优 良中差危 CNCERT 互联网安全威胁报告 2015 年 12 月总第 60 期 优 良中差危 摘要 : 本报告以 CNCERT 监测数据和通报成员单位报送数据作为主要依据, 对我国互联网面临的各类安全威胁进行总体态势分析, 并对重要预警信息和典型安全事件进行探讨 2015 年 12 月, 互联网网络安全状况整体评价为良 主要数据如下 : 境内感染网络病毒的终端数为近 227 万个 ; 境内被篡改网站数量为 6,981 个, 其中被篡改政府网站数量为 145 个 ; 境内被植入后门的网站数量为 4,898 个, 其中政府网站有 226 个 ; 针对境内网站的仿冒页面数量为 15,710 个 ; 国家信息安全漏洞共享平台 (CNVD) 收集整理信息系统安全漏洞 690 个, 其中, 高危漏洞 335 个, 可被利用来实施远程攻击的漏洞有 627 个 热线电话 :+8610 82990999( 中文 ),82991000( 英文 ) 传真 :+8610 82990399 电子邮件 :cncert@cert.org.cn PGP Key:http:///cncert.asc 网址 :http:///
关于国家互联网应急中心 (CNCERT) 国家互联网应急中心是国家计算机网络应急技术处理协调中心的简称 ( 英文简称为 CNCERT 或 CNCERT/CC), 成立于 2002 年 9 月, 为非政府非盈利的网络安全技术中心, 是我国网络安全应急体系的核心协调机构 2003 年,CNCERT 在全国 31 个省 ( 直辖市 自治区 ) 成立分中心 作为国家级应急中心,CNCERT 的主要职责是 : 按照 积极预防 及时发现 快速响应 力保恢复 的方针, 开展互联网网络安全事件的预防 发现 预警和协调处置等工作, 维护国家公共互联网安全, 保障基础信息网络和重要信息系统的安全运行 CNCERT 的业务能力如下 : 事件发现 依托 公共互联网网络安全监测平台, 开展对基础信息网络 金融证券等重要信息系统 移动互联网服务提供商 增值电信企业等安全事件的自主监测 同时还通过与国内外合作伙伴进行数据和信息共享, 以及通过热线电话 传真 电子邮件 网站等接收国内外用户的网络安全事件报告等多种渠道发现网络攻击威胁和网络安全事件 预警通报 依托对丰富数据资源的综合分析和多渠道的信息获取, 实现网络安全威胁的分析预警 网络安全事件的情况通报 宏观网络安全状况的态势分析等, 为用户单位提供互联网网络安全态势信息通报 网络安全技术和资源信息共享等服务 应急处置 对于自主发现和接收到的危害较大的事件报告,CNCERT 及时响应并积极协调处置, 重点处置的事件包括 : 影响互联网运行安全的事件 波及较大范围互联网用户的事件 涉及重要政府部门和重要信息系统的事件 用户投诉造成较大影响的事件, 以及境外国家级应急组织投诉的各类网络安全事件等 测试评估 作为网络安全检测 评估的专业机构, 按照 支撑监管, 服务社会 的原则, 以科学的方法 规范的程序 公正的态度 独立的判断, 按照相关标准为政府部门 企事业单位提供安全评测服务 CNCERT 还组织通信网络安全相关标准制定, 参与电信网和互联网安全防护系列标准的编制等 同时, 作为中国非政府层面开展网络安全事件跨境处置协助的重要窗口, CNCERT 积极开展国际合作, 致力于构建跨境网络安全事件的快速响应和协调处置机制 CNCERT 为国际著名网络安全合作组织 FIRST 正式成员以及亚太应急组织 APCERT 的发起人之一 截至 2014 年,CNCERT 已与 63 个国家和地区的 144 个组织建立了 CNCERT 国际合作伙伴 关系
