内容提要
本报告汇总分析了CNCERT/CC及ZJCERT自有网络安全监测数据,内容涵盖我省互联网网络安全态势分析、网络安全监测数据分析等方面。本报告内容依托国家计算机网络应急技术处理协调中心及国家计算机网络应急技术处理协调中心浙江分中心对我省互联网网络安全状况的总体判断和趋势分析,为主管部门提供监管支撑,为企事业单位提供运行管理技术支持,向社会公众普及互联网网络安全知识,提高全社会、全民的网络安全意识。
目录
一、恶意程序传播情况
1.1 木马和僵尸网络监测情况
1.1.1 木马或僵尸程序控制服务器分析
1.1.2 木马或僵尸程序受控主机分析
二、网站安全监测情况
2.1网页篡改情况
2.2网站后门情况
三、安全漏洞通报与处置情况
3.1 CNVD漏洞收录情况
3.2漏洞报送和通报处置情况
一、恶意程序传播情况
1.1 木马和僵尸网络监测情况
木马是指以盗取用户个人信息,甚至是以远程控制用户计算机为主要目的的恶意程序。由于它像间谍一样潜入用户的电脑,与战争中的“木马”战术十分相似,因而得名木马。按照功能分类,木马程序可进一步分为盗号木马、网银木马、窃密木马、远程控制木马、流量劫持木马、下载者木马和其他木马等,但随着木马程序编写技术的发展,一个木马程序往往同时包含上述多种功能。
僵尸网络是指被黑客集中控制的计算机群,其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为,如可同时对某目标网站进行分布式拒绝服务攻击或同时发送大量的垃圾邮件等。
2021年上半年,CNCERT/CC抽样监测结果显示,在利用木马或僵尸程序控制服务器对主机进行控制的事件中,控制服务器IP地址去重总数为113,513个,受控主机IP地址去重总数为4,626,961个。其中,境内控制服务器IP地址去重数量为63,785个,境内木马或僵尸程序受控主机IP地址去重数量为4,456,041个。
1.1.1 木马或僵尸程序控制服务器分析
2021年上半年,我国境内木马或僵尸程序控制服务器IP地址数量为63,785个,其中浙江省6,147个,占比9.5%,按地域统计情况如图1-1所示。
图 1‑1 2021年上半年我国境内木马或僵尸程序控制服务器 IP 地址数量占比按地域统计
2021年上半年,我省木马或僵尸程序控制服务器IP地址数量按月度统计如图1-2所示,整体呈增长态势,6月为最高值2,881个。在全国范围内木马及僵尸网络专项打击行动持续治理背景下,监测规则库动态增加,网络安全管控标准严格程度不断加大。
图 1‑2 2021年上半年我省木马或僵尸程序控制服务器IP地址数量按月度统计
2021年上半年,我省木马或僵尸程序控制服务器IP地址数量省内分布情况如图1-3所示,各地区占比情况如图1-4,占比排名前3位的为杭州(24.73%)、宁波(13.32%)和金华(12.18%)。
图 1‑3 2021年上半年我省木马或僵尸程序控制服务器IP地址数量按地区统计
图 1‑4 2021年上半年我省木马或僵尸程序控制服务器IP地址数量占比按地区统计
2021年上半年,我国境内发现的因感染木马或僵尸程序而形成的僵尸网络中,控制规模(以被控主机IP地址数量计)为1~100的僵尸网络占比最高(97.97%),其他规模类型的分布情况如图1-5所示。
图 1‑5 2021年上半年我国木马或僵尸网络的规模分布
1.1.2 木马或僵尸程序受控主机分析
2021年上半年,我国境内木马或僵尸程序受控主机IP地址数量为4,456,041个,其中浙江省489,096个,占比11.0%,按地域统计情况如图1-6所示。
图 1‑6 2021年上半年我国境内木马或僵尸程序受控主机IP地址数量占比按地域统计
2021年上半年我省木马或僵尸程序受控主机IP地址数量按月度统计如图1-7所示,由于监测规则库规则数的动态增加,二季度较一季度命中IP数呈增长态势。
图 1‑7 2021年上半年我省木马或僵尸程序受控主机IP地址数量按月度统计
2021年上半年,我省木马或僵尸程序受控主机IP地址数量省内分布情况如图1-8所示,各地区占比情况如图1-9,占比排名前3位的为杭州(14.77%)、金华(12.10%)和丽水(11.66%),各地市分布情况较为平均。
图 1‑8 2021年上半年我省木马或僵尸程序受控主机IP地址数量按地区统计
图 1‑9 2021年上半年我省木马或僵尸程序受控主机IP地址数量占比按地区统计
二、网站安全监测情况
2.1 网页篡改情况
