良中差危优CNCERT互联网安全威胁报告

drupal中文  时间:2021-04-12  阅读:()
2018年7月总第91期热线电话:+861082990999(中文),82991000(英文)传真:+861082990399电子邮件:cncert@cert.
org.
cnPGPKey:http://www.
cert.
org.
cn/cncert.
asc网址:http://www.
cert.
org.
cn/摘要:本报告以CNCERT监测数据和通报成员单位报送数据作为主要依据,对我国互联网面临的各类安全威胁进行总体态势分析,并对重要预警信息和典型安全事件进行探讨.
2018年7月,互联网网络安全状况整体评价为良.
主要数据如下:境内感染网络病毒的终端数为近86万个;境内被篡改网站数量为1,658个,其中被篡改政府网站数量为55个;境内被植入后门的网站数量为3,019个,其中政府网站有96个;针对境内网站的仿冒页面数量为4,967个;国家信息安全漏洞共享平台(CNVD)收集整理信息系统安全漏洞1,020个,其中,高危漏洞280个,可被利用来实施远程攻击的漏洞有926个.
国家互联网应急中心www.
cert.
org.
cn关于国家互联网应急中心(CNCERT)国家互联网应急中心是国家计算机网络应急技术处理协调中心的简称(英文简称为CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
2003年,CNCERT在全国31个省(直辖市、自治区)成立分中心.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
CNCERT的业务能力如下:事件发现——依托"公共互联网网络安全监测平台",开展对基础信息网络、金融证券等重要信息系统、移动互联网服务提供商、增值电信企业等安全事件的自主监测.
同时还通过与国内外合作伙伴进行数据和信息共享,以及通过热线电话、传真、电子邮件、网站等接收国内外用户的网络安全事件报告等多种渠道发现网络攻击威胁和网络安全事件.
预警通报——依托对丰富数据资源的综合分析和多渠道的信息获取,实现网络安全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分析等,为用户单位提供互联网网络安全态势信息通报、网络安全技术和资源信息共享等服务.
应急处置——对于自主发现和接收到的危害较大的事件报告,CNCERT及时响应并积极协调处置,重点处置的事件包括:影响互联网运行安全的事件、波及较大范围互联网用户的事件、涉及重要政府部门和重要信息系统的事件、用户投诉造成较大影响的事件,以及境外国家级应急组织投诉的各类网络安全事件等.
测试评估——作为网络安全检测、评估的专业机构,按照"支撑监管,服务社会"的原则,以科学的方法、规范的程序、公正的态度、独立的判断,按照相关标准为政府部门、企事业单位提供安全评测服务.
CNCERT还组织通信网络安全相关标准制定,参与电信网和互联网安全防护系列标准的编制等.
同时,作为中国非政府层面开展网络安全事件跨境处置协助的重要窗口,CNCERT积极开展国际合作,致力于构建跨境网络安全事件的快速响应和协调处置机制.
CNCERT为国际著名网络安全合作组织FIRST正式成员以及亚太应急组织APCERT的发起人之一.
截止2017年,CNCERT与72个国家和地区的211个组织建立了"CNCERT国际合作伙伴"关系.
国家互联网应急中心www.
cert.
org.
cn版权及免责声明《CNCERT互联网安全威胁报告》(以下简称"报告")为国家计算机网络应急技术处理协调中心(简称国家互联网应急中心,CNCERT或CNCERT/CC)的电子刊物,由CNCERT编制并拥有版权.
报告中凡摘录或引用内容均已指明出处,其版权归相应单位所有.
本报告所有权利及许可由CNCERT进行管理,未经CNCERT同意,任何单位或个人不得将本报告以及其中内容转发或用于其他用途.
CNCERT力争保证本报告的准确性和可靠性,其中的信息、数据、图片等仅供参考,不作为您个人或您企业实施安全决策的依据,CNCERT不承担与此相关的一切法律责任.
编者按:感谢您阅读《CNCERT互联网安全威胁报告》,如果您发现本报告存在任何问题,请您及时与我们联系,来信地址为:cncert@cert.
org.
cn.
