股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
CNCERT发布《2021年上半年我國(guó)互联网网络安(ān)全监测数据分(fēn)析报告》
发布时间 :2021年08月04日
类型 :公(gōng)司新(xīn)闻
分(fēn)享:
★ 目录 ★
一 | 恶意程序(一)恶意程序捕获情况(二)计算机恶意程序用(yòng)户感染情况(三)移动互联网恶意程序 |
二 | 安(ān)全漏洞 |
三 | 拒绝服務(wù)攻击
|
四 | 网站安(ān)全
|
五 | 云平台安(ān)全 |
六 | 工(gōng)业控制系统安(ān)全 |
為(wèi)全面反映2021年上半年我國(guó)互联网在恶意程序传播、漏洞风险、DDoS攻击、网站安(ān)全等方面的情况,CNCERT对上半年监测数据进行了梳理(lǐ),形成监测数据分(fēn)析报告如下。
一、恶意程序
(一)恶意程序捕获情况
2021年上半年,捕获恶意程序样本数量约2,307万个,日均传播次数达582万余次,涉及恶意程序家族约20.8万个。按照传播来源统计,境外来源主要来自美國(guó)、印度和日本等,具(jù)體(tǐ)分(fēn)布如图1所示;境内来源主要来自河南省、广东省和浙江省等。按照攻击目标IP地址统计,我國(guó)境内受恶意程序攻击的IP地址近3,048万个,约占我國(guó)IP地址总数的7.8%,这些受攻击的IP地址主要集中(zhōng)在广东省、江苏省、浙江省等地區(qū),我國(guó)受恶意程序攻击的IP地址分(fēn)布情况如图2所示。
图1 恶意程序传播源位于境外分(fēn)布情况
图2 我國(guó)受恶意程序攻击的IP分(fēn)布情况
(二)计算机恶意程序用(yòng)户感染情况
我國(guó)境内感染计算机恶意程序的主机数量约446万台,同比增長(cháng)46.8%。位于境外的约4.9万个计算机恶意程序控制服務(wù)器控制我國(guó)境内约410万台主机。就控制服務(wù)器所属國(guó)家或地區(qū)来看,位于美國(guó)、越南和中(zhōng)國(guó)香港地區(qū)的控制服務(wù)器数量分(fēn)列前三位,分(fēn)别是约7,580个、3,752个和2,451个,具(jù)體(tǐ)分(fēn)布如图3所示;就所控制我國(guó)境内主机数量来看,位于美國(guó)、中(zhōng)國(guó)香港地區(qū)和荷兰的控制服務(wù)器控制规模分(fēn)列前三位,分(fēn)别控制我國(guó)境内约314.5万、118.9万和108.6万台主机,如图4所示。此外,根据CNCERT抽样监测数据,境外约1.2万个IPv6地址控制了我國(guó)境内约2.3万台IPv6地址主机。
图3 控制我國(guó)境内主机的境外计算机恶意程序控制服務(wù)器数量分(fēn)布
图4 控制我國(guó)境内主机数量TOP10的國(guó)家或地區(qū)
从我國(guó)境内感染计算机恶意程序主机所属地區(qū)看,主要分(fēn)布在广东省(占我國(guó)境内感染数量的12.2%)、浙江省(占11.0%)、江苏省(占8.0%)等地區(qū),如图5所示。在因感染计算机恶意程序而形成的僵尸网络中(zhōng),规模在100台主机以上的僵尸网络数量2,307个,规模在10万台以上的僵尸网络数量68个,如图6所示。CNCERT协调相关机构成功关闭259个控制规模较大的僵尸网络,有(yǒu)效控制计算机恶意程序感染主机引发的危害。
图5 我國(guó)境内感染计算机恶意程序主机数量按地區(qū)分(fēn)布
图6 僵尸网络的规模分(fēn)布
(三)移动互联网恶意程序
