山西省网络安全月度通报 2016 年第 6 期 ( 总第 24 期 ) 山西省通信管理局 2016 年 6 月 一 基本态势 2016 年 5 月, 我省互联网网络安全状况整体评价为良, 互联网骨干网各项监测指标正常 我省发现木马或僵尸程序受控主机 44985 台, 木马或僵尸程序控制服务器 53 台, 感染 飞客 蠕虫病毒主机 12565 台 太原 运城 临汾排在全省受控木马或僵尸主机活动频繁地区前三位 1.1 基础网络运行安全 5 月, 我省基础网络运行总体平稳, 未出现造成较大影响的基础网络运行故障, 未发生三级以上网络安全事件 1.2 公共互联网安全 5 月, 根据有关监测数据显示, 我省互联网网络安全环境主要情况如下 :(1)44985 个 IP 地址对应的主机被境内外黑客通过木马或僵尸程序控制, 占全省 IP 总数 0.86%, 较上月增加 2.6%;(2)53 个 IP 地址对应主机感染木马或僵尸程序成为控制服务器, 占全省 IP 总数 0.001%, 较上月增加 32.5%;(3)12565 个 IP 地址对应的主机感染 飞客 蠕虫病毒, 占全省 IP 总数 0.24%, 较上月减少 8.28%;(4)36 个网 1
站存存在安全全漏洞, 较上月增增加 2.86%;(5 5)7 个网网站被篡篡改网页, 与上上月持平 ;(6)8 83 个网站站被植入入后门, 比上月增增加 16..9% 二 数据据导读 2.1 木马马僵尸监监测数据分分析 2.1.1 木马或僵僵尸程序受受控主机机分析 5 月, 监测发现现我省木木马或僵僵尸程序受受控主机 IP 地址址数为 44985 个, 占全国国受控主主机总数的, 位列全国国第 16 位, 较上上月下降 1 位 具体分布布情况如如下图所所示 : 山西省木马马或僵尸程序序受控主机分分布情况 2016 年 5 月 其他 6% 太原 26% 临汾 9% 大同 8% 朔州 晋城 4% 晋中 10% 长治 5% 阳泉 4% 忻州 6% 吕梁 7% 运城 13% 图 1 我省省木马或或僵尸程序序受控主主机分布图 2
2.1.2 木马或僵僵尸程序控控制服务务器分析 5 月, 我省木木马或僵尸尸程序控控制服务器 IP 地址数为 53 个, 占全国国控制服服务器总数数的 1., 位列列全国第 16 位, 较 上月月上升 4 位 具具体分布情情况如下下图所示示 晋中 15% 山西西省木马或僵僵尸程序控制服务器分布情情况 2016 年 5 月临汾其他朔州 0% 4% 太原 53% 阳泉 20% 忻州 0% 吕梁 0% 运城 4% 晋城 0% 长治 0% 大同 图 2 我省省木马或僵僵尸程序序控制服务务器分布布图 2.1.3 木马或僵僵尸网络规规模分布 5 月, 省内三三家基础电电信运营营企业可可确定的受受木马或或僵尸感感染用户户主机数数目分别为 : 山西西联通 32831 台, 山西移移动 1605 台, 山西电信 9686 台 山西西分中心心监测发现现我省存存在的较较大规模模僵尸网网络有 8341 台受控控主机 2.2 网页页篡改数数据分析 5 月, 我省有 7 个网站站被篡改改网页, 占全国被被篡改网网站 3
总数数的 0.1, 位列列全国第 27 位, 较上月月上升 1 位, 主要要的篡改改攻击者者为 未知 和 暗链测试 分析发现, 近期我省省网页篡篡改事件件有上升升趋势, 其主要原原因是网网站系统存存在安全全漏洞, 利用漏漏洞黑客客入侵上传传恶意代代码, 导致网页被被篡改 对党政政机关 企事业业单位和重重要信息息系统而而言, 网页页篡改不不仅影响响正常工工作开展, 而且对对单位的的形象也也造成严重重损害 为此, 提醒各各相关单单位要高度度重视网网页篡改改事件, 加强网站站系统的的网络安安全防护, 避免安安全事件件的发生生 2.3 安全全漏洞数数据分析据国家家信息安安全漏洞共共享平台 (CNVD) 提供供的数据据显示,2016 年 5 月我我国境内发发现高危危安全漏漏洞 306 个, 较上上月增加 96 个, 其中中对我省政政府网站站影响较较大的是应应用程序序漏洞和和操作系系统漏洞洞 漏洞产产生原因因分布如如下图所示 : 操作系统漏洞 数据库漏漏洞 安全全产品漏洞 网络设备漏洞 web 应用漏洞 应用程程序漏洞 图 3 漏洞洞产生原因因分布图 2.4 网站站后门数数据分析 5 月, 我省有 83 个网站站被植入入后门, 占全国被被植入后后门 4
网站站总数的 0.28%, 位列全全国第 21 位, 较上月下降 2 位 其中政政府和事事业单位位网站占全全部被植植入后门门网站数量量的 33. 7%, 而全全国的平平均数据据仅为 5. 具体体分布情情况如下下图所示 : 21% 55% 13% gov( 政府 ) org( 事业 ) edu( 教育 ) com( 商业 ) 11% 图 4 我省省被植入后后门网站站数量按类类型分布布图 2.5 飞客 蠕虫数据分分析 5 月, 利用 Sinkhole 技术, 监测发现现全省感染 飞客 蠕虫虫病毒主主机 12565 台, 占全国受受感染总总数的 1.74%, 位列全国国第 19 位, 较上上月下降 3 位 具具体分布布情况如下下图所示 : 5