国家互联网应急中心www.
cert.
org.
cn1本月网络安全基本态势分析2018年7月,互联网网络安全状况整体评价为良.
我国基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件.
在我国互联网网络安全环境方面,除境内木马或僵尸程序控制服务器IP地址数目、境内被植入后门的网站数量和仿冒境内网站的页面数量较上月有所增长,其他各类网络安全事件数量均有不同程度的下降.
总体上,7月公共互联网网络安全态势较上月有所好转,但评价指数在良的区间.
基础网络安全2018年7月,我国基础网络运行总体平稳,互联网骨干网各项监测指标正常,未出现省级行政区域以上的造成较大影响的基础网络运行故障,未发生较大以上网络安全事件.
重要联网信息系统安全本月,监测发现境内政府网站被篡改的数量为55个,与上月的45个相比增长22.
2%,占境内被篡改网站的比例由2.
7%上升到3.
3%;境内政府网站被植入后门的数量为96个,与上月的69个相比增长39.
1%,占境内被植入后门网站的比例由2.
5%上升到3.
2%;针对境内网站的仿冒页面数量为4,967个,较上月的3,963个增长25.
3%.
国家信息安全漏洞共享平台(CNVD1)共协调处置了994起涉及我国政府部门以及银行、民航等重要信息系统部门以及电信、传媒、公共卫生、教育等相关行业的漏洞事件.
注1:CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
国家互联网应急中心www.
cert.
org.
cn2公共网络环境安全2018年7月,根据CNCERT的监测数据和通信行业报送数据,我国互联网网络安全环境主要指标情况如下:网络病毒2活动情况方面,境内感染网络病毒的终端数为近86万个,较上月下降0.
3%;各安全企业报送的恶意代码捕获数量中,瑞星公司截获的病毒数量较上月下降8.
9%,新增病毒数量较上月增长0.
1%;安天公司捕获的样本总数较上月下降0.
6%,新增病毒种类较上月增长6.
4%;猎豹移动报送的计算机病毒事件数量较上月下降0.
5%.
网站安全方面,境内被篡改网站数量为1,658个,较上月下降0.
7%;境内被植入后门的网站数量为3,019个,较上月增长10.
4%;针对境内网站的仿冒页面有4,967个,较上月增长25.
3%;各安全企业报送的网页挂马情况中,奇虎360公司报送的网页挂马事件数量较上月下降33.
3%.
安全漏洞方面,本月CNVD共收集整理信息系统安全漏洞1,020个,与上月持平.
其中高危漏洞280个,较上月下降20.
7%;可被利用来实施远程攻击的漏洞有926个,较上月下降0.
3%.
事件受理方面,CNCERT接收到网络安全事件报告8,935件,较上月下降了2.
7%,数量最多的分别是网页仿冒类事件2,766件、恶意程序类事件2,082件.
事件处理方面,CNCERT处理了网络安全事件8,935件,数量最多的分别是网页仿冒类事件2,876件、恶意程序类事件2,097件.
注2:一般情况下,恶意代码是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序.
其中,网络病毒是特指有网络通信行为的恶意代码.
6月,CNCERT在对恶意代码进行抽样监测时,对551种木马家族和83种僵尸程序家族进行了抽样监测.
国家互联网应急中心www.
cert.
org.
cn3本月网络安全主要数据网络病毒监测数据分析2018年7月,境内感染网络病毒的终端数为近86万个.
其中,境内近58万个IP地址对应的主机被木马或僵尸程序控制,与上月的56万余个相比增长2.
9%.
木马僵尸网络监测数据分析2018年7月,境内近58万个IP地址对应的主机被木马或僵尸程序控制,按地区分布感染数量排名前三位的分别是广东省、河南省、山东省.
木马或僵尸网络控制服务器IP总数为80,796个.
其中,境内木马或僵尸程序控制服务器IP有17,010个,按地区分布数量排名前三位的分别为广东省、浙江省、北京市.
境外木马或僵尸程序控制服务器IP有63,786个,主要分布于美国、日本、韩国.
