 相比 2013 年增长 35.3% 按行为属性统计, 恶意扣费类的恶意程序数量仍居首位, 为 个, 占 55.0%, 资费消耗类 ( 占 15.3%) 隐私窃取类( 占 12.9%) 分列第二 三位 按操作系统统计, 针对 Android 平台的移动互联网恶意程序占 99.9%, 仍居首位 ; 其次是 Symbian 平台, 占 0.1% 25

27 年 中国互联网网络安全报告 (4) 网站安全监测情况 2014 年我国境内被篡改网站数量为 个, 较 2013 年的 个大幅增长 53.8% 其中, 境内政府网站被篡改数量为 1763 个, 较 2013 年的 2430 个减少 27.4%, 占境内全部被篡改网站数量的 4.8% 2014 年, 监测到仿冒我国境内网站的钓鱼页面 个, 涉及 IP 地址 6844 个 在这 6844 个 IP 地址中,89.4% 位于境外 在仿冒我国境内网站的境外 IP 地址中, 美国占 17.7%, 位居第一, 中国香港 ( 占 15.2%) 和韩国 ( 占 1.8%) 分列第二 三位 从钓鱼站点使用域名的顶级域分布来看, 以.com 最多, 占 66.3%, 其次是.pw 和.cn, 分别占 9.0% 和 5.1% 2014 年, 监测到境内 个网站被植入后门, 其中政府网站有 1529 个, 占境内被植入后门网站的 3.8% 向我国境内网站植入后门的 IP 地址有 个位于境外, 主要位于美国 (24.8%) 韩国(6.7%) 和中国香港 (6.5%) (5) 安全漏洞预警与处置 2014 年,CNVD 收集新增漏洞 9163 个, 包括高危漏洞 2394 个 ( 占 26.1%), 中危漏洞 6032 个 ( 占 65.8%), 低危漏洞 737 个 ( 占 8.1%) 与 2013 年相比,2014 年 CNVD 收录的漏洞总数增长 16.7%, 其中高危漏洞下降 8.2%, 中危漏洞增长 35.0%, 低危漏洞下降 6.8% 按漏洞影响对象类型统计, 排名前三的分别是应用程序漏洞 ( 占 68.5%) Web 应用漏洞 ( 占 16.1%) 和网络设备漏洞 ( 占 6.0%) 2014 年,CNVD 共收录漏洞补丁 5927 个 (6) 网络安全事件接收与处理 2014 年,CNCERT/CC 共接收境内外报告的网络安全事件 起, 较 2013 年增长了 77.5% 其中, 境外报告的网络安全事件数量为 885 起, 较 2013 年下降了 8.9% 接收的网络安全事件中, 排名前三位的分别是漏洞事件 ( 占 36.4%) 网页仿冒事件 (32.1%) 和网页篡改事件 (16.3%) 2014 年,CNCERT/CC 共成功处理各类网络安全事件 起, 较 2013 年的 起大幅增长 79.8% 其中, 漏洞事件 ( 占 36.1%) 网页仿冒事件( 占 32.0%) 26

28 2014 年网络安全状况综述 1 网页篡改类事件 ( 占 16.0%) 等处理较多 (7) 网络安全信息发布情况 2014 年,CNCERT/CC 共收到通信行业各单位报送的月度信息 561 份, 事件信息和预警信息 324 份, 全年共编制并向各单位发送 互联网网络安全信息通报 22 期 2014 年,CNCERT/CC 通过发布网络安全专报 周报 月报 年报和在期刊杂志上发表文章等多种形式面向行业外发布报告 242 份 27

29 年 中国互联网网络安全报告 2 网络安全专题分析 2.1 移动互联网恶意程序专项治理工作 ( 来源 :CNCERT/CC) 专项治理工作背景近年来移动互联网恶意程序逐渐呈现爆炸式增长趋势,2014 年 CNCERT/CC 监测发现移动互联网恶意程序数量 个, 是 2013 年监测发现移动互联网恶意程序数量 个的 1.35 倍, 是 2012 年监测发现移动互联网恶意程序数量 个的 5.84 倍, 是 2011 年监测发现移动互联网恶意程序数量 6249 个的 倍, 特别是具有恶意扣费 窃听监控 资费消耗 信息窃取等恶意行为的移动互联网恶意程序, 严重损害人民群众切身利益, 移动互联网安全岌岌可危 同时移动互联网恶意程序的传播蔓延情况十分严重 2014 年 CNCERT/CC 监测发现用于传播移动互联网恶意程序的网站域名 个,IP 地址 个, 恶意程序传播次数高达 次 据 CNCERT/CC 抽样监测,2014 年我国感染移动恶意程序的用户数量达 2292 万, 较 2013 年的 609 万用户增长 3.76 倍, 其中感染 Android 平台恶意程序的用户数量最多, 超过了 1575 万 2014 年, 为净化移动互联网的生态环境, 保护网民合法权益, 工业和信息化部联合公安部 工商总局制定并下发了 打击治理移动互联网恶意程序专项行动工作方案 ( 工信部联保 号 ), 于 2014 年 4-9 月在全国范围组织开展了打击治理移动互联网恶意程序专项行动 在工业和信息化部的统一部署下, 根据专项行动工作方案,CNCERT/CC 组织基础电信企业 ANVA 成员单位 手机应用商店 数字证书认证服务机构等开展专项治理工作, 取得良好成效 28

30 网络安全专题分析 专项治理工作内容及成效根据 关于印发打击治理移动互联网恶意程序专项行动任务分工的通知 ( 工保函 号 ),CNCERT/CC 指定专职工作人员参与专项行动, 并组织基础电信企业 域名注册管理和服务机构 网络安全企业 应用商店 数字证书认证服务机构等多家单位召开专项行动工作部署会, 对各单位的工作进行梳理分工, 要求各单位严格落实专项行动工作要求, 着重在移动互联网恶意程序网络侧监测处置 应用商店安全管理 移动应用程序开发者源头管理 移动互联网黑白名单信息共享 恶意程序犯罪线索挖掘等方面开展具体工作, 取得了良好的工作成效 (1) 移动恶意程序网络侧监测和处置方面 专项行动期间,CNCERT/CC 共监测发现移动恶意程序 个, 恶意程序传播服务器相关域名 3575 个, 恶意程序控制服务器相关域名 239 个, 恶意程序控制服务器相关 URL 共 589 个 协调 38 家手机应用商店处置恶意程序传播服务器相关 URL 链接 4779 个 ; 协调域名注册服务机构和基础电信企业处置控制规模较大的恶意程序控制服务器相关域名 41 个及相关 URL 链接 83 个 专项行动期间, 一款名为 神器 的安卓手机恶意程序通过短信在国内多个地区大范围传播, 大量用户受骗安装, 该病毒以钓鱼方式窃取短信 购物网站账户和密码 支付验证码等信息 在工业和信息化部的指导下,CNCERT/CC 会同基础电信企业对该恶意程序进行了技术分析, 及时协调基础电信企业和域名注册服务机构进行处置, 当日即有效控制了传播势态, 并将相关线索通报给公安部门协助破案 (2) 应用商店安全管理方面 CNCERT/CC 协助工业和信息化部制定应用商店网络安全责任指南, 明确了应用商店在应用程序安全检测 恶意程序下架 恶意程序黑名单 用户监督举报等方面的安全要求, 开展了国内应用商店信息梳理 安全检查和远程抽测等三方面工作 一是, 调查国内应用商店情况,2014 年上半年全国共有 306 家 ( 除去关停的 ) 应用商店, 活跃安卓应用程序总数超过 610 万个, 其中 19 家大型应用商店 ( 上架应用程序数量在 10 万以上 ) 的应用程序数量占活跃应用程序总数的 71%, 占总下载量的 75% 根据 CNCERT/CC 提供的应用商店信息, 开办主体主动关停或各省通信管理局依法关停未备案等应用商店超过 200 家 二是, 依托 CNCERT/ CC 的应用商店在线检测系统 ( 协助上海 广东 福 29

31 年 中国互联网网络安全报告 建等 11 个省市通信管理局, 接入 150 余家应用商店进行安全检测, 累计检测应用程序 个, 检测出恶意程序 4726 个 三是, 受工业和信息化部委托, 对境内 76 家手机 应用商店中的移动应用程序进行了集中安全抽测工作, 累计检测应用程序总数 个, 累计检测发现存在恶意程序的应用商店 15 家, 检测出恶意程序总数 322 个, 其中 具有信息窃取 资费消耗 恶意扣费等恶意行为的恶意程序排名前三, 占所有恶意程 序的 80% 以上, 所检出的恶意程序已由各省通信管理局通知应用商店进行下架处理 (3) 移动应用程序开发者源头管理工作方面 为实现移动应用程序的防篡改和可溯源, 工业和信息化部指导 ANVA 电信终端测试技术协会 电子认证服务产业联 盟等开展移动应用程序开发者第三方数字证书签名与验证试点工作, 选取了 6 家电子 认证服务机构 12 家应用商店 5 家手机安全软件厂商以及 5 家手机终端生产企业参与 试点工作 CNCERT/CC 根据工业和信息化部移动应用程序开发者第三方签名试点 工作要求, 组织数字证书认证服务机构 应用商店和安全企业等单位论证移动签名技 术方案, 制定 Android 应用程序开发者第三方数字证书签名 验证和标识规范 ( 试 行 ), 并于 2014 年 10 月 24 日组织召开 移动互联网应用程序开发者第三方数字证书 签名与验证试点宣介会 专项行动期间, 百度手机助手 360 手机助手 中国移动 MM 商城 中国联通沃商店等知名应用商店已经实现了对上架试点应用程序的签名验 证和标识功能, 数十款经过第三方数字证书签名的应用程序在参与试点的应用商店上 架并标识 [17] (4) 移动互联网黑白名单信息共享工作方面 CNCERT/CC 通过 ANVA 网站 向外发布移动恶意程序黑名单和移动恶意程序传播源地址黑名单 4078 条, 与中国信息 通信研究院 中国互联网协会等单位共享黑名单数据, 并要求应用商店接入网站及时 下架黑名单中的恶意程序 在白名单信息共享方面,CNCERT/CC 积极推动移动互 联网应用自律白名单工作,2014 年组织包括 11 家主流安全企业在内的白名单工作组对 中国农业银行 搜房网等近百余家移动互联网公司的白名单申请进行了审查, 并通过 中国农业银行 百度理财 搜房网 奇虎 360 公司共 4 家企业的 4 款数字证书进入白名 单 截至 2014 年, 移动互联网白名单生态系统已初步建立, 包括中国移动 MM 商城 360 手机助手 腾讯应用宝 百度应用中心等 20 余家主流应用商店均已对白名单应用 [17] 移动恶意程序黑名单发布地址 :msample.anva.org.cn, 移动恶意程序传播源黑名单发布地址 : appstore.anva.org.cn 30

