一、惡意程序
(一)計算機惡意程序捕獲情況
2020 年上半年,捕獲計算機惡意程序樣本數量約 1,815 萬個,日均傳播次數達 483 萬余次�,涉及計算機惡意程序家族約 1.1 萬余個。按照傳播來源統(tǒng)計,境外惡意程序主要來自美國����、塞舌爾和加拿大等��,境外具體分布如圖 1 所示;位于境內的惡意程序主要來自浙江省、廣東省和北京市等。按照目標 IP 統(tǒng)計,我國境內受計算機惡意程序攻擊的 IP 地址約 4,208 萬個���,約占我國 IP 總數的 12.4%����,這些受攻擊的 IP 地址主要集中在山東省�����、江蘇省�����、廣東省、浙江省等����,我國受計算機惡意程序攻擊的 IP 分布情況如圖 2 所示��。
圖 1 計算機惡意代碼傳播源位于境外分布情況
圖 2 我國受計算機惡意代碼攻擊的 IP 分布情況
(二)計算機惡意程序用戶感染情況
我國境內感染計算機惡意程序的主機數量約 304 萬臺,同比增長 25.7%�。位于境外的約 2.5 萬個計算機惡意程序控制廣西服務器控制我國境內約 303 萬臺主機����。就控制廣西服務器所屬國家或地區(qū)來看,位于美國���、中國香港地區(qū)和荷蘭的控制廣西服務器數量分列前三位��,分別是約 8,216 個�、1,478 個和 1,064 個���,具體分布如圖 3 所示��;就所控制我國境內主機數量來看��,位于美國���、荷蘭和德國的控制服務器控制規(guī)模分列前三位,分別控制我國境內約 252 萬�、127 萬和 117 萬臺主機,如圖 4 所示����。此外�����,根據抽樣監(jiān)測數據發(fā)現(xiàn)���,針對 IPv6 網絡的攻擊情況也開始出現(xiàn),境外累計約 1,200 個 IPv6 地址的計算機惡意程序控制服務器控制了我國境內累計約 1.5 萬臺 IPv6 地址主機�����。
圖 3 控制我國境內主機的境外木馬僵尸網絡控制端分布
圖 4 控制我國境內主機數量 TOP10 的國家或地區(qū)
從我國境內感染計算機惡意程序主機數量地區(qū)分布來看��,主要分布在江蘇?��。ㄕ嘉覈硟雀腥緮盗康?15.3%)���、浙江?���。ㄕ?11.9%)、廣東?��。ㄕ?11.6%)等��,具體分布如圖 5 所示�����。在因感染計算機惡意程序而形成的僵尸網絡中���,規(guī)模在 100 臺主機以上的僵尸網絡數量 4,696 個���,規(guī)模在 10 萬臺以上的僵尸網絡數量 16 個,如圖 6 所示�。相關機構處置了 45 個控制規(guī)模較大的僵尸網絡,有效控制計算機惡意程序感染主機引發(fā)的危害�。
圖 5 我國境內感染木馬僵尸程序的主機數量按地區(qū)分布
圖 6 僵尸網絡的規(guī)模分布
(三)移動互聯(lián)網惡意程序
通過自主捕獲和廠商交換發(fā)現(xiàn)新增移動互聯(lián)網惡意程序 163 萬余個,同比增長 58.3%�。通過對惡意程序的惡意行為統(tǒng)計發(fā)現(xiàn),排名前三的仍然是流氓行為類����、資費消耗類和信息竊取類,占比分別為 36.5%�、29.2% 和 15.1%。為有效防范移動互聯(lián)網惡意程序的危害��,嚴格控制移動互聯(lián)網惡意程序傳播途徑��,國內 125 家提供移動應用程序下載服務的平臺下架 812 個移動互聯(lián)網惡意程序,有效防范移動互聯(lián)網惡意程序危害����,嚴格控制移動互聯(lián)網惡意程序傳播途徑。
近年來���,我國逐步加大對應用商店�����、應用程序的安全管理力度���,要求應用商店對上架 App 的開發(fā)者進行實名審核,對 App 進行安全檢測和內容版權審核等����,使得互聯(lián)網黑產應用商店傳播惡意 App 的難度明顯增加。但同時����,能夠逃避監(jiān)管并實現(xiàn)不良目的的 “擦邊球” 式灰色應用卻有所增長�,例如:具有釣魚目的、欺詐行為的仿冒 App 成為黑產的重要工具����,持續(xù)對金融����、交通����、電信等重要行業(yè)的用戶形成較大威脅。2020 年上半年�����,通過自主監(jiān)測和投訴舉報方式發(fā)現(xiàn)新出現(xiàn)的仿冒 App 下載鏈接 180 個�����。這些仿冒 App 具有容易復制�����、版本更新頻繁����、蹭熱點快速傳播等特點,主要集中在仿冒公檢法�、銀行����、社交軟件�、支付軟件、搶票軟件等熱門應用上�,仿冒方式以仿冒名稱、圖標�、頁面等內容為主,具有很強的欺騙性����。目前,由于開發(fā)者在應用商店申請 App 上架前�,需提交軟件著作權等證明材料,因此仿冒 App 很難在應用商店上架�����,其流通渠道主要集中在網盤��、云盤���、廣告平臺等其他線上傳播渠道����。
