秘密 - PDF Free Download

江苏省互联网网络安全月度报告 (2016 年第 12 期总第 108 期 ) 国家计算机网络应急技术处理协调中心江苏分中心 2016 年 1 月 18 日目录一 12 月份网络安全基本态势... 2 二网络安全事件信息通报... 2 ( 一 ) 网络安全事件处理情况... 2 ( 二 ) 信息报送情况... 2 三江苏省网络流量监测情况... 3 ( 一 ) 全网流量... 3 ( 二 ) 跨地域流量... 3 ( 三 ) 应用协议分析... 4 四网络安全事件分析... 5 ( 一 ) 行业地区网络安全事件分布... 5 ( 二 ) 木马僵尸网络事件... 5 ( 三 ) 飞客蠕虫病毒事件... 6 ( 四 ) 手机病毒事件... 7 ( 五 ) 网页篡改事件... 8 五重要网络安全威胁公告... 9 ( 一 ) Moxa 产品安全漏洞... 9 ( 二 ) IBM 产品安全漏洞... 9 六业界新闻速递... 10 ( 一 ) 第七届中国信息安全法律大会召开... 10 ( 二 ) 乌克兰再次发生大规模停电事故, 疑似遭遇黑客攻击... 11 ( 三 ) 雅虎被黑客攻击 10 亿账户数据泄露... 11 ( 四 ) 日本化妆品行业巨头资生堂 42 万用户信息被黑客窃取... 12 国家计算机网络应急技术处理协调中心江苏分中心 1

一 12 月份网络安全基本态势 2016 年 12 月, 我省公共互联网网络安全状况整体评价为中我省基础网络运行总体平稳, 互联网骨干网各项监测指标正常, 未发生较大以上网络安全事件互联网网络安全环境方面,12 月虽然我省网页篡改事件数量有所下降, 但僵尸木马和飞客蠕虫事件数量有所上升, 事件总数仍位居全国前列二网络安全事件信息通报 ( 一 ) 网络安全事件处理情况 2016 年 12 月, 我中心共牵头协调处理各类网络安全事件 15774 起其中, 高频次僵尸木马控制端事件 947 起, 高频次僵尸木马受控端事件 13419 起, 网页放马 317 起, 自用地址飞客蠕虫事件 997 起, 主机感染 MumbleHard 病毒事件 1 起, 专项打击高频次僵尸木马控制端事件 7 起, 漏洞预警 60 起, 移动互联网恶意程序下架 2 起, 仿冒钓鱼网站 24 起中心及时向用户通报情况并指导用户进行系统恢复, 使事件在最快时间内得到处理, 消除了不良影响 ( 二 ) 信息报送情况 2016 年 12 月份, 来自省内各基础电信运营企业增值电信运营企业网络安全厂商上报及我中心发现和接收的安全事件共 154423 起计算机病毒事件 3 起, 蠕虫事件 129477 起, 木马事件 596 起, 僵尸网络事件 2744 起, 域名劫持事件 10000 起, 网络仿冒事件 1360 起, 网页篡改事件事件 1438 起, 网页挂马事件 4476 起, 拒绝服务攻击事件 228 起, 后门漏洞事件 587 起, 非授权访问事件 139 起, 垃圾邮件事件 979 起, 其他网络安全事件 2396 起国家计算机网络应急技术处理协调中心江苏分中心 2

三江苏省网络流量监测情况 ( 一 ) 全网流量 2016 年 12 月, 江苏省全网流量峰值为 16.99Tbps, 峰值出现时间为 12 月 16 日 22:30, 每日 20:00 至 22:00 流量较高全网流量谷值为 4.99Tbps, 谷值出现时间为 12 月 22 日 05:05, 每日 04:00 至 06:00 流量较低全网流量均值为 10.99Tbps 全网流量抽样如图 1 所示 ( 二 ) 跨地域流量图 1: 全网流量抽样图 2016 年 12 月, 从外省流入我省地区的流量分布情况如图 2 所示, 最多的地区分别为浙江省 (108.1G, 约占 15.07%) 上海市(80.77G, 约 8.22%) 和广东省 (77.38G 约占 7.88%), 最少的地区为西藏自治区 (0.45G, 约占 0.05%) 国家计算机网络应急技术处理协调中心江苏分中心 3

