黑龙江省网络安全监测数据分析报告(2015年6月)
17.08.2015 18:54
本文来源: 通信管理局
2015年6月,我省互联网基础设施运行总体平稳,骨干网各项监测指标正常。木马僵尸网络、飞客蠕虫病毒、网站类攻击、拒绝服务攻击等是我省重要信息系统和互联网用户面临的最主要的网络安全威胁。部分数据如下:
(1)互联网主机安全情况。2015年6月我省感染木马或僵尸程序病毒的主机IP数量为27358个;我省被利用作为木马或僵尸程序控制服务器的IP数量为38个;我省感染飞客蠕虫病毒的主机IP数量为2168个。
(2)网站安全情况。2015年6月,监测发现我省被篡改网站35个,被黑客植入网页后门的网站53个。
(3)其他公共网络环境安全情况。2015年6月,国家信息安全漏洞共享平台共收集整理并公开发布信息安全漏洞471个,其中高危漏洞423个。
二、 6月互联网网络安全监测数据分析
2.1我省互联网主机安全状况分析
国家计算机网络应急处理协调中心黑龙江分中心对互联网主机易感染的木马、僵尸程序、飞客蠕虫病毒进行了持续的监测和分析。2015年6月,我省感染木马、僵尸程序主机总数较上月有一定幅度增加,飞客蠕虫病毒主机数量及被利用作为控制端主机总数较上月下降明显。从感染病毒的主机在省内分布来看,哈尔滨、佳木斯、齐齐哈尔等地市感染病毒数量较大,从控制我省互联网主机的境外病毒控制端分布来看,美国、韩国、芬兰等国家或地区是主要发源地;从网络病毒的类型分析,主要以远控、盗号木马居多。
2.1.1我省互联网主机感染木马、僵尸程序情况
2.1.1.1我省木马、僵尸程序受控端情况
2015年6月,监测发现我省共有27358个IP地址对应的主机被其他国家或地区通过木马或僵尸程序秘密控制,占全国比例为1.53%,如图1所示。
6月,哈尔滨、佳木斯、齐齐哈尔、绥化、牡丹江五个城市木马或僵尸程序受控主机IP数量最多,其中哈尔滨占全省总数的50.22%,如图2所示。
2.1.1.2我省木马、僵尸程序控制端情况
2015年6月,监测发现我省共有38个IP地址对应的主机作为木马、僵尸程序控制端与其他国家或地区进行通信,占全国比例为0.60%,如图3所示。
2.1.1.3境外控制端分布情况
2015年6月,从控制我省互联网主机的境外病毒控制端分布来看,美国、韩国、芬兰等国家或地区控制我省数量主机较多,如图5所示。
2.1.2我省互联网主机感染飞客蠕虫病毒情况
2015年6月,监测发现我省共有2168个IP地址对应的主机感染飞客蠕虫病毒,占全国比例为0.92%,如图6所示。
6月,哈尔滨、齐齐哈尔、牡丹江、大庆、佳木斯五个城市感染飞客蠕虫主机IP数量最多,其中哈尔滨占全省总数的61.94%,如图7所示。
2.2我省网站安全状况分析
2.2.1我省网页篡改事件
2015年6月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省35个网站被篡改,占全国总数的0.62%,如图8所示。
6月,在我省被篡改网站中,按照域名类型分布,.com&.com.cn域名数量最多,占全省57%,如图9所示。
2.2.2我省网页后门事件
2015年6月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省遭后门攻击网站143个,占全国总数的4.19%,如图10所示。
6月,在我省遭后门攻击网站中,按照域名类型分布,.com&.com.cn域名数量最多,占全省52%,如图11所示。
2.2.3我省网页放马事件
2015年6月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省存在网页放马网站11个,如图12所示。
三、 6月漏洞数据分析
1、Adobe 产品安全漏洞
Adobe Reader/Acrobat 是流行的处理 PDF 文件的应用程序。本周,上述产品被披露存在未明内存破坏任意代码执行漏洞。攻击者可利用漏洞执行任意代码。 CNVD 收录的相关漏洞包括:Adobe Reader/Acrobat 存在未明内存破坏任意代码执行漏洞(CNVD-2015-03140、CNVD-2015-03139、CNVD-2015-03132、CNVD-2015-03133、CNVD-2015-03134、CNVD-2015-03135、CNVD-2015-03137、CNVD-2015-03138)。上述漏洞的综合评级均为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD 提醒用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
2、Cisco 产品安全漏洞
