2020年上半年我国互联网网络安全 监测数据分析报告 ERTICC 国家计算机网络应急技术处理协调中心 2020年9月
2020 年上半年我国互联网网络安全 监测数据分析报告 国家计算机网络应急技术处理协调中心 2020 年 9 月
日录 一、恶意程序. .-1 (一)计算机恶意程序捕获情况.… .-1 (二)计算机恶意程序用户感染情况 2 (三)移动互联网恶意程序… .-4 (四)联网智能设备恶意程序 5 二、安全漏洞 .-6 三、拒绝服务攻击 …-7- (一)攻击资源活跃情况 7- (二)境内大流量攻击情况 .8 (三)主流攻击平台活跃情况 8- 四、网站安全. .-9 (一)网页仿冒. -9 (二)网站后门.… 9- (三)网页篡改… -10- 五、云平台安全 .-11- 六、工业控制系统安全, .-12 (一)工业控制系统互联网侧暴露情况… .-12 (二)工业控制系统互联网侧威胁监测情况.… -13 ..-14 CNGERTT (三)工业控制产品安全漏洞情况…
目 录 一、恶意程序 ..........................................................................................................- 1 - (一)计算机恶意程序捕获情况.....................................................................- 1 - (二)计算机恶意程序用户感染情况 .............................................................- 2 - (三)移动互联网恶意程序.............................................................................- 4 - (四)联网智能设备恶意程序.........................................................................- 5 - 二、安全漏洞 ..........................................................................................................- 6 - 三、拒绝服务攻击...................................................................................................- 7 - (一)攻击资源活跃情况.................................................................................- 7 - (二)境内大流量攻击情况.............................................................................- 8 - (三)主流攻击平台活跃情况.........................................................................- 8 - 四、网站安全 ..........................................................................................................- 9 - (一)网页仿冒................................................................................................- 9 - (二)网站后门................................................................................................- 9 - (三)网页篡改..............................................................................................- 10 - 五、云平台安全 ....................................................................................................