通过自主捕获和厂商(shāng)交换发现新(xīn)增移动互联网恶意程序86.6万余个,同比下降47.0%。通过对恶意程序的恶意行為(wèi)统计发现,排名(míng)前三的仍然是流氓行為(wèi)类、资费消耗类和信息窃取类,占比分(fēn)别為(wèi)47.9%、20.0%和19.2%,如图7所示。為(wèi)有(yǒu)效防范移动互联网恶意程序的危害,严格控制移动互联网恶意程序传播途径,累计协调國(guó)内204家提供移动应用(yòng)程序下载服務(wù)的平台下架25,054个移动互联网恶意程序,有(yǒu)效防范移动互联网恶意程序危害,严格控制移动互联网恶意程序传播途径。
图7 移动互联网恶意程序数量按行為(wèi)属性统计
二、安(ān)全漏洞
國(guó)家信息安(ān)全漏洞共享平台(CNVD)收录通用(yòng)型安(ān)全漏洞13,083个,同比增長(cháng)18.2%。其中(zhōng),高危漏洞收录数量為(wèi)3,719个(占28.4%),同比减少13.1%;“零日”漏洞收录数量為(wèi)7,107个(占54.3%),同比大幅增長(cháng)55.1%。按影响对象分(fēn)类统计,排名(míng)前三的是应用(yòng)程序漏洞(占46.6%)、Web应用(yòng)漏洞(占29.6%)、操作(zuò)系统漏洞(占6.0%),如图8所示。2021年上半年,CNVD验证和处置涉及政府机构、重要信息系统等网络安(ān)全漏洞事件近1.8万起。
图8 CNVD收录安(ān)全漏洞按影响对象分(fēn)类统计
三、拒绝服務(wù)攻击
為(wèi)降低DDoS攻击对我國(guó)基础网络和关键信息基础设施的威胁,CNCERT持续加强对境内目标遭大流量攻击情况的监测跟踪分(fēn)析,针对所发现的被用(yòng)于进行DDoS攻击的网络资源重点开展治理(lǐ)。
(一)境内目标遭大流量DDoS攻击情况
CNCERT监测发现,境内目标遭受峰值流量超过1Gbps的大流量攻击事件同比减少17.5%,主要攻击方式為(wèi)TCP SYN Flood、UDP Flood、NTP Amplification、DNS Amplification、TCP ACK Flood和SSDP Amplification,这6种攻击的事件占比达到96.1%;攻击目标主要位于浙江省、山(shān)东省、江苏省、广东省、北京市、福建省、上海市等地區(qū),这7个地區(qū)的事件占比达到81.7%;1月份是上半年攻击最高峰,攻击较為(wèi)活跃;攻击时長(cháng)不超过30分(fēn)钟的攻击事件占比高达96.6%,比例进一步上升,表明攻击者越来越倾向于利用(yòng)大流量攻击瞬间打瘫攻击目标。
(二)被用(yòng)于进行DDoS攻击的网络资源活跃情况
CNCERT通过开展对境内目标遭大流量DDoS攻击事件的持续分(fēn)析溯源,发布《我國(guó)DDoS攻击资源季度分(fēn)析报告》,定期公(gōng)布控制端、被控端、反射服務(wù)器、伪造流量来源路由器等被用(yòng)于进行DDoS攻击的网络资源(以下简称“攻击资源”)情况,并进一步协调各单位处置,境内可(kě)被利用(yòng)的攻击资源稳定性继续降低,被利用(yòng)的活跃境内攻击资源数量控制在较低水平。累计监测发现用(yòng)于发起DDoS攻击的活跃控制端1,455台,其中(zhōng)位于境外的占比97.1%,主要来自美國(guó)、德(dé)國(guó)和荷兰等;活跃肉鸡71万余台,其中(zhōng)位于境内的占比92.7%,主要来自广东省、辽宁省、江苏省、福建省、浙江省等;反射攻击服務(wù)器约395万余台,其中(zhōng)位于境内的占比80.7%,主要来自浙江省、广东省、辽宁省、吉林省、四川省等。与2020年上半年相比,境内各类攻击资源数量持续减少,境内活跃控制端数量同比减少60.4%、肉鸡数量同比减少40.1%、活跃反射服務(wù)器同比减少40.9%。
四、网站安(ān)全
(一)网页(yè)仿冒
