文章开头先列几个问题:
自己人搞自己人,境内传播和中招最多的分别是哪个省?
“曝洞一时爽,一直曝洞一直爽”,你觉得去年“洞主”是哪位?(不是搞事情,真不是)
“雷锋网(公众号:雷锋网)”VS“雷峰网”?仿冒页面IP地址归属主要分布在哪国?
境外向我国境内网站植入后门IP地址所属国家TOP10?
境内被篡改网页的顶级域名前三位?
互联网金融网站/APP什么类型洞最多?
当然回答这几个问题不是为了虐你,而是为了让你往下找答案。
一、恶意程序
(一)计算机恶意程序捕获情况
2018年,CNCERT全年捕获计算机恶意程序样本数量超过1亿个,涉及计算机恶意程序家族51万余个,较2017年增加8132个。全年计算机恶意程序传播次数日均达500万余次。按照计算机恶意程序传播来源统计,位于境外的主要是来自美国、加拿大和俄罗斯等国家和地区。位于境内的主要是位于陕西省、浙江省和河南省等省份。按照受恶意程序攻击的IP统计,我国境内受计算机恶意程序攻击的IP地址约5946万个,约占我国IP总数的17.5%,这些受攻击的IP地址主要集中在江苏省、山东省、浙江省、广东省等地区。
【2018年计算机恶意代码传播源位于境外分布情况】
【2018年我国受计算机恶意代码攻击的IP分布情况】
(二)计算机恶意程序用户感染情况
2018年,我国境内感染计算机恶意程序的主机数量约655万台,同比下降47.8%。位于境外的约4.9万个计算机恶意程序控制服务器控制了我国境内约526万台主机,就控制服务器所属国家来看,位于美国、日本和德国的控制服务器数量分列前三位,分别是约14752个、6551个和2166个;就所控制我国境内主机数量来看,位于美国、中国香港和法国的控制服务器控制规模分列前三位,分别控制了我国境内约334万、48万和33万台主机。
【境内感染计算机恶意程序主机数量变化】
我国境内感染计算机恶意程序主机数量地区分布来看,主要分布在广东省(占我国境内感染数量的10.9%)、江苏省(占9.9%)、浙江省(占9.4%)等省份,但从我国境内各地区感染计算机恶意程序主机数量所占本地区活跃IP地址数量比例来看,河南省、江苏省和广西壮族自治区分列前三位。在监测发现的因感染计算机恶意程序而形成的僵尸网络中,规模在100台主机以上的僵尸网络数量达3710个,规模在10万台以上的僵尸网络数量达36个。
【我国各地区感染计算机恶意程序主机数量占本地区活跃IP地址数量比例】
(三)移动互联网恶意程序
目前,随着移动互联网技术快速发展,我国移动互联网网民数量突破8.17亿(占我国网民总数量的98.6%),金融服务、生活服务、支付业务等全面向移动互联网应用迁移。但窃取用户信息、发送垃圾信息、推送广告和欺诈信息等危害移动互联网正常运行的恶意行为在不断侵犯广大移动用户的合法利益。
2018年,CNCERT通过自主捕获和厂商交换获得移动互联网恶意程序数量283万余个,同比增长11.7%,尽管近三年来增长速度有所放缓,但仍保持高速增长趋势。
【2010年至2018年移动互联网恶意程序捕获数量走势】
通过对恶意程序的恶意行为统计发现,排名前三的分别为流氓行为类、资费消耗类和信息窃取类 ,占比分别为45.8%、24.3%和14.9%。
【2018年移动互联网恶意程序数量按行为属性统计】
(四)联网智能设备恶意程序
目前活跃在智能联网设备上的恶意程序家族主要包括Ddosf、Dofloo、Gafgyt、MrBlack、Persirai、Sotdas、Tsunami、Triddy、Mirai、Moose、Teaper、Satori、StolenBots、VPN-Filter等。
这些恶意程序及其变种产生的主要危害包括用户信息和设备数据泄露、硬件设备遭控制和破坏、被用于DDoS攻击或其他恶意攻击行为、攻击路由器等网络设备窃取用户上网数据等。
通过抽样监测发现,2018年,联网智能设备恶意程序控制服务器IP地址约2.3万个,位于境外的IP地址占比约87.5%;被控联网智能设备IP地址约446.8万个,位于境内的IP地址占比约34.6%,其中山东、浙江、河南、江苏等地被控联网智能设备IP地址数量均超过10万个;控制联网智能设备且控制规模在1000台以上的僵尸网络有363个,其中,控制规模在1万台以上的僵尸网络19个,5万台以上的8个。
【2018年联网智能设备僵尸网络控制规模统计情况】
二、安全漏洞
(一)安全漏洞收录情况
