秘密 - PDF Free Download

(2015 年第 2 期总第 86 期 ) 国家计算机网络应急技术处理协调中心江苏分中心 2015 年 3 月 10 日目录一 2 月份网络安全基本态势... 2 二网络安全事件信息通报... 2 ( 一 ) 网络安全事件处理情况... 2 ( 二 ) 信息报送情况... 2 三江苏省网络流量监测情况... 3 ( 一 ) 全网流量... 3 ( 二 ) 跨地域流量... 3 ( 三 ) 应用协议分析... 4 四网络安全事件分析... 4 ( 一 ) 行业地区网络安全事件分布... 4 ( 二 ) 木马僵尸网络事件... 5 ( 三 ) 飞客蠕虫病毒事件... 6 ( 四 ) 手机病毒事件... 7 ( 五 ) 网页篡改事件... 7 五重要网络安全威胁公告... 8 ( 一 ) Google 产品安全漏洞... 8 ( 二 ) FreeType 产品安全漏洞... 9 六业界新闻速递... 9 ( 一 ) 中央网信办全国网络信息安全工作会召开... 9 ( 二 ) 奥巴马呼吁私企与政府分享网络安全信息... 10 ( 三 ) 网络攻击入侵 30 国百余家银行数以亿计金钱流失... 11 ( 四 ) 美国第二大医疗保险公司遭黑客攻击 8000 万用户资料受影响击... 11 国家计算机网络应急技术处理协调中心江苏分中心 1

一 2 月份网络安全基本态势 2015 年 2 月, 我省公共互联网网络安全状况整体评价为中我省基础网络运行总体平稳, 互联网骨干网各项监测指标正常, 未发生较大以上网络安全事件在互联网网络安全环境方面, 虽然 2 月我省僵尸木马受控飞客蠕虫事件数量均有所下降, 网页篡改事件略有上升, 但事件总数仍位居全国前列二网络安全事件信息通报 ( 一 ) 网络安全事件处理情况 2015 年 2 月, 我中心共牵头协调处理各类网络安全事件 72786 起其中, 僵尸木马受控事件 19893 起, 僵尸木马控制事件 513 起, 飞客病毒事件 38 起, 仿冒网站事件 2 起, 网页挂马事件 52083 起, 网站漏洞 204 起, 恶意探测代码事件 52 起, 域名劫持事件 1 起我中心及时向用户通报情况并指导用户进行系统恢复, 使事件在最快时间内得到处理, 消除了不良影响 ( 二 ) 信息报送情况 2015 年 2 月份, 来自省内各基础电信运营企业增值电信运营企业网络安全厂商上报及我中心发现和接收的安全事件共 62768 起其中, 计算机病毒事件 8 起, 蠕虫事件 1 起, 木马事件 825 起, 僵尸网络事件 8227 起, 域名劫持事件 1 起, 网页仿冒 1607 起, 网页篡改 473 起, 网页挂马事件 51853 起, 拒绝服务攻击事件 142 起, 后门漏洞 34 起, 垃圾邮件事件 1261 起, 其他事件 336 起国家计算机网络应急技术处理协调中心江苏分中心 2

三江苏省网络流量监测情况 ( 一 ) 全网流量 2015 年 2 月, 江苏省全网流量峰值为 11.88Tbps, 峰值出现时间为 2 月 28 日 20:20, 每日 20:00 至 22:00 流量较高全网流量谷值为 1.80Tbps, 谷值出现时间为 2 月 9 日 05:05, 每日 04:00 至 06:00 流量较低全网流量均值为 6.84Tbps 全网流量抽样如图 1 所示 ( 二 ) 跨地域流量图 1: 全网流量抽样图 2015 年 2 月, 从外省流入我省地区的流量分布情况如图 2 所示, 最多的地区分别为浙江省 (107.31G, 约占 16.25%) 安徽省(48G, 约占 7.27%) 和上海市(45.91G, 约占 6.95%), 最少的地区为西藏自治区 (257.67M, 约占 0.043%) 国家计算机网络应急技术处理协调中心江苏分中心 3

