您所在的位置:网站首页 > 网络安全 > 行业预警 > 正文

海南省网络安全通报 (2017年第5期)

  时间:2017-07-25 15:37:50  来源:海南省通信管理局
    一、我省本月网络安全总体情况
  2017年5月,我省互联网网络安全状况整体评价为良,木马僵尸等反映网络安全状况的部分指数有所减少,其中我省被境外控制的木马僵尸受控主机数量为7697个,较上月6956个有小幅上涨,列全国第26位;我省木马僵尸控制服务器数量为43个,比上月增加4个。从事件的地区分布来看,海口、三亚等地市感染僵尸木马的主机数量较多。本月共监测发现网页篡改事件5起,重要信息系统漏洞事件10起。每日互联网流量最高值为708G,最低值99G,未发现流量异常情况。我省重要信息系统部门或网站被攻击数量未见明显改善,部分政府网站或系统存被攻击痕迹或被植入后门的现象依然存在,需引起政府和重要信息系统部门高度重视。
  二、本月网络安全工作动态

  1.互联网网络安全信息通报工作动态

  国家计算机网络应急技术处理协调中心海南分中心(简称海南互联网应急中心),由海南省通信管理局授权,负责收集、汇总、分析和发布本省互联网网络安全信息工作。
  5月,海南互联网应急中心共接收各基础运营企业、增值运营企业、网络安全企业等信息通报工作成员单位提供的网络安全月度信息汇总表7份。各运营企业相关网络安全责任人应密切关注本单位运营网络的安全情况,积极做好网络安全事件信息报送工作。

  2.开展木马僵尸感染主机清理工作

  5月,海南互联网应急中心共向各运营企业下发了789条感染僵尸木马的IP数据,542条僵尸木马病毒控制端IP数据,247条感染蠕虫病毒的IP数据;后门IP数据53条。各企业积极配合并进行了处置。海南互联网应急中心针对各企业反馈涉事单位建立了重点单位监测表,进行每日监测,对监测发现的感染情况及时进行通报,并建立联系人机制,提高处置效率。

  3.手机病毒处理工作

  5月,海南互联网应急中心协调运营企业处置手机病毒362条。运营企业通过短信提醒、免费客户服务热线、网上营业厅或门户网站公告等方式,及时向用户推送手机病毒感染信息和病毒查杀方法及工具,帮助用户了解手机病毒危害及引导用户清除手机病毒,并在手机病毒处置过程中特别注意保护用户隐私。同时,将手机病毒处置结果、用户投诉等情况通报我中心。

  4.自主发现网络安全事件处置情况

  海南互联网应急中心通过国家中心系统平台,自主监测发现并处理了一些被植入后门和被篡改网页的网络安全事件,经过验证后向相关单位报送网络安全通报,并协助处理。恶意程序74起,漏洞事件10起,网页篡改2起,后门事件10起。

  附:本月报送和监测的数据导读

  附1:网络安全信息报送情况

  5月,海南互联网应急中心处理及或向本地区各信息通报工作成员单位报送的网络安全事件共1826起。各类事件信息详细分类统计分别如表1和表2所示。(注:此统计全包括海南互联网应急中心通报数据,另包括企业自查数据)
网络安全事件信息报送类型统计
20175
事件类型 数量
IP业务 0
基础IP网络 13
运营企业自有业务系统 0
域名系统 0
公共互联网环境 1166
合计 1179
 
表1:网络安全事件信息报送类型统计
事件类型 数量
计算机病毒事件 0
蠕虫事件 247
木马事件 76
僵尸网络事件 466
域名劫持事件 0
网络仿冒事件 0
网页篡改事件 5
网页挂马事件 0
拒绝服务攻击事件 0
后门事件 10
非授权访问事件 0
垃圾邮件事件 0
其他网络安全事件 362
合计 1166
 
表2:公共互联网环境事件信息报送类型统计

  附2:木马僵尸监测数据分析

  1、木马僵尸受控主机的数量和分布
  2017年5月,监测发现我国大陆地区1257107个IP地址对应的主机被其他国家或地区通过木马程序秘密控制,与上月的1016871个相比增加了23.63%,其分布情况如图1所示。其中,海南省7697个(占全国0.61%),全国排名第26位。

图1:中国大陆木马或僵尸受控主机IP按地区分布
  2、木马僵尸控制服务器的数量和分布
  2017年5月,监测发现我国大陆地区16206个IP地址对应的主机被利用作为木马控制服务器,与上月的6800个相比增加了138.30%,其分布情况如图2所示。其中,海南省43个(占全国0.27%),全国排名第26位。

图2:中国大陆木马或僵尸控制服务器IP按地区分布
  3、境外木马控制服务器的数量和分布
  2017年5月,秘密控制我国大陆计算机的境外木马控制服务器IP有11308个,与上月的6890个相比增加了64.1%,主要来自美国、韩国等国家,具体分布如图3所示。

图3:通过木马或僵尸程序控制中国大陆主机的境外IP按国家和地区分布
  4、木马僵尸网络规模分布
  在发现的僵尸网络中,规模大于5000的僵尸网络有38个,规模在100-1000的有358个,规模在1000-5000的有113个,分布情况如图4所示。

