良中差危优CNCERT互联网安全威胁报告
drupal中文 时间:2021-04-12 阅读:()
2018年7月总第91期热线电话:+861082990999(中文),82991000(英文)传真:+861082990399电子邮件:cncert@cert.
org.
cnPGPKey:http://www.
cert.
org.
cn/cncert.
asc网址:http://www.
cert.
org.
cn/摘要:本报告以CNCERT监测数据和通报成员单位报送数据作为主要依据,对我国互联网面临的各类安全威胁进行总体态势分析,并对重要预警信息和典型安全事件进行探讨.
2018年7月,互联网网络安全状况整体评价为良.
主要数据如下:境内感染网络病毒的终端数为近86万个;境内被篡改网站数量为1,658个,其中被篡改政府网站数量为55个;境内被植入后门的网站数量为3,019个,其中政府网站有96个;针对境内网站的仿冒页面数量为4,967个;国家信息安全漏洞共享平台(CNVD)收集整理信息系统安全漏洞1,020个,其中,高危漏洞280个,可被利用来实施远程攻击的漏洞有926个.
国家互联网应急中心www.
cert.
org.
cn关于国家互联网应急中心(CNCERT)国家互联网应急中心是国家计算机网络应急技术处理协调中心的简称(英文简称为CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
2003年,CNCERT在全国31个省(直辖市、自治区)成立分中心.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
CNCERT的业务能力如下:事件发现——依托"公共互联网网络安全监测平台",开展对基础信息网络、金融证券等重要信息系统、移动互联网服务提供商、增值电信企业等安全事件的自主监测.
同时还通过与国内外合作伙伴进行数据和信息共享,以及通过热线电话、传真、电子邮件、网站等接收国内外用户的网络安全事件报告等多种渠道发现网络攻击威胁和网络安全事件.
预警通报——依托对丰富数据资源的综合分析和多渠道的信息获取,实现网络安全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分析等,为用户单位提供互联网网络安全态势信息通报、网络安全技术和资源信息共享等服务.
应急处置——对于自主发现和接收到的危害较大的事件报告,CNCERT及时响应并积极协调处置,重点处置的事件包括:影响互联网运行安全的事件、波及较大范围互联网用户的事件、涉及重要政府部门和重要信息系统的事件、用户投诉造成较大影响的事件,以及境外国家级应急组织投诉的各类网络安全事件等.
测试评估——作为网络安全检测、评估的专业机构,按照"支撑监管,服务社会"的原则,以科学的方法、规范的程序、公正的态度、独立的判断,按照相关标准为政府部门、企事业单位提供安全评测服务.
CNCERT还组织通信网络安全相关标准制定,参与电信网和互联网安全防护系列标准的编制等.
同时,作为中国非政府层面开展网络安全事件跨境处置协助的重要窗口,CNCERT积极开展国际合作,致力于构建跨境网络安全事件的快速响应和协调处置机制.
CNCERT为国际著名网络安全合作组织FIRST正式成员以及亚太应急组织APCERT的发起人之一.
截止2017年,CNCERT与72个国家和地区的211个组织建立了"CNCERT国际合作伙伴"关系.
国家互联网应急中心www.
cert.
org.
cn版权及免责声明《CNCERT互联网安全威胁报告》(以下简称"报告")为国家计算机网络应急技术处理协调中心(简称国家互联网应急中心,CNCERT或CNCERT/CC)的电子刊物,由CNCERT编制并拥有版权.
报告中凡摘录或引用内容均已指明出处,其版权归相应单位所有.
本报告所有权利及许可由CNCERT进行管理,未经CNCERT同意,任何单位或个人不得将本报告以及其中内容转发或用于其他用途.
CNCERT力争保证本报告的准确性和可靠性,其中的信息、数据、图片等仅供参考,不作为您个人或您企业实施安全决策的依据,CNCERT不承担与此相关的一切法律责任.
编者按:感谢您阅读《CNCERT互联网安全威胁报告》,如果您发现本报告存在任何问题,请您及时与我们联系,来信地址为:cncert@cert.
org.
cn.
国家互联网应急中心www.
cert.
org.
cn1本月网络安全基本态势分析2018年7月,互联网网络安全状况整体评价为良.
我国基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件.
在我国互联网网络安全环境方面,除境内木马或僵尸程序控制服务器IP地址数目、境内被植入后门的网站数量和仿冒境内网站的页面数量较上月有所增长,其他各类网络安全事件数量均有不同程度的下降.
总体上,7月公共互联网网络安全态势较上月有所好转,但评价指数在良的区间.
基础网络安全2018年7月,我国基础网络运行总体平稳,互联网骨干网各项监测指标正常,未出现省级行政区域以上的造成较大影响的基础网络运行故障,未发生较大以上网络安全事件.