32 网络安全专题分析 2 进行标识, 并设立白名单专区, 引导用户安装使用安全可靠的白名单应用 (5) 恶意程序犯罪线索挖掘工作方面 CNCERT/CC 着重对具有恶意扣费 窃听监控等严重损害人民群众切身利益的移动恶意程序进行犯罪线索挖掘 通过对窃听用户通话 窃取用户短信等功能的手机软件和后台进行技术分析, 目前移动恶意程序都运行在 Android 系统, 且多数恶意程序在安装后会自动隐藏图标, 在后台自动运行, 可以执行黑客发出的远程控制指令, 除监听用户通话和环境音外, 还能够将通讯录 通话记录 短信 照片等个人信息上传到远程服务器和电子邮箱 CNCERT/CC 根据恶意程序中涉及的手机号 邮箱及恶意服务器域名 IP 地址等信息, 追查移动恶意程序的开发者, 形成多条犯罪线索通报公安机关 根据 CNCERT/CC 提供的线索, 公安部部署地方公安机关查获了一起制售手机监控软件 秘密监控手机用户 受害人分布全国的特大犯罪网络, 有效震慑了利用移动恶意程序从事网络犯罪活动的行为 下一步工作建议通过 2014 年三部委移动恶意程序专项治理行动, 初步掌握了国内应用商店安全状况, 明确了应用商店安全责任, 集中处置了一批性质恶劣的恶意程序, 达到了净化国内移动互联网环境的目的, 保障了用户的合法权益 尽管专项工作取得了显著成效, 但进一步推进移动恶意程序治理工作仍需解决诸多问题, 移动互联网环境治理工作是一项全新的 极富挑战性的工作, 建议下一步抓住移动互联网产业链的关键环节开展工作 (1) 加强对传播环节的安全管理, 建议出台针对移动应用程序传播源的安全管理规章制度 移动应用程序主要通过应用商店 下载站 网盘等网站进行传播, 从这些源头网站对移动应用程序进行把关, 可以有效控制移动恶意程序的蔓延趋势 但是目前还未有明确的规章制度对应用程序传播源进行规范, 建议下一步出台相关规章制度明确应用商店网络安全责任, 建立对应用商店的监督检查制度, 形成对违规应用商店曝光和惩罚机制, 从根本上提高传播源头的安全性和可靠性 (2) 加强对开发者的安全管理, 建议积极推进移动应用程序第三方数字证书签名认证和移动互联网应用自律白名单工作 按照政府鼓励 开发者自愿的原则, 引导开发者使用第三方数字证书对应用程序进行数字签名并进行白名单认证, 要求应用商店对采用第三方数字证书签名和白名单中的应用程序进行验证和标识, 从开发环节保 31

33 年 中国互联网网络安全报告 证应用程序的安全性, 逐步构建安全的移动互联网生态系统 (3) 加强移动恶意程序治理技术手段建设, 建议继续加大投入建设移动恶意程序监测与处置平台, 组织 CNCERT/CC 基础电信企业等机构联合形成全程全网的恶意程序监测处置能力 在执行 移动互联网恶意程序监测与处置机制 的基础上, 提升恶意程序检测能力, 完善检测流程, 建立常态化的移动应用程序监督检测和恶意程序认定工作机制 (4) 加强对用户的安全意识教育, 建议通过各种形式向网民普及移动互联网安全知识 广泛协调基础电信企业 新闻媒体 移动互联网企业等组织做好智能手机 应用程序的安全使用教育和移动互联网恶意程序的危害知识教育等宣传工作, 特别是涉及钱财安全和个人信息保护方面的宣传教育, 切实提高网民的安全防范意识和技能 2.2 分布式反射型拒绝服务攻击专题分析 ( 来源 :CNCERT/CC) 分布式反射型拒绝服务攻击原理及特点分布式拒绝服务 (Distributed Denial of Service,DDoS) 攻击是指黑客通过远程控制技术, 控制大量服务器或计算机终端 ( 俗称 肉鸡 ) 对攻击目标发起拒绝服务攻击, 从而成倍地提高攻击威力 分布式反射型拒绝服务 (Distributed Reflection Denial of Service,DRDoS) 攻击与 DDoS 攻击不同之处在于黑客不直接控制 肉鸡 对攻击目标发起攻击, 而是利用互联网的一些网络服务以及对应开放服务的大量服务器或终端, 伪造攻击目标地址向这些服务器或终端发送大量伪造的请求包, 使得服务器或终端向攻击目标反馈大量应答包, 间接对攻击目标发起攻击 其原理如图 2-1 所示, 黑客 ( 假设 IP 地址为 ) 想要对某目标 ( 假设 IP 地址为 ) 发起攻击, 其可以伪造目标 IP 地址为 向大量开放某特定服务的服务器或终端 ( 图中 IP 地址为 等 ) 发起服务请求 这些服务器或终端收到请求后, 将进行服务应答, 由于请求包中的源地址是伪造的 IP 地址 , 因此应答包将发往 IP 地址 , 从而间接对目标地址造成攻击流量 32

34 网络安全专题分析 2 我是 , 请求服务 我是 , 请求服务 发往 的应答包 发往 的应答包 黑客 IP 地址 : 我是 , 请求服务 发往 的应答包 被攻击目标 IP 地址 : 开放特定服务的服务器 图 2-1 分布式反射型拒绝服务攻击原理示意 ( 来源 :CNCERT/CC) 分布式反射型拒绝服务攻击之所以成为黑客 青睐 的攻击方式, 主要是因为其具有几个显著特点 一是可以放大攻击效果 一般黑客利用发起反射攻击的服务, 往往应答包远大于请求包, 因此黑客可以利用较小的代价发起数十倍甚至数百倍的攻击流量, 达到 四两拨千斤 的效果 二是攻击易发起 可被利用发起反射攻击的服务器或终端往往数量多 分布广, 且通过扫描就能掌握互联网上开放服务的服务器或终端列表, 黑客仅需要向这些服务器或终端发送特定请求即可发起攻击 三是便于隐藏攻击者 一方面, 在被攻击目标端, 看到的攻击源地址都是被利用反射攻击的服务器或终端 IP 地址, 无法看到黑客自身 IP 地址 ; 另一方面, 在被利用的服务器或终端侧, 由于被利用的服务往往都是使用无连接的 UDP 协议, 黑客可以伪造攻击目标地址发起请求流量, 因而在这些服务器或终端侧无法看到黑客真实 IP 地址 也就是说在整个攻击环节中, 黑客的真实地址都没有暴露 常见分布式反射型拒绝服务攻击类型 根据分布式反射型拒绝服务攻击的原理, 被利用发起反射攻击的服务需要具备两 33

35 年 中国互联网网络安全报告 个要素 : 一是使用无连接的 UDP 协议, 以发起伪造地址的请求包 ; 二是应答包大于请求包, 从而可以放大攻击流量 目前互联网上具备以上要素的服务主要有 DNS(Domain Name System, 域名系统, 默认服务端口为 UDP 53 端口 ) NTP(Network Time Protocol, 网络时间协议, 默认服务端口为 UDP 123 端口 ) UPnP(Universal Plug and Play, 通用即插即用, 默认服务端口为 UDP 1900 端口 ) CHARGEN(Character Generator Protocol, 字符发生器协议, 默认服务端口为 UDP 19 端口 ) 等 其对应的分布式反射型拒绝服务攻击类型如下 一是 DNS 分布式反射攻击 DNS 是域名和 IP 地址相互映射的一个分布式数据库, 它能够使用户通过直观的域名更方便地访问网站, 而不用去记住网站的 IP 地址 DNS 分布式反射攻击的原理是攻击者伪造攻击目标地址向互联网上开放递归服务的大量 DNS 服务器发起域名请求 这些服务器收到请求后, 将会把应答包返回给攻击目标地址, 而且攻击者发起的请求往往是 ANY 或者 TXT 类型, 应答包往往比请求包大数十甚至数百倍, 从而利用这些服务器对攻击目标发起放大后的流量攻击 据调查, 目前互联网存在约 2700 万台开放递归服务的 DNS 服务器, 这些服务器均存在被黑客利用发起反射攻击的可能 二是 NTP 分布式反射攻击 NTP 是用来使计算机时间同步化的一种协议, 可以使计算机对其服务器或时钟源 ( 如石英钟 GPS 等 ) 做同步化, 以提供高精准度的时间校正 NTP 分布式反射攻击的原理是攻击者伪造攻击目标地址向互联网上开放 NTP 服务的大量服务器发起 Monlist 请求 这些服务器收到请求后, 将会把应答包返回给攻击目标地址, 应答包中包含与 NTP 服务器进行过时间同步的最后 600 个客户端的 IP 地址, 因此应答包往往比请求包大出数百倍, 从而利用这些服务器对攻击目标发起放大后的流量攻击 三是 UPnP 分布式反射攻击 UPnP 是路由器 网络摄像头 智能电视 打印机等家庭终端设备普遍应用一种网络通信协议 该协议的主要组成部分是 SSDP(Simple Service Discovery Protocol, 简单服务发现协议 ) UPnP 设备间通过 SSDP 进行相互感知的, 利用 SOAP(Simple Object Access Protocol, 简单对象访问协议 ) 来获取控制信息, 并进行信息反馈 UPnP 分布式反射攻击的原理是黑客伪造攻击目标地址向大量 34