(四)聯(lián)網智能設備惡意程序
目前活躍在智能設備上的惡意程序家族超過 15 種��,包括 Mirai�����、Gafgyt��、Dofloo�、Tsunami、Hajime���、MrBlack��、Mozi����、PinkPot 等���。這些惡意程序一般通過漏洞��、暴力破解等途徑入侵和控制智能設備���。遭入侵控制后����,聯(lián)網智能設備存在用戶信息和設備數據被竊���、硬件設備遭控制和破壞����、設備被用作跳板對內攻擊內網其他主機或對外發(fā)動 DDoS 攻擊等安全威脅和風險�。
上半年,發(fā)現(xiàn)智能設備惡意程序樣本約 126 萬余個�����,其中大部分屬于 Mirai 家族和 Gafgyt 家族����,占比超過 96.0%。服務端傳播源 IP 地址 5 萬余個�����,我國境內疑似受感染智能設備 IP 地址數量約 92 萬個���,與 2019 上半年相比基本持平��,主要位于浙江省�、江蘇省����、安徽省、山東省����、遼寧省等地。被控聯(lián)網智能設備日均向 1 千余個目標發(fā)起 DDoS 攻擊����,與 2019 年上半年相比也基本持平。
二�、安全漏洞
國家信息安全漏洞共享平臺(CNVD)收錄通用型安全漏洞 11,073 個,同比大幅增長 89.0%�。其中,高危漏洞收錄數量為 4,280 個(占 38.7%)�����,同比大幅增長 108.3%��,“零日” 漏洞收錄數量為 4,582 個(占 41.4%),同比大幅增長 80.7%���。安全漏洞主要涵蓋的廠商或平臺為谷歌(Google)��、WordPress����、甲骨文(Oracle)等��。按影響對象分類統(tǒng)計�,排名前三的是應用程序漏洞(占 48.5%)、Web 應用漏洞(占 26.5%)�����、操作系統(tǒng)漏洞(占 10.0%)�����,如圖 7 所示�。2020 年上半年,CNVD 處置涉及政府機構���、重要信息系統(tǒng)等網絡安全漏洞事件近 1.5 萬起����。
圖 7 CNVD 收錄安全漏洞按影響對象分類統(tǒng)計
三、拒絕服務攻擊
因攻擊成本低����、攻擊效果明顯等特點,DDoS 攻擊仍然是互聯(lián)網用戶面臨的最常見����、影響較大的網絡安全威脅之一����。抽樣監(jiān)測發(fā)現(xiàn),我國每日峰值流量超過 10Gbps 的大流量 DDoS 攻擊事件數量與 2019 年基本持平�,約 220 起。
(一)攻擊資源活躍情況
經過持續(xù)監(jiān)測分析與處置���,可被利用的 DDoS 攻擊資源穩(wěn)定性降低����,可利用活躍資源數量被控制在較低水平��。累計監(jiān)測發(fā)現(xiàn)用于發(fā)起 DDoS 攻擊的活躍 C&C 控制服務器 2,379 臺��,其中位于境外的占比 95.5%,主要來自美國�����、荷蘭���、德國等��;活躍的受控主機約 122 萬臺��,其中來自境內的占比 90.3%�����,主要來自江蘇省�、廣東省���、浙江省�、山東省����、安徽省等;反射攻擊服務器約 801 萬臺����,其中來自境內的占比 67.4%�,主要來自遼寧省�����、浙江省��、廣東省�����、吉林省�、黑龍江省等��。
(二)境內大流量攻擊情況
在監(jiān)測發(fā)現(xiàn)境內峰值流量超過 10Gbps 的大流量攻擊事件中���,主要攻擊方式仍然是 TCP SYN Flood���、NTP Amplification、SSDP Amplification�����、DNS Amplification 和 UDP Flood,以上五種攻擊占比達到 82.9%���。為躲避溯源����,攻擊者傾向于使用這些便于隱藏攻擊源的攻擊方式�����,并會根據攻擊目標防護情況靈活組合攻擊流量��,混合型攻擊方式占比為 16.4%�。此外,隨著近年來 “DDoS 即服務” 黑產模式猖獗����,攻擊者傾向于使用大流量攻擊將攻擊目標網絡瞬間癱瘓,DDoS 攻擊時長小于半小時的攻擊占比達 81.5%�����,攻擊目標主要位于浙江省��、江蘇省�����、福建省、山東省��、廣東省��、北京市等�,占比高達 81.1%。
