黑龙江省网络安全监测数据分析报告(2015年11月)
2015年11月,我省互联网基础设施运行总体平稳,骨干网各项监测指标正常。木马僵尸网络、飞客蠕虫病毒、网站类攻击、拒绝服务攻击等是我省重要信息系统和互联网用户面临的最主要的网络安全威胁。本月,我省感染木马、僵尸程序主机总数、飞客蠕虫病毒主机数量及被利用作为控制端主机总数较上月有所增多,被黑客植入网页后门的网站数量有所减少,整体数据如下:
(1)互联网主机安全情况。2015年11月我省感染木马或僵尸网络病毒的主机IP数量为102628个; 我省被利用作为木马或僵尸网络控制端服务器的IP数量为21个;我省感染飞客蠕虫病毒的主机IP数量为10879个。
(2)网站安全情况。2015年11月,监测发现我省被篡改网站28个,被黑客植入网页后门的网站49个。
(3)其他公共网络环境安全情况。2015年11月,国家信息安全漏洞共享平台共收集整理并公开发布信息安全漏洞689个,其中高危漏洞635个。
二、 11月互联网网络安全监测数据分析
2.1我省互联网主机安全状况分析
国家计算机网络应急处理协调中心黑龙江分中心对互联网主机易感染的木马、僵尸程序、飞客蠕虫病毒进行了持续的监测和分析。2015年11月,我省感染木马、僵尸程序主机总数、飞客蠕虫病毒主机数量及被利用作为控制端主机总数较上月有所增多。从感染病毒的主机在省内分布来看,哈尔滨、佳木斯、齐齐哈尔等地市感染病毒数量较大,从控制我省互联网主机的境外病毒控制端分布来看,韩国、荷兰、美国等国家或地区是主要发源地;从网络病毒的类型分析,主要以远控、盗号木马居多。
2.1.1我省互联网主机感染木马、僵尸程序情况
2.1.1.1我省木马、僵尸程序受控端情况
2015年11月,监测发现我省共有102628个IP地址对应的主机被其他国家或地区通过木马或僵尸程序秘密控制,占全国比例为3.41%,如图1所示。
11月,哈尔滨、佳木斯、齐齐哈尔等城市木马或僵尸程序受控主机IP数量最多,其中哈尔滨占全省总数的46.39%,如图2所示。
2.1.1.2我省木马、僵尸程序控制端情况
2015年11月,监测发现我省共有21个IP地址对应的主机作为木马、僵尸程序控制端与其他国家或地区进行通信,占全国比例为0.49%,如图3所示。
2.1.1.3境外控制端分布情况
2015年11月,从控制我省互联网主机的境外病毒控制端分布来看,韩国、荷兰、美国等国家或地区控制我省数量主机较多,如图5所示。
2.1.2我省互联网主机感染飞客蠕虫病毒情况
2015年11月,监测发现我省共有10879个IP地址对应的主机感染飞客蠕虫病毒,占全国比例为1.37%,如图6所示。
11月,哈尔滨、齐齐哈尔、大庆等地市感染飞客蠕虫主机IP数量最多,其中哈尔滨占全省总数的61.12%,如图7所示。
2.2我省网站安全状况分析
2.2.1我省网页篡改事件
2015年11月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省28个网站被篡改,如图8所示。
2.2.2我省网页后门事件
2015年11月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省遭后门攻击网站49个,如图9所示。
2.2.3我省网页放马事件
2015年11月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省存在网页放马网站32个,如图10所示。
三、 11月漏洞数据分析
1、Apple Siri信息泄露漏洞
CVE收录了一个apple产品漏洞(CVE-2015-7080)。IOS是由苹果公司为移动设备所开发的操作系统。Apple IOS 9.2之前版本,Siri存在安全漏洞。攻击者可利用该漏洞绕过目标客户端保护机制并获取敏感的内容通知消息。目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://support.apple.com/HT205641
2、Apple OS X越界内存访问漏洞 CVE收录了一个apple产品漏洞(CVE-2015-7077)。IOS是由苹果公司为移动设备所开发的操作系统。Apple OS X 10.11.2之前版本,Intel Graphics Driver组件存在安全漏洞。攻击者利用此漏洞可提升权限或造成拒绝服务(越界内存访问)。目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://support.apple.com/HT205640。
四、 我省互联网主机感染恶意代码情况分析
从我省感染木马或僵尸程序病毒种类来看linux.Gafgyt、IMDDOS两种病毒感染主机数量最多,分别占感染数量的22.32%、15.28%。我省感染受控主机数量较多(超过500个受控端)的恶意代码如表一所示。
| TOP | 恶意代码名称 | 数量 | 代码特点 |
| 1 | 僵尸网络- linux.Gafgyt | 22909 | 是一种Linux系统上的远控木马。可以接收来自远程控制端的命令,这些命令包括打开受感染系统上的后门,并执行各种DoS攻击,及窃取信息。 |
| 2 | 僵尸网络-IMDDOS
| 15686 | IMDDoS攻击(DDoS攻击的商业服务),这种攻击现在已经成为全球最大的僵尸网络。该僵尸网络主要是由位于我国的受感染的机器组成的,还有很多受感染机器来自北美互联网服务供应商和大型企业。即僵尸网络的受控端(操控者)通常都是通过地下论坛来提供不同的服务。同时其服务也是非常明确的,它的网站详细列明了它提供的各种不同的服务。 |