36 网络安全专题分析 2 UPnP 设备发起恶意请求, 进而利用大量 UPnP 设备的应答包对攻击目标发起反射攻击, 通常可以将攻击流量放大约 30 倍 所有连接互联网的 UPnP 设备都有可能成为黑客利用的对象, 其数量数以千万计 四是 CHARGEN 分布式反射攻击 CHARGEN 是一种发送字符的服务, 开启 CHARGEN 服务的服务器收到客户端发出的 UDP 包后, 将发送一个数据包到客户端, 其中包含长度为 0~512 字节之间随机值的任意字符 CHARGEN 分布式反射攻击的原理是黑客伪造攻击目标地址向大量 CHARGEN 服务器发出 UDP 请求包, 进而利用大量 CHARGEN 服务器的应答包对攻击目标发起反射攻击, 且应答包比请求包通常要大出数十倍 我国分布式反射型拒绝服务攻击趋势及应对措施据 CNCERT/CC 监测分析,2014 年分布式反射型拒绝服务攻击在我国呈现出以下三个趋势 一是攻击频繁发生且流量规模大 仅 2014 年 10 月期间, 香港中联办等数十个网站都遭受过分布式反射型拒绝服务攻击, 部分网站遭受的反射攻击流量在 10Gbit/s 以上 2014 年 12 月,CSDN 网站 千龙网遭受大规模的分布式反射型拒绝服务攻击, 其中 CSDN 网站遭受的攻击流量超过 30Gbit/s, 千龙网遭受的攻击流量超过 24Gbit/s, 且反射攻击的来源涉及境内外近 20 万个 NTP 服务器地址以及 UPnP 设备地址 二是攻击方式多样化 据 CNCERT/CC 监测分析,2014 年我国发生的分布式反射型拒绝服务攻击事件中, 黑客使用过的攻击方式包括 DNS 反射攻击 NTP 反射攻击 UPnP 反射攻击 CHARGEN 反射攻击等多种类型, 部分攻击事件中攻击者还会综合运用上述方式以达到攻击效果 2014 年 10 月, 某政府网站遭受的分布式反射型拒绝服务攻击中, 黑客就同时使用了 NTP 和 CHARGEN 反射攻击 未来黑客将有可能研究并使用其他的分布式反射拒绝服务攻击方式 三是攻击来源 IP 地址主要以境外为主 据 CNCERT/CC 监测分析,2014 年发生分布式反射型拒绝服务攻击事件中, 绝大部分攻击发起源 ( 即伪造的请求包来源 ) 来自境外 2014 年 10 月, 在中国香港中联办网站 ( 服务器 IP 地址位于北京 ) 遭受分布式反射型拒绝服务攻击事件中,CNCERT/CC 分析发现大量从境外发起的, 但源地址是 35

37 年 中国互联网网络安全报告 香港中联办网站服务器 IP 地址 ( 境内地址 ), 且目的地址也是境内 IP 地址的 NTP 请求的流量 大量来自境外发起的分布式反射型拒绝服务攻击反映出境外对我国攻击日益频繁 ; 同时也体现出我国基础网络开展的虚假源地址流量整治工作取得一定成效 由于反射型攻击需要先伪造攻击目标发起请求包, 而目前在工业和信息化部的大力推动下, 我国基础电信企业均积极开展虚假源地址流量整治工作, 因此攻击者从我国境内网络难以发出此类伪造请求包 分布式反射型拒绝服务攻击具有隐藏攻击者来源 以较小代价实现放大攻击规模效果 攻击易发起等特点, 因而必将成为黑客越来越 青睐 的手段, 也将对我国公共互联网安全造成越来越大的威胁 因此要积极采取有效措施遏制此类攻击的泛滥, 建议的主要措施包括以下几点 一是基础电信企业要进一步加强虚假源地址流量整治工作 分布式反射型拒绝服务攻击的前提是要伪造攻击目标地址发出请求流量, 而虚假源地址流量整治工作就是要让伪造的流量无法发出, 从而切断分布式反射型拒绝服务攻击的源头 目前我国基础电信企业在境内城域网内基本完成了虚假源地址流量整治部署工作, 下一步要进一步研究如何在国际出入口部署虚假源地址流量整治, 以减少来自境外的反射型拒绝服务攻击 二是互联网上的服务器或终端管理者要加强安全管理 首先要关闭服务器或终端无关的服务端口, 停用无关服务, 避免成为黑客利用的 弹药, 例如个人终端关闭 UDP 1900 端口以禁用 UPnP 服务 其次要及时修补相关漏洞, 并设置必要的访问限制, 例如 NTP 服务器及时升级 NTP 版本 禁用 Monlist 功能, 并设置防火墙策略限制特定 IP 地址的访问次数 三是重要网站和信息系统要加强安全防范 分布式反射型拒绝服务攻击具有攻击源端口固定的特点, 例如 DNS 分布式反射攻击的攻击源端口为 UDP 53, 因此可以在防火墙设置相关策略过滤此类攻击流量, 或者协调基础电信企业在上层路由进行流量清洗 重要网站和信息系统自身要配置相关的安全检测和防范设备, 建立和基础电信企业的联动机制, 及时发现和处置此类攻击 36

38 网络安全专题分析 智能硬件蠕虫威胁互联网安全专题 ( 来源 : 奇虎 360 公司 ) 相关背景 [18] 2014 年 12 月 10 日, 全球互联网范围 DNS 流量异常 奇虎 360 公司云堤团队 (DamDDoS) 迅速参与分析处置 本次事件攻击自 2014 年 12 月 10 日凌晨起开始, 至今 仍在持续, 为近年来持续时间最长的 DNS DDoS 攻击 目前已监测到的最大攻击流量 近 1 亿 QPS( 约合 76.38Gbit/s), 如图 2-2 所示 (Gbit/s) Wed 10: Thu 11:00 图 2-2 DNS DDoS 攻击情况 ( 来源 : 奇虎 360 公司 ) 案例分析 攻击方法的分析 2014 年 12 月 10 日,DNS 异常故障时期, 奇虎 360 公司网络攻防实验室工作人员对此进行了跟进 之前定位到 *.arkhamnetwork.org *.arkhamnetwork.com( 针对某游戏服务提供商的权威域名服务器进行攻击, 最后服务商解析内容 fraud.ddos.go.away) 奇虎 360 公司的递归 DNS 缓存被攻击的流量大概为 30000QPS 使用的攻击方法是: 通过发起对随机前缀域名查询的解析请求, 造成对递归服务拒绝服务 图 2-3 是根据奇虎 360 公司大数据安全分析可视化平台发现一台 Bot 终端解析域名的情况, 这个攻击特征非常明显, 而且攻击方法非常粗暴 [18] 奇虎 360 公司即北京奇虎科技有限公司, 是通信行业互联网网络安全信息通报工作单位, 国家信息安全漏洞共享平台成员, 中国反网络病毒联盟成员, 同时也是 CNCERT/CC 国家级应急服务支撑单位 37

39 年 中国互联网网络安全报告 图注 起始节点 A IP 客户端 域名 0r6qlmlo.arkhamnetwork.com 2zslxpnx.arkhamnetwork.com 0ridi8gn.arkhamnetwork.com 0hikiseu.arkhamnetwork.com vcy9zl.arkhamnetwork.com 0jb8sagc.arkhamnetwork.com 0avu9dl9.arkhamnetwork.com rcbjgpup.arkhamnetwork.com 2h3g2yno.arkhamnetwork.com 0hzptbb4.arkhamnetwork.com 0kud9ywy.arkhamnetwork.com 1xcrv4if.arkhamnetwork.com 0rqdk6oz.arkhamnetwork.com 1x7whm1o.arkhamnetwork.com 0qdiyqfu.arkhamnetwork.com 图2-3 17wxbnhc.arkhamnetwork.com Bot终端解析域名情况 来源 奇虎360公司 通过图2-4可以分析出遭受拒绝服务攻击的不止*.a r k h a m n e t w o r k.o r g *.arkhamnetwork.com这两个根域名 其主要的两个DNS服务器是ns11.dnsmadeeasy.com 和ns12.dnsmadeeasy.com 其中有多台类似IP地址 的Bot发起了很多针对 *.arkhamnetwork.org的dns拒绝服务攻击请求 造成两台NameServer拒绝服务 图注 起始节点 Hash值 A 域名 IP SOA 注册名称 NS NameServer 客户端 ns11.dnsmadeeasy.com ns10.dnsmadeeasy.com gtacraft.me fraud.ddos.go.away arkhamnetwork.com 图 遭受拒绝服务攻击的情况 来源 奇虎360公司

40 网络安全专题分析 2 深入分析 这些IP地址大多数都是路由器 智能摄像头等设备 初期攻击者是通 过远程命令执行或者弱口令等方式获得系统权限 然后植入蠕虫程序 脚本运行后蠕 虫不断地扫描任意C段的23号端口 利用弱口令抓取更多智能硬件设备 扩大点数产 生更大的攻击流量如图2-5所示 图2-5 利用弱口令抓取更多智能硬件设备 扩大点数产生更大的攻击流量 来源 奇虎360公司 通过网络活动定位到调用网络活动的进程文件如图2-6所示 该蠕虫程序会生成 很多新的进程文件 进程文件中会包含此进程所执行的指令 39

