2020年上半年我国互联网网络安全监测数据分析报告.pdf

2020 年上半年我国互联网网络 安全 监测数据分析报告 国家计算机网络应急技术处理协调中心 2020 年 9 月 目 录 一、恶意程序 . - 1 - （一）计算机恶意程序捕获情况 . - 1 - （二）计算机恶意程序用户感染情况 . - 2 - （三）移动互联网恶意程序 . - 4 - （四）联网智能设备恶意程序 . - 5 - 二、安全漏洞 . - 6 - 三、拒绝服务攻击 . - 7 - （一）攻击资源活跃情况 . - 7 - （二）境内大流量攻击情况 . - 8 - （三）主流攻击平台活跃情况 . - 8 - 四、网站安全 . - 9 - （一）网页仿冒 . - 9 - （二）网站后门 . - 9 - （三）网页篡改 . - 10 - 五、云平台安全 . - 11 - 六、工业控制系统安全 . - 12 - （一）工业控制系统互联网侧暴露情况 . - 12 - （二）工业控制系统互联网侧威胁监测情况 . - 13 - （三）工业控制产品安 全漏洞情况 . - 14 - - 1 - 为全面 反映 2020 年 上半年我国互联网在恶意程序传播、 漏洞风险、 DDoS 攻击、网站安全等方面 的 情况， CNCERT 对 上半 年监测数据进行了 梳理 ， 形成监测数据分析报告如下。 一、 恶意程序 （一） 计算机恶意程序捕获情况 2020 年 上半年，捕获计算机恶意程序样本数量约 1,815 万个，日均传播次数达 483 万余次，涉及计算机恶意程序家族 约 1.1 万余个。 按照传播来源统计，境外恶意程序主要来自美 国、塞舌尔和加拿大等，境外具体分布如图 1 所示；位于境内 的恶意程序主要来自浙江省、广东省和北京市等。按照目标 IP 统计，我国境内受计算机恶意程序攻击的 IP 地址约 4,208 万个，约占我国 IP 总数的 12.4%，这些受攻击的 IP 地址主要 集中在山东省、江苏省、广东省、浙江省等，我国受计算机恶 意程序攻击的 IP 分布情况如图 2所示。 图 1 计算机恶意代码传播源位于境外分布情况 - 2 - 图 2 我国受计算机恶意代码攻击的 IP 分布情况 （二） 计算机恶意程序用户感染情况 我国境内感染计算机恶意程序的主机数量约 304 万台，同 比增长 25.7%。位于境外的约 2.5 万个计算机恶意程序控制服 务器控制我国境内约 303 万台主机。就控制服务器所属国家 或 地区 来看，位于美国、中国香港地区和荷兰的控制服务器数量 分列前三位，分别是约 8,216 个、 1,478 个和 1,064 个，具体 分布如图 3 所示；就所控制我国境内主机数量来看，位于美国、 荷兰和德国的控制服务器控制规模分列前三位，分别控制我国 境内约 252 万、 127 万和 117 万台主机，如图 4 所示。此外， 根据抽样监测数据 发现 ，针对 IPv6 网络的攻击情况也开始出 现，境外累计约 1,200 个 IPv6 地址的计算机恶意程序控制服 务器控制了我国境内累计约 1.5 万台 IPv6 地址主机。 - 3 - 图 3 控制我国境内主机的境外木马僵尸网络控制端分布 图 4 控制我国境内主机数量 TOP10 的国家或地区 从我国境内感染计算机恶意程序主机数量地区分布来看， 主要分布在江苏省（占我国境内感染数量的 15.3%）、浙江省 （占 11.9%）、广东省（占 11.6%）等，具体分布如图 5 所示。 在因感染计算机恶意程序而形成的僵尸网络中，规模在 100 台主机以上的僵尸网络数量 4,696 个，规模在 10 万台以上的 僵尸网络数量 16 个，如图 6 所示。 相关机构处置了 45 个控制 规模较大的僵尸网络，有效控制计算机恶意程序感染主机引发 - 4 - 的危害。 图 5 我国境内感染木马僵尸程序的主机数量按地区分布 图 6 僵尸网络的规模分布 （三） 移动互联网恶意程序 通过自主捕获和厂商交换 发现 新增移动互联网恶意程序 163 万余个，同比增长 58.3%。