CNCERT 互聯(lián)網(wǎng)安全威脅報(bào)告2011年6月 總第6期熱線電話： 8610 82990999（中文），82991000（英文） 傳真： 8610 82990399 電子郵件：cncert@

CNCERT 互聯(lián)網(wǎng)安全威脅報(bào)告

2011年6月 總第6期

熱線電話： 8610 82990999（中文），82991000（英文） 傳真： 8610 82990399 電子郵件：cncert@cert.org.cn

PGP Key：http://www.cert.org.cn/cncert.asc

網(wǎng)址：http://www.cert.org.cn/

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn 關(guān)于國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT ）

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的全稱(chēng)是國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（英文簡(jiǎn)稱(chēng)為CNCERT 或CNCERT/CC），成立于1999年9月，是工業(yè)和信息化部領(lǐng)導(dǎo)下的國(guó)家級(jí)網(wǎng)絡(luò)安全應(yīng)急機(jī)構(gòu)，致力于建設(shè)國(guó)家級(jí)的網(wǎng)絡(luò)安全監(jiān)測(cè)中心、預(yù)警中心和應(yīng)急中心，以支撐政府主管部門(mén)履行網(wǎng)絡(luò)安全相關(guān)的社會(huì)管理和公共服務(wù)職能，支持基礎(chǔ)信息網(wǎng)絡(luò)的安全防護(hù)和安全運(yùn)行，支援重要信息系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)測(cè)、預(yù)警和處置。

2003年，CNCERT 在我國(guó)大陸31個(gè)省、自治區(qū)、直轄市成立分中心，完成了跨網(wǎng)絡(luò)、跨系統(tǒng)、跨地域的公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急技術(shù)支撐體系建設(shè)，形成了全國(guó)性的互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息共享、技術(shù)協(xié)同能力。目前，CNCERT 作為國(guó)家互聯(lián)網(wǎng)安全應(yīng)急體系的核心技術(shù)協(xié)調(diào)機(jī)構(gòu)，在協(xié)調(diào)國(guó)內(nèi)網(wǎng)絡(luò)安全應(yīng)急組織（CERT ）共同處理互聯(lián)網(wǎng)安全事件方面發(fā)揮著重要作用。

CNCERT 的業(yè)務(wù)能力主要包括：

? 監(jiān)測(cè)發(fā)現(xiàn)：依托“863-917網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)”實(shí)現(xiàn)網(wǎng)絡(luò)安全事件的監(jiān)測(cè)發(fā)現(xiàn)。

863-917網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)是一個(gè)全程全網(wǎng)、多層次、多渠道延伸的網(wǎng)絡(luò)安全綜合監(jiān)測(cè)平臺(tái)，目前已具備對(duì)安全漏洞、惡意代碼、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬、

拒絕服務(wù)攻擊、域名劫持、路由劫持等各種網(wǎng)絡(luò)威脅或攻擊的監(jiān)測(cè)發(fā)現(xiàn)能力。 ? 通報(bào)預(yù)警：依托對(duì)豐富數(shù)據(jù)資源的綜合分析和多渠道的信息獲取實(shí)現(xiàn)網(wǎng)絡(luò)安

全威脅的分析預(yù)警、網(wǎng)絡(luò)安全事件的情況通報(bào)、宏觀網(wǎng)絡(luò)安全狀況的態(tài)勢(shì)分

析等。此外，按照2009年工業(yè)和信息化部頒布實(shí)施的《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)實(shí)施辦法》承擔(dān)通信行業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)工作。

? 應(yīng)急處置：依托與運(yùn)營(yíng)商、域名注冊(cè)商、安全服務(wù)廠商等相關(guān)部門(mén)的快速工

作機(jī)制和與涉及國(guó)計(jì)民生的重要信息系統(tǒng)部門(mén)及執(zhí)法機(jī)關(guān)密切合作機(jī)制實(shí)現(xiàn)

