CNCERT 互联网安全威胁报告 2012 年 1 月总第 13 期 优 良中差危 摘要 : 本报告以 CNCERT 监测数据和通报成员单位报送数据作为主要依据, 对我国互联网面临的各类安全威胁进行总体态势分析, 并对重要预警信息和典型安全事件进行探讨 2012 年 1 月, 互联网网络安全状况整体评价为中 主要数据如下 : 境内感染网络病毒的终端数约为 617 万个 ; 境内被篡改网站数量为 1888 个, 其中被篡改政府网站数量为 143 个 ; 国家信息安全漏洞共享平台 (CNVD) 收集整理信息系统安全漏洞 347 个, 其中, 高危漏洞 102 个, 可被利用来实施远程攻击的漏洞有 309 个 热线电话 :+8610 82990999( 中文 ),82991000( 英文 ) 传真 :+8610 82990399 电子邮件 :cncert@cert.org.cn PGP Key:http:///cncert.asc 网址 :http:///
关于 (CNCERT) 的全称是国家计算机网络应急技术处理协调中心 ( 英文简称为 CNCERT 或 CNCERT/CC), 成立于 1999 年 9 月, 是工业和信息化部领导下的国家级网络安全应急机构, 致力于建设国家级的网络安全监测中心 预警中心和应急中心, 以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能, 支持基础信息网络的安全防护和安全运行, 支援重要信息系统的网络安全监测 预警和处置 2003 年,CNCERT 在我国大陆 31 个省 自治区 直辖市成立分中心, 完成了跨网络 跨系统 跨地域的公共互联网网络安全应急技术支撑体系建设, 形成了全国性的互联网网络安全信息共享 技术协同能力 目前,CNCERT 作为国家互联网安全应急体系的核心技术协调机构, 在协调国内网络安全应急组织 (CERT) 共同处理互联网安全事件方面发挥着重要作用 CNCERT 的业务能力主要包括 : 监测发现 : 依托 863-917 网络安全监测系统 实现网络安全事件的监测发现 863-917 网络安全监测系统是一个全程全网 多层次 多渠道延伸的网络安全综合监测平台, 目前已具备对安全漏洞 恶意代码 网页篡改 网页挂马 拒绝服务攻击 域名劫持 路由劫持等各种网络威胁或攻击的监测发现能力 通报预警 : 依托对丰富数据资源的综合分析和多渠道的信息获取实现网络安全威胁的分析预警 网络安全事件的情况通报 宏观网络安全状况的态势分析等 此外, 按照 2009 年工业和信息化部颁布实施的 互联网网络安全信息通报实施办法 承担通信行业互联网网络安全信息通报工作 应急处置 : 依托与运营商 域名注册商 安全服务厂商等相关部门的快速工作机制和与涉及国计民生的重要信息系统部门及执法机关密切合作机制实现网络安全事件的快速处置 ; 同时作为国际著名网络安全合作组织 FIRST 和 APCERT 的重要成员, 与多个世界著名的网络安全机构和各个国家级应急组织建立了网络安全事件处理合作机制 面向国内外用户受理网络安全事件报告, 及时掌握和处置突发重大网络安全事件
版权及免责声明 CNCERT 互联网安全威胁报告 ( 以下简称 报告 ) 为国家计算机网络应急技术处理协调中心 ( 简称,CNCERT 或 CNCERT/CC) 的电子刊物, 由 CNCERT 编制并拥有版权 报告中凡摘录或引用内容均已指明出处, 其版权归相应单位所有 本报告所有权利及许可由 CNCERT 进行管理, 未经 CNCERT 同意, 任何单位或个人不得将本报告以及其中内容转发或用于其他用途 CNCERT 力争保证本报告的准确性和可靠性, 其中的信息 数据 图片等仅供参考, 不作为您个人或您企业实施安全决策的依据,CNCERT 不承担与此相关的一切法律责任 编者按 : 感谢您阅读 CNCERT 互联网安全威胁报告, 如果您发现本报告存在任何问题, 请您 及时与我们联系, 来信地址为 :cncert@cert.org.cn
