2017年上半年辽宁省互联网网络安全态势综述
一、上半年互联网网络安全基本态势
2017年上半年,我省互联网基础设施运行总体平稳,骨干网各项监测指标正常。拒绝服务攻击、木马和僵尸网络、飞客蠕虫病毒、网站类攻击事件是我省重要信息系统和互联网用户面临的最主要网络安全威胁。域名安全方面:我省域名服务系统安全状况良好,无重大安全事件发生。主要与我省域名系统普遍加强防护措施,抗DDoS攻击能力显著提升有关。网站安全方面:监测发现,我省各级政府网站仍存在较多漏洞风险,其中,各种0day漏洞防不胜防,特别是医保、社保等相关职能部门信息系统,汇集了大量公民基础信息数据,一旦漏洞爆发被黑客利用,将造成极大个人信息泄露隐患。移动互联网安全方面:监测发现,安卓系统仍是移动互联网恶意程序爆发的重灾区,从危害程度上看,隐私窃取类恶意程序占比较高。公共互联网环境方面:我省木马和僵尸网络感染主机数量仍处高位,特别值得注意的是,在传统PC端捕获敲诈勒索类恶意程序样本数量创近期新高,勒索软件已逐渐由针对个人终端设备延伸至企业用户。上半年,在国内外网络中发现爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件,主要通过“加密数据”进行勒索,我省部分政府部门、高校用户受害,造成了一定范围的社会影响。
二、监测数据导读
(一) 互联网主机安全情况。2017年上半年,我省感染木马或僵尸程序病毒的主机IP数量为352,091个,相较于2016年下半年减少12.20%;我省被利用作为木马或僵尸程序控制服务器的IP数量为5,268个,相较于2016年下半年增加244.54%;我省感染飞客蠕虫病毒的主机IP数量为101,468个,相较于2016年下半年减少13.26%。
(二) 网站安全情况。2017年上半年,共监测发现我省217个网站被篡改,相较于2016年下半年减少31.81%。被黑客植入网页后门的网站268个,相较于2016年下半年增加8.52%。监测发现我省存在网络安全漏洞的政府网站193个。
(三) 移动互联网安全情况。2017年上半年,监测发现病毒事件6,433,778件,相较于2016年下半年增加9.4%;其中高危病毒事件4,367,183起,占事件总数的67.88%;中危病毒事件83,070起,占事件总数的1.29%;低危病毒事件1,984,545起,占本期事件总数的30.83%。共监测病毒感染用户数267,361户(已去重),相较于2016年下半年增加12.7%;,其中高危病毒感染用户202,328户,占感染用户总数的75.68%;中危病毒感染用户6,977户,占感染用户总数的2.60%;低危病毒感染用户58,056户,占感染用户总数的21.72%。在这些用户中,安卓用户数为 244,959余户,占总数的91.62%;塞班用户数为1,245余户,占总数的0.47%。监测发现省内共有557台服务器被用作移动互联网恶意程序传播服务器,相较于2016年下半年增加31.06%。
(四) 大流量网络攻击情况。2017年上半年,共监测发现大流量网络攻击事件45,181起,其中针对某运营商的拒绝服务攻击流量小于5G的11,074次,5-15G的488次,大于15G的185次,受影响用户主要为互联网数据中心(IDC)用户。上半年某运营商发现DDOS攻击事件总数量33,434次,涉及IP地址13,367个,其中主动攻击22,240次,被攻击11,176次。
(五) 网络安全漏洞监测情况。2017年第上半年,国家信息安全漏洞共享平台共收集整理并公开发布信息安全漏洞6,653个,其中高危漏洞2,578个,Oday漏洞1,480个。
三、上半年互联网网络安全监测数据分析
3.1 我省互联网主机安全状况分析
2017年上半年,国家计算机网络应急处理协调中心辽宁分中心对当前流行的530种木马家族和80种僵尸程序家族进行了抽样监测,我省感染木马或僵尸程序病毒的主机IP数量为352,091个,相较于2016年下半年减少12.20%;我省被利用作为木马或僵尸程序控制服务器的IP数量为5,268个,相较于2016年下半年增加244.54%;从网络病毒的类型分析,主要以远控、盗号木马居多。
