陕西省互联网网络安全情况月报.doc

1、陕西省互联网网络安全情况月报2014 年 3 月 （第 W003 期） 总第 3 期陕西省通信管理局国家计算机网络应急技术处理协调中心陕西分中心本期目录1 情况综述 12 安全事件分析 12.1 木马、僵尸网络事件分析 .12.2 “飞客”蠕虫病毒事件分析 .32.3 网页篡改事件分析 32.4 网站后门事件分析 43 安全事件处置情况 54 安全预警信息 54.1 本月重要安全漏洞信息通报 .64.2 本月活跃网络病毒情况 .134.3 本月恶意代码捕获和传播情况 .144.4 本月钓鱼网站统计情况 .154.5 本月重要漏洞修补信息 .155 业界动态 185.1 网络安全成两会焦点代表呼

2、吁构建全网诚信体系 .185.2 网络安全和信息化发展力度逐步加大 .205.3 顶级域名管理或成国家网络安全发展重点 .215.4 CNCERT 发布2013 年我国互联网网络安全态势综述 .245.5 日本政府假想遭受网络攻击实施大规模模拟训练 .255.6 XP 系统退役威胁 ATM 遭黑客和病毒攻击风险陡增 .25国家计算机网络应急技术处理协调中心陕西分中心 11 情况综述2014 年 3 月，我省互联网络总体运行情况良好，未发生较大以上网络安全事件。根据监测分析，2014 年 3 月，我省被境外通过木马僵尸程序控制的主机（受控端）IP 数为 61,251 个，较上个月增加 72.01

3、%，占全国总数的 3.07%；木马僵尸控制服务器（控制端）IP 数为 58 个，较上个月减少 30.12%，占全国总数的 1.00%；省内被篡改网页的网站数为 128 个，较上个月增加 12.28%，占全国总数的 0.92%；省内被植入后门网站数为 65 个，较上个月增加 35.42%，占全国总数的1.08%；省内感染飞客蠕虫的主机 IP 数为 18,063 个，较上个月减少4.75%，占全国总数的 1.90%。2 安全事件分析2.1 木马、僵尸网络事件分析2014 年 3 月，CNCERT/CC 对木马僵尸的活动状况进行了抽样监测，发现中国大陆地区 1,990,707 个 IP 地址对应的主

4、机被木马或僵尸程序秘密控制。事件高发的三个省份分别为广东省（约占 36.0%） 、浙江省（约占 4.8%） 、江苏省（约占 4.7%） ，其分布情况如图 1 所示。国家计算机网络应急技术处理协调中心陕西分中心 2图 1：中国大陆地区木马或僵尸程序受控主机地区分布图2013 年 4 月-2014 年 3 月境内木马或僵尸程序控制服务器 IP 数量月度统计情况如图 2 所示。图 2：中国大陆地区木马或僵尸程序控制服务器 IP 数量月度统计2014 年 3 月，陕西省有 61,251 个 IP 地址对应的主机被境外黑客通过木马或僵尸程序控制，约占全国总数的 3.07%，居全国第 9位；有 58 个

5、IP 地址对应的主机被用作木马和僵尸程序控制主机与境外进行通信,约占全国总数的 1.00%，居全国第 22 位。国家计算机网络应急技术处理协调中心陕西分中心 32.2 “飞客”蠕虫病毒事件分析2014 年 3 月，CNCERT/CC 对“飞客”蠕虫的活动状况进行了抽样监测，发现境内感染“飞客”蠕虫的主机 IP 地址共 947,070 个。事件高发的三个省份分别为广东（约占 25.4%） 、江苏（约占 7.1%）和浙江（约占 6.3%） ；其中陕西省 18,063 个 IP 地址，约占全国总数的 1.90%，排名第 18 位。其分布情况如图 3 所示。图 3：中国大陆地区感染飞客蠕虫的主机 IP

6、 按地区分布图2.3 网页篡改事件分析2014 年 3 月，CNCERT/CC 监测发现中国大陆地区被篡改网站13,838 个，其中境内被篡改政府网站（.gov）数量为 602 个。被篡改网站分布情况如图 4 所示，最多的地区分别为北京市（约占 18.7%） 、江苏省（约占 12.4%）和浙江市（约占 12.3%） 。国家计算机网络应急技术处理协调中心陕西分中心 4图 4：境内被篡改网站按地区分布2013 年 4 月-2014 年 3 月境内被篡改网站数量按月度统计如图5 所示。图 5：境内被篡改网站数量月度统计2014 年 3 月，陕西省内被篡改网站数量为 128 个，全国排名第15 位，陕

