CNCERT 互联网安全威胁报告 2012 年 4 月总第 16 期 优 良中差危 摘要 : 本报告以 CNCERT 监测数据和通报成员单位报送数据作为主要依据, 对我国互联网面临的各类安全威胁进行总体态势分析, 并对重要预警信息和典型安全事件进行探讨 2012 年 4 月, 互联网网络安全状况整体评价为中 主要数据如下 : 境内感染网络病毒的终端数约为 577 万个 ; 境内被篡改网站数量为 1957 个, 其中被篡改政府网站数量为 233 个 ; 国家信息安全漏洞共享平台 (CNVD) 收集整理信息系统安全漏洞 495 个, 其中, 高危漏洞 147 个, 可被利用来实施远程攻击的漏洞有 458 个 热线电话 :+8610 82990999( 中文 ),82991000( 英文 ) 传真 :+8610 82990399 电子邮件 :cncert@cert.org.cn PGP Key:http:///cncert.asc 网址 :http:///
关于国家互联网应急中心 (CNCERT) 国家互联网应急中心的全称是国家计算机网络应急技术处理协调中心 ( 英文简称为 CNCERT 或 CNCERT/CC), 成立于 1999 年 9 月, 是工业和信息化部领导下的国家级网络安全应急机构, 致力于建设国家级的网络安全监测中心 预警中心和应急中心, 以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能, 支持基础信息网络的安全防护和安全运行, 支援重要信息系统的网络安全监测 预警和处置 2003 年,CNCERT 在我国大陆 31 个省 自治区 直辖市成立分中心, 完成了跨网络 跨系统 跨地域的公共互联网网络安全应急技术支撑体系建设, 形成了全国性的互联网网络安全信息共享 技术协同能力 目前,CNCERT 作为国家互联网安全应急体系的核心技术协调机构, 在协调国内网络安全应急组织 (CERT) 共同处理互联网安全事件方面发挥着重要作用 CNCERT 的业务能力主要包括 : 监测发现 : 依托 863-917 网络安全监测系统 实现网络安全事件的监测发现 863-917 网络安全监测系统是一个全程全网 多层次 多渠道延伸的网络安全综合监测平台, 目前已具备对安全漏洞 恶意代码 网页篡改 网页挂马 拒绝服务攻击 域名劫持 路由劫持等各种网络威胁或攻击的监测发现能力 通报预警 : 依托对丰富数据资源的综合分析和多渠道的信息获取实现网络安全威胁的分析预警 网络安全事件的情况通报 宏观网络安全状况的态势分析等 此外, 按照 2009 年工业和信息化部颁布实施的 互联网网络安全信息通报实施办法 承担通信行业互联网网络安全信息通报工作 应急处置 : 依托与运营商 域名注册商 安全服务厂商等相关部门的快速工作机制和与涉及国计民生的重要信息系统部门及执法机关密切合作机制实现网络安全事件的快速处置 ; 同时作为国际著名网络安全合作组织 FIRST 和 APCERT 的重要成员, 与多个世界著名的网络安全机构和各个国家级应急组织建立了网络安全事件处理合作机制 面向国内外用户受理网络安全事件报告, 及时掌握和处置突发重大网络安全事件
版权及免责声明 CNCERT 互联网安全威胁报告 ( 以下简称 报告 ) 为国家计算机网络应急技术处理协调中心 ( 简称国家互联网应急中心,CNCERT 或 CNCERT/CC) 的电子刊物, 由 CNCERT 编制并拥有版权 报告中凡摘录或引用内容均已指明出处, 其版权归相应单位所有 本报告所有权利及许可由 CNCERT 进行管理, 未经 CNCERT 同意, 任何单位或个人不得将本报告以及其中内容转发或用于其他用途 CNCERT 力争保证本报告的准确性和可靠性, 其中的信息 数据 图片等仅供参考, 不作为您个人或您企业实施安全决策的依据,CNCERT 不承担与此相关的一切法律责任 编者按 : 感谢您阅读 CNCERT 互联网安全威胁报告, 如果您发现本报告存在任何问题, 请您 及时与我们联系, 来信地址为 :cncert@cert.org.cn