3.1.1 我省互联网主机感染木马、僵尸程序情况
3.1.1.1 我省木马、僵尸程序受控端情况
2017年上半年,监测发现我省共有352,091个IP地址对应的主机被其他国家或地区通过木马或僵尸程序秘密控制,该项数据辽宁一般排名全国第8位左右。如图3.1所示。
图3.1辽宁省木马或僵尸程序受控主机IP数量月度统计图
3.1.1.2 我省木马、僵尸程序控制端情况
2017年上半年,监测发现我省共有5,268个IP地址对应的主机作为木马、僵尸程序控制端与其他国家或地区进行通信,该项数据辽宁一般排名全国第15位左右。如图3.2所示。
图3.2 辽宁省木马僵尸程序控制端服务器IP数量月度统计图
3.1.2 我省互联网主机感染飞客蠕虫病毒情况
2017年上半年,监测发现我省共有101,468个IP地址对应的主机感染飞客蠕虫病毒,该项数据辽宁一般排名全国第10位左右。如图3.3所示。
图3.3辽宁省感染飞客蠕虫主机IP数量月度统计图
3.2 我省网站安全状况分析
3.2.1 我省网页篡改事件
2017年上半年,国家计算机网络应急技术处理协调中心辽宁分中心共监测发现我省217个网站被篡改,相较于2016年下半年减少31.81%。对于监测到的事件,辽宁分中心均第一时间向相关单位发送了《辽宁省网络安全事件通报函》,并抄送辽宁省委网信办、辽宁省通信管理局。以上事件均得到了及时有效地处置,按月分布情况如图3.4所示。
图3.4 辽宁省被篡改网站数量月度统计图
3.2.2 我省网站后门事件
2017年上半年,国家计算机网络应急技术处理协调中心辽宁分中心共监测发现我省遭后门攻击网站268个,相较于2016年下半年增加8.52%。按月分布情况如图3.5所示。
图3.5辽宁省遭后门攻击网站月度统计图
3.2.3 我省政府网站漏洞事件
2017年上半年,国家计算机网络应急技术处理协调中心辽宁分中心共监测发现我省存在网络安全漏洞的政府网站193个,按月分布情况如图3.6所示。
图3.6 辽宁省政府网站存在网络安全漏洞月度统计图
3.3 我省移动互联网恶意程序监测分析
2017年上半年,国家计算机网络应急技术处理协调中心辽宁分中心共监测系统恶意程序知识库样本5,112个,病毒垃圾流量共6.14Gb,发现辽宁省内活跃样本2,852种,其中高危病毒2,312种,占活跃病毒种类总数的81.07%,中危病毒183种,占病毒总数的6.42%,低危病毒357种,占病毒总数的12.51%。
2017年上半年,共监测到病毒事件6,433,778件,其中高危病毒事件4,367,183起,占事件总数的67.88%;中危病毒事件83,070起,占事件总数的1.29%;低危病毒事件1,984,545起,占事件总数的30.83%。
2017年上半年,共监测病毒感染用户数267,361户,其中高危病毒感染用户终端监测到有202,328户,占感染用户总数的75.68%;中危病毒感染用户终端监测到有6,977户,占感染用户总数的2.60%;低危病毒感染用户终端监测到有58,056户,占感染用户总数的21.72%。在这些用户中,安卓用户数为 244,959余户,占总数的91.62%;塞班用户数为1,245余户,占总数的0.47%。如表3.1所示。
表3.1 2017年上半年度移动互联网恶意程序监测情况
| 病毒危害程度
感染系数 |
高危病毒 |
2,852 |
中危病毒 |
183 |
低危病毒 |
357 |
| 81.07% |
6.42% |
12.51% |
||||
| 感染用户数 |
202,328 |
6,977 |
58,056 |
|||
| 比例 |
75.68% |
2.60% |
21.72% |
|||
| 安全事件数 |
4,367,183 |
83,070 |
1,984,545 |
|||
| 比例 |
67.88% |
1.29% |
30.83% |
|||
3.3.1 根据恶意行为分析
2017年上半年,监测发现恶意程序危害类型为隐私窃取2,802,981起,流氓行为2,436,004起。根据工信部定义的移动互联网恶意程序八种恶意行为划分,统计情况如下表3.2:
表3.2本季度恶意程序危害类型统计
| 危害类型 |
安全事件数 |