图4:僵尸网络的规模分布
 

  附3、境内被植入后门的网站按地区分布

  2017年5月,监测发现我国大陆地区4916个网站被植入后门程序,其分布情况如图6所示。其中,海南省19个(占全国0.39%),排全国第25位。

图6:境内被植入后门的网站按地区分布

  附4、网页篡改监测数据分析

  2017年5月,我国大陆地区被篡改网站6245个,与上月的6312个相比有所减少;其中,海南省5个(占全国0.06%),排名第25位。具体分布如图5所示。
 

图7:境内被篡改网站按地区分布

  附5:恶意代码数据分析

  2017年5月,恶意代码捕获与分析系统监测得到的放马站点统计。
 1.2017年5月CNCERT捕获的恶意代码数量  
名称 数量  
新增恶意代码名称数 4  
新增恶意代码家族数 1  
2. 2017年5月活跃放马站点域名和IP
排序 活跃放马站点域名 活跃放马站点IP
1 www.go890.com 183.60.106.54
2 cl.xzqxzs.com 120.26.127.170
3 down.nxwb.net 61.133.192.170
4 nc-dl.wdjcdn.com 106.37.238.1
5 i.kpzip.com 36.42.32.220
6 cl.gxjsxq.com 117.23.6.67
7 dl.wandoujia.com 117.23.6.64
8 dl.cdn.wandoujia.com 222.28.152.177
9 idq.liukejun.com 221.230.141.238
10 icq.liukejun.com 117.23.6.63

  附6:重要漏洞与重要事件处置公告

  2017年5月,CNVD整理和发布以下重要安全漏洞信息。同时提醒用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。(更多漏洞信息,请关注CNVD官方网站:www.cnvd.org.cn)
关于重点防范Windows操作系统勒索软件
攻击的情况公告
安全公告编号:CNTA-2017-0029
安全公告编号:CNTA-2017-0039
  北京时间5月13日,互联网上出现针对Windows操作系统的勒索软件的攻击案例,勒索软件利用此前披露的Windows SMB服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,向终端用户进行渗透传播,并向用户勒索比特币或其他价值物,涉及到国内用户(已收到多起高校案例报告),已经构成较为严重的攻击威胁。
  一、勒索软件情况
  4月16日,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警:
表 有可能通过445端口发起攻击的漏洞攻击工具
工具名称 主要用途
ETERNALROMANCE SMB 和NBT漏洞,对应MS17-010漏洞,针对139和445端口发起攻击,影响范围:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2
EMERALDTHREAD SMB和NETBIOS漏洞,对应MS10-061漏洞,针对139和445端口,影响范围:Windows XP、Windows 2003
EDUCATEDSCHOLAR SMB服务漏洞,对应MS09-050漏洞,针对445端口
ERRATICGOPHER SMBv1服务漏洞,针对445端口,影响范围:Windows XP、Windows server 2003,不影响windows Vista及之后的操作系统
ETERNALBLUE SMBv1、SMBv2漏洞,对应MS17-010,针对445端口,影响范围:较广,从WindowsXP到Windows 2012
ETERNALSYNERGY SMBv3漏洞,对应MS17-010,针对445端口,影响范围:Windows8、Server2012
ETERNALCHAMPION SMB v2漏洞,针对445端口
 
  综合CNVD技术组成员单位奇虎360公司、安天公司等单位已获知的样本情况和分析结果,该勒索软件在传播时基于445端口并利用SMB服务漏洞(MS17-010),总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。当用户主机系统被该勒索软件入侵后,弹出如下勒索对话框,提示勒索目的并向用户索要比特币。而用户主机上的重要数据文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件,都被恶意加密且后缀名统一修改为“.WNCRY”。目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。

图勒索软件界面图(来源:安天公司)

图用户文件被加密(来源:安天公司)
  二、应急处置措施
  根据CNVD秘书处普查的结果,互联网上共有900余万台主机IP暴露445端口(端口开放),而中国大陆地区主机IP有300余万台。CNCERT已经着手对勒索软件及相关网络攻击活动进行监测,目前共发现有向全球70多万个目标直接发起的针对MS17-010漏洞的攻击尝试。建议广大用户及时更新Windows已发布的安全补丁,同时在网络边界、内部网络区域、主机资产、数据备份方面做好如下工作:
  (一)关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口;
  (二)加强对445等端口(其他关联端口如: 135、137、139)的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;
  (三)由于微软对部分操作系统停止安全更新,建议对Window XP和Windows server 2003主机进行排查(MS17-010更新已不支持),使用替代操作系统。
  (四)做好信息系统业务和个人数据的备份。CNCERT后续将密切监测和关注该勒索软件对境内党政机关和重要行业单位以及高等院校的攻击情况,同时联合安全业界对有可能出现的新的攻击传播手段、恶意样本变种进行跟踪防范。
附:参考链接
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0(微软发布的官方安全公告)
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/(微软发布已停服务的XP和部分服务器版特别补丁)
http://www.cnvd.org.cn/webinfo/show/4110(CNVD安全公告)
相关文章:
【关闭窗口】【返回顶部】责任编辑:海南省互联网协会
更多>>公告
更多>>会员单位

海南省互联网协会版权所有 翻版必究 地址:海口市南沙路47号通信广场  邮编:570206 电话:0898-66502933 传真:0898-66533698 技术支持:海南布谷

Copyright ©2012 HAINAN INTERNET Association. All rights reserved

ICP证 琼ICP备12002399号-1