2019年4月互联网安全威胁报告.pdf

良 中 差 危 优良 中 差 危 优 CNCERT互联网安全威胁报告 2019 年 4 月 总 第 100 期 热线电话： +8610 82990999（中文）， 82991000（英文） 传真： +8610 82990399 电子邮件： cncertcert PGP Key： cert/cncert.asc 网址： cert/ 摘要： 本报告以 CNCERT 监测数据和通报成员单位报送数 据作为主要依据，对我国互联网面临的各类安全威胁进行总体态势分析， 并对重要预警信息和典型安全事件进行探讨。 2019 年 4 月 ，互联网网络安全状况整体评价为 良 。主要数据如下： 境内感染网络病毒的终端数为 79万 余 个 ； 境内被篡改网站数量为 7,083个，其中被篡改政府网站数量为 85个；境内被植入后门的网站数量为 4,485个，其中政府网站有 57个；针对 境内网站的 仿冒页面数量为 8,944个 ； 国家信息安全漏洞共享平台（ CNVD）收集整理信息系统安全漏洞 881个 。 其中，高危漏洞 333个，可被利用来实施远程攻击的漏洞有 801个。 国家互联网应急中心 cert 关于国家互联网应急中心（ CNCERT） 国家互联网应急中心是国家计算机网络应急技术处理协调中心的简称（英文简称为 CNCERT 或 CNCERT/CC），成立于 2002 年 9 月，为非政府非盈利的网络安全技术中心，是我国网络安全应急体系的核心 技术 协调机构。 2003 年， CNCERT 在全国 31 个省（直辖市、自治区）成立分中心。作为国家级应急中心， CNCERT 的主要职责是：按照 “积极预防、及时发现、快速响应、力保恢复 ”的方针，开展互联网网络安全事件的预 防、发现、预警和协调处置等工作，维护国家公共互联网安全，保障基础信息网络和重要信息系统的安全运行。 CNCERT 的业务能力如下： 事件发现 依托 “公共互联网网络安全监测平台 ”，开展对基础信息网络、金融证券等重要信息系统、移动互联网服务提供商、增值电信企业等安全事件的自主监测。同时还通过与国内外合作伙伴进行数据和信息共享，以及通过热线电话、传真、电子邮件、网站等接收国内外用户的网络安全事件报告等多种渠道发现网络攻击威胁和网络安全事件。 预警通报 依托对丰富数据资源的综合分析和多渠道的信息获取，实现网络安全 威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分析等，为用户单位提供互联网网络安全态势信息通报、网络安全技术和资源信息共享等服务。 应急处置 对于自主发现和接收到的危害较大的事件报告， CNCERT 及时响应并积极协调处置，重点处置的事件包括：影响互联网运行安全的事件、波及较大范围互联网用户的事件、涉及重要政府部门和重要信息系统的事件、用户投诉造成较大影响的事件，以及境外国家级应急组织投诉的各类网络安全事件等。 测试评估 作为网络安全检测、评估的专业机构，按照 “支撑监管，服务社会 ”的原则，以 科学的方法、规范的程序、公正的态度、独立的判断，按照相关标准为政府部门、企事业单位提供安全评测服务。 CNCERT 还组织通信网络安全相关标准制定，参与电信网和互联网安全防护系列标准的编制等。 同时，作为中国非政府层面开展网络安全事件跨境处置协助的重要窗口，CNCERT 积极开展国际合作，致力于构建跨境网络安全事件的快速响应和协调处置机制。 CNCERT 为国际著名网络安全合作组织 FIRST 正式成员以及亚太应急组织APCERT 的发起人之一。 截至 2018 年 12 月 ， CNCERT 与 76 个国家和地区的 233 个组织建立了 “CNCERT 国际合作伙伴 ”关系。 国家互联网应急中心 cert 版权及免责声明 CNCERT 互联网安全威胁报告（以下简称 “报告 ”）为国家计算机网络应急技术处理协调中心（简称国家互联网应急中心， CNCERT 或 CNCERT/CC）的电子刊物，由CNCERT 编制并拥有版权。