重要联网信息系统安全本月,监测发现境内政府网站被篡改的数量为55个,与上月的45个相比增长22.
2%,占境内被篡改网站的比例由2.
7%上升到3.
3%;境内政府网站被植入后门的数量为96个,与上月的69个相比增长39.
1%,占境内被植入后门网站的比例由2.
5%上升到3.
2%;针对境内网站的仿冒页面数量为4,967个,较上月的3,963个增长25.
3%.
国家信息安全漏洞共享平台(CNVD1)共协调处置了994起涉及我国政府部门以及银行、民航等重要信息系统部门以及电信、传媒、公共卫生、教育等相关行业的漏洞事件.
注1:CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
国家互联网应急中心www.
cert.
org.
cn2公共网络环境安全2018年7月,根据CNCERT的监测数据和通信行业报送数据,我国互联网网络安全环境主要指标情况如下:网络病毒2活动情况方面,境内感染网络病毒的终端数为近86万个,较上月下降0.
3%;各安全企业报送的恶意代码捕获数量中,瑞星公司截获的病毒数量较上月下降8.
9%,新增病毒数量较上月增长0.
1%;安天公司捕获的样本总数较上月下降0.
6%,新增病毒种类较上月增长6.
4%;猎豹移动报送的计算机病毒事件数量较上月下降0.
5%.
网站安全方面,境内被篡改网站数量为1,658个,较上月下降0.
7%;境内被植入后门的网站数量为3,019个,较上月增长10.
4%;针对境内网站的仿冒页面有4,967个,较上月增长25.
3%;各安全企业报送的网页挂马情况中,奇虎360公司报送的网页挂马事件数量较上月下降33.
3%.
安全漏洞方面,本月CNVD共收集整理信息系统安全漏洞1,020个,与上月持平.
其中高危漏洞280个,较上月下降20.
7%;可被利用来实施远程攻击的漏洞有926个,较上月下降0.
3%.
事件受理方面,CNCERT接收到网络安全事件报告8,935件,较上月下降了2.
7%,数量最多的分别是网页仿冒类事件2,766件、恶意程序类事件2,082件.
事件处理方面,CNCERT处理了网络安全事件8,935件,数量最多的分别是网页仿冒类事件2,876件、恶意程序类事件2,097件.
注2:一般情况下,恶意代码是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序.
其中,网络病毒是特指有网络通信行为的恶意代码.
6月,CNCERT在对恶意代码进行抽样监测时,对551种木马家族和83种僵尸程序家族进行了抽样监测.
国家互联网应急中心www.
cert.
org.
cn3本月网络安全主要数据网络病毒监测数据分析2018年7月,境内感染网络病毒的终端数为近86万个.
其中,境内近58万个IP地址对应的主机被木马或僵尸程序控制,与上月的56万余个相比增长2.
9%.
木马僵尸网络监测数据分析2018年7月,境内近58万个IP地址对应的主机被木马或僵尸程序控制,按地区分布感染数量排名前三位的分别是广东省、河南省、山东省.
木马或僵尸网络控制服务器IP总数为80,796个.
其中,境内木马或僵尸程序控制服务器IP有17,010个,按地区分布数量排名前三位的分别为广东省、浙江省、北京市.
境外木马或僵尸程序控制服务器IP有63,786个,主要分布于美国、日本、韩国.
其中,位于美国的控制服务器控制了境内298,697个主机IP,控制境内主机IP数量居首位,其次是位于加拿大和德国的IP地址,分别控制了境内21,476个和14,925个主机IP.
移动互联网恶意程序监测数据分析2018年7月,CNCERT针对目前流行的信息窃取类、恶意扣费类和敲诈勒索类典型移动恶意程序进行分析,发现信息窃取类恶意程序样本1800个,恶意扣费类恶意程序样本3726个,敲诈勒索类恶意程序样本591个.
2018年7月,CNCERT向应用商店、个人网站、广告平台、云平台等传播渠道通报下架移动互联网恶意程序669个.
其中,资费消耗类的恶意程序数量居首位,为240个(占46.
15%),流氓行为类237个国家互联网应急中心www.
cert.
org.
cn4(占45.
58%)、信息窃取类19个(占3.
65%)分列第二、三位.
网络病毒捕获和传播情况网络病毒主要针对一些防护比较薄弱,特别是访问量较大的网站通过网页挂马的方式进行传播.
当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终"放马"的站点下载网络病毒.
网络病毒在传播过程中,往往需要利用黑客注册的大量域名.
2018年7月,CNCERT监测发现的放马站点中,通过域名访问的共涉及有6,613个域名,通过IP直接访问的共涉及有1,478个IP.
在6,613个放马站点域名中,于境内注册的域名数为5,072个(约占76.
