CNCERT 互聯(lián)網(wǎng)安全威脅報(bào)告2011年1月 總第1期熱線電話： 8610 82990999（中文），82991000（英文） 傳真： 8610 82990399 電子郵件：cncert@

CNCERT 互聯(lián)網(wǎng)安全威脅報(bào)告

2011年1月 總第1期

熱線電話： 8610 82990999（中文），82991000（英文） 傳真： 8610 82990399 電子郵件：cncert@cert.org.cn

PGP Key：http://www.cert.org.cn/cncert.asc

網(wǎng)址：http://www.cert.org.cn/

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn 關(guān)于國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT ）

國家互聯(lián)網(wǎng)應(yīng)急中心的全稱是國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（英文簡稱為CNCERT 或CNCERT/CC），成立于1999年9月，是工業(yè)和信息化部領(lǐng)導(dǎo)下的國家級網(wǎng)絡(luò)安全應(yīng)急機(jī)構(gòu)，致力于建設(shè)國家級的網(wǎng)絡(luò)安全監(jiān)測中心、預(yù)警中心和應(yīng)急中心，以支撐政府主管部門履行網(wǎng)絡(luò)安全相關(guān)的社會(huì)管理和公共服務(wù)職能，支持基礎(chǔ)信息網(wǎng)絡(luò)的安全防護(hù)和安全運(yùn)行，支援重要信息系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)測、預(yù)警和處置。

2003年，CNCERT 在我國大陸31個(gè)省、自治區(qū)、直轄市成立分中心，完成了跨網(wǎng)絡(luò)、跨系統(tǒng)、跨地域的公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急技術(shù)支撐體系建設(shè)，形成了全國性的互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息共享、技術(shù)協(xié)同能力。目前，CNCERT 作為國家互聯(lián)網(wǎng)安全應(yīng)急體系的核心技術(shù)協(xié)調(diào)機(jī)構(gòu)，在協(xié)調(diào)國內(nèi)網(wǎng)絡(luò)安全應(yīng)急組織（CERT ）共同處理互聯(lián)網(wǎng)安全事件方面發(fā)揮著重要作用。

CNCERT 的業(yè)務(wù)能力主要包括：

? 監(jiān)測發(fā)現(xiàn)：依托“863-917網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)”實(shí)現(xiàn)網(wǎng)絡(luò)安全事件的監(jiān)測發(fā)現(xiàn)。

863-917網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)是一個(gè)全程全網(wǎng)、多層次、多渠道延伸的網(wǎng)絡(luò)安全綜合監(jiān)測平臺(tái)，目前已具備對安全漏洞、惡意代碼、網(wǎng)頁篡改、網(wǎng)頁掛馬、

拒絕服務(wù)攻擊、域名劫持、路由劫持等各種網(wǎng)絡(luò)威脅或攻擊的監(jiān)測發(fā)現(xiàn)能力。 ? 通報(bào)預(yù)警：依托對豐富數(shù)據(jù)資源的綜合分析和多渠道的信息獲取實(shí)現(xiàn)網(wǎng)絡(luò)安

全威脅的分析預(yù)警、網(wǎng)絡(luò)安全事件的情況通報(bào)、宏觀網(wǎng)絡(luò)安全狀況的態(tài)勢分

析等。此外，按照2009年工業(yè)和信息化部頒布實(shí)施的《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)實(shí)施辦法》承擔(dān)通信行業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)工作。

? 應(yīng)急處置：依托與運(yùn)營商、域名注冊商、安全服務(wù)廠商等相關(guān)部門的快速工

作機(jī)制和與涉及國計(jì)民生的重要信息系統(tǒng)部門及執(zhí)法機(jī)關(guān)密切合作機(jī)制實(shí)現(xiàn)

網(wǎng)絡(luò)安全事件的快速處置；同時(shí)作為國際著名網(wǎng)絡(luò)安全合作組織FIRST 和

APCERT 的重要成員，與多個(gè)世界著名的網(wǎng)絡(luò)安全機(jī)構(gòu)和各個(gè)國家級應(yīng)急組

織建立了網(wǎng)絡(luò)安全事件處理合作機(jī)制。面向國內(nèi)外用戶受理網(wǎng)絡(luò)安全事件報(bào)

