本報(bào)告以CNCERT監(jiān)測(cè)數(shù)據(jù)和通報(bào)成員單位報(bào)送數(shù)據(jù)作為主要依據(jù)�,對(duì)我國(guó)互聯(lián)網(wǎng)面臨的各類安全威脅進(jìn)行總體態(tài)勢(shì)分析,并對(duì)重要預(yù)警信息和典型安全事件進(jìn)行探討�����。
2018年12月�,互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況整體評(píng)價(jià)為良。主要數(shù)據(jù)如下:
* 境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)為近78萬(wàn)個(gè)�����;
* \r\n境內(nèi)被篡改網(wǎng)站數(shù)量為1,376個(gè)����,其中被篡改政府網(wǎng)站數(shù)量為80個(gè)����;境內(nèi)被植入后門的網(wǎng)站數(shù)量為2,317個(gè)���,其中政府網(wǎng)站有34個(gè);針對(duì)境內(nèi)網(wǎng)站的仿冒頁(yè)面數(shù)量為5,324個(gè)��;
* 國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收集整理信息系統(tǒng)安全漏洞1,206個(gè)����,其中,高危漏洞481個(gè)���,可被利用來(lái)實(shí)施遠(yuǎn)程攻擊的漏洞有1,067個(gè)�����。
網(wǎng)絡(luò)病毒監(jiān)測(cè)數(shù)據(jù)分析
2018年12月�,境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)為近78萬(wàn)個(gè)���。其中�,境內(nèi)近54萬(wàn)個(gè)IP地址對(duì)應(yīng)的主機(jī)被木馬或僵尸程序控制,與上月的近60萬(wàn)個(gè)相比下降10.4%�����。
1����、木馬僵尸網(wǎng)絡(luò)監(jiān)測(cè)數(shù)據(jù)分析
2018年12月,境內(nèi)近54萬(wàn)個(gè)IP地址對(duì)應(yīng)的主機(jī)被木馬或僵尸程序控制���,按地區(qū)分布感染數(shù)量排名前三位的分別是廣東省��、河南省�����、浙江省���。
木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器IP總數(shù)為28,696個(gè)。其中���,境內(nèi)木馬或僵尸程序控制服務(wù)器IP有1,955個(gè)����,按地區(qū)分布數(shù)量排名前三位的分別為廣東省、北京市���、上海市����。境外木馬或僵尸程序控制服務(wù)器IP有26,738個(gè)�����,主要分布于美國(guó)�����、德國(guó)��、日本�。其中���,位于美國(guó)的控制服務(wù)器控制了境內(nèi)256,835個(gè)主機(jī)IP����,控制境內(nèi)主機(jī)IP數(shù)量居首位,其次是位于加拿大和意大利的IP地址��,分別控制了境內(nèi)124,478個(gè)和82,410個(gè)主機(jī)IP��。
2�、移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)數(shù)據(jù)分析
2018年12月,CNCERT針對(duì)目前流行的信息竊取類����、惡意扣費(fèi)類和敲詐勒索類典型移動(dòng)惡意程序進(jìn)行分析,發(fā)現(xiàn)信息竊取類惡意程序樣本2,437個(gè)�,惡意扣費(fèi)類惡意程序樣本3,700個(gè),敲詐勒索類惡意程序樣本1,380個(gè)�����。
2018年12月���,CNCERT向應(yīng)用商店�、個(gè)人網(wǎng)站��、廣告平臺(tái)���、云平臺(tái)等傳播渠道通報(bào)下架移動(dòng)互聯(lián)網(wǎng)惡意程序124個(gè)����。其中,資費(fèi)消耗類的惡意程序數(shù)量居首位(占37.1%)���,誘騙欺詐(占28.2%)����、惡意扣費(fèi)類(占20.2%)分列第二�����、三位����。
3�����、網(wǎng)絡(luò)病毒捕獲和傳播情況
網(wǎng)絡(luò)病毒主要針對(duì)一些防護(hù)比較薄弱��,特別是訪問(wèn)量較大的網(wǎng)站通過(guò)網(wǎng)頁(yè)掛馬的方式進(jìn)行傳播�����。當(dāng)存在安全漏洞的用戶主機(jī)訪問(wèn)了這些被黑客掛馬的網(wǎng)站后,會(huì)經(jīng)過(guò)多級(jí)跳轉(zhuǎn)暗中連接黑客最終“放馬”的站點(diǎn)下載網(wǎng)絡(luò)病毒��。
網(wǎng)絡(luò)病毒在傳播過(guò)程中����,往往需要利用黑客注冊(cè)的大量域名。2018年12月�,CNCERT監(jiān)測(cè)發(fā)現(xiàn)的放馬站點(diǎn)中,通過(guò)域名訪問(wèn)的共涉及有12,682個(gè)域名����,通過(guò)IP直接訪問(wèn)的共涉及有8,409個(gè)IP。在12,682個(gè)放馬站點(diǎn)域名中����,于境內(nèi)注冊(cè)的域名數(shù)為5,054個(gè)(約占39.9%),于境外注冊(cè)的域名數(shù)為3,323個(gè)(約占26.2%)���。放馬站點(diǎn)域名所屬頂級(jí)域名排名前5位的具體情況如表所示�����。