报告中凡摘录或引用内容均已指明出处，其版权归相应单位所有。本报告所有权利及许可由 CNCERT 进行管理，未经 CNCERT 同意，任何单位或个人不得将本报告以及其中内容转发或用于其他用途。 CNCERT 力争保证本报告的准确性和可靠性，其中的信息、数据、图片等仅供参考，不作为您 个人或您企业实施安全决策的依据， CNCERT 不承担与此相关的一切法律责任。编者按： 感 谢您阅读 CNCERT 互联网安全威胁报告，如果您发现本 报告 存在任何问题，请您及时与我们联系，来信地址为： cncertcert。 国家互联网应急中心 cert 1 本月网络安全基本态势分析 2019 年 4 月 ， 互联网网络安全状况整体评价为良。我国基础网络运行总体平稳，互联网骨干网各项监测指标正常，未发生较大以上网络安全事件。在我国互联网网络安全环境方面，木马或僵尸程序控制服务器 IP 地址数量、境内感染木马或僵尸程序的 IP 地址数量、感染飞客蠕虫的 IP 地址数量、境内被篡改网站数量、被植入后门网站数量、仿冒网站数量等较上月有所增长，其他各类网络安全事件数量均有不同程度的下降。总体上， 4 月公共互联网网络安全 态势较上月有所恶化 ,评价指数在良的区间。 基础网络安全 2019 年 4 月 ，我国基础网络运行总体平稳，互联网骨干网各项监测指标正常，未出现省级行政区域以上的造成较大影响的基础网络运行故障，未发生较大以上网络安全事件。 重要联网信息系统安全 本月，监测发现境内政府网站被篡改的数量为 85 个，与上月的65 个相比上升 30.8%，占境内被篡改网站的比例由 5.3%下降到 1.2%；境内政府网站被植入后门的数量为 57 个，与上月的 35 个相比上升62.9%，占境内被植入后门网站的比例由 1.1%上升到 1.3%。针对境内网站的仿冒页面 数量为 8,944 个，较上月的 8,144 个上升 9.8%。 国家信息安全漏洞共享平台 （ CNVD1） 共协调处置了 2,038 起涉及我国政府部门以及银行、民航等重要信息系统部门以及电信、传媒、公共卫生、教育等相关行业的漏洞事件 。 注 1： CNVD 是 CNCERT 联合国内重要信息系统 单位 、 基础 电信运营 商 、 网络 安全厂商、软件厂商 和 互联网企业 建立 的信息安全漏洞 信息 共享 知识库 ， 致力于建立国家统一的 信息安全漏洞收集、发布、验证、分析等应急 处理 体系。 国家互联网应急中心 cert 2 公共网络环境安全 2019 年 4 月 ，根据 CNCERT 的监测数据，我国互联网网络安全环境主要指标情况如下： 网络病毒 2活动情况方面，境内感染网络病毒的终端数为 79 万 余 个 ，较上月 增长 15.2%。 网站安全方面，境内被篡改网站数量为 7,083 个，较上月增长 480.6%；境内被植入后门的网站数量为 4,485 个，较上月增长 35.3%；针对境内网站的仿冒页面数量为 8,944 个，较上月增长 9.8%。 安全漏洞方面，本月 CNVD 共收集整理信息系统安全漏洞 881 个，较上月下降 22.2%。其中高危漏洞 333 个，较上月下降 2.9%；可被利用来实施远程攻击的漏洞有 801个，较上月下降 20.0%。 事件受理方面， CNCERT 接收到网络安全事件报告 8,722 件，较上月下降 2.4%，数量最多的分别是恶意程序类事件 2,544 件、漏洞类事件 2,404 件 。 事件处理方面， CNCERT 处理了网络安全事件 8,714 件，数量最多的分别是 网页仿冒类 事 件 2,545 件、移动互联网恶意程序 类事件 2,406 件 。 注 2：一般情况下，恶意代码是指在未经授权的情况下，在信息系统中安装、执行以达到不正当目的的程序。其中，网络病毒是特指有网络通 信行为的恶意代码。 4 月， CNCERT 在对恶意代码进行抽样监测时，对 551 种木马家族和 83 种僵尸程序家族进行了抽样监测。 国家互联网应急中心 cert 3 本月网络安全主要数据 网络病毒监测数据分析 2019 年 4 月 ，境 内感染网络病毒的终端数为 79 万余个 。