秘密

Size: px

Start display at page:

Download "秘密"

体邓
7 years ago
Views:

1 江苏省互联网网络安全月度报告目录 1 8 月份网络安全基本态势网络安全事件信息通报网络安全事件处理情况信息报送情况网络安全事件分析行业地区网络安全事件分布木马僵尸网络事件飞客蠕虫病毒事件手机病毒事件网页篡改事件重要网络安全威胁公告 CNVD 收录了 Android WebView 组件一个远程命令执行漏洞江苏省网络流量监测情况全网流量跨地域流量应用协议分析业界新闻速递百万网站暗藏后门最长已被黑客控制 5 年工信部开展防范治理黑客地下产业链专项行动安卓再曝新漏洞 : 一键认证易遭黑客攻击国家计算机网络应急技术处理协调中心江苏分中心 1

2 6.4 德国 3 个月 25 万网络信息被盗遭黑客入侵严重 ( 第十二届 ) 中国互联网大会在京召开中国.CN 域名遭有史以来最大 DDoS 攻击俄军年内将增新兵种建网络安全部队新型 Web 劫持技术现身专攻搜索引擎月份网络安全基本态势 8 月份, 江苏省互联网网络安全指数整体评价为差我省被境外木马僵尸控制的 IP 数量为个, 较 7 月份降低 21.44%, 全国排名第三 ; 省内感染飞客蠕虫病毒主机 IP 数量个, 较 7 月份增长 23.40%, 全国排名第三 ; 省内被篡改的网站数量为 688 个, 较 7 月份降低 25.86%, 全国排名第六 2 网络安全事件信息通报根据工业和信息化部互联网网络安全信息通报实施办法相关规定, 国家计算机网络应急技术处理协调中心 ( 简称国家互联网应急中心,CNCERT/CC) 负责收集和通报包括基础电信运营企业增值电信运营企业互联网域名注册的管理机构互联网域名注册服务机构网络安全应急服务支撑单位互联网协会在内的全国 IP 网络和重要信息系统的网络安全信息国家计算机网络应急技术处理协调中心江苏分中心 ( 以下简称江苏省互联网应急中心 JSCERT) 代表 CNCERT/CC 具体负责对江苏省地区的网络安全信息进行收集和通报国家计算机网络应急技术处理协调中心江苏分中心 2

3 2.1 网络安全事件处理情况 2013 年 8 月份, 江苏省互联网应急中心共协调处理各类网络安全事件起, 其中僵尸木马受控事件起, 僵尸木马控制事件 162 起, 飞客病毒事件 2204 起, 仿冒网站事件 26 起, 重要信息系统网页篡改事件 43 起, 网站高危漏洞预警 98 起江苏省互联网应急中心及时向用户作了情况通报并指导用户进行系统恢复, 使事件在最快时间内得到处理, 消除了不良影响 2.2 信息报送情况 2013 年 8 月份, 来自江苏省各基础电信运营企业增值电信运营企业网络安全厂商上报及我中心发现和接收的安全事件共起其中涉及蠕虫病毒事件 2204 起, 木马事件起, 僵尸网络事件 4429 起, 网络仿冒事件 31 起, 网页篡改事件 41 起, 网页挂马事件 19 起, 拒绝服务攻击事件 12 起, 后门漏洞事件 2 起, 非授权访问事件 181 起, 垃圾邮件事件 6682 起, 其他事件 41 起 3 网络安全事件分析 3.1 行业地区网络安全事件分布 8 月份, 我省发生多起政府金融系统国有大型企业高校等重要机构的互联网主机感染木马僵尸飞客蠕虫病毒的事件其中, 涉及各级政府部门 IP 地址 676 个, 涉及银行证券保险等金融部门 IP 地址 122 个, 涉及高等院校 IP 地址 450 个苏州南京无锡三个地市发生的网络安全事件数列居全省前三位网络安全事件按行业及地市占比分布如图 1 2 所示 : 国家计算机网络应急技术处理协调中心江苏分中心 3

