您所在的位置:网站首页 > 网络安全 > 行业预警 > 正文

海南省网络安全通报(2016年第10期)

  时间:2016-12-09 15:52:25  来源:海南省通信管理局
    一、我省本月网络安全总体情况
  2016年10月,我省互联网网络安全状况整体评价为良,木马僵尸等反映网络安全状况的部分指数有所减少,其中我省被境外控制的木马僵尸受控主机数量为10212个,列全国第26位;我省木马僵尸控制服务器数量为123个。从事件的地区分布来看,海口、三亚等地市感染僵尸木马的主机数量较多。本月我省发生网页篡改事件6起。每日互联网流量最高值为600G,最低值84G,未发现流量异常情况。我省重要信息系统部门或网站被攻击数量未见明显改善,部分政府网站或系统存在高危安全漏洞或被植入后门,需引起政府和重要信息系统部门高度重视。由于近期国家互联网应急中心加大治理力度,木马僵尸控制服务器数量上涨明显增加。
  二、本月网络安全工作动态
  (一)互联网网络安全信息通报工作动态
  10月,海南互联网应急中心共接收各基础运营企业、增值运营企业、网络安全企业等信息通报工作成员单位提供的网络安全月度信息汇总表7份。各运营企业相关网络安全责任人应密切关注本单位运营网络的安全情况,积极做好网络安全事件信息报送工作。
  (二)开展木马僵尸感染主机清理工作
  10月,海南互联网应急中心共向各运营企业下发了240条感染僵尸木马的IP数据,39条僵尸木马病毒控制端IP数据,172条感染蠕虫病毒的IP数据;后门IP数据24条。各企业积极配合并进行了处置。海南互联网应急中心针对各企业反馈涉事单位建立了重点单位监测表,进行每日监测,对监测发现的感染情况及时进行通报,并建立联系人机制,提高处置效率。
  (三)手机病毒处理工作
  10月,海南互联网应急中心协调运营企业处置手机病毒151条。运营企业通过短信提醒、免费客户服务热线、网上营业厅或门户网站公告等方式,及时向用户推送手机病毒感染信息和病毒查杀方法及工具,帮助用户了解手机病毒危害及引导用户清除手机病毒,并在手机病毒处置过程中特别注意保护用户隐私。同时,将手机病毒处置结果、用户投诉等情况通报我中心。
  (四)自主发现网络安全事件处置情况
  海南互联网应急中心通过国家中心系统平台,自主监测发现并处理了一些被植入后门和被篡改网页的网络安全事件,经过验证后向相关单位报送网络安全通报,并协助处理。其中,恶意代码事件86起,漏洞事件5起,网页仿冒2起,网页篡改3起,后门事件24起。

附:本月报送和监测的数据导读

附1:网络安全信息报送情况

  10月,海南互联网应急中心处理及或向本地区各信息通报工作成员单位报送的网络安全事件共334起。各类事件信息详细分类统计分别如表1和表2所示。(注:此统计全包括海南互联网应急中心通报数据,另包括企业自查数据)

 

 

网络安全事件信息报送类型统计
201610
事件类型 数量
IP业务 0
基础IP网络 7
运营企业自有业务系统 0
域名系统 0
公共互联网环境 632
合计 639

表1:网络安全事件信息报送类型统计

 

 

事件类型 数量
计算机病毒事件 0
蠕虫事件 172
木马事件 39
僵尸网络事件 240
域名劫持事件 0
网络仿冒事件 0
网页篡改事件 6
网页挂马事件 0
拒绝服务攻击事件 0
后门漏洞事件 24
非授权访问事件 0
垃圾邮件事件 0
其他网络安全事件 151
合计 632
表2:公共互联网环境事件信息报送类型统计
 

附2:木马僵尸监测数据分析

  1、木马僵尸受控主机的数量和分布
  2016年10月,监测发现我国大陆地区999398个IP地址对应的主机被其他国家或地区通过木马程序秘密控制,与上月的1038084个相比减少了3.73%,其分布情况如图1所示。其中,海南省10212个(占全国1.02%),排名第26位。

1:中国大陆木马或僵尸受控主机IP按地区分布

  2、木马僵尸控制服务器的数量和分布

  2016年10月,监测发现我国大陆地区12073个IP地址对应的主机被利用作为木马控制服务器,与上月的3094个相比增加了290.21%,其分布情况如图2所示。其中,海南省123个(占全国1.02%),排名第4位。

2:中国大陆木马或僵尸控制服务器IP按地区分布

  3、境外木马控制服务器的数量和分布
  2016年10月,秘密控制我国大陆计算机的境外木马控制服务器IP有7608个,与上月的6350个相比增加了19.80%,主要来自美国、土耳其等,具体分布如图3所示。

  
图3:通过木马或僵尸程序控制中国大陆主机的境外IP按国家和地区分布

  4、木马僵尸网络规模分布
  在发现的僵尸网络中,规模大于5000的僵尸网络有36个,规模在100-1000的有324个,规模在1000-5000的有78个,分布情况如图4所示。