其中，境内 51 万余个 IP 地址对应的主机被木马或僵尸程序控制，与上月的48 万余个相比上升 6.2%。 木 马僵尸网络监测数据分析 2019 年 4 月 ，境内 51 万余 个 IP 地址对应的主机被木马或僵尸程序控制， 按地区分布感染数量排名前三位的分别是 河南 省 、 广东 省 、江苏 省 。 木马或僵尸网络控制服务器 IP 总数为 13,997 个。其中， 境内木马或僵尸程序控制服务器 IP 有 1,827 个 ，按地区分布数量排名前三位的分别为 广东省 、 江苏省、 北京市 。 境外木马或僵尸程序 控制服务器 IP有 12,170 个 ，主要分布于 美国、 新西兰 和 中国香港 。其中， 位于 美国的控制服务器控制了境内 315,198 个主机 IP，控制境内主机 IP 数量居首位，其次是位于 中国香港 和法国的 IP 地址，分别控制了境内80,414 个和 79,876 个主机 IP。 移动互联网恶意程序监测数据分析 2019 年 4 月 ， CNCERT 重点针对目前流行的信息窃取类、恶意扣费类和敲诈勒索类典型移动恶意程序进行分析，发现 敲诈勒索类恶意程序样本 533 个，恶意扣费 类恶意程序样本 507 个，信息窃取类恶意程序样本 181 个。 2019 年 4 月 ， CNCERT 向应用商店、个人网站、广告平台、云平台等传播渠道通报下架移动互联网恶意程序 169 个。 这些 移动互联网恶意程序按行为属性统计， 流氓行为类的恶意程序数量居首位 (占国家互联网应急中心 cert 4 29.0%)，资费消耗类（占 28.4%）、诱骗欺诈类（占 27.8%）分列第二、三位 。 网络病毒捕获和传播情况 网络病毒主要针对一些防护比较薄弱，特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后，会经过多级跳转暗中连接 黑客最终 “放马 ”的站点下载网络病毒。 网络病毒在传播过程中，往往需要利用黑客注册的大量域名。 2019年 4 月 ， CNCERT 监测发现的放马站点中，通过域名访问的共涉及有14,538 个域名，通过 IP 直接访问的共涉及有 11,013 个 IP。在 14,538个放马站点域名中，于境内注册的域名数为 4,695 个（约占 32.3%），于境外注册的域名数为 3,553 个（约占 24.4%）。 放马站点域名所属顶级域名排名前 5 位的具体 情况如表所示。 表 2019 年 4 月 活跃恶意域名所属顶级域名 排序 顶级域名（ TLD） 类别 恶意域名数量 1 通用顶级域名（ gTLD） 6658 2 国家顶级域名（ ccTLD） 1758 3 .IO 通用顶级域名（ gTLD） 764 4 通用顶级域名（ gTLD） 667 5 .JP 通用顶级域名（ gTLD） 536 网站安全数据分析 境内网站被篡改情况 2019 年 4 月 ，境内被篡改网站的数量为 7,083 个 ， 境内被篡改网站数量按地区分布排名前三位的分别是 北京市、 广东省和 山东省 。按网站类型统计，被篡改数量最多的是 域名类网站，其多为商业类网站；值得注意的是，被篡改的 .GOV 域名类网站有 85 个，占境内被篡改网站的比例为 1.2%。 国家互联网应急中心 cert 5 境内网站被植入后门情况 2019 年 4 月 ，境内被植入后门的网站数量为 4,485 个 ， 境内被植入后门的网站数量按地区分布排名前三位的分别是 北京市、 广东省 、浙江 省 。按网站类型统计，被植入后门数量最多的是 域名类网站，其多为商业类网站；值得注意的是，被植入后门的 .GOV 域名类网站有 57 个，占境内被植入后门网站的比例为 1.3%。 2019 年 4 月 ， 境外 3,513 个 IP 地址通过植入后门对境内 4,302个网站实 施远程控制 。 其中，境外 IP 地址主要位于 美国 、 中国香港和 新加坡 等国家或地区。