本周网络安全基本态势(8月16日-8月22日)
【字体:  
 
  本周互联网网络安全态势整体评价为中。我国互联网基础设施运行整体平稳,全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。依据CNCERT抽样监测结果和国家信息安全漏洞共享平台(CNVD)发布的数据,境内被木马控制的主机IP地址数目约为36万个,同种类木马感染量与前一周环比大幅增长781%,其中增长幅度最大的是流量劫持类木马;境内被僵尸网络控制的主机IP地址数目约为1.2万个,同种类僵尸网络感染量环比下降19%(注1);境内被篡改政府网站数量为68个,环比增长28%;新增信息安全漏洞28个,环比下降69%,本周未出现高危漏洞。

  一.本周被篡改政府网站情况

  根据CNCERT监测数据,本周境内被篡改政府网站数量为68个,较上周有所增长,截至8月23日12时仍未恢复的被篡改政府部门网站如下表所示。

被篡改页面URL

所属部门或地区

http://www.heblp.gov.cn/index.asp

河北省

http://www.ydqcz.gov.cn/index.htm

安徽省阜阳市

http://jsj.jinchuan.gov.cn/index.htm

甘肃省金昌市

http://nckj.fcgkj.gov.cn/index.htm

广西自治区防城港市

http://hihk.lss.gov.cn/UpLoadPro/UploadFile.asp

海南省海口市

http://js.yindu.gov.cn/hex.htm

河南省安阳市

http://jjxx.yindu.gov.cn/hex.htm

河南省安阳市

http://rx.ydbm.gov.cn/hex.htm

河南省安阳市

http://www.jsnyj.gov.cn/default.asp

湖南省吉首市

http://www.jishou.gov.cn/index.htm

湖南省吉首市

http://www.zgjs.gov.cn/index.htm

湖南省吉首市

http://zjj315.gov.cn/default.asp

湖南省张家界市

http://www.0432.gov.cn/kew.asp

吉林省蛟河市

http://www.htfs.gov.cn

内蒙古自治区呼和浩特市

http://dsb.laiwu.gov.cn

山东省莱芜市

http://www.slsfda.gov.cn/index.htm

陕西省商洛市

http://guangyuan.gov.cn/crashblack.htm

四川省广元市

http://www.cngy.gov.cn/index.asp

四川省广元市

http://cngy.gov.cn/index.asp

四川省广元市

http://ps.yb.gov.cn

四川省宜宾市

http://shangyu.gov.cn/index.htm

浙江省上虞市

http://sywjmj.gov.cn

浙江省上虞市

http://ptzjw.gov.cn/help.asp

浙江省舟山市


  注2:CNCERT监测的政府网站是指英文域名以“.gov.cn”结尾的网站,但不排除个别非政府部门也使用“.gov.cn”的情况。

  二.本周恶意代码活动情况

  1、本周活跃恶意代码

  本周,中国反网络病毒联盟(ANVA)整理发布的活跃恶意代码如下表所示。其中,利用应用软件及操作系统漏洞进行传播的恶意代码仍占较高比例,利用网页挂马进行传播的恶意代码有所增强。ANVA提醒互联网用户一方面要加强系统漏洞的修补加固,另一方面要加装安全防护软件。此外,不要轻易打开网络上来源不明的图片、音乐、视频等文件。

名称

特点

Trojan.DL.Giframe.a

这是一个下载者木马,利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页,来控制用户连接到特定的包含恶意程序的网页。不过,目前发现使用Windows图片查看器打开含有此恶意代码的GIF文件并不受影响。

Trojan.DL.PicFrame.a

这是一个下载者木马,利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的<iframe><\iframe>,由于iframewidthheight 都很小,用户极易在未察觉的情况下访问恶意网址。

Trojan.Win32.Koutodoor.cu

该病毒利用网页挂马方式进行传播,用户下载运行病毒后,病毒会释放一个随机命名的dllsys文件,可禁用用户计算机上的安全软件,自动访问指定的病毒网址,更改IE的默认搜索引擎并在Favorites\链接下创建广告链接。

Trojan.DL.Script.VBS.Mnless.e

这是一个经过加密的VBS脚本病毒,病毒解密之后,将会从远程服务器下载文件并执行。

Trojan.Win32.FakeIME.d

    这是一个伪装成输入法程序的病毒,病毒运行后,可向用户系统中载入一个带毒的动态链接库(DLL)。                         

  
  