本月网络安全基本态势分析 2012 年 4 月, 互联网网络安全状况整体评价为中 我国基础网络运行总体平稳, 互联网骨干网各项监测指标正常, 未发生较大以上网络安全事件 在我国互联网网络安全环境方面, 我国境内被篡改网站数量 接收到的网络安全事件报告数量和新发现信息系统安全漏洞数量较上月有所下降, 境内感染木马或僵尸程序的主机数量有所增长 总体上,4 月公共互联网网络安全态势较上月略有好转 基础网络安全 2012 年 4 月, 我国基础网络运行总体平稳, 互联网骨干网各项监测指标正常, 未出现省级行政区域以上的造成较大影响的基础网络运行故障, 未发生较大以上网络安全事件, 但存在一定数量的流量不大的针对互联网基础设施的拒绝服务攻击事件 重要联网信息系统安全政府网站和金融行业网站仍然是不法分子攻击的重点目标, 安全漏洞是重要联网信息系统遭遇攻击的主要内因 本月, 监测发现被篡改政府网站数量为 233 个, 较上月的 257 个下降 9.3%, 占境内被篡改网站比例由 12.6% 减少到 11.9%; 接收的网页仿冒事件报告数量为 817 个, 较上月的 901 个下降 9.3%, 这些仿冒事件绝大多数都是针对金融机构 电子商务 第三方在线支付网站等 本月, 国家信息安全漏洞共享平台 (CNVD 1 ) 共协调处置了 39 起涉及我国政府部门以及银行 民航等重要信息系统部门以及电信 传媒 公共卫生 教育等相关行业的漏洞事件 这些事件大多数是网站程序存在 SQL 注入 弱口令以及权限绕过等漏洞, 也有部分是信 注 1:CNVD 是 CNCERT 联合国内重要信息系统单位 基础电信运营商 网络安全厂商 软件厂商和互联网企业建立的信息安全漏洞信息共享知识库, 致力于建立国家统一的信息安全漏洞收集 发布 验证 分析等应急处理体系 1
息系统采用的应用软件存在漏洞, 可能导致获取后台系统管理权限 信息泄露 恶意文件上传等危害, 甚至会导致主机存在被不法分子远 程控制的风险 此外, Joomla! 组件 (com_ponygallery)sql 注入漏 洞 Squid Proxy 'Host' HTTP 头安全绕过漏洞 NetOp 远程控制客 户端缓冲区溢出漏洞 CitrusDB SQL 注入漏洞 等 0day 漏洞影响最 严重, 互联网上已经出现针对上述漏洞的攻击代码 公共网络环境安全 2012 年 4 月, 根据 CNCERT 的监测数据和通信行业报送数据, 我 2 国互联网网络安全环境主要指标情况如下 :1 网络病毒活动情况方面, 境内感染网络病毒的终端数约为 577 万个, 较上月增长 18.0%; 在捕获 3 4 的新增网络病毒文件中, 按网络病毒名称统计新增 529 个, 较上月下 5 降 6.9%, 按网络病毒家族统计新增 5 个, 较上月增长 25.0%; 各安全 企业报送的网络病毒捕获数量中, 瑞星公司截获的病毒数量较上月增长 5.0%, 新增病毒数量比上月增长 35.9%; 安天公司捕获的样本总数较上 月减少 18.0%, 新增病毒种类较上月增长 14.4%; 金山公司报送的计算 机病毒事件数量较上月增长 7.5% 2 本月境内被篡改网站数量为 1957 个, 较上月下降 3.8%; 接收网页仿冒事件报告 817 个, 较上月下降 9.3%; 各安全企业报送的网页挂马情况中, 浪潮公司报送的网页挂马事件数量 较上月减少 12.5%, 安天公司报送的网页挂马事件数量较上月减少 5.0%, 奇虎 360 公司报送的网页挂马事件较上月减少 36.0% 3 安全漏 注 2: 一般情况下, 恶意代码是指在未经授权的情况下, 在信息系统中安装 执行以达到不正当目的的程序 其中, 网络病毒是特指有网络通信行为的恶意代码 4 月,CNCERT 在对网络病毒进行抽样监测时, 对 346 种木马家族和 78 种僵尸程序家族进行了抽样监测 注 3: 网络病毒文件是网络病毒的载体, 包括可执行文件 动态链接库文件等, 每个文件都可以用哈希值唯一标识 注 4: 网络病毒名称是通过网络病毒行为 源代码编译关系等方法确定的具有相同功能的网络病毒命名, 完整的命名一般包括 : 分类 家族名和变种号 一般而言, 大量不同的网络病毒文件会对应同一个网络病毒名称 注 5: 网络病毒家族是具有代码同源关系或行为相似性的网络病毒文件集合的统称, 每个网络病毒家族一般包含多个变种号区分的网络病毒名称 2