晋中 7% 朔州 山西省感染飞飞客蠕虫的主主机 IP 按地区区分布情况其他 2016 年 5 月临汾 4% 10% 太原 29% 阳泉 4% 忻州 6% 大同 7% 吕梁 8% 运城 10% 长治 6% 晋城 7% 图 5 我省感染 飞客 蠕虫的的主机 IP 按地区分分布图 2.6 移动动互联网网恶意程序序传播服服务器数据据分析 5 月, 监测发现现我省移移动互联联网恶意程程序传播播服务器器数 为 185 台, 占全国国移动互联联网恶意意程序传传播服务器器总数的 2.9%, 位列列全国第 15 位, 较上月月下降 1 位 2.7 移动动互联网网恶意程序序下载情情况分析 5 月, 监测发现现我省移移动互联联网恶意程程序下载载共 68228 起, 较上月月增长 216.7% 类型包括 : 隐私私窃取 资费消耗耗 恶意意扣费 流氓行行为 远程控制 系统破破坏 诱诱骗欺诈等, 具体体情况如如下图所所示 6
诱骗欺诈 8 系统破坏 28 远程控制 1,174 隐私窃取 3,732 恶意扣费 3,822 资费消耗 12,706 流氓行为 46,758 0 10,000 20,000 30,000 40,000 50,000 图 6 移动互联联网恶意程程序下载情情况图 2.8 移动动互联网网恶意程序序请求行行为情况分分析 5 月, 监测发现现我省移移动互联联网恶意程程序请求求行为共 2,897,498 起, 较上上月增加 81.4% 类型包包括 : 隐私私窃取 恶意扣扣费 流流氓行为为 远程控控制 资资费消耗耗 诱骗欺欺诈 系系统破坏坏 恶意意传播等, 具体情情况如下下图所示示 3,000,000 2,676,346 2,500,000 2,000,000 1,500,000 1,000,000 500,000 0 160,962 32,954 19,548 6,576 8588 226 28 图 7 移动动互联网网恶意程序序请求行为为情况图 2.9 移动动互联网网恶意程序序活跃情情况监测分分析 7
5 月, 监测发现现我省移移动互联网网恶意程程序感染染排前 10 的程序序分别是 :LNA Init 好看看速播 HDv1.5.0 GoogleServicee 色诱诱视频 相册 美女搜搜搜 SystemAssist 搜搜影影院 魅魅丽影音音 阅读读物, 具体如下图图所示 美女搜搜搜相册 色诱诱视频 3% SystemAssist 搜搜搜影院 1% 魅丽影影音 1% 阅读读物 1% GoogleService 3% 好看看速播 HDv1.5.0 8% LNA Init 77% 图 8 移动互互联网恶恶意程序活活跃情况监监测分析析图 2.10 移动互联网网新增恶恶意 APPP 情况通报 5 月, 新增移动动互联网网恶意 APP 应用用有 : APP 名称 / 恶意代码名称 a.expense.mdk.l a.fraud.fakebkupt.a a.spread.luahc.a a.payment.hfpfservice.a a.expense.juier.a a.expense.downloader.ah a.expense.ooqqxx.a a.privacy. plapk.a 恶意行为资费消耗诱骗欺诈恶意传播恶意扣费资费消耗资费消耗资费消耗隐私窃取 首次发现时间 2016/5/9 2016/5/9 2016/5/9 2016/5/12 2016/5/12 2016/5/12 2016/5/19 2016/5/19 8
三 重要安全漏洞提示 Mozilla 产品安全漏洞 Mozilla Firefox 和 Firefox ESR 都是美国 Mozilla 基金会开发的浏览器产品 Firefox 是一款开源 Web 浏览器,Firefox ESR 是 Firefox 的一个延长支持版本 Mozilla Maintenance Service 是其中的一个静默升级程序组件 上述产品被披露存在多个安全漏洞, 远程攻击者可利用漏洞获取敏感信息 绕过权限限制 进行跨站脚本攻击或执行任意代码等 厂商已经发布了上述漏洞的修补程序, 请用户及时下载补丁更新, 避免漏洞引发相关的网络安全事件 参考链接 :http://www.cnvd.org.cn/flaw/show/cnvd-2016-02764 Google 产品安全漏洞 Android 是美国谷歌 (Google) 公司和开放手持设备联盟 ( 简称 OHA) 共同开发的一套以 Linux 为基础的开源操作系统 上述产品被披露存在权限提升 任意代码执行 信息泄露和拒绝服务漏洞, 攻击者可利用上述漏洞提升权限 执行任意代码 泄露敏感信息和发起拒绝服务攻击等 厂商已经发布了上述漏洞的修补程序 请用户及时下载补丁更新, 避免漏洞引发相关的网络安全事件 参考链接 :http://www.cnvd.org.cn/flaw/show/cnvd-2016-02826 Linux 产品安全漏洞 9
Linux kernel 是美国 Linux 基金会发布的操作系统 Linux 所使用的内核 上述产品被披露存在安全绕过 信息泄露 内存错误引用和拒绝服务漏洞, 允许攻击者利用漏洞绕过安全限制 泄露敏感信息 执行任意代码和发起拒绝服务攻击 厂商已经发布了上述漏洞的修补程序 请用户及时下载补丁更新, 避免漏洞引发相关的网络安全事件 参考链接 :http://www.cnvd.org.cn/flaw/show/cnvd-2016-03218 10