黑龙江省互联网信息工作领导小组办公室
黑龙江省通信管理局
国家计算机网络应急技术处理协调中心黑龙江分中心
2014年3月联合发布
一、3月互联网网络安全基本态势
2014年3月,我省互联网基础设施运行总体平稳,骨干网各项监测指标正常。木马僵尸网络、飞客蠕虫病毒、网站类攻击、拒绝服务攻击等是我省重要信息系统和互联网用户面临的最主要的网络安全威胁。部分数据如下:
(1)互联网主机安全情况。2014年3月我省感染木马或僵尸程序病毒的主机IP数量为46607个;我省被利用作为木马或僵尸程序控制服务器的IP数量为294个;我省感染飞客蠕虫病毒的主机IP数量为14901个。
(2)网站安全情况。2014年3月,监测发现我省被篡改网站118个,被黑客植入网页后门的网站39个。
(3)其他公共网络环境安全情况。2014年3月,国家信息安全漏洞共享平台共收集整理并公开发布信息安全漏洞646个,其中高危漏洞214个,Oday漏洞180个。
二、3月互联网网络安全监测数据分析
2.1我省互联网主机安全状况分析
国家计算机网络应急处理协调中心黑龙江分中心对互联网主机易感染的木马注1、僵尸程序注2、飞客蠕虫病毒注3进行了持续的监测和分析。2014年3月,我省感染木马、僵尸程序病毒主机数量及被利用作为控制端主机较上月有一定幅度增加,感染飞客蠕虫病毒数量较上月有一定幅度减少。从感染病毒的主机在省内分布来看,哈尔滨、牡丹江、齐齐哈尔等地市感染病毒数量较大,从控制我省互联网主机的境外病毒控制端分布来看,美国、葡萄牙、芬兰等国家或地区是主要发源地;从网络病毒的类型分析,主要以远控、盗号木马居多。
2.1.1我省互联网主机感染木马、僵尸程序情况
2.1.1.1我省木马、僵尸程序受控端情况
2014年3月,监测发现我省共有46607个IP地址对应的主机被其他国家或地区通过木马或僵尸程序秘密控制,占全国比例为2.34%,如图1所示。
图1黑龙江省木马或僵尸程序受控主机IP数量月度统计图
3月,哈尔滨、牡丹江、齐齐哈尔、绥化、佳木斯五个城市木马或僵尸程序受控主机IP数量最多,其中哈尔滨占全省总数的47.94%,如图2所示。
图2黑龙江省木马或僵尸程序受控主机IP数量按地市分布图
2.1.1.2我省木马、僵尸程序控制端情况
2014年3月,监测发现我省共有294个IP地址对应的主机作为木马、僵尸程序控制端与其他国家或地区进行通信,占全国比例为5.10%,如图3所示。
图3黑龙江省木马或僵尸程序控制端服务器IP数量月度统计图
3月,哈尔滨、大兴安岭、伊春、齐齐哈尔、双鸭山五个城市木马或僵尸程序控制服务器IP数量最多,其中哈尔滨占全省总数的54.04%,如图4所示。
图4黑龙江省木马或僵尸程序控制服务器IP数量按地市分布图
2.1.1.3境外控制端分布情况
2014年3月,从控制我省互联网主机的境外病毒控制端分布来看,美国、葡萄牙、芬兰等国家或地区控制我省数量主机较多,如图5所示。
图5境外秘密控制我省主机的控制端分布图
2.1.2我省互联网主机感染飞客蠕虫病毒情况
2014年3月,监测发现我省共有14901个IP地址对应的主机感染飞客蠕虫病毒,占全国比例为1.57%,如图6所示。
图6黑龙江省感染飞客蠕虫主机IP数量月度统计图
3月,哈尔滨、牡丹江、齐齐哈尔、大庆、佳木斯五个城市感染飞客蠕虫主机IP数量最多,其中哈尔滨占全省总数的59.03%,如图7所示。
图7黑龙江省感染飞客蠕虫主机IP数量按地市分布图
2.2我省网站安全状况分析
2.2.1我省网页篡改事件
2014年3月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省118个网站被篡改,占全国总数的0.85%,如图8所示。
图8黑龙江省被篡改网站数量月度统计图
3月,在我省被篡改网站中,按照域名类型分布,。com&.com.cn域名数量最多,占全省67%,如图9所示。
图9黑龙江省被篡改网站数量按类型分布图
2.2.2我省网页后门事件
2014年3月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省遭后门攻击网站39个,占全国总数的0.65%,如图10所示。
图10黑龙江省遭后门攻击网站月度统计图
3月,在我省遭后门攻击网站中,按照域名类型分布,。com&.com.cn域名数量最多,占全省59%,如图11所示。
图11黑龙江省遭后门攻击网站数量按域名统计图
2.2.3我省网页放马事件
2014年3月,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省存在网页放马网站5个,如图12所示。
图12黑龙江省被放马网页数量月度统计图
一、3月漏洞数据分析
1、Google产品安全漏洞
