CNCERT：2017年11月互联网安全威胁报告

本报告以CNCERT监测数据和通报成员单位报送数据作为主要依据，对我国互联网面临的各类安全威胁进行总体态势分析，并对重要预警信息和典型安全事件进行探讨。

2017年11月，互联网网络安全状态整体评价为良。主要数据如下：

➣ 境内感染网络病毒的终端数为100万余个；

➣ 境内被篡改网站数量为2368个，其中被篡改政府网站数量为76个；境内被植入后门的网站数量为2504个，其中政府网站有92个；针对境内网站的仿冒页面数量为1365个；

➣ 国家信息安全漏洞共享平台（CNVD）收集整理信息系统安全漏洞2112个，其中，高危漏洞614个，可被利用来实施远程攻击的漏洞有1784个。

网络病毒监测数据分析

2017年11月，境内感染网络病毒的终端数为100万余个。其中，境内近64万个IP地址对应的主机被木马或僵尸程序控制，与上月的84万余个相比下降24.3%；境内近37万个主机IP感染“飞客”蠕虫，与10月的29万余个相比增长26.1%。

1木马僵尸网络监测数据分析

2017年11月，境内近64万个IP地址对应的主机被木马或僵尸程序控制，按地区分布感染数量排名前三位的分别是广东省、河南省、浙江省。

木马或僵尸网络控制服务器IP总数为9395个。其中，境内木马或僵尸程序控制服务器IP有2484个，按地区分布数量排名前三位的分别为广东省、北京市、江苏省。境外木马或僵尸程序控制服务器IP有6911个，主要分布于美国、日本、韩国。其中，位于美国的控制服务器控制了境内185945个主机IP，控制境内主机IP数量居首位，其次是位于荷兰和韩国的IP地址，分别控制了境内13650个和11951个主机IP。

2飞客蠕虫监测数据分析

2017年11月，CNCERT监测到全球互联网近328万个主机IP地址感染飞客蠕虫，按国家或地区分布感染数量排名前三位的分别是中国大陆、印度、俄罗斯。

境内感染飞客蠕虫的主机IP为近37万个，按地区分布感染数量排名前三位的分别是广东省、浙江省、江苏省。

3网络病毒捕获和传播情况

2017年11月，CNCERT捕获了大量新增网络病毒文件，其中按网络病毒名称统计新增1个，网络病毒家族统计无新增。

网络病毒主要针对一些防护比较薄弱，特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后，会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。2017年11月，CNCERT监测发现排名前十的活跃放马站点域名和活跃放马站点IP如下表所示。

表 2017年11月活跃放马站点域名和IP

网络病毒在传播过程中，往往需要利用黑客注册的大量域名。2017年11月，CNCERT监测发现的放马站点中，通过域名访问的共涉及有74个域名，通过IP直接访问的共涉及有79个IP。在74个放马站点域名中，于境内注册的域名数为43个（约占54.4%），于境外注册的域名数为18个（约占22.8%）未知注册商属地信息的有13个（约占16.5%）。放马站点域名所属顶级域名排名前5位的具体情况如下表所示。

表 2017年11月活跃恶意域名所属顶级域名

网站安全数据分析

1境内网站被篡改情况

2017年11月，境内被篡改网站的数量为2368个，境内被篡改网站数量按地区分布排名前三位的分别是广东省、北京市、河南省。按网站类型统计，被篡改数量最多的是.COM域名类网站，其多为商业类网站；值得注意的是，被篡改的.GOV域名类网站有76个，占境内被篡改网站的比例为3.2%。

截至11月30日仍未恢复的部分被篡改政府网站如下表所示。

表 截至11月30日仍未恢复的部分政府网站

2境内网站被植入后门情况

2017年11月，境内被植入后门的网站数量为2504个，境内被植入后门的网站数量按地区分布排名前三位的分别是广东省、北京市、河南省。按网站类型统计，被植入后门数量最多的是.COM域名类网站，其多为商业类网站；值得注意的是，被植入后门的.GOV域名类网站有92个，占境内被植入后门网站的比例为3.7%。