7%),于境外注册的域名数为939个(约占14.
2%).
放马站点域名所属顶级域名排名前5位的具体情况如表所示.
表2018年7月活跃恶意域名所属顶级域名排序顶级域名(TLD)类别恶意域名数量1.
COM通用顶级域名(gTLD)255772.
CN国家顶级域名(ccTLD)70403.
NET通用顶级域名(gTLD)15974.
ORG通用顶级域名(gTLD)2165.
CC通用顶级域名(gTLD)129网站安全数据分析境内网站被篡改情况2018年7月,境内被篡改网站的数量为1,658个,境内被篡改网站数量按地区分布排名前三位的分别是广东省、北京市、上海市.
按网站类型统计,被篡改数量最多的是.
COM域名类网站,其多为商业类网站;值得注意的是,被篡改的.
GOV域名类网站有55个,占境内被篡改网站的比例为3.
3%.
国家互联网应急中心www.
cert.
org.
cn5境内网站被植入后门情况2018年7月,境内被植入后门的网站数量为3,019个,境内被植入后门的网站数量按地区分布排名前三位的分别是广东省、北京市、河南省.
按网站类型统计,被植入后门数量最多的是.
COM域名类网站,其多为商业类网站;值得注意的是,被植入后门的.
GOV域名类网站有96个,占境内被植入后门网站的比例为3.
2%.
2018年7月,境外1,052个IP地址通过植入后门对境内2,216个网站实施远程控制.
其中,境外IP地址主要位于美国、罗马尼亚和中国香港等国家或地区.
从境外IP地址通过植入后门控制境内网站数量来看,来自美国的IP地址共向境内529个网站植入了后门程序,入侵网站数量居首位;其次是来自中国香港和乌克兰的IP地址,分别向境内415个和395个网站植入了后门程序.
境内网站被仿冒情况22018年7月,CNCERT共监测到针对境内网站的仿冒页面有4,967个,涉及域名1,682个,IP地址591个,平均每个IP地址承载8个仿冒页面.
在这591个IP中,99.
2%位于境外,主要位于中国香港和美国.
漏洞数据分析2018年7月,CNVD收集整理信息系统安全漏洞1,020个.
其中,高危漏洞280个,可被利用来实施远程攻击的漏洞有926个.
受影响的软硬件系统厂商包括Adobe、Cisco、Drupal、Google、IBM、Linux、Microsoft、Mozilla、WordPress等.
根据漏洞影响对象的类型,漏洞可分为操作系统漏洞、应用程序漏洞、WEB应用漏洞、数据库漏洞、网络设备漏洞(如路由器、交换机等)和安全产品漏洞(如防火墙、入侵检测系统等).
本月CNVD收集整理的漏洞中,按漏洞类型分布排名前三位的分别是应用程序漏洞、WEB应用漏洞、网络设备漏洞.
国家互联网应急中心www.
cert.
org.
cn6网络安全事件接收与处理情况事件接收情况2018年7月,CNCERT收到国内外通过电子邮件、热线电话、网站提交、传真等方式报告的网络安全事件8,785件(合并了通过不同方式报告的同一网络安全事件,且不包括扫描和垃圾邮件类事件),其中来自国外的事件报告有27件.
在8,785件事件报告中,排名前三位的安全事件分别是网页仿冒、恶意程序、漏洞.
事件处理情况对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件,以及自主监测发现的网络安全事件,CNCERT每日根据事件的影响范围和存活性、涉及用户的性质等因素,筛选重要事件进行协调处理.
2018年7月,CNCERT以及各省分中心共同协调处理了8,935安全事件.
其中网页仿冒、恶意程序类事件处理数量较多.
国家互联网应急中心www.
cert.
org.
cn7附:术语解释信息系统信息系统是指由计算机硬件、软件、网络和通信设备等组成的以处理信息和数据为目的的系统.
漏洞漏洞是指信息系统中的软件、硬件或通信协议中存在缺陷或不适当的配置,从而可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险.
恶意程序恶意程序是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序.
恶意程序分类说明如下:1.
特洛伊木马(TrojanHorse)特洛伊木马(简称木马)是以盗取用户个人信息,甚至是远程控制用户计算机为主要目的的恶意代码.
由于它像间谍一样潜入用户的电脑,与战争中的"木马"战术十分相似,因而得名木马.
按照功能,木马程序可进一步分为:盗号木马3、网银木马4、窃密木马5、远程控制木马6、流量劫持木马7、下载者木马8和其它木马七类.
2.
僵尸程序(Bot)僵尸程序是用于构建大规模攻击平台的恶意代码.
按照使用的通信协议,僵尸程序可进一步分为:IRC僵尸程序、Http僵尸程序、P2P僵尸程序和其它僵尸程序四类.