41 年 图2-6 中国互联网网络安全报告 通过网络活动定位到调用网络活动的进程文件 来源 奇虎360公司 蠕虫程序执行后会在指定目录下生成随机文件名的恶意代码 并在运行后自删 除 如图2-7所示 图 蠕虫程序执行后会在指定目录下生产随机文件名的恶意代码 来源 奇虎360公司

42 网络安全专题分析 2 奇虎360公司找到了一些没有删除的恶意样本并将其下载进行分析 如图2-8所示 图2-8 奇虎360公司对没有删除的恶意样本进行分析 来源 奇虎360公司 首先判断这些恶意文件是ELF可执行文件 并不是脚本类的 如图2-9所示 图2-9 奇虎360公司判断恶意文件为ELF可执行文件 来源 奇虎360公司 41

43 年 中国互联网网络安全报告 使用反汇编分析工具对样本文件进行静态分析, 能够看到该蠕虫程序的一些任 务指令以及控制服务器的地址 还有一些是控制服务器 IP 地址显示这台智能硬件的状 态 目前分析到 Sleeping 和 Dildos 两个状态, 如图 2-10 所示 图 2-10 Sleeping 和 Dildos 两个状态 ( 来源 : 奇虎 360 公司 ) 根据逆向分析后得到的关键信息, 发现该智能硬件蠕虫状态存在的进一步证据, 图 2-11 显示的是该智能硬件处于 Sleeping 状态 42

44 网络安全专题分析 图 智能硬件处于Sleeping状态 来源 奇虎360公司 进入Sleeping状态时 这个终端只与控制服务器 连接 不执行 任何扫描感染任务 也不进行DoS攻击任务 如图2-12所示 图2-12 Sleeping状态时终端只与控制服务器连接 来源 奇虎360公司 43

45 年 中国互联网网络安全报告 通过对这个智能硬件的程序分析, 总结出智能硬件的蠕虫感染途径 首先是由攻击者利用智能硬件漏洞获得 Root 权限, 执行蠕虫代码 ; 控制服务器则等待智能硬件上线, 随后在默认的情况下感染蠕虫的智能硬件会自动扫描发现其他的智能硬件, 并自动利用漏洞让目标感染蠕虫程序 控制程序还有一个状态就是 Sleeping, 这个状态就是保持与控制服务器的连接, 等待下发指令, 当前不做任何网络活动, 最后发起攻击时就是 Dildos 状态, 如图 2-13 所示 根据目前静态分析的结果有这样几个状态, 不排除今后变种会有更多的状态 Default Sleeping C2 Dildos 图 2-13 最后发起攻击时的 Dildos 状态 ( 来源 : 奇虎 360 公司 ) 事件危害根据云堤的数据,2014 年 12 月 10 日, 已监测到的攻击最大流量近 1 亿 QPS( 约合 76.38Gbit/s), 结合国外的消息, 推测此次发起攻击的消息, 是使用了 1000 多个终端发起的攻击 这个数字已经很可怕了, 如果有 1 万个这样的智能硬件受到感染发起攻击, 那么流量将会在 700Gbit/s 左右 更何况现在的智能摄像头 路由器 智能插座层出不穷, 未来出货量将成倍增长 那么当智能硬件达到一个量级时, 由于其自身安全问题会给互联网造成很大的安全威胁, 实际上是将网络战场延伸到智能硬件领域 防范措施及建议这类恶意程序的防范很难, 由于大多数驻留在智能硬件固件系统中, 固件不具备 44

46 网络安全专题分析 2 查杀恶意程序所依赖的环境, 彻底查杀起来非常难 ; 而且很多用户在进行初次配置完成后就不会再关注这些设备, 这也增加了查杀的难度 (1) 建议用户修改自己的智能摄像头 路由器等硬件的默认密码, 关注官方发布的更新程序 (2) 建议厂商加强固件的安全审计, 对智能硬件进行测评, 保障智能硬件不存在信息安全问题, 才可以供货 另外, 还应关注国内外对智能硬件进行安全测试结果和漏洞, 新漏洞出现时需及时打补丁 (3) 建议相关部门 基础电信企业 安全公司对 Bot 进行全方位监控, 如果 Bot 发起大量的异常攻击, 应从基础电信企业层面进行流量清洗 对 Bot 恶意版本的变化进行定期的取样和分析, 研发相关查杀脚本 2.4 短信拦截黑客地下产业链案例分析 ( 来源 : 安天公司 [19] ) 从 2013 年 5 月至今,AVL 移动安全团队持续监测到一类高活跃 高危害的短信拦截类型木马 短信拦截马 这是一种可以拦截他人短信的木马, 让被攻击者收不到短信, 并将短信内容截取到攻击者手机上 目前此类木马最常见的是通过钓鱼 诱骗 欺诈等方式诱导用户装上木马, 然后通过拦截转发用户短信内容, 以此获取各种用户重要的个人隐私信息, 如用户姓名 身份证号码 银行卡账户 支付密码及各种登录账号和密码等, 造成信息泄露 ; 再利用此信息从而达到窃取用户资金的目的, 严重威胁用户的财产安全 另外, 此前流行的 神器 也有短信拦截转发的功能 数据统计短信拦截马功能简单, 开发成本低, 但更新变化速度快, 伪装目标不断更换, 涉及样本量比较庞大 从最早 2013 年 5 月出现到 2014 年 9 月, 共截获该类木马近 2 万个 (1) 活跃曲线从 2013 年 5 月起,AVL 移动安全中心每月都能监控到该类木马, 从其活跃曲线可以 [19] 安天公司即哈尔滨安天科技股份有限公司, 是通信行业互联网网络安全信息通报工作单位 国家信息安全漏洞共享平台成员 中国反网络病毒联盟成员, 也是 CNCERT /CC 国家级应急服务支撑单位 45

47 年 中国互联网网络安全报告 看到其呈现不断增长的趋势, 如图 2-14 所示 单位 ( 个 ) (2) 行为分布 2013 年 5 月 2013 年 6 月 2013 年 7 月 2013 年 8 月 2013 年 9 月 2013 年 10 月 2013 年 11 月 2013 年 12 月 2014 年 1 月 2014 年 2 月 2014 年 3 月 2014 年 4 月 2014 年 5 月 2014 年 6 月 2014 年 7 月 2014 年 8 月 2014 年 9 月 图 2-14 拦截马样本捕获情况 ( 来源 : 安天公司 ) 短信拦截马的行为主要是拦截并转发短信来窃取隐私, 此外部分还带有隐私窃取 诱骗欺诈 远程控制 资费消耗 恶意扣费等 从图 2-15 拦截马主要行为分布可 以发现, 诱骗欺诈 远程控制 资费消耗都占有不小的比例 恶意扣费 资费消耗 远程控制 诱骗欺诈 隐私窃取 图 2-15 拦截马主要行为分布 ( 来源 : 安天公司 ) 46

48 网络安全专题分析 2 3 样本包名TOP20 图2-16为拦截马伪装包名TOP20 从中可以发现最多的是伪装成Android系统应 用名 其次则是Example Test等测试名称 图2-16 拦截马伪装包名TOP20 来源 安天公司 4 伪装应用TOP10 图2-17为拦截马样本伪装应用TOP10 中国移动最多 其次还有淘分享 移动客 户端 移动掌上营业厅等 47

49 年 中国互联网网络安全报告 移动营业厅掌上营业厅测试宝贝图片照片移动掌上营业厅 移动客户端淘分享中国移动 图 2-17 拦截马伪装应用 TOP10( 来源 : 安天公司 ) 对抗情况拦截马家族发展迅速, 持续的演变过程中不得不与安全软件查杀对抗, 除了常规恶意代码手段, 拦截马家族更喜欢采用加壳这种简单有效的手段 频繁更换修改加壳方式 高频率持续更新以保证绕过安全软件 图 2-18 为拦截马家族加壳样本捕获情况, 从中可见拦截马最早出现的时候就已经开 48 始使用加壳技术, 不过直到 2014 年 6 月才开始持续增长, 而现在正是高速爆发时期 单位 ( 个 ) 年 5 月 2013 年 6 月 2013 年 7 月 2013 年 8 月 2013 年 9 月 2013 年 10 月 2013 年 11 月 2013 年 12 月 2014 年 1 月 2014 年 2 月 2014 年 3 月 2014 年 4 月 2014 年 5 月 2014 年 6 月 2014 年 7 月 2014 年 8 月 2014 年 9 月 图 2-18 拦截马加壳样本捕获情况 ( 来源 : 安天公司 )

50 网络安全专题分析 2 图 2-19 为拦截马加壳样本与当月样本数的统计情况, 拦截马的捕获数量依然在持 续增长, 而加壳样本比例亦在增加 单位 ( 个 ) 年 5 月 2013 年 7 月 2013 年 9 月 2013 年 11 月 2014 年 1 月 2014 年 3 月 2014 年 5 月 2014 年 7 月 2014 年 9 月 图 2-19 拦截马加壳样本统计 ( 来源 : 安天公司 ) 图注 : 加壳样本数 当月样本数 对拦截马加壳样本所采用的加壳方案进行统计 ( 如图 2-20 所示 ), 其中大部分都 在使用 apkprotect 这一加固方案, 其他方案则较少 Secapk SBprotect netonshell ijiami zoomzapp 360protect txprotect apkprotect nqshield 图 2-20 拦截马加壳类型统计 ( 来源 : 安天公司 ) 加固是一把双刃剑, 保护开发者 APP 的同时也成为木马作者的一把 保护伞, 49