7、西互联网应急中心协调处理政府网站篡改事件 33 起。2.4 网站后门事件分析国家计算机网络应急技术处理协调中心陕西分中心 52014 年 3 月，CNCERT/CC 监测发现中国大陆地区网站被植入后门数量 5,965 个。网站被植入后门分布情况如图 7 所示，最多的地区分别为北京市（约占 16.1%） 、江苏省（约占 13.5%）和广东省（约占 9.4%） 。图 6：境内网站被植入后门按地区分布2014 年 3 月，陕西省境内监测发现网站被植入后门数量 65 个，约占全国总数的 1.08%，全国排名第 14 名。3 安全事件处置情况2014 年 3 月份，陕西互联网应急中心共协调处理各类网络安

8、全事件 179 起，其中僵尸木马受控事件 92 起，僵尸木马控制事件 9 起，飞客病毒事件 30 起，移动互联网恶意程序受控事件 15 起，重要信息系统网页篡改事件 26 起，网站 SQL 注入漏洞事件 4 起，权限绕过漏洞事件 2 起，网页后门漏洞事件 1 起。陕西互联网应急中心及时向用户作了情况通报并指导用户进行系统恢复，使事件在最快时间内得到处理，消除了不良影响。4 安全预警信息国家计算机网络应急技术处理协调中心陕西分中心 64.1 本月重要安全漏洞信息通报2014 年 3 月，CNCERT/CC 收到的来自国家信息安全漏洞共享平台（CNVD）报告的漏洞数量 646 个，其中高危漏洞 2

9、14 个、中危漏洞 368 个、低危漏洞 64 个，其中 0day 漏洞 180 个。（一）关于 DEDECMS SQL 注入高危漏洞被利用发起大规模攻击的情况通报近日，国家信息安全漏洞共享平台（CNVD）对国内应用广泛的网站内容管理软件 DEDECMS（又称“织梦”CMS） 存在的一个 SQL注入高危漏洞进行监测后发现，针对该漏洞的攻击近期呈现大规模爆发趋势，对网站运行安全和用户个人信息安全构成较为严重的威胁。具体情况通报如下：一、 漏洞情况分析DEDECMS 是由上海卓卓网络科技有限公司生产的一款网站建站系统软件，在国内政府、高校、企事业单位以及个人用户网站中应用较为广泛。2014 年 2

10、 月 25 日，该软件被披露存在一个高危漏洞（CNVD 收录编号：CNVD-2014-01382)。至 2 月 28 日，针对该漏洞的攻击利用代码和相关利用工具在互联网上已经被公开传播。漏洞存在于/plus/recommend.php 页面，由于页面参数未进行严格过滤，存在 SQL 注入漏洞。攻击者可利用漏洞直接获得网站数据库信息（包括后台管理员账号和口令信息） ，进而取得网站后台管理权限，后续可进一步渗透取得网站服务控制权。国家计算机网络应急技术处理协调中心陕西分中心 7二、漏洞影响范围CNVD 对漏洞的综合评级为“高危” 。受漏洞影响的 DEDECMS 版本包括 V 5.7SP1 及以下版

11、本。由于漏洞危害大且易于利用， CNVD联合上海交通大学组织开展对该漏洞攻击情况的监测，并加大对存在漏洞的政府和高校网站的处置通报力度。根据 CNVD 抽样监测结果，3 月 3 日至 9 日，互联网上有 2668个攻击源 IP 发起漏洞攻击，其中境外攻击源 IP 占 22%（589 个）, 境外攻击源 IP 中自中国香港地区和美国的较多，分别有 163 个和155 个。上述 2668 个攻击源 IP 共尝试扫描了 48661 个网站 IP 主机，其中 474 个网站 IP 因存在漏洞被攻击成功。从时间周期看，如下图所示，在一周之内被尝试攻击的网站数量呈现上升趋势并保持在高位，在 3 月 8 日

12、达到峰值，被攻击成功的网站 IP 达到 286 个。针对黑客发起大规模漏洞攻击的情况，CNCERT 组织协调全国分中心以及教育网应急组织（CCERT）加大漏洞通报和处置力度， 3月 3 日至 13 日共计通报政府、高校和电信行业网站存在 DEDECMS 漏洞事件超过 100 起。三、漏洞处置建议目前，DEDECMS 软件生产厂商已经发布了针对该漏洞的相关补丁。建议用户及时到生产厂商官方网站下载补丁程序及时升级。同时，建议禁止外部无关 IP 或用户访问网站后台管理地址。（二）关于 Linksys 路由器产品受漏洞和“the moon”蠕虫攻击威胁的情况通报国家计算机网络应急技术处理协调中心陕西分