版权及免责声明 CNCERT 互联网安全威胁报告 ( 以下简称 报告 ) 为国家计算机网络应急技术处理协调中心 ( 简称国家互联网应急中心,CNCERT 或 CNCERT/CC) 的电子刊物, 由 CNCERT 编制并拥有版权 报告中凡摘录或引用内容均已指明出处, 其版权归相应单位所有 本报告所有权利及许可由 CNCERT 进行管理, 未经 CNCERT 同意, 任何单位或个人不得将本报告以及其中内容转发或用于其他用途 CNCERT 力争保证本报告的准确性和可靠性, 其中的信息 数据 图片等仅供参考, 不作为您个人或您企业实施安全决策的依据,CNCERT 不承担与此相关的一切法律责任 编者按 : 感谢您阅读 CNCERT 互联网安全威胁报告, 如果您发现本报告存在任何问题, 请您 及时与我们联系, 来信地址为 :cncert@cert.org.cn
本月网络安全基本态势分析 2015 年 12 月, 互联网网络安全状况整体评价为良 我国基础网络运行总体平稳, 互联网骨干网各项监测指标正常, 未发生较大以上网络安全事件 在我国互联网网络安全环境方面, 除境内被篡改的政府网站的总数 漏洞报告数量和网络安全事件报告数量较上月有所增长外, 其他各类网络安全事件数量均有不同程度的下降 总体上,12 月公共互联网网络安全态势较上月有所好转, 评价指数在良的区间 基础网络安全 2015 年 12 月, 我国基础网络运行总体平稳, 互联网骨干网各项监测指标正常, 未出现省级行政区域以上的造成较大影响的基础网络运行故障, 未发生较大以上网络安全事件, 但存在一定数量的流量不大的针对互联网基础设施的拒绝服务攻击事件 重要联网信息系统安全政府网站和金融行业网站仍然是不法分子攻击的重点目标, 安全漏洞是重要联网信息系统遭遇攻击的主要内因 本月, 监测发现境内被篡改政府网站数量为 145 个, 较上月的 142 个增长 2.1%, 占境内被篡改网站的比例由 1.8% 上升到 2.1%; 境内被植入后门的政府网站数量为 226 个, 较上月的 330 个下降 31.5%, 占境内被植入后门网站的比例由 3.4% 上升到了 4.6%; 针对境内网站的仿冒页面数量为 15,710 个, 较上月的 16,009 个下降 1.9%, 这些仿冒页面绝大多数是仿冒我国金融机构和著名社会机构 本月, 国家信息安全漏洞共享平台 (CNVD 1 ) 共协调处置了 2,947 起涉及我国政府部门以及银行 民航等重要信息系统部门以及电信 注 1:CNVD 是 CNCERT 联合国内重要信息系统单位 基础电信运营商 网络安全厂商 软件厂商和互联网企业建立的信息安全漏洞信息共享知识库, 致力于建立国家统一的信息安全漏洞收集 发布 验证 分析等应急处理体系 1
传媒 公共卫生 教育等相关行业的漏洞事件 这些事件大多数是网 站程序存在 SQL 注入 弱口令以及权限绕过等漏洞, 也有部分是信 息系统采用的应用软件存在漏洞, 可能导致获取后台系统管理权限 信息泄露 恶意文件上传等危害, 甚至会导致主机存在被不法分子远 程控制的风险 此外, Oracle BeeHive 2 voice-servlet prepareaudiotoplay() 任意文件上传漏洞 Acunetix WVS 本地权限 提升漏洞 WordPress Auto ThickBox Plus 插件跨站脚本漏洞 Celoxis 'p_ca_date' 参数跨站脚本漏洞 等 0day 漏洞影响较为严重, 互联网上已经出现针对上述漏洞的攻击代码 公共网络环境安全 2015 年 12 月, 根据 CNCERT 的监测数据和通信行业报送数据, 我 2 国互联网网络安全环境主要指标情况如下 : 网络病毒活动情况方面, 境内感染网络病毒的终端数为近 227 万个, 较上月下降 40.3%; 在捕 3 4 获的新增网络病毒文件中, 按网络病毒名称统计新增 25 个, 较上月 5 增长 25.0%; 按网络病毒家族统计新增 9 个, 较上月增长 125.0%; 境内近 739 万个用户感染移动互联网恶意程序, 恶意程序累计传播次 数近 404 万次, 抽样检测的 