一、惡意程序
(一)計算機惡意程序捕獲情況
2020 年上半年,捕獲計算機惡意程序樣本數量約 1,815 萬個,日均傳播次數達 483 萬余次,涉及計算機惡意程序家族約 1.1 萬余個。按照傳播來源統(tǒng)計,境外惡意程序主要來自美國、塞舌爾和加拿大等,境外具體分布如圖 1 所示;位于境內的惡意程序主要來自浙江省、廣東省和北京市等。按照目標 IP 統(tǒng)計,我國境內受計算機惡意程序攻擊的 IP 地址約 4,208 萬個,約占我國 IP 總數的 12.4%,這些受攻擊的 IP 地址主要集中在山東省、江蘇省、廣東省、浙江省等,我國受計算機惡意程序攻擊的 IP 分布情況如圖 2 所示。
圖 1 計算機惡意代碼傳播源位于境外分布情況
圖 2 我國受計算機惡意代碼攻擊的 IP 分布情況
(二)計算機惡意程序用戶感染情況
我國境內感染計算機惡意程序的主機數量約 304 萬臺,同比增長 25.7%。位于境外的約 2.5 萬個計算機惡意程序控制武邑服務器控制我國境內約 303 萬臺主機。就控制武邑服務器所屬國家或地區(qū)來看,位于美國、中國香港地區(qū)和荷蘭的控制武邑服務器數量分列前三位,分別是約 8,216 個、1,478 個和 1,064 個,具體分布如圖 3 所示;就所控制我國境內主機數量來看,位于美國、荷蘭和德國的控制服務器控制規(guī)模分列前三位,分別控制我國境內約 252 萬、127 萬和 117 萬臺主機,如圖 4 所示。此外,根據抽樣監(jiān)測數據發(fā)現,針對 IPv6 網絡的攻擊情況也開始出現,境外累計約 1,200 個 IPv6 地址的計算機惡意程序控制服務器控制了我國境內累計約 1.5 萬臺 IPv6 地址主機。
圖 3 控制我國境內主機的境外木馬僵尸網絡控制端分布
圖 4 控制我國境內主機數量 TOP10 的國家或地區(qū)
從我國境內感染計算機惡意程序主機數量地區(qū)分布來看,主要分布在江蘇?。ㄕ嘉覈硟雀腥緮盗康?15.3%)、浙江?。ㄕ?11.9%)、廣東?。ㄕ?11.6%)等,具體分布如圖 5 所示。在因感染計算機惡意程序而形成的僵尸網絡中,規(guī)模在 100 臺主機以上的僵尸網絡數量 4,696 個,規(guī)模在 10 萬臺以上的僵尸網絡數量 16 個,如圖 6 所示。相關機構處置了 45 個控制規(guī)模較大的僵尸網絡,有效控制計算機惡意程序感染主機引發(fā)的危害。
圖 5 我國境內感染木馬僵尸程序的主機數量按地區(qū)分布
圖 6 僵尸網絡的規(guī)模分布
(三)移動互聯網惡意程序
通過自主捕獲和廠商交換發(fā)現新增移動互聯網惡意程序 163 萬余個,同比增長 58.3%。通過對惡意程序的惡意行為統(tǒng)計發(fā)現,排名前三的仍然是流氓行為類、資費消耗類和信息竊取類,占比分別為 36.5%、29.2% 和 15.1%。為有效防范移動互聯網惡意程序的危害,嚴格控制移動互聯網惡意程序傳播途徑,國內 125 家提供移動應用程序下載服務的平臺下架 812 個移動互聯網惡意程序,有效防范移動互聯網惡意程序危害,嚴格控制移動互聯網惡意程序傳播途徑。
近年來,我國逐步加大對應用商店、應用程序的安全管理力度,要求應用商店對上架 App 的開發(fā)者進行實名審核,對 App 進行安全檢測和內容版權審核等,使得互聯網黑產應用商店傳播惡意 App 的難度明顯增加。但同時,能夠逃避監(jiān)管并實現不良目的的 “擦邊球” 式灰色應用卻有所增長,例如:具有釣魚目的、欺詐行為的仿冒 App 成為黑產的重要工具,持續(xù)對金融、交通、電信等重要行業(yè)的用戶形成較大威脅。2020 年上半年,通過自主監(jiān)測和投訴舉報方式發(fā)現新出現的仿冒 App 下載鏈接 180 個。這些仿冒 App 具有容易復制、版本更新頻繁、蹭熱點快速傳播等特點,主要集中在仿冒公檢法、銀行、社交軟件、支付軟件、搶票軟件等熱門應用上,仿冒方式以仿冒名稱、圖標、頁面等內容為主,具有很強的欺騙性。目前,由于開發(fā)者在應用商店申請 App 上架前,需提交軟件著作權等證明材料,因此仿冒 App 很難在應用商店上架,其流通渠道主要集中在網盤、云盤、廣告平臺等其他線上傳播渠道。