本月网络安全基本态势分析 2012 年 1 月, 互联网网络安全状况整体评价为中 我国基础网络运行总体平稳, 互联网骨干网各项监测指标正常, 未发生较大以上网络安全事件 在我国互联网网络安全环境方面, 我国境内被篡改网站数量 接收到的网络安全事件报告数量 新发现信息系统安全漏洞数量较 2011 年 12 月均有所下降, 境内感染恶意代码的主机数量有所增长 总体上,1 月公共互联网网络安全态势较上月继续保持好转, 但评价指数仍在中的区间 基础网络安全 2012 年 1 月, 我国基础网络运行总体平稳, 互联网骨干网各项监测指标正常, 未出现省级行政区域以上的造成较大影响的基础网络运行故障, 未发生较大以上网络安全事件, 但存在一定数量的流量不大的针对互联网基础设施的拒绝服务攻击事件 重要联网信息系统安全政府网站和金融行业网站仍然是不法分子攻击的重点目标, 安全漏洞是重要联网信息系统遭遇攻击的主要内因 本月, 监测发现被篡改政府网站数量为 143 个, 较上月的 163 个下降 12.3%, 占境内被篡改网站比例由 8.1% 减少到 7.6%; 接收的网页仿冒事件报告数量为 786 个, 较上月的 977 个下降 19.5%, 这些仿冒事件绝大多数都是针对金融机构 电子商务 第三方在线支付网站等 ; 此外, WSN Links 'report.php' SQL 注入漏洞 TinyWebGallery 存在多个远程命令执行漏洞 GreenBrowser 搜索栏快捷按钮两次释放远程内存破坏漏洞 Eudora WorldMail imapd'list' 命令缓冲区溢出漏洞 等影响较为严重, 互联网上已经出现有关攻击代码 1
公共网络环境安全 2012 年 1 月, 根据 CNCERT 的监测数据和通信行业报送数据, 我 1 国互联网网络安全环境主要指标情况如下 :1 网络病毒活动情况方面, 境内感染网络病毒的终端数约为 617 万个 ; 在捕获的新增网络病毒文件 2 3 中, 按网络病毒名称统计新增 509 个, 较上月增长 0.2%, 按网络病毒 4 家族统计新增 6 个, 较上月增长 50.0%;1 月份各安全企业报送的网络 病毒的捕获数量呈现了不同的增减趋势, 瑞星公司截获的病毒数量较上 月减少 5.0%, 新增病毒数量比上月减少 36.1%; 安天公司捕获的样本 总数较上月增长 5.8%, 新增病毒种类较上月增长 28.4%; 金山公司报 送的计算机病毒事件数量较上月增加了 12.5% 2 网站安全方面, 本月 境内被篡改网站数量为 1888 个, 较上月下降 6.3%; 接收网页仿冒事件 报告 786 个, 较上月下降 19.5%; 各安全企业报送的网页挂马情况中, 浪潮公司报送的网页挂马事件数量较上月小幅增长 7.7%, 安天公司和 奇虎 360 公司报送的网页挂马事件数量较上月有所下降, 分别减少 5.8% 和 28.1% 3 安全漏洞方面, 国家信息安全漏洞共享平台 (CNVD 5 ) 收 集整理信息系统安全漏洞 347 个, 较上月下降 20.6%, 其中高危漏洞 102 个, 可被利用来实施远程攻击的漏洞有 309 个 4 垃圾邮件方面, 从中国互联网协会反垃圾邮件中心报送数据看, 本月共接收 6934 件垃 圾邮件事件举报, 较上月下降 29.8% 5 事件受理方面,CNCERT 接收 到网络安全事件报告 1284 件, 较上月下降 14.1% 注 1: 一般情况下, 恶意代码是指在未经授权的情况下, 在信息系统中安装 执行以达到不正当目的的程序 其中, 网络病毒是特指有网络通信行为的恶意代码 1 月,CNCERT 在对网络病毒进行抽样监测时, 对 271 种木马家族和 78 种僵尸程序家族进行了抽样监测 注 2: 网络病毒文件是网络病毒的载体, 包括可执行文件 动态链接库文件等, 