CNCERT发布《2021年上半年我国互联网网络安全监测数据分析报告》
目 录
一、恶意程序
为全面反映2021年上半年我国互联网在恶意程序传播、漏洞风险、DDoS攻击、网站安全等方面的情况,CNCERT对上半年监测数据进行了梳理,形成监测数据分析报告如下。
一、恶意程序
(一)恶意程序捕获情况
2021年上半年,捕获恶意程序样本数量约2,307万个,日均传播次数达582万余次,涉及恶意程序家族约20.8万个。按照传播来源统计,境外来源主要来自美国、印度和日本等,具体分布如图1所示;境内来源主要来自河南省、广东省和浙江省等。按照攻击目标IP地址统计,我国境内受恶意程序攻击的IP地址近3,048万个,约占我国IP地址总数的7.8%,这些受攻击的IP地址主要集中在广东省、江苏省、浙江省等地区,我国受恶意程序攻击的IP地址分布情况如图2所示。
(二)计算机恶意程序用户感染情况
我国境内感染计算机恶意程序的主机数量约446万台,同比增长46.8%。位于境外的约4.9万个计算机恶意程序控制服务器控制我国境内约410万台主机。就控制服务器所属国家或地区来看,位于美国、越南和中国香港地区的控制服务器数量分列前三位,分别是约7,580个、3,752个和2,451个,具体分布如图3所示;就所控制我国境内主机数量来看,位于美国、中国香港地区和荷兰的控制服务器控制规模分列前三位,分别控制我国境内约314.5万、118.9万和108.6万台主机,如图4所示。此外,根据CNCERT抽样监测数据,境外约1.2万个IPv6地址控制了我国境内约2.3万台IPv6地址主机。
从我国境内感染计算机恶意程序主机所属地区看,主要分布在广东省(占我国境内感染数量的12.2%)、浙江省(占11.0%)、江苏省(占8.0%)等地区,如图5所示。在因感染计算机恶意程序而形成的僵尸网络中,规模在100台主机以上的僵尸网络数量2,307个,规模在10万台以上的僵尸网络数量68个,如图6所示。CNCERT协调相关机构成功关闭259个控制规模较大的僵尸网络,有效控制计算机恶意程序感染主机引发的危害。
(三)移动互联网恶意程序
通过自主捕获和厂商交换发现新增移动互联网恶意程序86.6万余个,同比下降47.0%。通过对恶意程序的恶意行为统计发现,排名前三的仍然是流氓行为类、资费消耗类和信息窃取类,占比分别为47.9%、20.0%和19.2%,如图7所示。为有效防范移动互联网恶意程序的危害,严格控制移动互联网恶意程序传播途径,累计协调国内204家提供移动应用程序下载服务的平台下架25,054个移动互联网恶意程序,有效防范移动互联网恶意程序危害,严格控制移动互联网恶意程序传播途径。
二、安全漏洞
国家信息安全漏洞共享平台(CNVD)收录通用型安全漏洞13,083个,同比增长18.2%。其中,高危漏洞收录数量为3,719个(占28.4%),同比减少13.1%;“零日”漏洞收录数量为7,107个(占54.3%),同比大幅增长55.1%。按影响对象分类统计,排名前三的是应用程序漏洞(占46.6%)、Web应用漏洞(占29.6%)、操作系统漏洞(占6.0%),如图8所示。2021年上半年,CNVD验证和处置涉及政府机构、重要信息系统等网络安全漏洞事件近1.8万起。
三、拒绝服务攻击
为降低DDoS攻击对我国基础网络和关键信息基础设施的威胁,CNCERT持续加强对境内目标遭大流量攻击情况的监测跟踪分析,针对所发现的被用于进行DDoS攻击的网络资源重点开展治理。
(一)境内目标遭大流量DDoS攻击情况
CNCERT监测发现,境内目标遭受峰值流量超过1Gbps的大流量攻击事件同比减少17.5%,主要攻击方式为TCP SYN Flood、UDP Flood、NTP Amplification、DNS Amplification、TCP ACK Flood和SSDP Amplification,这6种攻击的事件占比达到96.1%;攻击目标主要位于浙江省、山东省、江苏省、广东省、北京市、福建省、上海市等地区,这7个地区的事件占比达到81.7%;1月份是上半年攻击最高峰,攻击较为活跃;攻击时长不超过30分钟的攻击事件占比高达96.6%,比例进一步上升,表明攻击者越来越倾向于利用大流量攻击瞬间打瘫攻击目标。
(二)被用于进行DDoS攻击的网络资源活跃情况
CNCERT通过开展对境内目标遭大流量DDoS攻击事件的持续分析溯源,发布《我国DDoS攻击资源季度分析报告》,定期公布控制端、被控端、反射服务器、伪造流量来源路由器等被用于进行DDoS攻击的网络资源(以下简称“攻击资源”)情况,并进一步协调各单位处置,境内可被利用的攻击资源稳定性继续降低,被利用的活跃境内攻击资源数量控制在较低水平。累计监测发现用于发起DDoS攻击的活跃控制端1,455台,其中位于境外的占比97.1%,主要来自美国、德国和荷兰等;活跃肉鸡71万余台,其中位于境内的占比92.7%,主要来自广东省、辽宁省、江苏省、福建省、浙江省等;反射攻击服务器约395万余台,其中位于境内的占比80.7%,主要来自浙江省、广东省、辽宁省、吉林省、四川省等。与2020年上半年相比,境内各类攻击资源数量持续减少,境内活跃控制端数量同比减少60.4%、肉鸡数量同比减少40.1%、活跃反射服务器同比减少40.9%。
四、网站安全
(一)网页仿冒
(二)网站后门
境内外8,289个IP地址对我国境内约1.4万个网站植入后门,我国境内被植入后门的网站数量较2020年上半年大幅减少62.4%。其中,有7,867个境外IP地址(占全部IP地址总数的94.9%)对境内约1.3万个网站植入后门,位于美国的IP地址最多,占境外IP地址总数的15.8%,其次是位于菲律宾和中国香港地区的IP地址,如图9所示。从控制我国境内网站总数来看,位于中国香港地区的IP地址控制我国境内网站数量最多3,402个,其次是位于菲律宾和美国的IP地址,分别控制我国境内3,098个和2,271个网站。此外,攻击源、攻击目标为IPv6地址的网站后门事件有486起,共涉及攻击源IPv6地址114个、被攻击的IPv6地址解析网站域名累计78个。
(三)网页篡改
我国境内遭篡改的网站有近3.4万个,其中被篡改的政府网站有177个。从境内被篡改网页的顶级域名分布来看,占比分列前三位的仍然是“.com”“.net”和“.org”,分别占总数的73.5%、5.4%和1.8%,如图10所示。
图10 境内被篡改网站按顶级域名分布
五、云平台安全
六、工业控制系统安全
CNCERT监测发现境内大量暴露在互联网的工业控制设备和系统。其中,设备类型包括可编程逻辑控制器、串口服务器等,各类型分布如图11所示;存在高危漏洞的系统涉及煤炭、石油、电力、城市轨道交通等重点行业,覆盖企业生产管理、企业经营管理、政府监管、工业云平台等,如图12、图13所示。
图12 监测发现的重点行业联网监控管理系统的漏洞威胁统计
图13 监测发现的重点行业联网监控管理系统类型统计
来源:中国信息安全