2014年以来,国家信息安全漏洞共享平台(CNVD) 收录安全漏洞数量年平均增长率为15.0%,其中,2018年收录安全漏洞数量同比减少了11.0%,共计14201个,高危漏洞收录数量为4898个(占34.5%),同比减少12.8%,但近年来“零日”漏洞 收录数量持续走高,2018年收录的安全漏洞数量中,“零日”漏洞收录数量占比37.9%,高达5381个,同比增长39.6%。
【2013年至2018年CNVD收录安全漏洞数量对比】
安全漏洞主要涵盖Google、Microsoft、IBM、Oracle、Cisco、Foxit、Apple、Adobe等厂商产品。
【2018年CNVD收录漏洞涉及厂商情况统计】
按影响对象分类统计,收录漏洞中应用程序漏洞占57.8%,Web应用漏洞占18.7%,操作系统漏洞占10.6%,网络设备(如路由器、交换机等)漏洞占9.5%,安全产品(如防火墙、入侵检测系统等)漏洞占2.4%,数据库漏洞占1.0%。
【2018年CNVD收录漏洞按影响对象类型分类统计】
(二)联网智能设备安全漏洞
2018年,CNVD收录的安全漏洞中关于联网智能设备安全漏洞有2244个,同比增长8.0%。这些安全漏洞涉及的类型主要包括设备信息泄露、权限绕过、远程代码执行、弱口令等;涉及的设备类型主要包括家用路由器、网络摄像头等。
三、拒绝服务攻击
(一)攻击资源情况
通过对全年用于发起DDoS攻击的攻击资源进行持续分析,CNCERT发现用于发起DDoS攻击的C&C控制服务器数量共2108台,总肉鸡数量约144万台,反射攻击服务器约197万台,受攻击目标IP地址数量约9万个,这些攻击目标主要分布在色情、博彩等互联网地下黑产方面以及文化体育和娱乐领域,此外还包括运营商IDC、金融、教育、政府机构等。
(二)攻击团伙情况
2018年共监测发现利用僵尸网络进行攻击的DDoS攻击团伙50个。从全年来看,与DDoS攻击事件数量、C&C控制服务器数量一样,攻击团伙数量在2018年8月达到最高峰。其中,控制肉鸡数量较大的较活跃攻击团伙有16个,涉及C&C控制服务器有358个,攻击目标有2.8万个。进一步分析这16个团伙的关系情况,发现不同攻击团伙之间相互较为独立,同一攻击团伙的攻击目标非常集中,不同攻击团伙间的攻击目标重合度较小。
【2018年活跃攻击团伙基本信息表】
四、网站安全
绝大多数网站攻击行为由少量的活跃攻击资源发起,根据这些攻击资源之间的关联关系,可将其划分为不同的“攻击团伙”所掌握。这些“攻击团伙”不断更换其掌握的大量攻击资源,长期攻击并控制着大量安全防护能力薄弱的网站。
(一)网页仿冒
经监测,去年约5.3万个针对我国境内网站的仿冒页面,页面数量较2017年增长了7.2%。其中,仿冒政务类网站数量明显上升,占比高达25.2%,经分析,这些仿冒页面主要被用于短期内提高其域名的搜索引擎排名,从而快速转化为经济利益。从承载仿冒页面IP地址归属情况来看,绝大多数位于境外,主要分布在美国和中国香港。
【2018年承载仿冒页面IP地址和仿冒页面数量分布】
(二)网站后门
1. 我国境内被植入后门情况
过去一年,约1.6万个IP地址对我国境内约2.4万个网站植入后门。近三年来,我国境内被植入后门的网站数量持续保持下降趋势,2018年的数量较2017年下降了19.3%。其中,约有1.4万个(占全部IP地址总数的90.9%)境外IP地址对境内约1.7万个网站植入后门,位于美国的IP地址最多,占境外IP地址总数的23.2%,其次是位于中国香港和俄罗斯的IP地址。从控制我国境内网站总数来看,位于中国香港的IP地址控制我国境内网站数量最多,有3994个,其次是位于美国和俄罗斯的IP地址,分别控制了我国境内3607个和2011个网站。
【2018年境外向我国境内网站植入后门IP地址所属国家或地区TOP10】
2. 网站后门“攻击团伙”情况
数据显示,攻击活跃在 10 天以上的网站“攻击团伙”有 777 个,全年活跃的“攻击团伙”13 个,如图所示。“攻击团伙”中使用过的攻击 IP地址数量大于 100个 的有 22 个,攻击网站数量超过 100 个的“攻击团伙”有 61 个。
从“攻击团伙”的攻击活跃天数来看,少数攻击团伙能够保持持续活跃。多数“攻击团伙”的活跃天数较短,无法形成对被入侵网站服务器的持久化控制;少量值得关注的“攻击团伙”具有长时间持续攻击的特点,持续对其入侵的多个网站服务器实现长期控制。
【不同活跃天数的“攻击团伙”数量统计】
(三)网页篡改
