本周互联网网络安全态势整体评价为中。我国互联网基础设施运行平稳,全国范围或省级行政区域内未发生造成较大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、黑客恶意代码传播活动以及网页篡改。依据CNCERT抽样监测结果,境内被木马控制的主机IP地址数目为2.3万个,与前一周环比增长69%;境内被僵尸网络控制的主机IP地址数目为1.2万个,环比下降38%;境内被篡改政府网站数量为106个,环比下降27%。
一、本周重点网络安全事件
1、2月27日新华网温家宝总理与网民在线交流保障情况
在工业和信息化部通信保障局的指导下,CNCERT开展了新华网温家宝总理与网民在线交流保障工作。CNCERT对中国政府网和新华网从异常流量、域名服务、网页篡改、木马和僵尸网络等各个方面开展24小时连续监测,在线交流期间未发生大规模网络安全事件,网络安全态势整体平稳。
此外,2月26日CNCERT组织基础电信运营商、域名注册管理和服务机构对网上木马和僵尸网络开展了专项清理。在各单位的积极配合下,快速处理境内外控制服务器近100个。专项打击后,僵尸网络受控主机数大幅下降,有效保证了保障期间良好的网络环境。
2、境内政府网站被篡改情况
本周CNCERT监测发现,境内被篡改网站数量较上周增长8%,个别省部级政府网站位列其中。截至3月1日15时仍未恢复的被篡改的部分地市级以上(含地市级)政府部门网站如下表所示。
被篡改页面URL |
所属部门或地区 |
级别 |
http://ahcgw.ahinfo.gov.cn/index.asp |
安徽省 |
省部级 |
http://orac.hainan.gov.cn |
海南省 |
省部级 |
http://tiaoma.scbzhy.gov.cn/index.htm |
四川省 |
省部级 |
http://bzqts.gov.cn/index.htm |
安徽省亳州市 |
地市级 |
http://czqs.gov.cn/default.asp |
安徽省滁州市 |
地市级 |
http://www.chinahuangshan.gov.cn/NewFolder./1.asa |
安徽省黄山市 |
地市级 |
http://www.hsswhj.gov.cn/indonesia.txt |
安徽省黄山市 |
地市级 |
http://zwgk.ahsz.gov.cn/admin/NewFolder./1.asa |
安徽省宿州市 |
地市级 |
http://www.npswzzb.gov.cn/default.asp |
福建省南平市 |
地市级 |
http://lbj.maoming.gov.cn/help.asp |
广东省茂名市 |
地市级 |
http://mmgpc.maoming.gov.cn/help.asp |
广东省茂名市 |
地市级 |
http://swj.maoming.gov.cn/help.asp |
广东省茂名市 |
地市级 |
http://wsjd.maoming.gov.cn/help.asp |
广东省茂名市 |
地市级 |
http://www.cgb.lg.gov.cn/indonesia.txt |
广东省深圳市龙岗区 |
地市级 |
http://www.tj.lg.gov.cn/index.htm |
广东省深圳市龙岗区 |
地市级 |
http://www.szjs.gov.cn/index.htm |
广东省深圳市某局 |
地市级 |
http://beihaire.gov.cn/help.asp |
广西自治区北海市 |
地市级 |
http://cz.yindu.gov.cn/index.htm |
河南省安阳市 |
地市级 |
http://bm.yindu.gov.cn/index.htm |
河南省安阳市 |
地市级 |
http://rs.yindu.gov.cn/index.htm |
河南省安阳市 |
地市级 |
http://www.kfhb.gov.cn/indonesia.txt |
河南省开封市 |
地市级 |
http://tzb.hrbcs.gov.cn/index.htm |
黑龙江省哈尔滨市 |
地市级 |
http://www.hrbcs.gov.cn/indonesia.txt |
黑龙江省哈尔滨市 |
地市级 |
http://sdl.hrbcs.gov.cn/index.htm |
黑龙江省哈尔滨市 |
地市级 |
http://www.cznyw.gov.cn/default.asp |
湖南省郴州市 |
地市级 |
http://czradio.gov.cn/index.htm |
湖南省郴州市 |
地市级 |
http://cj.hnloudi.gov.cn/hex.htm |
湖南省娄底市 |
地市级 |
http://www.ccdrc.gov.cn/admin/jsinc/admin.asp |
吉林省长春市 |
地市级 |
http://www.lygda.gov.cn |
江苏省连云港市 |
地市级 |
http://lhzw.gov.cn/aspx.aspx |
江苏省南京市 |
地市级 |
http://wuliu.sqdmz.gov.cn/system_dntb/upload/ 201021121141667.txt |
江苏省宿迁市 |
地市级 |
http://www.jsyz-l-tax.gov.cn/index.html |
江苏省扬州市 |
地市级 |
http://www.yzjggw.gov.cn/indonesia.txt |
江苏省扬州市 |
地市级 |
http://zj.jssalt.gov.cn/default.asp |
江苏省镇江市 |
地市级 |