按照攻击手段,网页篡改可以分成显式篡改和隐式篡改两种。通过显式网页篡改,黑客可炫耀技术技巧,或达到声明主张的目的。隐式篡改一般是在被攻击网站的网页中植入被链接到色情、诈骗等非法信息的暗链,以助黑客谋取非法经济利益。黑客为篡改网页,一般需提前知晓网站的漏洞,提前在网页中植入后门,并最终获取对网站的控制权。
2003年起,CNCERT/CC每日跟踪监测我国境内被篡改的网站情况,发现被篡改的网站后及时通知相关分中心或网站负责人进行协调解决,以争取在第一时间恢复被篡改的网站,减少攻击事件带来的影响。
2021年上半年,我国境内被篡改的网站数量33,546个,其中政府网站被篡改数量为177个。境内被篡改网站数量占比按地域统计情况如图2-1所示,前位地区均为我国互联网发展状况较好的地区,互联网资源较为丰富,总体上发生网页被篡改的事件次数较多,浙江省全国占比10.8%。
图 2‑1 2021年上半年我国境内被篡改网站数量占比按地域统计
2021年上半年我省被篡改网站数量按月度统计如图2-2所示,二季度波动较为明显,整体态势下降中存在起伏,5月为最低值227个。
图 2‑2 2021年上半年我省被篡改网站数量按月度统计
2021年上半年我省被篡改网站数量省内分布情况如图2-3所示,各地区占比情况如图2-4,占比排名前3位的为杭州(88.94%)、丽水(2.76%)和温州(1.88%)。
图 2‑3 2021年上半年我省被篡改网站数量按地区统计
图 2‑4 2021年上半年我省被篡改网站数量占比按地区统计
2.2 网站后门情况
网站后门是黑客成功入侵网站服务器后留下的后门程序。通过在网站的特定目录中上传远程控制页面,黑客可以暗中对网站服务器进行远程控制,上传、查看、修改、删除网站服务器上的文件,读取并修改网站数据库的数据,甚至可以直接在网站服务器上运行系统命令。
2021年上半年,CNCERT/CC共监测到我国境内13,505个网站被植入后门,其中政府网站有203个。被植入后门的网站数量占比按地区进行统计情况如图2-5所示,浙江省全国占比9.0%。
图 2‑5 2021年上半年我国境内被植入后门的网站数量占比按地域统计
2021年上半年我省被植入后门的网站数量按月度统计如图2-6所示,态势分布基本平均,3月份为最低206个。
图 2‑6 2021年上半年我省被植入后门的网站数量按月度统计
2021年上半年我省被植入后门的网站数量省内分布情况如图2-7所示,各地区占比情况如图2-8,占比排名前3位的为杭州(72.57%)、金华(5.80%)和衢州(5.02%)。
图 2‑7 2021年上半年我省被植入后门的网站数量按地区统计
图 2‑8 2021年上半年我省被植入后门的网站数量占比按地区统计
三、安全漏洞通报与处置情况
CNCERT/CC高度重视对安全威胁信息的预警通报工作,其中大部分严重的网络安全威胁都是由信息系统所存在的安全漏洞诱发的,因此及时发现和处理漏洞是安全防范工作的重中之重。
3.1 CNVD漏洞收录情况
2021年上半年,国家信息安全漏洞共享平台(CNVD)共收录通用软硬件漏洞13,083个,其中,高危漏洞3,719个(占比28.43%)、中危漏洞7,220个(占比55.19%)、低危漏洞2,144个(占比16.39%)。在收录的漏洞中,零日漏洞有7,107个,可用于实施远程网络攻击的漏洞有9,536个。
2021年上半年,CNVD收录的漏洞按影响对象类型分类统计情况如图3-1所示,占比靠前的类型主要为应用程序漏洞、Web应用漏洞、网络设备(交换机、路由器等网络端设备)漏洞。
图 3‑1 2021年上半年CNVD收录的漏洞按影响对象类型分类统计
3.2 漏洞报送和通报处置情况
国内安全研究者漏洞报告持续活跃,CNVD依托自有报告渠道及其他平台的协作渠道,接收和处置涉及党政机关和重要行业单位的漏洞风险事件。CNVD对接收到的事件进行核实验证,主要依托CNCERT/CC国家中心、分中心处置渠道开展处置工作,同时CNVD通过互联网公开信息积极建立与国内其他企事业单位的工作联系机制。
2021年上半年,ZJCERT共接收CNVD下发事件454起;另通报处置涉及省内政府部门,银行、证券、保险、交通、能源等重要信息系统部门,以及基础电信企业、教育行业等相关行业漏洞风险重点事件共计276起,通报处置漏洞事件数量按月度统计如图3-2所示。
图 3‑2 2021年上半年ZJCERT通报处置漏洞事件数量按月度统计
声明:本文来自国家互联网应急中心浙江分中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