图 2: 流入我省的流量地区分布图 ( 三 ) 应用协议分析 2015 年 2 月, 全省地区全网流量最高的 TCP 和 UDP 端口及相应的应用协议分布如表 1 和表 2 所示端口号排名百分比主要业务种类端口号排名百分比主要业务种类 80 1 90.32% 网页服务 9909 1 12.42% 影视 8080 2 1.86% 网页服务 5041 2 11.14% 聊天服务 443 3 1.05% HTTPS 8000 3 9.28% MSN 服务 81 4 0.83% 未知 1863 4 4.26% 网页服务 801 5 0.77% 未知 4693 5 4.21% 下载 1863 6 0.53% 未知 1900 8 2.15% 未知 3528 7 0.45% 未知 4466 7 1.95% 未知 1935 8 0.43% 未知 7171 8 1.63% 未知 8189 9 0.28% 未知 7172 9 1.51% 未知 4593 10 0.27% 未知 600 10 1.50% 未知表 1:TCP 协议端口 TOP10 分布表表 2:UDP 协议 TOP10 端口分布表四网络安全事件分析 ( 一 ) 行业地区网络安全事件分布 2 月份, 我省发生多起政府金融系统国有大型企业高校等重要机构的互联网主机感染木马僵尸飞客蠕虫病毒的事件其中, 涉及各级政府部门 IP 地址 868 个, 涉及银行证券保险等金融部门 IP 地址 125 个, 涉及高等院校 IP 地址 290 个苏州南京镇江三个地市发生的网络安全事件数居全省前三位网络安全事件按行业及地域占比分布如图 3 4 所示国家计算机网络应急技术处理协调中心江苏分中心 4

图 3: 网络安全事件按行业占比分布图 4: 网络安全事件按地域占比分布 ( 二 ) 木马僵尸网络事件 2015 年 2 月, 国家计算机网络应急技术处理协调中心 ( 简称 CNCERT/CC) 对木马僵尸的活动状况进行了抽样监测, 发现中国大陆地区 1917574 个 IP 地址对应的主机被木马或僵尸程序秘密控制事件高发的三个省份分别为广东省 ( 约占 18.7%) 江苏省 ( 约占 8.9%) 浙江省( 约占 6.9%), 其分布情况如图 5 所示我省被境外木马僵尸控制的 IP 数量为 170442 个, 较 1 月份下降 16.98%, 其中苏州南京无锡受控事件数居全省前三位所属地域分布情况如图 6 所示图 5: 中国大陆地区木马或僵尸程序受控主机地区分布图国家计算机网络应急技术处理协调中心江苏分中心 5

图 6: 我省木马或僵尸程序受控主机所属地域分布图 ( 三 ) 飞客蠕虫病毒事件 2015 年 2 月,CNCERT/CC 对飞客蠕虫的活动状况进行了抽样监测, 发现境内感染飞客蠕虫的主机 IP 地址 290079 个事件高发的三个省份分别为广东 ( 约占 24.3%) 浙江( 约占 7.7%) 和江苏 ( 约占 7.0%), 其分布情况如图 7 所示图 7: 中国大陆地区感染飞客蠕虫的主机 IP 按地区分布图我省感染飞客蠕虫病毒主机 IP 数量 20323 个, 较 2015 年 1 月份下降 38.80%, 全国排名第三, 所属地域分布情况如图 8 所示图 8: 江苏省感染飞客蠕虫主机所属地市分布图国家计算机网络应急技术处理协调中心江苏分中心 6

( 四 ) 手机病毒事件 2015 年 2 月, 我省发现 2.07 亿起手机用户感染手机恶意程序事件, 环比下降 5.48%; 累计感染用户 1035420 个, 环比上升 31.89%, 感染用户数排名前 10 的活跃手机病毒信息如表 1 所示用户数感染用户序号病毒名称病毒名称占全省环比数比例 1 a.privacy.waps.a Waps 病毒 192798 0.3213% 0.0079% 2 S.Privacy.Wizard.a2 Wizard 家族病毒变种 287877 0.4798% 0.1938% 3 A.Privacy.Tmall.a Tmall 病毒 256487 0.4275% 0.1870% 4 A.Remote.uuserv.a 伪父数据服务木马 123093 0.2052% -0.0040% 5 A.Privacy.TunkooScan.a 手机预装马 105752 0.1763% -0.0048% 6 a.rogue.mousepush.a MousePush 病毒 13942 0.0232% -0.0047% 7 a.payment.mcsapp.a McsApp 病毒 10570 0.0176% -0.0006% 8 S.Privacy.Flexispy.G X 卧底病毒变种 3380 0.0056% -0.0015% 9 A.Privacy.xxshenqi.a 身份窃密病毒 2818 0.0047% -0.0015% 10 S.System.Fontal.A Fontal.A 4652 0.0078% 0.0022% 表 3: 江苏省感染手机病毒用户数排名前 10 的活跃手机病毒 ( 五 ) 网页篡改事件. 2015 年 2 月,CNCERT/CC 对网页篡改事件进行了抽样监测, 发现境内被篡改的网站共 9708 个事件高发的三个省份分别为北京 ( 约占 20.0%) 江苏 ( 约占 14.8%) 和广东 ( 约占 9.8%), 其分布情况如图 9 所示国家计算机网络应急技术处理协调中心江苏分中心 7