- 11 - 六、工业控制系统安全.........................................................................................- 12 - (一)工业控制系统互联网侧暴露情况........................................................- 12 - (二)工业控制系统互联网侧威胁监测情况................................................- 13 - (三)工业控制产品安全漏洞情况 ...............................................................- 14 -
为全面反映2020年上半年我国互联网在恶意程序传播、 漏洞风险、DDoS攻击、网站安全等方面的情况,CNCERT对 上半年监测数据进行了梳理,形成监测数据分析报告如下。 一、恶意程序 (一)计算机恶意程序捕获情况 2020年上半年,捕获计算机恶意程序样本数量约1,815 万个,日均传播次数达483万余次,涉及计算机恶意程序家族 约1.1万余个。按照传播来源统计,境外恶意程序主要来自美 国、塞舌尔和加拿大等,境外具体分布如图1所示;位于境内 的恶意程序主要来自浙江省、广东省和北京市等。按照目标 P统计,我国境内受计算机恶意程序攻击的P地址约4,208 万个,约占我国P总数的12.4%,这些受攻击的P地址主要 集中在山东省、江苏省、广东省、浙江省等,我国受计算机恶 意程序攻击的P分布情况如图2所示。 其他 日本 19.9% 阿根廷 1.6% 英国1.6% 1.8% 俄罗斯】 2.2% 德国。 2.2% 南非 2.5% 美国 中国香港 57.4% 加拿大塞舌尔 2.5% 2.9%5.4% 图1计算机恶意代码传播源位于境外分布情况
- 1 - 为全面反映 2020 年上半年我国互联网在恶意程序传播、 漏洞风险、DDoS 攻击、网站安全等方面的情况,CNCERT 对 上半年监测数据进行了梳理,形成监测数据分析报告如下。 一、恶意程序 (一)计算机恶意程序捕获情况 2020 年上半年,捕获计算机恶意程序样本数量约 1,815 万个,日均传播次数达 483 万余次,涉及计算机恶意程序家族 约 1.1 万余个。按照传播来源统计,境外恶意程序主要来自美 国、塞舌尔和加拿大等,境外具体分布如图 1 所示;位于境内 的恶意程序主要来自浙江省、广东省和北京市等。按照目标 IP 统计,我国境内受计算机恶意程序攻击的 IP 地址约 4,208 万个,约占我国 IP 总数的 12.4%,这些受攻击的 IP 地址主要 集中在山东省、江苏省、广东省、浙江省等,我国受计算机恶 意程序攻击的 IP 分布情况如图 2 所示。 图 1 计算机恶意代码传播源位于境外分布情况
山东 其他 9.2% 江苏 39.0% 8.1% 广东 7.3% 浙江 6.6% 河北 6.2% 山西 河南 3.4%北京 辽宁 四川 6.1% 4.5% 4.8% ●4.9% 图2我国受计算机恶意代码攻击的P分布情况 (二)计算机恶意程序用户感染情况 我国境内感染计算机恶意程序的主机数量约304万台,同 比增长25.7%。位于境外的约2.5万个计算机恶意程序控制服 务器控制我国境内约303万台主机。就控制服务器所属国家或 地区来看,位于美国、中国香港地区和荷兰的控制服务器数量 分列前三位,分别是约8,216个、1,478个和1,064个,具体 分布如图3所示;就所控制我国境内主机数量来看,位于美国、 荷兰和德国的控制服务器控制规模分列前三位,分别控制我国 境内约252万、127万和117万台主机,如图4所示。此外, 根据抽样监测数据发现,针对Pⅴ6网络的攻击情况也开始出 现,境外累计约1,200个Pv6地址的计算机恶意程序控制服 务器控制了我国境内累计约1.5万台Pv6地址主机。 -2-
- 2 - 图 2 我国受计算机恶意代码攻击的 IP 分布情况 (二)计算机恶意程序用户感染情况 我国境内感染计算机恶意程序的主机数量约 304 万台,同 比增长 25.7%。位于境外的约 2.5 万个计算机恶意程序控制服 务器控制我国境内约 303 万台主机。就控制服务器所属国家或 地区来看,位于美国、中国香港地区和荷兰的控制服务器数量 分列前三位,分别是约 8,216 个、1,478 个和 1,064 个,具体 分布如图 3 所示;就所控制我国境内主机数量来看,位于美国、 荷兰和德国的控制服务器控制规模分列前三位,分别控制我国 境内约 252 万、127 万和 117 万台主机,如图 4 所示。此外, 根据抽样监测数据发现,针对 IPv6 网络的攻击情况也开始出 现,境外累计约 1,200 个 IPv6 地址的计算机恶意程序控制服 务器控制了我国境内累计约 1.5 万台 IPv6 地址主机