百分比 |
| 恶意扣费 |
102,995 |
1.60% |
| 隐私窃取 |
2,802,981 |
43.57% |
| 远程控制 |
217,495 |
3.38% |
| 恶意传播 |
118,777 |
1.85% |
| 资费消耗 |
244,693 |
3.80% |
| 系统破坏 |
300,006 |
4.66% |
| 诱骗欺诈 |
196,144 |
3.05% |
| 流氓行为 |
2,436,004 |
37.86% |
| 其他行为 |
14,683 |
0.23% |
图3.7本季度恶意程序危害类型分布图
3.3.2 移动互联网恶意程序传播服务器监测情况
2017年上半年,国家计算机网络应急技术处理协调中心辽宁分中心共监测发现我省移动互联网恶意程序传播服务器557个,如图3.8所示。
图3.8辽宁省移动互联网恶意程序传播服务器按月度统计图
3.3.3 上半年度排名前十的病毒情况
2017年上半年,感染用户数排名前十的活跃手机恶意程序信息,如表3.3所示。
表3.3 排名前10的活跃病毒
| 序号 |
病毒名称 (中文) |
病毒名称 (英文) |
属性主分类 |
感染用户 |
| 1 |
手讯插签病毒 |
A.Rogue.cgudsioi.a |
流氓行为 |
150,952 |
| 2 |
乖乖猪锁屏病毒 |
A.Privacy.Microcells.a |
隐私窃取 |
37,430 |
| 3 |
Rouge病毒 |
a.rogue.AirPush.a |
流氓行为 |
19,906 |
| 4 |
伪父数据服务木马 |
A.Remote.uuserv.a |
远程控制 |
9,467 |
| 5 |
ScanMediaChannel病毒 |
S.Payment.ScanMediaChannel.a |
恶意扣费 |
6,565 |
| 6 |
邪恶推广病毒 |
A.Privacy.Gsservice.a |
资费消耗 |
4,953 |
| 7 |
伪Youni短信病毒变种 |
S.Privacy.Youni.b |
隐私窃取 |
4,628 |
| 8 |
伪Youni短信病毒变种 |
S.Privacy.Youni.c |
隐私窃取 |
3,411 |
| 9 |
伪Wap向导家族病毒变种 |
S.Privacy.WapGuide.b2 |
隐私窃取 |
2,800 |
| 10 |
流氓播放器病毒 |
A.System.Player.a |
系统破坏 |
1,514 |
3.4 拒绝服务攻击监测情况
2017年上半年,共监测发现大流量网络攻击事件45,181起,其中针对某运营商的拒绝服务攻击流量小于5G的11,074次,5-15G的488次,大于15G的185次,受影响用户主要为互联网数据中心(IDC)用户。某运营商发现DDOS攻击事件总数量33,434次,涉及IP地址13,367个,其中主动攻击22,240次,被攻击11,176次。
经沈阳国家级互联网骨干直联点质量监测系统及网络安全预警子系统监测预警,5月7日至5月8日期间,阿里公共DNS分布在大连的DNS服务器遭受大流量DDOS攻击,受攻击服务器对应的域名为alidns.com下的两个子域名vip1.alidns.com/vip2.alidns.com。整个DDOS攻击实际使通过沈阳直联点的流量增加约52.50TB。
四、 2017年上半年网络安全态势新特点
(一) 网络空间依法治理脉络更加清晰
2016年11月7日,第十二届全国人大常委会第二十四次会议表决通过《网络安全法》,并将于2017年6月1日起施行。该法有7章79条,对网络空间主权、网络产品和服务提供者的安全义务、网络运营者的安全义务、个人信息保护规则、关键信息基础设施安全保护制度和重要数据跨境传输规则等进行了明确规定。2017年上半年,各部门更加重视《网络安全法》的宣传和解读工作,编制出台相关配套政策法规,落实各项配套措施,网络空间依法治理脉络更为清晰。
(二) 敲诈勒索软件肆虐,威胁本地数据设备安全
