本報(bào)告以CNCERT監(jiān)測(cè)數(shù)據(jù)和通報(bào)成員單位報(bào)送數(shù)據(jù)作為主要依據(jù),對(duì)我國(guó)互聯(lián)網(wǎng)面臨的各類(lèi)安全威脅進(jìn)行總體態(tài)勢(shì)分析����,并對(duì)重要預(yù)警信息和典型安全事件進(jìn)行探討��。
2018年11月���,互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀態(tài)整體評(píng)價(jià)為良�。主要數(shù)據(jù)如下:
*境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)為近84萬(wàn)余個(gè)�;
*境內(nèi)被篡改網(wǎng)站數(shù)量為1,357個(gè),其中被篡改政府網(wǎng)站數(shù)量為68個(gè)��;境內(nèi)被植入后門(mén)的網(wǎng)站數(shù)量為2,513個(gè)��,其中政府網(wǎng)站有45個(gè)�;針對(duì)境內(nèi)網(wǎng)站的仿冒頁(yè)面數(shù)量為6,469個(gè)�;
*國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收集整理信息系統(tǒng)安全漏洞810個(gè),其中�,高危漏洞308個(gè)�,可被利用來(lái)實(shí)施遠(yuǎn)程攻擊的漏洞有700個(gè)���。
網(wǎng)絡(luò)病毒監(jiān)測(cè)數(shù)據(jù)分析
2018年11月���,境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)為84萬(wàn)余個(gè)���。其中,境內(nèi)近60萬(wàn)個(gè)IP地址對(duì)應(yīng)的主機(jī)被木馬或僵尸程序控制���,與上月的近41萬(wàn)個(gè)相比增長(zhǎng)46.3%�����。
1�、木馬僵尸網(wǎng)絡(luò)監(jiān)測(cè)數(shù)據(jù)分析
2018年11月�����,境內(nèi)近60萬(wàn)個(gè)IP地址對(duì)應(yīng)的主機(jī)被木馬或僵尸程序控制����,按地區(qū)分布感染數(shù)量排名前三位的分別是廣東省、河南省�、浙江省。
木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器IP總數(shù)為28,653個(gè)。其中�����,境內(nèi)木馬或僵尸程序控制服務(wù)器IP有2,150個(gè)����,按地區(qū)分布數(shù)量排名前三位的分別為廣東省��、北京市��、上海市����。境外木馬或僵尸程序控制服務(wù)器IP有26,503個(gè),主要分布于美國(guó)���、日本�、德國(guó)�。其中,位于美國(guó)的控制服務(wù)器控制了境內(nèi)263,443個(gè)主機(jī)IP����,控制境內(nèi)主機(jī)IP數(shù)量居首位,其次是位于意大利和荷蘭的IP地址,分別控制了境內(nèi)222,567個(gè)和10,569個(gè)主機(jī)IP�����。
2���、移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)數(shù)據(jù)分析
2018年11月�����,CNCERT針對(duì)目前流行的信息竊取類(lèi)���、惡意扣費(fèi)類(lèi)和敲詐勒索類(lèi)典型移動(dòng)惡意程序進(jìn)行分析,發(fā)現(xiàn)信息竊取類(lèi)惡意程序樣本987個(gè)�,惡意扣費(fèi)類(lèi)惡意程序樣本1081個(gè),敲詐勒索類(lèi)惡意程序樣本2208個(gè)�。
2018年11月,CNCERT向應(yīng)用商店�����、個(gè)人網(wǎng)站�����、廣告平臺(tái)、云平臺(tái)等傳播渠道通報(bào)下架移動(dòng)互聯(lián)網(wǎng)惡意程序310個(gè)���。其中�,資費(fèi)消耗類(lèi)的惡意程序數(shù)量居首位(占54.5%)�,誘騙欺詐(占28.7%)�、流氓行為類(lèi)(占6.8%)分列第二、三位�。
3、網(wǎng)絡(luò)病毒捕獲和傳播情況
網(wǎng)絡(luò)病毒主要針對(duì)一些防護(hù)比較薄弱����,特別是訪問(wèn)量較大的網(wǎng)站通過(guò)網(wǎng)頁(yè)掛馬的方式進(jìn)行傳播。當(dāng)存在安全漏洞的用戶主機(jī)訪問(wèn)了這些被黑客掛馬的網(wǎng)站后����,會(huì)經(jīng)過(guò)多級(jí)跳轉(zhuǎn)暗中連接黑客最終“放馬”的站點(diǎn)下載網(wǎng)絡(luò)病毒。
網(wǎng)絡(luò)病毒在傳播過(guò)程中�,往往需要利用黑客注冊(cè)的大量域名。2018年11月��,CNCERT監(jiān)測(cè)發(fā)現(xiàn)的放馬站點(diǎn)中����,通過(guò)域名訪問(wèn)的共涉及有17,266個(gè)域名,通過(guò)IP直接訪問(wèn)的共涉及有7,194個(gè)IP。在17,266個(gè)放馬站點(diǎn)域名中���,于境內(nèi)域名申請(qǐng)數(shù)為7,488個(gè)(約占44.4%)���,于境外域名申請(qǐng)數(shù)為3,154個(gè)(約占18.3%)。放馬站點(diǎn)域名所屬頂級(jí)域名排名前5位的具體情況如表所示�����。
2018年11月活躍惡意域名所屬頂級(jí)域名
| 排序 | 頂級(jí)域名(TLD) | 域名類(lèi)別 | 惡意域名數(shù)量 |