其中,位于美国的控制服务器控制了境内298,697个主机IP,控制境内主机IP数量居首位,其次是位于加拿大和德国的IP地址,分别控制了境内21,476个和14,925个主机IP.
移动互联网恶意程序监测数据分析2018年7月,CNCERT针对目前流行的信息窃取类、恶意扣费类和敲诈勒索类典型移动恶意程序进行分析,发现信息窃取类恶意程序样本1800个,恶意扣费类恶意程序样本3726个,敲诈勒索类恶意程序样本591个.
2018年7月,CNCERT向应用商店、个人网站、广告平台、云平台等传播渠道通报下架移动互联网恶意程序669个.
其中,资费消耗类的恶意程序数量居首位,为240个(占46.
15%),流氓行为类237个国家互联网应急中心www.
cert.
org.
cn4(占45.
58%)、信息窃取类19个(占3.
65%)分列第二、三位.
网络病毒捕获和传播情况网络病毒主要针对一些防护比较薄弱,特别是访问量较大的网站通过网页挂马的方式进行传播.
当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终"放马"的站点下载网络病毒.
网络病毒在传播过程中,往往需要利用黑客注册的大量域名.
2018年7月,CNCERT监测发现的放马站点中,通过域名访问的共涉及有6,613个域名,通过IP直接访问的共涉及有1,478个IP.
在6,613个放马站点域名中,于境内注册的域名数为5,072个(约占76.
7%),于境外注册的域名数为939个(约占14.
2%).
放马站点域名所属顶级域名排名前5位的具体情况如表所示.
表2018年7月活跃恶意域名所属顶级域名排序顶级域名(TLD)类别恶意域名数量1.
COM通用顶级域名(gTLD)255772.
CN国家顶级域名(ccTLD)70403.
NET通用顶级域名(gTLD)15974.
ORG通用顶级域名(gTLD)2165.
CC通用顶级域名(gTLD)129网站安全数据分析境内网站被篡改情况2018年7月,境内被篡改网站的数量为1,658个,境内被篡改网站数量按地区分布排名前三位的分别是广东省、北京市、上海市.
按网站类型统计,被篡改数量最多的是.
COM域名类网站,其多为商业类网站;值得注意的是,被篡改的.
GOV域名类网站有55个,占境内被篡改网站的比例为3.
3%.
国家互联网应急中心www.
cert.
org.
cn5境内网站被植入后门情况2018年7月,境内被植入后门的网站数量为3,019个,境内被植入后门的网站数量按地区分布排名前三位的分别是广东省、北京市、河南省.
按网站类型统计,被植入后门数量最多的是.
COM域名类网站,其多为商业类网站;值得注意的是,被植入后门的.
GOV域名类网站有96个,占境内被植入后门网站的比例为3.
2%.
2018年7月,境外1,052个IP地址通过植入后门对境内2,216个网站实施远程控制.
其中,境外IP地址主要位于美国、罗马尼亚和中国香港等国家或地区.
从境外IP地址通过植入后门控制境内网站数量来看,来自美国的IP地址共向境内529个网站植入了后门程序,入侵网站数量居首位;其次是来自中国香港和乌克兰的IP地址,分别向境内415个和395个网站植入了后门程序.
境内网站被仿冒情况22018年7月,CNCERT共监测到针对境内网站的仿冒页面有4,967个,涉及域名1,682个,IP地址591个,平均每个IP地址承载8个仿冒页面.
在这591个IP中,99.
2%位于境外,主要位于中国香港和美国.
漏洞数据分析2018年7月,CNVD收集整理信息系统安全漏洞1,020个.
其中,高危漏洞280个,可被利用来实施远程攻击的漏洞有926个.
受影响的软硬件系统厂商包括Adobe、Cisco、Drupal、Google、IBM、Linux、Microsoft、Mozilla、WordPress等.
根据漏洞影响对象的类型,漏洞可分为操作系统漏洞、应用程序漏洞、WEB应用漏洞、数据库漏洞、网络设备漏洞(如路由器、交换机等)和安全产品漏洞(如防火墙、入侵检测系统等).