64,319 个移动互联网 APP 中有 16 个恶意 程序, 涉及 16 条下载链接 ; 各安全企业报送的恶意代码捕获数量中, 瑞星公司截获的病毒数量较上月下降 18.5%, 新增病毒数量较上月增 长 2.6%; 安天公司捕获的样本总数与上月持平, 新增病毒种类与上 注 2: 一般情况下, 恶意代码是指在未经授权的情况下, 在信息系统中安装 执行以达到不正当目的的程序 其中, 网络病毒是特指有网络通信行为的恶意代码 12 月,CNCERT 在对恶意代码进行抽样监测时, 对 524 种木马家族和 74 种僵尸程序家族进行了抽样监测 注 3: 网络病毒文件是网络病毒的载体, 包括可执行文件 动态链接库文件等, 每个文件都可以用哈希值唯一标识 注 4: 网络病毒名称是通过网络病毒行为 源代码编译关系等方法确定的具有相同功能的网络病毒命名, 完整的命名一般包括 : 分类 家族名和变种号 一般而言, 大量不同的网络病毒文件会对应同一个网络病毒名称 注 5: 网络病毒家族是具有代码同源关系或行为相似性的网络病毒文件集合的统称, 每个网络病毒家族一般包含多个变种号区分的网络病毒名称 2
月持平 ; 猎豹移动报送的计算机病毒事件数量较上月下降 15.5% 网站安全方面, 本月境内被篡改网站数量为 6,981 个, 较上月下降 12.0%; 境内被植入后门的网站数量为 4,898 个, 较上月下降 50.2%; 针对境内网站的仿冒页面有 15,710 个, 较上月下降 1.9%; 各安全企业报送的网页挂马情况中, 浪潮公司报送的网页挂马事件数量较上月增长 1.0%, 奇虎 360 公司报送的网页挂马事件数量较上月下降 60.0% 安全漏洞方面, 本月 CNVD 共收集整理信息系统安全漏洞 690 个, 较上月增长 0.1% 其中高危漏洞 335 个, 较上月增长 46.9%; 可被利用来实施远程攻击的漏洞有 627 个, 较上月增长 7.5% 垃圾邮件方面, 从中国互联网协会垃圾邮件受理举报中心报送数据看, 本月共接收 9,899 件垃圾邮件事件举报, 较上月下降 15.2% 事件受理方面,CNCERT 接收到网络安全事件报告 16,954 件, 较上月增长 5.4%, 数量最多的分别是网页仿冒类事件 11,084 件 漏洞类事件 2,767 件 3
本月重点网络安全信息 通报互联网网络安全威胁治理行动开展情况 CNCERT 会同中国互联网协会网络与信息安全工作委员会组织 56 家行业企事业单位, 于今年 7 月 31 日启动了互联网网络安全威胁治理行动 ( 以下简称 行动 ) 该行动充分发挥行业自律作用, 采取密切配合 广泛举报 积极处置 曝光黑名单等措施, 对拒绝服务攻击 网页篡改等威胁互联网网络安全的攻击行为进行专项治理和防范, 以整治互联网地下黑产, 净化网络安全环境 12 月,CNCERT 通过公开设立的举报电话和邮箱, 共接到广大网民举报的网络安全事件 10323 起, 重点处置 DDoS 攻击 网页篡改 植入暗链等于互联网黑产密切相关的事件 12542 起, 包括处置 20 个 DDoS 攻击控制服务器 IP, 通知 1277 被篡改网站用户单位删除被植入暗链和篡改页面和 195 个被植入后门网站用户单位删除被植入后门页面 此外, 行动组织腾讯 360 搜狗 百度等国内主流浏览器厂商对计算机放马站点 移动恶意传播地址 钓鱼网站等恶意黑名单地址进行拦截或提示, 目前已有 47061 条黑名单地址 授予 CNVD 成员单位及合作伙伴漏洞报送和处置突出贡献单位奖牌 12 月 23 日, 国家信息安全漏洞共享平台 (CNVD)2015 年工作会议在京召开 会上公布了漏洞处置突出贡献单位名单, 包括北京启明星辰信息安全技术有限公司等 8 家漏洞报送突出贡献单位以及中国教育和科研计算机网等 8 家漏洞处置突出贡献单位, 并颁发了奖牌 该名单是根据 2015 年各成员单位和合作伙伴在公开漏洞信息收集 原创漏洞报送 重点行业单位漏洞事件应急处置 重大漏洞威胁全局响应等方面的突出贡献进行综合评比得出 同时,CNVD 秘书处 4