3.
蠕虫(Worm)蠕虫是指能自我复制和广泛传播,以占用系统和网络资源为主要目的的恶意代码.
按照传播途径,蠕虫可进一步分为:邮件蠕虫、即时消息蠕注3:盗号木马是用于窃取用户电子邮箱、网络游戏等账号的木马.
注4:网银木马是用于窃取用户网银、证券等账号的木马.
注5:窃密木马是用于窃取用户主机中敏感文件或数据的木马.
注6:远程控制木马是以不正当手段获得主机管理员权限,并能够通过网络操控用户主机的木马.
注7:流量劫持木马是用于劫持用户网络浏览的流量到攻击者指定站点的木马.
注8:下载者木马是用于下载更多恶意代码到用户主机并运行,以进一步操控用户主机的木马.
国家互联网应急中心www.
cert.
org.
cn8虫、U盘蠕虫、漏洞利用蠕虫和其它蠕虫五类.
4.
病毒(Virus)病毒是通过感染计算机文件进行传播,以破坏或篡改用户数据,影响信息系统正常运行为主要目的恶意代码.
5.
其它上述分类未包含的其它恶意代码.
随着黑客地下产业链的发展,互联网上出现的一些恶意代码还具有上述分类中的多重功能属性和技术特点,并不断发展.
对此,我们将按照恶意代码的主要用途参照上述定义进行归类.
僵尸网络僵尸网络是被黑客集中控制的计算机群,其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为,如可同时对某目标网站进行分布式拒绝服务攻击,或发送大量的垃圾邮件,或进行"挖矿"等.
拒绝服务攻击拒绝服务攻击是向某一目标信息系统发送密集的攻击包,或执行特定攻击操作,以期致使目标系统停止提供服务.
网页篡改网页篡改是恶意破坏或更改网页内容,使网站无法正常工作或出现黑客插入的非正常网页内容.
网页仿冒网页仿冒是通过构造与某一目标网站高度相似的页面(俗称钓鱼网站),并通常以垃圾邮件、即时聊天、手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息,诱骗用户访问钓鱼网站,以获取用户个人秘密信息(如银行帐号和帐户密码).
网页挂马网页挂马是通过在网页中嵌入恶意代码或链接,致使用户计算机在访问该页面时被植入恶意代码.
网站后门网站后门事件是指黑客在网站的特定目录中上传远程控制页面从而能够通国家互联网应急中心www.
cert.
org.
cn9过该页面秘密远程控制网站服务器的攻击事件.
垃圾邮件垃圾邮件是将不需要的消息(通常是未经请求的广告)发送给众多收件人.
包括:(一)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件;(二)收件人无法拒收的电子邮件;(三)隐藏发件人身份、地址、标题等信息的电子邮件;(四)含有虚假的信息源、发件人、路由等信息的电子邮件.
域名劫持域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据,使得用户在访问相关域名时返回虚假IP地址或使用户的请求失败.
非授权访问非授权访问是没有访问权限的用户以非正当的手段访问数据信息.
非授权访问事件一般发生在存在漏洞的信息系统中,黑客利用专门的漏洞利用程序(Exploit)来获取信息系统访问权限.
移动互联网恶意程序在用户不知情或未授权的情况下,在移动终端系统中安装、运行以达到不正当目的,或具有违反国家相关法律法规行为的可执行文件、程序模块或程序片段.
org.
cnPGPKey:http://www.
cert.
org.
cn/cncert.
asc网址:http://www.
cert.
org.
cn/摘要:本报告以CNCERT监测数据和通报成员单位报送数据作为主要依据,对我国互联网面临的各类安全威胁进行总体态势分析,并对重要预警信息和典型安全事件进行探讨.
2018年7月,互联网网络安全状况整体评价为良.
主要数据如下:境内感染网络病毒的终端数为近86万个;境内被篡改网站数量为1,658个,其中被篡改政府网站数量为55个;境内被植入后门的网站数量为3,019个,其中政府网站有96个;针对境内网站的仿冒页面数量为4,967个;国家信息安全漏洞共享平台(CNVD)收集整理信息系统安全漏洞1,020个,其中,高危漏洞280个,可被利用来实施远程攻击的漏洞有926个.
国家互联网应急中心www.
cert.
org.
cn关于国家互联网应急中心(CNCERT)国家互联网应急中心是国家计算机网络应急技术处理协调中心的简称(英文简称为CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
2003年,CNCERT在全国31个省(直辖市、自治区)成立分中心.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
CNCERT的业务能力如下:事件发现——依托"公共互联网网络安全监测平台",开展对基础信息网络、金融证券等重要信息系统、移动互联网服务提供商、增值电信企业等安全事件的自主监测.