4 图 1: 网络安全事件按行业占比分布图 2: 网络安全事件按市占比分布 3.2 木马僵尸网络事件 2013 年 8 月,CNCERT/CC 对木马僵尸的活动状况进行了抽样监测, 发现中国大陆地区个 IP 地址对应的主机被木马或僵尸程序秘密控制事件高发的三个省份分别为广东省 ( 约占 12.6%) 浙江省( 约占 8.1%) 江苏省( 约占 7.7%), 其分布情况如图 3 所示江苏省被境外木马僵尸控制的 IP 数量为个, 较 7 月份降低 21.44%, 全国排名第三, 其所属地市分布情况如图 4 所示图 3: 中国大陆地区木马或僵尸程序受控主机地区分布图国家计算机网络应急技术处理协调中心江苏分中心 4

5 图 4: 江苏省木马或僵尸程序受控主机所属地市分布图 3.3 飞客蠕虫病毒事件 2013 年 8 月,CNCERT/CC 对飞客蠕虫的活动状况进行了抽样监测, 发现境内感染飞客蠕虫的主机 IP 地址共个事件高发的三个省份分别为广东 ( 约占 23.7%) 浙江 ( 约占 8.3%) 和江苏 ( 约占 7.3%), 其分布情况如图 5 所示图 5: 中国大陆地区感染飞客蠕虫的主机 IP 按地区分布图江苏省感染飞客蠕虫病毒主机 IP 数量个, 较 7 月份增长 23.40%, 全国排名第三, 其所属地市分布情况如图 6 所示国家计算机网络应急技术处理协调中心江苏分中心 5

6 图 6: 江苏省感染飞客蠕虫主机所属地市分布图 3.4 手机病毒事件 2013 年 8 月, 江苏省互联网应急中心监测发现江苏省发生万起手机用户感染手机恶意程序事件, 环比下降 42.27%, 累计感染用户数为 , 环比下降 22.35%, 手机病毒引发的 GPRS 网络数据流量为 22.35% 感染用户数排名前 10 的活跃手机病毒信息如表 1 所示 : 序号病毒名称病毒名称感染感染用户感染率环比 ( 中文 ) ( 英文 ) 用户数占比变化 1 gsservice 病毒 A.Privacy.gsservice.a % % 2 ThemeInstall 病毒 s.payment.themeinstall.a % % 3 Symvideo 病毒 S.Privacy.Symvideo.a % % 4 paintpro 病毒 A.Privacy.paintpro.a % % 5 MousePush 病毒 a.rogue.mousepush.a % % 6 McsApp 病毒 a.payment.mcsapp.a % % 7 ApxxPush 病毒 a.expense.apxxpush.a % % 8 Nyleaker 病毒 a.remote.nyleaker.a % % 9 吸血狂魔病毒变种 S.Privacy.CoolCaller.b % % 10 Fontal.A S.System.Fontal.A % % 表 1: 江苏省感染手机病毒用户数排名前 10 的活跃手机病毒国家计算机网络应急技术处理协调中心江苏分中心 6

7 3.5 网页篡改事件 2013 年 8 月,CNCERT/CC 监测发现中国大陆地区被篡改网站 7495 个被篡改网页分布情况如图 7 所示, 最多的地区分别为北京市 ( 约占 17.0%) 浙江省 ( 约占 13.6%) 和上海市 ( 约占 11.5%) 图 7: 境内被篡改网站按地区分布江苏省被篡改的网站数量为 688 个, 较 7 月份降低 25.86%, 全国排名第六其中被篡改的政府部门及高校网站 73 个, 占篡改网站总量的 10.61% 政府部门及高校网站篡改类型中广告链接占 88%, 网站黑页占 12% 4 重要网络安全威胁公告 4.1 CNVD 收录了 Android WebView 组件一个远程命令执行漏洞近期, 国家信息安全漏洞共享平台 (CNVD) 收录了 Android WebView 组件存在一个远程命令执行漏洞 ( 编号 :CNVD ) 攻击者可利用漏洞发起面向 Android 终端用户的挂马攻击, 进而构成用户隐私信息窃远程控制等威胁有关情况如下 : 国家计算机网络应急技术处理协调中心江苏分中心 7