51 年 中国互联网网络安全报告 加固公司应在加固应用前多做恶意代码审核工作 黑客地下产业链揭露拦截马的爆发有其必然原因, 根据 AVL 团队研究人员取证以及卧底收集, 最终还原了完整的黑客地下产业链 如图 2-21 所示, 从伪基站发送伪造钓鱼网站地址, 再到用户访问钓鱼网站, 欺骗用户输入个人信息, 网站挂马诱导用户下载安装短信拦截木马, 最后攻击者在线转账时通过拦截马转发网银验证码完成转账, 这就是一个简单的拦截马工具模型 受害者个人信息 网银转账 伪基站 发送钓鱼短信 填写个人信息 钓鱼网站 下载安装木马应用 上传验证码 在线支付网站银行网站验证码 图 2-21 拦截马攻击模型 ( 来源 : 安天公司 ) 如图 2-22 所示, 拦截马黑客地下产业链分工明确, 结构简单, 主要由以下 4 部分组成 开发售卖 : 这部分主要是拦截马木马的开发以及免杀, 钓鱼网站的开发出售, 伪基站的出售 木马分发 : 主要有钓鱼短信 网站挂马 二维码传播 窃取售卖 : 拦截马植入成功即可获取拦截短信, 但黑客地下产业链关注的信息主要在于各大银行 支付宝 游戏点卡 运营商话费充值卡 Q 币等, 这些信息都是可以直接交易 洗钱 : 洗钱是获利最多的, 但同时也是风险最大的 50

52 网络安全专题分析 2 开发售卖 木马开发免杀钓鱼网站伪基站 木马分发 钓鱼短信网站挂马二维码 窃取售卖 拦截短信 洗钱 洗拦截料 获利销赃 图 2-22 拦截马黑客地下产业链 ( 来源 : 安天公司 ) 相关产业 在百度搜索 拦截马 就有 118 万条结果, 如图 2-23 所示, 其中有产业链揭露, 样本破解分析, 更多则是交易信息 51

53 年 图2-23 中国互联网网络安全报告 百度 短信拦截马 得到百万以上词条 来源 安天公司 1 木马开发 图2-24为猪八戒网上针对拦截马的开发需求 可见拦截马开发及免杀依然在持续 52

54 网络安全专题分析 2 中 ; 不过拦截马功能比较简单, 开发成本较低, 即便免杀也通常使用已有加固方案, 所以报酬都比较低 图 2-24 猪八戒网上关于拦截马的开发需求 ( 来源 : 安天公司 ) (2) 伪基站伪基站是近几年开始流行的, 黑客地下产业链通常用于发送伪造短信诱导用户进入钓鱼网站, 图 2-25 即是一个伪造的中国工行短信, 值得注意的是其使用了.gov.cn 域名下的子页, 相对加强了权威性而降低了用户警惕性 53

55 年 中国互联网网络安全报告 图 2-25 伪基站钓鱼网站短信 ( 来源 : 安天公司 ) 另外, 伪基站还有图 2-26 的诈骗方式, 通过伪造短信恐吓用户进行诈骗行为, 不 久前 小龙女 李若彤经纪人被诈骗百万元以上, 手法与此类似 (3) 钓鱼网站 图 2-26 伪基站诈骗短信 ( 来源 : 安天公司 ) 拦截马样本最爱伪装中国移动, 所以发现大量的山寨中国移动钓鱼网站, 如图 54

56 网络安全专题分析 所示 此类网站通常以积分兑换现金来诱骗用户输入相关银行账号信息, 同时诱 导用户下载安装短信拦截木马 图 2-27 山寨中国移动钓鱼网站 ( 来源 : 安天公司 ) 图 2-28 是一个山寨中国电信钓鱼网站 其采取同样的手法获取用户个人信息并诱 导用户安装短信拦截木马, 该木马还会欺骗用户不要卸载, 如图 2-29 所示 图 2-28 山寨中国电信钓鱼网站 ( 来源 : 安天公司 ) 55

57 年 中国互联网网络安全报告 图2-29 木马欺骗用户不要卸载 来源 安天公司 4 洗钱 利益所驱 正是拦截马火爆的主要原因 图2-30为某黑客地下产业链人员曝光的 拦截马洗钱记录 可谓日入上万不是梦 图 拦截马洗钱记录 来源 安天公司

58 网络安全专题分析 总结随着时间的推移, 移动通信技术的发展, 智能手机的出现, 移动支付渐渐占据主流 由于手机支付安全问题日益突出, 加上 Android 应用开发简单, 以及伪基站的出现, 加固方案的发展, 再结合流行已久的钓鱼网站, 短信拦截马作为一个功能简单 开发成本低, 但获利颇高的黑色行业, 不可避免地在短时间内便形成了完整的产业链 短信拦截马家族此刻正处在高速爆发时期, 无论数量还是质量都有着明显的提高, 尤其大量加壳对抗样本的出现, 给安全公司分析人员造成了极大的困扰 希望诸多加固公司在对应用加固的时候, 多做一些恶意代码审核工作 拦截马家族变化速度快, 对抗强度高, 传播渠道广, 欺骗性强, 极易造成用户重大经济损失以及隐私泄露 随着拦截马家族的爆发, 同时会不断产生大量的伪基站诈骗短信以及钓鱼网站, 希望用户能保持良好的安全上网习惯, 以及对钓鱼欺诈的警觉 这样可以极大地避免威胁, 用户还可以下载并使用 AVL Pro 对该类木马进行检测和查杀 泄密事件到国内外信息泄露安全事件分析 ( 来源 : 深信服公司 ) 在分析 泄密事件之前, 首先对 2014 年国内外泄密事件进行回顾 2014 年是国内 外多个泄密事件集中爆发的一年, 涉及国内外多家网站 部分典型涉密事件见表 2-1 表 2-1 部分典型泄密事件 ( 来源 : 深信服公司 ) 企业名称 泄露内容 泄露数量 中国高等教育学生网 学生信息 130 万 美国社区医疗 CHS 患者信息 450 万 韩国三大信用卡公司 信用卡数据 2000 万 塔吉特 用户信息及信用卡数据 1.1 亿 家得宝 用户信息及邮件地址 1.1 亿条 摩根大通 用户及企业信息 1.4 亿条 icloud 艳照门 个人照片 100+ 明星 官网 旅客个人信息 10 万 57

59 年 中国互联网网络安全报告 在黑客术语里面, 有 拖库 洗库 与 撞库 之说 拖库 是指黑客入侵有价值的网络站点, 把注册用户的资料数据库全部盗走的行为 在取得大量的用户数据之后, 黑客会通过一系列的技术手段和黑客地下产业链将有价值的用户数据变现, 这被称作 洗库 最后黑客将得到的数据在其他网站上进行尝试登录, 叫做 撞库 鉴于目前有相当一部分互联网用户喜欢使用统一的用户名和密码, 因此大大增加了黑客 撞库 的成功几率 泄密事件全程回顾首先对该事件进行全程回顾 (1)2014 年 12 月 25 日 10:59, 乌云网 wooyun 发布漏洞报告称, 大量 用户数据在网络上疯狂传播, 如图 2-31 所示 图 2-31 乌云报告平台对 事件的披露 ( 来源 : 深信服公司 ) 本次泄露事件中被泄露的数据达 条, 包括用户账号 明文密码 身份证号 码和邮箱等多种信息, 共约 14MB 数据 经测试发现, 该批 条 用户数据是 真实的 58

60 网络安全专题分析 2 (2)12306 官方及时发表公告 关于提醒广大旅客使用 官方网站购票的公 告 ( 如图 2-32 所示 图 官方网站的公告 ( 来源 : 深信服公司 ) 12 月 26 日中午, 中国铁路官方微博表示, 铁路公安机关于 2014 年 12 月 25 日晚, 将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人抓获 事件剖析乌云网白帽子在 论坛, 发现 的信息数据在进行地下交易, 如图 2-33 所示 59

61 年 中国互联网网络安全报告 图 2-33 地下社工库论坛 ( 来源 : 深信服公司 ) 一则 用户数据泄露 事件通过微博 QQ 论坛等社交渠道迅速蔓延开来, 部分微博大 V 对该事件进行转载, 央视的新闻频道也对该事件进行解读与报道 接下来, 一个名为 12306%40 邮箱 - 密码 - 姓名 - 身份证 - 手机 %28 此数据并不全 %29.txt 文件, 在各种云盘中传播开来, 随机登录部分账号发现全部真实 大多数人开始对 14MB 的数据进行挖掘, 查询自己或朋友 家人的信息 当查询不到时, 更多的人选择继续寻找全的数据 此时, 大家便开始重新关注 22GB 32GB 当你打开下载文件时, 再次重温了儿时经典 葫芦娃 60

62 网络安全专题分析 2 图 2-34 百度云盘上共享的 22GB 儿时经典 葫芦娃 ( 来源 : 深信服公司 ) 在怀疑 撞库 的同时, 也有人开始怀疑是否 本身就存在安全漏洞 于是 网站存在漏洞论调相继出现 深信服安全团队在排查 网站及多个子站的时 候, 发现 确实存在安全漏洞 2014 年 12 月 27 日验证漏洞的截图如图 2-35 所示 图 某分站存在远程命令执行漏洞 ( 来源 : 深信服公司 ) 61

63 年 中国互联网网络安全报告 可以说, 攻击者使用 Struts 漏洞可以轻松获取服务器控制权限 这次事件都说是 撞库, 但 多个子站真有漏洞, 那么是否是这些漏洞造成的? 带着这个疑问, 深信服安全团队对其进行进一步分析研究 虽说攻击者可以利用 Struts 2 漏洞入侵服务器, 获取最高权限, 但即使最高权限也不能获取服务器上本就没有的资料, 也就是说受影响的服务器根本就没有旅客数据信息 再通过数据中的密码全是明文以及数据在文件中的存储格式综合判断, 得出 14MB 的 13 万用户数据信息是一次 撞库 事件 触目惊心的地下数据库可以说, 本次事件的导火索是某位乌云白帽子在 ( 地下论坛发现了 的数据库在地下交易 那么接下来, 我们来看一看这个神秘的领域 案例一, 某社工数据库只需输入姓名, 便可以查询开房记录, 如图 2-36 所示 图 2-36 地下社工库 ( 来源 : 深信服公司 ) 案例二, 某社工数据库只要提供手机或邮箱, 就可以轻松查到该用户曾经注册过 哪些网站 由于很多人都有使用同一邮箱或手机注册网站的习惯 那么使用邮箱或手 机号便可查询相应结果, 如图 2-37 所示 62