(四)聯網智能設備惡意程序
目前活躍在智能設備上的惡意程序家族超過 15 種,包括 Mirai、Gafgyt、Dofloo、Tsunami、Hajime、MrBlack、Mozi、PinkPot 等。這些惡意程序一般通過漏洞、暴力破解等途徑入侵和控制智能設備。遭入侵控制后,聯網智能設備存在用戶信息和設備數據被竊、硬件設備遭控制和破壞、設備被用作跳板對內攻擊內網其他主機或對外發(fā)動 DDoS 攻擊等安全威脅和風險。
上半年,發(fā)現智能設備惡意程序樣本約 126 萬余個,其中大部分屬于 Mirai 家族和 Gafgyt 家族,占比超過 96.0%。服務端傳播源 IP 地址 5 萬余個,我國境內疑似受感染智能設備 IP 地址數量約 92 萬個,與 2019 上半年相比基本持平,主要位于浙江省、江蘇省、安徽省、山東省、遼寧省等地。被控聯網智能設備日均向 1 千余個目標發(fā)起 DDoS 攻擊,與 2019 年上半年相比也基本持平。
二、安全漏洞
國家信息安全漏洞共享平臺(CNVD)收錄通用型安全漏洞 11,073 個,同比大幅增長 89.0%。其中,高危漏洞收錄數量為 4,280 個(占 38.7%),同比大幅增長 108.3%,“零日” 漏洞收錄數量為 4,582 個(占 41.4%),同比大幅增長 80.7%。安全漏洞主要涵蓋的廠商或平臺為谷歌(Google)、WordPress、甲骨文(Oracle)等。按影響對象分類統(tǒng)計,排名前三的是應用程序漏洞(占 48.5%)、Web 應用漏洞(占 26.5%)、操作系統(tǒng)漏洞(占 10.0%),如圖 7 所示。2020 年上半年,CNVD 處置涉及政府機構、重要信息系統(tǒng)等網絡安全漏洞事件近 1.5 萬起。
圖 7 CNVD 收錄安全漏洞按影響對象分類統(tǒng)計
三、拒絕服務攻擊
因攻擊成本低、攻擊效果明顯等特點,DDoS 攻擊仍然是互聯網用戶面臨的最常見、影響較大的網絡安全威脅之一。抽樣監(jiān)測發(fā)現,我國每日峰值流量超過 10Gbps 的大流量 DDoS 攻擊事件數量與 2019 年基本持平,約 220 起。
(一)攻擊資源活躍情況
經過持續(xù)監(jiān)測分析與處置,可被利用的 DDoS 攻擊資源穩(wěn)定性降低,可利用活躍資源數量被控制在較低水平。累計監(jiān)測發(fā)現用于發(fā)起 DDoS 攻擊的活躍 C&C 控制服務器 2,379 臺,其中位于境外的占比 95.5%,主要來自美國、荷蘭、德國等;活躍的受控主機約 122 萬臺,其中來自境內的占比 90.3%,主要來自江蘇省、廣東省、浙江省、山東省、安徽省等;反射攻擊服務器約 801 萬臺,其中來自境內的占比 67.4%,主要來自遼寧省、浙江省、廣東省、吉林省、黑龍江省等。
(二)境內大流量攻擊情況
在監(jiān)測發(fā)現境內峰值流量超過 10Gbps 的大流量攻擊事件中,主要攻擊方式仍然是 TCP SYN Flood、NTP Amplification、SSDP Amplification、DNS Amplification 和 UDP Flood,以上五種攻擊占比達到 82.9%。為躲避溯源,攻擊者傾向于使用這些便于隱藏攻擊源的攻擊方式,并會根據攻擊目標防護情況靈活組合攻擊流量,混合型攻擊方式占比為 16.4%。此外,隨著近年來 “DDoS 即服務” 黑產模式猖獗,攻擊者傾向于使用大流量攻擊將攻擊目標網絡瞬間癱瘓,DDoS 攻擊時長小于半小時的攻擊占比達 81.5%,攻擊目標主要位于浙江省、江蘇省、福建省、山東省、廣東省、北京市等,占比高達 81.1%。
