本報告以CNCERT監(jiān)測數(shù)據(jù)和通報成員單位報送數(shù)據(jù)作為主要依據(jù)��,對我國互聯(lián)網(wǎng)面臨的各類安全威脅進行總體態(tài)勢分析����,并對重要預警信息和典型安全事件進行探討。
2018年11月�����,互聯(lián)網(wǎng)網(wǎng)絡安全狀態(tài)整體評價為良��。主要數(shù)據(jù)如下:
*境內感染網(wǎng)絡病毒的終端數(shù)為近84萬余個���;
*境內被篡改網(wǎng)站數(shù)量為1,357個��,其中被篡改政府網(wǎng)站數(shù)量為68個��;境內被植入后門的網(wǎng)站數(shù)量為2,513個���,其中政府網(wǎng)站有45個;針對境內網(wǎng)站的仿冒頁面數(shù)量為6,469個���;
*國家信息安全漏洞共享平臺(CNVD)收集整理信息系統(tǒng)安全漏洞810個���,其中,高危漏洞308個�����,可被利用來實施遠程攻擊的漏洞有700個。
網(wǎng)絡病毒監(jiān)測數(shù)據(jù)分析
2018年11月���,境內感染網(wǎng)絡病毒的終端數(shù)為84萬余個�。其中�����,境內近60萬個IP地址對應的主機被木馬或僵尸程序控制��,與上月的近41萬個相比增長46.3%��。
1��、木馬僵尸網(wǎng)絡監(jiān)測數(shù)據(jù)分析
2018年11月��,境內近60萬個IP地址對應的主機被木馬或僵尸程序控制�,按地區(qū)分布感染數(shù)量排名前三位的分別是廣東省、河南省����、浙江省。
木馬或僵尸網(wǎng)絡控制服務器IP總數(shù)為28,653個。其中�����,境內木馬或僵尸程序控制服務器IP有2,150個���,按地區(qū)分布數(shù)量排名前三位的分別為廣東省、北京市��、上海市����。境外木馬或僵尸程序控制服務器IP有26,503個,主要分布于美國�、日本、德國�����。其中�,位于美國的控制服務器控制了境內263,443個主機IP,控制境內主機IP數(shù)量居首位����,其次是位于意大利和荷蘭的IP地址,分別控制了境內222,567個和10,569個主機IP����。
2��、移動互聯(lián)網(wǎng)惡意程序監(jiān)測數(shù)據(jù)分析
2018年11月�����,CNCERT針對目前流行的信息竊取類�����、惡意扣費類和敲詐勒索類典型移動惡意程序進行分析��,發(fā)現(xiàn)信息竊取類惡意程序樣本987個�����,惡意扣費類惡意程序樣本1081個���,敲詐勒索類惡意程序樣本2208個。
2018年11月���,CNCERT向應用商店����、個人網(wǎng)站、廣告平臺��、云平臺等傳播渠道通報下架移動互聯(lián)網(wǎng)惡意程序310個��。其中���,資費消耗類的惡意程序數(shù)量居首位(占54.5%),誘騙欺詐(占28.7%)���、流氓行為類(占6.8%)分列第二�����、三位����。
3���、網(wǎng)絡病毒捕獲和傳播情況
網(wǎng)絡病毒主要針對一些防護比較薄弱���,特別是訪問量較大的網(wǎng)站通過網(wǎng)頁掛馬的方式進行傳播。當存在安全漏洞的用戶主機訪問了這些被黑客掛馬的網(wǎng)站后,會經(jīng)過多級跳轉暗中連接黑客最終“放馬”的站點下載網(wǎng)絡病毒�。
網(wǎng)絡病毒在傳播過程中,往往需要利用黑客注冊的大量域名����。2018年11月,CNCERT監(jiān)測發(fā)現(xiàn)的放馬站點中�,通過域名訪問的共涉及有17,266個域名,通過IP直接訪問的共涉及有7,194個IP���。在17,266個放馬站點域名中�,于境內域名申請數(shù)為7,488個(約占44.4%)���,于境外域名申請數(shù)為3,154個(約占18.3%)����。放馬站點域名所屬頂級域名排名前5位的具體情況如表所示��。
2018年11月活躍惡意域名所屬頂級域名
| 排序 | 頂級域名(TLD) | 域名類別 | 惡意域名數(shù)量 |
| 1 | .com | 通用頂級域名(gTLD) | 7814 |
| 2 | .cn | 國家頂級域名(ccTLD) | 1954 |
| 3 | .net | 通用頂級域名(gTLD) | 587 |