也向各成员单位以及互联网厂商和软硬件产品厂商在 2015 年对 CNVD 的漏洞信息报送和应急响应工作支持表示感谢 通报多款 APP 应用受到 libupnp 函数库缓冲区溢出漏洞影响近日, 国外安全研究机构披露了多款 APP 应用受到 UPnP 协议 libupnp 函数库缓冲区溢出漏洞影响的相关情况, 潜在受影响的移动智能终端用户数量达到百万级 国家信息安全漏洞共享平台 (CNVD) 之前已经收录了该漏洞 ( 编号 CNVD-2013-00626, 对应 CVE-2012-5958 ), 远程攻击者利用漏洞可造成堆栈溢出, 导致设备死机, 更严重地可在受影响设备上执行任意代码, 控制用户手机 libupnp 是 UPnP 设备可移植的 SDK, 提供了 API 和开源代码, 用于实现媒体播放 (DLAN) 或 NAT 地址转换 (UPnP IGD) 智能手机上的应用程序可利用这些功能播放媒体文件, 或利用用户的家庭网络连接到其他的设备 该漏洞存在于 libupnp 库处理简单服务发现协议 (SSDP) 包过程中, 此协议是 Universal Plug N Play (UPnP) 标准的部分, 在处理进程中会出现堆栈溢出, 并且需要 UDP1900 端口打开 综合利用漏洞, 攻击者可利用特制包造成缓冲区溢出, 导致设备死机, 进一步可在受影响设备上执行任意代码 CNVD 对该漏洞的综合评级为 高危 厂商已在 2012 年 12 月份发布了漏洞的官方修复程序, 由于很多应用封装的 SDK 使用的旧版本 libupnp, 导致应用存在漏洞 CNVD 提醒使用到第三方库的厂商, 及时在产品开发环境中升级到最新版本, 避免旧版本出现安全问题 通报近期 Java 反序列化漏洞跟踪和威胁风险普查情况近期, 国家信息安全漏洞共享平台 (CNVD) 对 Apache Commons Components InvokerTransformer 反序列化任意代码执行漏洞 ( 编号 :CNVD-2015-07556, 又称 java 反序列化漏洞 ) 进行了跟踪和威胁风险普查 该漏洞影响多款应用广泛的 Web 容器软件 远程攻击者 5
利用漏洞可在目标系统上执行任意代码, 危害较大的可以取得网站服务器控制权 Apache Commons 包含了多个开源工具的工具集, 用于解决编程经常遇到的问题, 减少重复劳动 由于 Apache CommonsCollections 组件的 Deserialize 功能存在的设计漏洞,CommonsCollections 组件中对于集合的操作存在可以进行反射调用的方法, 且该方法在相关对象反序列化时并未进行任何校验, 远程攻击者利用漏洞可发送特殊的数据给应用程序或给使用包含 Java 'InvokerTransformer.class' 序列化数据的应用服务器, 在目标服务器当前权限环境下执行任意代码 CNVD 对该漏洞的综合评级为 高危 用户可参考如下厂商提供的安全公告获取修复方案 : http://svn.apache.org/viewvc?view=revision&revision=1713307 近期, CNVD 处置了数十起涉及政府部门 重要信息系统行业单位的 Java 反序列化通用漏洞案例 通报 Kerberos 网络认证协议存在认证绕过漏洞近日, 国家信息安全漏洞共享平台 (CNVD) 收录了 Kerberos 网络认证协议存在认证绕过漏洞 (CNVD-2015-08300) 攻击者利用漏洞可借助 krbtgt 密码绕过身份验证系统, 获取管理员访问权限, 进而执行一系列管理员操作 Kerberos 是美国麻省理工学院 (MIT) 开发的一套网络认证协议, 采用客户端 / 