每个文件都可以用哈希值唯一标识 注 4: 网络病毒名称是通过网络病毒行为 源代码编译关系等方法确定的具有相同功能的网络病毒命名, 完整的命名一般包括 : 分类 家族名和变种号 一般而言, 大量不同的网络病毒文件会对应同一个网络病毒名称 注 5: 网络病毒家族是具有代码同源关系或行为相似性的网络病毒文件集合的统称, 每个网络病毒家族一般包含多个变种号区分的网络病毒名称 注 5:CNVD 是 CNCERT 联合国内重要信息系统单位 基础电信运营商 网络安全厂商 软件厂商和互联网企业建立的信息安全漏洞信息共享知识库, 致力于建立国家统一的信息安全漏洞收集 发布 验证 分析等应急处理体系 2
本月重点网络安全信息 CNCERT 组织开展春节期间木马和僵尸网络专项治理行动 1 月 18 日至 1 月 19 日, 为营造春节期间良好的互联网环境, CNCERT 组织基础电信运营企业 非经营性互联单位以及域名注册机构, 开展了木马和僵尸网络专项处置行动 本次专项处置行动共完成 320 个木马和僵尸程序控制端 IP 和 119 个恶意域名的处置, 有效降低了春节期间发生大规模网络攻击事件的风险 部分汉化版 SSH 管理软件存在后门导致用户信息泄露 1 月下旬, 互联网上披露了部分 SSH 管理软件中文版本 ( 又称汉化版 ) 存在后门程序导致用户信息泄露的事件情况, (CNCERT) 组织中国反网络病毒联盟 ( 简称 ANVA) 相关成员单位对事件进行了跟踪分析 结果表明, 网上获得的 Putty Winscp SSHSecure Psftp 等多款 SSH 管理软件中文版本确实存在后门程序, 而对应的非中文版本未发现存在后门程序 黑客植入的后门程序具备记录用户输入和通讯 发送记录信息至指定服务器的功能 目前暂未发现后门程序常驻系统内存或文件系统的情况, 窃取信息行为发生在使用 SSH 管理软件过程中 ANVA 成员单位获得了记录窃取信息相关的多个数据文件, 共得到 2 万余条信息记录 这些记录包含受害信息系统 IP 或域名 连接账号 连接密码 连接时间 通讯端口 对应 SSH 管理软件产品等信息, 可直接用于发起指定信息系统主机的攻击, 获得系统管理权限 由于 SSH 管理软件应用广泛, 且后门程序窃取的信息有可能被恶意传播或用于地下交易, 此事件将严重威胁到用户信息系统的安全 3
本月网络安全主要数据 网络病毒监测数据分析 2012 年 1 月, 境内感染网络病毒的终端数约为 617 万个 其中, 境内被木马或僵尸程序控制的主机 IP 约为 169 万个, 环比增长 22.0%; 境内感染飞客蠕虫的主机 IP 约为 448 万个 木马僵尸网络监测数据分析 2012 年 1 月,CNCERT 监测发现境内约 169 万个 IP 地址对应的主机被木马或僵尸程序控制, 按地区分布感染数量排名前三位的分别是广东省 江苏省 浙江省 木马或僵尸网络控制服务器 IP 总数为 37084 个 其中, 境内木马或僵尸网络控制服务器 IP 数量为 26797 个 ; 境外木马或僵尸网络控制服务器 IP 数量为 10287 个, 按国家或地区分布数量排名前三位的分别为美国 日本 中国台湾 飞客蠕虫监测数据分析 2012 年 1 月,CNCERT 监测到全球互联网约 3764 万个主机 IP 地址感染飞客蠕虫, 按国家或地区分布感染数量排名前三位的分别是中国大陆 巴西 俄罗斯 境内感染飞客蠕虫的主机 IP 约为 448 万个, 按地区分布感染数量排名前三位的分别是广东省 浙江省 江苏省 网络病毒捕获和传播情况 CNCERT 捕获了大量新增网络病毒文件, 其中按网络病毒名称统计新增 509 个, 按网络病毒家族统计新增 6 个 网络病毒主要针对一些防护比较薄弱, 特别是访问量较大的网站通过网页挂马的方式进行传播 当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后, 会经过多级跳转暗中连接黑客最终 4
