CNCERT 互聯(lián)網(wǎng)安全威脅報告2011年6月 總第6期熱線電話： 8610 82990999（中文），82991000（英文） 傳真： 8610 82990399 電子郵件：cncert@

CNCERT 互聯(lián)網(wǎng)安全威脅報告

2011年6月 總第6期

熱線電話： 8610 82990999（中文），82991000（英文） 傳真： 8610 82990399 電子郵件：cncert@cert.org.cn

PGP Key：http://www.cert.org.cn/cncert.asc

網(wǎng)址：http://www.cert.org.cn/

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn 關(guān)于國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT ）

國家互聯(lián)網(wǎng)應(yīng)急中心的全稱是國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（英文簡稱為CNCERT 或CNCERT/CC），成立于1999年9月，是工業(yè)和信息化部領(lǐng)導(dǎo)下的國家級網(wǎng)絡(luò)安全應(yīng)急機構(gòu)，致力于建設(shè)國家級的網(wǎng)絡(luò)安全監(jiān)測中心、預(yù)警中心和應(yīng)急中心，以支撐政府主管部門履行網(wǎng)絡(luò)安全相關(guān)的社會管理和公共服務(wù)職能，支持基礎(chǔ)信息網(wǎng)絡(luò)的安全防護和安全運行，支援重要信息系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)測、預(yù)警和處置。

2003年，CNCERT 在我國大陸31個省、自治區(qū)、直轄市成立分中心，完成了跨網(wǎng)絡(luò)、跨系統(tǒng)、跨地域的公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急技術(shù)支撐體系建設(shè)，形成了全國性的互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息共享、技術(shù)協(xié)同能力。目前，CNCERT 作為國家互聯(lián)網(wǎng)安全應(yīng)急體系的核心技術(shù)協(xié)調(diào)機構(gòu)，在協(xié)調(diào)國內(nèi)網(wǎng)絡(luò)安全應(yīng)急組織（CERT ）共同處理互聯(lián)網(wǎng)安全事件方面發(fā)揮著重要作用。

CNCERT 的業(yè)務(wù)能力主要包括：

? 監(jiān)測發(fā)現(xiàn)：依托“863-917網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)”實現(xiàn)網(wǎng)絡(luò)安全事件的監(jiān)測發(fā)現(xiàn)。

863-917網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)是一個全程全網(wǎng)、多層次、多渠道延伸的網(wǎng)絡(luò)安全綜合監(jiān)測平臺，目前已具備對安全漏洞、惡意代碼、網(wǎng)頁篡改、網(wǎng)頁掛馬、

拒絕服務(wù)攻擊、域名劫持、路由劫持等各種網(wǎng)絡(luò)威脅或攻擊的監(jiān)測發(fā)現(xiàn)能力。 ? 通報預(yù)警：依托對豐富數(shù)據(jù)資源的綜合分析和多渠道的信息獲取實現(xiàn)網(wǎng)絡(luò)安

全威脅的分析預(yù)警、網(wǎng)絡(luò)安全事件的情況通報、宏觀網(wǎng)絡(luò)安全狀況的態(tài)勢分

析等。此外，按照2009年工業(yè)和信息化部頒布實施的《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法》承擔(dān)通信行業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報工作。

? 應(yīng)急處置：依托與運營商、域名注冊商、安全服務(wù)廠商等相關(guān)部門的快速工

作機制和與涉及國計民生的重要信息系統(tǒng)部門及執(zhí)法機關(guān)密切合作機制實現(xiàn)

網(wǎng)絡(luò)安全事件的快速處置；同時作為國際著名網(wǎng)絡(luò)安全合作組織FIRST 和

APCERT 的重要成員，與多個世界著名的網(wǎng)絡(luò)安全機構(gòu)和各個國家級應(yīng)急組

織建立了網(wǎng)絡(luò)安全事件處理合作機制。面向國內(nèi)外用戶受理網(wǎng)絡(luò)安全事件報

告，及時掌握和處置突發(fā)重大網(wǎng)絡(luò)安全事件。

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

版權(quán)及免責(zé)聲明

《CNCERT 互聯(lián)網(wǎng)安全威脅報告》（以下簡稱“報告”）為國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡稱國家互聯(lián)網(wǎng)應(yīng)急中心，CNCERT 或CNCERT/CC）的電子刊物，由CNCERT 編制并擁有版權(quán)。報告中凡摘錄或引用內(nèi)容均已指明出處，其版權(quán)歸相應(yīng)單位所有。本報告所有權(quán)利及許可由CNCERT 進行管理，未經(jīng)CNCERT 同意，任何單位或個人不得將本報告以及其中內(nèi)容轉(zhuǎn)發(fā)或用于其他用途。