表為:2018年12月活躍惡意域名所屬頂級(jí)域名
| 排序 | 頂級(jí)域名(TLD) | 類別 | 惡意域名數(shù)量 |
| 1 | .com | 通用頂級(jí)域名(gTLD) | 7814 |
| 2 | .cn | 國(guó)家頂級(jí)域名(gTLD) | 1954 |
| 3 | .net | 通用頂級(jí)域名(gTLD) | 587 |
| 4 | .org | 通用頂級(jí)域名(gTLD) | 255 |
| 5 | .tw | 通用頂級(jí)域名(gTLD) | 195 |
網(wǎng)站安全數(shù)據(jù)分析
1���、境內(nèi)網(wǎng)站被篡改情況
2018年12月���,境內(nèi)被篡改網(wǎng)站的數(shù)量為1,376個(gè),境內(nèi)被篡改網(wǎng)站數(shù)量按地區(qū)分布排名前三位的分別是廣東省���、北京市���、浙江省。按網(wǎng)站類型統(tǒng)計(jì)�,被篡改數(shù)量最多的是.COM域名類網(wǎng)站,其多為商業(yè)類網(wǎng)站�;值得注意的是,被篡改的.GOV域名類網(wǎng)站有80個(gè)�����,占境內(nèi)被篡改網(wǎng)站的比例為5.8%���。
2、境內(nèi)網(wǎng)站被植入后門情況
2018年12月���,境內(nèi)被植入后門的網(wǎng)站數(shù)量為2,317個(gè)��,境內(nèi)被植入后門的網(wǎng)站數(shù)量按地區(qū)分布排名前三位的分別是廣東省���、北京市���、河南省。按網(wǎng)站類型統(tǒng)計(jì)�����,被植入后門數(shù)量最多的是.COM域名類網(wǎng)站�����,其多為商業(yè)類網(wǎng)站����;值得注意的是,被植入后門的.GOV域名類網(wǎng)站有34個(gè)��,占境內(nèi)被植入后門網(wǎng)站的比例為1.5%�。
2018年12月,境外2,451個(gè)IP地址通過(guò)植入后門對(duì)境內(nèi)1,554個(gè)網(wǎng)站實(shí)施遠(yuǎn)程控制�。其中,境外IP地址主要位于美國(guó)����、俄羅斯和意大利等國(guó)家或地區(qū)�����。從境外IP地址通過(guò)植入后門控制境內(nèi)網(wǎng)站數(shù)量來(lái)看�����,來(lái)自美國(guó)的IP地址共向境內(nèi)322個(gè)網(wǎng)站植入了后門程序��,入侵網(wǎng)站數(shù)量居首位����;其次是來(lái)自中國(guó)香港和俄羅斯的IP地址��,分別向境內(nèi)311個(gè)和190個(gè)網(wǎng)站植入了后門程序���。
3��、境內(nèi)網(wǎng)站被仿冒情況
2018年12月����,CNCERT共監(jiān)測(cè)到針對(duì)境內(nèi)網(wǎng)站的仿冒頁(yè)面有5,324個(gè)�,涉及域名1,739個(gè)���,IP地址688個(gè)��,在這688個(gè)IP中���,98.8%位于境外���,主要位于美國(guó)和中國(guó)香港。
漏洞數(shù)據(jù)分析
2018年12月��,CNVD收集整理信息系統(tǒng)安全漏洞1,206個(gè)����。其中,高危漏洞481個(gè)����,可被利用來(lái)實(shí)施遠(yuǎn)程攻擊的漏洞有1,067個(gè)。受影響的軟硬件系統(tǒng)廠商包括Adobe���、Cisco�、Drupal�����、Google、IBM��、Linux�、Microsoft、Mozilla����、WordPress等。
根據(jù)漏洞影響對(duì)象的類型����,漏洞可分為操作系統(tǒng)漏洞、應(yīng)用程序漏洞����、WEB應(yīng)用漏洞、數(shù)據(jù)庫(kù)漏洞���、網(wǎng)絡(luò)設(shè)備漏洞(如路由器�、交換機(jī)等)和安全產(chǎn)品漏洞(如防火墻����、入侵檢測(cè)系統(tǒng)等)。本月CNVD收集整理的漏洞中,按漏洞類型分布排名前三位的分別是應(yīng)用程序漏洞�、WEB應(yīng)用漏洞、操作系統(tǒng)漏洞���。
網(wǎng)絡(luò)安全事件接收與處理情況
1、事件接收情況
2018年12月�,CNCERT收到國(guó)內(nèi)外通過(guò)電子郵件、熱線電話���、網(wǎng)站提交�、傳真等方式報(bào)告的網(wǎng)絡(luò)安全事件8,237件(合并了通過(guò)不同方式報(bào)告的同一網(wǎng)絡(luò)安全事件���,且不包括掃描和垃圾郵件類事件)��,其中來(lái)自國(guó)外的事件報(bào)告有47件��。
在8,237件事件報(bào)告中����,排名前三位的安全事件分別是漏洞�����、網(wǎng)頁(yè)仿冒、惡意程序�����。
2�、事件處理情況
對(duì)國(guó)內(nèi)外通過(guò)電子郵件、熱線電話���、傳真等方式報(bào)告的網(wǎng)絡(luò)安全事件�,以及自主監(jiān)測(cè)發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件�����,CNCERT每日根據(jù)事件的影響范圍和存活性�����、涉及用戶的性質(zhì)等因素�����,篩選重要事件進(jìn)行協(xié)調(diào)處理�����。
2018年12月,CNCERT以及各省分中心共同協(xié)調(diào)處理了8,278安全事件���。其中漏洞�、網(wǎng)頁(yè)仿冒類事件處理數(shù)量較多���。