洞方面, 本月 CNVD 共收集整理信息系统安全漏洞 495 个, 较上月下降 27.9% 其中高危漏洞 147 个, 较上月下降 47.3%; 可被利用来实施远程攻击的漏洞有 458 个, 较上月下降 29.5% 4 垃圾邮件方面, 从中国互联网协会反垃圾邮件中心报送数据看, 本月共接收 8332 件垃圾邮件事件举报, 较上月下降 14.6% 5 事件受理方面,CNCERT 接收到网络安全事件报告 1545 件, 较上月下降 20.4% 3
本月重点网络安全信息 CNCERT 组织开展移动互联网恶意程序传播专项打击行动 4 月 16 日,CNCERT 组织电商互联 东南融通 广州名扬 花生壳 江苏邦宁 三五互联 万网 希网 厦门易名 新网互联 新网数码 中资源等境内域名注册机构, 针对涉及传播移动互联网恶意程序的域名开展了一次专项处置行动, 同时还协调一些境外域名注册机构参与处置 本次专项行动共清理 84 个涉及传播移动互联网恶意程序的域名, 有效维护了移动互联网的安全运营 通报极限 OA 办公系统存在多个跨站脚本漏洞情况近期, 国家信息安全漏洞共享平台 (CNVD) 收录了北京极限通科技有限公司 ( 简称极限科技公司 ) 生产的极限 OA 办公系统存在的多处跨站脚本漏洞 (CNVD-2012-10335), 远程攻击者可以利用这些漏洞远程执行网页恶意代码, 发起网页挂马 仿冒 窃取 cookies 等攻击 CNVD 对该漏洞的综合评级为 中危 测试发现受影响的版本是 Office Automation 2011 根据极限科技公司官方网站公布的客户列表, 该产品用户包括多家政府部门 教育系统和电信 金融 保险 地产 交通运输等行业的企事业单位 CNVD 于 3 月 16 日 3 月 19 日和 4 月 1 日多次联系极限科技公司, 但其未积极回应, 未能按 CNVD 处置流程要求提供技术细节, 也未能明确漏洞修补时间以及如何做好客户应急服务的计划 CNVD 建议相关用户自行联系极限科技公司, 要求其针对漏洞情况提供解决方案 ; 或者参照漏洞情况自行对网站进行 Web 页面漏洞检测, 及时发现存在的安全隐患 4
本月网络安全主要数据 网络病毒监测数据分析 2012 年 4 月, 境内感染网络病毒的终端数约为 577 万个 其中, 境内被木马或僵尸程序控制的主机 IP 约为 166 万个, 环比大幅增长 153.2%, 主要原因是 3 月底 CNCERT 扩大了对木马家族的监测范围 ; 境内感染飞客蠕虫的主机 IP 约为 411 万个, 环比下降 2.9% 木马僵尸网络监测数据分析 2012 年 4 月,CNCERT 监测发现境内约 166 万个 IP 地址对应的主机被木马或僵尸程序控制, 按地区分布感染数量排名前三位的分别是广东省 浙江省 江苏省 木马或僵尸网络控制服务器 IP 总数为 36914 个 其中, 境内木马或僵尸网络控制服务器 IP 数量为 27909 个 ; 境外木马或僵尸网络控制服务器 IP 数量为 9005 个, 按国家或地区分布数量排名前三位的分别为美国 日本 韩国 飞客蠕虫监测数据分析 2012 年 4 月,CNCERT 监测到全球互联网约 3206 万个主机 IP 地址感染飞客蠕虫, 按国家或地区分布感染数量排名前三位的分别是中国大陆 巴西 俄罗斯 境内感染飞客蠕虫的主机 IP 约为 411 万个, 按地区分布感染数量排名前三位的分别是广东省 浙江省 江苏省 网络病毒捕获和传播情况 CNCERT 捕获了大量新增网络病毒文件, 其中按网络病毒名称统计新增 529 个, 按网络病毒家族统计新增 5 个 网络病毒主要针对一些防护比较薄弱, 特别是访问量较大的网站通过网页挂马的方式进行传播 当存在安全漏洞的用户主机访问 5