8 一漏洞分析情况 :Android SDK 中提供了一个 WebView 组件, 用于在应用中嵌入一个浏览器来进行网页浏览基于该组件开发的 APP 软件通常会调用 WebView 组件中的 addjavascriptinterface 方法用于实现本地 Java 和 JavaScript 的交互但是在交互过程中,addJavascriptInterface 方法提供了程序执行本地代码的接口,JavaScript 脚本可通过此接口执行任意 Java 代码 ( 含操作系统指令 ) 攻击者可通过构造特定 HTML 页面, 嵌入恶意程序代码当 Android 终端用户访问上述页面时, 即可达到与 PC 终端上类似的挂马攻击目的二漏洞影响范围 : 此前,Android 操作系统开发方谷歌 (Google) 公司已经阐述了使用 addjavascriptinterface 方法开发的 APP 软件会存在所述安全风险, 但许多 Android 应用开发者并未在产品中采取有针对性的技术防范措施根据国内漏洞报送者近期的报送情况, 国内许多浏览器微博微信等拥有较大用户群体的知名 APP 软件均受到漏洞的影响三应对措施建议 : 为有效应对潜在的大规模攻击威胁,CNCERT 建议如下针对措施 : ( 一 )APP 应用开发者应确保只在访问可信页面数据时才使用 addjavascriptinterface 方法例如, 使用 WebViewClient 中的 shouldoverrideurlloading 方法来对加载的页面 URL 进行检查, 避免执行恶意操作对于开发在 Android 4.2 系统下运行的应用时, 使用 JavascriptInterface 方法代替 addjavascriptinterface 方法 ;( 二 )Android 终端用户需及时关注 Android 应用的更新情况, 尽快升级到最新版本在厂商修补前, 用户应尽量避免访问不可信的网页和邮件 5 江苏省网络流量监测情况 5.1 全网流量 2013 年 8 月, 江苏省全网流量峰值为 9.91Tbps, 峰值出现时间为 8 月 1 日 21:06, 每国家计算机网络应急技术处理协调中心江苏分中心 8

9 日 20:30 至 22:00 流量较高全网流量谷值为 411Gbps, 谷值出现时间为 8 月 28 日 5:11, 每日 05:00 至 06:30 流量较低全网流量均值为 4.30Tbps 全网流量抽样如图 8 所示图 8: 全网流量抽样图 5.2 跨地域流量 2013 年 8 月, 从外省流入江苏省地区的流量分布情况如图 9 所示, 最多的地区分别为浙江省 (79.52G, 约占 25%) 上海市(27.67G, 约占 9%) 和广东省 (21.29G, 约占 7%), 最少的地区为西藏自治区 (284.21M, 约占 0.02%) 图 9: 流入江苏省地区流量地区分布图国家计算机网络应急技术处理协调中心江苏分中心 9

10 5.3 应用协议分析 2013 年 8 月, 江苏省地区全网流量最高的 TCP 和 UDP 端口及相应的应用协议分布如表 2 和表 3 所示端口号排名百分比主要业务种类端口号排名百分比主要业务种类 % 网页服务 % 影视 % 网页服务 % 未知 % 网页服务 % MSN 服务 % 未知 % 网页服务 % 未知 % 未知 % 网游 % 影视 % 未知 % 未知 % 网游 % 网络聊天 % 网页服务 % 游戏未知 % 下载表 2:TCP 协议端口 TOP10 分布表 6 业界新闻速递表 3:UDP 协议 TOP10 端口分布表 6.1 百万网站暗藏后门最长已被黑客控制 5 年中新网 8 月 1 日消息最新报告显示, 国内 30% 以上的网站存在黑客后门, 医疗网站和政府网站是被植入后门比例最高的网站类型, 甚至有网站后门早在 2008 年就已存活, 这意味着该网站已被黑客连续控制了 5 年时间据介绍, 后门是黑客利用漏洞在网站中植入的恶意程序利用后门, 黑客能够远程控制网站, 如篡改网页内容挂马窃取网站注册用户密码数据等检测发现,30.5% 的网站存在后门, 这些网站平均每家被植入后门数量多达 8 个, 很可能是由不同黑客入侵控制的以国内 300 余万家网站总量测算, 有后门的网站高达百万家国家计算机网络应急技术处理协调中心江苏分中心 10