经监测,去年我国境内遭篡改的网站有7049个,较2017年的约2万个有大幅的下降,下降了64.9%,其中被篡改的政府网站有216个,较2017年的618个减少65.0%。从网页遭篡改的方式来看,被植入暗链的网站占全部被篡改网站的比例为56.9%,占比呈现持续缩小趋势。从境内被篡改网页的顶级域名分布来看,“.com”、“.net”和“.gov.cn”占比分列前三位,分别占总数的66.3%、7.7%和3.1%,占比分布情况与2017年无明显变化。
【2013年至2018年我国境内被篡改网站数量情况】
五、工业互联网安全
(一)工业网络产品安全检测情况
通过对主流工控设备和网络安全专用产品进行了安全入网抽检,并对电力二次设备进行专项安全测试。在所涉及35个国内外主流厂商的87个型号产品中共发现232个高危漏洞,可能产生的风险包括拒绝服务攻击、远程命令执行、信息泄露等。
利用这些漏洞,攻击者可使工控设备宕机,甚至获取设备控制权限,可能对其他工业网络设备发起攻击。进一步分析发现,在电力设备测试中部分漏洞呈现同源性特征,经分析因大多数电力设备厂商在实现IEC 61850协议(电力系统最重要的通信协议之一)时都采用了美国SISCO公司的第三方开发套件,显示了较严重的产品供应链安全风险。
【2018年工业网络产品安全检测中发现的高危漏洞类型分布】
(二)联网工业设备和工业云平台暴露情况
监测发现去年境外对我国暴露工业资产的恶意嗅探事件约4451万起,较2017年数量暴增约17倍。我国境内暴露的联网工业设备数量共计6020个,涉及西门子、韦益可自控、罗克韦尔等37家国内外知名厂商产品,这些联网设备的厂商、型号、版本、参数等信息遭恶意嗅探。
【2018年发现的联网工业设备厂商分布情况】
据了解,目前我国具有一定规模的工业云平台有30多家,业务涉及能源、金融、物流、智能制造、智慧城市等方面,并监测发现根云、航天云网、COSMOPlat、OneNET、OceanConnect等大型工业云平台持续遭受漏洞利用、拒绝服务、暴力破解等网络攻击,工业云平台正逐渐成为网络攻击的重点目标。
(三)重点行业远程巡检情况
电力、石化等重点行业的生产监控管理系统因存在网络配置疏漏等问题,可能会直接暴露在互联网上,一旦遭受网络攻击,影响巨大。数据显示,电力、城市公用工程和石油天然气三个行业的联网监控管理系统均存在高危漏洞隐患,各自占监控管理系统的比例为10%、28%和35%,且部分暴露的监控管理系统存在遭境外恶意嗅探、网络攻击的情况。
六、互联网金融安全
(一)互联网金融网站安全情况
随着互联网金融行业的发展,互联网金融平台运营者的网络安全意识有所提升,互联网金融平台的网络安全防护能力有所加强,特别是规模较大的平台,但仍有部分平台安全防护能力不足,安全隐患较多,
2018年,CNCERT发现互联网金融网站的高危漏洞1700个,其中XSS跨站脚本类型漏洞占比最多有782个(占比46.0%);其次是SQL注入漏洞476个(占比28.0%)和远程代码执行漏洞85个(占比5.0%)。
【互联网金融网站高危漏洞分布情况】
(二)互联网金融APP安全情况
在移动互联网技术发展和应用普及的背景下,用户通过互联网金融APP进行投融资的活动愈加频繁,绝大多数的互联网金融平台通过移动APP开展业务,且有部分平台仅通过移动APP开展业务。经对430个互联网金融APP进行检测,发现安全漏洞1005个,其中高危漏洞240个,明文数据传输漏洞数量最多有50个(占高危漏洞数量的20.8%),其次是网页视图(Webview)明文存储密码漏洞有48个(占20.0%)和源代码反编译漏洞有31个(占12.9%)。这些安全漏洞可能威胁交易授权和数据保护,存在数据泄露风险,其中部分安全漏洞影响应用程序的文件保护,不能有效阻止应用程序被逆向或者反编译,进而使应用暴露出多种安全风险。
【互联网金融移动APP高危漏洞分布情况】
(三)区块链系统安全情况
伴随互联网金融的发展,攻击者攻击互联网金融平台牟利的手段不断升级,并融合了金融业务特征,出现“互联网+金融”式攻击,尤其是在区块链数字货币等业务领域表现得更为明显。首先,区块链系统往往自带金融属性,直接运行数字货币等资产;其次,区块链相关代码多为开源,容易暴露风险;第三,区块链系统在对等网络环境中运行,网络中的节点防护能力有限;第四,用户自行保管私钥,一旦丢失或盗取无法找回;第五,相关业务平台发展时间短,系统安全防护经验和手段不完善、全面性和强度不足。
报告来源《2018年我国互联网网络安全态势报告》,报告由CNCERT发布,雷锋网编辑。
雷锋网
雷锋网版权文章,未经授权禁止转载。详情见。
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/117273.html