了这些被黑客挂马的网站后, 会经过多级跳转暗中连接黑客最终 放马 的站点下载网络病毒 2012 年 4 月,CNCERT 监测发现排名前十的活跃放马站点域名和活跃放马站点 IP 如表 1 所示 表 1: 2012 年 4 月活跃放马站点域名和 IP 排序 活跃放马站点域名 排序 活跃放马站点 IP 1 download.cpudln.com 1 220.181.19.75 2 www.tssgdam.com 2 173.208.198.210 3 kk.utherar.com 3 173.208.198.211 4 sq.pv0301.net 4 60.18.168.62 5 zz.611u.com 5 184.105.229.73 6 hu.pv0301.net 6 121.12.169.130 7 www.cdvolvo.com 7 222.187.221.170 8 down.39yiy.com 8 122.228.236.77 9 j00.hujj120000.info 9 121.10.107.78 10 j00.jbjj120000.info 10 113.107.106.140 网络病毒在传播过程中, 往往需要利用黑客注册的大量域名 2012 年 4 月,CNCERT 监测发现的放马站点中, 通过域名访问的共涉及有 1022 个域名, 通过 IP 直接访问的共涉及有 282 个 IP 在 1022 个放马站点域名中, 于境内注册的域名数为 270 个 ( 约占 26.4%), 于境外注册的域名数为 659 个 ( 约占 64.5%), 未知注册商所属境内外信息的有 93 个 ( 约占 9.1%) 放马站点域名所属顶级域名排名前 5 位的具体情况如表 2 所示 排序 表 2: 2012 年 4 月活跃恶意域名所属顶级域名顶级域名类别 (TLD) 恶意域名数量 1.COM 通用顶级域名 (gtld) 437 2.US 美国顶级域名 169 3.INFO 通用顶级域名 (gtld) 118 4.CN 中国顶级域名 77 5.NET 通用顶级域名 (gtld) 62 6
网站安全数据分析 境内网站被篡改情况 2012 年 4 月, 境内被篡改网站的数量为 1957 个, 其中代号为 丶 1uc1f3r@China_0xsec 宇少 和 Link 的攻击者对境内网站进 行了大量篡改 境内被篡改网站数量按地区分布排名前三位的分别是北京市 江苏省 福建省 按网站类型统计, 被篡改数量最多的是.com 和.com.cn 域名类网站, 其多为商业类网站 ; 值得注意的是, 被篡 改的.gov.cn 域名类网站有 233 个, 占境内被篡改网站的比例为 11.9% 6 截至 4 月 30 日仍未恢复的部分被篡改政府网站如表 3 所示 被篡改网站 kewei.taihe.gov.cn daj.lmx.gov.cn hxrkjsw.gov.cn gly.mqrk.gov.cn hnlyrs.gov.cn dy.lygwh.gov.cn jcy.kyqq.gov.cn www.scpcgt.gov.cn www.lxfy.gov.cn www.lxfd.gov.cn www.lxfj.gov.cn www.lxls.gov.cn www.lxnt.gov.cn www.sclxpl.gov.cn www.sclxjcy.gov.cn 表 3: 截至 4 月 30 日仍未恢复的部分政府网站 所属部门或地区 安徽省阜阳市 广东省惠州市 河南省安阳市 河南省商丘市 湖南省耒阳市 江苏省连云港市 内蒙古自治区科右前旗 四川省达州市 四川省泸州市 四川省泸州市 四川省泸州市 四川省泸州市 四川省泸州市 四川省泸州市 四川省泸州市 注 6: 政府网站是指英文域名以.gov.cn 结尾的网站, 但不排除个别非政府部门也使用.gov.cn 的情况 表格中仅列出了被篡改网站或被挂马网站的域名, 而非具体被篡改或被挂马的页面 URL 7