服务器结构, 且客户端和服务器端均可对对方进行身份认证 ( 即双重验证 ) 基于以上原因, 攻击者可借助 krbtgt 密码绕过身份验证系统, 获取管理员访问权限, 进而执行一系列管理员操作 ( 如创建用户, 下载文件等 ), 还可以根据密码为用户创建响应的密钥 CNVD 对该漏洞的综合评级为 中危 鉴于其自身的协议原理, 厂商暂未能提供完善的漏洞修复方案 相关的临时防护建议如下 : 使用微软的 Credential Guard 程序阻止证书存储在内存中 ; 关注并保护特权帐户, 以防攻击者创建账户, 进而 6
攻击 Windows 操作系统 通报 Juniper Networks ScreenOS 存在后门漏洞近日,Juniper Networks 公司发布公告称其销售的部分型号防火墙产品使用的操作系统 ScreenOS 存在后门漏洞 该漏洞已被国家信息安全漏洞共享平台 (CNVD) 收录, 编号为 CNVD-2015-08306 和 CNVD-2015-08307, 对应 CVE-2015-7755 和 CVE-2015-7756 CNCERT 第一时间对相关情况进行了解和分析 ScreenOS 是美国瞻博网络 (Juniper Networks) 公司开发的一款操作系统, 主要运行在 NetScreen 系列的防火墙产品 由于产品在研发过程中设计不当, 导致 ScreenOS 存在后门访问漏洞 攻击者利用上述漏洞可通过 SSH 或者 Telnet 远程管理访问设备, 获取管理员权限 ; 可解密 NetScreen 设备的 VPN 流量, 并可以改变或删除日志条目, 隐藏入侵痕迹,CNVD 对该漏洞的综合评级为高危 目前 Juniper 官方已经为受影响的网络设备发布了新的编译版本 6.2.0 和 6.3.0 修复上述漏洞 CNVD 提醒用户及时下载补丁更新, 避免引发漏洞相关的网络安全事件 下载地址 : http://www.juniper.net/support/downloads/screenos.html 7
本月网络安全主要数据 网络病毒监测数据分析 2015 年 12 月, 境内感染网络病毒的终端数为近 227 万个 其中, 境内近 151 万个 IP 地址对应的主机被木马或僵尸程序控制, 与上月的近 301 万个相比下降 49.8%; 境内近 76 万个主机 IP 感染 飞客 蠕虫, 与上月的 79 万余个相比下降 4.3% 木马僵尸网络监测数据分析 2015 年 12 月,CNCERT 监测发现境内近 151 万个 IP 地址对应的主机被木马或僵尸程序控制, 按地区分布感染数量排名前三位的分别是广东省 江苏省 山东省 木马或僵尸网络控制服务器 IP 总数为 8,310 个 其中, 境内木马或僵尸网络控制服务器 IP 数量为 3,877 个, 按地区分布数量排名前三位的分别为广东省 江苏省 北京市 境外木马或僵尸网络控制服务器 IP 数量为 4,433 个, 主要分布于美国 中国香港 爱尔兰 其中, 位于中国香港的控制服务器控制了境内 398,580 个主机 IP, 控制境内主机 IP 数量居首位, 其次是位于韩国和荷兰的 IP 地址, 分别控制了境内 242,420 个和 159,999 个主机 IP 飞客蠕虫监测数据分析 2015 年 12 月,CNCERT 监测到全球互联网近 528 万个主机 IP 地址感染飞客蠕虫, 按国家或地区分布感染数量排名前三位的分别是中国大陆 印度 俄罗斯 境内感染飞客蠕虫的主机 IP 为近 76 万个, 按地区分布感染数量排名前三位的分别是广东省 浙江省 江苏省 网络病毒捕获和传播情况 2015 年 12 月,CNCERT 捕获了大量新增网络病毒文件, 其中按 8
