行业监管
Industry management
网络信息安全当前位置:首页 > 行业监管 > 互联网管理 > 网络信息安全
2017年上半年黑龙江省网络安全监测报告
更新时间:2017-09-15 来源:黑龙江省通信管理局

2017 年1~6月,我省互联网基础设施运行总体平稳,骨干网各项监测指标正常。木马僵尸网络、飞客蠕虫病毒、网站类攻击、拒绝服务攻击等是我省重要信息系统和互联网用户面临的最主要的网络安全威胁。部分数据如下:

(1)互联网主机安全情况。上半年我省感染木马或僵尸程序病毒的主机IP数量为174040个;我省被利用作为木马或僵尸程序控制端服务器的IP数量为1981个;我省感染飞客蠕虫病毒的主机IP数量为31594个。

(2)网站安全情况。第二季度监测发现我省被篡改网站为143个;被黑客植入网页后门的网站为379个。

上半年互联网网络安全监测数据分析

我省互联网主机安全状况分析

国家计算机网络应急处理协调中心黑龙江分中心对互联网主机易感染的木马、僵尸程序、飞客蠕虫病毒进行了持续的监测和分析。上半年从感染病毒的主机在省内分布来看,哈尔滨、大庆等地市感染病毒数量较大,从控制我省互联网主机的境外病毒控制端分布来看,美国、韩国等国家或地区是主要发源地;从网络病毒的类型分析,主要以远控、盗号木马居多。

1我省互联网主机感染木马、僵尸程序情况

(1)我省木马、僵尸程序受控端情况

上半年监测发现我省共有174040个IP地址对应的主机被其他国家或地区通过木马或僵尸程序秘密控制。各月所占全国比例如图1所示。

(2)我省木马、僵尸程序控制端情况

上半年,监测发现我省共有1981个IP地址对应的主机作为木马、僵尸程序控制端与其他国家或地区进行通信,如图2所示。


2.我省互联网主机感染飞客蠕虫病毒情况

上半年,监测发现我省共有31594个IP地址对应的主机感染飞客蠕虫病毒,上半年所占全国比例如图3所示。

我省网站安全状况分析

1.我省网页篡改事件

上半年,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省89个网站被篡改,其中7个政府网站网址遭到篡改,占全省篡改总数的比例如图4所示。

2.我省网页后门事件

上半年,国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省遭后门攻击网站129个,如图5所示。

3.其他公共网络环境安全情况

2017年1~6月,国家信息安全漏洞共享平台共收集整理并公开发布信息安全漏洞6653个,其中0day漏洞1480个,高危漏洞2578个。

重大安全事件回顾

“永恒之蓝”事件回顾

上半年,影响及关注最广的网络安全事件非“永恒之蓝”莫属,这次事件在广大网民真切的感受到网络安全距离每个人如此之近的同时,再次表明个人信息安全是一件不容忽视的事情。

1.事件概述:北京时间 2017 年 5 月 12 日,全球爆发大规模勒索软件感染事件,截止到目前,全球已有至少 100 多个国家和地区的上万台电脑受到感染,我国是此次蠕虫事件受感染的重灾区。目前,我国已有多个行业企业内网大规模受到感染,教育网受损尤为严重。

经过分析,这是一起勒索软件与高危漏洞相结合的恶性蠕虫传播事件,其严重性不亚于当年的“冲击波”“震荡波”病毒。勒索软件为最新的“ wannacry”的家族,目前尚无法对加密后的文件进行解密,中招后只能重装系统或向黑客支付赎金解决。此次“ wannacry”勒索蠕虫疯狂传播的原因是借助了前不久泄露的 Equation Group(方程式组织)的“ EternalBlue(永恒之蓝)”漏洞利用工具的代码。该工具利用了微软今年3月份修补的 MS17-010 SMB 协议远程代码执行漏洞,该漏洞可影响主流的绝大部分Windows 操作系统版本。

2.影响范围:MS17-010 漏洞主要影响以下操作系统:Windows 2000, Windows 2003,Windows XP, Windows Vista, Windows7, Windows8, Windows10, Windows2008,Windows2012。由于 EternalBlue 的利用代码主要WindowsXP 以及 Windows7, 2008,因此此次事件对于 Windows XP、Windows 7、Windows2008 的影响更为严重。上述 Win7及以上操作系统只要打开了 445 端口且没有安装 MS17-010 的机器则确认会受到影响。(注: 以下设备不受影响:安卓手机, iOS 设备, MacOS 设备, *nix 设备、 Win10 用户如果已经开启自动更新不受影响。)

3.核心结论:勒索攻击名为“wannacry、 ONION、 Wncry”是早前披露 NSA 黑客武器库泄漏的“永恒之蓝”发起的攻击事件,目前无法解密该勒索软件加密的文件。磁盘感染后,文件会被加密为.onion 后缀,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。攻击行为会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,攻击者就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

由于以前国内多次爆发利用 445 端口传播的蠕虫,部分运营商在主干网络上封禁了445 端口,但是教育网并没有此限制,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前此蠕虫在教育网内大量传播,大概量级是每天5000 个用户中招。

该勒索攻击迅速感染的原因是利用了基于445端口传播扩散“SMB 漏洞 MS17-101”,微软在今年 3 月份发布了该漏洞的补丁,补丁链接下:https://technet.microsoft.com/zh-cn/library/security/MS17-010尽管这次事件带来的损失可能十分惨痛,但能够警醒所有信息管理者,这种后果严重的大规模灾难本质上是一种浅层次风险造成的后果,相对更为深度、隐蔽风险,这些浅层次风险有效完善的纵深防御体系和执行能力更是日常信息安全工作的重中重。

关闭