4:僵尸网络的规模分布
 

附3、境内被植入后门的网站按地区分布

  2016年10月,监测发现我国大陆地区4235个网站被植入后门程序,其分布情况如图5所示。其中,海南省24个(占全国0.26%),排全国第26位。

图5:境内被植入后门的网站按地区分布

附4、网页篡改监测数据分析

  2016年10月,我国大陆地区被篡改网站4524个,与上月的5241个相比有所减少;其中,海南省6个(占全国0.13%),排名第26位。具体分布如图6所示。


图6:境内被篡改网站按地区分布

附5:恶意代码数据分析

  2016年10月,恶意代码捕获与分析系统监测得到的放马站点统计。

  

  

附6:重要漏洞与重要事件处置公告

  2016年10月,CNVD整理和发布以下重要安全漏洞信息。同时提醒用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。(更多漏洞信息,请关注CNVD官方网站:www.cnvd.org.cn)

  一、关于OpenSSL存在多个拒绝服务漏洞的安全公告
  近日,国家信息安全漏洞共享平台(CNVD)收录了OpenSSL存在多个拒绝服务漏洞(CNVD-2016-11090、CNVD-2016-11095、CNVD-2016-11093,对应CVE-2016-7054、CVE-2016-7053、CVE-2016-7055)。远程攻击者利用上述漏洞,可发起拒绝服务攻击,导致内存或CPU资源耗尽。
  1、漏洞情况分析
  OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。
  (1)OpenSSL拒绝服务漏洞(CNVD-2016-11090)
由于TLS链接使用的*-CHACHA20-POLY1305密码组件,通过破坏大量的有效荷载易受到拒绝服务攻击,可能导致OpenSSL的崩溃。远程攻击者利用该漏洞,可造成应用程序拒绝服务,导致内存或CPU资源耗尽。CNVD对该漏洞的综合评级为“高危”。
  (2)OpenSSL空指针废弃拒绝服务漏洞(CNVD-2016-11095)
程序在试图释放某些无效编码时,错误处理OpenSSL 1.1.0中的ASN.1选择类型,可导致一个NULL值被传递给回调结构,当NULL指针解析无效的CMS结构可导致应用程序崩溃。仅使用不处理空值的回调函数的选择结构时受到影响。CNVD对该漏洞的综合评级为“中危”。
  (3)OpenSSL拒绝服务漏洞(CNVD-2016-11093)
当Broadwell-specific Montgomery乘法运算程序在处理输入长度超过256bits数据时,可导致应用程序崩溃。分析表明,由于存在问题的子程序不使用私钥本身的操作和攻击者的直接输入,攻击者不能攻击RSA,DSA和DH密钥。在EC算法中只有Brainpool P-512 curves受到影响,有可能存在针对ECDH的密钥协商攻击。CNVD对该漏洞的综合评级依次为“低危”。
  2、漏洞影响范围
  上述漏洞影响OpenSSL 1.1.0版本。
  3、漏洞修复建议
  目前,厂商已发布了漏洞修复程序,用户可将程序升级至1.1.0c版本。
  二、其他安全漏洞信息
  1、Microsoft产品安全漏洞
  11月8日,微软发布了2016年11月份的月度例行安全公告,共含14项更新,修复了MicrosoftWindows、InternetExplorer、Edge、Office、Office Services、SQL Server和WebApps中存在的67个安全漏洞。其中,5项远程代码更新的综合评级为最高级“严重”级别。利用上述漏洞,攻击者可提升权限,远程执行任意代码。CNVD提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
  2、Adobe产品安全漏洞
  Adobe Flash Player是美国奥多比(Adobe)公司的一款跨平台、基于浏览器的多媒体播放器产品。本周,该产品被披露存在内存错误引用和远程代码执行漏洞,攻击者可利用漏洞执行任意代码。
  3、OIC产品安全漏洞
  Exponent CMS是美国OIC集团公司的一套基于PHP的免费、开源的模块化内容管理系统(CMS)。本周,该产品被披露存在SQL注入漏洞,攻击者可利用漏洞控制应用程序,访问或修改数据。
  4、IBM产品安全漏洞
  IBM InfoSphereInformation Server Framework(ISF)和IBM InfoSphereInformation Server on Cloud是美国IBM公司的产品。IBM AIX是一套UNIX操作系统。IBM Campaign是一套用于帮助营销人员设计、执行、衡量和优化营销广告的管理解决方案。IBM RationalTeam Concert(RTC)是一套基于Jazz平台且支持分散团队进行实时相关协作的软件生命周期管理解决方案。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限或发起跨站脚本攻击等。
  5、NodCMS PHP代码执行漏洞
  NodCMS是一套免费的支持多语种的PHP开发框架。本周,NodCMS被披露存在代码执行漏洞。攻击者可利用该漏洞在受影响应用程序上下文中执行任意代码,也可能造成拒绝服务。目前,厂商尚未发布该漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

 

相关文章:
【关闭窗口】【返回顶部】责任编辑:海南省互联网协会

海南省互联网协会版权所有 翻版必究 地址:海口市南沙路47号通信广场  邮编:570206 电话:0898-66502933 传真:0898-66533698 技术支持:海南布谷

Copyright ©2012 HAINAN INTERNET Association. All rights reserved

ICP证 琼ICP备12002399号-1