同时还通过与国内外合作伙伴进行数据和信息共享,以及通过热线电话、传真、电子邮件、网站等接收国内外用户的网络安全事件报告等多种渠道发现网络攻击威胁和网络安全事件.
预警通报——依托对丰富数据资源的综合分析和多渠道的信息获取,实现网络安全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分析等,为用户单位提供互联网网络安全态势信息通报、网络安全技术和资源信息共享等服务.
应急处置——对于自主发现和接收到的危害较大的事件报告,CNCERT及时响应并积极协调处置,重点处置的事件包括:影响互联网运行安全的事件、波及较大范围互联网用户的事件、涉及重要政府部门和重要信息系统的事件、用户投诉造成较大影响的事件,以及境外国家级应急组织投诉的各类网络安全事件等.
测试评估——作为网络安全检测、评估的专业机构,按照"支撑监管,服务社会"的原则,以科学的方法、规范的程序、公正的态度、独立的判断,按照相关标准为政府部门、企事业单位提供安全评测服务.
CNCERT还组织通信网络安全相关标准制定,参与电信网和互联网安全防护系列标准的编制等.
同时,作为中国非政府层面开展网络安全事件跨境处置协助的重要窗口,CNCERT积极开展国际合作,致力于构建跨境网络安全事件的快速响应和协调处置机制.
CNCERT为国际著名网络安全合作组织FIRST正式成员以及亚太应急组织APCERT的发起人之一.
截止2017年,CNCERT与72个国家和地区的211个组织建立了"CNCERT国际合作伙伴"关系.
国家互联网应急中心www.
cert.
org.
cn版权及免责声明《CNCERT互联网安全威胁报告》(以下简称"报告")为国家计算机网络应急技术处理协调中心(简称国家互联网应急中心,CNCERT或CNCERT/CC)的电子刊物,由CNCERT编制并拥有版权.
报告中凡摘录或引用内容均已指明出处,其版权归相应单位所有.
本报告所有权利及许可由CNCERT进行管理,未经CNCERT同意,任何单位或个人不得将本报告以及其中内容转发或用于其他用途.
CNCERT力争保证本报告的准确性和可靠性,其中的信息、数据、图片等仅供参考,不作为您个人或您企业实施安全决策的依据,CNCERT不承担与此相关的一切法律责任.
编者按:感谢您阅读《CNCERT互联网安全威胁报告》,如果您发现本报告存在任何问题,请您及时与我们联系,来信地址为:cncert@cert.
org.
cn.
国家互联网应急中心www.
cert.
org.
cn1本月网络安全基本态势分析2018年7月,互联网网络安全状况整体评价为良.
我国基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件.
在我国互联网网络安全环境方面,除境内木马或僵尸程序控制服务器IP地址数目、境内被植入后门的网站数量和仿冒境内网站的页面数量较上月有所增长,其他各类网络安全事件数量均有不同程度的下降.
总体上,7月公共互联网网络安全态势较上月有所好转,但评价指数在良的区间.
基础网络安全2018年7月,我国基础网络运行总体平稳,互联网骨干网各项监测指标正常,未出现省级行政区域以上的造成较大影响的基础网络运行故障,未发生较大以上网络安全事件.
重要联网信息系统安全本月,监测发现境内政府网站被篡改的数量为55个,与上月的45个相比增长22.
2%,占境内被篡改网站的比例由2.
7%上升到3.
3%;境内政府网站被植入后门的数量为96个,与上月的69个相比增长39.
1%,占境内被植入后门网站的比例由2.
5%上升到3.
2%;针对境内网站的仿冒页面数量为4,967个,较上月的3,963个增长25.
3%.
国家信息安全漏洞共享平台(CNVD1)共协调处置了994起涉及我国政府部门以及银行、民航等重要信息系统部门以及电信、传媒、公共卫生、教育等相关行业的漏洞事件.
注1:CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
国家互联网应急中心www.
cert.
org.
cn2公共网络环境安全2018年7月,根据CNCERT的监测数据和通信行业报送数据,我国互联网网络安全环境主要指标情况如下:网络病毒2活动情况方面,境内感染网络病毒的终端数为近86万个,较上月下降0.
3%;各安全企业报送的恶意代码捕获数量中,瑞星公司截获的病毒数量较上月下降8.
9%,新增病毒数量较上月增长0.
1%;安天公司捕获的样本总数较上月下降0.
6%,新增病毒种类较上月增长6.
4%;猎豹移动报送的计算机病毒事件数量较上月下降0.
5%.
网站安全方面,境内被篡改网站数量为1,658个,较上月下降0.
7%;境内被植入后门的网站数量为3,019个,较上月增长10.
4%;针对境内网站的仿冒页面有4,967个,较上月增长25.