被篡改网站 www.lxsq.gov.cn www.lxtx.gov.cn www.lxwtgdj.gov.cn www.lxxt.gov.cn www.lxzy.gov.cn www.yjxgtzy.gov.cn www.yingjing.gov.cn www.mdfda.gov.cn hyzxw.gov.cn 所属部门或地区四川省泸州市四川省泸州市四川省泸州市四川省泸州市四川省泸州市四川省雅安市四川省雅安市云南省楚雄州浙江省台州市 境内网站被挂马情况根据 CNCERT 监测和通信行业报送数据, 截至 4 月 30 日仍存在被挂马或被植入不正当广告链接 ( 如 : 网络游戏 色情网站链接 ) 的部分政府网站如表 4 所示 表 4: 截至 4 月 30 日仍存在挂马的部分政府网站 被挂马网站 所属部门或地区 www.hbqjzx.gov.cn 湖北省潜江市 www.hysgq.gov.cn 湖南省衡阳市 hbj.xxz.gov.cn 湖南省湘西土家族苗族自治州 www.lyda.gov.cn 吉林省长春市 www.gyzx.gov.cn 江苏省高邮市 www.ntpta.gov.cn 江苏省南通市 www.tlgtj.gov.cn 辽宁省铁岭市 www.cfhsds.gov.cn 内蒙古自治区赤峰市 www.dglyj.gov.cn 山东省日照市 www.jxip.gov.cn 浙江省嘉兴市 漏洞数据分析 2012 年 4 月, 国家信息安全漏洞共享平台 (CNVD) 收集整理信息系统安全漏洞 495 个 其中, 高危漏洞 147 个, 可被利用来实施远程攻击的漏洞有 458 个 受影响的软硬件系统厂商包括 Adobe Apache Cisco Google IBM Linux Microsoft Mozilla Oracle 等 8
根据 CNVD 的代码验证结果, 本月共出现了 209 个 0day 漏洞, 其中影响较为严重的是 Joomla! 组件 (com_ponygallery)sql 注入漏洞 Squid Proxy 'Host' HTTP 头安全绕过漏洞 NetOp 远程控制客户端缓冲区溢出漏洞 CitrusDB SQL 注入漏洞 互联网上已经出现针对上述漏洞的攻击代码, 为避免受到漏洞影响, 请广大用户及时采取补丁修复 提高主机操作系统安全防范等级等防御措施 根据漏洞影响对象的类型, 漏洞可分为操作系统漏洞 应用程序漏洞 WEB 应用漏洞 数据库漏洞 网络设备漏洞 ( 如路由器 交换机等 ) 和安全产品漏洞 ( 如防火墙 入侵检测系统等 ) 本月 CNVD 收集整理的漏洞中, 按漏洞类型分布排名前三位的分别是应用程序漏洞 WEB 应用漏洞 数据库漏洞 网络安全事件接收与处理情况 事件接收情况 2012 年 4 月,CNCERT 收到国内外通过电子邮件 热线电话 网站提交 传真等方式报告的网络安全事件 1545 件 ( 合并了通过不同方式报告的同一网络安全事件, 且不包括扫描和垃圾邮件类事件 ), 其中来自国外的事件报告有 87 件 在 1545 件事件报告中, 排名前三位的安全事件分别是网页仿冒 漏洞 恶意代码 事件处理情况对国内外通过电子邮件 热线电话 传真等方式报告的网络安全事件, 以及自主监测发现的网络安全事件,CNCERT 每日根据事件的影响范围和存活性 涉及用户的性质等因素, 筛选重要事件进行协调处理 2012 年 4 月,CNCERT 总部以及各省分中心共同协调处理了 1266 件网络安全事件 各类事件处理数量中漏洞 网页仿冒类事件处理数量较多 9