網(wǎng)絡(luò)安全事件的快速處置；同時(shí)作為國(guó)際著名網(wǎng)絡(luò)安全合作組織FIRST 和

APCERT 的重要成員，與多個(gè)世界著名的網(wǎng)絡(luò)安全機(jī)構(gòu)和各個(gè)國(guó)家級(jí)應(yīng)急組

織建立了網(wǎng)絡(luò)安全事件處理合作機(jī)制。面向國(guó)內(nèi)外用戶受理網(wǎng)絡(luò)安全事件報(bào)

告，及時(shí)掌握和處置突發(fā)重大網(wǎng)絡(luò)安全事件。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

版權(quán)及免責(zé)聲明

《CNCERT 互聯(lián)網(wǎng)安全威脅報(bào)告》（以下簡(jiǎn)稱(chēng)“報(bào)告”）為國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡(jiǎn)稱(chēng)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心，CNCERT 或CNCERT/CC）的電子刊物，由CNCERT 編制并擁有版權(quán)。報(bào)告中凡摘錄或引用內(nèi)容均已指明出處，其版權(quán)歸相應(yīng)單位所有。本報(bào)告所有權(quán)利及許可由CNCERT 進(jìn)行管理，未經(jīng)CNCERT 同意，任何單位或個(gè)人不得將本報(bào)告以及其中內(nèi)容轉(zhuǎn)發(fā)或用于其他用途。

CNCERT 力爭(zhēng)保證本報(bào)告的準(zhǔn)確性和可靠性，其中的信息、數(shù)據(jù)、圖片等僅供參考，不作為您個(gè)人或您企業(yè)實(shí)施安全決策的依據(jù)，CNCERT 不承擔(dān)與此相關(guān)的一切法律責(zé)任。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

本月網(wǎng)絡(luò)安全基本態(tài)勢(shì)分析

2011年6月，互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況整體評(píng)價(jià)為中。我國(guó)基礎(chǔ)網(wǎng)絡(luò)運(yùn)行總體平穩(wěn)，互聯(lián)網(wǎng)骨干網(wǎng)各項(xiàng)監(jiān)測(cè)指標(biāo)正常，未發(fā)生較大以上網(wǎng)絡(luò)安全事件。在我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境方面，我國(guó)境內(nèi)感染“飛客”蠕蟲(chóng)的主機(jī)數(shù)量和被篡改政府網(wǎng)站數(shù)量、新發(fā)現(xiàn)信息系統(tǒng)安全漏洞數(shù)量較上月明顯增多，但境內(nèi)感染木馬或僵尸程序的主機(jī)數(shù)量則繼續(xù)呈下降趨勢(shì)?？傮w上，6月公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)較上月有所惡化。

◆ 基礎(chǔ)網(wǎng)絡(luò)安全

2011年6月，我國(guó)基礎(chǔ)網(wǎng)絡(luò)運(yùn)行總體平穩(wěn)，互聯(lián)網(wǎng)骨干網(wǎng)各項(xiàng)監(jiān)測(cè)指標(biāo)正常，未出現(xiàn)省級(jí)行政區(qū)域以上的造成較大影響的基礎(chǔ)網(wǎng)絡(luò)運(yùn)行故障，未發(fā)生較大以上網(wǎng)絡(luò)安全事件，但存在一定數(shù)量的流量不大的針對(duì)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施實(shí)施的拒絕服務(wù)攻擊事件。

◆ 重要聯(lián)網(wǎng)信息系統(tǒng)安全

政府網(wǎng)站和金融行業(yè)網(wǎng)站仍然是不法分子攻擊的重點(diǎn)目標(biāo)，安全漏洞是重要聯(lián)網(wǎng)信息系統(tǒng)遭遇攻擊的重要內(nèi)因。本月，監(jiān)測(cè)發(fā)現(xiàn)被篡改政府網(wǎng)站數(shù)量為333個(gè)，較上月的212個(gè)大幅增長(zhǎng)57，占境內(nèi)被篡改網(wǎng)站比例由6.31上升到10.52；接收的網(wǎng)頁(yè)仿冒事件報(bào)告數(shù)量為381個(gè)，較上月480個(gè)下降21，這些仿冒事件絕大多數(shù)都是針對(duì)金融機(jī)構(gòu)、電子商務(wù)、第三方在線支付網(wǎng)站；此外，“Microsoft Word文件指針遠(yuǎn)程代碼執(zhí)行漏洞”、“Xitami HTTP 頭遠(yuǎn)程緩沖區(qū)溢出漏洞”、“Opera Web Browser拒絕服務(wù)漏洞”影響較為嚴(yán)重，互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)有關(guān)攻擊代碼。

