本报告以CNCERT监测数据和通报成员单位报送数据作为主要依据,对我国互联网面临的各类安全威胁进行总体态势分析,并对重要预警信息和典型安全事件进行探讨。
2019年8月,互联网网络安全状况整体评价为中。主要数据如下:
➣境内感染网络病毒的终端数为近130万个;
➣境内被篡改网站数量为99,283个,其中被篡改政府网站数量为113个;境内被植入后门的网站数量为11,662个,其中政府网站有90个;针对境内网站的仿冒页面数量为1,396个;
➣国家信息安全漏洞共享平台(CNVD)收集整理信息系统安全漏洞1,821个。其中,高危漏洞445个,可被利用来实施远程攻击的漏洞有1,552个。
网络病毒监测数据分析
2019年8月,境内感染网络病毒的终端数为近130万个。其中,境内近103万个IP地址对应的主机被木马或僵尸程序控制,与上月的近44万个相比增长134.2%。
1 木马僵尸网络监测数据分析
2019年8月,境内近103万个IP地址对应的主机被木马或僵尸程序控制,按地区分布感染数量排名前三位的分别是江苏省、浙江省、广东省。
木马或僵尸网络控制服务器IP总数为8,127个。其中,境内木马或僵尸程序控制服务器IP有2,004个,按地区分布数量排名前三位的分别为广东省、北京市、江苏省。境外木马或僵尸程序控制服务器IP有6,123个,主要分布于美国、中国香港和荷兰。其中,位于美国的控制服务器控制了境内682,076个主机IP,控制境内主机IP数量居首位,其次是位于荷兰和法国的IP地址,分别控制了境内301,707个和118,948个主机IP。
2 移动互联网恶意程序监测数据分析
2019年8月,CNCERT重点针对目前流行的信息窃取类、恶意扣费类和敲诈勒索类典型移动恶意程序进行分析,发现敲诈勒索类恶意程序样本200个,恶意扣费类恶意程序样本320个,信息窃取类恶意程序样本2,425个。
2019年8月,CNCERT向应用商店、个人网站、广告平台、云平台等传播渠道通报下架移动互联网恶意程序157个。这些移动互联网恶意程序按行为属性统计,流氓行为类的恶意程序数量居首位(占30.6%),诱骗欺诈类(占21.7%)、资费消耗类(占21.7%)分列第二、三位。
3 网络病毒捕获和传播情况
网络病毒主要针对一些防护比较薄弱,特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。
网络病毒在传播过程中,往往需要利用黑客注册的大量域名。2019年8月,CNCERT监测发现的放马站点中,通过域名访问的共涉及有43,836个域名,通过IP直接访问的共涉及有14,198个IP。在43,836个放马站点域名中,于境内注册的域名数为2,967个(约占6.8%),于境外注册的域名数为23,714个(约占54.1%)。放马站点域名所属顶级域名排名前5位的具体情况如表所示。
表 2019年8月活跃恶意域名所属顶级域名
网站安全数据分析
1 境内网站被篡改情况
2019年8月,境内被篡改网站的数量为99,283个,境内被篡改网站数量按地区分布排名前三位的分别是北京市、广东省和山东省。按网站类型统计,被篡改数量最多的是.COM域名类网站,其多为商业类网站;被篡改的.GOV域名类网站有113个,占境内被篡改网站的比例为0.1%。
2 境内网站被植入后门情况
2019年8月,境内被植入后门的网站数量为11,662个,境内被植入后门的网站数量按地区分布排名前三位的分别是北京市、广东省、河南省。按网站类型统计,被植入后门数量最多的是.COM域名类网站;被植入后门的.GOV域名类网站有90个,占境内被植入后门网站的比例为0.8%。
2019年8月,境外6,179个IP地址通过植入后门对境内11,280个网站实施远程控制。其中,境外IP地址主要位于美国、新加坡和中国香港等国家或地区。从境外IP地址通过植入后门控制境内网站数量来看,来自菲律宾的IP地址共向境内3,250个网站植入了后门程序,入侵网站数量居首位;其次是来自中国香港和美国的IP地址,分别向境内3,027个和1,912个网站植入了后门程序。
3 境内网站被仿冒情况
2019年8月,CNCERT共监测到针对境内网站的仿冒页面有1,396个,涉及域名849个,IP地址471个,在这471个IP中,97.7%位于境外,主要位于中国香港和美国。
漏洞数据分析
2019年8月,CNVD收集整理信息系统安全漏洞1,821个。其中,高危漏洞445个,可被利用来实施远程攻击的漏洞1,552个。受影响的软硬件系统厂商包括Adobe、Cisco、Google、IBM、Microsoft、Moxa、Mozilla、Oracle等。
根据漏洞影响对象的类型,漏洞可分为应用程序、WEB应用、操作系统、网络设备(交换机、路由器等网络端设备)、安全产品(如防火墙、入侵检测系统等)、数据库和智能设备(物联网终端设备)漏洞。本月CNVD收集整理的漏洞中,按漏洞类型分布排名前三位的分别是应用程序漏洞、WEB应用漏洞、操作系统漏洞。
网络安全事件接收与处理情况
1 事件接收情况
2019年8月,CNCERT收到国内外通过电子邮件、热线电话、网站提交、传真等方式报告的网络安全事件9,405件(合并了通过不同方式报告的同一网络安全事件,且不包括扫描和垃圾邮件类事件),其中来自国外的事件报告有47件。
在9,405件事件报告中,排名前三位的安全事件分别是漏洞、网页仿冒、恶意程序类事件。
2 事件处理情况
对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件,以及自主监测发现的网络安全事件,CNCERT每日根据事件的影响范围和存活性、涉及用户的性质等因素,筛选重要事件进行协调处理。
2019年8月,CNCERT以及各省分中心共同协调处理了9,537起安全事件。其中漏洞类、恶意程序类、网页仿冒类事件处理数量较多。
声明:本文来自国家互联网应急中心CNCERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。