从境外 IP 地址通过植入后门控制境内网站数量来看， 来自 美国 的 IP地址共向境内 1,111 个网站植入了后门程序，入侵网站数量居首位；其次是来自 中国 香港和新加坡 的 IP 地址，分别向境内 931 个和 357 个网站植入了后门程序 。 境内网站被仿冒情况 2019年 4月 ， CNCERT共监测到针对境内网站的仿冒页面有 8,944个，涉及域名 2,410 个， IP 地址 1,237 个，在这 1,237 个 IP 中， 92.7%位于境外 ，主要位于中国香港 和美国 。 漏洞数据分析 2019 年 4 月 ， CNVD 收集整理信息系统安全漏 洞 881 个。其中，高危漏洞 333 个，可被利用来实施远程攻击的漏洞有 801 个。受影响的软硬件系统厂商包括 Adobe、 Apple、 CloudBees、 Cybozu、 Google、IBM、 Microsoft、 Oracle 等。 根据漏洞影响对象的类型，漏洞可分为 应用程序、 WEB 应用、操作系统、网络设备（交换机、路由器等网络端设备）、安全产品（如防火墙、入侵检测系统等）、数据库和智能设备（物联网终端设备）漏洞。 本月 CNVD 收集整理的漏洞中，按漏洞类型分布排名前三位的分别是应用程序漏洞、 WEB 应用 漏洞 、 操作系统 漏洞 。 国家互联网应急中心 cert 6 网络安全事件接收与处理情况 事件接收情况 2019 年 4 月 ， CNCERT 收到国内外通过电子邮件、热线电话、网站提交、传真等方式报告的网络安全事件 8,722 件（合并了通过不同方式报告的同一网络安全事件，且不包括扫描和垃圾邮件类事件），其中来自国外的事件报告有 68 件。 在 8,722 件事件报告中 ，排名前三位的安全事件分别是 恶意程序 、漏洞、网页仿冒 。 事件处理情况 对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件，以及自主监测发现的网络安全事件， CNCERT 每日根据事件的影响范围和存活性、涉及用户的性质等 因素，筛选重要事件进行协调处 理。 2019 年 4 月 ， CNCERT 以及各省分中心共同协调处理了 8,714 安全事件。 其 中 网页仿冒类、移动互联网恶意程序 类、 非授权访问 类事件 处理数量较多。国家互联网应急中心 cert 7 附：术语解释 信息系统 信息系统是指由计算机硬件、软件、网络和通信设备等组成的以处理信息和数据为目的的系统。 漏洞 漏洞是指信息系统中的软件、硬件或通信协议中存在缺陷或不适当的配置，从而可使攻击者在未授权的情况下访问或破坏系统，导致信息系统面临安全风险。 恶意程序 恶意程序 是指在未经授权 的情况下，在信息系统中安装、执行以达到不正当目的的程序。恶意程序 分类说明如下： 1. 特洛伊木马（ Trojan Horse） 特洛伊木马（简称木马）是以盗取用户个人信息，甚至是远程控制用户计算机为主要目的的恶意代码。由于它像间谍一样潜入用户的电脑，与战争中的 “木马 ”战术十分相似，因而得名木马。按照功能，木马程序可进一步分为：盗号木马 3、网银木马 4、窃密木马 5、远程控制木马 6、流量劫持木马 7、下载者木马 8和其它木马 七 类。 2. 僵尸程序（ Bot） 僵尸程序是用于构建大规模攻击平台的恶意代码。按照使用的通信协议，僵尸程序可进一步分为： IRC 僵尸程序、 Http 僵尸程序 、 P2P 僵尸程序和其它僵尸程序四类。 3. 蠕虫（ Worm） 蠕虫是指能自我复制和广泛传播，以占用系统和网络资源为主要目的的恶意代码。按照传播途径，蠕虫可进一步分为：邮件蠕虫、即时消息蠕注 3：盗号木马是用于窃取用户电子邮箱、网络游戏等账号的木马。 注 4：网银木马是用于窃取用户网银、证券等账号的木马。 注 5：窃密木马是用于窃取用户主机中敏感文件或数据的木马。 注 6： 远程控制木马是以不正当手段获得主机管理员权限，并能够通过网络操控用户主机的木马。 注 7：流量劫持木马是用于劫持用户网络浏览的流量到攻击者指定站点的木马。 注 8： 下载者木马是用于下载更多恶意代码到用户主机并运行， 以进一步操控用户主机的木马。