网络病毒名称统计新增 25 个, 按网络病毒家族统计新增 9 个 网络病毒主要针对一些防护比较薄弱, 特别是访问量较大的网站 通过网页挂马的方式进行传播 当存在安全漏洞的用户主机访问了这 些被黑客挂马的网站后, 会经过多级跳转暗中连接黑客最终 放马 的站点下载网络病毒 2015 年 12 月,CNCERT 监测发现排名前十的 活跃放马站点域名和活跃放马站点 IP 如表 1 所示 表 1: 2015 年 12 月活跃放马站点域名和 IP 排序活跃放马站点域名排序活跃放马站点 IP 1 down01.kuaibu8.com 1 113.140.43.170 2 192.3.205.142 2 192.3.205.142 3 c.img001.com 3 221.11.84.131 4 dh.3515.info 4 183.213.21.34 5 xz.51jetso.com 5 58.158.177.102 6 down.nxwb.net 6 183.213.21.44 7 d.absopu.info 7 183.60.106.54 8 download.re58.cn 8 61.133.216.122 9 down.xiaoxinrili.com 9 103.229.145.38 10 198.15.148.38 10 198.15.148.38 网络病毒在传播过程中, 往往需要利用黑客注册的大量域名 2015 年 12 月,CNCERT 监测发现的放马站点中, 通过域名访问的共 涉及有 250 个域名, 通过 IP 直接访问的共涉及有 65 个 IP 在 250 个 放马站点域名中, 于境内注册的域名数为 140 个 ( 约占 56.0%), 于 境外注册的域名数为 100 个 ( 约占 40.0%), 未知注册商属地信息的 有 10 个 ( 约占 4.0%) 放马站点域名所属顶级域名排名前 5 位的具 体情况如表 2 所示 表 2: 2015 年 12 月活跃恶意域名所属顶级域名 排序 顶级域名 (TLD) 类别 恶意域名数量 1.COM 通用顶级域名 (gtld) 184 2.CN 国家顶级域名 (cctld) 25 3.NET 通用顶级域名 (gtld) 22 9
4.INFO 通用顶级域名 (gtld) 5 5.CC 国家顶级域名 (cctld) 5 移动互联网恶意程序监测情况 2015 年 12 月,CNCERT 抽样监测发现境内感染移动互联网恶意程 序的感染用户 7,388,198 个, 按地区分布感染数量排名前三位的分别 是陕西省 广东省和山东省 2015 年 12 月,CNCERT 通过应用商店在线检测平台 (https://appstore.anva.org.cn), 检测 17 家手机应用商店的 64,319 个 APP( 去重后 ), 发现其中 16 个恶意 APP, 涉及 16 个恶意 URL 下载 链接 并通过在线检测平台通知相关应用商店下架恶意程序 网站安全数据分析 境内网站被篡改情况 2015 年 12 月, 境内被篡改网站的数量为 6,981 个, 境内被篡改 网站数量按地区分布排名前三位的分别是北京市 广东省 河南省 按网站类型统计, 被篡改数量最多的是.COM 域名类网站, 其多为商 业类网站 ; 值得注意的是, 被篡改的.GOV 域名类网站有 145 个, 占 境内被篡改网站的比例为 2.1% 6 截至 12 月 31 日仍未恢复的部分被篡改政府网站如表 3 所示 表 3: 截至 12 月 31 日仍未恢复的部分政府网站 被篡改网站 所属部门或地区 www.zhendong.gov.cn 四川省成都市 www.wxny.gov.cn 广西壮族自治区来宾市 注 6: 政府网站是指英文域名以.gov.cn 结尾的网站, 但不排除个别非政府部门也使用.gov.cn 的情况 表格中仅列出了被篡改网站或被挂马网站的域名, 而非具体被篡改或被挂马的页面 URL 10