| 1 | .com | 通用頂級(jí)域名(gTLD) | 7814 |
| 2 | .cn | 國(guó)家頂級(jí)域名(ccTLD) | 1954 |
| 3 | .net | 通用頂級(jí)域名(gTLD) | 587 |
| 4 | .org | 通用頂級(jí)域名(gTLD) | 255 |
| 5 | .tw | 通用頂級(jí)域名(gTLD) | 195 |
網(wǎng)站安全數(shù)據(jù)分析
1����、境內(nèi)網(wǎng)站被篡改情況
2018年11月,境內(nèi)被篡改網(wǎng)站的數(shù)量為1,357個(gè)���,境內(nèi)被篡改網(wǎng)站數(shù)量按地區(qū)分布排名前三位的分別是廣東省���、北京市、浙江省��。按網(wǎng)站類(lèi)型統(tǒng)計(jì)����,被篡改數(shù)量最多的是.COM域名類(lèi)網(wǎng)站��,其多為商業(yè)類(lèi)網(wǎng)站���;值得注意的是,被篡改的.GOV域名類(lèi)網(wǎng)站有68個(gè)����,占境內(nèi)被篡改網(wǎng)站的比例為5.0%。
2��、境內(nèi)網(wǎng)站被植入后門(mén)情況
2018年11月����,境內(nèi)被植入后門(mén)的網(wǎng)站數(shù)量為2,513個(gè)���,境內(nèi)被植入后門(mén)的網(wǎng)站數(shù)量按地區(qū)分布排名前三位的分別是廣東省�、北京市��、河南省���。按網(wǎng)站類(lèi)型統(tǒng)計(jì)��,被植入后門(mén)數(shù)量最多的是.COM域名類(lèi)網(wǎng)站�,其多為商業(yè)類(lèi)網(wǎng)站;值得注意的是���,被植入后門(mén)的.GOV域名類(lèi)網(wǎng)站有45個(gè)�,占境內(nèi)被植入后門(mén)網(wǎng)站的比例為1.8%����。
2018年11月,境外2910個(gè)IP地址通過(guò)植入后門(mén)對(duì)境內(nèi)1,579個(gè)網(wǎng)站實(shí)施遠(yuǎn)程控制�。其中,境外IP地址主要位于美國(guó)�、俄羅斯和意大利等國(guó)家或地區(qū)。從境外IP地址通過(guò)植入后門(mén)控制境內(nèi)網(wǎng)站數(shù)量來(lái)看���,來(lái)自中國(guó)香港的IP地址共向境內(nèi)523個(gè)網(wǎng)站植入了后門(mén)程序����,入侵網(wǎng)站數(shù)量居首位��;其次是來(lái)自美國(guó)和俄羅斯的IP地址����,分別向境內(nèi)245個(gè)和176個(gè)網(wǎng)站植入了后門(mén)程序。
3����、境內(nèi)網(wǎng)站被仿冒情況
2018年11月��,CNCERT共監(jiān)測(cè)到針對(duì)境內(nèi)網(wǎng)站的仿冒頁(yè)面有6,469個(gè)�����,涉及域名1,771個(gè)���,IP地址792個(gè),在這792個(gè)IP中����,99.0%位于境外,主要位于美國(guó)和中國(guó)香港�。
漏洞數(shù)據(jù)分析
2018年11月���,CNVD收集整理信息系統(tǒng)安全漏洞810個(gè)��。其中��,高危漏洞308個(gè)�����,可被利用來(lái)實(shí)施遠(yuǎn)程攻擊的漏洞有700個(gè)�����。受影響的軟硬件系統(tǒng)廠商包括Adobe���、Cisco��、Drupal���、Google、IBM�����、Linux�、Microsoft、Mozilla�����、WordPress等��。
根據(jù)漏洞影響對(duì)象的類(lèi)型�����,漏洞可分為操作系統(tǒng)漏洞、應(yīng)用程序漏洞����、WEB應(yīng)用漏洞、數(shù)據(jù)庫(kù)漏洞����、網(wǎng)絡(luò)設(shè)備漏洞(如路由器、交換機(jī)等)和安全產(chǎn)品漏洞(如防火墻���、入侵檢測(cè)系統(tǒng)等)��。本月CNVD收集整理的漏洞中��,按漏洞類(lèi)型分布排名前三位的分別是應(yīng)用程序漏洞��、操作系統(tǒng)漏洞、WEB應(yīng)用漏洞���。
網(wǎng)絡(luò)安全事件接收與處理情況
1��、事件接收情況
2018年11月���,CNCERT收到國(guó)內(nèi)外通過(guò)電子郵件�����、熱線電話�、網(wǎng)站提交���、傳真等方式報(bào)告的網(wǎng)絡(luò)安全事件8,428件(合并了通過(guò)不同方式報(bào)告的同一網(wǎng)絡(luò)安全事件����,且不包括掃描和垃圾郵件類(lèi)事件)��,其中來(lái)自國(guó)外的事件報(bào)告有53件��。
在8,428件事件報(bào)告中���,排名前三位的安全事件分別是網(wǎng)頁(yè)仿冒�、惡意程序��、漏洞����。
2���、事件處理情況
對(duì)國(guó)內(nèi)外通過(guò)電子郵件、熱線電話�、傳真等方式報(bào)告的網(wǎng)絡(luò)安全事件,以及自主監(jiān)測(cè)發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件�����,CNCERT每日根據(jù)事件的影響范圍和存活性��、涉及用戶的性質(zhì)等因素���,篩選重要事件進(jìn)行協(xié)調(diào)處理�。
2018年11月��,CNCERT以及各省分中心共同協(xié)調(diào)處理了8,487安全事件����。其中網(wǎng)頁(yè)仿冒、漏洞類(lèi)事件處理數(shù)量較多���。