3%;各安全企业报送的网页挂马情况中,奇虎360公司报送的网页挂马事件数量较上月下降33.
3%.
安全漏洞方面,本月CNVD共收集整理信息系统安全漏洞1,020个,与上月持平.
其中高危漏洞280个,较上月下降20.
7%;可被利用来实施远程攻击的漏洞有926个,较上月下降0.
3%.
事件受理方面,CNCERT接收到网络安全事件报告8,935件,较上月下降了2.
7%,数量最多的分别是网页仿冒类事件2,766件、恶意程序类事件2,082件.
事件处理方面,CNCERT处理了网络安全事件8,935件,数量最多的分别是网页仿冒类事件2,876件、恶意程序类事件2,097件.
注2:一般情况下,恶意代码是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序.
其中,网络病毒是特指有网络通信行为的恶意代码.
6月,CNCERT在对恶意代码进行抽样监测时,对551种木马家族和83种僵尸程序家族进行了抽样监测.
国家互联网应急中心www.
cert.
org.
cn3本月网络安全主要数据网络病毒监测数据分析2018年7月,境内感染网络病毒的终端数为近86万个.
其中,境内近58万个IP地址对应的主机被木马或僵尸程序控制,与上月的56万余个相比增长2.
9%.
木马僵尸网络监测数据分析2018年7月,境内近58万个IP地址对应的主机被木马或僵尸程序控制,按地区分布感染数量排名前三位的分别是广东省、河南省、山东省.
木马或僵尸网络控制服务器IP总数为80,796个.
其中,境内木马或僵尸程序控制服务器IP有17,010个,按地区分布数量排名前三位的分别为广东省、浙江省、北京市.
境外木马或僵尸程序控制服务器IP有63,786个,主要分布于美国、日本、韩国.
其中,位于美国的控制服务器控制了境内298,697个主机IP,控制境内主机IP数量居首位,其次是位于加拿大和德国的IP地址,分别控制了境内21,476个和14,925个主机IP.
移动互联网恶意程序监测数据分析2018年7月,CNCERT针对目前流行的信息窃取类、恶意扣费类和敲诈勒索类典型移动恶意程序进行分析,发现信息窃取类恶意程序样本1800个,恶意扣费类恶意程序样本3726个,敲诈勒索类恶意程序样本591个.
2018年7月,CNCERT向应用商店、个人网站、广告平台、云平台等传播渠道通报下架移动互联网恶意程序669个.
其中,资费消耗类的恶意程序数量居首位,为240个(占46.
15%),流氓行为类237个国家互联网应急中心www.
cert.
org.
cn4(占45.
58%)、信息窃取类19个(占3.
65%)分列第二、三位.
网络病毒捕获和传播情况网络病毒主要针对一些防护比较薄弱,特别是访问量较大的网站通过网页挂马的方式进行传播.
当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终"放马"的站点下载网络病毒.
网络病毒在传播过程中,往往需要利用黑客注册的大量域名.
2018年7月,CNCERT监测发现的放马站点中,通过域名访问的共涉及有6,613个域名,通过IP直接访问的共涉及有1,478个IP.
在6,613个放马站点域名中,于境内注册的域名数为5,072个(约占76.
7%),于境外注册的域名数为939个(约占14.
2%).
放马站点域名所属顶级域名排名前5位的具体情况如表所示.
表2018年7月活跃恶意域名所属顶级域名排序顶级域名(TLD)类别恶意域名数量1.
COM通用顶级域名(gTLD)255772.
CN国家顶级域名(ccTLD)70403.
NET通用顶级域名(gTLD)15974.
ORG通用顶级域名(gTLD)2165.
CC通用顶级域名(gTLD)129网站安全数据分析境内网站被篡改情况2018年7月,境内被篡改网站的数量为1,658个,境内被篡改网站数量按地区分布排名前三位的分别是广东省、北京市、上海市.
按网站类型统计,被篡改数量最多的是.
COM域名类网站,其多为商业类网站;值得注意的是,被篡改的.
GOV域名类网站有55个,占境内被篡改网站的比例为3.
3%.
国家互联网应急中心www.
cert.
org.
cn5境内网站被植入后门情况2018年7月,境内被植入后门的网站数量为3,019个,境内被植入后门的网站数量按地区分布排名前三位的分别是广东省、北京市、河南省.
按网站类型统计,被植入后门数量最多的是.
COM域名类网站,其多为商业类网站;值得注意的是,被植入后门的.
GOV域名类网站有96个,占境内被植入后门网站的比例为3.
2%.
2018年7月,境外1,052个IP地址通过植入后门对境内2,216个网站实施远程控制.
其中,境外IP地址主要位于美国、罗马尼亚和中国香港等国家或地区.
