本周网络安全基本态势(8月23日-8月29日)
【字体:  
 
  本周互联网网络安全态势整体评价为差。我国互联网基础设施运行整体平稳,全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件,但恶意代码传播和漏洞威胁明显增强。依据CNCERT抽样监测结果和国家信息安全漏洞共享平台(CNVD)发布的数据,境内被木马控制的主机IP地址数目约为51万个,与前一周环比增长41%;境内被僵尸网络控制的主机IP地址数目约为1.3万个,环比增长9%;境内被篡改政府网站数量为73个,环比增长7%;新增信息安全漏洞94个,环比增长236%,其中高危漏洞12个。

  一. 本周政府网站安全情况

  根据CNCERT监测数据,本周境内被篡改政府网站数量为73个,较上周略有增长,截至8月30日12时仍未恢复的被篡改政府部门网站如下表所示。

被篡改页面URL

所属部门或地区

http://kj.fcgkj.gov.cn/index.htm

广西自治区防城港市

http://shgsme.gov.cn

河北省秦皇岛市山

http://cz.yindu.gov.cn/hex.htm

河南省安阳市

http://rs.yindu.gov.cn/hex.htm

河南省安阳市

http://www.pdsdj.gov.cn/index.htm

河南省平顶山市

http://sms.xinmi.gov.cn/index.htm

河南省新密市

http://www.zkrk.gov.cn/indonesia.htm

河南省周口市

http://al.xgqts.gov.cn/index.htm

湖北省安陆市

http://www.hgsc.gov.cn/index.htm

湖北省黄冈市

http://vod.jianghan-edu.gov.cn/index.htm

湖北省武汉市

http://www.whgq.gov.cn/heiye.htm

湖北省武汉市

http://www.wuhandxh.jcy.gov.cn/heiye.htm

湖北省武汉市

http://www.dxhcgj.gov.cn/heiye.htm

湖北省武汉市

http://xfxc.gov.cn/1.htm

湖北省襄城市

http://www.0735.gov.cn/index.asp

湖南省郴州市

http://www.zjjlz.gov.cn/index.htm

湖南省张家界市

http://www.zjjjt.gov.cn/index.htm

湖南省张家界市

http://www.zjjbb.gov.cn/index.htm

湖南省张家界市

http://www.zjjkj.gov.cn/index.htm

湖南省张家界市

http://www.zjjcz.gov.cn/sacred_relic.htm

湖南省张家界市

http://www.zjjldbz.gov.cn/indonesia.htm

湖南省张家界市

http://www.zzslj.gov.cn/index.htm

湖南省株洲市

http://www.fszj365.gov.cn/ggfg/hack.asp

辽宁省抚顺市

http://www.syah.gov.cn/default.asp

辽宁省沈阳市

http://dtaic.gov.cn/1.htm

四川省德阳市

http://www.dytj.gov.cn/indonesia.htm

四川省德阳市

http://qlsw.gov.cn/index.htm

四川省邛崃市

http://bm.klmy.gov.cn/index.htm

新疆自治区克拉玛依市

http://www.cxzzx.gov.cn/hk592.htm

云南省楚雄州

http://jdk.gov.cn/index.htm

浙江省金东经济开发区

  
  根据CNCERT监测和通信行业报送数据,本周被挂马的部分政府网站如下表所示。

被挂马页面URL

所属部门或地区

http://senlin.cq.gov.cn/jw/yh/ie.html?_360safeparam

重庆市

http://www.hbjgdm.gov.cn/images/ex.htm?