| 4 | .org | 通用頂級域名(gTLD) | 255 |
| 5 | .tw | 通用頂級域名(gTLD) | 195 |
網(wǎng)站安全數(shù)據(jù)分析
1�����、境內網(wǎng)站被篡改情況
2018年11月���,境內被篡改網(wǎng)站的數(shù)量為1,357個����,境內被篡改網(wǎng)站數(shù)量按地區(qū)分布排名前三位的分別是廣東省、北京市���、浙江省����。按網(wǎng)站類型統(tǒng)計����,被篡改數(shù)量最多的是.COM域名類網(wǎng)站��,其多為商業(yè)類網(wǎng)站���;值得注意的是�,被篡改的.GOV域名類網(wǎng)站有68個��,占境內被篡改網(wǎng)站的比例為5.0%����。
2����、境內網(wǎng)站被植入后門情況
2018年11月�����,境內被植入后門的網(wǎng)站數(shù)量為2,513個��,境內被植入后門的網(wǎng)站數(shù)量按地區(qū)分布排名前三位的分別是廣東省��、北京市�、河南省。按網(wǎng)站類型統(tǒng)計�����,被植入后門數(shù)量最多的是.COM域名類網(wǎng)站��,其多為商業(yè)類網(wǎng)站��;值得注意的是���,被植入后門的.GOV域名類網(wǎng)站有45個�����,占境內被植入后門網(wǎng)站的比例為1.8%���。
2018年11月���,境外2910個IP地址通過植入后門對境內1,579個網(wǎng)站實施遠程控制。其中����,境外IP地址主要位于美國、俄羅斯和意大利等國家或地區(qū)�����。從境外IP地址通過植入后門控制境內網(wǎng)站數(shù)量來看����,來自中國香港的IP地址共向境內523個網(wǎng)站植入了后門程序�����,入侵網(wǎng)站數(shù)量居首位��;其次是來自美國和俄羅斯的IP地址���,分別向境內245個和176個網(wǎng)站植入了后門程序�。
3、境內網(wǎng)站被仿冒情況
2018年11月��,CNCERT共監(jiān)測到針對境內網(wǎng)站的仿冒頁面有6,469個����,涉及域名1,771個,IP地址792個�,在這792個IP中,99.0%位于境外�����,主要位于美國和中國香港���。
漏洞數(shù)據(jù)分析
2018年11月�,CNVD收集整理信息系統(tǒng)安全漏洞810個����。其中,高危漏洞308個�����,可被利用來實施遠程攻擊的漏洞有700個。受影響的軟硬件系統(tǒng)廠商包括Adobe���、Cisco�����、Drupal��、Google��、IBM����、Linux����、Microsoft、Mozilla�����、WordPress等��。
根據(jù)漏洞影響對象的類型��,漏洞可分為操作系統(tǒng)漏洞��、應用程序漏洞����、WEB應用漏洞、數(shù)據(jù)庫漏洞����、網(wǎng)絡設備漏洞(如路由器、交換機等)和安全產(chǎn)品漏洞(如防火墻�、入侵檢測系統(tǒng)等)。本月CNVD收集整理的漏洞中�����,按漏洞類型分布排名前三位的分別是應用程序漏洞����、操作系統(tǒng)漏洞、WEB應用漏洞�����。
網(wǎng)絡安全事件接收與處理情況
1、事件接收情況
2018年11月����,CNCERT收到國內外通過電子郵件、熱線電話���、網(wǎng)站提交�、傳真等方式報告的網(wǎng)絡安全事件8,428件(合并了通過不同方式報告的同一網(wǎng)絡安全事件����,且不包括掃描和垃圾郵件類事件),其中來自國外的事件報告有53件���。
在8,428件事件報告中����,排名前三位的安全事件分別是網(wǎng)頁仿冒����、惡意程序、漏洞����。
2���、事件處理情況
對國內外通過電子郵件����、熱線電話、傳真等方式報告的網(wǎng)絡安全事件���,以及自主監(jiān)測發(fā)現(xiàn)的網(wǎng)絡安全事件��,CNCERT每日根據(jù)事件的影響范圍和存活性����、涉及用戶的性質等因素�,篩選重要事件進行協(xié)調處理。
2018年11月�,CNCERT以及各省分中心共同協(xié)調處理了8,487安全事件。其中網(wǎng)頁仿冒����、漏洞類事件處理數(shù)量較多。