告，及時(shí)掌握和處置突發(fā)重大網(wǎng)絡(luò)安全事件。

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

版權(quán)及免責(zé)聲明

《CNCERT 互聯(lián)網(wǎng)安全威脅報(bào)告》（以下簡稱“報(bào)告”）為國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡稱國家互聯(lián)網(wǎng)應(yīng)急中心，CNCERT 或CNCERT/CC）的電子刊物，由CNCERT 編制并擁有版權(quán)。報(bào)告中凡摘錄或引用內(nèi)容均已指明出處，其版權(quán)歸相應(yīng)單位所有。本報(bào)告所有權(quán)利及許可由CNCERT 進(jìn)行管理，未經(jīng)CNCERT 同意，任何單位或個(gè)人不得將本報(bào)告以及其中內(nèi)容轉(zhuǎn)發(fā)或用于其他用途。

CNCERT 力爭保證本報(bào)告的準(zhǔn)確性和可靠性，其中的信息、數(shù)據(jù)、圖片等僅供參考，不作為您個(gè)人或您企業(yè)實(shí)施安全決策的依據(jù)，CNCERT 不承擔(dān)與此相關(guān)的一切法律責(zé)任。

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

本月網(wǎng)絡(luò)安全基本態(tài)勢分析

2011年1月，互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況整體評價(jià)為良。我國互聯(lián)網(wǎng)基礎(chǔ)設(shè)施整體運(yùn)行平穩(wěn)，影響較大的事件主要是1 月13 日17時(shí)至20時(shí)因廈門易名網(wǎng)絡(luò)科技有限公司DNS 服務(wù)器遭受大規(guī)模拒絕服務(wù)攻擊，導(dǎo)致通過其進(jìn)行域名解析的大量網(wǎng)站業(yè)務(wù)受到影響。針對政府、企業(yè)以及廣大互聯(lián)網(wǎng)用戶的主要網(wǎng)絡(luò)安全威脅來自于信息系統(tǒng)高危漏洞、惡意代碼傳播以及網(wǎng)站攻擊。

根據(jù)CNCERT 監(jiān)測結(jié)果，我國境內(nèi)僵尸網(wǎng)絡(luò)受控主機(jī)數(shù)量略有增長，境內(nèi)木馬受控主機(jī)和網(wǎng)頁篡改數(shù)量有所下降。根據(jù)通信行業(yè)報(bào)送的信息，本月公共互聯(lián)網(wǎng)環(huán)境中網(wǎng)絡(luò)安全事件報(bào)送數(shù)量總體呈現(xiàn)上升趨勢，主要集中在各地通信管理局和基礎(chǔ)電信運(yùn)營企業(yè)報(bào)送的計(jì)算機(jī)病毒事件、蠕蟲事件、木馬和僵尸網(wǎng)絡(luò)事件等方面，這說明通信行業(yè)加大了對公共互聯(lián)網(wǎng)的安全監(jiān)測和環(huán)境的治理?？傮w上，1月公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢比上月份略好，各單位應(yīng)重點(diǎn)關(guān)注一些對本單位信息系統(tǒng)運(yùn)行可能構(gòu)成較大威脅或可能造成較大影響的事件信息和預(yù)警信息，如：桌面操作系統(tǒng)和應(yīng)用軟件漏洞。

◆ 基礎(chǔ)網(wǎng)絡(luò)的運(yùn)行安全

2011年1月，我國互聯(lián)網(wǎng)基礎(chǔ)設(shè)施運(yùn)行整體平穩(wěn)，1 月13 日17時(shí)至20時(shí)因廈門易名網(wǎng)絡(luò)科技有限公司DNS 服務(wù)器遭受大規(guī)模拒絕服務(wù)攻擊，導(dǎo)致通過其進(jìn)行域名解析的大量網(wǎng)站業(yè)務(wù)受到影響。針對境內(nèi)互聯(lián)網(wǎng)設(shè)施的主要網(wǎng)絡(luò)攻擊仍然是拒絕服務(wù)攻擊。