从境外IP地址通过植入后门控制境内网站数量来看,来自美国的IP地址共向境内529个网站植入了后门程序,入侵网站数量居首位;其次是来自中国香港和乌克兰的IP地址,分别向境内415个和395个网站植入了后门程序.
境内网站被仿冒情况22018年7月,CNCERT共监测到针对境内网站的仿冒页面有4,967个,涉及域名1,682个,IP地址591个,平均每个IP地址承载8个仿冒页面.
在这591个IP中,99.
2%位于境外,主要位于中国香港和美国.
漏洞数据分析2018年7月,CNVD收集整理信息系统安全漏洞1,020个.
其中,高危漏洞280个,可被利用来实施远程攻击的漏洞有926个.
受影响的软硬件系统厂商包括Adobe、Cisco、Drupal、Google、IBM、Linux、Microsoft、Mozilla、WordPress等.
根据漏洞影响对象的类型,漏洞可分为操作系统漏洞、应用程序漏洞、WEB应用漏洞、数据库漏洞、网络设备漏洞(如路由器、交换机等)和安全产品漏洞(如防火墙、入侵检测系统等).
本月CNVD收集整理的漏洞中,按漏洞类型分布排名前三位的分别是应用程序漏洞、WEB应用漏洞、网络设备漏洞.
国家互联网应急中心www.
cert.
org.
cn6网络安全事件接收与处理情况事件接收情况2018年7月,CNCERT收到国内外通过电子邮件、热线电话、网站提交、传真等方式报告的网络安全事件8,785件(合并了通过不同方式报告的同一网络安全事件,且不包括扫描和垃圾邮件类事件),其中来自国外的事件报告有27件.
在8,785件事件报告中,排名前三位的安全事件分别是网页仿冒、恶意程序、漏洞.
事件处理情况对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件,以及自主监测发现的网络安全事件,CNCERT每日根据事件的影响范围和存活性、涉及用户的性质等因素,筛选重要事件进行协调处理.
2018年7月,CNCERT以及各省分中心共同协调处理了8,935安全事件.
其中网页仿冒、恶意程序类事件处理数量较多.
国家互联网应急中心www.
cert.
org.
cn7附:术语解释信息系统信息系统是指由计算机硬件、软件、网络和通信设备等组成的以处理信息和数据为目的的系统.
漏洞漏洞是指信息系统中的软件、硬件或通信协议中存在缺陷或不适当的配置,从而可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险.
恶意程序恶意程序是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序.
恶意程序分类说明如下:1.
特洛伊木马(TrojanHorse)特洛伊木马(简称木马)是以盗取用户个人信息,甚至是远程控制用户计算机为主要目的的恶意代码.
由于它像间谍一样潜入用户的电脑,与战争中的"木马"战术十分相似,因而得名木马.
按照功能,木马程序可进一步分为:盗号木马3、网银木马4、窃密木马5、远程控制木马6、流量劫持木马7、下载者木马8和其它木马七类.
2.
僵尸程序(Bot)僵尸程序是用于构建大规模攻击平台的恶意代码.
按照使用的通信协议,僵尸程序可进一步分为:IRC僵尸程序、Http僵尸程序、P2P僵尸程序和其它僵尸程序四类.
3.
蠕虫(Worm)蠕虫是指能自我复制和广泛传播,以占用系统和网络资源为主要目的的恶意代码.
按照传播途径,蠕虫可进一步分为:邮件蠕虫、即时消息蠕注3:盗号木马是用于窃取用户电子邮箱、网络游戏等账号的木马.
注4:网银木马是用于窃取用户网银、证券等账号的木马.
注5:窃密木马是用于窃取用户主机中敏感文件或数据的木马.
注6:远程控制木马是以不正当手段获得主机管理员权限,并能够通过网络操控用户主机的木马.
注7:流量劫持木马是用于劫持用户网络浏览的流量到攻击者指定站点的木马.
注8:下载者木马是用于下载更多恶意代码到用户主机并运行,以进一步操控用户主机的木马.
国家互联网应急中心www.
cert.
org.
cn8虫、U盘蠕虫、漏洞利用蠕虫和其它蠕虫五类.
4.
病毒(Virus)病毒是通过感染计算机文件进行传播,以破坏或篡改用户数据,影响信息系统正常运行为主要目的恶意代码.
5.
其它上述分类未包含的其它恶意代码.
随着黑客地下产业链的发展,互联网上出现的一些恶意代码还具有上述分类中的多重功能属性和技术特点,并不断发展.
对此,我们将按照恶意代码的主要用途参照上述定义进行归类.
僵尸网络僵尸网络是被黑客集中控制的计算机群,其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为,如可同时对某目标网站进行分布式拒绝服务攻击,或发送大量的垃圾邮件,或进行"挖矿"等.