11 其中, 医疗行业网站政府网站和企业官网是后门检出率最高的网站类型, 比例分别达到 46.9% 40.0% 和 38.5%; 教育学习类网站的后门比例最低, 但也有 21.7% 的该类型网站已经被黑客控制后门对于网站经营者和访问者都存在巨大威胁专家介绍说, 网站一旦存在后门, 缺乏专业安全技术的站长很难发现, 可能随时被黑客篡改页面流量劫持挂马, 甚至拖库, 直接危害网站访问者的电脑系统和帐号安全, 也严重干扰网站的正常运营后门泛滥的根源在于众多网站存在高危漏洞, 即便是一个菜鸟黑客, 也能使用批量入侵工具, 针对一些流行建站系统的漏洞实施攻击, 短时间内就能攻破大批网站令人担忧的是, 这些黑客工具在网上能够轻松下载到 6.2 工信部开展防范治理黑客地下产业链专项行动法制网 8 月 8 日消息为遏制黑客地下产业链蔓延, 净化网络环境, 保护用户和企业切身利益与财产安全, 工信部定于 2013 年 8 月至 12 月开展防范治理黑客地下产业链专项行动根据防范治理黑客地下产业链专项行动方案规定, 将加强仿冒政府金融传媒电子商务类网站的监测和研判, 在以行业自律方式对钓鱼网站域名进行处置的同时, 加大对钓鱼网站托管主机的协调处置力度同时落实木马和僵尸网络监测与处置机制 ( 工信部保号 ), 加强木马和僵尸网络监测和研判, 着重清理控制规模较大的木马和僵尸网络控制端主机和控制域名, 加强处置效果验证, 探索被控端处置方式方案还将加强对网上贩卖肉鸡虚拟财产用户个人信息以及提供攻击服务的信息监测, 对黑客活动受益主体进行关联分析, 建立相关举报机制依法依规关闭提供黑客技术培训和地下沟通交易渠道的网站论坛贴吧即时通信群组等指导督促提供论坛贴吧即时通信群组等信息服务的互联国家计算机网络应急技术处理协调中心江苏分中心 11

12 网企业落实违法信息管理责任对在恶意吸费广告黑链等行为中获益的 SP 网站等进行依法处置暂停业务合作或予以曝光 6.3 安卓再曝新漏洞 : 一键认证易遭黑客攻击新华网 8 月 6 日消息据美国科技博客 Gizmodo 报道, 安卓设备的用户, 通过谷歌一键认证的快捷键, 无需输入密码, 便可以登录到谷歌的各种服务网站但这一应用易遭受黑客攻击 Tripwire 安全公司的研究员对这个系统的工作原理进行了细致的研究分析, 在上周举行的 DEF CON 黑客大会上进行了一些骇人的细节展示其基本系统称作 weblogin, 它通过创建一个特殊的令牌来识别使用谷歌服务的用户身份, 但该记号很容易被盗, 而一旦被盗, 可用于一切服务在漏洞得到修复之前, 用户最好不要图方便使用一键认证功能也就是说, 应该在收到关于 weblogin 的任何请求时都选择拒绝该漏洞在二月份就已经报告给谷歌方面, 但谷歌只进行了部分修复, 例如通过 Google Takeout 可以获取全部的账户信息但被盗取的令牌仍然可用于登录用户的 Gmail 邮箱, 或者查看用户 Google Drive 里的内容 6.4 德国 3 个月 25 万网络信息被盗遭黑客入侵严重中新社 8 月 8 日消息德国联邦信息技术安全局 8 月 8 日称, 目前德国互联网信息遭黑客入侵的现象十分严重,3 个月之间, 用户被盗取的身份等信息达 25 万之多, 受害者通常在很久之后才会发现信息被盗信息被盗的范围不仅涉及网上银行, 还涉及到网络商品交易以及社交网信息等各方面罪犯盗取用户信用卡或者是社交网中提供的信息, 并利用受害人帐户从事商业活动该机构提供的数字显示,50% 的受害人平均在 300 天之后才会发现自己的电脑遭到入侵, 因此对普通用户以及企业造成很大危害另外, 黑客对政府以及企业的网络攻击频率也在增强仅政府网络每天遭到的国家计算机网络应急技术处理协调中心江苏分中心 12