图 9: 境内被篡改网站按地区分布 2 月份, 我中心监测发现全省被篡改的网站数量为 1434 个, 较 1 月份下降 0.70%, 全国排名第二其中其中被篡改的政府部门及学校金融网站 86 个, 占篡改网站总数的 5.99% 政府部门及高校网站篡改类型中广告链接占 98%, 网站黑页占 1%, 网页后门占 1% 五重要网络安全威胁公告 ( 一 ) Google 产品安全漏洞 Google Chrome for Android 是一款基于安卓的浏览器本周, 上述产品被披露存在多个安全漏洞, 攻击者可利用漏洞执行任意代码或提升权限 1. 情况分析 :CNVD 收录的相关漏洞包括 :Google Chrome for Android 特权提升漏洞 Google Chrome for Android 存在未明漏洞 (CNVD-2015-00944) Google Chrome for Android 内存错误引用漏洞 Google Chrome for Android 跨域绕过漏洞上述漏洞的综合评级为高危目前, 厂商已经发布了上述漏洞的修补程序 CNVD 提醒用户及时下载补丁更新, 避免引发漏洞相关的网络安全事件 2. 漏洞影响范围 : 上述漏洞的综合评级均为高受该漏洞影响的产品包括 : google Chrome for Android <40.0.2214.109 3. 漏洞处置建议 : 厂商已经发布了上述漏洞的修补程序建议用户尽快下载补丁更新, 避免引发漏洞相关的网络安全事件国家计算机网络应急技术处理协调中心江苏分中心 8

( 二 ) Cisco 产品安全漏洞 Cisco Unified IP Phone 9900 是美国思科 (Cisco) 公司的 9900 系列 IP 电话终端设备, 该设备提供语音视频等功能 ;Cisco AnyConnect Secure Mobility Client 是一个移动客户端 VPN 工具 Cisco HostScan Engine 是一个主机扫描引擎 ;Cisco NX-OS 是一个数据中心级的操作系统 ;Cisco Meraki Systems Manager 是一款云端管理解决方案 ;Cisco WebEx Meetings 是网络会议解决方案 ;Cisco Prime Service Catalog 是思科提供的通过一个单一的门户网站提供的所有服务的解决方案 1. 漏洞情况分析 : 收录的相关漏洞包括 :Cisco Unified IP Phones 9900 Series 任意文件上传漏洞多个 Cisco 产品跨站脚本漏洞 Cisco NX-OS 软件本地拒绝服务漏洞 Cisco Meraki Systems Manager HTML 注入漏洞 Cisco Meraki Systems Manager 跨站请求伪造漏洞 Cisco WebEx Meetings Server 用户枚举漏洞 (CNVD-2015-00894) Cisco WebEx Meetings Server 信息泄露漏洞 (CNVD-2015-00841) Cisco Prime Service Catalog 拒绝服务漏洞其中 Cisco Unified IP Phones 9900 Series 任意文件上传漏洞 Cisco Prime Service Catalog 拒绝服务漏洞的漏洞综合评级为高危目前, 厂商已经发布了上述漏洞的修补程序 CNVD 提醒用户及时下载补丁更新, 避免引发漏洞相关的网络安全事件 2. 漏洞影响范围 : 上述漏洞的综合评级均高受该漏洞影响的产品包括 : Cisco Unified IP Phones 9900 Series; 3. 漏洞处置建议 : 厂商已经发布了上述漏洞的修补程序建议尽快下载补丁更新, 避免引发漏洞相关的网络安全事件六业界新闻速递 ( 一 ) 中央网信办全国网络信息安全工作会召开新华网 2 月 9 日消息全国网信企业和行业组织 2 月 6 日齐聚河南洛阳, 共同发出维护网络信息安全倡议, 承诺将积极提升行业自身网络安全意识加强自律自治, 为国家计算机网络应急技术处理协调中心江苏分中心 9