放马 的站点下载网络病毒 2012 年 1 月,CNCERT 监测发现排名前五的活跃放马站点域名和活跃放马站点 IP 如表 1 所示 表 1: 2012 年 1 月活跃放马站点域名和 IP 排序 活跃放马站点域名 排序 活跃放马站点 IP 1 top.back2009.info 1 121.12.119.179 2 yud.item66.in 2 174.127.96.136 3 b.ttxjp.com 3 121.10.107.78 4 vbnjhg.com 4 69.197.20.150 5 hao568x.2288.org 5 174.127.96.55 网络病毒在传播过程中, 往往需要利用黑客注册的大量域名 2012 年 1 月,CNCERT 监测发现的放马站点中, 通过域名访问的共涉及有 702 个域名, 通过 IP 直接访问的共涉及有 176 个 IP 在 702 个放马站点域名中, 于境内注册的域名数为 212 个 ( 约占 30.2%), 于境外注册的域名数为 392 个 ( 约占 55.8%), 未知注册商所属境内外信息的有 98 个 ( 约占 14.0%) 放马站点域名所属顶级域名排名前 5 位的具体情况如表 2 所示 排序 表 2: 2012 年 1 月活跃恶意域名所属顶级域名顶级域名类别 (TLD) 恶意域名数量 1.COM 通用顶级域名 (gtld) 282 2.INFO 通用顶级域名 (gtld) 113 3.NET 通用顶级域名 (gtld) 72 4.ORG 通用顶级域名 (gtld) 58 5.CN 中国国家及地区顶级域名 (cctld) 49 网站安全数据分析 境内网站被篡改情况 2012 年 1 月, 境内被篡改网站的数量为 1888 个, 其中代号为 左泪 BY: 空气 和 23026583 的攻击者对境内网站进行了大量篡改 5
境内被篡改网站数量按地区分布排名前三位的分别是北京 市 广东省 福建省 按网站类型统计, 被篡改数量最多的是.com 和.com.cn 域名类网站, 其多为商业类网站 ; 值得注意的是, 被篡 改的.gov.cn 域名类网站有 143 个, 占境内被篡改网站的比例为 7.6% 6 截至 1 月 31 日仍未恢复的部分被篡改政府网站如表 3 所示 被篡改网站 da.whx.gov.cn lakjj.gov.cn www.nqaj.gov.cn 表 3: 截至 1 月 31 日仍未恢复的部分政府网站 所属部门或地区 安徽省芜湖市 安徽省滁州市 安徽省滁州市 gl.lzzjj.gov.cn yz.lzzjj.gov.cn yd.lzzjj.gov.cn rd.fengshun.gov.cn vod.ystv.gov.cn al.yanlingagri.gov.cn ay.ayxmy.gov.cn wt.yanlingagri.gov.cn www.hnxxzx.gov.cn slcz.syxxz.gov.cn www.xisgs.gov.cn www.zhifang.gov.cn xisgs.gov.cn argtzy.gov.cn www.gygyy.gov.cn zzb.bjzf.gov.cn suichuan.gov.cn www.jxnf.gov.cn 甘肃省兰州市甘肃省兰州市甘肃省兰州市广东省梅州市河北省沧州市河南省许昌市河南省安阳市河南省许昌市河南省信阳市湖北省荆门市湖北省黄冈市湖北省武汉市湖北省黄冈市湖南省郴州市湖南省郴州市湖南省湘西州江西省吉安市江西省抚州市 注 6: 政府网站是指英文域名以.gov.cn 结尾的网站, 但不排除个别非政府部门也使用.gov.cn 的情况 表格中仅列出了被篡改网站或被挂马网站的域名, 而非具体被篡改或被挂马的页面 URL 6
