黑龙江省网络安全监测数据分析报告
2014年4月
黑龙江省互联网信息工作领导小组办公室
黑龙江省通信管理局
国家计算机网络应急技术处理协调中心黑龙江分中心
联合发布
一、4月互联网网络安全基本态势
2014年4月,我省互联网基础设施运行总体平稳,骨干网各项监测指标正常。木马僵尸网络、飞客蠕虫病毒、网站类攻击、拒绝服务攻击等是我省重要信息系统和互联网用户面临的最主要的网络安全威胁。部分数据如下:
(1)互联网主机安全情况。2014年4月我省感染木马或僵尸程序病毒的主机IP数量为44692个;我省被利用作为木马或僵尸程序控制服务器的IP数量为245个;我省感染飞客蠕虫病毒的主机IP数量为20746个。
(2)网站安全情况。2014年4月,监测发现我省被篡改网站93个,被黑客植入网页后门的网站39个。
(3)其他公共网络环境安全情况。2014年4月,国家信息安全漏洞共享平台共收集整理并公开发布信息安全漏洞686个,其中高危漏洞225个,Oday漏洞132个。
二、4月互联网网络安全监测数据分析
2.1我省互联网主机安全状况分析
国家计算机网络应急处理协调中心黑龙江分中心对互联网主机易感染的木马、僵尸程序、飞客蠕虫病毒进行了持续的监测和分析。2014年4月,我省感染木马、僵尸程序病毒主机数量及被利用作为控制端主机较上月有一定幅度减少,感染飞客蠕虫病毒数量较上月有一定幅度增加。从感染病毒的主机在省内分布来看,哈尔滨、绥化、齐齐哈尔等地市感染病毒数量较大,从控制我省互联网主机的境外病毒控制端分布来看,美国、葡萄牙、芬兰等国家或地区是主要发源地;从网络病毒的类型分析,主要以远控、盗号木马居多。
2.1.1我省互联网主机感染木马、僵尸程序情况
2.1.1.1我省木马、僵尸程序受控端情况
2014年4月,监测发现我省共有44692个IP地址对应的主机被其他国家或地区通过木马或僵尸程序秘密控制,占全国比例为2.11%,如图1所示。
图1黑龙江省木马或僵尸程序受控主机IP数量月度统计图
4月,哈尔滨、绥化、齐齐哈尔、牡丹江、佳木斯五个城市木马或僵尸程序受控主机IP数量最多,其中哈尔滨占全省总数的49.12%,如图2所示。
图2黑龙江省木马或僵尸程序受控主机IP数量按地市分布图
2.1.1.2我省木马、僵尸程序控制端情况
2014年4月,监测发现我省共有245个IP地址对应的主机作为木马、僵尸程序控制端与其他国家或地区进行通信,占全国比例为4.06%,如图3所示。
图3黑龙江省木马或僵尸程序控制端服务器IP数量月度统计图
4月,哈尔滨、伊春、大兴安岭、佳木斯、绥化五个城市木马或僵尸程序控制服务器IP数量最多,其中哈尔滨占全省总数的54.46%,如图4所示。
图4黑龙江省木马或僵尸程序控制服务器IP数量按地市分布图
2.1.1.3境外控制端分布情况
2014年4月,从控制我省互联网主机的境外病毒控制端分布来看,美国、葡萄牙、芬兰等国家或地区控制我省数量主机较多,如图5所示。
图5境外秘密控制我省主机的控制端分布图
2.1.2我省互联网主机感染飞客蠕虫病毒情况
2014年4月,监测发现我省共有20746个IP地址对应的主机感染飞客蠕虫病毒,占全国比例为1.55%,如图6所示。
图6黑龙江省感染飞客蠕虫主机IP数量月度统计图
4月,哈尔滨、齐齐哈尔、牡丹江、大庆、佳木斯五个城市感染飞客蠕虫主机IP数量最多,其中哈尔滨占全省总数的57.51%,如图7所示。
图7黑龙江省感染飞客蠕虫主机IP数量按地市分布图
2.2我省网站安全状况分析
2.2.1我省网页篡改事件
2014年4月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省93个网站被篡改,占全国总数的0.69%,如图8所示。
图8黑龙江省被篡改网站数量月度统计图
4月,在我省被篡改网站中,按照域名类型分布,.com&.com.cn域名数量最多,占全省56%,如图9所示。
图9黑龙江省被篡改网站数量按类型分布图
2.2.2我省网页后门事件
2014年4月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省遭后门攻击网站39个,占全国总数的0.89%,如图10所示。
图10黑龙江省遭后门攻击网站月度统计图
4月,在我省遭后门攻击网站中,按照域名类型分布,.com&.com.cn域名数量最多,占全省55%,如图11所示。
图11黑龙江省遭后门攻击网站数量按域名统计图
2.2.3我省网页放马事件
2014年4月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省存在网页放马网站3个,如图12所示。