http://www.fszwgk.gov.cn/fushunxian/admin/aa./aa.asp |
辽宁省抚顺市 |
地市级 |
http://www.xqq.gov.cn/index.htm |
宁夏回族自治区银川市 |
地市级 |
http://www.qtx.gov.cn/help.asp |
宁夏自治区青铜峡市 |
地市级 |
http://wsj.qbj.gov.cn/index.htm |
四川省成都市 |
地市级 |
http://www.ybzj.gov.cn/indonesia.txt |
四川省宜宾市 |
地市级 |
http://www.tjhpfgj.gov.cn/indonesia.txt |
天津市和平区 |
地市级 |
http://jdk.gov.cn/default.asp |
浙江某省级开发区 |
地市级 |
二、本周活跃恶意域名
本周较为活跃的恶意域名如下表所示,其中,*.bij.pl、*.wwvv.us、*.3322.org等大量动态域名被黑客用作挂马源地址。通过对*.bij.pl、*.wwvv.us等恶意域名的命名规则进行分析发现,这些恶意域名为同一黑客或挂马集团所掌握,他们的惯用手法就是通过变换域名来规避打击。
adc.bij.pl、adf.bij.pl、adb.bij.pl、ada.bij.pl、aek.bij.pl、aen.bij.pl | |
vvvv.wwvv.us、w212.2.wwvv.us、wvw21.vv.wwvv.us、w324.vv.wwvv.us wwv2.8vv.wwvv.us、wvv23v.wwvv.us、v2.vv2.wwvv.us、vww32.vv.wwvv.us | |
web.nba1001.net |
nje8.cn、nje7.cn |
yoy.yoy.cn |
jzlxwhg.3322.org |
xm002.3322.org |
qjvod.3322.org |
注:根据华为、奇虎、知道创宇、启明星辰、安天等企业报送的网页挂马信息整理。
此外,一些网站由于安全管理措施不严或对用户上传的文件检查审核不严格,被黑客多次用作挂马跳转地址或上传恶意程序,用户访问其网站相关地址即被挂马。部分网站举例如下。
www.landuncctv.com |
南阳市蓝盾智能安防工程有限公司 |
bbs.xcdx169.net |
西昌之家论坛 |
game.hsw.cn |
华商网游戏频道 |
jkwd.xywy.com |
寻医问药网健康问答频道 |
www.oxkd.net |
新乡市偶像快递网 |
三、本周活跃恶意代码
名称 |
特点 |
Trojan.DL.PicFrame.a |
这是一个下载者病毒,利用浏览器查看图片文件解析漏洞进行传播。该病毒在JPG文件末尾附加了包含恶意网站链接的,由于iframe的width和height 都很小,用户极易在未察觉的情况下访问恶意网址。 |
Trojan.DL.Giframe.a |
这是一个下载者病毒,利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页,来控制用户连接到特定的包含恶意程序的网页。Windows图片查看器打开含有恶意代码的GIF文件不受影响。 |
Hack.Exploit.Script.JS.Agent.ju |
该病毒是一段加密病毒脚本,利用RealPlay播放器的溢出漏洞下载病毒文件进行执行和传播。病毒会将网页脚本加密成乱码字符,普通用户很难知道这是一段病毒代码。病毒通过调用RealPlayer组件,用病毒作者特定shellcode溢出,成功之后,就会打开病毒作者的下载地址,下载运行其他病毒。 |
Worm.Win32.MS08-067.c |
这是一个以微软系统MS08-067漏洞为主要传播手段的蠕虫病毒。另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表,会猜解网络中计算机的登录密码,通过局域网传播。 |
Trojan.Win32.ACAD.r |
该病毒采用Lisp语言编写,利用Autocad程序运行时感染其他Lisp脚本进行传播。病毒运行后会寻找acad.exe,获得Autocad的安装目录;使用遍历文件的方法在Autocad的安装目录下查找*.lsp文件和*.mnl文件,当用户打开这些文件时,病毒会将自身复制到文件尾,用户运行这些被感染的脚本文件时将感染其他的脚本文件。 |
注:根据瑞星等企业报送的恶意代码信息整理。
本周,利用操作系统及应用软件漏洞传播的恶意代码仍占较高比例。CNCERT提醒互联网用户一方面要加强系统漏洞修补加固,另一方面要加装安全防护软件。
四、本周重要安全漏洞
本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞信息。
1、IBM多个产品登录页面存在跨站脚本漏洞
IBM多个产品使用的WEB内容管理登录页面存在跨站脚本漏洞,攻击者可以通过钓鱼邮件等方式把URL发送给用户,用户解析此链接就可能执行注入脚本。攻击者成功利用该漏洞可劫持目标用户COOKIE会话,绕过安全验证获得用户敏感信息。
2、Linux Kernel 存在多个安全漏洞可导致本地拒绝服务攻击
Linux是一款开放源代码的操作系统。Linux Kernel存在多个安全漏洞,可能导致本地拒绝服务攻击。具体漏洞包括:Linux Kernel hda-intel驱动“azx_position_ok()”拒绝服务漏洞、Linux Kernel RTO(重传超时)远程拒绝服务漏洞、Linux Kernel TSB I-TLB装载本地特权提升漏洞和Linux Kernel PI Futex非法指针应用本地拒绝服务漏洞。
3、WebKit存在样式标签远程内存破坏漏洞
WebKit是一款开放源代码的web浏览器引擎。攻击者可以通过构建恶意WEB服务器,发送包含畸形超长字符串的CSS