(三)主流攻擊平臺活躍情況
通過持續(xù)監(jiān)測和跟蹤 DDoS 攻擊平臺活躍情況發(fā)現,網頁 DDoS 攻擊平臺以及利用 Gafgyt、Mirai、Xor、BillGates、Mayday 等僵尸網絡家族發(fā)起攻擊仍持續(xù)活躍,發(fā)起 DDoS 攻擊事件較多。作為 “DDoS 即服務” 黑產模式之一的網頁 DDoS 攻擊平臺,因其直接面向用戶提供服務,可由用戶按需自主發(fā)起攻擊,極大降低了發(fā)起 DDoS 攻擊難度,導致 DDoS 攻擊進一步泛濫。監(jiān)測發(fā)現,由網頁 DDoS 攻擊平臺發(fā)起的 DDoS 攻擊事件數量最多,同比 2019 年上半年增加 32.2%。當前互聯網上大量活躍的缺乏安全防護的物聯網設備,為 DDoS 攻擊平臺猖獗發(fā)展提供了大量被控資源,導致 DDoS 攻擊事件一直高居不下。Gafgyt 和 Mirai 惡意程序新變種不斷出現,使得利用其形成的僵尸網絡控制端和攻擊事件數量維持在較高水平,而 Xor 惡意程序家族有明顯特征顯示其在對外提供 “DDoS 即服務” 黑產業(yè)務,表現出以少量控制端維持較高攻擊頻度。
四、網站安全
(一)網頁仿冒
監(jiān)測發(fā)現針對我國境內網站仿冒頁面約 1.9 萬個。CNCERT 重點針對金融行業(yè)、電信行業(yè)網上營業(yè)廳等 6,226 個仿冒頁面進行處置,同比減少 48.1%。在已協(xié)調處置的仿冒頁面中,承載仿冒頁面 IP 地址歸屬地居首位仍然是中國香港地區(qū),占比達 74.0%。
同時,互聯網上關于 “ETC 在線認證” 網站的仿冒頁面數量呈井噴式增長。進入 5 月后,在針對我國境內網站的仿冒頁面中,涉及 “ETC 在線認證” 相關的網頁仿冒數量占比高達 61.2%,此類釣魚網站的主要承載 IP 地址仍然位于境外。仿冒形式主要包括 “ETC 信息認證”“ETC 在線辦理認證”“ETC 在線認證中心” 等不同頁面主題,詐騙分子誘騙用戶提交真實姓名、銀行卡賬號、身份證號、銀行預留手機號、取款密碼等個人隱私信息。
(二)網站后門
境內外約 1.8 萬個 IP 地址對我國境內約 3.59 萬個網站植入后門,我國境內被植入后門的網站數量較 2019 年上半年增長 36.9%。其中,約有 1.8 萬個境外 IP 地址(占全部 IP 地址總數的 99.3%)對境內約 3.57 萬個網站植入后門,位于美國的 IP 地址最多,占境外 IP 地址總數的 19.0%,其次是位于菲律賓和中國香港地區(qū)的 IP 地址,如圖 8 所示。從控制我國境內網站總數來看,位于菲律賓的 IP 地址控制我國境內網站數量最多,約為 1.36 萬個,其次是位于中國香港地區(qū)和美國的 IP 地址,分別控制我國境內 7,300 個和 6,020 個網站。此外,隨著我國 IPv6 規(guī)模部署工作加速推進,支持 IPv6 的網站范圍不斷擴大。此外,攻擊源、攻擊目標為 IPv6 地址的網站后門事件 592 起,共涉及攻擊源 IPv6 地址累計 35 個、被攻擊 IPv6 地址解析網站域名累計 72 個。
圖 8 境外向我國境內網站植入后門 IP 地址所屬國家或地區(qū) TOP10
(三)網頁篡改
我國境內遭篡改的網站有約 7.4 萬個,其中被篡改的政府網站有 318 個。從境內被篡改網頁的頂級域名分布來看,占比分列前三位的仍然是 “.com”“.net” 和 “.org”,分別占總數的 74.1%、5.1% 和 1.7%,如圖 9 所示。
圖 9 境內被篡改網站按頂級域名分布
五、云平臺安全