图 2: 流入我省的流量地区分布图 ( 三 ) 应用协议分析 2016 年 12 月, 全省地区全网流量最高的 TCP 和 UDP 端口及相应的应用协议分布如表 1 和表 2 所示端口号排名百分比主要业务种类端口号排名百分比主要业务种类 80 1 86.31% 网页服务 1863 1 8.79% 未知 443 2 3.78% HTTPS 1863 2 7.70% 未知 8080 3 1.84% 网页服务 12345 3 7.54% 未知 4466 4 0.94% 未知 8000 4 7.09% 未知 1935 5 0.66% 未知 600 5 5.51% 未知 8410 6 0.55% 未知 7273 6 3.93% 未知 4468 7 0.46% HOST2 服务 54321 7 2.96% 未知 1443 8 0.44% 未知 123 8 2.71% 未知 1863 9 0.42% 未知 9909 9 2.68% 未知 81 10 0.40% 未知 5041 10 2.65% 未知表 1:TCP 协议端口 TOP10 分布表表 2:UDP 协议 TOP10 端口分布表国家计算机网络应急技术处理协调中心江苏分中心 4

四网络安全事件分析 ( 一 ) 行业地区网络安全事件分布 12 月份, 我省发生多起政府金融国有大型企业高校等重要机构的互联网主机感染木马僵尸飞客蠕虫病毒的事件其中, 涉及各级政府部门 IP 地址 246 个, 涉及银行证券保险等金融部门 IP 地址 84 个, 涉及高等院校 IP 地址 231 个南京徐州南通三个地市发生的网络安全事件数居全省前三位网络安全事件按行业及地域占比分布如图 3 4 所示图 3: 网络安全事件按行业占比分布图 4: 网络安全事件按地域占比分布 ( 二 ) 木马僵尸网络事件 2016 年 12 月, 国家计算机网络应急技术处理协调中心 ( 简称 CNCERT/CC) 对木马僵尸的活动状况进行了抽样监测, 发现中国大陆地区 2,154,276 个 IP 地址对应的主机被木马或僵尸程序秘密控制事件高发的三个省份分别为广东省 ( 约占 12.4%) 江苏省( 约占 9.0%) 河南省( 约占 6.6%), 其分布情况如图 5 所示我省被境外木马僵尸控制的 IP 数量为 194,395 个, 环比上升 85.05%, 其中南京苏州无锡受控事件数居全省前三位所属地域分布情况如图 6 所示国家计算机网络应急技术处理协调中心江苏分中心 5

图 5: 中国大陆地区木马或僵尸程序受控主机地区分布图图 6: 我省木马或僵尸程序受控主机所属地域分布图 ( 三 ) 飞客蠕虫病毒事件 2016 年 12 月,CNCERT/CC 对飞客蠕虫的活动状况进行了抽样监测, 发现境内感染飞客蠕虫的主机 IP 地址 660,375 个事件高发的三个省份分别为广东省 ( 约占 25.7%) 江苏省( 约占 10.7%) 和河南省 ( 约占 6.4%), 其分布情况如图 7 所示国家计算机网络应急技术处理协调中心江苏分中心 6

图 7: 中国大陆地区感染飞客蠕虫的主机 IP 按地区分布图我省感染飞客蠕虫病毒主机 IP 数量 70,886 个, 环比上升 7.70%, 全国排名第二, 所属地域分布情况如图 8 所示 ( 四 ) 手机病毒事件图 8: 江苏省感染飞客蠕虫主机所属地市分布图 2016 年 12 月, 我省发现 35,103,019 起手机用户感染手机恶意程序事件, 环比上升 114.06%; 累计感染用户 182,871, 环比上升 26.23%, 感染用户数排名前 10 的活跃手机病毒信息如表 3 所示 : 国家计算机网络应急技术处理协调中心江苏分中心 7

序号病毒名称病毒名称感染用户数 1 S.Privacy.Wizard.a2 伪向导家族病毒 68157 2 A.Privacy.htmlapp.j 网页应用病毒变种 47551 3 Tmall.a Tmall 病毒 39795 4 A.Privacy.Gsservice.a 邪恶推广病毒 4643 5 A.Remote.uuserv.a 伪父数据服务木马 3639 6 A.Privacy.Microcells.a 乖乖猪锁屏病毒 2999 7 S.Privacy.WapGuide.b2 伪 Wap 向导家族病毒变种 1397 8 A.System.Player.a 流氓播放器病毒 288 9 A.Rogue.gamex.f 恶魔传播者病毒变种 236 10 S.Payment.ScanMediaChannel.a 媒体通道病毒 217 表 3: 江苏省感染手机病毒用户数排名前 10 的活跃手机病毒 ( 五 ) 网页篡改事件 2016 年 12 月,CNCERT/CC 对网页篡改事件进行了抽样监测, 发现境内被篡改的网站共 5,294 个事件高发的三个省份分别为广东 ( 约占 22.6%) 北京( 约占 21.4%) 和河南 ( 约占 15.3%), 其分布情况如图 9 所示图 9: 境内被篡改网站按地区分布 12 月份, 监测发现全省被篡改的网站数量为 268 个, 全国排名第五其中被篡改的政府部门及学校金融网站 136 个, 占篡改网站总数的 50.74% 政府部门及高校网站篡改类型中广告链接占 98%, 网站黑页占 1%, 网页后门占 1% 国家计算机网络应急技术处理协调中心江苏分中心 8