本月CNVD收集整理的漏洞中,按漏洞类型分布排名前三位的分别是应用程序漏洞、WEB应用漏洞、网络设备漏洞.
国家互联网应急中心www.
cert.
org.
cn6网络安全事件接收与处理情况事件接收情况2018年7月,CNCERT收到国内外通过电子邮件、热线电话、网站提交、传真等方式报告的网络安全事件8,785件(合并了通过不同方式报告的同一网络安全事件,且不包括扫描和垃圾邮件类事件),其中来自国外的事件报告有27件.
在8,785件事件报告中,排名前三位的安全事件分别是网页仿冒、恶意程序、漏洞.
事件处理情况对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件,以及自主监测发现的网络安全事件,CNCERT每日根据事件的影响范围和存活性、涉及用户的性质等因素,筛选重要事件进行协调处理.
2018年7月,CNCERT以及各省分中心共同协调处理了8,935安全事件.
其中网页仿冒、恶意程序类事件处理数量较多.
国家互联网应急中心www.
cert.
org.
cn7附:术语解释信息系统信息系统是指由计算机硬件、软件、网络和通信设备等组成的以处理信息和数据为目的的系统.
漏洞漏洞是指信息系统中的软件、硬件或通信协议中存在缺陷或不适当的配置,从而可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险.
恶意程序恶意程序是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序.
恶意程序分类说明如下:1.
特洛伊木马(TrojanHorse)特洛伊木马(简称木马)是以盗取用户个人信息,甚至是远程控制用户计算机为主要目的的恶意代码.
由于它像间谍一样潜入用户的电脑,与战争中的"木马"战术十分相似,因而得名木马.
按照功能,木马程序可进一步分为:盗号木马3、网银木马4、窃密木马5、远程控制木马6、流量劫持木马7、下载者木马8和其它木马七类.
2.
僵尸程序(Bot)僵尸程序是用于构建大规模攻击平台的恶意代码.
按照使用的通信协议,僵尸程序可进一步分为:IRC僵尸程序、Http僵尸程序、P2P僵尸程序和其它僵尸程序四类.
3.
蠕虫(Worm)蠕虫是指能自我复制和广泛传播,以占用系统和网络资源为主要目的的恶意代码.
按照传播途径,蠕虫可进一步分为:邮件蠕虫、即时消息蠕注3:盗号木马是用于窃取用户电子邮箱、网络游戏等账号的木马.
注4:网银木马是用于窃取用户网银、证券等账号的木马.
注5:窃密木马是用于窃取用户主机中敏感文件或数据的木马.
注6:远程控制木马是以不正当手段获得主机管理员权限,并能够通过网络操控用户主机的木马.
注7:流量劫持木马是用于劫持用户网络浏览的流量到攻击者指定站点的木马.
注8:下载者木马是用于下载更多恶意代码到用户主机并运行,以进一步操控用户主机的木马.
国家互联网应急中心www.
cert.
org.
cn8虫、U盘蠕虫、漏洞利用蠕虫和其它蠕虫五类.
4.
病毒(Virus)病毒是通过感染计算机文件进行传播,以破坏或篡改用户数据,影响信息系统正常运行为主要目的恶意代码.
5.
其它上述分类未包含的其它恶意代码.
随着黑客地下产业链的发展,互联网上出现的一些恶意代码还具有上述分类中的多重功能属性和技术特点,并不断发展.
对此,我们将按照恶意代码的主要用途参照上述定义进行归类.
僵尸网络僵尸网络是被黑客集中控制的计算机群,其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为,如可同时对某目标网站进行分布式拒绝服务攻击,或发送大量的垃圾邮件,或进行"挖矿"等.
拒绝服务攻击拒绝服务攻击是向某一目标信息系统发送密集的攻击包,或执行特定攻击操作,以期致使目标系统停止提供服务.
网页篡改网页篡改是恶意破坏或更改网页内容,使网站无法正常工作或出现黑客插入的非正常网页内容.
网页仿冒网页仿冒是通过构造与某一目标网站高度相似的页面(俗称钓鱼网站),并通常以垃圾邮件、即时聊天、手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息,诱骗用户访问钓鱼网站,以获取用户个人秘密信息(如银行帐号和帐户密码).