我國云平臺上網絡安全威脅形勢依然較為嚴峻。首先,發(fā)生在我國主流云平臺上的各類網絡安全事件數量占比仍然較高。其中云平臺上遭受 DDoS 攻擊次數占境內目標被攻擊次數的 76.1%、被植入后門鏈接數量占境內全部被植入后門鏈接數量的 90.3%、被篡改網頁數量占境內被篡改網頁數量的 93.2%。其次,攻擊者經常利用我國云平臺發(fā)起網絡攻擊。其中云平臺作為控制端發(fā)起 DDoS 攻擊次數占境內控制發(fā)起 DDoS 攻擊次數的 79.0%,作為木馬和僵尸網絡惡意程序控制的被控端 IP 地址數量占境內全部被控端 IP 地址數量的 96.3%,承載的惡意程序種類數量占境內互聯網上承載的惡意程序種類數量的 79.0%。
六、工業(yè)控制系統(tǒng)安全
(一)工業(yè)控制系統(tǒng)互聯網側暴露情況
監(jiān)測發(fā)現暴露在互聯網上的工業(yè)設備達 4,630 臺,涉及國內外 35 家廠商的可編程邏輯控制器、智能樓宇、數據采集等 47 種設備類型,具體類型分布如圖 10 所示。其中存在高危漏洞隱患的設備占比約 41%。監(jiān)測發(fā)現電力、石油天然氣、城市軌道交通等重點行業(yè)暴露的聯網監(jiān)控管理系統(tǒng) 480 套,其中電力 262 套、石油天然氣 118 套、城市軌道交通 100 套,涉及的類型包括政府監(jiān)管平臺、遠程監(jiān)控、資產管理、工程安全、數據檢測系統(tǒng)、管網調度系統(tǒng)、OA 系統(tǒng)、云平臺等,具體平臺類型分布如圖 11 所示。其中存在信息泄露、跨站請求偽造、輸入驗證不當等高危漏洞隱患的系統(tǒng)占比約 11.1%。暴露在互聯網的工業(yè)控制系統(tǒng)一旦被攻擊,將嚴重威脅生產系統(tǒng)的安全。
圖 10 監(jiān)測發(fā)現的聯網工業(yè)設備的類型統(tǒng)計
圖 11 監(jiān)測發(fā)現的重點行業(yè)聯網監(jiān)控管理系統(tǒng)類型統(tǒng)計
(二)工業(yè)控制系統(tǒng)互聯網側威脅監(jiān)測情況
境內工業(yè)控制系統(tǒng)的網絡資產持續(xù)遭受來自境外的掃描嗅探,日均超過 2 萬次。經分析,嗅探行為源自于美國、英國、德國等境外 90 個國家,目標涉及境內能源、制造、通信等重點行業(yè)的聯網工業(yè)控制設備和系統(tǒng)。大量關鍵信息基礎設施及其聯網控制系統(tǒng)的網絡資產信息被境外嗅探,給我國網絡空間安全帶來隱患。
我國根云、航天云網、OneNET、COSMOPlat、奧普云、機智云等大型工業(yè)云平臺持續(xù)遭受來自境外的網絡攻擊,平均攻擊次數 114 次 / 日,同比上升 27%,攻擊類型如圖 12 所示,涉及遠程代碼執(zhí)行、拒絕服務、Web 漏洞利用等,工業(yè)云平臺承載著大量接入設備、業(yè)務系統(tǒng),以及企業(yè)、個人信息和重要數據,使其成為網絡攻擊的重點目標。
圖 12 工業(yè)云平臺攻擊事件的類型分布
(三)工業(yè)控制產品安全漏洞情況
CNVD、CVE、NVD 及 CNNVD 四大漏洞平臺新增收錄工業(yè)控制系統(tǒng)產品漏洞共計 323 個,其中高中危漏洞占比達 94.7%。如圖 13 和圖 14 所示,漏洞影響的產品廣泛應用于制造業(yè)、能源、水處理、信息技術、化工、交通運輸、商業(yè)設施、農業(yè)、水利工程、政府機關等關鍵信息基礎設施行業(yè),漏洞涉及的產品供應商主要包括 ABB、萬可、西門子、研華、施耐德、摩莎、三菱、海為、亞控、永宏等。
圖 13 新增工業(yè)控制產品漏洞的行業(yè)分布 TOP10
(注:受漏洞影響的產品可應用于多個行業(yè))
圖 14 新增工業(yè)控制產品漏洞的供應商分布 TOP10
以上文章轉載于網絡,如有侵權請聯系創(chuàng)一網客服處理,謝謝!