监测发现,2016年,在传统PC端,捕获敲诈勒索类恶意程序样本约1.9万个,数量创近年来新高。对敲诈勒索软件攻击对象分析发现,勒索软件已逐渐由针对个人终端设备延伸至企业用户,特别是针对高价值目标的勒索情况严重。针对企业用户方面,勒索软件利用安全漏洞发起攻击,对企业数据库进行加密勒索,2016年底开源MongoDB数据库遭一轮勒索软件攻击,大量的用户受到影响。针对个人终端设备方面,敲诈勒索软件恶意行为在传统PC端和移动端表现出明显的不同特点:在传统PC端,主要通过“加密数据”进行勒索,即对用户电脑中的文件加密,胁迫用户购买解密密钥;在移动端,主要通过“加密设备”进行勒索,即远程锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用。但从敲诈勒索软件传播方式来看,传统PC端和移动端表现出共性,主要是通过邮件、仿冒正常应用、QQ群、网盘、贴吧、受害者等传播。2017年5月12日起,在国内外网络中发现爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。截至到2017年5月13日,辽宁分中心监测发现省内遭受漏洞尝试攻击的IP地址585个,发动漏洞尝试攻击的IP地址381个,疑似感染该病毒的IP地址265个。针对此网络安全事件,辽宁分中心第一时间向省内各重要部门和信息系统发布预警通报。
预计下半年,勒索软件漏洞有极大可能出现变种,依旧会对重要部门的主机和重要信息系统造成影响。
(三) 漏洞数量最多的是权限、特权与访问控制类漏洞,最常见的仍旧是SQL注入
2017年上半年,从总体数量来看,权限、特权与访问控制类漏洞数量最多,主要以中、高危漏洞组成。其次是缓冲区溢出类漏洞,该部分漏洞中,高危漏洞占比超过55.7%。此外XSS漏洞、CSRF漏洞、SQL注入漏洞、路径遍历漏洞、密码学安全问题也是今年漏洞数量最为集中的类别。网站安全问题中,SQL注入仍是最常见的攻击手段,Web服务器中,针对老旧漏洞的攻击占据80%以上的攻击次数,Struts2代码执行漏洞仍居Web框架和应用的漏洞首位。
(四) DDoS攻击数量流量总体下降
2017年上半年,辽宁省内共监测发现DDoS攻击45,181起,受影响用户主要为互联网数据中心(IDC)用户。相比2016年下半年下降22.3%;攻击总流量相比2016年下半年下降32.4%,经综合研判,这与今年年初开始,反射攻击活动减少有关。但值得注意的是,Mirai僵尸网络攻击呈现上升趋势,不安全的物联网(IoT)设备继续成为DDoS攻击流量的主要来源。物联网设备预计将会激增,这就使得攻击者能够获得更多资源来发起攻击。此外,设备的安全程度预计会跟不上其他新型系统漏洞的出现速度。为了避免DDOS攻击,企业网络管理人员要注意及时关闭不必要的服务;启用防火墙的防DDoS属性;禁止对主机的非开放服务访问;限制特定IP地址访问;同时及时更新系统补丁等。
五、 2017年下半年需关注的热点及趋势分析
(一) 物联网设备将面临更大网络安全威胁
连续几年,物联网设备的网络安全问题始终被推在风口浪尖,据统计,2016年全球在物联网安全方面的支出达到了3亿4800万美金,而这个数字在2017年将会攀升至4亿3400万美金。据思科预测,到2020年,将会有超过260亿IP网络设备随着物联网进入企业网络、消费者家中以及地方政府,安全风险将会持续增加,网络犯罪分子将会继续把攻击的关注点聚焦在物联网设备上。随着科技的不断发展以及市场需求的不断增加,各大公司虽不断推出各种形式的物联网设备,但“安全”似乎并不是这些厂商所需考虑的重点。根据2016年安恒实验室的统计数据,在中国,每100台智能设备中就大约有31台存在安全隐患。这个领域存在很多问题:各种各样的协议和标准、企业缺乏对IoT系统的技能、过于复杂的架构、安全薄弱的产品、糟糕的安全技术以及操作的不成熟性,所有这些问题都会导致更多的安全问题。比如说,攻击者在入侵了某品牌某物联网家用电器之后,可以利用该家庭的宽带带宽发动DDoS攻击。这也就意味着,类似“域名服务提供商Dyn遭受Mirai僵尸网络大规模拒绝服务攻击”这样的严重事件在今年下半年还会再现,并愈演愈烈。
(二) 智慧城市安全问题开始凸显