网页挂马网页挂马是通过在网页中嵌入恶意代码或链接,致使用户计算机在访问该页面时被植入恶意代码.
网站后门网站后门事件是指黑客在网站的特定目录中上传远程控制页面从而能够通国家互联网应急中心www.
cert.
org.
cn9过该页面秘密远程控制网站服务器的攻击事件.
垃圾邮件垃圾邮件是将不需要的消息(通常是未经请求的广告)发送给众多收件人.
包括:(一)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件;(二)收件人无法拒收的电子邮件;(三)隐藏发件人身份、地址、标题等信息的电子邮件;(四)含有虚假的信息源、发件人、路由等信息的电子邮件.
域名劫持域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据,使得用户在访问相关域名时返回虚假IP地址或使用户的请求失败.
非授权访问非授权访问是没有访问权限的用户以非正当的手段访问数据信息.
非授权访问事件一般发生在存在漏洞的信息系统中,黑客利用专门的漏洞利用程序(Exploit)来获取信息系统访问权限.
移动互联网恶意程序在用户不知情或未授权的情况下,在移动终端系统中安装、运行以达到不正当目的,或具有违反国家相关法律法规行为的可执行文件、程序模块或程序片段.

Megalayer促销:美国圣何塞CN2线路VPS月付48元起/香港VPS月付59元起/香港E3独服月付499元起

Megalayer是新晋崛起的国外服务器商,成立于2019年,一直都处于稳定发展的状态,机房目前有美国机房,香港机房,菲律宾机房。其中圣何塞包括CN2或者国际线路,Megalayer商家提供了一些VPS特价套餐,譬如15M带宽CN2线路主机最低每月48元起,基于KVM架构,支持windows或者Linux操作系统。。Megalayer技术团队行业经验丰富,分别来自于蓝汛、IBM等知名企业。Mega...

美国200G美国高防服务器16G,800元

美国高防服务器提速啦专业提供美国高防服务器,美国高防服务器租用,美国抗攻击服务器,高防御美国服务器租用等。我们的海外高防服务器带给您坚不可摧的DDoS防护,保障您的业务不受攻击影响。HostEase美国高防服务器位于加州和洛杉矶数据中心,均为国内访问速度最快最稳定的美国抗攻击机房,带给您快速的访问体验。我们的高防服务器配有最高层级的DDoS防护系统,每款抗攻击服务器均拥有免费DDoS防护额度,让您...

Vultr VPS韩国首尔机房速度和综合性能参数测试

Vultr 商家有新增韩国首尔机房,这个是继日本、新加坡之后的第三个亚洲机房。不过可以大概率知道肯定不是直连中国机房的,因为早期的日本机房有过直连后来取消的。今天准备体验看看VULTR VPS主机商的韩国首尔机房的云服务器的速度和性能。1、全球节点PING速度测试这里先通过PING测试工具看看全球几十个节点的PING速度。看到好像移动速度还不错。2、路由去程测试测试看看VULTR韩国首尔机房的节点...

drupal中文为你推荐
apple.com.cn苹果官网序列号查询phpmyadmin下载phpmyadmin怎么安装,求网站空间商帮助。iproute网关怎么设置?支付宝蜻蜓发布支付宝蜻蜓f4,可以让没有支付宝的人刷脸付款?pletecuteftpUsercuteftp刚刚网女友刚开始用震动棒很舒服身上抽搐时,她说疼不让用了,是真的疼还是太刺激她受不了?帖子标题百度贴吧如何改帖子的标题建站无忧求好点的免费建站网邮件管理系统邮件管理软件哪种最好?
tk域名注册 vps论坛 如何查询域名备案号 ftp空间 高防dns 外国空间 iis安装教程 一点优惠网 发包服务器 合租空间 linux服务器维护 电信虚拟主机 paypal注册教程 沈阳主机托管 linode支付宝 服务器论坛 免费蓝钻 工信部icp备案查询 电信宽带测速软件 789电视剧网 更多