64 网络安全专题分析 图 REG007社工网站 来源 深信服公司 其实很多人都有相同习惯 为了方便 多个网站使用相同的账号和密码 无论是 小网站还是淘宝和天猫涉及财产的网站 密码都是同一个 那么只要其中一个网站 沦陷 了 所有账号都会受到危险 针对信息泄露的对策建议 1 增加密码的复杂度 不使用弱口令 如 password等 为了方便记 忆 可使用专门的密码软件管理自己的密码 2 分级管理账号和密码 记住涉及财产的 重要的账号 如淘宝 天猫 要 独立设置账号 密码 63

65 年 中国互联网网络安全报告 (3) 定期修改密码, 每隔一段时间修改账号和密码, 可以有效避免数据库泄露影响到自身账号安全 (4) 工作邮箱不用于注册网络账号, 避免数据泄露危及企业安全 (5) 不使用电脑自动保存密码功能, 不随意在未知的第三方网站上输入账号和密码 未来信息泄露安全威胁不容乐观基于对 2014 年国内外信息泄露安全事件的分析, 以及对 2014 年国内多个领域 行业的测评, 深信服安全团队发现,2015 年信息泄露安全威胁不容乐观, 多形式的信息泄露正在向我们袭来 (1) 金融行业数据泄露威胁存在上升趋势国外金融安全方面 金融是一个特殊行业, 存放的往往是个人用户的关键数据 2014 年 1 月 21 日, 据报道, 近半数韩国人的信用卡账户信息失窃, 并被非法转卖给市场营销公司, 包括姓名 居民身份证号码和信用卡详细信息 该事件波及韩国人口的 40%, 这绝对是一个触目惊心的数字 国内金融安全方面 深信服安全团队对国内多家金融机构评估发现, 国内金融行业安全形势不容乐观 图 2-38 是对国内某知名大型保险公司的一次安全测评中发现, 通过 SQL 注入漏洞, 攻击者可以直接获取数据库中任意数据 64

66 网络安全专题分析 2 图 2-38 中国某金融系统 SQL 注入漏洞 ( 来源 : 深信服公司 ) 前不久央视报道一个 18 岁的 黑客, 竟然通过自学编程, 带领一批人在网上大 肆盗刷别人银行卡, 涉案金额近 15 亿元 65

67 年 中国互联网网络安全报告 一个偶然的机会 笔者通过地下产业链 获取某银行信用卡数据泄露个人信息数 据 图2-39为该数据截图 笔者估算了一下 个人信息数据不少于20万 图2-39 某银行信用卡数据泄露 来源 深信服公司 2 互联网信息泄露依然占主导作用 目前 教育行业 金融行业 医疗行业 物流行业 政府等都与互联网密切相关 深信服安全团队对国内教育行业某系统评估发现 该信息管理系统存在网站平行 权限漏洞 攻击者通过变换ID 可以获取所有学生信息 在国外 2014年8月31日 爆发了震惊全球的 icloud艳照门 事件 4chans和 Reddit曝光了苹果iCloud系统被入侵 包括 90后 奥斯卡影后詹妮弗-劳伦斯 艾莉 安娜 维多利亚等百位女星纷纷卷入 3 物联网时代到来 嵌入式设备信息泄露加剧 随着物联网时代的到来 家庭 企业网络摄像头安全问题随之急剧地放大 2014年11月俄罗斯一家网站上可以观看到256个国家的7.3万个监控摄像头 包括 上万个私人摄像头的流媒体视频 如图2-40所示 66

68 网络安全专题分析 2 图 2-40 流媒体视频 ( 来源 : 深信服公司 ) 2014 年 11 月, 深信服安全团队对受影响的 7.3 万个摄像头展开抽样调查, 发现该款摄像头多为 AXIS 网络摄像头, 该型号摄像头存在未授权访问可直接查看实时画面 深信服安全团队顺势对国内家庭网络摄像头进行安全评估, 发现 SparkLAN 网络摄像头存在任意命令执行漏洞 输入一个摄像头控制端地址 cgi?echo&adminpasswd_ss tdb&get&httpaccount, 攻击者可以轻松获取摄像头的账号和密码, 使用账号 密码便可以登录该款设备 在影响评估的过程中发现, 通过 HTTP 头部 Server 字段, 可以轻松在公网上找到该款设备的指纹 深信服研究发现台湾地区 香港地区受影响较为严重 近日, 海康威视 黑天鹅 事件, 再次将网络摄像头的安全性推到风口浪尖 根据通报描述, 省各级公关机关使用的海康威视监控设备存在严重的安全隐患, 部分设备已经被境外 IP 地址控制 虽然该事件被外界过度解读, 但不得不说的是, 随着物联网时代的到来, 通过嵌入式设备信息泄露问题正在加剧 从 泄密事件, 我们读到了什么 泄密事件虽然已经过去, 但却是一件值得我们深思的安全事件 随着人们 67

69 年 中国互联网网络安全报告 生活越来越依靠互联网 物联网 大数据和云服务, 加之黑客行为的组织化和产业 化, 可以说, 下一个重大信息泄露事件正在悄悄地向我们走来 2015 年, 注定是信息 泄露高发的一年, 应对泄密事件, 你准备好了吗? 2.6 工业控制网络安全分析 ( 来源 :CNCERT/CC) 相关背景及概念工业控制网络是国家关键基础设施最重要的组成部分, 涉及一系列关系到国计民生的基础性行业 随着 两化 融合的推进, 越来越多的基础设施领域开始采用最新的 IT 技术, 而工业控制网络正由封闭 私有转向开放 互联, 主要表现在以下几个方面 : 一是, 很多企业为了提高 管控一体化 水平, 实现生产和管理的高效率 高效益, 使工业控制系统和管理系统直接进行通信, 或引入生产执行系统 (Manufacturing Execution System,MES) 对工业控制系统和管理信息系统进行集成, 进而实现管理信息网络与生产控制网络之间的数据交换 由于管理系统一般连接互联网, 因此生产控制系统不再是一个封闭运行的系统, 间接实现了与互联网的互联互通 二是, 一些工业设备生产商为用户提供了设备远程维护服务, 当设备发生故障时, 厂商维修人员会远程接入到工业控制系统内网对设备进行调试, 虽然远程维护主要以 VPN 等加密通信方式实现, 但却提供了一条从互联网入侵生产内网的潜在途径 三是, 一些具备 GPRS iwlan 等无线功能的新型智能仪表开始用于工业生产过程, 无形中成为从互联网进入工业生产网络的入口 开放 互联 是 两化 融合的必然趋势, 但也因此打破了工业网络与公共互联网之间的物理隔离, 使得工控系统不可避免地要面对来自互联网的各种潜在的网络攻击威胁 工业控制系统网络攻击特点一是攻击威胁持续增大 CNCERT/CC 依托 CNVD, 开展针对工业控制系统软硬件产品漏洞 ( 简称工控漏洞 ) 及漏洞事件的自主研究 分析验证和收录工作 68

70 网络安全专题分析 2 如图 2-41 所示, 自 2010 年 震网 事件后, CNVD 每年收录的工控漏洞数量始终处于高位,2014 年共收录工控漏洞 147 个 ( 包含自主挖掘零日漏洞 12 个 ), 其中高危漏洞有 74 个, 占比在 50% 以上 单位 ( 个 ) 年 2011 年 2012 年 2013 年 2014 年 图 年 CNVD 工控漏洞收录情况 ( 来源 :CNCERT/CC) 2014 年收录的工控漏洞涉及多个国内外工控厂商的多款产品 如图 2-42 所 示,Siemens Advantech 等国外厂商工控漏洞较多, 国内厂商则主要涉及亚控科技 (WellinTech) 和世纪长秋 (CenturyStar) 69

71 年 中国互联网网络安全报告 CenturyStar,2 WellinTech,3 Emerson,3 Triangle,3 Yokogawa,3 Other,31 Siemens,36 Rockwell,3 Invensys,4 Advantech,24 Honeywell,5 Cogent,6 Ecava,6 ABB,7 Schneider,11 图 年 CNVD 收录工控行业漏洞按厂商分布 ( 来源 :CNCERT/CC) 从图 2-43 的漏洞威胁类型分布看, 未授权信息泄露 拒绝服务 管理员访问权限 获取是较为普遍的工控漏洞威胁, 主要涉及监控与数据采集 (SCADA) 软件以及可编 程逻辑控制器 (PLC) 产品 普通用户访问权限获取,3 未授权的信息修改,8 管理员访问权限获取,41 其他,2 未授权的信息泄露,50 拒绝服务,43 图 年 CNVD 收录工控行业漏洞按类型分布 ( 来源 :CNCERT/CC) 70

72 网络安全专题分析 2 伴随着工控系统自身脆弱性和安全隐患持续暴露, 其遭受的网络攻击威胁在不断提高 目前国内在工控安全事件的监测发现 应急处置等方面, 还缺乏成熟的工作机制及权威数据, 但从图 2-44 美国的统计数据来看,2014 年 ICS-CERT 公开报告处理的工控安全事件达 245 起, 且约有 55% 的安全事件涉及 APT 攻击 如图 2-45 所示, 这些事件分布在一系列重点行业, 其中能源 关键制造行业的安全事件高达 144 起, 接近所有事件总数的 2/3 单位 ( 起 ) 年 2011 年 2012 年 2013 年 2014 年 图 2-44 美国 ICS-CERT 在 年公开报告处理的工控安全事件数量 ( 来源 :CNCERT/CC) 71