河北省

http://www.scpi.gov.cn/css/test1test.html

四川省

http://www.zjesc.gov.cn/

浙江省

http://www.bzsz.gov.cn/

安徽省亳州市

http://www.hbcq.gov.cn/

安徽省淮北市

http://www.wuhumsa.gov.cn/

安徽省芜湖市

http://xt.qnzwsj.gov.cn/

贵州省黔南州

http://www.lycj.gov.cn/zhengwu/bumenlist.asp?id=1

河南省洛阳市

http://www.mdjob.gov.cn/

黑龙江省牡丹江市

http://www.hlsys.lss.gov.cn/index.asp

黑龙江省双鸭山市

http://yylq.gov.cn/laws

湖南省岳阳市

http://www.pxepb.gov.cn/readnews.asp?newsid=2855

江西省萍乡市

http://xnmw.xining.gov.cn/

青海省西宁市

http://www.bzinvest.gov.cn/

山东省滨州市

http://swjj.yanan.gov.cn/sfbz.asp

陕西省延安市

http://www.cdcc.gov.cn/css/test1test.html

四川省成都市

http://jddpc.gov.cn/

浙江省建德市


  注:根据CNCERT自主监测结果以及微软、绿盟、奇虎、知道创宇、华为、联想网御、安天、金山、东软、启明星辰、安信华等企业报送的挂马信息整理。
  
  注:政府网站是指英文域名以“.gov.cn”结尾的网站,但不排除个别非政府部门也使用“.gov.cn”的情况。

  二.本周恶意代码活动情况

  1、本周活跃恶意代码

  本周,中国反网络病毒联盟(ANVA)整理发布的活跃恶意代码如下表所示。其中,利用应用软件及操作系统漏洞进行传播的恶意代码所占比例较高。ANVA提醒互联网用户一方面要加强系统漏洞的修补加固,另一方面要加装安全防护软件。此外,不要轻易打开网络上来源不明的图片、音乐、视频等文件。

名称

特点

Trojan.DL.Giframe.a

这是一个下载者木马,利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页,来控制用户连接到特定的包含恶意程序的网页。不过,目前发现使用Windows图片查看器打开含有此恶意代码的GIF文件并不受影响。

Trojan.DL.PicFrame.a

这是一个下载者木马,利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的<iframe><\iframe>,由于iframewidthheight 都很小,用户极易在未察觉的情况下访问恶意网址。

Hack.Exploit.Script.JS.Agent.ju

该病毒采用加密脚本,利用RealPlayer播放器的溢出漏洞进行传播。病毒会将网页脚本加密成乱码字符,普通用户很难识别是病毒代码。病毒通过调用RealPlayer组件,用特定构造的shellcode进行溢出。成功之后,就会打开指定的下载地址,下载其他病毒。

Trojan.DL.Script.VBS.Mnless.e

这是一个经过加密的VBS脚本病毒,病毒解密之后,将会从远程服务器下载文件并执行。

Trojan.Win32.FakeIME.d

    这是一个伪装成输入法程序的病毒,病毒运行后,可向用户系统中载入一个带毒的动态链接库(DLL)。                         

  
  
  注:根据瑞星、金山等企业报送的恶意代码信息整理。

  2、本周活跃恶意域名

  本周,ANVA重点关注的五组恶意域名如下表所示。除2288.org这组动态域名外,其他恶意域名组多注册于国外,黑客或挂马集团以此逃避国内互联网监管机构或域名机构的清理。

组别

域名列表

第一组

163.com.wwvv.uscount.wwvv.userrors.9966.org.wwvv.usqq.ww.wwvv.ussina.com.wwvv.usw212.ss2.wwvv.usw2f.22.wwvv.usw2f.22d1.wwvv.usw2w.2.wwvv.usw3org.9966.org.wwvv.uswww.2.wwvv.uswww.baidu.com.wwvv.us

第二组

22x.conna.dtdns.net26a.conna.dtdns.net31u.conna.dtdns.net31u.css91.c4.fr31u.gcss.c4.fr31v.conna.dtdns.net31v.css91.c4.fr31v.gcss.c4.fr31w.conna.dtdns.net31w.css91.c4.fr31x.conna.dtdns.net31x.css91.c4.fr31x.gcss.c4.fr31y.conna.dtdns.net32a.conna.dtdns.net32a.css91.c4.frh.conna.dtdns.net31b.office.1s.fr31k.office.1s.fr31t.office.1s.fr31u.inc.ass0.fr31u.office.1s.fr31v.inc.ass0.fr31v.office.1s.fr31w.inc.ass0.fr31w.office.1s.fr31x.inc.ass0.fr31x.office.1s.fr32a.inc.ass0.fr32a.office.1s.fr