通过对恶意程序的恶意行为统 计发现，排名前三的仍然是流氓行为类、资费消耗类和信息窃 取类，占比分别为 36.5%、 29.2%和 15.1%。为有效防范移动互 联网恶意程序的危害，严格控制移动互联网恶意程序传播途径， 国内 125家提供移动应用程序下载服务的平台下架 812个移动 - 5 - 互联网恶意程序，有效防范移动互联网恶意程序危害 ， 严格控 制移动互联网恶意程序传播途径。 近年来，我国逐步加大对应用商店、应用程序的安全管理 力度，要求应用商店对上架 App 的开发者进行实名审核，对 App 进行安全检测和内容版权审核等，使得 互联网 黑产应用商 店传播恶意 App 的难度明显增加。但同时，能够逃避监管并 实现不良目的的“擦边球”式灰色应用 却 有所增长，例如： 具 有钓鱼目的、欺诈行为的仿冒 App 成为黑产 的 重要工具，持 续对金融、交通、电信等重要行业的用户形成较大威胁。 2020 年 上半年，通过自主监测和投诉举报方式 发现 新出现的仿冒 App 下载链接 180 个。这些仿冒 App 具有容易复制、版本更 新频繁、蹭热点快速传播等特点，主要集中在仿冒公检法、银 行、社交软件、支付软件、抢票软件等热门应用上，仿冒方式 以仿冒名称、图标、页面等内容为主，具有很强的欺骗性。目 前，由于开发者在应用商店申请 App 上架前，需提交软件著 作权等证明材料，因此仿冒 App 很难在应用商店上架，其流 通渠道主要集中在网盘、云盘、广告平台等 其他 线上传播渠道。 （四） 联网智能设备恶意程序 目前活跃在智能设备上的恶意程序家族超过 15 种，包括 Mirai、 Gafgyt、 Dofloo、 Tsunami、 Hajime、 MrBlack、 Mozi、 PinkPot 等。这些恶意程序一般通过漏洞、暴力破解等途径入 侵和控制智能设备。 遭入侵控制后，联网智能设备存在用户信 - 6 - 息和设备数据被窃、硬件设备遭控制和破坏、设备被用作跳板 对内攻击内网其他主机或对外发动 DDoS 攻击等安全威胁和 风险。 上半年， 发现 智能设备恶意程序样本约 126 万余个，其中 大部分属于 Mirai 家族和 Gafgyt 家族，占比超过 96.0%。服务 端传播源 IP 地址 5 万余个，我国境内疑似受感染智能设备 IP 地址数量约 92 万个，与 2019 上半年相比基本持平，主要位于 浙江省、江苏省、安徽省、山东省、辽宁省等地。被控联网智 能设备日均向 1 千余个目标发起 DDoS 攻击，与 2019 年 上半 年相比也基本持平。 二、 安全漏洞 国家信息安全漏洞共享平台（ CNVD）收录通用型安全漏 洞 11,073 个，同比大幅增长 89.0%。其中，高危漏洞收录数 量为 4,280 个（占 38.7%），同比大幅增长 108.3%，“零日”漏 洞收录数量为 4,582 个（占 41.4%），同比大幅增长 80.7%。安 全漏洞主要涵盖的厂商或平台为谷歌（ Google）、 WordPress、 甲骨文（ Oracle）等。按影响对象分类统计，排名前三的是应 用程序漏洞（占 48.5%）、 Web 应用漏洞（占 26.5%）、操作系 统漏洞（占 10.0%），如图 7 所示。 2020 年 上半年， CNVD 处 置 涉及政府机构、重要信息系统等 网络 安全漏洞事件 近 1.5 万起。 - 7 - 图 7 CNVD 收录安全漏洞按影响对象分类统计 三、 拒绝服务攻击 因攻击成本低、攻击效果明显等特点， DDoS 攻击仍然是 互联网用户面临的最常见、影响 较大 的网络安全威胁之一。抽 样监测发现 ， 我国每日峰值流量超过 10Gbps 的大流量 DDoS 攻击事件数量与 2019 年基本持平，约 220 起。 （一） 攻击资源活跃情况 经 过 持续 监测分析 与 处置，可被利用的 DDoS 攻击资源稳 定性降低，可利用活跃资源数量被控制在较低水平。