73 年 中国互联网网络安全报告 金融,3.1% 政府设施,13.5% 医疗健康,15.6% 信息科技,5.2% 核工业,6.2% 交通运输,12.5% 水利系统,14.6% 化学制品,4.2% 商业设施,7.3% 通信,14.6% 农业和食品,2.1% 其他,6.2% 能源,79.32% 关键制造,65.27% 图 年美国工控安全事件所属行业分布 ( 来源 :CNCERT/CC) 二是攻击技术不断提高 近年来, 针对工业控制系统的网络攻击已经目标化 组织化和规模化 2010 年, 震网 病毒导致伊朗布什尔核电站无法正常工作 ;2012 年 2013 年, 高度智能化的信息烈度病毒 超级火焰 高斯 窃取中东和北非石 油部门的相关重要文件并删除 ;2014 年, 远程木马变种 Havex 入侵全球能源行业 的数个工业控制系统从事工业网络间谍活动 从技术手段的多样性和复杂性来看, 这 些攻击大都具有显著的 APT 特征, 给监测发现和安全防护带来了重大挑战 以 CNCERT/CC 在 2014 年重点分析的 Havex 为例, 其至少采取了三种攻击方 式传播 一是早期采用鱼叉式攻击手法, 即利用电子邮件进行传播 ; 二是 2013 年下半 年开始采用 浇水洞 攻击, 即首先入侵企业人员经常访问的网站, 再把访问重定向 到黑客控制的带有木马的网站, 进而把恶意软件植入到这些企业人员的电脑中 ; 三是 利用具备远程控制能力的木马感染工控系统设备制造商的合法软件, 使得安装这些软 件的工控设备在软件更新时被感染 由于 Havex 变种木马是首个采用了 OPC 工业 [20] 通信技术的网络病毒, 因此其被认为是专门针对工业控制系统量身定制而开发 为了评估我国境内受 Havex 病毒的影响范围, 在对病毒样本进行深度分析的 基础上,CNCERT/CC 进一步采取抽样监测, 发现自 2014 年 8 月至今境内累计有 47 个 [20] 一种开放 通用的工业数据交换协议, 能够实现基于 Windows 平台的工业控制系统应用程序与过程控制硬件之间的交互通信 72

74 网络安全专题分析 2 IP 地址感染了 Havex 木马, 其中位于江苏省的最多, 所对应的控制端 IP 地址共 12 个, 均位于境外, 其中位于美国的控制服务器最多, 存在部分 IP 地址持续向控制服务器发送信息的情况 针对这一结果,CNCERT/CC 及时通报上级主管部门进行协调处置 三是攻击破坏性显著增强 不同于传统 IT 系统, 工业控制系统直接与物理现实世界相连接, 其网络攻击一旦成功, 可能造成重大经济损失 物理和人身伤害, 甚至构成相当于大规模杀伤性武器的威力 2014 年 12 月 18 日, 德国联邦信息安全办公室 (BSI) 披露了一起针对德国某钢铁厂的 APT 攻击事件,CNCERT/CC 对此深入调研并借助美国系统网络安全协会 (SANS Institute) 发布的一份事件分析报告 ( 2-German-Steelworks_Facility.pdf) 进行了情景分析 : 攻击者使用 钓鱼邮件 和其他社会工程手段获得了炼钢厂办公网络的访问控制权限后, 成功 跳板 到生产网络, 操控和干扰了一台高温加热炉控制系统, 并最终迫使整个生产线停止运转 据悉此次攻击直接导致炼钢厂控制系统的多个关键过程组件失控, 造成了大规模的物理损毁和巨大的经济损失 考虑到 BSI 报告的权威性和真实性, 可以认定这次针对德国炼钢厂的 APT 攻击是继 2010 年震网病毒后又一起导致控制系统物理损毁的重大网络安全事件 防范措施及建议面对日益严重的工业控制系统网络攻击威胁, 建议我国主要采取以下措施应对 (1) 出台政策法规 一是加强立法, 当前网络安全法已纳入人大立法规划, 我国正加快制定针对包括重点领域工业控制系统在内的国家关键基础设施的网络安全保护法案 ; 二是建立网络安全审查制度, 我国国家互联网信息办公室已启动相关调研工作, 有望针对进入中国市场的信息技术产品与服务进行测试评估 检测分析 持续监督, 以实现其安全性和可控性 (2) 制定标准及指南 2014 年 12 月 2 日, 我国工控信息安全领域的首个国家标准正式发布 GB/T ~ 工业控制系统信息安全: 评估 验收 早在此之前, 国际电工委员会 (IEC) 美国国家标准技术研究院( NIST) 等国际标准化组织已相继出台了一系列针对工业控制系统的信息安全标准 例如,IEC 工业控制过程测量和控制的安全性网络和系统安全 系列标准 NIST SP 800 系列系统安全指南 73

75 年 中国互联网网络安全报告 等 工业控制系统信息安全标准是国家 政府 企业进行安全风险测评, 实现规范化管理, 建立工控信息安全多层防御策略架构的指南和方向, 其建设是事关工业发展 经济安全的重大战略问题 我国需要借鉴国外的先进经验, 尽快填补空白, 构建符合自身发展特点的工控网络信息安全标准体系 (3) 调查网络安全态势 一是利用相关技术手段统计我国境内暴露在互联网上的工业控制系统前端管理系统和硬件设备, 以及境外针对我国境内工控边界系统进行持续信息探测的网络节点, 掌握我国工业互联网安全态势 ; 二是通过自查为主 抽查为辅的方式, 定期开展针对重点领域的工业控制系统的网络安全测评工作, 并将测评结果汇总分析, 掌握我国不同工业领域的工控行业网络安全态势 (4) 建立应急响应机制 目前世界各发达国家纷纷建立了专门针对工控网络安全事件的应急响应机制, 以应对日益增长的针对现代工业基础设施的网络安全威胁 其中, 美国设立了专门的工业控制系统网络安全应急响应小组 (Industrial Control Systems Cyber Emergency Response Team, ICS-CERT), 欧洲各国纷纷将工控网络安全漏洞与恶意代码事件处理工作指定给已有的应急协调机构 随着我国工业基础设施网络安全保障问题的日渐紧迫, 有必要建立专门的面向工业控制系统网络安全的应急响应体系和协调机制, 开展针对工控安全事件的监测分析 通报预警 应急响应 测试评估等工作, 并鼓励多方积极参与 信息共享 协同工作, 共同应对国家范围的工控网络安全事件 (5) 推动自主研发 当前, 我国在能源 制造 交通等众多工业领域的核心硬件设备 软件产品仍然大量依赖于国外进口, 然而, 棱镜门 事件为我们敲响了警钟, 保障信息安全, 实现核心软硬件国产化自主可控 已提升到国家战略高度 为本质上解决工控网络信息安全问题, 需要国家政府持续鼓励和支持国产工控软硬件产品的自主研发和创新, 从涉及国计民生的重要行业做起, 逐渐缩小与国外先进水平的整体差距, 最终实现工控产品及技术自主可控, 从根本上完善工控网络信息安全保障体系建设 74

76 计算机恶意程序传播和活动情况 3 3 计算机恶意程序传播和活动情况 恶意程序主要包括计算机病毒 蠕虫 木马 僵尸程序等, 近年来, 不同类别的恶意程序之间的界限逐渐模糊, 木马和僵尸程序成为黑客最常利用的攻击手段 通过对恶意程序的监测 捕获和分析, 可以评估互联网及信息系统所面临的安全威胁情况, 掌握黑客最新攻击技术和手段, 从而进一步深入研究维护用户计算机和信息系统安全必需的防护措施 3.1 木马和僵尸网络监测情况 木马是以盗取用户个人信息, 甚至是以远程控制用户计算机为主要目的的恶意程序 由于它像间谍一样潜入用户的电脑, 与战争中的 木马 战术十分相似, 因而得名木马 按照功能分类, 木马程序可进一步分为盗号木马 网银木马 窃密木马 远程控制木马 流量劫持木马 下载者木马和其他木马等, 但随着木马程序编写技术的发展, 一个木马程序往往同时包含上述多种功能 僵尸网络是被黑客集中控制的计算机群, 其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为, 如可同时对某目标网站进行分布式拒绝服务攻击, 或同时发送大量垃圾邮件等 2014 年 CNCERT/CC 抽样监测结果显示, 在利用木马或僵尸程序控制服务器对主机进行控制的事件中, 控制服务器 IP 地址总数为 个, 较 2013 年下降 45.0%, 受控主机 IP 地址总数为 个, 较 2013 年下降 25.2% 其中, 境内木马或僵尸程序控制服务器 IP 地址数量为 个, 较 2013 年大幅下降 61.4%, 境内受控主机 IP 地址数量为 个, 较 2013 年下降 2.3% 连续两年我国境内木马或僵尸程序控制服务器以及受控主机数量出现下降, 体现了近两年我国木马和僵尸网络专项治理行动和日常处置工作的持续效果 75

77 年 中国互联网网络安全报告 木马或僵尸程序控制服务器分析 2014 年, 境内木马或僵尸程序控制服务器 IP 地址数量为 个, 较 2013 年大幅下降 61.4%; 境外木马或僵尸程序控制服务器 IP 地址数量为 个, 较 2013 年有所增长, 增幅为 45.3%, 具体如图 3-1 所示 经过我国木马僵尸专项打击的持续治理, 境内的木马或僵尸程序控制服务器数量下降明显 单位 ( 个 ) 年 2014 年 图注 : 境外 境内 图 年与 2013 年木马或僵尸程序控制服务器数据对比 ( 来源 :CNCERT/CC) [21] 2014 年, 在发现的因感染木马或僵尸程序而形成的僵尸网络中, 规模 100~1000 的占 78.6% 以上 控制规模在 1000~ ~ 万 ~5 万 5 万 ~10 万 10 万 以上的主机 IP 地址的僵尸网络数量与 2013 年相比分别减少 648 个 147 个 18 个 7 个 18 个 分布情况如图 3-2 所示 [21] 僵尸网络刚给出现时, 黑客往往通过 IRC 协议来控制 随着恶意代码的发展, 越来越多的僵尸网络被通过木马来控制, 从广义上可把感染木马并由同一组控制端控制的联网计算机成为僵尸网络 本处统计的是受控主机 IP 地址数量在 100 个以上的僵尸网络 76