1

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn 公共網(wǎng)絡(luò)環(huán)境安全

2011年6月，根據(jù)CNCERT 的監(jiān)測(cè)數(shù)據(jù)和通信行業(yè)報(bào)送數(shù)據(jù)，我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境主要指標(biāo)情況如下：①網(wǎng)絡(luò)病毒1活動(dòng)情況方面，境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)約為815萬(wàn)個(gè)，較上月大幅增長(zhǎng)76；獲得新增網(wǎng)絡(luò)病毒名稱(chēng)953個(gè)，較上月增長(zhǎng)31，獲得新增網(wǎng)絡(luò)病毒家族38個(gè)，較上月大幅增長(zhǎng)65；各安全企業(yè)報(bào)送的網(wǎng)絡(luò)病毒捕獲數(shù)量總體呈下降趨勢(shì)，瑞星公司截獲的病毒數(shù)量較上月減少

5.7，新增病毒數(shù)量比上月減少42.2；金山公司報(bào)送的計(jì)算機(jī)病毒事件數(shù)量較上月減少15.7；安天公司捕獲的樣本總數(shù)較上月減少 10.5，新增病毒種類(lèi)較上月增加14.1。②網(wǎng)站安全方面，本月境內(nèi)被篡改網(wǎng)站數(shù)量為3164個(gè)，較上月下降6；接收網(wǎng)頁(yè)仿冒事件報(bào)告381個(gè)，較上月下降21；各安全企業(yè)報(bào)送的網(wǎng)頁(yè)掛馬情況中，奇虎360公司、安天公司、浪潮公司報(bào)送的網(wǎng)頁(yè)掛馬事件數(shù)量較上月均呈現(xiàn)上升趨勢(shì)，分別上升了2.8、12.4、27.1，但金山公司和網(wǎng)御星云公司報(bào)送的網(wǎng)頁(yè)掛馬事件數(shù)量較上月有所下降，降幅分別為19.7和13。③安全漏洞方面，國(guó)家信息安全漏洞共享平臺(tái)（CNVD 2）收集整理信息系統(tǒng)安全漏洞447個(gè)，較上月增長(zhǎng)23，其中高危漏洞250個(gè)，可被利用來(lái)實(shí)施遠(yuǎn)程攻擊的漏洞有406個(gè)。④垃圾郵件方面，從中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)反垃圾郵件中心報(bào)送數(shù)據(jù)看，本月共接收11164件垃圾郵件事件舉報(bào)，較上月下降31。⑤事件受理方面，CNCERT 接收到網(wǎng)絡(luò)安全事件報(bào)告1344件，數(shù)量較上月增長(zhǎng)2。

注1：一般情況下，惡意代碼是指在未經(jīng)授權(quán)的情況下，在信息系統(tǒng)中安裝、執(zhí)行以達(dá)到不正當(dāng)目的的程序。其中，網(wǎng)絡(luò)病毒是特指有網(wǎng)絡(luò)通信行為的惡意代碼。6月，CNCERT 在對(duì)網(wǎng)絡(luò)病毒進(jìn)行抽樣監(jiān)測(cè)時(shí)，對(duì)177種木馬家族和65種僵尸程序家族進(jìn)行了抽樣監(jiān)測(cè)。

注2：CNVD 是CNCERT 聯(lián)合國(guó)內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營(yíng)商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識(shí)庫(kù)，致力于建立國(guó)家統(tǒng)一的信息安全漏洞收集、發(fā)布、驗(yàn)證、分析等應(yīng)急處理體系。

