穆璐
第一,恶意程序
恶意程序捕获情况
恶意程序用户的感染
移动互联网恶意程序
第二,安全漏洞
三。拒绝服务攻击
国内目标受到高流量DDoS攻击
用于DDoS攻击的网络资源活动
四。网站安全
网页仿冒
网站后门
篡改网页
动词 (verb的缩写)云平台安全性
不及物动词工业控制系统的安全性
全面反映2021年上半年中国互联网在恶意程序传播、漏洞风险、DDoS攻击、网站安全等方面的情况。,CNCERT对2021年上半年的监测数据进行了整理,形成监测数据分析报告如下。第一,恶意程序恶意程序捕获情况2021年上半年,共捕获恶意程序样本约2307万个,日均传播次数达582万余次,涉及恶意程序家庭约20.8万个。根据传播来源统计,海外来源主要来自美国、印度和日本,具体分布如图1所示。国内货源主要来自河南省、广东省和浙江省。根据对攻击目标IP地址的统计,我国被恶意程序攻击的IP地址有近3048万个,占全国IP地址总数的7.8%。这些IP地址主要集中在广东、江苏、浙江三省。中国被恶意程序攻击的IP地址分布如图2所示。图1中国境外恶意程序传播源分布图2中国受恶意程序攻击的IP分布恶意程序用户的感染我国感染恶意计算机程序的主机数量约为446万台,同比增长46.8%。位于中国境外的大约49,000台计算机恶意软件控制服务器控制着中国大约410万台主机。就控制服务器所属的国家或地区而言,位于美国、越南和中国香港的控制服务器数量位列前三,分别约为7580台、3752台和2451台。具体分布如图3所示。就中国境内控制的主机数量而言,位于美国、中国香港和荷兰的控制服务器位列前三,分别控制中国境内约314.5万台、118.9万台和108.6万台主机,如图4所示。此外,根据CNCERT抽样监测数据,中国境外约12000个IPv6地址控制着中国境内约23000台IPv6地址主机。图3控制中国国内主机的外国计算机恶意软件控制服务器数量分布图4中国前10大主机所在的国家或地区从我国感染恶意程序的主机所属地区来看,主要分布在广东省、浙江省、江苏省等地区,如图5所示。在计算机恶意程序形成的僵尸网络中,主机规模在100台以上的有2307个,规模在10万台以上的有68个,如图6所示。CNCERT协调相关机构成功关闭259个控制规模较大的僵尸网络,有效控制了计算机恶意程序感染主机造成的危害。图5中国感染恶意计算机程序的主机数量按地区分布图6僵尸网络的规模分布移动互联网恶意程序通过自主抓取和厂商交换,共发现恶意移动互联网程序86.6万余个,同比下降47.0%。通过对恶意程序恶意行为的统计发现,排名前三的仍然是流氓行为、资费消耗和信息窃取,占比分别为47.9%、20.0%和19.2%,如图7所示。为有效防范移动互联网恶意程序危害,严控移动互联网恶意程序传播渠道,全国204家提供移动应用下载服务的平台下架25054个移动互联网恶意程序,有效防范移动互联网恶意程序危害,严控移动互联网恶意程序传播渠道。图7移动互联网恶意程序数量按行为属性统计。第二,安全漏洞国家信息安全漏洞共享平台收录一般安全漏洞13083个,同比增长18.2%。其中,高危漏洞数量为3719个,同比下降13.1%;“零日”漏洞数量为7107个,同比大幅增长55.1%。根据受影响对象的统计,前三位分别是应用程序漏洞、Web应用程序漏洞和操作系统漏洞,如图8所示。2021年上半年,CNVD共核实处理网络安全漏洞近1.8万个,涉及政府机构和重要信息系统。图8 CNVD包括根据受影响对象对安全漏洞的分类统计三。拒绝服务攻击
为降低DDoS攻击对我国基础网络和关键信息基础设施的威胁,CNCERT不断加强对国内目标大流量攻击的监测和跟踪分析,重点治理发现用于DDoS攻击的网络资源。国内目标受到高流量DDoS攻击CNCERT监测发现,国内目标遭受峰值流量超过1Gbps的大流量攻击,同比下降17.5%。主要攻击方式为TCP SYN Flood、UDP Flood、NTP Amplification、DNS Amplification、TCP ACK Flood和SSDP Amplification,六种攻击占96.1%。