78 计算机恶意程序传播和活动情况 3 单位 ( 个 ) ~ ~ ~ 万 ~5 万 5 万 ~10 万 >10 万 僵尸网络数目 图 年僵尸网络规模分布 ( 来源 :CNCERT/CC) 2014 年木马或僵尸程序控制服务器 IP 地址数量的月度统计分别如图 3-3 所示, 全 年呈波动态势,11 月达到最高值 个,10 月为最低值 7796 个 单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 图 年木马或僵尸程序控制服务器 IP 地址数量月度统计 ( 来源 :CNCERT/CC) 77

79 年 中国互联网网络安全报告 境内木马或僵尸程序控制服务器 IP 地址绝对数量和相对数量 ( 即各地区木马或僵尸程序控制服务器 IP 地址绝对数量占其活跃 IP 地址数量的比例 ) 前 10 位地区分布如图 3-4 和图 3-5 所示, 其中, 广东省 江苏省 云南省居于木马或僵尸程序控制服务器 IP 地址绝对数量前 3 位, 云南省 四川省 江苏省 黑龙江省居于木马或僵尸程序控制服务器 IP 地址相对数量的前 4 位 其他,33.7% 广东,17.0% 江苏,10.3% 云南,7.4% 福建,3.0% 河南,3.3% 四川,5.9% 黑龙江,3.7% 山东,4.3% 北京,5.6% 浙江,5.8% 图 年境内木马或僵尸程序控制服务器 IP 地址按地区分布 ( 来源 :CNCERT/CC) 活跃 IP 地址占比 0.16% 0.14% 0.14% 0.12% 0.10% 0.08% 0.06% 0.04% 0.02% 0.05% 0.05% 0.05% 0.04% 0.03% 0.03% 0.03% 0.02% 0.02% 0 云南四川江苏黑龙江广东江西福建广西吉林湖南 图 年境内木马或僵尸程序控制服务器 IP 地址占所在地区活跃 IP 地址比例 TOP10 ( 来源 :CNCERT/CC) 78

80 计算机恶意程序传播和活动情况 3 图 3-6 图 3-7 为 2014 年境内木马或僵尸程序控制服务器 IP 地址数量按基础电信企业分布及所占比例, 木马或僵尸程序控制服务器 IP 地址数量无论是绝对数量还是相对数量 ( 即各基础电信企业网内木马或僵尸程序控制服务器 IP 地址绝对数量占其活跃 IP 地址数量的比例 ), 位于中国电信网内的数量均排名第一 其中位于中国电信网内的木马或僵尸程序控制服务器 IP 地址数量占据境内控制服务器 IP 地址数量的近 2/3 中国移动,9.5% 其他,2.2% 中国电信,63.2% 中国联通,25.1% 图 年境内木马或僵尸程序控制服务器 IP 地址按基础电信企业分布 ( 来源 :CNCERT/CC) 活跃 IP 地址占比 0.04% 0.035% 0.03% 0.03% 0.025% 0.02% 0.015% 0.01% 0.005% 0.02% 0.02% 0 中国电信中国联通中国移动 图 年境内木马或僵尸程序控制服务器 IP 地址占所属基础电信企业活跃 IP 地址比例 ( 来源 :CNCERT/CC) 79

81 年 中国互联网网络安全报告 境外木马或僵尸程序控制服务器 IP 地址数量前 10 位按国家和地区分布如图 3-8 所 示, 其中美国位居第一, 占境外控制服务器的 21.8%, 中国香港和韩国分列第二 三 位, 占比分别为 18.9% 和 8.2% 其他,32.4% 美国,21.8% 俄罗斯,1.7% 法国,1.9% 墨西哥,2.4% 德国,2.4% 中国台湾,3.0% 印度,3.3% 日本,4.1% 韩国,8.2% 中国香港,18.9% 图 年境外木马或僵尸程序控制服务器 IP 地址按国家和地区分布 ( 来源 :CNCERT/CC) 木马或僵尸程序受控主机分析 2014 年, 境内共有 个 IP 地址的主机被植入木马或僵尸程序, 境外共有 个 IP 地址的主机被植入木马或僵尸程序, 数量较 2013 年均有所下降, 降幅分别达到了 2.3% 和 60.5%, 具体如图 3-9 所示 80

82 计算机恶意程序传播和活动情况 3 单位 ( 个 ) 年 2014 年 图注 : 境外 境内 图 年和 2013 年木马或僵尸程序受控主机数量对比 ( 来源 :CNCERT/CC) 2014 年,CNCERT/CC 持续加大木马和僵尸网络的治理力度, 木马或僵尸程序受 控主机 IP 地址数量全年总体呈现下降态势,12 月达到最高值 个,10 月为最低值 个 2014 年木马或僵尸程序受控主机 IP 地址数量的月度统计如图 3-10 所示 单位 ( 个 ) 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 图 年木马或僵尸程序受控主机 IP 地址数量月度统计 ( 来源 :CNCERT/CC) 境内木马或僵尸程序受控主机 IP 地址绝对数量和相对数量 ( 即各地区木马或僵尸程序受控主机 IP 地址绝对数量占其活跃 IP 地址数量的比例 ) 前 10 位地区分布如图 3-11 和图 81

83 年 中国互联网网络安全报告 3-12 所示, 其中, 广东省 湖南省 江苏省居于木马或僵尸程序受控主机 IP 地址绝对数量前 3 位 这在一定程度上反映出经济较为发达 互联网较为普及的东部地区因网民多 计算机数量多, 该地区的木马或僵尸程序受控主机 IP 地址数量绝对数量位于全国前列 湖南省 青海省 陕西省居于木马或僵尸程序受控主机 IP 地址相对数量的前 3 位 其他,36.9% 广东,19.0% 湖南,7.4% 江苏,7.3% 上海,3.1% 辽宁,3.2% 福建,3.4% 河北,3.7% 山东,5.6% 河南,3.7% 浙江,6.6% 图 年境内木马或僵尸程序受控主机 IP 地址数量按地区分布 ( 来源 :CNCERT/CC) 活跃 IP 地址占比 14.00% 12.00% 12.13% 10.00% 8.00% 6.00% 4.00% 2.00% 8.34% 7.79% 7.55% 7.42% 7.34% 6.62% 6.55% 5.82% 5.77% 0 湖南青海陕西新疆广东广西贵州海南江苏福建 图 年境内木马或僵尸程序受控主机 IP 地址数量占所在地区活跃 IP 地址比例 TOP10( 来源 :CNCERT/CC) 82

84 计算机恶意程序传播和活动情况 3 图 3-13 和图 3-14 为 2014 年境内木马或僵尸程序受控主机 IP 地址数量按基础电信企业分布及所占比例 从绝对数量上看, 木马或僵尸程序受控主机 IP 地址位于中国电信网内的数量占据总数的 2/3 以上 从相对数量 ( 即各基础电信企业网内木马或僵尸程序受控主机 IP 地址绝对数量占其活跃 IP 地址数量的比例 ) 上看, 中国电信 中国联通网内感染木马或僵尸程序的主机 IP 地址数量占其活跃 IP 地址数量的比例均超过 4.0% 中国移动,5.3% 其他,1.1% 中国联通,24.9% 中国电信,68.7% 图 年境内木马或僵尸程序受控主机 IP 地址数量按基础电信企业分布 ( 来源 :CNCERT/CC) 活跃 IP 地址占比 8.0% 7.0% 6.7% 6.0% 5.0% 4.0% 4.0% 3.0% 2.0% 1.8% 1.0% 0 中国电信中国联通中国移动 图 年境内木马或僵尸程序受控主机 IP 地址数量占所属基础电信企业活跃 IP 地址数比例 ( 来源 :CNCERT/CC) 83

85 年 中国互联网网络安全报告 境外木马或僵尸程序受控主机 IP 地址数量按国家和地区分布位居前 10 位的如图 3-15 所示, 其中, 印度 泰国 埃及居前 3 位 其他,26.3% 印度,21.8% 日本,1.9% 泰国,12.5% 中国台湾,2.2% 马来西亚,2.8% 韩国,3.1% 俄罗斯,3.2% 埃及,11.4% 摩洛哥,5.7% 越南,9.2% 图 年境外木马或僵尸程序受控主机 IP 地址数量按国家和地区分布 ( 来源 :CNCERT/CC) 3.2 飞客 蠕虫监测情况 飞客 蠕虫 ( 英文名称 Conficker Downup Downandup Conflicker 或 Kido) 是一种针对 Windows 操作系统的蠕虫病毒, 最早出现在 2008 年 11 月 21 日 飞客 蠕虫利用 Windows RPC 远程连接调用服务存在的高危漏洞 (MS08-067) 入侵互联网上未进行有效防护的主机, 通过局域网 U 盘等方式快速传播, 并且会停用感染主机的一系列 Windows 服务 自 2008 年以来, 飞客 蠕虫衍生了多个变种, 这些变种感染了上亿台主机, 构建了一个庞大的攻击平台, 不仅能够被用于大范围的网络欺诈和信息窃取, 而且能够被利用发动大规模拒绝服务攻击, 甚至可能成为有力的网络战工具 CNCERT/CC 自 2009 年起对 飞客 蠕虫感染情况进行持续监测 监测数据显示, 全球互联网月均感染 飞客 蠕虫的主机数量持续减少,2010 年 12 月超过 6000 万台主机,2011 年月均 3500 万台主机,2012 年月均 2800 万台主机,2013 年月均 1722 万台主机,2014 年月均 943 万台主机 据 CNCERT/CC 监测,2014 年, 排名前三的国家或地区分别是中国大陆 84