五重要网络安全威胁公告 ( 一 ) Moxa 产品安全漏洞 MOXA Npor 是一款串口通讯服务器本周, 该产品被披露存在多个漏洞, 攻击者可利用漏洞执行任意代码进行跨站脚本攻击或发起拒绝服务攻击等 1. 情况分析 :CNVD 收录的相关漏洞包括 :Moxa NPort 拒绝服务漏洞 Moxa NPort 明文存储漏洞 Moxa NPort 身份验证漏洞 Moxa NPort 跨站请求伪造漏洞 Moxa NPort 跨站脚本漏洞 Moxa NPort 缓冲区溢出漏洞 Moxa NPort 访问控制漏洞 Moxa NPor 凭证管理漏洞除 Moxa NPort 明文存储漏洞 Moxa NPort 跨站脚本漏洞外, 其余漏洞的综合评级为高危目前, 厂商已经发布了上述漏洞的修补程序 CNVD 提醒用户及时下载补丁更新, 避免引发漏洞相关的网络安全事件 2. 漏洞影响范围 : 上述漏洞的综合评级均为高受该漏洞影响的产品包括 :Moxa NPort 5110<2.6 Moxa NPort 5130/5150 <3.6 Moxa NPort 5200 <2.8 Moxa NPort 5400 <3.11 Moxa NPort 5600 <3.7 Moxa NPort P5150A <1.3 Moxa NPort 5100A <1.3 Moxa NPort 5200A<1.3 Moxa NPort 5150AI-M12 <1.2 Moxa NPort 5250AI-M12 <1.2 Moxa NPort 5450AI-M12 <1.2 Moxa NPort 5600-8-DT <2.4 Moxa NPort 5600-8-DTL <2.4 Moxa NPort 6x50 <1.13.11 Moxa NPort IA5450A <1.4 3. 漏洞处置建议 : 厂商已经发布了上述漏洞的修补程序建议用户尽快下载补丁更新, 避免引发漏洞相关的网络安全事件 ( 二 ) IBM 产品安全漏洞 IBM BigFix Remote Control 是美国 IBM 公司的一套远程控制系统 IBM FileNet 是一套企业内容管理平台本周, 上述产品被披露存在多个漏洞, 攻击者可利用漏洞泄露敏感信息上传任意文件或执行任意 SQL 命令等国家计算机网络应急技术处理协调中心江苏分中心 9

1. 漏洞情况分析 :CNVD 收录的相关漏洞包括 :IBM FileNet Workplace XT 任意文件上传漏洞 IBM BigFix Remote Control SQL 注入漏洞 IBM BigFix Remote Control 信息泄露漏洞 (CNVD-2016-11868 CNVD-2016-11859 CNVD-2016-11860 CNVD-2016-11861) IBM BigFix Remote Control 目录遍历漏洞 IBM BigFix Remote Controll 本地信息泄露漏洞等除 IBM BigFix Remote Control 信息泄露漏洞 (CNVD-2016-11860 CNVD-2016-11861) IBM BigFix Remote Controll 本地信息泄露漏洞外, 其余漏洞的综合评级为高危目前, 厂商已经发布了上述漏洞的修补程序 CNVD 提醒用户及时下载补丁更新, 避免引发漏洞相关的网络安全事件 2. 漏洞影响范围 : 上述漏洞的综合评级为高受该漏洞影响的产品包括:IBM FileNet Workplace XT 1.1.5 3. 漏洞处置建议 : 厂商已经发布了上述漏洞的修补程序建议尽快下载补丁更新, 避免引发漏洞相关的网络安全事件六业界新闻速递 ( 一 ) 第七届中国信息安全法律大会召开法制网 12 月 19 日消息 12 月 14 日 -15 日, 第七届中国信息安全法律大会在上海召开此次大会以主权治理密码执法为主题, 设立网络安全法网络社会治理创新关键信息基础设施保护密码法闭门高端论坛四个会议专题来自政府高校互联网企业等网络安全领域的领导专家 240 余人参加了会议据了解, 本次大会是我国信息安全法学领域从 2010 年至今连续召开的第七次全国性法律盛会, 由中央网信办政策法规局公安部网络安全保卫局最高人民法院中国应用法学研究所和中国网络空间安全协会指导, 西安交通大学发起, 公安部第三研究所西安交通大学信息安全法律研究中心中国信息通信研究院互联网法律研究中心北京邮电大学互联网治理与法律研究中心中国网络空间战略研究所国家计算机网络应急技术处理协调中心江苏分中心 10