2

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn ◆ 網(wǎng)絡(luò)病毒監(jiān)測(cè)數(shù)據(jù)分析

2011年6月，境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)約為815萬(wàn)個(gè)。其中，境內(nèi)被木馬或僵尸程序控制的主機(jī)IP 約為38萬(wàn)個(gè)，環(huán)比下降6；境內(nèi)感染飛客蠕蟲(chóng)的主機(jī)IP 約為777萬(wàn)個(gè)，環(huán)比大幅增長(zhǎng)84；

木馬僵尸網(wǎng)絡(luò)監(jiān)測(cè)數(shù)據(jù)分析

2011年6月，CNCERT 監(jiān)測(cè)發(fā)現(xiàn)境內(nèi)約38萬(wàn)個(gè)IP 地址對(duì)應(yīng)

的主機(jī)被木馬或僵尸程序控制，按地區(qū)分布感染數(shù)量排名前三位的分別是江蘇省、廣東省、山東省。

木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器IP 總數(shù)為31507個(gè)。其中，境內(nèi)

木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器IP 數(shù)量為24662個(gè)；境外木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器IP 數(shù)量為6845個(gè)，按國(guó)家或地區(qū)分布數(shù)量排名前三位的分別為日本、美國(guó)、韓國(guó)。

飛客蠕蟲(chóng)監(jiān)測(cè)數(shù)據(jù)分析

2011年6月，CNCERT 監(jiān)測(cè)到全球互聯(lián)網(wǎng)約4256萬(wàn)個(gè)主機(jī)

IP 地址感染飛客蠕蟲(chóng)，按國(guó)家或地區(qū)分布感染數(shù)量排名前三位的分別是中國(guó)大陸、巴西、俄羅斯。

境內(nèi)感染飛客蠕蟲(chóng)的主機(jī)IP 約為777萬(wàn)個(gè)，按地區(qū)分布感染

數(shù)量排名前三位的分別是廣東省、浙江省、江蘇省。

惡意代碼捕獲和傳播情況

2011年6月，CNCERT 通過(guò)多種渠道獲得新增網(wǎng)絡(luò)病毒名稱(chēng)

數(shù)為953個(gè)，新增網(wǎng)絡(luò)病毒家族數(shù)為38個(gè)。網(wǎng)絡(luò)病毒主要針對(duì)一些防護(hù)比較薄弱，特別是訪問(wèn)量較大的網(wǎng)站通過(guò)網(wǎng)頁(yè)掛馬的方式進(jìn)行傳播。當(dāng)存在安全漏洞的用戶主機(jī)訪問(wèn)了這些被黑客掛馬的網(wǎng)站后，會(huì)經(jīng)過(guò)多級(jí)跳轉(zhuǎn)暗中連接黑客最終“放馬”的站點(diǎn)下載網(wǎng)絡(luò)病毒。這些放馬站點(diǎn)是網(wǎng)絡(luò)病毒散播的源頭，是黑色地下產(chǎn)業(yè)鏈中非常重要的一個(gè)環(huán)節(jié)。2011年6月，CNCERT 監(jiān)測(cè)發(fā)現(xiàn)排名前五的活躍放馬站點(diǎn)域名和活躍放馬站點(diǎn)IP 如表1所示。

3

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

網(wǎng)絡(luò)病毒在傳播過(guò)程中，往往需要利用黑客注冊(cè)的大量域名。根據(jù)CNCERT 對(duì)活躍惡意域名的分類(lèi)跟蹤，2011年6月，活躍惡

意域名所屬頂級(jí)域名及地理分布情況如表2

所示，絕大多數(shù)惡意域名分布在極少數(shù)的頂級(jí)域名上；活躍惡意域名在域名服務(wù)機(jī)構(gòu)的注冊(cè)情況如圖1所示，請(qǐng)各域名服務(wù)機(jī)構(gòu)注意加強(qiáng)域名服務(wù)的安全管理和域名濫用處理。特別是，由于不法分子為降低傳播網(wǎng)絡(luò)病毒的成本往往申請(qǐng)大量的免費(fèi)域名，所以免費(fèi)域名服務(wù)機(jī)構(gòu)更需加強(qiáng)有關(guān)工作。

