工信部发布11月末网络安全态势 央视被仿冒网站

  • 发布时间:2018-10-03 15:49:40

  • 来源:admin

  本周,互联网网络安全态势整体评价为差。我国互联网基础设施运行整体平稳,全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。

  依据CNCERT抽样监测结果和国家信息安全漏洞共享平台(CNVD)发布的数据,本周境内感染网络病毒的主机数约为147万个,较上周环比增加了2.4%;新增网络病毒家族1个,较上周数量增加了1个;境内被篡改政府网站数量为471个,较上周环比减少了0.8%;境内被植入后门的政府网站数量为77个,较上周环比减少了7.2%;针对境内网站的仿冒页面数量为2720个,较上周环比大幅上升了61.3%;新增信息安全漏洞188个,较上周环比大幅增加了1.1倍,其中新增高危漏洞43个,较上周大幅减少了35.8%。

  注1:一般情况下,恶意代码是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序。其中,网络病毒是特指有网络通信行为的恶意代码。

  根据CNCERT监测数据,本周境内被篡改政府类网站有471个(约占境内8.9%),较上周环比下降了0.8%。本周协调处理的部分被篡改政府网站(网站所属机构标为省、市、区单位的的列表如下,其中是否恢复是截止到12月3日12时前的验证结果。

  注2:政府网站是指英文域名以“.gov.cn”结尾的网站,但不排除个别非政府部门也使用“.gov.cn”的情况。表格中仅列出了被篡改网站或被挂马网站的域名,而非具体被篡改或被挂马的页面URL。

  本周监测发现境内被植入后门的政府类网站有77个(约占境内4.9%),较上周环比减少了7.2%。

  根据通信行业各互联网信息通报成员单位报送数据,本周共发现境内被挂马政府类网站有32个(约占境内18.8%),较上周环比增加了28%。各单位报送数量如下图所示。

  本周境内感染网络病毒的主机数约为147万个,较上周环比增加了2.4%。其中,境内被木马或被僵尸程序控制的主机约为36.3万个,较上周环比增加了14.7%;境内感染飞客(conficker)蠕虫的主机约为110.7万个,较上周环比减少了1.1%。

  本周我国大陆感染木马和僵尸程序最多的地区排名前三位的分别是广东省约5.9万个(约占中国大陆总感染量的16.4%)、江苏省约3.4万个(约占中国大陆总感染量的9.3%)和浙江省2.2万个(约占中国大陆总感染量的6.1%)。

  本周,中国反网络病毒联盟(ANVA)整理发布的活跃恶意代码如下表所示。其中,利用应用软件及操作系统漏洞进行传播的恶意代码仍占较高比例,恶意代码中下载者木马和盗号木马较为活跃。ANVA提醒互联网用户一方面要加强系统漏洞的修补加固,安装安全防护软件;另一方面,建议互联网用户使用正版的操作系统和应用软件,不要轻易打开网络上来源不明的图片、音乐、视频等文件,不要下载和安装一些来历不明的软件,特别是一些所谓的外挂程序。

  注3:中国反网络病毒联盟(China Anti-Network Virus Alliance,缩写ANVA)是由中国互联网协会网络与信息安全工作委员会发起、CNCERT具体组织运作的行业联盟。反网络病毒联盟依托CNCERT的技术和资源优势,通过社会化机制组织开展互联网网络病毒防范、治理相关的信息收集发布、技术研发交流、宣传教育、联合打击等工作,并面向社会提供信息咨询、技术支持等服务,以净化公共互联网网络环境,提升互联网网络安全水平。

  该溢出脚本病毒通过网页挂马的方式传播,会利用swf漏洞Binary convert by activeScript构造特殊swf文件,触发漏洞点,执行shellcode,下载恶意程序。

  本周,CNCERT捕获了大量新增网络病毒文件,其中按网络病毒名称统计新增新增72个,较上周环比减少了24.2%;按网络病毒家族统计新增1个,较上周数量增加了1个。

  注5:网络病毒文件是网络病毒的载体,包括可执行文件、动态链接库文件等,每个文件都可以用哈希值唯一标识。

  注6:网络病毒名称是通过网络病毒行为、源代码编译关系等方法确定的具有相同功能的网络病毒命名,完整的命名一般包括:分类、家族名和变种号。一般而言,大量不同的网络病毒文件会对应同一个网络病毒名称。

  注7:网络病毒家族是具有代码同源关系或行为相似性的网络病毒文件集合的统称,每个网络病毒家族一般包含多个变种号区分的网络病毒名称。

  网络病毒主要对一些防护比较薄弱或者访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。本周,CNCERT监测发现排名前十的活跃放马站点域名和活跃放马站点IP分别如下两表所示。