附 : 术语解释 信息系统 信息系统是指由计算机硬件 软件 网络和通信设备等组成的以处理信息和 数据为目的的系统 漏洞 漏洞是指信息系统中的软件 硬件或通信协议中存在缺陷或不适当的配置, 从而可使攻击者在未授权的情况下访问或破坏系统, 导致信息系统面临安全风 险 恶意代码 恶意代码是指在未经授权的情况下, 在信息系统中安装 执行以达到不正当 目的的程序 恶意代码分类说明如下 : 1. 特洛伊木马 (Trojan Horse) 特洛伊木马 ( 简称木马 ) 是以盗取用户个人信息, 甚至是远程控制用户 计算机为主要目的的恶意代码 由于它像间谍一样潜入用户的电脑, 与 战争中的 木马 战术十分相似, 因而得名木马 按照功能, 木马程序可 进一步分为 : 盗号木马 7 网银木马 8 窃密木马 9 远程控制木马 10 流 量劫持木马 11 12 下载者木马和其它木马六类 2. 僵尸程序 (Bot) 僵尸程序是用于构建大规模攻击平台的恶意代码 按照使用的通信协 议, 僵尸程序可进一步分为 :IRC 僵尸程序 Http 僵尸程序 P2P 僵尸 程序和其它僵尸程序四类 3. 蠕虫 (Worm) 蠕虫是指能自我复制和广泛传播, 以占用系统和网络资源为主要目的的 恶意代码 按照传播途径, 蠕虫可进一步分为 : 邮件蠕虫 即时消息蠕 注 7: 盗号木马是用于窃取用户电子邮箱 网络游戏等账号的木马 注 8: 网银木马是用于窃取用户网银 证券等账号的木马 注 9: 窃密木马是用于窃取用户主机中敏感文件或数据的木马 注 10: 远程控制木马是以不正当手段获得主机管理员权限, 并能够通过网络操控用户主机的木马 注 11: 流量劫持木马是用于劫持用户网络浏览的流量到攻击者指定站点的木马 注 12: 下载者木马是用于下载更多恶意代码到用户主机并运行, 以进一步操控用户主机的木马 10
虫 U 盘蠕虫 漏洞利用蠕虫和其它蠕虫五类 4. 病毒 (Virus) 病毒是通过感染计算机文件进行传播, 以破坏或篡改用户数据, 影响信息系统正常运行为主要目的恶意代码 5. 其它上述分类未包含的其它恶意代码 随着黑客地下产业链的发展, 互联网上出现的一些恶意代码还具有上述分类中的多重功能属性和技术特点, 并不断发展 对此, 我们将按照恶意代码的主要用途参照上述定义进行归类 僵尸网络僵尸网络是被黑客集中控制的计算机群, 其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为, 如可同时对某目标网站进行分布式拒绝服务攻击, 或发送大量的垃圾邮件等 拒绝服务攻击拒绝服务攻击是向某一目标信息系统发送密集的攻击包, 或执行特定攻击操作, 以期致使目标系统停止提供服务 网页篡改网页篡改是恶意破坏或更改网页内容, 使网站无法正常工作或出现黑客插入的非正常网页内容 网页仿冒网页仿冒是通过构造与某一目标网站高度相似的页面 ( 俗称钓鱼网站 ), 并通常以垃圾邮件 即时聊天 手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息, 诱骗用户访问钓鱼网站, 以获取用户个人秘密信息 ( 如银行帐号和帐户密码 ) 网页挂马网页挂马是通过在网页中嵌入恶意代码或链接, 致使用户计算机在访问该页面时被植入恶意代码 网站后门网站后门事件是指黑客在网站的特定目录中上传远程控制页面从而能够通过该页面秘密远程控制网站服务器的攻击事件 11
垃圾邮件垃圾邮件是将不需要的消息 ( 通常是未经请求的广告 ) 发送给众多收件人 包括 :( 一 ) 收件人事先没有提出要求或者同意接收的广告 电子刊物 各种形式的宣传品等宣传性的电子邮件 ;( 二 ) 收件人无法拒收的电子邮件 ;( 三 ) 隐藏发件人身份 地址 标题等信息的电子邮件 ;( 四 ) 含有虚假的信息源 发件人 路由等信息的电子邮件 域名劫持域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据, 使得用户在访问相关域名时返回虚假 IP 地址或使用户的请求失败 非授权访问非授权访问是没有访问权限的用户以非正当的手段访问数据信息 非授权访问事件一般发生在存在漏洞的信息系统中, 黑客利用专门的漏洞利用程序 (Exploit) 来获取信息系统访问权限 路由劫持路由劫持是通过欺骗方式更改路由信息, 以导致用户无法访问正确的目标, 或导致用户的访问流量绕行黑客设定的路径, 以达到不正当的目的 12