黑龙江省网络安全监测数据分析报告(2015年10月)
2015年10月,监测发现我省共有57057个IP地址对应的主机被其他国家或地区通过木马或僵尸程序秘密控制,占全国比例为2.57%,如图1所示。
10月,哈尔滨、黑河、大庆等城市木马或僵尸程序受控主机IP数量最多,其中哈尔滨占全省总数的52.67%,如图2所示。
2.1.1.2我省木马、僵尸程序控制端情况
2015年10月,监测发现我省共有21个IP地址对应的主机作为木马、僵尸程序控制端与其他国家或地区进行通信,占全国比例为0.49%,如图3所示。
10月,哈尔滨、大庆、牡丹江存在木马或僵尸程序控制服务器,其中哈尔滨占全省总数的60%,如图4所示。
2.1.1.3境外控制端分布情况
2015年10月,从控制我省互联网主机的境外病毒控制端分布来看,韩国、摩尔多瓦、荷兰等国家或地区控制我省数量主机较多,如图5所示。
2015年10月,监测发现我省共有10454个IP地址对应的主机感染飞客蠕虫病毒,占全国比例为1.35%,如图6所示。
10月,哈尔滨、齐齐哈尔、牡丹江等地市感染飞客蠕虫主机IP数量最多,其中哈尔滨占全省总数的57.74%,如图7所示。
2.2.1我省网页篡改事件
2015年10月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省30个网站被篡改,如图8所示。
2.2.3我省网页放马事件
2015年10月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省存在网页放马网站5个,如图10所示。
三、 10月漏洞数据分析
1、Android Bluetooth 操作系统命令注入漏洞
CVE收录了一个Android产品漏洞(CVE-2015-6613)。Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。Bluetooth是其中的一个蓝牙组件。Android 5.1.1及之前版本和6.0版本的Bluetooth中存在安全漏洞。上述漏洞的综合评级为“高危”。攻击者可借助特制的应用程序,利用该漏洞向调试端口发送命令,获取权限。目前厂商已经发布了升级补丁以修复这个安全问题,请Android 5.1.1及之前版本和6.0版本的用户到厂商的主页下载:
https://groups.google.com/forum/message/raw?msg=android-security-updates/n1aw2MGce4E/jhpVEWDUCAAJ
2、AMD fglrx-driver 提权漏洞
CVE收录了一个AMD公司漏洞(编号:CVE-2015-7723)。AMD fglrx-driver是美国AMD公司的一套fglrx驱动程序。AMD fglrx-driver中存在提权漏洞。上述漏洞的综合评级为“高危”。漏洞存在于AMD fglrx-driver 15.7版本。攻击者可利用该漏洞实施符号链接攻击,以提升的权限覆盖受影响应用程序中的任意文件。目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.securityfocus.com/bid/77357
四、 网络安全术语解释
信息系统:信息系统是指由计算机硬件、软件、网络和通信设备等组成的以处理信息和数据为目的的系统。
漏洞:漏洞是指信息系统中的软件、硬件或通信协议中存在缺陷或不适当的配置,从而可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险。
恶意代码:恶意代码是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序。恶意程序分类说明如下:
①特洛伊木马
特洛伊木马(Trojan Horse)。简称木马,是以盗取用户个人信息,甚至是远程控制用户计算机为主要目的的恶意代码。由于它像间谍一样潜入用户的电脑,与战争中的“木马”战术十分相似,因而得名木马。按照功能,木马程序可进一步分为:盗号木马、网银木马、窃密木马、远程控制木马、流量劫持木马、下载者木马和其它木马7类。
②僵尸程序(Bot)。是用于构建僵尸网络以形成大规模攻击平台的恶意代码。按照使用的通信协议,僵尸程序可进一步分为:IRC僵尸程序、Http僵尸程序、P2P僵尸程序和其它僵尸程序四类。
③.蠕虫(Worm)。是指能自我复制和广泛传播,以占用系统和网络资源为主要目的的恶意代码。按照传播途径,蠕虫可进一步分为:邮件蠕虫、即时消息蠕虫、U盘蠕虫、漏洞利用蠕虫和其它蠕虫五类。
④病毒(Virus)。是指通过感染计算机文件进行传播,以破坏或篡改用户数据,影响信息系统正常运行为主要目的恶意代码。
⑤其它。
僵尸网络:僵尸网络是被黑客集中控制的计算机群,其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为,如可同时对某目标网站进行分布式拒绝服务攻击,或发送大连的垃圾邮件等。
拒绝服务攻击:拒绝服务攻击是向某一目标信息系统发送密集的攻击包,或执行特定攻击操作,以期致使目标系统停止提供服务。
网页篡改:网页篡改是恶意破坏或更改网页内容,使网站无法正常工作或出现黑客插入的非正常网页内容。
网页仿冒:网页仿冒是通过构造与某一目标网站高度相似的页面(俗称钓鱼网站),并通常以垃圾邮件、即时聊天、手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息,诱骗用户访问钓鱼网站,以获取用户个人秘密信息(如银行帐号和帐户密码)。
放马网站:放马网站是通过在网页中嵌入恶意代码或链接,致使用户计算机在访问该页面时被植入恶意代码。
网站后门:网站后门事件是指黑客在网络的特定目录中上传远程控制页面,从而能够通过该页面秘密远程控制网站服务器的攻击事件。
CNVD:国家信息安全漏洞共享平台是由国家计算机网络应急技术处理协调中心联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。