  注3:根据瑞星、金山等企业报送的恶意代码信息整理。

  2、本周活跃恶意域名

  本周,ANVA重点关注的四组恶意域名如下表所示。这四组恶意域名主要用于构建恶意跳转链接或漏洞触发页面,是黑客或挂马集团构建完整挂马链条的重要环节。

组别

域名列表

第一组

bed.isgre.atbfr.isGre.atbfy.isgre.atbfz.isgre.atbga.isgre.atbgb.isgre.atbgc.isgre.atbgd.isgre.atbge.isgre.atbgf.isGre.atbgg.isgre.atbgh.isgre.atbgi.isgre.atbgj.isgre.atbgk.isgre.atbgl.isgre.atbgm.isgre.atbgn.isGre.atbgo.isGre.atbgp.isGre.atbgr.isGre.atbgt.isGre.atbgu.isGre.atbgv.isGre.atbgw.isGre.atbgx.isGre.atbgy.isGre.atzhz.rr.nuzia.rr.nuzij.rr.nuzik.rr.nuzit.rr.nuziw.rr.nuziz.rr.nu

第二组

baq.2288.orgbas.2288.orgbav.2288.orgbaz.2288.orgbcg.2288.orgbci.2288.orgbcq.2288.orgbcr.2288.orgbcs.2288.orgbct.2288.orgbcu.2288.orgbcv.2288.orgbcw.2288.orgbcy.2288.orgbcz.2288.orgbda.2288.orgbdb.2288.orgbdc.2288.orgbde.2288.orgbdg.2288.orgbdh.2288.orgbdi.2288.orgbdj.2288.orgbdk.2288.orgbdm.2288.orgbdo.2288.orgbdp.2288.orgbdt.2288.orgbdu.2288.orgbdv.2288.orgbdz.2288.orgbeh.2288.org

第三组

163.com.wwvv.uscount.wwvv.userrors.9966.org.wwvv.usqddq.ww.wwvv.usqdq.ww.wwvv.usqq.ww.wwvv.ussina.com.wwvv.usw212.2.wwvv.usw212.ss2.wwvv.usw2f.22.wwvv.usw2f.22d1.wwvv.usw2w.2.wwvv.usw2w.2we.wwvv.uswww.2.wwvv.uswww.2d2.wwvv.uswww.baidu.com.wwvv.us

第四组

22k.conna.dtdns.net31q.inc.ass0.fr31r.conna.dtdns.net31r.css45.fr.ht31r.css66.qc.cx31r.inc.ass0.fr31r.office.1s.fr31s.conna.dtdns.net31s.css91.c4.fr31s.gcss.c4.fr31s.inc.ass0.fr31s.office.1s.fr31t.conna.dtdns.net31t.css91.c4.fr31t.gcss.c4.fr31t.inc.ass0.fr31t.office.1s.fr


  此外,本周ANVA发现,托管在虚拟主机上的众多中小企业网站成为黑客挂马的目标之一。由于这些网站托管在同一台服务器上,其中一个网站存在安全漏洞就可能导致黑客通过旁注的方式在其他网站上放置恶意URL链接。本周一些典型的受侵害虚拟主机网站如下表所示。

域名列表

对应虚拟主机IP

www.139chongzhi.cnwww.163games.cnwww.17176qq.comwww.1pyy.com

121.156.57.185

www.blp888.comwww.bohaibbs.netwww.bohaibbs.orgwww.boli-glass.comwww.broadwin.com.cnwww.buddhapia.comwww.bxrc.com.cnwww.ccjol.comwww.cd-moreland.com

174.139.16.139

174.139.16.140

www.imhero.comwww.internationalsms.cnwww.jcpyb.comwww.jinan56.comwww.jjeffyfc19.infowww.jjzyfg.com

218.61.200.53

www.moviehours.comwww.mushangzx.cnwww.mxcbaby.comwww.my777.cn

221.203.82.42

www.rzqz.netwww.saiesoft.comwww.saifeite.netwww.sanyuanzhu.comwww.sdlatlas.com.cn

58.218.190.21


  注4:根据CNCERT自主监测结果以及微软、绿盟、奇虎、联想网御、知道创宇、金山、东软、安信华等企业报送的挂马信息整理。

  注5:中国反网络病毒联盟(China Anti-Network Virus Alliance,缩写ANVA)是由中国互联网协会网络与信息安全工作委员会发起、CNCERT具体组织运作的行业联盟。反网络病毒联盟依托CNCERT的技术和资源优势,通过社会化机制组织开展互联网网络病毒防范、治理相关的信息收集发布、技术研发交流、宣传教育、联合打击等工作,并面向社会提供信息咨询、技术支持等服务,以净化公共互联网网络环境,提升互联网网络安全水平。

  三.本周事件处理情况

  1、本周处理各类事件数量

  对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件,以及自主监测发现的网络安全事件,CNCERT根据事件的影响范围和存活性、涉及用户的性质等因素,筛选重要事件进行协调处理。

  本周,CNCERT通过与基础电信运营商、域名注册服务机构的合作机制,以及反网络病毒联盟(ANVA)的工作机制,共协调处理了87件网络安全事件。

  2、本周恶意域名处理情况

  依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律法规的规定,本周ANVA在万网、新网数码、希网等域名注册服务机构的配合和支持下,对76个在中国大陆注册的、传播网络病毒或从事仿冒活动的恶意域名采取了暂停解析的处置措施。详细列表如下所示。