拒绝服务攻击拒绝服务攻击是向某一目标信息系统发送密集的攻击包,或执行特定攻击操作,以期致使目标系统停止提供服务.
网页篡改网页篡改是恶意破坏或更改网页内容,使网站无法正常工作或出现黑客插入的非正常网页内容.
网页仿冒网页仿冒是通过构造与某一目标网站高度相似的页面(俗称钓鱼网站),并通常以垃圾邮件、即时聊天、手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息,诱骗用户访问钓鱼网站,以获取用户个人秘密信息(如银行帐号和帐户密码).
网页挂马网页挂马是通过在网页中嵌入恶意代码或链接,致使用户计算机在访问该页面时被植入恶意代码.
网站后门网站后门事件是指黑客在网站的特定目录中上传远程控制页面从而能够通国家互联网应急中心www.
cert.
org.
cn9过该页面秘密远程控制网站服务器的攻击事件.
垃圾邮件垃圾邮件是将不需要的消息(通常是未经请求的广告)发送给众多收件人.
包括:(一)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件;(二)收件人无法拒收的电子邮件;(三)隐藏发件人身份、地址、标题等信息的电子邮件;(四)含有虚假的信息源、发件人、路由等信息的电子邮件.
域名劫持域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据,使得用户在访问相关域名时返回虚假IP地址或使用户的请求失败.
非授权访问非授权访问是没有访问权限的用户以非正当的手段访问数据信息.
非授权访问事件一般发生在存在漏洞的信息系统中,黑客利用专门的漏洞利用程序(Exploit)来获取信息系统访问权限.
移动互联网恶意程序在用户不知情或未授权的情况下,在移动终端系统中安装、运行以达到不正当目的,或具有违反国家相关法律法规行为的可执行文件、程序模块或程序片段.
- 良中差危优CNCERT互联网安全威胁报告相关文档
- 公司drupal中文
- 研究drupal中文
- 清华紫光drupal中文
- 科大drupal中文
- 紫光drupal中文
- 应力bisar3.0中文使用手册word版
EdgeNat 新年开通优惠 - 韩国独立服务器原生IP地址CN2线路七折优惠
EdgeNat 商家在之前也有分享过几次活动,主要提供香港和韩国的VPS主机,分别在沙田和首尔LG机房,服务器均为自营硬件,电信CN2线路,移动联通BGP直连,其中VPS主机基于KVM架构,宿主机采用四路E5处理器、raid10+BBU固态硬盘!最高可以提供500Gbps DDoS防御。这次开年活动中有提供七折优惠的韩国独立服务器,原生IP地址CN2线路。第一、优惠券活动EdgeNat优惠码(限月...
[6.18]DogYun:充100送10元,态云7折,经典云8折,独立服务器月省100元,幸运大转盘最高5折
DogYun是一家2019年成立的国人主机商,提供VPS和独立服务器租用等,数据中心包括中国香港、美国洛杉矶、日本、韩国、德国、荷兰等,其中VPS包括常规VPS(经典云)和按小时计费VPS(动态云),使用自行开发的面板和管理系统,支持自定义配置,动态云各个硬件独立按小时计费,带宽按照用户使用量计费(不使用不计费)或者购买流量包,线路也可以自行切换。目前商家发布了6.18促销方案,新购动态云7折,经...
随风云25元/月 ,德阳高防云服务器 2核2G 10M 75元/月 内蒙古三线BGP服务器 2核2G 5M
公司介绍成都随风云科技有限公司成立于2021年,是国内领先的互联网业务平台服务提供商。公司专注为用户提供低价高性能云计算产品,致力于云计算应用的易用性开发,并引导云计算在国内普及。目前公司研发以及运营云服务基础设施服务平台(IaaS),面向全球客户提供基于云计算的IT解决方案与客户服务,拥有丰富的国内BGP、双线高防、香港等优质的IDC资源。公司一直秉承”以人为本、客户为尊、永续创新&...
drupal中文为你推荐
-
linux防火墙设置怎么更改linux的防火墙设置?filezilla_serverFileZilla无法连接服务器怎么解决刚刚网女友刚开始用震动棒很舒服身上抽搐时,她说疼不让用了,是真的疼还是太刺激她受不了?地址栏图标电脑地址栏上的所有图标怎么找?本帖隐藏的内容怎么设置本帖隐藏的内容需要回复才可以浏览推荐位关于橱窗推荐位规则的描述哪个是错误的joomla模板为什么joomla模板安装后跟模板演示的不一样localsettingss盘什么里的Local Settings这个文件是什么显示ip为什么手机上IP地址显示不可用??b2b程序阿里巴巴B2B流程是怎样的,麻烦大家帮帮忙,谢谢了