◆ 公共互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全

2011年1月，根據(jù)CNCERT 的監(jiān)測數(shù)據(jù)和通信行業(yè)報(bào)送數(shù)據(jù)，

1

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn 全國公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況的主要指標(biāo)情況如下：①網(wǎng)絡(luò)病毒1活動(dòng)情況方面，境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)約為874萬個(gè)；②網(wǎng)站安全方面，境內(nèi)被篡改網(wǎng)站數(shù)量為5596個(gè)，其中被篡改政府網(wǎng)站數(shù)量為337個(gè)，占境內(nèi)被篡改網(wǎng)站比例為6.02；據(jù)各安全企業(yè)的報(bào)送情況，1月份網(wǎng)頁掛馬情況總體上較上月有所好轉(zhuǎn)，但對惡意代碼的捕獲情況各不相同；③事件受理方面，CNCERT 接收到網(wǎng)絡(luò)安全事件報(bào)告723件（不含掃描和垃圾郵件類事件2）。

◆ 網(wǎng)絡(luò)病毒監(jiān)測數(shù)據(jù)分析

2011年1月，境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)約為874萬個(gè)。其中，境內(nèi)被木馬或僵尸程序控制的主機(jī)IP 約為57萬個(gè)；境內(nèi)感染飛客蠕蟲的主機(jī)IP 約為785萬個(gè)；境內(nèi)感染“毒媒”手機(jī)病毒的用戶約為33萬個(gè)。

木馬僵尸網(wǎng)絡(luò)監(jiān)測數(shù)據(jù)分析

2011年1月，CNCERT 監(jiān)測發(fā)現(xiàn)境內(nèi)57萬余個(gè)IP 地址對應(yīng)

的主機(jī)被木馬或僵尸程序控制，按地區(qū)分布感染數(shù)量排名前三位的分別是廣東、山東、浙江。

木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器IP 總數(shù)為29863個(gè)。其中，境內(nèi)

木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器IP 數(shù)量為22795個(gè)；境外木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器IP 數(shù)量為7068個(gè)，按國家或地區(qū)分布數(shù)量排名前三位的分別為印尼、美國、日本。

飛客蠕蟲監(jiān)測數(shù)據(jù)分析

2011年1月，CNCERT 監(jiān)測到全球互聯(lián)網(wǎng)約4559萬個(gè)主機(jī)

注1：一般情況下，惡意代碼是指在未經(jīng)授權(quán)的情況下，在信息系統(tǒng)中安裝、執(zhí)行以達(dá)到不正當(dāng)目的的程序。其中，網(wǎng)絡(luò)病毒是特指有網(wǎng)絡(luò)通信行為的惡意代碼。1月，CNCERT 在對網(wǎng)絡(luò)病毒進(jìn)行抽樣監(jiān)測時(shí)，對153種木馬和57種僵尸程序進(jìn)行了監(jiān)測。

注2：因CNCERT 一般不對掃描類事件和垃圾郵件類事件報(bào)告進(jìn)行處置，故未做統(tǒng)計(jì)。對于垃圾郵件事件報(bào)告，CNCERT 直接轉(zhuǎn)中國互聯(lián)網(wǎng)協(xié)會(huì)反垃圾郵件中心處置。

2

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

IP 地址感染飛客蠕蟲，按國家或地區(qū)分布感染數(shù)量排名前三位的分別是中國大陸、巴西、俄羅斯。

境內(nèi)感染飛客蠕蟲的主機(jī)IP 約為785萬個(gè)，按地區(qū)分布感染

數(shù)量排名前三位的分別是廣東、浙江、江蘇。

惡意代碼捕獲和傳播情況

2011年1月，CNCERT 通過多種渠道獲得新增網(wǎng)絡(luò)病毒名稱

數(shù)為1425個(gè)，網(wǎng)絡(luò)病毒家族數(shù)為253個(gè)。網(wǎng)絡(luò)病毒主要通過網(wǎng)頁掛馬方式進(jìn)行傳播，其中往往需要利用黑客注冊的大量域名。根據(jù)CNCERT 對活躍惡意域名的分類跟蹤，2011年1月侵害境內(nèi)網(wǎng)站和用戶的惡意域名主要有以下幾組，如表1所示。從下表可以看出，目前，侵害境內(nèi)網(wǎng)站的惡意域名其注冊商主要為境外機(jī)構(gòu)。