第三组

bdm.2288.orgbdt.2288.orgbdu.2288.orgbeq.2288.orgbev.2288.orgbex.2288.orgbfd.2288.orgbeg.2288.orgbel.2288.orgbep.2288.orgber.2288.orgbes.2288.orgbet.2288.orgbeu.2288.orgbew.2288.orgbez.2288.orgbfb.2288.orgbfc.2288.orgbfe.2288.orgbfg.2288.orgbfh.2288.orgbfi.2288.orgbfj.2288.orgbfk.2288.orgbfl.2288.orgbfo.2288.orgbfq.2288.orgbfr.2288.orgbfs.2288.orgbft.2288.orgbfu.2288.orgbfv.2288.orgbfy.2288.orgbfz.2288.orgbgb.2288.orgbge.2288.org

第四组

bed.isgre.atbeg.isgre.atbfa.isgre.atbfj.isgre.atbfw.isgre.atbgn.isgre.atbgp.isgre.atbgq.isgre.atbgr.isgre.atbgs.isgre.atbgt.isgre.atbgu.isgre.atbgv.isgre.atbgw.isgre.atbgx.isgre.atbgy.isgre.atbgz.isgre.atbha.isgre.atbhb.isGre.atbhc.isgre.atbhf.isgre.atbhg.isGre.atbhh.isGre.atbhi.isGre.atbhj.isGre.atbhk.isGre.atbhn.isGre.atbho.isGre.atbhp.isGre.atzil.rr.nuzjb.rr.nuzjm.rr.nuzjo.rr.nuzjp.rr.nuzju.rr.nuzjv.rr.nuzjx.rr.nu

第五组

aierfr.comainerg.comawotbop.combaaswer.combiawwer.comgeerrge.comgiaine.comhianes.comhinnws.comliaefr.comniaekw.comnuahnd.comsiinns.comurinoor.comwsinfr.com


  注:中国反网络病毒联盟(China Anti-Network Virus Alliance,缩写ANVA)是由中国互联网协会网络与信息安全工作委员会发起、CNCERT具体组织运作的行业联盟。反网络病毒联盟依托CNCERT的技术和资源优势,通过社会化机制组织开展互联网网络病毒防范、治理相关的信息收集发布、技术研发交流、宣传教育、联合打击等工作,并面向社会提供信息咨询、技术支持等服务,以净化公共互联网网络环境,提升互联网网络安全水平。

  三.本周事件处理情况

  1、本周处理各类事件数量

  对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件,以及自主监测发现的网络安全事件,CNCERT根据事件的影响范围和存活性、涉及用户的性质等因素,筛选重要事件进行处理。

  本周,CNCERT通过与基础电信运营商、域名注册服务机构的合作机制,以及反网络病毒联盟(ANVA)的工作机制,共协调处理了73件网络安全事件。

  2、本周恶意域名处理情况

  依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律法规的规定,本周ANVA在新网数码、希网、花生壳等域名注册服务机构的配合和支持下,对53个在中国大陆注册的、传播网络病毒的恶意域名采取了暂停解析的处置措施。详细列表如下所示。

处置域名列表

处置原因

100are.3322.org115atk.3322.org115itj.3322.org121ggg.3322.org360aase.3322.org81itj.3322.org82itj.3322.org88adhs.3322.org88ati.3322.org88atk.3322.org88doy.3322.org88itj.3322.org88itj.3322.org88qen.3322.org88tmd.3322.orgaiwoyeye6.3322.orgbcg.2288.orgbci.2288.orgbcs.2288.orgbcu.2288.orgbcv.2288.orgbcw.2288.orgbcy.2288.orgbcz.2288.orgbda.2288.orgbdb.2288.orgbdc.2288.orgbdg.2288.orgbdh.2288.orgbdi.2288.orgbdj.2288.orgbdk.2288.orgbdm.2288.orgbdo.2288.orgbdp.2288.orgbdt.2288.orgbdu.2288.orgbdv.2288.orgbdz.2288.orgbeh.2288.orghkmm0016.6600.orgmxhk58.3322.orgsomef.3322.orgsomef.3322.orgtaiji1.3322.orgtaiji5.3322.orgwww.720bs.3322.orgzhangxx1.3322.orgzhangxx5.3322.orgzwmJs.3322.orgtyher.gicp.net

