本報告以CNCERT監測數據和通報成員單位報送數據作為主要依據����,對我國互聯網面臨的各類安全威脅進行總體態勢分析��,并對重要預警信息和典型安全事件進行探討���。
2018年11月��,互聯網網絡安全狀態整體評價為良�。主要數據如下:
*境內感染網絡病毒的終端數為近84萬余個�;
*境內被篡改網站數量為1,357個��,其中被篡改政府網站數量為68個�;境內被植入后門的網站數量為2,513個��,其中政府網站有45個���;針對境內網站的仿冒頁面數量為6,469個���;
*國家信息安全漏洞共享平臺(CNVD)收集整理信息系統安全漏洞810個��,其中�,高危漏洞308個���,可被利用來實施遠程攻擊的漏洞有700個����。
網絡病毒監測數據分析
2018年11月����,境內感染網絡病毒的終端數為84萬余個�。其中����,境內近60萬個IP地址對應的主機被木馬或僵尸程序控制��,與上月的近41萬個相比增長46.3%����。
1���、木馬僵尸網絡監測數據分析
2018年11月�����,境內近60萬個IP地址對應的主機被木馬或僵尸程序控制����,按地區分布感染數量排名前三位的分別是廣東省�����、河南省�、浙江省��。
木馬或僵尸網絡控制服務器IP總數為28,653個��。其中�,境內木馬或僵尸程序控制服務器IP有2,150個��,按地區分布數量排名前三位的分別為廣東省��、北京市���、上海市����。境外木馬或僵尸程序控制服務器IP有26,503個��,主要分布于美國�、日本�����、德國����。其中�,位于美國的控制服務器控制了境內263,443個主機IP���,控制境內主機IP數量居首位�����,其次是位于意大利和荷蘭的IP地址���,分別控制了境內222,567個和10,569個主機IP����。
2����、移動互聯網惡意程序監測數據分析
2018年11月����,CNCERT針對目前流行的信息竊取類��、惡意扣費類和敲詐勒索類典型移動惡意程序進行分析��,發現信息竊取類惡意程序樣本987個����,惡意扣費類惡意程序樣本1081個����,敲詐勒索類惡意程序樣本2208個�。
2018年11月���,CNCERT向應用商店�����、個人網站�����、廣告平臺��、云平臺等傳播渠道通報下架移動互聯網惡意程序310個�。其中�,資費消耗類的惡意程序數量居首位(占54.5%)����,誘騙欺詐(占28.7%)��、流氓行為類(占6.8%)分列第二�、三位�����。
3�、網絡病毒捕獲和傳播情況
網絡病毒主要針對一些防護比較薄弱��,特別是訪問量較大的網站通過網頁掛馬的方式進行傳播����。當存在安全漏洞的用戶主機訪問了這些被黑客掛馬的網站后���,會經過多級跳轉暗中連接黑客最終“放馬”的站點下載網絡病毒����。
網絡病毒在傳播過程中�,往往需要利用黑客注冊的大量域名����。2018年11月����,CNCERT監測發現的放馬站點中���,通過域名訪問的共涉及有17,266個域名�����,通過IP直接訪問的共涉及有7,194個IP�。在17,266個放馬站點域名中�,于境內域名申請數為7,488個(約占44.4%)��,于境外域名申請數為3,154個(約占18.3%)����。放馬站點域名所屬頂級域名排名前5位的具體情況如表所示�。
2018年11月活躍惡意域名所屬頂級域名
| 排序 | 頂級域名(TLD) | 域名類別 | 惡意域名數量 |
| 1 | .com | 通用頂級域名(gTLD) | 7814 |
| 2 | .cn | 國家頂級域名(ccTLD) | 1954 |
| 3 | .net | 通用頂級域名(gTLD) | 587 |
| 4 | .org | 通用頂級域名(gTLD) | 255 |
| 5 | .tw | 通用頂級域名(gTLD) | 195 |
網站安全數據分析
1�、境內網站被篡改情況
2018年11月��,境內被篡改網站的數量為1,357個��,境內被篡改網站數量按地區分布排名前三位的分別是廣東省���、北京市�����、浙江省�����。按網站類型統計��,被篡改數量最多的是.COM域名類網站����,其多為商業類網站���;值得注意的是�����,被篡改的.GOV域名類網站有68個���,占境內被篡改網站的比例為5.0%��。
2�、境內網站被植入后門情況
2018年11月����,境內被植入后門的網站數量為2,513個����,境內被植入后門的網站數量按地區分布排名前三位的分別是廣東省��、北京市�����、河南省��。按網站類型統計�����,被植入后門數量最多的是.COM域名類網站����,其多為商業類網站����;值得注意的是���,被植入后門的.GOV域名類網站有45個�,占境內被植入后門網站的比例為1.8%����。
2018年11月���,境外2910個IP地址通過植入后門對境內1,579個網站實施遠程控制����。其中���,境外IP地址主要位于美國�����、俄羅斯和意大利等國家或地區����。從境外IP地址通過植入后門控制境內網站數量來看�,來自中國香港的IP地址共向境內523個網站植入了后門程序��,入侵網站數量居首位����;其次是來自美國和俄羅斯的IP地址�,分別向境內245個和176個網站植入了后門程序�。
3��、境內網站被仿冒情況
2018年11月��,CNCERT共監測到針對境內網站的仿冒頁面有6,469個���,涉及域名1,771個����,IP地址792個����,在這792個IP中��,99.0%位于境外����,主要位于美國和中國香港���。
漏洞數據分析
2018年11月��,CNVD收集整理信息系統安全漏洞810個�����。其中���,高危漏洞308個�����,可被利用來實施遠程攻擊的漏洞有700個�����。受影響的軟硬件系統廠商包括Adobe����、Cisco����、Drupal�、Google����、IBM����、Linux�、Microsoft��、Mozilla��、WordPress等�����。
根據漏洞影響對象的類型����,漏洞可分為操作系統漏洞�、應用程序漏洞��、WEB應用漏洞�、數據庫漏洞����、網絡設備漏洞(如路由器�����、交換機等)和安全產品漏洞(如防火墻����、入侵檢測系統等)���。本月CNVD收集整理的漏洞中��,按漏洞類型分布排名前三位的分別是應用程序漏洞���、操作系統漏洞��、WEB應用漏洞�����。
網絡安全事件接收與處理情況
1�、事件接收情況
2018年11月��,CNCERT收到國內外通過電子郵件��、熱線電話�����、網站提交�����、傳真等方式報告的網絡安全事件8,428件(合并了通過不同方式報告的同一網絡安全事件��,且不包括掃描和垃圾郵件類事件)����,其中來自國外的事件報告有53件����。
在8,428件事件報告中���,排名前三位的安全事件分別是網頁仿冒���、惡意程序�、漏洞���。
2�、事件處理情況
對國內外通過電子郵件���、熱線電話����、傳真等方式報告的網絡安全事件�����,以及自主監測發現的網絡安全事件�,CNCERT每日根據事件的影響范圍和存活性�、涉及用戶的性質等因素��,篩選重要事件進行協調處理�。
2018年11月�����,CNCERT以及各省分中心共同協調處理了8,487安全事件���。其中網頁仿冒�、漏洞類事件處理數量較多�����。