其他 美国 34.7% 33.5% 韩国 2.2%印度 中国香港 2.6%法国 荷兰 6.0% 2.9%印尼巴西德国俄罗斯 4.3% 3.0%3.3% 3.7%3.8% 图3控制我国境内主机的境外木马僵尸网络控制端分布 ■控制境内主机规模 3000000 2500000 2000000 1500000 1000000 500000 0 德国 罗斯 法国 大 类国 罗马尼亚 克罗地亚 图4控制我国境内主机数量TOP10的国家或地区 从我国境内感染计算机恶意程序主机数量地区分布来看, 主要分布在江苏省(占我国境内感染数量的15.3%)人、浙江省 (占11.9%人、广东省(占11.6%)等,具体分布如图5所示。 在因感染计算机恶意程序而形成的僵尸网络中,规模在100 台主机以上的僵尸网络数量4,696个,规模在10万台以上的 僵尸网络数量16个,如图6所示。相关机构处置了45个控制 规模较大的僵尸网络,有效控制计算机恶意程序感染主机引发 -3-
- 3 - 图 3 控制我国境内主机的境外木马僵尸网络控制端分布 图 4 控制我国境内主机数量 TOP10 的国家或地区 从我国境内感染计算机恶意程序主机数量地区分布来看, 主要分布在江苏省(占我国境内感染数量的 15.3%)、浙江省 (占 11.9%)、广东省(占 11.6%)等,具体分布如图 5 所示。 在因感染计算机恶意程序而形成的僵尸网络中,规模在 100 台主机以上的僵尸网络数量 4,696 个,规模在 10 万台以上的 僵尸网络数量 16 个,如图 6 所示。相关机构处置了 45 个控制 规模较大的僵尸网络,有效控制计算机恶意程序感染主机引发
的危害。 其他 江苏 15.3% 22.2% 浙江 福建 11.9% 3.2% 河南 3.7% 四川 3.9% 辽宁 广东 11.6% 5.2% 江西 山东 6.6% 安徽 8.4% 7.9% 图5我国境内感染木马僵尸程序的主机数量按地区分布 1800 1600 1400 1200 1000 800 600 400 200 0 100- 1000- 5000L 1000 5000 20000 2-5万 5-10万 >10万 ■僵尸网络数目 1408 998 1676 527 71 16 图6僵尸网络的规模分布 (三)移动互联网恶意程序 通过自主捕获和厂商交换发现新增移动互联网恶意程序 163万余个,同比增长58.3%。通过对恶意程序的恶意行为统 计发现,排名前三的仍然是流氓行为类、资费消耗类和信息窃 取类,占比分别为36.5%、29.2%和15.1%。为有效防范移动互 联网恶意程序的危害,严格控制移动互联网恶意程序传播途径, 国内125家提供移动应用程序下载服务的平台下架812个移动 -4-
- 4 - 的危害。 图 5 我国境内感染木马僵尸程序的主机数量按地区分布 图 6 僵尸网络的规模分布 (三)移动互联网恶意程序 通过自主捕获和厂商交换发现新增移动互联网恶意程序 163 万余个,同比增长 58.3%。通过对恶意程序的恶意行为统 计发现,排名前三的仍然是流氓行为类、资费消耗类和信息窃 取类,占比分别为 36.5%、29.2%和 15.1%。为有效防范移动互 联网恶意程序的危害,严格控制移动互联网恶意程序传播途径, 国内125家提供移动应用程序下载服务的平台下架812个移动
互联网恶意程序,有效防范移动互联网恶意程序危害,严格控 制移动互联网恶意程序传播途径。 近年来,我国逐步加大对应用商店、应用程序的安全管理 力度,要求应用商店对上架App的开发者进行实名审核,对 App进行安全检测和内容版权审核等,使得互联网黑产应用商 店传播恶意App的难度明显增加。但同时,能够逃避监管并 实现不良目的的“擦边球”式灰色应用却有所增长,例如:具 有钓鱼目的、欺诈行为的仿冒App成为黑产的重要工具,持 续对金融、交通、电信等重要行业的用户形成较大威胁。2020 年上半年,通过自主监测和投诉举报方式发现新出现的仿冒 App下载链接180个。这些仿冒App具有容易复制、版本更 新频繁、蹭热点快速传播等特点,主要集中在仿冒公检法、银 行、社交软件、支付软件、抢票软件等热门应用上,仿冒方式 以仿冒名称、图标、页面等内容为主,具有很强的欺骗性。目 前,由于开发者在应用商店申请App上架前,需提交软件著 作权等证明材料,因此仿冒App很难在应用商店上架,其流 通渠道主要集中在网盘、云盘、广告平台等其他线上传播渠道。 (四)联网智能设备恶意程序 目前活跃在智能设备上的恶意程序家族超过15种,包括 Mirai、Gafgyt、Dofloo、Tsunami、Hajime、MrBlack、Mozi、 PinkPot等。这些恶意程序一般通过漏洞、暴力破解等途径入 侵和控制智能设备。遭入侵控制后,联网智能设备存在用户信 -5-