| 3 | 僵尸网络-IRC协议 -sdBot.ela | 2253 | 该木马中文名称为“赛波”,主要通过网络共享传播的后门程序,可允许黑客远程非授权远程进入用户计算机。该后门程序运行后,在系统目录下创建程序文件副本。修改注册表,实现程序的开机自启。远程连接IRC服务器。侦听黑客指令,可下载并运行黑客指定程序,并可针对指定目标执行DoS攻击。 |
| 4 | 木马-下载者- Trojan[Downloader].Win32.Injepe.a-F3B51C | 1432 | “下载者”木马一般通过网页挂马的方式进行传播感染,并且它会自动连接互联网络中的指定服务器,下载大量病毒、木马等恶意程序,导致计算机用户系统中的重要数据信息失窃。 |
| 5 | 木马-远控- Trojan.Win32.MicroFake.ba-4D691A | 1286 | 该木马运行后,会将其自身复制到受感染操作系统的系统目录下,生成随机的可执行文件。与此同时,该变种打开受感染操作系统中的服务控制管理器,创建一个服务进程文件,自动执行病毒文件的映像文件。随后,该变种会自动上传受感染操作系统的相关信息(计算机名、操作系统版本、处理器类型、内存大小等)到恶意攻击者指定的Web服务器中。 |
| 6 | 木马-其他- Trojan/Win32.Killav | 667 | 该木马中文名称为“AV终结者”。病毒运行后,结束相关安全软件进程;在逻辑盘根目录下释放AutoRun.inf、病毒文件,以便于利用移动设备进行传播;连接网络,下载大量病毒文件并在本机运行。 |
表一 我省感染受控主机数量较多的恶意代码排名
针对我省感染主机数量较多的恶意代码建议采用以下防范措施:
1、重要单位的计算机用户应及时对系统进行安全扫描,安装系统补丁,修补操作系统和应用软件漏洞。特别是对第三方软件的安装使用要严格管理,对必须使用的第三方软件要保证及时更新。
2、网站管理者要加强网站的监督管理,定期对上传的Web网页文件进行比对,包括文件的创建、更新时间,文件大小等,及时发现异常的Web网页文件。一旦发现异常文件,应立即删除并更新。定期维护升级网站服务器,检查服务器所存在的漏洞和安全隐患。
3、及时下载安装操作系统和系统中应用软件的漏洞补丁程序,阻止各类病毒、木马等恶意程序入侵操作系统。
4、不要轻易打开来历不明的邮件,尤其是邮件的附件;不要随便登录不明网站。
5、使用U盘进行数据交换前,先对其进行病毒检查;同时, 禁用U盘的自动播放功能,避免在插入U盘或移动硬盘时受到病毒感染。
6、做好系统和重要数据的备份,以便能够在遭受病毒侵害后及时恢复。
五、 网络安全术语解释
信息系统:信息系统是指由计算机硬件、软件、网络和通信设备等组成的以处理信息和数据为目的的系统。
漏洞:漏洞是指信息系统中的软件、硬件或通信协议中存在缺陷或不适当的配置,从而可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险。
恶意代码:恶意代码是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序。恶意程序分类说明如下:
①特洛伊木马
特洛伊木马(Trojan Horse)。简称木马,是以盗取用户个人信息,甚至是远程控制用户计算机为主要目的的恶意代码。由于它像间谍一样潜入用户的电脑,与战争中的“木马”战术十分相似,因而得名木马。按照功能,木马程序可进一步分为:盗号木马、网银木马、窃密木马、远程控制木马、流量劫持木马、下载者木马和其它木马7类。
②僵尸程序(Bot)。是用于构建僵尸网络以形成大规模攻击平台的恶意代码。按照使用的通信协议,僵尸程序可进一步分为:IRC僵尸程序、Http僵尸程序、P2P僵尸程序和其它僵尸程序四类。
③.蠕虫(Worm)。是指能自我复制和广泛传播,以占用系统和网络资源为主要目的的恶意代码。按照传播途径,蠕虫可进一步分为:邮件蠕虫、即时消息蠕虫、U盘蠕虫、漏洞利用蠕虫和其它蠕虫五类。
④病毒(Virus)。是指通过感染计算机文件进行传播,以破坏或篡改用户数据,影响信息系统正常运行为主要目的恶意代码。
⑤其它。
僵尸网络:僵尸网络是被黑客集中控制的计算机群,其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为,如可同时对某目标网站进行分布式拒绝服务攻击,或发送大连的垃圾邮件等。
拒绝服务攻击:拒绝服务攻击是向某一目标信息系统发送密集的攻击包,或执行特定攻击操作,以期致使目标系统停止提供服务。
网页篡改:网页篡改是恶意破坏或更改网页内容,使网站无法正常工作或出现黑客插入的非正常网页内容。
网页仿冒:网页仿冒是通过构造与某一目标网站高度相似的页面(俗称钓鱼网站),并通常以垃圾邮件、即时聊天、手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息,诱骗用户访问钓鱼网站,以获取用户个人秘密信息(如银行帐号和帐户密码)。
放马网站:放马网站是通过在网页中嵌入恶意代码或链接,致使用户计算机在访问该页面时被植入恶意代码。
网站后门:网站后门事件是指黑客在网络的特定目录中上传远程控制页面,从而能够通过该页面秘密远程控制网站服务器的攻击事件。
CNVD:国家信息安全漏洞共享平台是由国家计算机网络应急技术处理协调中心联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。