智慧城市是运用物联网、云计算、大数据、空间地理信息集成等新一代信息技术,促进城市规划、建设、管理和服务智慧化的新理念和新模式。近年来,我国智慧城市建设取得了积极进展,但也暴露出缺乏顶层设计和统筹规划、体制机制创新滞后、网络安全隐患和风险突出等问题,在智慧城市建设过程中,从传感感知层、通信传输层、应用层、智能分析处理等诸多层面均存在安全风险和脆弱性,一旦在网络安全防护上不能得到有效保证,可能造成城市管理职能出现混乱、隐私信息泄露、应急决策失误、各类事故频发乃至局部社会动荡的局面。云计算技术的大规模应用也带来诸多突发性不安全因素,如:云计算服务不可信、存在漏洞或其他原因导致云服务的中断;云服务供应商灾备管理不完善,服务中断后用户数据难以快速恢复;云服务供应商、内部员工或其他客户盗取客户敏感数据,云服务供应商或企业内部员工恶意盗取客户敏感数据等等。因此,防范网络安全风险是智慧城市建设中极为重要的一环。
(三) 工控系统等关键基础设施网络安全面临挑战
随着信息化与工业化的不断融合,世界各国都在推动关键信息基础设施进入工业4.0、工业互联网、智能制造的时代,而传统的工业控制系统安全防护模式已经难以抵御当前网络空间复杂多样的威胁与攻击。我国关键信息基础设施安全防护面临的挑战同样不容小觑,主要表现在:核心技术受制于人,潜在安全风险巨大;关键信息基础设施保护体系尚不健全,政企联动、监测、预警、响应和恢复能力体系有待完善;信息基础设施相关防御技术手段的研发处于初级阶段;网络安全人才还不能更好满足发展需求等。相关监测数据显示,2016年,全国范围内暴露在互联网上的工控设备数量已达2143台,攻击者可通过安全漏洞或APT攻击等手法对这些设备进行攻击,带来了极大安全隐患。对我省来说,工业控制系统安全也已成为备受工业和网络信息安全领域研究机构关注的热点。我省在核设施建设、先进制造、石油石化、油气管网、电力系统及水利枢纽等重要领域的工业系统方面体量巨大,亟需加强对工控系统安全管理工作的培训、监督和指导。避免事故的发生已成为工控安全的当务之急。
(四) 勒索软件将成为更加火热地网络犯罪,防范将愈加困难
2017年5月,“永恒之蓝”攻击程序在互联网上爆发,造成了严重社会影响。预计下半年,勒索软件数量将持续增长,技术能力提升明显;并更趋向于利用系统漏洞进行自动传播,针对Mac和Linux的漏洞将开始频繁出现,勒索软件产业日趋成熟,威胁将长期存在。为逃避检测,曾经流行过的勒索软件正在不断升级,以变种的新形式出现在网络中;开源勒索软件的出现使得勒索软件开发变得更加容易。勒索软件编写质量和加密机制日趋成熟,软件存在设计上的缺陷明显减少,被破解解密的可能性变得越来越小。从软件逆向分析结果上看,有的恶意软件根本不具备解密能力,即使受害者按照要求支付了赎金也无法解密数据。这类软件往往伪装成勒索软件,实际上却擦除或者不可逆地破坏了用户的文件,而且还可能开出一个高得离谱的赎金来恐吓受害者。
六、上半年主要案例回顾
(一) 某市社会养老和工伤保险管理局网站存在远程代码执行漏洞事件
2017年3月,安恒信息安全研究院WEBIN实验室发现著名J2EE框架Struts2中存在远程代码执行严重漏洞。(Apache struts2 S2-045)。辽宁分中心在对该漏洞进行全省普查工作中发现,某市社会养老和工伤保险管理局业务系统存在该漏洞,综合利用该漏洞,攻击者可以远程上传网站后门,增删改查网站内容等,若提权成功,可以进而获得服务器控制权,造成600万用户医保、社保敏感信息泄露。辽宁分中心第一时间向省委网信办、省通信管理局进行了汇报,该事件得到了及时有效的处置。
(二) 某市住房公积金管理中心存在远程代码执行漏洞事件
Struts2 S2-045漏洞爆发后仅仅两周,J2EE框架Struts2又被爆出一个相似的远程代码执行漏洞(Apache struts2 S2-046),辽宁分中心在网络安全日常监测中发现,某市住房公积金管理中心业务系统存在该漏洞。综合利用该漏洞,可以取得网站全部管理权限,查询、操作该市220余万缴纳公积金账户信息,包括用户身份信息、房屋信息、联系方式、缴存余额等,甚至可以直接增删改数据库,存在巨大的用户信息泄露隐患和相关金融风险。辽宁分中心第一时间向省委网信办、省通信管理局进行了汇报,该事件得到了及时有效的处置。