(三)主流攻擊平臺活躍情況
通過持續(xù)監(jiān)測和跟蹤 DDoS 攻擊平臺活躍情況發(fā)現(xiàn)�����,網頁 DDoS 攻擊平臺以及利用 Gafgyt���、Mirai����、Xor�����、BillGates�、Mayday 等僵尸網絡家族發(fā)起攻擊仍持續(xù)活躍�,發(fā)起 DDoS 攻擊事件較多����。作為 “DDoS 即服務” 黑產模式之一的網頁 DDoS 攻擊平臺��,因其直接面向用戶提供服務�����,可由用戶按需自主發(fā)起攻擊�,極大降低了發(fā)起 DDoS 攻擊難度,導致 DDoS 攻擊進一步泛濫����。監(jiān)測發(fā)現(xiàn),由網頁 DDoS 攻擊平臺發(fā)起的 DDoS 攻擊事件數量最多����,同比 2019 年上半年增加 32.2%。當前互聯(lián)網上大量活躍的缺乏安全防護的物聯(lián)網設備�,為 DDoS 攻擊平臺猖獗發(fā)展提供了大量被控資源,導致 DDoS 攻擊事件一直高居不下���。Gafgyt 和 Mirai 惡意程序新變種不斷出現(xiàn)���,使得利用其形成的僵尸網絡控制端和攻擊事件數量維持在較高水平����,而 Xor 惡意程序家族有明顯特征顯示其在對外提供 “DDoS 即服務” 黑產業(yè)務���,表現(xiàn)出以少量控制端維持較高攻擊頻度����。
四����、網站安全
(一)網頁仿冒
監(jiān)測發(fā)現(xiàn)針對我國境內網站仿冒頁面約 1.9 萬個。CNCERT 重點針對金融行業(yè)����、電信行業(yè)網上營業(yè)廳等 6,226 個仿冒頁面進行處置,同比減少 48.1%�。在已協(xié)調處置的仿冒頁面中,承載仿冒頁面 IP 地址歸屬地居首位仍然是中國香港地區(qū)�,占比達 74.0%。
同時�����,互聯(lián)網上關于 “ETC 在線認證” 網站的仿冒頁面數量呈井噴式增長��。進入 5 月后����,在針對我國境內網站的仿冒頁面中,涉及 “ETC 在線認證” 相關的網頁仿冒數量占比高達 61.2%�����,此類釣魚網站的主要承載 IP 地址仍然位于境外����。仿冒形式主要包括 “ETC 信息認證”“ETC 在線辦理認證”“ETC 在線認證中心” 等不同頁面主題,詐騙分子誘騙用戶提交真實姓名����、銀行卡賬號、身份證號�、銀行預留手機號、取款密碼等個人隱私信息��。
(二)網站后門
境內外約 1.8 萬個 IP 地址對我國境內約 3.59 萬個網站植入后門�����,我國境內被植入后門的網站數量較 2019 年上半年增長 36.9%。其中���,約有 1.8 萬個境外 IP 地址(占全部 IP 地址總數的 99.3%)對境內約 3.57 萬個網站植入后門����,位于美國的 IP 地址最多�,占境外 IP 地址總數的 19.0%,其次是位于菲律賓和中國香港地區(qū)的 IP 地址���,如圖 8 所示�����。從控制我國境內網站總數來看���,位于菲律賓的 IP 地址控制我國境內網站數量最多,約為 1.36 萬個���,其次是位于中國香港地區(qū)和美國的 IP 地址����,分別控制我國境內 7,300 個和 6,020 個網站�����。此外���,隨著我國 IPv6 規(guī)模部署工作加速推進��,支持 IPv6 的網站范圍不斷擴大���。此外,攻擊源����、攻擊目標為 IPv6 地址的網站后門事件 592 起,共涉及攻擊源 IPv6 地址累計 35 個�����、被攻擊 IPv6 地址解析網站域名累計 72 個�。
圖 8 境外向我國境內網站植入后門 IP 地址所屬國家或地區(qū) TOP10
(三)網頁篡改
我國境內遭篡改的網站有約 7.4 萬個,其中被篡改的政府網站有 318 個�����。從境內被篡改網頁的頂級域名分布來看�,占比分列前三位的仍然是 “.com”“.net” 和 “.org”�,分別占總數的 74.1%�、5.1% 和 1.7%,如圖 9 所示�。
圖 9 境內被篡改網站按頂級域名分布
五、云平臺安全
