网络安全态势

海南省网络安全通报2018年第3期

作者: 网络安全管理处 来源: 海南互联网应急中心《网络安全通报》 日期:2018-04-25 18:22:44 浏览:

一、我省本月网络安全总体情况

3月,监测发现我省网络安全漏洞46起;被境外控制的木马僵尸受控主机数量为6146个,较上月5876个增加了4.59%,列全国第22位;木马僵尸控制服务器数量为11个,较上月10个增加了10%,列全国第25位。每日互联网流量最高值为4096G,最低值252G,未发现流量明显异常情况。我省重要信息系统部门或网站被攻击数量未见明显改善,部分政府网站或系统存在被攻击痕迹或被植入后门的现象依然存在,需引起政府和重要信息系统部门高度重视。

二、本月网络安全工作动态

1.互联网网络安全信息通报工作动态

国家计算机网络应急技术处理协调中心海南分中心(简称海南互联网应急中心),由海南省通信管理局授权,负责收集、汇总、分析和发布本省互联网网络安全信息工作。

3月,海南互联网应急中心共接收各基础运营企业、增值运营企业、网络安全企业等信息通报工作成员单位提供的网络安全月度信息汇总10份。各运营企业相关网络安全责任人应密切关注本单位运营网络的安全情况,积极做好网络安全事件信息报送工作。

2.开展木马僵尸感染主机清理工作

3月,海南互联网应急中心共向各运营企业下发了2206条感染僵尸木马的IP数据,3条僵尸木马病毒控制端IP数据,1234条感染蠕虫病毒的IP数据;网站漏洞数据46条。各企业积极配合并进行了处置。海南互联网应急中心针对各企业反馈涉事单位建立了重点单位监测表,进行每日监测,对监测发现的感染情况及时进行通报,并建立联系人机制,提高处置效率。

3.手机病毒处理工作

3月,海南互联网应急中心协调运营企业处置手机病毒167条。运营企业通过短信提醒、免费客户服务热线、网上营业厅或门户网站公告等方式,及时向用户推送手机病毒感染信息和病毒查杀方法及工具,帮助用户了解手机病毒危害及引导用户清除手机病毒,并在手机病毒处置过程中特别注意保护用户隐私。同时,将手机病毒处置结果、用户投诉等情况通报我中心。

4.自主发现网络安全事件处置情况

海南互联网应急中心通过国家中心系统平台,自主监测发现并处理了一些被植入后门和被篡改网页的网络安全事件,经过验证后向相关单位报送网络安全通报,并协助处理。其中:漏洞事件46起,恶意代码事件45起,其它网络安全事件1起

三、本月安全要闻回顾

远程桌面协议 CredSSP 出现漏洞,影响所有版本的Windows

HackerNews.cc3月14日消息 RDP 和 WInRM 中使用的CredSSP 协议(安全加密 Windows 用户远程登录过程)中出现严重漏洞,影响所有版本的 Windows。

远程攻击者额可以利用这个漏洞,使用RDP 和 WinRM 窃取数据并运行恶意代码。这个漏洞由网络安全公司 Preempt Security 发现,编号为 CVE-2018-0886,是一个逻辑加密漏洞,可被中间人攻击者利用,通过 WiFi 或物理接触网络来窃取 session 认证数据,发起远程进程调用攻击。如果用户和服务器通过 RDP 和 WinRM 连接协议进行认证,中间人攻击就能执行远程命令,入侵企业网络。而由于 RDP 是远程登录中最常用的应用,几乎所有企业用户都在使用,因此,这个漏洞可造成大范围影响。

目前,微软已经发布相关更新补丁,用户应尽快下载更新,同时可以禁用 RDP 等相关应用端口,尽可能少使用特权账户,多使用非特权账户。

附:本月报送和监测的数据导读

附1:网络安全信息报送情况

3月,海南互联网应急中心处理及或向本地区各信息通报工作成员单位报送的网络安全事件共3620起。各类事件信息详细分类统计分别如表1和表2所示。(注:此统计全包括海南互联网应急中心通报数据,另包括企业自查数据)

附2:木马僵尸监测数据分析

1、木马僵尸受控主机的数量和分布

20183月,CNCERT监测发现我国大陆地区424012IP地址对应的主机被其他国家或地区通过木马程序秘密控制,与上月的287449个相比增加了47.51%,其分布情况如图1所示。其中,海南省6146个(占全国1.45%),全国排名第22位。

2、木马僵尸控制服务器的数量和分布

20183月,CNCERT监测发现我国大陆地区2259IP地址对应的主机被利用作为木马控制服务器,与上月的1660 个相比增加了36.08%,其分布情况如图2所示。其中,海南省11个(占全国0.49%),全国排名第25位。

3、境外木马控制服务器的数量和分布

20183月,CNCERT监测发现秘密控制我国大陆计算机的境外木马控制服务器IP15304个,与上月的7341个相比增加了108.47%,主要来自美国、越南、日本等国家,具体分布如图3所示。

4、木马僵尸网络规模分布

20183月,在CNCERT监测发现的僵尸网络中,规模大于5000的僵尸网络有31个,规模在1001000的有335个,规模在10005000的有81个,分布情况如图4所示。

附3、境内被植入后门的网站按地区分布

20183月,CNCERT监测发现我国大陆地区2858个网站被植入后门程序,比上月1718个增加了66.36%其分布情况如图5所示。其中,海南省2个(占全国0.07%),全国排名第28位。

附4、网页篡改监测数据分析

20183月,CNCERT监测发现我国大陆地区被篡改网站2559个,与上月的3678个相比减少了30.42%;其中,海南省5个(占全国0.20%),排名第21位。具体分布如图6所示。

附5:恶意代码数据分析

20183月,恶意代码捕获与分析系统监测得到的放马站点统计

推荐最佳浏览分辨率为:1440*900 琼ICP备05000001号

电话:0898—66533812 Email:txglj@hnca.gov.cn 联系地址:海南省海口市南沙路49号 邮编:570206 技术支持:海南布谷