3

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

◆ 網(wǎng)站安全情況分析

境內(nèi)網(wǎng)站被篡改情況

2011年1月，境內(nèi)被篡改網(wǎng)站的數(shù)量為5596個(gè)，其中代號為 “soojoy”、“Cracker-Mr.X” 和“冰寒”的攻擊者對境內(nèi)網(wǎng)站進(jìn)行了大量篡改。

境內(nèi)被篡改網(wǎng)站數(shù)量按地區(qū)分布排名前三位的分別是江蘇、北京、福建。按網(wǎng)站類型統(tǒng)計(jì)，被篡改數(shù)量最多的是.com 和.com.cn 域名類網(wǎng)站，其多為商業(yè)類網(wǎng)站；值得注意的是，被篡改的.gov .cn 域名類網(wǎng)站有337個(gè)，占境內(nèi)被篡改網(wǎng)站的比例為6.02。

截至1月31日仍未恢復(fù)的部分被篡改政府網(wǎng)站3如表2所示。

注3：政府網(wǎng)站是指英文域名以“.gov.cn”結(jié)尾的網(wǎng)站，但不排除個(gè)別非政府部門也使用“.gov.cn”的情況。表格中僅列出了被篡改網(wǎng)站或被掛馬網(wǎng)站的域名，而非具體被篡改或被掛馬的頁面URL 。

4

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

境內(nèi)網(wǎng)站被掛馬情況

根據(jù)CNCERT 監(jiān)測和通信行業(yè)報(bào)送數(shù)據(jù)，截至1月31日仍

存在被掛馬或被植入不正當(dāng)廣告鏈接（如：網(wǎng)絡(luò)游戲、色情網(wǎng)站鏈接）的部分政府網(wǎng)站如表3所示。

◆ 網(wǎng)絡(luò)安全的主要威脅

近期披露的一些嚴(yán)重安全漏洞是互聯(lián)網(wǎng)所面臨的主要安全威脅。2011年1月，國家信息安全漏洞共享平臺(tái)（CNVD 4）收集整理信息系統(tǒng)安全漏洞406個(gè)。其中，高危漏洞101個(gè)，可被利用來實(shí)施遠(yuǎn)程攻擊的漏洞有352個(gè)。受影響的軟硬件系統(tǒng)廠商包括Apple 、Cisco 、Google 、IBM 、Linux 、Microsoft 、Mozilla 、OpenOffice 、Oracle 等。

按照所涉及的軟件類型，漏洞可分為操作系統(tǒng)漏洞、應(yīng)用程序漏洞、WEB 應(yīng)用漏洞、數(shù)據(jù)庫漏洞、網(wǎng)絡(luò)設(shè)備漏洞（如路由器、交換機(jī)等）和安全產(chǎn)品漏洞（如防火墻、入侵檢測系統(tǒng)等）。本月CNVD 收集整理的漏洞中，按漏洞類型分布排名前三位的分別是應(yīng)用程序漏洞、操作系統(tǒng)漏洞、網(wǎng)絡(luò)設(shè)備漏洞。

根據(jù)CNVD 的代碼驗(yàn)證結(jié)果，本月共出現(xiàn)了66個(gè)0day 漏洞，其中影響較為嚴(yán)重的是“Microsoft Windows MHTML腳本代碼注入漏洞”和“Kingsoft Antivirus 'KisKrnl.sys'驅(qū)動(dòng)拒絕服務(wù)漏洞”，互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)針對上述漏洞的攻擊代碼，為避免受到漏洞影響，請廣大用戶及時(shí)采取補(bǔ)丁修復(fù)、提高主機(jī)操作系統(tǒng)安全防范等級等防御措施。