CNCERT 力爭保證本報告的準(zhǔn)確性和可靠性，其中的信息、數(shù)據(jù)、圖片等僅供參考，不作為您個人或您企業(yè)實施安全決策的依據(jù)，CNCERT 不承擔(dān)與此相關(guān)的一切法律責(zé)任。

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

本月網(wǎng)絡(luò)安全基本態(tài)勢分析

2011年6月，互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況整體評價為中。我國基礎(chǔ)網(wǎng)絡(luò)運行總體平穩(wěn)，互聯(lián)網(wǎng)骨干網(wǎng)各項監(jiān)測指標(biāo)正常，未發(fā)生較大以上網(wǎng)絡(luò)安全事件。在我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境方面，我國境內(nèi)感染“飛客”蠕蟲的主機數(shù)量和被篡改政府網(wǎng)站數(shù)量、新發(fā)現(xiàn)信息系統(tǒng)安全漏洞數(shù)量較上月明顯增多，但境內(nèi)感染木馬或僵尸程序的主機數(shù)量則繼續(xù)呈下降趨勢?？傮w上，6月公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢較上月有所惡化。

◆ 基礎(chǔ)網(wǎng)絡(luò)安全

2011年6月，我國基礎(chǔ)網(wǎng)絡(luò)運行總體平穩(wěn)，互聯(lián)網(wǎng)骨干網(wǎng)各項監(jiān)測指標(biāo)正常，未出現(xiàn)省級行政區(qū)域以上的造成較大影響的基礎(chǔ)網(wǎng)絡(luò)運行故障，未發(fā)生較大以上網(wǎng)絡(luò)安全事件，但存在一定數(shù)量的流量不大的針對互聯(lián)網(wǎng)基礎(chǔ)設(shè)施實施的拒絕服務(wù)攻擊事件。

◆ 重要聯(lián)網(wǎng)信息系統(tǒng)安全

政府網(wǎng)站和金融行業(yè)網(wǎng)站仍然是不法分子攻擊的重點目標(biāo)，安全漏洞是重要聯(lián)網(wǎng)信息系統(tǒng)遭遇攻擊的重要內(nèi)因。本月，監(jiān)測發(fā)現(xiàn)被篡改政府網(wǎng)站數(shù)量為333個，較上月的212個大幅增長57，占境內(nèi)被篡改網(wǎng)站比例由6.31上升到10.52；接收的網(wǎng)頁仿冒事件報告數(shù)量為381個，較上月480個下降21，這些仿冒事件絕大多數(shù)都是針對金融機構(gòu)、電子商務(wù)、第三方在線支付網(wǎng)站；此外，“Microsoft Word文件指針遠程代碼執(zhí)行漏洞”、“Xitami HTTP 頭遠程緩沖區(qū)溢出漏洞”、“Opera Web Browser拒絕服務(wù)漏洞”影響較為嚴(yán)重，互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)有關(guān)攻擊代碼。

1

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn 公共網(wǎng)絡(luò)環(huán)境安全

2011年6月，根據(jù)CNCERT 的監(jiān)測數(shù)據(jù)和通信行業(yè)報送數(shù)據(jù)，我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境主要指標(biāo)情況如下：①網(wǎng)絡(luò)病毒1活動情況方面，境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)約為815萬個，較上月大幅增長76；獲得新增網(wǎng)絡(luò)病毒名稱953個，較上月增長31，獲得新增網(wǎng)絡(luò)病毒家族38個，較上月大幅增長65；各安全企業(yè)報送的網(wǎng)絡(luò)病毒捕獲數(shù)量總體呈下降趨勢，瑞星公司截獲的病毒數(shù)量較上月減少