传播恶意代码

xn--2010-tc5fx7cu9nt2x.comnew.st-fl.com

网页仿冒


  3、本周处理的典型事件

  协调处理1起涉及上海世博会的“非授权域名指向”事件

  8月20日,CNCERT接到腾讯公司的投诉,称域名“xn--2010-tc5fx7cu9nt2x.com”未经授权解析指向其运维的世博服务器地址,对服务器的安全运行构成威胁。经查,该域名无备案信息,且非授权解析指向行为影响世博服务器的正常运行,CNCERT协调该域名的注册机构新网公司依法暂停了对该域名的解析服务。

  处理3起国家部委网站安全隐患事件

  本周,CNCERT 通过自主监测发现3个国家部委网站分别存在SQL注入漏洞、URL过滤漏洞以及感染木马程序。这些网站均系重要的政务信息公开平台,权威性高、用户面广,上述漏洞和隐患一旦被不法分子所利用,可能会带来不良社会影响。因此,CNCERT在发现上述隐患后立即向工业和信息化部报告了有关情况,由其协调相关政府部门采取措施,消除安全隐患。

  四.本周重要安全漏洞

  本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞,详细的漏洞信息请参见CNVD漏洞周报(http://www.cnvd.org.cn/reports/list)。

  1、Adobe Shockwave Player存在多个安全漏洞

  Adobe Shockwave Player是一款用于播放使用Director Shockwave Studio制作的网页的外挂软件。Adobe Shockwave Player存在多个安全漏洞,攻击者可利用这些漏洞进行拒绝服务攻击或以应用程序权限执行特定代码。目前Adobe已经发布补丁程序修复上述安全漏洞,建议相关用户尽快下载使用。

  2、Apple iTunes和Mac OS X存在多个安全漏洞

  Apple iTunes是一款用于Mac和PC,可播放所有数字音乐和视频的应用程序;Apple Mac OS X是一款基于UNIX的商业性质操作系统。这两款产品存在多个安全漏洞,攻击者可利用漏洞进行拒绝服务攻击。目前Apple已经发布升级包修复上述安全漏洞,建议相关用户尽快下载更新。

  3、MySQL存在多个安全漏洞

  MySQL是一款小型关系型数据库管理系统。MySQL存在多个安全漏洞,攻击者可利用漏洞实施拒绝服务攻击。目前MySQL 5.1.49版本已经修复上述安全漏洞,建议相关用户尽快下载使用。

  4、IBM多款产品存在安全漏洞

  IBM 的Tivoli Storage Manager FastBack管理平台和Autonomy KeyView软件包存在多个安全漏洞,攻击者可以利用漏洞以应用程序权限执行特定代码。目前IBM已经发布安全公告以修复上述安全漏洞,建议相关用户尽快下载使用。

  小结: Adobe Shockwave Player播放器、Apple iTunes播放器和Mac OS X操作系统、MySQL数据库、IBM多款产品均曝出安全漏洞。这些漏洞可被攻击者利用于实施远程或本地攻击,对国内相关用户的信息安全和公共互联网网络安全构成威胁,请使用以上软件的相关机构和个人及时采取安全防范措施。此外,本周微软发布了新的安全建议 (MSA2269637),提醒用户防范因应用程序采用不安全的DLL加载方式而导致的远程代码执行威胁,即“DLL劫持攻击”。攻击者可以利用这个漏洞,通过打开特制的程序或者文档获得计算机控制权限。目前互联网上已经有人公布了大量存在问题的应用软件列表,CNVD建议广大用户提高警惕并做好安全防范工作:1)不访问不可信的远程文件系统,不打开不可信的文件;2)在防火墙或系统中禁用文件共享协议(SMB);3)采用微软安全建议中提供的软件工具;4)关注厂商主页,及时获取修补方案。

  注:CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。
【打印】 【关闭】
主办单位: 中华人民共和国工业和信息化部
京ICP备 04000001号 地址: 中国北京西长安街13号 邮编: 100804