境内网站被植入后门情况 2015 年 12 月, 境内被植入后门的网站数量为 4,898 个, 境内被植入后门的网站数量按地区分布排名前三位的分别是北京市 广东省 江苏省 按网站类型统计, 被植入后门数量最多的是.COM 域名类网站, 其多为商业类网站 ; 值得注意的是, 被植入后门的.GOV 域名类网站有 226 个, 占境内被植入后门网站的比例为 4.6% 2015 年 12 月, 境外 2,371 个 IP 地址通过植入后门对境内 3,830 个网站实施远程控制 其中, 境外 IP 地址主要位于美国 中国香港和俄罗斯等国家或地区 从境外 IP 地址通过植入后门控制境内网站数量来看, 来自美国的 IP 地址共向境内 656 个网站植入了后门程序, 入侵网站数量居首位 ; 其次是来自乌克兰和中国香港的 IP 地址, 分别向境内 355 个和 302 个网站植入了后门程序 境内网站被仿冒情况 2015 年 12 月,CNCERT 共监测到针对境内网站的仿冒页面有 15,710 个, 涉及域名 13,231 个,IP 地址 3,319 个, 平均每个 IP 地址承载近 5 个仿冒页面 在这 3,319 个 IP 中,88.9% 位于境外, 主要位于中国香港和美国 漏洞数据分析 2015 年 12 月,CNVD 收集整理信息系统安全漏洞 690 个 其中, 高危漏洞 335 个, 可被利用来实施远程攻击的漏洞有 627 个 受影响的软硬件系统厂商包括 Adobe Cisco Drupal Google IBM Linux Microsoft Mozilla WordPress 等 根据 CNVD 的代码验证结果, 本月共出现了 93 个 0day 漏洞, 其中影响最严重的是 Oracle BeeHive 2 voice-servlet prepareaudiotoplay() 任意文件上传漏洞 Acunetix WVS 本地权限提升漏洞 WordPress Auto ThickBox Plus 插件跨站脚本漏洞 Celoxis 'p_ca_date' 参数跨站脚本漏洞 互联网上已经出现针对上 11
述漏洞的攻击代码, 为避免受到漏洞影响, 请广大用户及时采取补丁修复等防御措施 根据漏洞影响对象的类型, 漏洞可分为操作系统漏洞 应用程序漏洞 WEB 应用漏洞 数据库漏洞 网络设备漏洞 ( 如路由器 交换机等 ) 和安全产品漏洞 ( 如防火墙 入侵检测系统等 ) 本月 CNVD 收集整理的漏洞中, 按漏洞类型分布排名前三位的分别是应用程序漏洞 操作系统漏洞 WEB 应用漏洞 网络安全事件接收与处理情况 事件接收情况 2015 年 12 月,CNCERT 收到国内外通过电子邮件 热线电话 网站提交 传真等方式报告的网络安全事件 16,954 件 ( 合并了通过不同方式报告的同一网络安全事件, 且不包括扫描和垃圾邮件类事件 ), 其中来自国外的事件报告有 22 件 在 16,954 件事件报告中, 排名前三位的安全事件分别是网页仿冒 漏洞 网页篡改 事件处理情况对国内外通过电子邮件 热线电话 传真等方式报告的网络安全事件, 以及自主监测发现的网络安全事件,CNCERT 每日根据事件的影响范围和存活性 涉及用户的性质等因素, 筛选重要事件进行协调处理 2015 年 12 月,CNCERT 以及各省分中心共同协调处理了 17,260 件网络安全事件 各类事件处理数量中网页仿冒 漏洞类事件处理数量较多 12