5.7，新增病毒數(shù)量比上月減少42.2；金山公司報送的計算機病毒事件數(shù)量較上月減少15.7；安天公司捕獲的樣本總數(shù)較上月減少 10.5，新增病毒種類較上月增加14.1。②網(wǎng)站安全方面，本月境內(nèi)被篡改網(wǎng)站數(shù)量為3164個，較上月下降6；接收網(wǎng)頁仿冒事件報告381個，較上月下降21；各安全企業(yè)報送的網(wǎng)頁掛馬情況中，奇虎360公司、安天公司、浪潮公司報送的網(wǎng)頁掛馬事件數(shù)量較上月均呈現(xiàn)上升趨勢，分別上升了2.8、12.4、27.1，但金山公司和網(wǎng)御星云公司報送的網(wǎng)頁掛馬事件數(shù)量較上月有所下降，降幅分別為19.7和13。③安全漏洞方面，國家信息安全漏洞共享平臺（CNVD 2）收集整理信息系統(tǒng)安全漏洞447個，較上月增長23，其中高危漏洞250個，可被利用來實施遠程攻擊的漏洞有406個。④垃圾郵件方面，從中國互聯(lián)網(wǎng)協(xié)會反垃圾郵件中心報送數(shù)據(jù)看，本月共接收11164件垃圾郵件事件舉報，較上月下降31。⑤事件受理方面，CNCERT 接收到網(wǎng)絡(luò)安全事件報告1344件，數(shù)量較上月增長2。

注1：一般情況下，惡意代碼是指在未經(jīng)授權(quán)的情況下，在信息系統(tǒng)中安裝、執(zhí)行以達到不正當(dāng)目的的程序。其中，網(wǎng)絡(luò)病毒是特指有網(wǎng)絡(luò)通信行為的惡意代碼。6月，CNCERT 在對網(wǎng)絡(luò)病毒進行抽樣監(jiān)測時，對177種木馬家族和65種僵尸程序家族進行了抽樣監(jiān)測。

注2：CNVD 是CNCERT 聯(lián)合國內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運營商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識庫，致力于建立國家統(tǒng)一的信息安全漏洞收集、發(fā)布、驗證、分析等應(yīng)急處理體系。

2

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn ◆ 網(wǎng)絡(luò)病毒監(jiān)測數(shù)據(jù)分析

2011年6月，境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)約為815萬個。其中，境內(nèi)被木馬或僵尸程序控制的主機IP 約為38萬個，環(huán)比下降6；境內(nèi)感染飛客蠕蟲的主機IP 約為777萬個，環(huán)比大幅增長84；

木馬僵尸網(wǎng)絡(luò)監(jiān)測數(shù)據(jù)分析

2011年6月，CNCERT 監(jiān)測發(fā)現(xiàn)境內(nèi)約38萬個IP 地址對應(yīng)

的主機被木馬或僵尸程序控制，按地區(qū)分布感染數(shù)量排名前三位的分別是江蘇省、廣東省、山東省。

木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器IP 總數(shù)為31507個。其中，境內(nèi)

木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器IP 數(shù)量為24662個；境外木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器IP 數(shù)量為6845個，按國家或地區(qū)分布數(shù)量排名前三位的分別為日本、美國、韓國。

飛客蠕蟲監(jiān)測數(shù)據(jù)分析

2011年6月，CNCERT 監(jiān)測到全球互聯(lián)網(wǎng)約4256萬個主機

IP 地址感染飛客蠕蟲，按國家或地區(qū)分布感染數(shù)量排名前三位的分別是中國大陸、巴西、俄羅斯。

境內(nèi)感染飛客蠕蟲的主機IP 約為777萬個，按地區(qū)分布感染

數(shù)量排名前三位的分別是廣東省、浙江省、江蘇省。

惡意代碼捕獲和傳播情況

2011年6月，CNCERT 通過多種渠道獲得新增網(wǎng)絡(luò)病毒名稱

數(shù)為953個，新增網(wǎng)絡(luò)病毒家族數(shù)為38個。網(wǎng)絡(luò)病毒主要針對一些防護比較薄弱，特別是訪問量較大的網(wǎng)站通過網(wǎng)頁掛馬的方式進行傳播。當(dāng)存在安全漏洞的用戶主機訪問了這些被黑客掛馬的網(wǎng)站后，會經(jīng)過多級跳轉(zhuǎn)暗中連接黑客最終“放馬”的站點下載網(wǎng)絡(luò)病毒。這些放馬站點是網(wǎng)絡(luò)病毒散播的源頭，是黑色地下產(chǎn)業(yè)鏈中非常重要的一個環(huán)節(jié)。2011年6月，CNCERT 監(jiān)測發(fā)現(xiàn)排名前五的活躍放馬站點域名和活躍放馬站點IP 如表1所示。