- 5 - 互联网恶意程序,有效防范移动互联网恶意程序危害,严格控 制移动互联网恶意程序传播途径。 近年来,我国逐步加大对应用商店、应用程序的安全管理 力度,要求应用商店对上架 App 的开发者进行实名审核,对 App 进行安全检测和内容版权审核等,使得互联网黑产应用商 店传播恶意 App 的难度明显增加。但同时,能够逃避监管并 实现不良目的的“擦边球”式灰色应用却有所增长,例如:具 有钓鱼目的、欺诈行为的仿冒 App 成为黑产的重要工具,持 续对金融、交通、电信等重要行业的用户形成较大威胁。2020 年上半年,通过自主监测和投诉举报方式发现新出现的仿冒 App 下载链接 180 个。这些仿冒 App 具有容易复制、版本更 新频繁、蹭热点快速传播等特点,主要集中在仿冒公检法、银 行、社交软件、支付软件、抢票软件等热门应用上,仿冒方式 以仿冒名称、图标、页面等内容为主,具有很强的欺骗性。目 前,由于开发者在应用商店申请 App 上架前,需提交软件著 作权等证明材料,因此仿冒 App 很难在应用商店上架,其流 通渠道主要集中在网盘、云盘、广告平台等其他线上传播渠道。 (四)联网智能设备恶意程序 目前活跃在智能设备上的恶意程序家族超过 15 种,包括 Mirai、Gafgyt、Dofloo、Tsunami、Hajime、MrBlack、Mozi、 PinkPot 等。这些恶意程序一般通过漏洞、暴力破解等途径入 侵和控制智能设备。遭入侵控制后,联网智能设备存在用户信
息和设备数据被窃、硬件设备遭控制和破坏、设备被用作跳板 对内攻击内网其他主机或对外发动DDoS攻击等安全威胁和 风险。 上半年,发现智能设备恶意程序样本约126万余个,其中 大部分属于Mirai家族和Gafgyt家族,占比超过96.O%。服务 端传播源P地址5万余个,我国境内疑似受感染智能设备P 地址数量约92万个,与2019上半年相比基本持平,主要位于 浙江省、江苏省、安徽省、山东省、辽宁省等地。被控联网智 能设备日均向1千余个目标发起DDoS攻击,与2019年上半 年相比也基本持平。 二、安全漏洞 国家信息安全漏洞共享平台(CNVD)收录通用型安全漏 洞11,073个,同比大幅增长89.0%。其中,高危漏洞收录数 量为4,280个(占38.7%),同比大幅增长108.3%,“零日”漏 洞收录数量为4,582个(占41.4%),同比大幅增长80.7%。安 全漏洞主要涵盖的厂商或平台为谷歌(Google)、WordPress、 甲骨文(Oracle)等。按影响对象分类统计,排名前三的是应 用程序漏洞(占48.5%)人、Wb应用漏洞(占26.5%)、操作系 统漏洞(占10.0%),如图7所示。2020年上半年,CNVD处 置涉及政府机构、重要信息系统等网络安全漏洞事件近1.5 万起。 -6-
- 6 - 息和设备数据被窃、硬件设备遭控制和破坏、设备被用作跳板 对内攻击内网其他主机或对外发动 DDoS 攻击等安全威胁和 风险。 上半年,发现智能设备恶意程序样本约 126 万余个,其中 大部分属于 Mirai 家族和 Gafgyt 家族,占比超过 96.0%。服务 端传播源 IP 地址 5 万余个,我国境内疑似受感染智能设备 IP 地址数量约 92 万个,与 2019 上半年相比基本持平,主要位于 浙江省、江苏省、安徽省、山东省、辽宁省等地。被控联网智 能设备日均向 1 千余个目标发起 DDoS 攻击,与 2019 年上半 年相比也基本持平。 二、安全漏洞 国家信息安全漏洞共享平台(CNVD)收录通用型安全漏 洞 11,073 个,同比大幅增长 89.0%。其中,高危漏洞收录数 量为 4,280 个(占 38.7%),同比大幅增长 108.3%,“零日”漏 洞收录数量为 4,582 个(占 41.4%),同比大幅增长 80.7%。安 全漏洞主要涵盖的厂商或平台为谷歌(Google)、WordPress、 甲骨文(Oracle)等。按影响对象分类统计,排名前三的是应 用程序漏洞(占 48.5%)、Web 应用漏洞(占 26.5%)、操作系 统漏洞(占 10.0%),如图 7 所示。2020 年上半年,CNVD 处 置涉及政府机构、重要信息系统等网络安全漏洞事件近 1.5 万起