  网络病毒在传播过程中,往往需要利用黑客注册的大量域名。本周,CNCERT监测发现的放马站点中,通过域名访问的共涉及有500个,通过IP直接访问的共涉及195个。在500个放马站点域名中,于境内注册的域名数为88个(约占17.6%),于境外注册的域名数为368个(约占73.6%),未知注册商所属境内外信息的有44个(约占8.8%)。其中按放马站点域名按所属顶级域排名前三位的是.com(约占58.6%)、.info(约占11.4%)、.cn(约占7.2%)。

  针对CNCERT自主监测发现以及各单位报送数据,CNCERT积极协调域名注册机构等进行处置(参见本周事件处理情况部分),同时通过ANVA在其官方网站上发布恶意地址黑名单(详细黑名单请参见:。请各网站管理机构注意检查网站页面中是否被嵌入列入恶意地址黑名单的URL,并及时修补漏洞,加强网站的安全防护水平,不要无意中成为传播网络病毒的“帮凶”。

  对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件,以及自主监测发现的网络安全事件,CNCERT根据事件的影响范围和存活性、涉及用户的性质等因素,筛选重要事件进行处理。

  本周,CNCERT通过与基础电信运营商、域名注册服务机构的合作机制,以及反网络病毒联盟(ANVA)的工作机制,共协调处理了250起网络安全事件。

  依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律法规的规定,本周ANVA在中国电信等基础电信运营企业以及爱名网、花生壳、江苏邦宁、商务中国、上海有孚、万网、西维数码、新网互联、新网数码等域名注册服务机构的配合和支持下,并通过与境外域名注册商和国际安全组织的协作机制,对195个境内外参与传播网络病毒或仿冒网站的恶意域名或服务器主机IP采取了处置措施。详细列表如下所示。

  注8:CNCERT不公开服务器的具体IP, 其中*代表数字0-255,可能会出现同一C段的多个IP使用相同的表示方式。

  本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞,详细的漏洞信息请参见CNVD漏洞周报()。

  注9:CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

  Google Chrome是一款开源的WEB浏览器;Google Cityhash提供了字符串的hash函数实现。本周,上述产品被披露存在多个安全漏洞,攻击者利用漏洞可构建恶意WEB页,诱使用户解析,执行任意代码或发起拒绝服务攻击。

  Moodle是一款开源的网络教学应用程序。本周,该产品被披露存在多个安全漏洞,攻击者利用漏洞可通过高级搜索绕过限制,上传并执行文件。

  CNVD收录的相关漏洞包括:Moodle文件上传漏洞、Moodle lib/formslib.php访问限制绕过漏洞、Moodle绕过限制读取敏感信息漏洞、Moodle安全绕过信息读取漏洞、Moodle moodle/role:manage安全绕过漏洞、Moodle访问其他用户Dropbox漏洞。厂商已经发布了上述漏洞的修补程序。CNVD提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。

  Xen是一款开放源代码的虚拟机监视器。本周,该产品被披露存在多个安全漏洞,攻击者利用漏洞可以使系统崩溃或执行任意代码。

  Mahara是一个开源的社会化网络应用软件,提供电子文件夹、网络日志、履历表生成器以及SNS等应用功能。本周,该产品被披露存在多个安全漏洞,攻击利用漏洞可获得敏感信息或劫持用户会话。

  CNVD收录的相关漏洞包括:Mahara query跨站脚本漏洞、Mahara点击劫持漏洞、Mahara任意文件读取漏洞、Mahara xhtml跨站脚本漏洞、Mahara任意程序执行漏洞、Mahara artefact/file/跨站脚本漏洞、Mahara CSV跨站脚本漏洞。厂商已经发布了上述漏洞的修补程序。CNVD提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。

  SmartCMS是一款网站内容管理系统软件。本周,该产品被披露存在一个综合评级为“高危”的SQL注入漏洞。由于SmartCMS index.php未能过滤idx参数数据,远程攻击者利用漏洞可进行SQL注入攻击,获得数据库敏感信息。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页以获取最新版本。

  更多高危漏洞见下表所示,详细信息可根据CNVD编号,在CNVD官网()进行查询。

  小结:本周,应用广泛的浏览器软件Google Chrome以及Linux平台下虚拟机软件Xen被披露存在多个漏洞,攻击者利用漏洞可执行任意代码,有可能被利用发起大规模挂马攻击,或攻击相关主机操作系统。而Moodle和Mahara等面向教育机构和社交网络的应用软件被披露存在多个安全漏洞,利用漏洞可获得敏感信息或上传执行文件。

  此外,SmartCMS系统以及涉及国内用户较广的ASUS Net4Switch华硕电脑网络管理软件被披露存在零日漏洞,可以导致主机拒绝服务或取得主机权限,建议采用该软件的用户随时关注厂商主页,及时获取修复补丁或解决方案。本周值得关注的还有开源网站访问统计系统软件Piwik官方网站源码包被植入后门的安全事件,11月26日当天下载部署相关源码包的用户应及时更换软件,排查后门隐患。