目标主要位于浙江省、山东省、江苏省、广东省、北京市、福建省、上海市等地区,这7个地区的事件占81.7%;1月是上半年的进攻高峰,进攻比较活跃;持续时间小于30分钟的攻击占比高达96.6%,且占比进一步上升,表明攻击者越来越倾向于使用大流量攻击来瞬间瘫痪目标。用于DDoS攻击的网络资源活动CNCERT通过对国内目标DDoS攻击来源的持续分析和追溯,定期发布用于DDoS攻击的网络资源,如控制终端、受控终端、反射服务器、伪造流量源路由器等,发布了《中国DDoS攻击资源季度分析报告》。,并进一步协调各单位处置。可用国内攻击资源的稳定性持续降低,使用的国内主动攻击资源数量保持在较低水平。通过监控共发现1455个用于发起DDoS攻击的主动控制终端,其中97.1%位于境外,主要来自美国、德国和荷兰。现役肉鸡71万余只,其中92.7%位于中国,主要来自广东、辽宁、江苏、福建、浙江等省。攻击服务器约395万台,其中80.7%位于国内,主要来自浙江、广东、辽宁、吉林、四川等省。与2020年上半年相比,中国各类攻击资源数量持续减少,中国主动控制终端数量减少60.4%,肉鸡数量减少40.1%,主动反射服务器数量减少40.9%。四。网站安全网页仿冒监测发现,全国假冒网站超过1.3万个。为有效防范网络钓鱼带来的危害,CNCERT重点处置金融、电信等行业假冒页面,协调关闭假冒页面8171个,同比增长31.2%。在已协同关闭的仿冒页面中,根据仿冒页面的ip地址归属,大部分位于境外。发现今年2月以来,各地农信社仿冒页面呈现爆发趋势,仿冒对象不断变化转移,IP地址主要位于境外。这些虚假页面频繁动态更换银行名称,多为新注册的域名,通过伪基站发送钓鱼短信进行传播。分析认为,通过此类仿冒页面,攻击者不仅可以获取受害者的个人敏感信息,还可以利用受害者的身份登录其手机银行系统进行转账或绑定第三方支付通道盗取资金。网站后门国内外8289个IP地址被植入国内约1.4万个网站的后门,国内被植入后门的网站数量较2020年上半年大幅减少62.4%。其中,有7867个海外IP地址被植入中国约1.3万个网站的后门,位于美国的IP地址最多,占海外IP地址总数的15.8%,其次是位于菲律宾和中国香港的IP地址,如图9所示。从控制中国网站总数来看,位于中国香港的IP地址控制中国网站数量最多,为3402个,其次是位于菲律宾和美国的IP地址,分别控制中国网站3098个和2271个。此外,以IPv6地址为攻击源和目标的网站后门事件486起,涉及攻击源IPv6地址114个,攻击IPv6地址解析网站域名78个。图9从境外向我国网站植入后门IP地址的国家或地区TOP10。篡改网页中国被篡改的网站近3.4万个,其中政府网站177个。从国内被篡改网页的顶级域名分布来看,。com,。net和。org仍然排在前三位,分别占总量的73.5%、5.4%和1.8%,如图10所示。图10中国顶级域名被篡改网站分布动词 (verb的缩写)云平台安全性我国云平台各类网络安全事件数量依然居高不下,其中云平台大流量DDoS攻击事件数量占国内目标大流量DDoS攻击事件数量的71.2%,植入后门网站数量占全国所有植入后门网站数量的87.1%,被篡改网站数量占全国所有被篡改网站数量的89.1%。同时,攻击者经常利用中国的云平台发动网络攻击。其中,以云平台为控制端发起的事件数占国内控制发起的事件数的51.7%,作为攻击跳板植入的后门链接数占国内攻击跳板植入的后门链接数的79.3%,木马和僵尸网络控制端控制的IP地址数占国内总数的65.1%,其携带的恶意程序数占国内互联网携带的恶意程序数的89.5%。不及物动词工业控制系统的安全性CNCERT监测发现中国存在大量暴露于互联网的工业控制设备和系统。其中,设备类型包括可编程逻辑控制器、串口服务器等。每种类型的分布如图11所示。高危漏洞系统涉及煤炭、石油、电力、城市轨道交通等重点行业,涵盖企业生产管理、企业经营、政府监管、工业云平台等。,如图12和图13所示。图11监控发现的联网工业设备类型统计图12监控发现的重点行业联网监控管理系统漏洞威胁统计图13监测发现的重点行业联网监控管理系统类型统计
点击:《2021年上半年中国互联网网络安全监测数据分析报告》
资料来源:CNCERT主编:王元
编辑:海清