智能设备漏洞 数据库漏洞 1.0% 应用程序漏洞 2.4% 48.5% 安全产品漏洞 2.6% 网络设备漏洞 9.0% 操作系统漏洞 10.0% web应用漏洞 26.5% 图7CNVD收录安全漏洞按影响对象分类统计 三、拒绝服务攻击 因攻击成本低、攻击效果明显等特点,DDoS攻击仍然是 互联网用户面临的最常见、影响较大的网络安全威胁之一。抽 样监测发现,我国每日峰值流量超过10Gbps的大流量DDoS 攻击事件数量与2019年基本持平,约220起。 (一)攻击资源活跃情况 经过持续监测分析与处置,可被利用的DDoS攻击资源稳 定性降低,可利用活跃资源数量被控制在较低水平。累计监测 发现用于发起DDoS攻击的活跃C&C控制服务器2,379台, 其中位于境外的占比95.5%,主要来自美国、荷兰、德国等; 活跃的受控主机约122万台,其中来自境内的占比90.3%,主 要来自江苏省、广东省、浙江省、山东省、安徽省等;反射攻 击服务器约801万台,其中来自境内的占比67.4%,主要来自 辽宁省、浙江省、广东省、吉林省、黑龙江省等。 -7
- 7 - 图 7 CNVD 收录安全漏洞按影响对象分类统计 三、拒绝服务攻击 因攻击成本低、攻击效果明显等特点,DDoS 攻击仍然是 互联网用户面临的最常见、影响较大的网络安全威胁之一。抽 样监测发现,我国每日峰值流量超过 10Gbps 的大流量 DDoS 攻击事件数量与 2019 年基本持平,约 220 起。 (一)攻击资源活跃情况 经过持续监测分析与处置,可被利用的 DDoS 攻击资源稳 定性降低,可利用活跃资源数量被控制在较低水平。累计监测 发现用于发起 DDoS 攻击的活跃 C&C 控制服务器 2,379 台, 其中位于境外的占比 95.5%,主要来自美国、荷兰、德国等; 活跃的受控主机约 122 万台,其中来自境内的占比 90.3%,主 要来自江苏省、广东省、浙江省、山东省、安徽省等;反射攻 击服务器约 801 万台,其中来自境内的占比 67.4%,主要来自 辽宁省、浙江省、广东省、吉林省、黑龙江省等
(二)境内大流量攻击情况 在监测发现境内峰值流量超过10Gbps的大流量攻击事件 中,主要攻击方式仍然是TCP SYN Flood、NTP Amplification、 SSDP Amplification、DNS Amplification和UDP Flood,以上五 种攻击占比达到82.9%。为躲避溯源,攻击者倾向于使用这些 便于隐藏攻击源的攻击方式,并会根据攻击目标防护情况灵活 组合攻击流量,混合型攻击方式占比为16.4%。此外,随着近 年来“DDoS即服务”黑产模式猖獗,攻击者倾向于使用大流 量攻击将攻击目标网络瞬间瘫痪,DDoS攻击时长小于半小时 的攻击占比达81.5%,攻击目标主要位于浙江省、江苏省、福 建省、山东省、广东省、北京市等,占比高达81.1%。 (三)主流攻击平台活跃情况 通过持续监测和跟踪DDoS攻击平台活跃情况发现,网页 DDoS攻击平台以及利用Gafgyt、Mirai、Xor、BillGates、Mayday 等僵尸网络家族发起攻击仍持续活跃,发起DDOS攻击事件较 多。作为“DDoS即服务”黑产模式之一的网页DDoS攻击平 台,因其直接面向用户提供服务,可由用户按需自主发起攻击, 极大降低了发起DDoS攻击难度,导致DDoS攻击进一步泛滥。 监测发现,由网页DDoS攻击平台发起的DDoS攻击事件数量 最多,同比2019年上半年增加32.2%。当前互联网上大量活 跃的缺乏安全防护的物联网设备,为DDoS攻击平台猖獗发展 提供了大量被控资源,导致DDoS攻击事件一直高居不下。 -8-
- 8 - (二)境内大流量攻击情况 在监测发现境内峰值流量超过 10Gbps 的大流量攻击事件 中,主要攻击方式仍然是 TCP SYN Flood、NTP Amplification、 SSDP Amplification、DNS Amplification 和 UDP Flood,以上五 种攻击占比达到 82.9%。为躲避溯源,攻击者倾向于使用这些 便于隐藏攻击源的攻击方式,并会根据攻击目标防护情况灵活 组合攻击流量,混合型攻击方式占比为 16.4%。此外,随着近 年来“DDoS 即服务”黑产模式猖獗,攻击者倾向于使用大流 量攻击将攻击目标网络瞬间瘫痪,DDoS 攻击时长小于半小时 的攻击占比达 81.5%,攻击目标主要位于浙江省、江苏省、福 建省、山东省、广东省、北京市等,占比高达 81.1%。 (三)主流攻击平台活跃情况 通过持续监测和跟踪 DDoS 攻击平台活跃情况发现,网页 DDoS 攻击平台以及利用 Gafgyt、Mirai、Xor、BillGates、Mayday 等僵尸网络家族发起攻击仍持续活跃,发起 DDoS 攻击事件较 多。作为“DDoS 即服务”黑产模式之一的网页 DDoS 攻击平 台,因其直接面向用户提供服务,可由用户按需自主发起攻击, 极大降低了发起DDoS攻击难度,导致DDoS攻击进一步泛滥。 监测发现,由网页 DDoS 攻击平台发起的 DDoS 攻击事件数量 最多,同比 2019 年上半年增加 32.2%。当前互联网上大量活 跃的缺乏安全防护的物联网设备,为 DDoS 攻击平台猖獗发展 提供了大量被控资源,导致 DDoS 攻击事件一直高居不下