联合承办大会以推动国家政策法律的落实为原则, 致力于构建政府与企业国家与社会技术与法律协同交流的平台, 在业界产生了良好的影响 ( 二 ) 乌克兰再次发生大规模停电事故, 疑似遭遇黑客攻击 FreeBuf 12 月 21 日消息据乌克兰能源公司 UKrenergo 消息, 上周六半夜, 乌克兰首都基辅北部及周边地区发生断电, 电力公司专家采用人工操作,30 分钟后开始逐渐恢复供电,75 分钟后已全面恢复 UKrenergo 公司主管 Vsevolod Kovalchuk 在 Facebook 上发文称, 发生本次事故的原因可能是设备失灵, 或者也可能是网络攻击 ; 推测此次事故的原因为通过数据网络的外部干预 (external interference through the data network), 公司专家及执法部门已发起调查, 并称将在不久后发布事故报告此次事故不由让人想起去年 12 月乌克兰电网遭遇攻击事件, 当时许多安全专家认为是俄罗斯黑客组织, 利用 BlackEnergy 和 KillDisk 恶意软件, 向乌克兰的电力公司发起了 DDoS 攻击, 并延缓其修复过程 2015 年的那次事件发生后, 电力公司专家用了 3-6 小时才修复问题值得一提的是, 前几天 ESET 的博客文章提到, 攻击乌克兰电网并致其停运的 BlackEnergy 黑客组织现如今似已更名 TeleBots, 目前该黑客组织已经将目标转移到了乌克兰银行, 据说攻击所用恶意程序中的不少恶意代码和 BlackEnergy 先前所用的具有较大相似性, 所以 ESET 推测 BlackEnergy 组织也就是现如今的 TeleBots 不知本次乌克兰停电事故是否与之相关 ( 三 ) 雅虎被黑客攻击 10 亿账户数据泄露凤凰网 12 月 16 日消息美国雅虎公司 14 日发表声明称, 雅虎于 2013 年 8 月被黑客袭击, 导致超过 10 亿用户信息泄露这是全球最大的信息泄露事件这是雅虎公司 4 个月内第二次曝出大规模用户信息遭窃事件, 而且受害用户人数翻番雅虎在声明中说, 上月发现这起信息失窃案件执法机构此前向雅虎提供了一份用户信息数据文件在对文件中的数据进行核对分析后, 雅虎确认用户信息遭到未经授权的第三方窃取失窃资料可能包括用户姓名电子邮件地址电话号码出生日期和国家计算机网络应急技术处理协调中心江苏分中心 11

加密密码等支付卡与银行账户资料没有储存在被攻击的系统内, 因而未遭殃及眼下, 雅虎已采取相关措施确保用户账号安全, 并提醒用户更改密码雅虎认为这起信息失窃案与 2014 年黑客入侵可能不是同一案件今年 9 月, 雅虎证实至少 5 亿用户的信息在 2014 年遭人窃取, 涉及用户姓名电子邮箱电话号码出生日期和部分登录密码 ( 四 ) 日本化妆品行业巨头资生堂 42 万用户信息被黑客窃取 E 安全 12 月 6 日消息日本化妆品行业巨头资生堂公司上周五宣布遭遇数据泄露事件黑客入侵了资生堂子公司 IPSA 茵芙莎公司运营的化妆品网店, 共计 42 万顾客的个人信息数据被泄, 包括财务信息据 The Mainichi 网站报道称, 日本化妆品制造商资生堂上周五表示, 其子公 IPSA 运营的网店遭遇非法入侵, 约 42 万顾客个人信息可能被泄这家日本媒体报道称, 被盗数据包括顾客姓名和地址 IPSA 公司证实, 部分顾客的财务数据可能被泄, 约 5.6 万顾客的信用卡信息也可能被泄 IPSA 公司承认, 信用卡数据属于 2011 年 12 月 14 日至 2016 年 11 月 4 日期间在该网店有购买记录的用户资生堂及时向日本当局报告了这起数据泄露事件, 包括日本经济贸易和工业部日本警方着手调查此案 IPSA 公司已暂时关闭网店国家计算机网络应急技术处理协调中心江苏分中心 12

版权说明江苏省网络安全月度报告 ( 简称月报 ) 是由国家计算机网络应急技术处理协调中心江苏分中心 ( 简称江苏省互联网应急中心 ) 编制并发布, 版权归江苏省互联网应急中心月报中凡摘录或引用内容已指明出处的, 其版权归相应单位所有本月报所有权利及许可由江苏省互联网应急中心进行管理, 任何单位或个人如需转载或引用其中内容, 须经江苏省互联网应急中心同意, 并标明出处国家计算机网络应急技术处理协调中心江苏分中心 13