被篡改网站 zb.jxnf.gov.cn zmhd.jxnf.gov.cn www.elcjjw.gov.cn pd.gov.cn www.stats-hq.gov.cn fufeng.gov.cn www.lcchj.gov.cn www.njdxyj.gov.cn www.sclxjcy.gov.cn www.scpcgt.gov.cn www.xyxhbj.gov.cn xmj.xjboz.gov.cn www.pyxdj.gov.cn 所属部门或地区江西省抚州市江西省抚州市内蒙古自治区呼伦贝尔市山西省阳泉市山西省忻州市陕西省宝鸡市陕西省延安市四川省内江市四川省泸州市四川省达州市四川省泸州市新疆自治区博州浙江省温州市 境内网站被挂马情况根据 CNCERT 监测和通信行业报送数据, 截至 1 月 31 日仍存在被挂马或被植入不正当广告链接 ( 如 : 网络游戏 色情网站链接 ) 的部分政府网站如表 4 所示 表 4: 截至 1 月 31 日仍存在挂马的部分政府网站被挂马网站所属部门或地区 www.hngfkgb.gov.cn ic.dqlf.gov.cn hbj.xxz.gov.cn www.lyda.gov.cn www.dtrsrc.gov.cn 湖南省黑龙江省大庆市湖南省湘西土家族苗族自治州吉林省长春市山西省大同市 漏洞数据分析 2012 年 1 月, 国家信息安全漏洞共享平台 (CNVD) 收集整理信息系统安全漏洞 347 个 其中, 高危漏洞 102 个, 可被利用来实施远程攻击的漏洞有 309 个 受影响的软硬件系统厂商包括 Adobe Apache Google HP IBM Linux Microsoft Oracle 等 根据 CNVD 的代码验证结果, 本月共出现了 91 个 0day 漏洞, 7
其中影响较为严重的是 WSN Links 'report.php' SQL 注入漏洞 TinyWebGallery 存在多个远程命令执行漏洞 GreenBrowser 搜索栏快捷按钮两次释放远程内存破坏漏洞 Eudora WorldMail imapd'list' 命令缓冲区溢出漏洞 互联网上已经出现针对上述漏洞的攻击代码, 为避免受到漏洞影响, 请广大用户及时采取补丁修复 提高主机操作系统安全防范等级等防御措施 根据漏洞影响对象的类型, 漏洞可分为操作系统漏洞 应用程序漏洞 WEB 应用漏洞 数据库漏洞 网络设备漏洞 ( 如路由器 交换机等 ) 和安全产品漏洞 ( 如防火墙 入侵检测系统等 ) 本月 CNVD 收集整理的漏洞中, 按漏洞类型分布排名前三位的分别是应用程序漏洞 WEB 应用漏洞 数据库漏洞 网络安全事件接收与处理情况 事件接收情况 2012 年 1 月,CNCERT 收到国内外通过电子邮件 热线电话 网站提交 传真等方式报告的网络安全事件 1284 件 ( 合并了通过不同方式报告的同一网络安全事件, 且不包括扫描和垃圾邮件类事件 ), 其中来自国外的事件报告有 251 件 在 1284 件事件报告中, 排名前三位的安全事件分别是网页仿冒 漏洞 恶意代码 事件处理情况对国内外通过电子邮件 热线电话 传真等方式报告的网络安全事件, 以及自主监测发现的网络安全事件,CNCERT 每日根据事件的影响范围和存活性 涉及用户的性质等因素, 筛选重要事件进行协调处理 2012 年 1 月,CNCERT 总部以及各省分中心共同协调处理了 899 件网络安全事件 各类事件处理数量中网页仿冒 漏洞类事件处理数量较多 8