累计监测 发现用于发起 DDoS 攻击的活跃 C&C 控制服务器 2,379 台， 其中位于境外的占比 95.5%，主要来自美国、荷兰、德国等； 活跃的受控主机约 122 万台，其中来自境内的占比 90.3%，主 要来自江苏省、广东省、浙江省、山东省、安徽省等；反射攻 击服务器约 801 万台，其中来自境内的占比 67.4%，主要来自 辽宁省、浙江省、广东省、吉林省、黑龙江省等。 - 8 - （二） 境内大流量攻击情况 在 监测发现境内峰值流量超过 10Gbps 的大流量攻击事件 中，主要攻击方式仍然是 TCP SYN Flood、 NTP Amplification、 SSDP Amplification、 DNS Amplification 和 UDP Flood，以上五 种攻击占比达到 82.9%。为躲避溯源，攻击者倾向于使用这些 便于隐藏攻击源的攻击方式，并会根据攻击目标防护情况灵活 组合攻击流量，混合型攻击方式占比为 16.4%。此外，随着近 年来“ DDoS 即服务”黑产模式猖獗，攻击者倾向于使用大流 量攻击将攻击目标网络瞬间瘫痪， DDoS 攻击时长小于半小时 的攻击占比达 81.5%，攻击目标主要位于浙江省、江苏省、福 建省、山东省、广东省、北京市等，占比高达 81.1%。 （三） 主流攻击平台活跃情况 通过 持续监测和跟踪 DDoS 攻击平台活跃情况 发现 ，网页 DDoS 攻击平台以及利用 Gafgyt、 Mirai、 Xor、 BillGates、 Mayday 等僵尸网络家族发起攻击仍持续活跃，发起 DDoS 攻击事件较 多。作为“ DDoS 即服务”黑产模式之一的网页 DDoS 攻击平 台，因其直接面向用户提供服务，可由用户按需自主发起攻击， 极大降低了发起 DDoS攻击难度，导致 DDoS攻击进一步泛滥。 监测发现，由网页 DDoS 攻击平台发起的 DDoS 攻击事件数量 最多，同比 2019 年上半年增加 32.2%。当前互联网上大量活 跃的缺乏安全防护的物联网设备，为 DDoS 攻击平台猖獗发展 提供了大量被控资源，导致 DDoS 攻击事件一直高居不下。 - 9 - Gafgyt 和 Mirai 恶意程序新变种不断出现，使得利用其形成的 僵尸网络控制端和攻击事件数量维持在较高水平，而 Xor 恶意 程序家族有明显特征显示其在对外提供 “ DDoS 即服务”黑产 业务，表现出以少量控制端维持较高攻击频度。 四、 网站安全 （一） 网页仿冒 监测发现针对我国境内网站仿冒页面 约 1.9 万个 。 CNCERT 重点针对金融行业、电信行业网上营业厅 等 6,226 个 仿冒页面进行处置，同比减少 48.1%。 在 已协调处置的仿冒 页面 中 ，承载仿冒页面 IP 地址归属地居首位仍然是中国香港 地区，占比达 74.0%。 同时， 互联网上关于“ ETC 在线认证”网站的仿冒页面 数量呈井喷式增长。进入 5月后， 在 针对我国境内网站的仿冒 页面中，涉及“ ETC 在线认证”相关的网页仿冒数量占比高 达 61.2%，此类钓鱼网站的主要承载 IP 地址仍然位于境外。 仿冒形式主要包括“ ETC 信息认证”“ ETC 在线办理认证”“ ETC 在线认证中心”等不同页面主题，诈骗分子诱骗用户提交真实 姓名、银行卡账号、身份证号、银行预留手机号、取款密码等 个人隐私信息。 （二） 网站后门 境内外约 1.8万个 IP 地址对我国境内约 3.59万个网站植 入后门，我国境内被植入后门的网站数量较 2019 年 上半年增 - 10 - 长 36.9%。其中，约有 1.8 万个境外 IP 地址（占全部 IP 地址 总数的 99.3%）对境内约 3.57 万个网站植入后门，位于美国 的 IP 地址最多，占境外 IP 地址总数的 19.0%，其次是位于菲 律宾和中国香港地区的 IP 地址，如图 8 所示。从控制我国境 内网站总数来看，位于菲律宾的 IP 地址控制我国境内网站数 量最多，约 为 1.36 万个，其次是位于中国香港地区和美国的 IP 地址，分别控制我国境内 7,300 个和 6,020 个网站。此外， 随着我国 IPv6 规模部署工作加速推进，支持 IPv6 的网站范围 不断扩大。 