Cisco TelePresence 是思科公司开发的网真会议解决方案。Cisco Adaptive Security Appliance 是一款自适应安全设备,可提供安全和 VPN 服务的模块。Cisco MediaSense提供录像,回放,流媒体直播,和存储媒体,包括音频和视频,以改善客户服务。Cisco Unified Intelligence Center 是美国思科(Cisco)公司的一套基于 Web 的报表平台。该平台提供报告相关的业务数据和呼叫中心数据的全面展示等功能。Cisco Secure Access Control System 是访问策略控制平台。Cisco WebEx Meetings Server 是一款思科公司推出的思科会议中心实现。本周,上述产品被披露存在多个安全漏洞。攻击者可利用漏洞获取敏感信息,提升权限、执行跨站脚本、跨站请求伪造攻击或发起拒绝服务攻击。CNVD 收录的相关漏洞包括:Cisco TelePresence 高速 IP 报文处理拒绝服务漏洞、Cisco TelePresence 验证绕过权限提升漏洞、Cisco TelePresence 多个产品远程命令注入漏洞、Cisco Web Security Appliance 存在未明跨站脚本漏洞、Cisco MediaSense 跨站请求伪造漏洞、Cisco Unified Intelligence Center 跨站请求伪造漏洞、Cisco Access Control Server 文件包含漏洞、Cisco WebEx Meetings Server 存在多个跨站脚本漏洞。其中,“Cisco TelePresence 高速 IP 报文处理拒绝服务漏洞、Cisco TelePresence 验证绕过权限提升漏洞、Cisco TelePresence 多个产品远程命令注入漏洞”的综合评级均为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD 提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。 四、网络安全术语解释
信息系统:信息系统是指由计算机硬件、软件、网络和通信设备等组成的以处理信息和数据为目的的系统。
漏洞:漏洞是指信息系统中的软件、硬件或通信协议中存在缺陷或不适当的配置,从而可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险。
恶意代码:恶意代码是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序。恶意程序分类说明如下:
①特洛伊木马
特洛伊木马(Trojan Horse)。简称木马,是以盗取用户个人信息,甚至是远程控制用户计算机为主要目的的恶意代码。由于它像间谍一样潜入用户的电脑,与战争中的“木马”战术十分相似,因而得名木马。按照功能,木马程序可进一步分为:盗号木马、网银木马、窃密木马、远程控制木马、流量劫持木马、下载者木马和其它木马7类。
②僵尸程序(Bot)。是用于构建僵尸网络以形成大规模攻击平台的恶意代码。按照使用的通信协议,僵尸程序可进一步分为:IRC僵尸程序、Http僵尸程序、P2P僵尸程序和其它僵尸程序四类。
③.蠕虫(Worm)。是指能自我复制和广泛传播,以占用系统和网络资源为主要目的的恶意代码。按照传播途径,蠕虫可进一步分为:邮件蠕虫、即时消息蠕虫、U盘蠕虫、漏洞利用蠕虫和其它蠕虫五类。
④病毒(Virus)。是指通过感染计算机文件进行传播,以破坏或篡改用户数据,影响信息系统正常运行为主要目的恶意代码。
⑤其它。
僵尸网络:僵尸网络是被黑客集中控制的计算机群,其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为,如可同时对某目标网站进行分布式拒绝服务攻击,或发送大连的垃圾邮件等。
拒绝服务攻击:拒绝服务攻击是向某一目标信息系统发送密集的攻击包,或执行特定攻击操作,以期致使目标系统停止提供服务。
网页篡改:网页篡改是恶意破坏或更改网页内容,使网站无法正常工作或出现黑客插入的非正常网页内容。
网页仿冒:网页仿冒是通过构造与某一目标网站高度相似的页面(俗称钓鱼网站),并通常以垃圾邮件、即时聊天、手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息,诱骗用户访问钓鱼网站,以获取用户个人秘密信息(如银行帐号和帐户密码)。
放马网站:放马网站是通过在网页中嵌入恶意代码或链接,致使用户计算机在访问该页面时被植入恶意代码。
网站后门:网站后门事件是指黑客在网络的特定目录中上传远程控制页面,从而能够通过该页面秘密远程控制网站服务器的攻击事件。
CNVD:国家信息安全漏洞共享平台是由国家计算机网络应急技术处理协调中心联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。
本文来源: 通信管理局
17.08.2015 18:54
故
事