Google Chrome是一款流行的WEB浏览器。上述产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息或以应用程序上下文执行任意代码。CNVD收录的相关漏洞包括:Google Chrome WEB套接字内存错误引用漏洞、Google Chrome存在多个未明漏洞(CNVD-2014-01665)、Google Chrome WEB数据库内存错误引用漏洞、Google Chrome events通用跨站脚本漏洞、Google Chrome speech处理内存错误引用漏洞。上述漏洞的综合评级均为“高危”。厂商已经发布了修补程序。CNVD提醒用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
2、Microsoft产品安全漏洞
Microsoft Internet Explorer是一款流行的WEB浏览器。上述产品被披露存在安全漏洞,攻击者可以利用漏洞以应用程序上下文执行任意代码或使应用程序崩溃。CNVD收录的相关漏洞包括:Microsoft IE存在未明内存破坏漏洞(CNVD-2014-01628、CNVD-2014-01629、CNVD-2014-01630、CNVD-2014-01631、CNVD-2014-01633)。上述漏洞的综合评级均为“高危”。厂商已经发布了上述漏洞的修补程序。CNVD提醒用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
3、Apple产品安全漏洞
Apple iOS是一款运行在苹果iPhone和iPod touch设备上的最新的操作系统、Apple TV是苹果可以让PC和iPod中的相片,视频和音乐无线传输到电视之中高清晰度播出。该产品被披露存在漏洞,攻击者可利用漏洞获取敏感信息、以内核上下文执行任意代码或发起拒绝服务攻击。
CNVD收录的相关漏洞包括:Apple iOS/TV USB消息处理内存破坏漏洞、Apple iOS Find MY iPhone禁用验证绕过漏洞、Apple iOS/TV PDF文件JPEG2000图像处理缓冲区溢出漏洞、Apple iOS facetime联系人信息泄露漏洞。厂商已发布了修补程序。CNVD提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
注1:木马是以盗取用户个人信息,甚至是远程控制用户计算机为主要目的的恶意代码。木马程序可进一步分为:盗号木马、网银木马、窃密木马、远程控制木马、流量劫持木马、下载者木马和其他木马六类。
注2:僵尸程序是用于构建大规模攻击平台的恶意代码、僵尸程序可进一步分为:IRC僵尸程序、http僵尸程序、P2P僵尸程序和其他僵尸程序四类。
注3:蠕虫是指能自我复制和广泛传播,以占用系统和网络资源为主要目的恶意代码。按照传播途径、蠕虫可进一步分为:邮件蠕虫、及时消息蠕虫、U盘蠕虫、漏洞利用蠕虫和其他蠕虫五类。飞客蠕虫(Hack Exploit Win32 MS08-067)是一个利用微软MS08-067漏洞发起攻击的蠕虫病毒。
关于HLCERT:
国家计算机网络应急技术处理协调中心(简称CNCERT/CC)是工业和信息化部领导下的,负责协调我国各计算机网络安全事件应急小组共同处理国家公共互联网上的安全紧急事件,为国家公共互联网、国家主要网络信息系统以及关键部门提供计算机网络安全的监测、预警、应急和防范等安全服务和技术支持,及时收集、核实、汇总和发布有关互联网安全的权威信息,组织国内计算机网络安全应急组织进行国际合作和交流的组织。国家计算机网络应急技术处理协调中心黑龙江分中心是该组织在黑龙江省的分支机构。
HLCERT业务能力主要包括:
监测发现:依托“863-917网络安全监测系统”实现网络安全事件的监测发现。863-917网络安全监测系统是一个全程全网、多层次、多渠道延伸的网络安全综合监测平台,目前已具备对安全漏洞、恶意程序、网页篡改、网页挂马、拒绝服务攻击、域名劫持、路由劫持等各种网络威胁或攻击的监测发现能力。
通报预警:依托对丰富数据资源的综合分析和多渠道的信息获取实现网络安全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分析等。
应急处置:依托与运营商、域名注册商、安全服务厂商等相关部门的快速工作机制和与涉及国计民生的重要信息系统部门及执法机关密切合作机制实现网络安全事件的快速处置;同时作为国际著名网络安全合作组织FIRST和APCERT的重要成员,与多个世界著名的网络安全机构和各个国家级应急组织建立了网络安全事件处理合作机制。面向国内外用户受理网络安全事件报告,及时掌握和处置突发重大网络安全事件。
联系电话:0451-53005806
电子邮箱:hlcert@cert.org.cn
网址:www.cert.org.cn