本月，CNVD 對北京亞控科技有限公司生產(chǎn)的工業(yè)系統(tǒng)管理監(jiān)控

注4：CNVD 是CNCERT 聯(lián)合國內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識(shí)庫，致力于建立國家統(tǒng)一的信息安全漏洞收集、發(fā)布、驗(yàn)證、分析等應(yīng)急處理體系。

5

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn 軟件KingView 6.5.3存在的一個(gè)高危漏洞進(jìn)行了分析驗(yàn)證，并協(xié)調(diào)亞控公司對漏洞提供了修復(fù)補(bǔ)丁。分析結(jié)果表明，利用該漏洞可獲得用戶主機(jī)權(quán)限，進(jìn)而對相關(guān)工業(yè)控制系統(tǒng)的運(yùn)行安全構(gòu)成嚴(yán)重威脅。建議有關(guān)用戶采取如下防范措施：（1）及時(shí)下載亞控公司發(fā)布的安全補(bǔ)丁，對系統(tǒng)進(jìn)行加固；（2）對網(wǎng)絡(luò)加強(qiáng)管理，盡可能地將與工業(yè)控制系統(tǒng)相關(guān)的管理控制主機(jī)與互聯(lián)網(wǎng)隔離。

用戶對網(wǎng)絡(luò)安全事件的感知情況

2011年1月，互聯(lián)網(wǎng)用戶感知最為強(qiáng)烈的事件是垃圾郵件事件和惡意代碼事件。從中國互聯(lián)網(wǎng)協(xié)會(huì)反垃圾郵件中心報(bào)送數(shù)據(jù)看，其1月共接收13212件垃圾郵件事件舉報(bào)；從CNCERT 接收國內(nèi)外投訴事件情況看，惡意代碼事件占29。

6

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

本月網(wǎng)絡(luò)安全事件接收與處理情況

◆ 事件接收情況

2011年1月，CNCERT 收到國內(nèi)外通過電子郵件、熱線電話、網(wǎng)站提交、傳真等方式報(bào)告的網(wǎng)絡(luò)安全事件723件（合并了通過不同方式報(bào)告的同一網(wǎng)絡(luò)安全事件，且不包括掃描和垃圾郵件類事件），其中來自國外的事件報(bào)告有170件。

在723件事件報(bào)告中，排名前三位的安全事件分別是漏洞、惡意代碼、網(wǎng)頁仿冒。

◆ 事件處理情況

對國內(nèi)外通過電子郵件、熱線電話、傳真等方式報(bào)告的網(wǎng)絡(luò)安全事件，以及自主監(jiān)測發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件，CNCERT 每日根據(jù)事件的影響范圍和存活性、涉及用戶的性質(zhì)等因素，篩選重要事件進(jìn)行協(xié)調(diào)處理。

2011年1月，CNCERT 總部以及各省分中心共同協(xié)調(diào)處理了610件網(wǎng)絡(luò)安全事件。各類事件處理數(shù)量中漏洞和惡意代碼類事件處理數(shù)量較多，本月網(wǎng)頁仿冒和網(wǎng)頁篡改類事件也是處置的重點(diǎn)。

◆ 本月網(wǎng)絡(luò)安全重點(diǎn)事件

協(xié)調(diào)處置境外投訴拒絕服務(wù)攻擊事件

1月13日，CNCERT 接到亞太網(wǎng)絡(luò)安全組織APCERT 投訴，稱位于我國大陸的某主機(jī)向境外的某重要網(wǎng)絡(luò)設(shè)施持續(xù)發(fā)起拒絕服務(wù)攻擊，該主機(jī)極有可能被黑客控制。接收到事件投訴后，CNCERT 及時(shí)響應(yīng)，通過主機(jī)IP 所在地區(qū)分中心——湖北分中心協(xié)調(diào)當(dāng)?shù)鼗A(chǔ)電信運(yùn)營企業(yè)進(jìn)行查證。在確認(rèn)該主機(jī)存在惡意網(wǎng)絡(luò)行為后，立即聯(lián)系相關(guān)用戶進(jìn)行了有效處理。

7