附 : 术语解释 信息系统 信息系统是指由计算机硬件 软件 网络和通信设备等组成的以处理信息和 数据为目的的系统 漏洞 漏洞是指信息系统中的软件 硬件或通信协议中存在缺陷或不适当的配置, 从而可使攻击者在未授权的情况下访问或破坏系统, 导致信息系统面临安全风 险 恶意代码 恶意代码是指在未经授权的情况下, 在信息系统中安装 执行以达到不正当 目的的程序 恶意代码分类说明如下 : 1. 特洛伊木马 (Trojan Horse) 特洛伊木马 ( 简称木马 ) 是以盗取用户个人信息, 甚至是远程控制用户 计算机为主要目的的恶意代码 由于它像间谍一样潜入用户的电脑, 与 战争中的 木马 战术十分相似, 因而得名木马 按照功能, 木马程序可 进一步分为 : 盗号木马 7 网银木马 8 窃密木马 9 远程控制木马 10 流 量劫持木马 11 12 下载者木马和其它木马六类 2. 僵尸程序 (Bot) 僵尸程序是用于构建大规模攻击平台的恶意代码 按照使用的通信协 议, 僵尸程序可进一步分为 :IRC 僵尸程序 Http 僵尸程序 P2P 僵尸 程序和其它僵尸程序四类 3. 蠕虫 (Worm) 蠕虫是指能自我复制和广泛传播, 以占用系统和网络资源为主要目的的 恶意代码 按照传播途径, 蠕虫可进一步分为 : 邮件蠕虫 即时消息蠕 注 7: 盗号木马是用于窃取用户电子邮箱 网络游戏等账号的木马 注 8: 网银木马是用于窃取用户网银 证券等账号的木马 注 9: 窃密木马是用于窃取用户主机中敏感文件或数据的木马 注 10: 远程控制木马是以不正当手段获得主机管理员权限, 并能够通过网络操控用户主机的木马 注 11: 流量劫持木马是用于劫持用户网络浏览的流量到攻击者指定站点的木马 注 12: 下载者木马是用于下载更多恶意代码到用户主机并运行, 以进一步操控用户主机的木马 9
虫 U 盘蠕虫 漏洞利用蠕虫和其它蠕虫五类 4. 病毒 (Virus) 病毒是通过感染计算机文件进行传播, 以破坏或篡改用户数据, 影响信息系统正常运行为主要目的恶意代码 5. 其它上述分类未包含的其它恶意代码 随着黑客地下产业链的发展, 互联网上出现的一些恶意代码还具有上述分类中的多重功能属性和技术特点, 并不断发展 对此, 我们将按照恶意代码的主要用途参照上述定义进行归类 僵尸网络僵尸网络是被黑客集中控制的计算机群, 其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为, 如可同时对某目标网站进行分布式拒绝服务攻击, 或发送大量的垃圾邮件等 拒绝服务攻击拒绝服务攻击是向某一目标信息系统发送密集的攻击包, 或执行特定攻击操作, 以期致使目标系统停止提供服务 网页篡改网页篡改是恶意破坏或更改网页内容, 使网站无法正常工作或出现黑客插入的非正常网页内容 网页仿冒网页仿冒是通过构造与某一目标网站高度相似的页面 ( 俗称钓鱼网站 ), 并通常以垃圾邮件 即时聊天 手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息, 诱骗用户访问钓鱼网站, 以获取用户个人秘密信息 ( 如银行帐号和帐户密码 ) 网页挂马网页挂马是通过在网页中嵌入恶意代码或链接, 致使用户计算机在访问该页面时被植入恶意代码 网站后门网站后门事件是指黑客在网站的特定目录中上传远程控制页面从而能够通过该页面秘密远程控制网站服务器的攻击事件 10
垃圾邮件垃圾邮件是将不需要的消息 ( 通常是未经请求的广告 ) 发送给众多收件人 包括 :( 一 ) 收件人事先没有提出要求或者同意接收的广告 电子刊物 各种形式的宣传品等宣传性的电子邮件 ;( 二 ) 收件人无法拒收的电子邮件 ;( 三 ) 隐藏发件人身份 地址 标题等信息的电子邮件 ;( 四 ) 含有虚假的信息源 发件人 路由等信息的电子邮件 域名劫持域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据, 使得用户在访问相关域名时返回虚假 IP 地址或使用户的请求失败 非授权访问非授权访问是没有访问权限的用户以非正当的手段访问数据信息 非授权访问事件一般发生在存在漏洞的信息系统中, 黑客利用专门的漏洞利用程序 (Exploit) 来获取信息系统访问权限 路由劫持路由劫持是通过欺骗方式更改路由信息, 以导致用户无法访问正确的目标, 或导致用户的访问流量绕行黑客设定的路径, 以达到不正当的目的 11