13 黑客攻击量就达 2000 到 3000 次为使企业加强自我保护, 联邦信息技术安全局列出了 60 个网络防范虚弱部分, 并且经常刷新列表但大部分企业都不能做到百分百消除障碍一项来自经济界的调查显示, 在过去两年中,25% 的德国企业遭到网络入侵, 经济损失总和达 430 亿欧元, 平均每个案例损失百万以上该机构警告, 黑客的首要目标是企业外部服务器及电邮服务器, 以及 U 盘智能手机和平板电脑这样的移动通讯设备许多企业负责人喜欢将信息通过上述仪器带在身边, 成为最大的安全隐患 ( 第十二届 ) 中国互联网大会在京召开新华网 8 月 13 日消息由工业和信息化部国家互联网信息办公室等单位指导, 中国互联网协会主办的 2013( 第十二届 ) 中国互联网大会 8 月 13 日在北京国际会议中心隆重开幕本届大会主题为共建良好生态环境, 服务美好网络生活工业和信息化部副部长尚冰出席大会开幕式并在主旨报告中指出, 随着移动互联网大数据云计算物联网的加速发展, 我国互联网行业呈现出一些新的特点 : 移动互联网高速普及, 网络应用更加多元化, 网络带动信息消费强劲增长, 下一代互联网建设取得积极进展作为行业主管部门, 工业和信息化部将着眼我国经济结构调整和转型升级的大局, 一如既往地为推动我国互联网企业加快发展和行业整体水平的提高做好服务同时也要不断加强行业管理和网络信息安全工作, 为企业营造良好的外部环境就互联网行业当前和未来的发展, 尚冰提出 : 一要进一步完善信息基础设施, 加快推动互联网技术业务的创新和应用二要加强市场监管和行业自律, 共建和谐健康的互联网行业生态, 进一步健全和完善政府部门企业行业组织等相关各方各司其职各负其责, 共同参与的互联网治理体系, 努力为互联网发展创造公平公正有序有效的市场环境三要全力保障网络与信息安全, 服务美好网络生活要从战略和全局的高度国家计算机网络应急技术处理协调中心江苏分中心 13