13、中心 8近日，国家信息安全漏洞共享平台（CNVD）联合上海交通大学网络信息中心对 Linksys 多款路由器产品受到漏洞和“themoon”蠕虫攻击威胁的情况进行了分析和监测，获知互联网上有近 2.5 万个IP 对应的路由器设备受到攻击威胁，其中中国境内用户有近 600 个设备 IP，对企业和用户上网安全构成较大的威胁。具体情况通报如下：一、 漏洞和蠕虫情况分析Linksys 是知名路由器品牌，2013 年以前归属思科公司（Cisco） ，现该品牌归属贝尔金公司（Belkin） 。2014 年 2 月 16 日，Linksys 多款路由器产品被披露存在一个安全绕过高危漏洞（CNVD收录编号：C

14、NVD-2014-01260） ，由于产品未能对tmUnblock.cgi、hndUnblock.cgi 等 CGI 页面以及后台服务的访问权限进行限制，攻击者可利用漏洞执行特定指令，取得路由器设备的控制权，继而可发起 DNS 劫持、网络钓鱼等攻击，对用户个人信息安全构成威胁。2 月中旬，国外研究者发现一种名为“themoon”蠕虫正在发起对 Linksys 路由器的攻击。该蠕虫利用的是 Linksys 相关 CGI 页面的漏洞，对暴露在互联网上的 Linksys 路由器 80 或 8080 端口开展扫描，利用漏洞从黑客控制的服务器上下载恶意程序至路由器设备上，完成对路由器的远程控制。根据进一

15、步分析，该蠕虫还会使用SSL 协议进行远程控制，并对其他的恶意攻击采取排他措施。二、攻击影响范围国家计算机网络应急技术处理协调中心陕西分中心 9CNVD 对漏洞的综合评级为“高危” 。根据国外研究者的分析结果，受漏洞和“the moon”蠕虫影响的 Linksys 路由器产品不仅包括 LinksysE 系列的E4200、E3200、E3000、E2500、E2100L、E2000、E1550、E1500、E1200、E1000、E900 和 E300，还包括其他系列的的WAG320N、WAP300N、WAP610N、WES610N、WET610N、WRT610N、WRT600N、WRT400N

16、、WRT320N、WRT160N 和 WRT150N。上述版本产品在企业及个人用户中应用较为广泛。根据 CNVD 和上海交通大学网络信息中心的联合监测结果，至2014 年 3 月 13 日，共检测发现到互联网上有近 2.5 个 IP 对应为所述 Linksys 路由器设备，位于美国、加拿大和中国的 IP 数量排名前三。三、漏洞处置建议目前，贝尔金公司尚未对上述漏洞及蠕虫情况发布针对性的补丁或升级程序，但在其官方网站上发布了防范攻击的指导性方法，主要步骤有：升级路由器固件版本至 2.0.04 版以上；通过路由器Web 管理界面，在“RemoteManagement Access”中将“Remot

17、e Management”设置为“Disable” ；在 Web 管理界面“Security”功能中，勾选上“Filter Anonymous Internet Request”选项。建议广大用户参考上述步骤进行加固，并随时关注厂商主页以获取最新版本或补丁信息。同时，建议国内路由器厂商排查本公司国家计算机网络应急技术处理协调中心陕西分中心 10产品，如产品有与上述 Linksys 产品代码同源的，需及时做好用户的安全响应工作。（三）Microsoft Word RTF 文件解析错误代码执行漏洞Microsoft Word 在解析畸形的 RTF 格式数据时存在错误导致内存破坏，使得攻击者能够执行

18、任意代码。当用户使用 Microsoft Word 受影响的版本打开恶意 RTF 文件，或者 Microsoft Word 是Microsoft Outlook 的 Email Viewer 时，用户预览或打开恶意的RTF 邮件信息，攻击者都可能成功利用此漏洞，从而获得当前用户的权限。值得注意的是，Microsoft Outlook 2007/2010/2013 默认的 Email Viewer 都是 Microsoft Word。该漏洞影响产品为 Microsoft SharePoint Server 2010 SP1、Microsoft Office Web Apps 2010 SP1、M