我國云平臺上網絡安全威脅形勢依然較為嚴峻�����。首先����,發(fā)生在我國主流云平臺上的各類網絡安全事件數量占比仍然較高。其中云平臺上遭受 DDoS 攻擊次數占境內目標被攻擊次數的 76.1%�、被植入后門鏈接數量占境內全部被植入后門鏈接數量的 90.3%、被篡改網頁數量占境內被篡改網頁數量的 93.2%��。其次�,攻擊者經常利用我國云平臺發(fā)起網絡攻擊。其中云平臺作為控制端發(fā)起 DDoS 攻擊次數占境內控制發(fā)起 DDoS 攻擊次數的 79.0%�,作為木馬和僵尸網絡惡意程序控制的被控端 IP 地址數量占境內全部被控端 IP 地址數量的 96.3%,承載的惡意程序種類數量占境內互聯(lián)網上承載的惡意程序種類數量的 79.0%�����。
六�����、工業(yè)控制系統(tǒng)安全
(一)工業(yè)控制系統(tǒng)互聯(lián)網側暴露情況
監(jiān)測發(fā)現(xiàn)暴露在互聯(lián)網上的工業(yè)設備達 4,630 臺,涉及國內外 35 家廠商的可編程邏輯控制器�、智能樓宇、數據采集等 47 種設備類型��,具體類型分布如圖 10 所示�。其中存在高危漏洞隱患的設備占比約 41%���。監(jiān)測發(fā)現(xiàn)電力�����、石油天然氣����、城市軌道交通等重點行業(yè)暴露的聯(lián)網監(jiān)控管理系統(tǒng) 480 套����,其中電力 262 套、石油天然氣 118 套�、城市軌道交通 100 套,涉及的類型包括政府監(jiān)管平臺���、遠程監(jiān)控���、資產管理����、工程安全����、數據檢測系統(tǒng)、管網調度系統(tǒng)�、OA 系統(tǒng)、云平臺等�,具體平臺類型分布如圖 11 所示。其中存在信息泄露�、跨站請求偽造、輸入驗證不當等高危漏洞隱患的系統(tǒng)占比約 11.1%�。暴露在互聯(lián)網的工業(yè)控制系統(tǒng)一旦被攻擊,將嚴重威脅生產系統(tǒng)的安全����。
圖 10 監(jiān)測發(fā)現(xiàn)的聯(lián)網工業(yè)設備的類型統(tǒng)計
圖 11 監(jiān)測發(fā)現(xiàn)的重點行業(yè)聯(lián)網監(jiān)控管理系統(tǒng)類型統(tǒng)計
(二)工業(yè)控制系統(tǒng)互聯(lián)網側威脅監(jiān)測情況
境內工業(yè)控制系統(tǒng)的網絡資產持續(xù)遭受來自境外的掃描嗅探,日均超過 2 萬次��。經分析�����,嗅探行為源自于美國、英國���、德國等境外 90 個國家�,目標涉及境內能源�、制造、通信等重點行業(yè)的聯(lián)網工業(yè)控制設備和系統(tǒng)�����。大量關鍵信息基礎設施及其聯(lián)網控制系統(tǒng)的網絡資產信息被境外嗅探����,給我國網絡空間安全帶來隱患��。
我國根云�、航天云網、OneNET����、COSMOPlat、奧普云��、機智云等大型工業(yè)云平臺持續(xù)遭受來自境外的網絡攻擊,平均攻擊次數 114 次 / 日����,同比上升 27%,攻擊類型如圖 12 所示�,涉及遠程代碼執(zhí)行、拒絕服務�����、Web 漏洞利用等�,工業(yè)云平臺承載著大量接入設備、業(yè)務系統(tǒng)����,以及企業(yè)、個人信息和重要數據��,使其成為網絡攻擊的重點目標����。
圖 12 工業(yè)云平臺攻擊事件的類型分布
(三)工業(yè)控制產品安全漏洞情況
CNVD、CVE�����、NVD 及 CNNVD 四大漏洞平臺新增收錄工業(yè)控制系統(tǒng)產品漏洞共計 323 個,其中高中危漏洞占比達 94.7%��。如圖 13 和圖 14 所示����,漏洞影響的產品廣泛應用于制造業(yè)、能源�����、水處理�����、信息技術�����、化工��、交通運輸�����、商業(yè)設施���、農業(yè)�、水利工程�����、政府機關等關鍵信息基礎設施行業(yè)�,漏洞涉及的產品供應商主要包括 ABB、萬可���、西門子����、研華���、施耐德����、摩莎����、三菱、海為、亞控�����、永宏等�。
圖 13 新增工業(yè)控制產品漏洞的行業(yè)分布 TOP10
(注:受漏洞影響的產品可應用于多個行業(yè))
圖 14 新增工業(yè)控制產品漏洞的供應商分布 TOP10
以上文章轉載于網絡,如有侵權請聯(lián)系創(chuàng)一網客服處理�,謝謝!