此外， 攻击源、攻击目标为 IPv6 地址的网站后门 事件 592 起，共涉及攻击源 IPv6 地址累计 35 个、被攻击 IPv6 地址解析网站域名累计 72 个。 图 8 境外向我国境内网站植入后门 IP 地址所属国家 或地区 TOP10 （三） 网页篡改 我国境内遭篡改的网站有约 7.4 万个，其中被篡改的政府 网站有 318 个。从境内被篡改网页的顶级域名分布来看 ，占比 - 11 - 分 列 前三位的仍然是“ ”“ ”和“ ”，分别占总数 的 74.1%、 5.1%和 1.7%，如图 9 所示。 图 9 境内被篡改网站按顶级域名分布 五、 云平台安全 我国云平台上网络安全威胁形势依然较为严峻。首先，发 生在我国主流云平台上的各类网络安全事件数量占比仍然较 高。其中云平台上遭受 DDoS 攻击次数占境内目标被攻击次数 的 76.1%、被植入后门链接数量占境内全部被植入后门链接数 量的 90.3%、被篡改网页数量占境内被篡改网页数量的 93.2%。 其次，攻击者经常利用我国云平台发起网络攻击。其中云平台 作为控制端发起 DDoS攻击次数占境内控制发起 DDoS攻击次 数的 79.0%，作为木马和僵尸网络恶意程序控制的被控端 IP 地址数量占境内全部被控端 IP 地址数量的 96.3%，承载的恶 意程序种类数量占境内互联网上承载的恶意程序种类数量的 79.0%。 - 12 - 六、 工业控制系统安全 （一） 工业控制系统互联网侧暴露情况 监测发现 暴露在互联网上的工业设备 达 4,630 台，涉及国 内外 35 家厂商的可编程逻辑控制器、智能楼宇、数据采集等 47 种设备类型，具体类型分布如图 10 所示。其中存在高危漏 洞隐患的设备占比约 41%。监测发现电力、石油天然气、城市 轨道交通等重点行业暴露的联网监控管理系统 480 套，其中电 力 262 套、石油天然气 118 套、城市轨道交通 100 套，涉及的 类型包括政府监管平台、远程监控、资产管理、工程安全、数 据检测系统、管网调度系统、 OA 系统、云平台等，具体平台 类型分布如图 11 所示。其中存在信息泄露、跨站请求伪造、 输入验证不当等高危漏洞隐患的系统占比约 11.1%。暴露在互 联网的工业控制系统一旦被攻击，将严重威胁生产系统的安全。 图 10 监测发现的联网工业设备的类型统计 - 13 - 图 11 监测发现的重点行业联网监控管理系统类型统计 （二） 工业控制系统互联网侧威胁监测情况 境内工业控制系统的网络资产持续遭受来自境外的扫描 嗅探，日均超过 2万次。经分析，嗅探行为源自于美国、英国、 德国等境外 90 个国家，目标涉及境内能源、制造、通信等重 点行业的联网工业控制设备和系统。大量关键信息基础设施及 其联网控制系统的网络资产信息被境外嗅探，给我国网络空间 安全带来隐患。 我国根云、航天云网、 OneNET、 COSMOPlat、奥普云、 机智云等大型工业云平台持续遭受来自境外的网络攻击，平均 攻击次数 114 次 /日，同比上升 27%，攻击类型如图 12 所示， 涉及远程代码执行、拒绝服务、 Web 漏洞利用等，工业云平台 承载着大量接入设备、业务系统，以及企业、个人信息和重要 数据，使其成为网络攻击的重点目标。 - 14 - 图 12 工业云平台攻击事件的类型分布 （三） 工业控制产品安全漏洞情况 CNVD、 CVE、 NVD 及 CNNVD 四大漏洞平台新增收录 工业控制系统产品漏洞共计 323 个，其中高中危漏洞占比达 94.7%。如图 13 和图 14 所示，漏洞影响的产品广泛应用于制 造业、能源、水处理、信息技术、化工、交通运输、商业设施、 农业、水利工程、政府机关等关键信息基础设施行业，漏洞涉 及的产品供应商主要包括 ABB、万可、西门子、研华、施耐 德、摩莎、三菱、海为、亚控、永宏等。 - 15 - 图 13 新增工业控制产品漏洞的行业分布 TOP10 （注：受漏洞影响的产品可应用于多个行业） 图 14 新增工业控制产品漏洞的供应商分布 TOP10