监测发现针对我國(guó)境内网站仿冒页(yè)面约1.3万余个。為(wèi)有(yǒu)效防止网页(yè)仿冒引发的危害,CNCERT重点针对金融、電(diàn)信等行业的仿冒页(yè)面进行处置,共协调关闭仿冒页(yè)面8,171个,同比增加31.2%。在已协调关闭的仿冒页(yè)面中(zhōng),从承载仿冒页(yè)面IP地址归属情况来看,绝大多(duō)数位于境外。监测发现,今年2月份以来,针对地方农信社的仿冒页(yè)面呈爆发趋势,仿冒对象不断变换转移,承载IP地址主要位于境外。这些仿冒页(yè)面频繁动态更换银行名(míng)称,多(duō)為(wèi)新(xīn)注册域名(míng)且通过伪基站发送钓鱼短信的方式进行传播。根据分(fēn)析,通过此类仿冒页(yè)面,攻击者不仅仅可(kě)以获取受害人个人敏感信息,还可(kě)以冒用(yòng)受害人身份登录其手机银行系统进行转账操作(zuò)或者绑定第三方支付渠道进行资金盗取。
(二)网站后门
境内外8,289个IP地址对我國(guó)境内约1.4万个网站植入后门,我國(guó)境内被植入后门的网站数量较2020年上半年大幅减少62.4%。其中(zhōng),有(yǒu)7,867个境外IP地址(占全部IP地址总数的94.9%)对境内约1.3万个网站植入后门,位于美國(guó)的IP地址最多(duō),占境外IP地址总数的15.8%,其次是位于菲律宾和中(zhōng)國(guó)香港地區(qū)的IP地址,如图9所示。从控制我國(guó)境内网站总数来看,位于中(zhōng)國(guó)香港地區(qū)的IP地址控制我國(guó)境内网站数量最多(duō)3,402个,其次是位于菲律宾和美國(guó)的IP地址,分(fēn)别控制我國(guó)境内3,098个和2,271个网站。此外,攻击源、攻击目标為(wèi)IPv6地址的网站后门事件有(yǒu)486起,共涉及攻击源IPv6地址114个、被攻击的IPv6地址解析网站域名(míng)累计78个。
图9 境外向我國(guó)境内网站植入后门IP地址所属國(guó)家或地區(qū)TOP10
(三)网页(yè)篡改
我國(guó)境内遭篡改的网站有(yǒu)近3.4万个,其中(zhōng)被篡改的政府网站有(yǒu)177个。从境内被篡改网页(yè)的顶级域名(míng)分(fēn)布来看,占比分(fēn)列前三位的仍然是“.com”“.net”和“.org”,分(fēn)别占总数的73.5%、5.4%和1.8%,如图10所示。
图10 境内被篡改网站按顶级域名(míng)分(fēn)布
五、云平台安(ān)全
发生在我國(guó)云平台上的各类网络安(ān)全事件数量占比仍然较高,其中(zhōng)云平台上遭受大流量DDoS攻击的事件数量占境内目标遭受大流量DDoS攻击事件数的71.2%、被植入后门网站数量占境内全部被植入后门网站数量的87.1%、被篡改网站数量占境内全部被篡改网站数量的89.1%。同时,攻击者经常利用(yòng)我國(guó)云平台发起网络攻击,其中(zhōng)云平台作(zuò)為(wèi)控制端发起DDoS攻击的事件数量占境内控制发起DDoS攻击的事件数量的51.7%、作(zuò)為(wèi)攻击跳板对外植入后门链接数量占境内攻击跳板对外植入后门链接数量的79.3%、作(zuò)為(wèi)木(mù)马和僵尸网络恶意程序控制端控制的IP地址数量占境内全部数量的65.1%、承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的89.5%。
六、工(gōng)业控制系统安(ān)全
CNCERT监测发现境内大量暴露在互联网的工(gōng)业控制设备和系统。其中(zhōng),设备类型包括可(kě)编程逻辑控制器、串口服務(wù)器等,各类型分(fēn)布如图11所示;存在高危漏洞的系统涉及煤炭、石油、電(diàn)力、城市轨道交通等重点行业,覆盖企业生产(chǎn)管理(lǐ)、企业经营管理(lǐ)、政府监管、工(gōng)业云平台等,如图12、图13所示。
图11 监测发现的联网工(gōng)业设备的类型统计
图12 监测发现的重点行业联网监控管理(lǐ)系统的漏洞威胁统计
图13 监测发现的重点行业联网监控管理(lǐ)系统类型统计
(文(wén)章转自:國(guó)家互联网应急中(zhōng)心CNCERT)
分(fēn)享到微信
X