3

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

網(wǎng)絡(luò)病毒在傳播過程中，往往需要利用黑客注冊的大量域名。根據(jù)CNCERT 對活躍惡意域名的分類跟蹤，2011年6月，活躍惡

意域名所屬頂級域名及地理分布情況如表2

所示，絕大多數(shù)惡意域名分布在極少數(shù)的頂級域名上；活躍惡意域名在域名服務(wù)機構(gòu)的注冊情況如圖1所示，請各域名服務(wù)機構(gòu)注意加強域名服務(wù)的安全管理和域名濫用處理。特別是，由于不法分子為降低傳播網(wǎng)絡(luò)病毒的成本往往申請大量的免費域名，所以免費域名服務(wù)機構(gòu)更需加強有關(guān)工作。

圖1：活躍惡意域名按域名服務(wù)機構(gòu)分布

4

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

◆ 網(wǎng)站安全情況分析

境內(nèi)網(wǎng)站被篡改情況

2011年6月，境內(nèi)被篡改網(wǎng)站的數(shù)量為3164個，其中代號為“soojoy”、“twy”和“s4r4d0”的攻擊者對境內(nèi)網(wǎng)站進行了大量篡改。

境內(nèi)被篡改網(wǎng)站數(shù)量按地區(qū)分布排名前三位的分別是北京市、廣東省、福建省。按網(wǎng)站類型統(tǒng)計，被篡改數(shù)量最多的是.com 和.com.cn 域名類網(wǎng)站，其多為商業(yè)類網(wǎng)站；值得注意的是，被篡改的.gov.cn 域名類網(wǎng)站有333個，占境內(nèi)被篡改網(wǎng)站的比例為10.52。

截至6月30日仍未恢復(fù)的部分被篡改政府網(wǎng)站3如表3所示。

注3：政府網(wǎng)站是指英文域名以“.gov.cn”結(jié)尾的網(wǎng)站，但不排除個別非政府部門也使用“.gov.cn”的情況。表格中僅列出了被篡改網(wǎng)站或被掛馬網(wǎng)站的域名，而非具體被篡改或被掛馬的頁面URL 。

5

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

境內(nèi)網(wǎng)站被掛馬情況

根據(jù)CNCERT 監(jiān)測和通信行業(yè)報送數(shù)據(jù)，截至6月30日仍存在被掛馬或被植入不正當(dāng)廣告鏈接（如：網(wǎng)絡(luò)游戲、色情網(wǎng)站鏈接）的部分政府網(wǎng)站如表4所示。

6

國家互聯(lián)網(wǎng)應(yīng)急中心 www.cert.org.cn

網(wǎng)絡(luò)安全的主要威脅

近期披露的一些嚴(yán)重安全漏洞是互聯(lián)網(wǎng)所面臨的主要安全威脅。2011年6月，國家信息安全漏洞共享平臺（CNVD ）收集整理信息系統(tǒng)安全漏洞447個。其中，高危漏洞250個，可被利用來實施遠程攻擊的漏洞有406個。受影響的軟硬件系統(tǒng)廠商包括Adobe 、Apple 、Cisco 、Google 、IBM 、Linux 、Microsoft 、Mozilla 、Novell 等。

根據(jù)漏洞影響對象的類型，漏洞可分為操作系統(tǒng)漏洞、應(yīng)用程序漏洞、WEB 應(yīng)用漏洞、數(shù)據(jù)庫漏洞、網(wǎng)絡(luò)設(shè)備漏洞（如路由器、交換機等）和安全產(chǎn)品漏洞（如防火墻、入侵檢測系統(tǒng)等）。本月CNVD 收集整理的漏洞中，按漏洞類型分布排名前三位的分別是應(yīng)用程序漏洞、WEB 應(yīng)用漏洞、操作系統(tǒng)漏洞。

本月，“Microsoft Word 文件指針遠程代碼執(zhí)行漏洞”、“Xitami HTTP 頭遠程緩沖區(qū)溢出漏洞”、“Opera Web Browser拒絕服務(wù)漏洞”影響較為嚴(yán)重，互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)有關(guān)攻擊代碼，為避免受到漏洞影響，請廣大用戶及時采取補丁修復(fù)、提高主機操作系統(tǒng)安全防范等級等防御措施。

7