图12黑龙江省被放马网页数量月度统计图
三、3月漏洞数据分析
1、Apple产品安全漏洞
Apple Mac OS X是一款苹果公司开发的操作系统。上述产品被披露存在多个安全漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。CNVD收录的相关漏洞包括:Apple MAC OS X WindowServer任意代码执行漏洞、Apple Mac OS X远程拒绝服务漏洞、Apple Mac OS X远程安全绕过漏洞、Apple MAC OS X ASLR安全绕过漏洞、Apple MAC OS X URL处理格式串漏洞。除“Apple MAC OS X ASLR安全绕过漏洞、Apple MAC OS X URL处理格式串漏洞”外,其余漏洞的综合评级均为为“高危”。厂商已经发布了漏洞的修补程序。CNVD提醒用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
2、OpenSSL产品安全漏洞
OpenSSL是一款开放源码的SSL实现,用来实现网络通信的高强度加密。该产品被披露存在安全漏洞,攻击者可以利用漏洞读取系统的内存数据,从而获得密钥、用户账号密码和cookies等敏感信息。CNVD收录的相关漏洞包括:OpenSSL TLS和DTLS扩展包处理外界读内存泄露漏洞。该漏洞的综合评级为“高危”。厂商已经发布了漏洞的修补程序。CNVD提醒用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
3、Oracle产品安全漏洞
Oracle WebLogic server是一款应用服务器平台,用于构建和运行企业应用和服务。Oracle Java Runtime Environment是一款为JAVA应用程序提供可靠的运行环境的解决方案。上述产品被披露存在安全漏洞,攻击者利用漏洞发起远程攻击。CNVD收录的相关漏洞包括:Oracle WebLogic Server WLS Security子件存在未明远程漏洞、Oracle Java JDK/JRE /SE Embedded Sound子件存在未明远程漏洞、Oracle Java JDK/JRE /SE Embedded Deployment子件存在未明远程代码执行漏洞、Oracle Java JDK/JRE/SE Embedded JAX-WS子件存在未明漏洞、Oracle Java JDK/JRE/SE Embedded/JavaFX 2D子件存在未明远程代码执行漏洞。上述漏洞的综合评级均为为“高危”。厂商已经发布了漏洞的修补程序。CNVD提醒用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
关于HLCERT:
国家计算机网络应急技术处理协调中心(简称CNCERT/CC)是工业和信息化部领导下的,负责协调我国各计算机网络安全事件应急小组共同处理国家公共互联网上的安全紧急事件,为国家公共互联网、国家主要网络信息系统以及关键部门提供计算机网络安全的监测、预警、应急和防范等安全服务和技术支持,及时收集、核实、汇总和发布有关互联网安全的权威信息,组织国内计算机网络安全应急组织进行国际合作和交流的组织。国家计算机网络应急技术处理协调中心黑龙江分中心是该组织在黑龙江省的分支机构。
HLCERT业务能力主要包括:
监测发现:依托“863-917网络安全监测系统”实现网络安全事件的监测发现。863-917网络安全监测系统是一个全程全网、多层次、多渠道延伸的网络安全综合监测平台,目前已具备对安全漏洞、恶意程序、网页篡改、网页挂马、拒绝服务攻击、域名劫持、路由劫持等各种网络威胁或攻击的监测发现能力。
通报预警:依托对丰富数据资源的综合分析和多渠道的信息获取实现网络安全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分析等。
应急处置:依托与运营商、域名注册商、安全服务厂商等相关部门的快速工作机制和与涉及国计民生的重要信息系统部门及执法机关密切合作机制实现网络安全事件的快速处置;同时作为国际著名网络安全合作组织FIRST和APCERT的重要成员,与多个世界著名的网络安全机构和各个国家级应急组织建立了网络安全事件处理合作机制。面向国内外用户受理网络安全事件报告,及时掌握和处置突发重大网络安全事件。
联系电话:0451-53005806
电子邮箱:hlcert@cert.org.cn
网址:www.cert.org.cn