14 重视网络与信息安全, 共同构建安全可信的网络环境, 为行业持续健康发展和广大网民享受美好的网络生活提供坚实的保障 6.6 中国.CN 域名遭有史以来最大 DDoS 攻击中新网 8 月 25 日消息 25 日凌晨, 中国.CN 域名解析出现大规模解析故障, 中国互联网络信息中心 (CNNIC)25 日上午发出通告称, 国家域名解析节点受到拒绝服务攻击, 攻击仍在继续, 服务正在逐步恢复 25 日凌晨零时左右, 国家域名解析节点受到拒绝服务攻击, 受到影响的包括新浪微博客户端及一些.cn 网站 CNNIC 上午约十点半左右发出通告称, 经 CNNIC 处置, 至 2 时许, 服务恢复正常, 凌晨 3 时通过官方微博发出通告凌晨 4 时许, 国家域名解析节点再次受到有史以来最大规模的拒绝服务攻击, 部分网站解析受到影响, 导致访问缓慢或中断至发出通告时, 攻击仍在持续, 国家域名解析服务已逐步恢复 CNNIC 说, 对受到影响的用户表示歉意, 对发动网络攻击影响互联网稳定的行为表示谴责工业和信息化部启动了域名系统安全专项应急预案, 进一步保障国家域名的解析服务 6.7 俄军年内将增新兵种建网络安全部队人民网 8 月 23 日消息日前, 俄罗斯国防部副部长奥斯塔边科声明, 俄武装力量将有新的兵种, 其主要任务是向网络威胁作斗争据报道, 俄新成立的网络安全部队的主要任务是猎捕有害的软件, 反击黑客的攻击, 同时寻找外国进口设备中敌人的暗藏物报道同时指出, 当重要武器和技术都达到由本国电子元件组建时, 才能谈到网络安全的保障此前, 俄罗斯联邦安全局曾声明建立反网络威胁特种部队, 但由于它具有特工性质, 不可能在俄罗斯国防部推广格罗捷克公司商务发展科经理弗拉索夫说 : 两种部队有不同的任务俄安全局应该在存在恐怖行动阴谋情况国家计算机网络应急技术处理协调中心江苏分中心 14

15 下, 通过正常的网络联系渠道与网络威胁作斗争而俄国防部需要保障对战略设施无间断的控制, 使任何人都不可能妄想破坏军队的战备状态弗拉索夫表示, 西方国家网络部队任务中, 可能有全面破坏潜在敌人军队管理系统的措施而俄网军的主要任务是自卫性的据报道, 俄国防部声明, 到年底, 俄武装力量中将出现网络安全部队 6.8 新型 Web 劫持技术现身专攻搜索引擎新华网 8 月 20 日消息近期, 相关机构截获了一例利用 script 脚本进行 Web 劫持的攻击案例, 在该案例中, 黑客利用一批新闻页面重置了搜索引擎页面, 并将搜索结果替换为自己制作的假页面, 以达到恶意推广的目的安全专家表示, 这种 Web 劫持在国内尚属首例, 同时也非常危险, 用户稍不留神就可能进入黑客制作的钓鱼页面, 从而被骗取钱财及隐私信息因此, 广大用户在上网时应随时保持警惕, 一旦发现页面内容出现异常, 应马上核对所在页面的网址, 以免上当受骗安全专家指出, 该类新型 Web 劫持是利用 script 脚本实现的在已知的案例中, 黑客入侵了某地方门户网站, 篡改了该网站的新闻页面, 并向这些页面植入自己的广告新闻及恶意代码一旦用户从搜索结果页面点击进入被篡改过的新闻页面,script 脚本就会用假页面置换原搜索结果页面因为该黑客使用了与原搜索引擎极其近似的域名, 并阻止浏览器的后退功能退回原页面, 所以一般用户很难察觉自己打开的网站已经被调包了国家计算机网络应急技术处理协调中心江苏分中心 15

16 版权说明江苏省网络安全月度报告 ( 简称月报 ) 是由国家计算机网络应急技术处理协调中心江苏分中心 ( 简称江苏省互联网应急中心 ) 编制并出版, 版权归江苏省互联网应急中心月报中凡摘录或引用内容已指明出处的, 其版权归相应单位所有本月报所有权利及许可由江苏省互联网应急中心进行管理, 任何单位或个人如需转载或引用其中内容, 须经江苏省互联网应急中心同意, 并标明出处国家计算机网络应急技术处理协调中心江苏分中心 16

秘密

(2015 年第 2 期总第 86 期 ) 国家计算机网络应急技术处理协调中心江苏分中心 2015 年 3 月 10 日目录一 2 月份网络安全基本态势... 2 二网络安全事件信息通报... 2 ( 一 ) 网络安全事件处理情况... 2 ( 二 ) 信息报送情况... 2 三江苏省网络流量监测情况... 3 ( 一 ) 全网流量... 3 ( 二 ) 跨地域流量... 3 ( 三 ) 应用协议分析...