19、icrosoft Word 2007 null、Microsoft Word 2010 null、 Microsoft Office for Mac 2011 null、Microsoft Word 2003 null、Microsoft Office Compatibility Pack SP3、Microsoft Office Web Apps 2010 SP2、Microsoft SharePoint Server 2010 SP2、Microsoft Office Web Apps Server 2013 及 Microsoft Word 2013，属高危漏洞，CNVD-ID 为 CN

20、VD-2014-01932，CVE-ID 为 CVE-2014-1761。目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http:/ 插件 Duplicate Post duplicate-post-国家计算机网络应急技术处理协调中心陕西分中心 11admin.php用户登录 cookie 值 SQL 注入漏洞WordPress 是一种使用 PHP 语言开发的博客平台，用户可以在支持 PHP 和 MySQL 数据库的服务器上架设自己的网志。 WordPress 插件 Duplicate Post duplicate-post-admin.php

21、存在 SQL 注入漏洞。由于 uplicate-post-admin.php 未能正确过滤的用户提供的输入到用户登录 cookie 值，允许远程攻击者在后端数据库中注入或操纵 SQL 查询，允许任意数据的操纵或泄露。该漏洞影响产品为 WordPress Duplicate Post Plugin 2.5，属高危漏洞，CNVD-ID 为 CNVD-2014-01972。用户可联系供应商获得补丁信息： http:/wordpress.org/plugins/duplicate-post/changelog/（五）BlackBerry QNX Neutrino RTOS 权限提升漏洞QNX Neut

22、rino 实时操作系统是一种功能全面、运行稳健的操作系统。 BlackBerry QNX Neutrino RTOS 存在权限提升漏洞，允许本地用户通过提供任意程序名称作为命令行参数获得权限。该漏洞影响产品为 Blackberry qnx neutrino rtos 6.4.1、Blackberry qnx neutrino rtos 6.5.0 及 Blackberry qnx neutrino rtos 6.5.0 SP1，属高危漏洞，CNVD-ID 为 CNVD-2014-01882，CVE-ID 为 CVE-2014-2533。目前没有详细的解决方案提供： http:/（六）Cisco

23、 IOS Software IK3v2 模块拒绝服务漏洞国家计算机网络应急技术处理协调中心陕西分中心 12Cisco IOS 是多数思科系统路由器和网络交换机上使用的互联网络操作系统。 Cisco IOS 12.2、15.0-15.3、IOS XE 3.2-3.7、3.8-3.10 版本存在拒绝服务漏洞，远程攻击者通过特制的 IKEv2 数据包，利用此漏洞可造成拒绝服务（内存耗尽） 。该漏洞影响产品为 Cisco IOS 12.2，属高危漏洞，CNVD-ID 为CNVD-2014-02022，CVE-ID 为 CVE-2014-2108。Cisco 已经为此发布了一个安全公告（cisco-sa

24、-20140326-ikev2）以及相应补丁: http:/ Ethernet Switches 拒绝服务漏洞Huawei Ethernet Switches 是华为公司开发的交换机设备。 Huawei Ethernet Switches 在设备处理某些 Y.1731 报文时存在错误，允许攻击者利用漏洞提交特制的报文使设备重载。该漏洞影响产品为 Huawei S9300、HuaweiS2300/S3300/S5300 及 Huawei S6300，属高危漏洞，CNVD-ID 为 CNVD-2014-01858。用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞： http:/ iOSface

25、time 联系人信息泄露漏洞国家计算机网络应急技术处理协调中心陕西分中心 13Apple iOS 是一款运行在苹果 iPhone 和 iPod touch 设备上的最新的操作系统。 Apple iOS 处理失败的 Facetime 调用存在问题，允许物理能访问设备的攻击者可在锁屏下访问的 FaceTime 联系人信息。该漏洞影响产品为 Apple IOS 7.1，属高危漏洞，CNVD-ID为 CNVD-2014-01692，CVE-ID 为 CVE-2014-1274。目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： https:/（九）Samsung Proprietary

26、 软件 Android 后门未授权访问漏洞Samsung Galaxy 系列手机内的 proprietary 软件允许 Android读写删除手机内的任意文件，在实现上存在远程未授权访问漏洞，攻击者可利用该漏洞在受影响设备上执行任意 RFS 命令。该漏洞影响产品为 Samsung Galaxy 系列，属高危漏洞，CNVD-ID 为 CNVD-2014-01786。目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http:/ 本月活跃网络病毒情况活跃网络病毒 TOP5病毒名称 病毒特点Backdoor.Win32.Rbot.gcy（Rbot后门病毒）该病毒运行后将释放到系统目录