处置域名列表

处置原因

sbhack8.cnbnb8.3322.orgzwmJs.3322.orgaym.2288.orgayn.2288.orgbas.2288.orgbcg.2288.org233aydj.3322.orgbcf.2288.org4ge.3322.org81tsgg.3322.orgzq000042.3322.orghkmm0003.7766.orgllllazd1.9966.orgbca.2288.org115rsf.3322.orgayl.2288.orgazj.2288.orgbaq.2288.org82tsgg.3322.orgbav.2288.orgbch.2288.orgayk.2288.orgazd.2288.orgazk.2288.orgbcb.2288.orgbci.2288.org231aydj.3322.org3ga.3322.org81eufha.3322.org81wasd.3322.org81yhdr.3322.org82eufha.3322.org82yhdr.3322.org88ithad.3322.org88shdx.3322.org36036.6600.org36035.8800.orgarppra07.9966.orgayz.2288.orgaza.2288.orgbax.2288.orgbbv.2288.orgbcj.2288.orgbck.2288.orgbcl.2288.orgbcm.2288.orgbcn.2288.orgbco.2288.orgbcp.2288.orgbcq.2288.orgbcr.2288.orghd5667.7766.orghhggjjkk4.3322.orgi8i9og5.3322.orgj8798g.3322.orgvby3.3322.org36027.2288.orgaxb.2288.orgazx.2288.orgazy.2288.org100aga.3322.org115shdx.3322.org186aydj.3322.org59ithad.3322.org81shdx.3322.org88itj.3322.org88tsgg.3322.orgcaomei35.3322.orggooglenum5.3322.orgwasd115.3322.orgtyher.gicp.netv3377.gicp.netwangmzy.gicp.net

传播恶意代码

xn--2010-tc5fx7cu9nt2x.comdunksbhigh.com

网页仿冒


  3、本周处理的典型事件

  (1)某域名非授权指向澳大利亚政府官网事件

  8月13日,CNCERT接到来自澳大利亚网络安全应急组织的投诉,称在我国注册的域名“dunksbhigh.com”未经授权指向澳大利亚政府网站“australia.gov.au”。经验证核实后,CNCERT协调域名注册机构万网公司依法暂停了该域名的解析服务。

  (2)Nokia手机病毒传播事件

  8月13日,芬兰某网络安全组织向CNCERT通报了其发现的涉及国内用户的手机病毒传播事件。攻击者向用户发送含有恶意链接地址http://E66sd1.awa.cn/?p=07202141140的短信或彩信,诱使Nokia智能手机用户下载伪装为软件更新包的恶意软件。该恶意软件安装到用户手机上后,会在用户不知情的情况下向其他人发送短信并启动网络连接,同时清除手机上的相关日志记录。CNCERT对该事件进行分析、验证后,协调域名注册机构新网数码公司联系该域名的持有者对恶意软件进行了清理。

  四.本周重要安全漏洞

  本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞,详细的漏洞信息请参见CNVD漏洞周报(http://www.cnvd.org.cn/reports/list)。

  1、Apache CXF存在XML文档类型声明处理漏洞

  Apache CXF是一个开源的服务框架,用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。CXF未正确限制、处理XML文档类型声明(DTD),远程攻击者可通过提交恶意请求读取本地文件内容或耗尽CPU和内存资源,执行拒绝服务攻击。目前Apache已经发布补丁程序修复上述安全漏洞,建议相关用户尽快下载使用。

  2、Serv-U存在安全绕过和拒绝服务漏洞

  Serv-U是一款FTP服务器软件,Serv-U在处理虚拟路径时存在错误,操作者无需权限即可创建目录。另外,Serv-U在处理某些URL参数时也存在错误,可导致Serv-U崩溃。攻击者可利用漏洞绕过安全限制、进行拒绝服务攻击。目前Serv-U发布的10.2.0.0版本已经修复上述漏洞,建议相关用户尽快下载更新。

  3、Linux内核存在用户空间栈增长漏洞

  Linux是一款开放源代码的操作系统。Linux内核未正确限制用户空间应用程序的栈增长,攻击者可通过构建恶意应用程序触发栈溢出,致使栈无提示的覆盖其他内存映射区域,最终导致特权提升。Linux Kernel 2.6.32.19、2.6.34.4和2.6.35.2已经修复上述漏洞,建议相关用户尽快下载使用。

  小结:本周,Apache CXF、Serv-U FTP服务器、Linux内核均曝出安全漏洞。这些漏洞可被攻击者利用实施远程或本地网络攻击,对国内相关用户的信息安全和公共互联网网络安全构成一定威胁,请使用以上软件的相关机构和个人及时采取安全防范措施。
【打印】 【关闭】
主办单位: 中华人民共和国工业和信息化部
京ICP备 04000001号 地址: 中国北京西长安街13号 邮编: 100804