净化网络空间和维护国家网络安全贡献力量在中央网信办主办的网络信息安全工作经验交流会上, 全国 50 家行业组织和网信企业签署了维护网络信息安全倡议书倡议书表示, 党的十八大以来, 尤其是中央网络安全和信息化领导小组成立以来, 中央就网络安全和信息化工作做出一系列重大决策和战略部署, 使全国网信企业及行业组织受到极大的鼓舞大家深感责任重大, 应敢于担当积极作为, 充分发挥自身优势, 切实为维护我国网络信息安全做出更大贡献国家互联网信息办公室副主任任贤良在会上指出, 近年来, 我国网络安全工作积极推进, 网络安全综合水平明显提升但随着信息技术的迅猛发展, 新情况新问题不断涌现, 国家网络安全形势依然面临着信息技术产品不自主综合防护能力较低信息惠民能力有待提升法律法规滞后专业人才匮乏等严峻挑战任贤良强调, 维护网络安全关乎建设网络强国目标的实现, 关乎每个网信企业的长远发展, 关乎社会公众的切身利益网信企业要主动作为, 发挥在网络安全方面的主体作用网络社会组织要深化行业自律, 积极参与网络安全和网络治理工作参加此次网络信息安全工作经验交流会的有中国互联网协会中国通信企业协会等行业组织 ( 二 ) 日本拟出台新网络安全战略计划加强国际合作中新网 2 月 10 日消息据日本媒体报道, 日本政府 2 月 10 日在首相官邸召开网络安全战略总部首次会议, 计划出台写入强化机制和国际合作应有方式等内容的新版网络安全战略, 力争在 6 月的内阁会议上获得通过报道说, 与会者还确认将以所有日本政府省厅为对象, 进行模拟网络攻击并检查防御能力该战略总部是旨在强化网络攻击对策的新设阁僚会议, 总部长是官房长官菅义伟据报道, 日本首相安倍晋三在会上致辞指出, 为成功举办 2020 年东京奥运会和残奥会, 加强网络攻击对策不可或缺他强调称威胁日益严重,( 网络攻击对策 ) 是国家安全和危机管理上的重要课题日本网络安全战略总部于 1 月成立, 依据去年 11 月通过的网络安全基本法由情报安全政策会议升级而成新战略将与国家安全保障会议国家计算机网络应急技术处理协调中心江苏分中心 10

(NSC) 共同制定, 计划最早 4 月下旬公布草案, 征询国民意见基本法赋予战略总部监督权限, 可以调查日本政府各省厅的网络安全对策是否妥当模拟网络攻击将基于该规定实施发挥秘书处职能的内阁网络安全中心约有一百数十人, 他们将与专家一起汇总具体方案 ( 三 ) 黑客将攻击目标瞄准 IS 公布大量相关网络账户中新网 2 月 10 日消息据外媒 2 月 9 日报道, 黑客团体匿名者 (Anonymous) 称, 该组织已袭击了大量极端组织伊斯兰国 (IS) 使用的网站和社交网站账户匿名者称, 伊斯兰国通过这些网站和账户进行宣传和人员招募据报道, 当地时间 8 日, 匿名者公布了一份网络账户黑名单, 这份名单上包括超过 1000 个社交网站账户电子邮件地址以及人员招募网页匿名者称, 这些账户已被该组织 RedCult 小队揭露并摧毁在这份黑名单中, 有超过 800 个账户是社交网站推特 (twitter) 账户匿名者在网上公布声明称, 该组织的成员来自世界各地, 囊括了各种种族宗教信仰匿名者称, 伊斯兰国是病毒, 该组织则是药物, 他们将追捕伊斯兰国, 让其在网络无处遁形去年 6 月, 匿名者首次公布了该组织在网络对抗伊斯兰国的计划此外, 该组织还表示, 他们计划对向伊斯兰国提供资金的国家发起一系列袭击 ( 四 ) 美国第二大医疗保险公司遭黑客攻击 8000 万用户资料受影响击人民网 2 月 6 日消息美国第二大医疗保险公司 Anthem2 月 5 日向客户发邮件称, 公司数据库遭黑客入侵, 包括姓名出生日期社会安全号家庭地址以及受雇公司信息等 8000 万名用户个人信息受到影响 Anthem 公司总裁兼首席执行官约瑟夫? 斯维顿施 (Joseph Swedish) 在邮件中表示, 公司将逐个通知信息遭泄露的个人用户, 并提供免费的信用监控和身份信息保护措施公司表示, 信用卡信息被没有遭到攻击公司于 2 月 4 日晚已经发布了数据库遭黑客攻击的信息, 称 8000 万人的个人信国家计算机网络应急技术处理协调中心江苏分中心 11

息可能会受到影响斯维顿施在其网站上发表声明称, 此次数据泄露是受到一个非常复杂的外部网络攻击具体多少人资料被盗, 目前还不清楚, 但是被攻击的数据库中存有 8000 万人的个人资料根据该公司雇佣的网络安全评估部门表示, 如果整个数据被盗, 这将是医保领域最大的数据泄露美国联邦调查局已经介入案件调查据了解, 目前被盗数据还未流入非法售卖信息网站相关专家警告用户在此后这段时间内, 不要向陌生邮件或者电话提供个人的详细信息国家计算机网络应急技术处理协调中心江苏分中心 12

版权说明江苏省网络安全月度报告 ( 简称月报 ) 是由国家计算机网络应急技术处理协调中心江苏分中心 ( 简称江苏省互联网应急中心 ) 编制并发布, 版权归江苏省互联网应急中心月报中凡摘录或引用内容已指明出处的, 其版权归相应单位所有本月报所有权利及许可由江苏省互联网应急中心进行管理, 任何单位或个人如需转载或引用其中内容, 须经江苏省互联网应急中心同意, 并标明出处国家计算机网络应急技术处理协调中心江苏分中心 13