27、 system32 下，并设将自身置为开机自启动。病毒将监控用户的键盘操作，监视电脑的屏幕、摄像头，远程控制电脑，上传重要的系统信息至黑客指定服务器，用户电脑一旦中毒将面临隐私信息泄露、网银账密被盗、重要文件遭到破坏等风险。Trojan.win32.Generic.159735C0 该病毒运行后将在系统文件夹中创建文件，记录国家计算机网络应急技术处理协调中心陕西分中心 14（Generic木马病毒） 病毒文件运行次数，并将自身设置为开机自启动，后台连接黑客指定网址，频繁为广告网站刷取流量，同时病毒会篡改用户的浏览器首页，将其指向广告网址，并在桌面创建广告网站的快捷方式。用户电脑一旦中毒将出现网

28、络被大量占用，电脑运行缓慢等症状，严重者还会遭遇钓鱼网站的攻击。Backdoor.Win32.Spammy.d（Spammy后门病毒）该病毒运行后会搜索中毒电脑 Outlook 讯簿中的联系人列表和互联网资源管理器缓存文件中的电子邮件地址，并将该类信息发送至黑客指定服务器。除此之外，该病毒还会读取黑客预先放置在远程服务器上的文件，并按照该文件内容，向用户的联系人发送垃圾邮件。用户电脑一旦中毒，将会面临隐私信息泄露的风险，同时用户的亲友还有可能因此收到诈骗邮件。Trojan.Win32.Generic.12EB8C1E（Generic木马病毒）该病毒运行后自我复制至系统文件夹，并创建服务关联复制

29、后的病毒。一旦服务被启动，将释放一个恶意 DLL，当该 DLL 被加载后，病毒将启动CMD 进行自我删除。用户电脑一旦中毒，将面临隐私信息泄露、网银账密被盗等风险。Trojan.Win32.Mnless.suk（Mnless木马病毒）该病毒伪装成网络游戏的外挂程序引诱网民下载，病毒运行后修改注册表，将自身设置为开机自启动，并在系统目录下释放一个驱动文件，以规避杀毒软件的查杀及游戏客户端的自身监控。同时病毒会以开启外挂登录游戏为由，要求网民输入游戏账号及密码，网民一旦轻信，将面临游戏账号被盗的风险。表 1：活跃网络病毒 TOP54.3 本月恶意代码捕获和传播情况以下表 2 为中国反病毒联盟（AN

30、VA）近期监测发布的散布恶意代码的 URL，登陆这些 URL，会弹出下载指令，如点击下载，将使用户主机感染恶意程序。http:/162.212.180.51:58888/cpa/cpa.exehttp:/down.ytidc.org:88/down/45/av-104-4-对网站访问者造成不良影响;将会协助恶意网站(可能为钓鱼网站、反动网站、赌博网站等)提高搜索引擎排名，也意味着能被篡改页面。 网络仿冒：指通过构造与某一目标网站高度相似的页面（俗称钓鱼网站） ，并通常以垃圾邮件、即时聊天、手机短信或页面虚假国家计算机网络应急技术处理协调中心陕西分中心 28广告等方式发送声称来自于被仿冒机构的欺

31、骗性信息，诱骗用户访问钓鱼网站，以获取用户个人私密信息（如银行帐号和账户密码） 。 网页挂马：指通过破坏网页并植入恶意代码或链接，致使用户计算机在访问页面时被植入恶意代码。 网站后门：指黑客在网站的特定目录中上传远程控制页面从而能够通过该页面秘密远程控制网站服务器的攻击事件。 0Day：指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 APT 攻击：高级持续性威胁(Advanced Persistent Threat，APT)，APT 是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT 的攻击手法，在于隐匿自

32、己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在网络空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。 域名劫持：是通过拦截域名解析请求或篡改域名服务器上的数据，使得用户在访问相关域名时返回虚假 IP 地址或使用户的请求失败。 非授权访问：指没有访问权限的用户以非正当的手段访问数据信息。非授权访问事件一般发生在存在漏洞的信息系统中，黑客利用专门的漏洞利用程序（Exploit）开获取信息系统访问权限。国家计算机网络应急技术处理协调中心陕西分中心 29 路由劫持：路由劫持是通过欺骗方式更改路由信息，以导致用户无法访问正确的目标，或导致用户的访问流量绕行黑客设定的路径，以达到不正常的目的。