圖1：活躍惡意域名按域名服務(wù)機(jī)構(gòu)分布

4

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

◆ 網(wǎng)站安全情況分析

境內(nèi)網(wǎng)站被篡改情況

2011年6月，境內(nèi)被篡改網(wǎng)站的數(shù)量為3164個(gè)，其中代號(hào)為“soojoy”、“twy”和“s4r4d0”的攻擊者對(duì)境內(nèi)網(wǎng)站進(jìn)行了大量篡改。

境內(nèi)被篡改網(wǎng)站數(shù)量按地區(qū)分布排名前三位的分別是北京市、廣東省、福建省。按網(wǎng)站類(lèi)型統(tǒng)計(jì)，被篡改數(shù)量最多的是.com 和.com.cn 域名類(lèi)網(wǎng)站，其多為商業(yè)類(lèi)網(wǎng)站；值得注意的是，被篡改的.gov.cn 域名類(lèi)網(wǎng)站有333個(gè)，占境內(nèi)被篡改網(wǎng)站的比例為10.52。

截至6月30日仍未恢復(fù)的部分被篡改政府網(wǎng)站3如表3所示。

注3：政府網(wǎng)站是指英文域名以“.gov.cn”結(jié)尾的網(wǎng)站，但不排除個(gè)別非政府部門(mén)也使用“.gov.cn”的情況。表格中僅列出了被篡改網(wǎng)站或被掛馬網(wǎng)站的域名，而非具體被篡改或被掛馬的頁(yè)面URL 。

5

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

境內(nèi)網(wǎng)站被掛馬情況

根據(jù)CNCERT 監(jiān)測(cè)和通信行業(yè)報(bào)送數(shù)據(jù)，截至6月30日仍存在被掛馬或被植入不正當(dāng)廣告鏈接（如：網(wǎng)絡(luò)游戲、色情網(wǎng)站鏈接）的部分政府網(wǎng)站如表4所示。

6

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

網(wǎng)絡(luò)安全的主要威脅

近期披露的一些嚴(yán)重安全漏洞是互聯(lián)網(wǎng)所面臨的主要安全威脅。2011年6月，國(guó)家信息安全漏洞共享平臺(tái)（CNVD ）收集整理信息系統(tǒng)安全漏洞447個(gè)。其中，高危漏洞250個(gè)，可被利用來(lái)實(shí)施遠(yuǎn)程攻擊的漏洞有406個(gè)。受影響的軟硬件系統(tǒng)廠商包括Adobe 、Apple 、Cisco 、Google 、IBM 、Linux 、Microsoft 、Mozilla 、Novell 等。

根據(jù)漏洞影響對(duì)象的類(lèi)型，漏洞可分為操作系統(tǒng)漏洞、應(yīng)用程序漏洞、WEB 應(yīng)用漏洞、數(shù)據(jù)庫(kù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞（如路由器、交換機(jī)等）和安全產(chǎn)品漏洞（如防火墻、入侵檢測(cè)系統(tǒng)等）。本月CNVD 收集整理的漏洞中，按漏洞類(lèi)型分布排名前三位的分別是應(yīng)用程序漏洞、WEB 應(yīng)用漏洞、操作系統(tǒng)漏洞。

本月，“Microsoft Word 文件指針遠(yuǎn)程代碼執(zhí)行漏洞”、“Xitami HTTP 頭遠(yuǎn)程緩沖區(qū)溢出漏洞”、“Opera Web Browser拒絕服務(wù)漏洞”影響較為嚴(yán)重，互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)有關(guān)攻擊代碼，為避免受到漏洞影響，請(qǐng)廣大用戶及時(shí)采取補(bǔ)丁修復(fù)、提高主機(jī)操作系統(tǒng)安全防范等級(jí)等防御措施。

7