附 : 术语解释 信息系统 信息系统是指由计算机硬件 软件 网络和通信设备等组成的以处理信息和 数据为目的的系统 漏洞 漏洞是指信息系统中的软件 硬件或通信协议中存在缺陷或不适当的配置, 从而可使攻击者在未授权的情况下访问或破坏系统, 导致信息系统面临安全风 险 恶意程序 恶意程序是指在未经授权的情况下, 在信息系统中安装 执行以达到不正当 目的的程序 恶意程序分类说明如下 : 1. 特洛伊木马 (Trojan Horse) 特洛伊木马 ( 简称木马 ) 是以盗取用户个人信息, 甚至是远程控制用户 计算机为主要目的的恶意代码 由于它像间谍一样潜入用户的电脑, 与 战争中的 木马 战术十分相似, 因而得名木马 按照功能, 木马程序可 进一步分为 : 盗号木马 7 网银木马 8 窃密木马 9 远程控制木马 10 流 量劫持木马 11 12 下载者木马和其它木马七类 2. 僵尸程序 (Bot) 僵尸程序是用于构建大规模攻击平台的恶意代码 按照使用的通信协 议, 僵尸程序可进一步分为 :IRC 僵尸程序 Http 僵尸程序 P2P 僵尸 程序和其它僵尸程序四类 3. 蠕虫 (Worm) 蠕虫是指能自我复制和广泛传播, 以占用系统和网络资源为主要目的的 恶意代码 按照传播途径, 蠕虫可进一步分为 : 邮件蠕虫 即时消息蠕 注 7: 盗号木马是用于窃取用户电子邮箱 网络游戏等账号的木马 注 8: 网银木马是用于窃取用户网银 证券等账号的木马 注 9: 窃密木马是用于窃取用户主机中敏感文件或数据的木马 注 10: 远程控制木马是以不正当手段获得主机管理员权限, 并能够通过网络操控用户主机的木马 注 11: 流量劫持木马是用于劫持用户网络浏览的流量到攻击者指定站点的木马 注 12: 下载者木马是用于下载更多恶意代码到用户主机并运行, 以进一步操控用户主机的木马 13
虫 U 盘蠕虫 漏洞利用蠕虫和其它蠕虫五类 4. 病毒 (Virus) 病毒是通过感染计算机文件进行传播, 以破坏或篡改用户数据, 影响信息系统正常运行为主要目的恶意代码 5. 其它上述分类未包含的其它恶意代码 随着黑客地下产业链的发展, 互联网上出现的一些恶意代码还具有上述分类中的多重功能属性和技术特点, 并不断发展 对此, 我们将按照恶意代码的主要用途参照上述定义进行归类 僵尸网络僵尸网络是被黑客集中控制的计算机群, 其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为, 如可同时对某目标网站进行分布式拒绝服务攻击, 或发送大量的垃圾邮件等 拒绝服务攻击拒绝服务攻击是向某一目标信息系统发送密集的攻击包, 或执行特定攻击操作, 以期致使目标系统停止提供服务 网页篡改网页篡改是恶意破坏或更改网页内容, 使网站无法正常工作或出现黑客插入的非正常网页内容 网页仿冒网页仿冒是通过构造与某一目标网站高度相似的页面 ( 俗称钓鱼网站 ), 并通常以垃圾邮件 即时聊天 手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息, 诱骗用户访问钓鱼网站, 以获取用户个人秘密信息 ( 如银行帐号和帐户密码 ) 网页挂马网页挂马是通过在网页中嵌入恶意代码或链接, 致使用户计算机在访问该页面时被植入恶意代码 网站后门网站后门事件是指黑客在网站的特定目录中上传远程控制页面从而能够通过该页面秘密远程控制网站服务器的攻击事件 14
垃圾邮件垃圾邮件是将不需要的消息 ( 通常是未经请求的广告 ) 发送给众多收件人 包括 :( 一 ) 收件人事先没有提出要求或者同意接收的广告 电子刊物 各种形式的宣传品等宣传性的电子邮件 ;( 二 ) 收件人无法拒收的电子邮件 ;( 三 ) 隐藏发件人身份 地址 标题等信息的电子邮件 ;( 四 ) 含有虚假的信息源 发件人 路由等信息的电子邮件 域名劫持域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据, 使得用户在访问相关域名时返回虚假 IP 地址或使用户的请求失败 非授权访问非授权访问是没有访问权限的用户以非正当的手段访问数据信息 非授权访问事件一般发生在存在漏洞的信息系统中, 黑客利用专门的漏洞利用程序 (Exploit) 来获取信息系统访问权限 移动互联网恶意程序在用户不知情或未授权的情况下, 在移动终端系统中安装 运行以达到不正当目的, 或具有违反国家相关法律法规行为的可执行文件 程序模块或程序片段 15