本报告以CNCERT监测数据和通报成员单位报送数据作为主要依据,对我国互联网面临的各类安全威胁进行总体态势分析,并对重要预警信息和典型安全事件进行探讨。
2018年5月,互联网网络安全状况整体评价为良。主要数据如下:
➣
境内感染网络病毒的终端数为102万余个;
➣
境内被篡改网站数量为1,799个,其中被篡改政府网站数量为53个;境内被植入后门的网站数量为3,014个,其中政府网站有102个;针对境内网站的仿冒页面数量为5,729个;
➣
国家信息安全漏洞共享平台(CNVD)收集整理信息系统安全漏洞1,480个,其中,高危漏洞525个,可被利用来实施远程攻击的漏洞有1,362个。
2018年5月,境内感染网络病毒的终端数为102万余个。其中,境内70万余个IP地址对应的主机被木马或僵尸程序控制,与上月的近64万个相比增长10.3%。
2018年5月,境内70万余个IP地址对应的主机被木马或僵尸程序控制,按地区分布感染数量排名前三位的分别是浙江省、河南省、广东省。
木马或僵尸网络控制服务器IP总数为89,279个。其中,境内木马或僵尸程序控制服务器IP有25,949个,按地区分布数量排名前三位的分别为广东省、湖南省、江苏省。境外木马或僵尸程序控制服务器IP有63,330个,主要分布于美国、日本、印度。其中,位于美国的控制服务器控制了境内321,537个主机IP,控制境内主机IP数量居首位,其次是位于加拿大和中国香港的IP地址,分别控制了境内45,174个和38,355个主机IP。
网络病毒主要针对一些防护比较薄弱,特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。
网络病毒在传播过程中,往往需要利用黑客注册的大量域名。2018年5月,CNCERT监测发现的放马站点中,通过域名访问的共涉及有2,192个域名,通过IP直接访问的共涉及有666个IP。在2,192个放马站点域名中,于境内注册的域名数为1,382个(约占63.0%),于境外注册的域名数为615个(约占28.1%)。放马站点域名所属顶级域名排名前5位的具体情况如下表所示。
表 2018年5月活跃恶意域名所属顶级域名
2018年5月,境内被篡改网站的数量为1,799个,境内被篡改网站数量按地区分布排名前三位的分别是广东省、北京市、浙江省。按网站类型统计,被篡改数量最多的是.COM域名类网站,其多为商业类网站;值得注意的是,被篡改的.GOV域名类网站有53个,占境内被篡改网站的比例为2.9%。
2018年5月,境内被植入后门的网站数量为3,014个,境内被植入后门的网站数量按地区分布排名前三位的分别是广东省、北京市、河南省。按网站类型统计,被植入后门数量最多的是.COM域名类网站,其多为商业类网站;值得注意的是,被植入后门的.GOV域名类网站有102个,占境内被植入后门网站的比例为3.4%。
2018年5月,境外2,279个IP地址通过植入后门对境内3,014个网站实施远程控制。其中,境外IP地址主要位于美国、俄罗斯和菲律宾等国家或地区。从境外IP地址通过植入后门控制境内网站数量来看,来自美国的IP地址共向境内511个网站植入了后门程序,入侵网站数量居首位;其次是来自中国香港和乌克兰的IP地址,分别向境内388个和348个网站植入了后门程序。
2018年5月,CNCERT共监测到针对境内网站的仿冒页面有5,729个,涉及域名1,477个,IP地址647个,平均每个IP地址承载近9个仿冒页面。在这647个IP中,99.2%位于境外,主要位于美国和中国香港。
2018年5月,CNVD收集整理信息系统安全漏洞1,480个。其中,高危漏洞525个,可被利用来实施远程攻击的漏洞有1,362个。受影响的软硬件系统厂商包括Adobe、Cisco、Drupal、Google、IBM、Linux、Microsoft、Mozilla、WordPress等。
根据漏洞影响对象的类型,漏洞可分为操作系统漏洞、应用程序漏洞、WEB应用漏洞、数据库漏洞、网络设备漏洞(如路由器、交换机等)和安全产品漏洞(如防火墙、入侵检测系统等)。本月CNVD收集整理的漏洞中,按漏洞类型分布排名前三位的分别是应用程序漏洞、WEB应用漏洞、操作系统漏洞。