2017年11月，境外1032个IP地址通过植入后门对境内2504个网站实施远程控制。其中，境外IP地址主要位于美国、俄罗斯和中国香港等国家或地区。从境外IP地址通过植入后门控制境内网站数量来看，来自中国香港的IP地址共向境内440个网站植入了后门程序，入侵网站数量居首位；其次是来自俄罗斯和乌克兰的IP地址，分别向境内286个和245个网站植入了后门程序。

3境内网站被仿冒情况

2017年11月，CNCERT共监测到针对境内网站的仿冒页面有1365个，涉及域名1153个，IP地址361个，平均每个IP地址承载近4个仿冒页面。在这361个IP中，99.2%位于境外，主要位于中国香港和美国。

漏洞数据分析

2017年11月，CNVD收集整理信息系统安全漏洞2112个。其中，高危漏洞614个，可被利用来实施远程攻击的漏洞有1784个。受影响的软硬件系统厂商包括Adobe、Cisco、Drupal、Google、IBM、Linux、Microsoft、Mozilla、WordPress等。

根据漏洞影响对象的类型，漏洞可分为操作系统漏洞、应用程序漏洞、WEB应用漏洞、数据库漏洞、网络设备漏洞（如路由器、交换机等）和安全产品漏洞（如防火墙、入侵检测系统等）。本月CNVD收集整理的漏洞中，按漏洞类型分布排名前三位的分别是应用程序漏洞、操作系统漏洞、WEB应用漏洞。

网络安全事件接收与处理情况

1事件接收情况

2017年11月，CNCERT收到国内外通过电子邮件、热线电话、网站提交、传真等方式报告的网络安全事件8716件（合并了通过不同方式报告的同一网络安全事件，且不包括扫描和垃圾邮件类事件），其中来自国外的事件报告有18件。

在8716件事件报告中，排名前三位的安全事件分别是漏洞、恶意程序、网页仿冒。

2事件处理情况

对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件，以及自主监测发现的网络安全事件，CNCERT每日根据事件的影响范围和存活性、涉及用户的性质等因素，筛选重要事件进行协调处理。

2017年11月，CNCERT以及各省分中心共同协调处理了8629件网络安全事件。各类事件处理数量中漏洞、恶意程序类事件处理数量较多。

本月重点网络安全信息

1通报WordPress WPDB SQL注入漏洞

11月，国家信息安全漏洞共享平台（CNVD）收录了WordPress WPDB SQL注入漏洞 。远程攻击者利用该漏洞可造成SQL注入攻击，获取数据库敏感信息。漏洞的详细细节已公开，近期被不法分子利用进行出现大规模攻击尝试的可能性较大。CNVD对上述漏洞的综合评级为“高危”。 支持自动更新的用户可以通过点击后台的仪表盘更新到4.8.3版本，也可手动下载更新：https://wordpress.org/download/

11月，国家信息安全漏洞共享平台（CNVD）收录了Zeta Components Mail存在的远程代码执行漏洞 。远程攻击者利用漏洞可通过构造恶意邮件在目标系统上执行任意代码。漏洞细节和利用代码已公开，近期被不法分子利用进行攻击尝试的可能性较大。CNVD对上述漏洞的综合评级为“高危”。 厂商已发布修复补丁，建议升级Mail到1.8.2：https://github.com/zetacomponents/Mail  

11月，国家信息安全漏洞共享平台（CNVD）收录了Microsoft office组件EQNEDT32.EXE内存破坏漏洞 。该漏洞允许未经身份验证的远程攻击者在目标系统上执行恶意代码。微软office在过去17年中，包括office 365在内的所有版本均存在该漏洞，漏洞影响范围极为广泛。CNVD对上述漏洞综合评级为“高危”。 微软公司已经发布该漏洞的补丁，鉴于该漏洞广泛存在，且易于被用于发起网络攻击，CNVD强烈建议office用户尽快更新11月的安全补丁, 以防止黑客和网络控制他们的计算机。

4通报6.x版本JBOSS Application Server存在反序列化命令执行漏洞

11月，国家信息安全漏洞共享平台（CNVD）收录了JBOSS Application Server反序列化命令执行漏洞 。远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞细节和验证代码已公开，近期被不法分子利用出现大规模攻击尝试的可能性较大。CNVD对该漏洞的综合评级为“高危”。  升级到JBOSS AS7。

声明：本文来自国家互联网应急中心CNCERT，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。