CNCERT互联网安全威胁报告-2011年1月

CNCERT 互联网安全威胁报告2011年1月 总第1期热线电话： 8610 82990999（中文），82991000（英文） 传真： 8610 82990399 电子邮件：cncert@

CNCERT 互联网安全威胁报告

2011年1月 总第1期

热线电话： 8610 82990999（中文），82991000（英文） 传真： 8610 82990399 电子邮件：cncert@cert.org.cn

PGP Key：http://www.cert.org.cn/cncert.asc

网址：http://www.cert.org.cn/

国家互联网应急中心 www.cert.org.cn 关于国家互联网应急中心（CNCERT ）

国家互联网应急中心的全称是国家计算机网络应急技术处理协调中心（英文简称为CNCERT 或CNCERT/CC），成立于1999年9月，是工业和信息化部领导下的国家级网络安全应急机构，致力于建设国家级的网络安全监测中心、预警中心和应急中心，以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能，支持基础信息网络的安全防护和安全运行，支援重要信息系统的网络安全监测、预警和处置。

2003年，CNCERT 在我国大陆31个省、自治区、直辖市成立分中心，完成了跨网络、跨系统、跨地域的公共互联网网络安全应急技术支撑体系建设，形成了全国性的互联网网络安全信息共享、技术协同能力。目前，CNCERT 作为国家互联网安全应急体系的核心技术协调机构，在协调国内网络安全应急组织（CERT ）共同处理互联网安全事件方面发挥着重要作用。

CNCERT 的业务能力主要包括：

⏹ 监测发现：依托“863-917网络安全监测系统”实现网络安全事件的监测发现。

863-917网络安全监测系统是一个全程全网、多层次、多渠道延伸的网络安全综合监测平台，目前已具备对安全漏洞、恶意代码、网页篡改、网页挂马、

拒绝服务攻击、域名劫持、路由劫持等各种网络威胁或攻击的监测发现能力。 ⏹ 通报预警：依托对丰富数据资源的综合分析和多渠道的信息获取实现网络安

全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分

析等。此外，按照2009年工业和信息化部颁布实施的《互联网网络安全信息通报实施办法》承担通信行业互联网网络安全信息通报工作。

⏹ 应急处置：依托与运营商、域名注册商、安全服务厂商等相关部门的快速工

作机制和与涉及国计民生的重要信息系统部门及执法机关密切合作机制实现

网络安全事件的快速处置；同时作为国际著名网络安全合作组织FIRST 和

APCERT 的重要成员，与多个世界著名的网络安全机构和各个国家级应急组

织建立了网络安全事件处理合作机制。面向国内外用户受理网络安全事件报

告，及时掌握和处置突发重大网络安全事件。

国家互联网应急中心 www.cert.org.cn

版权及免责声明

《CNCERT 互联网安全威胁报告》（以下简称“报告”）为国家计算机网络应急技术处理协调中心（简称国家互联网应急中心，CNCERT 或CNCERT/CC）的电子刊物，由CNCERT 编制并拥有版权。报告中凡摘录或引用内容均已指明出处，其版权归相应单位所有。本报告所有权利及许可由CNCERT 进行管理，未经CNCERT 同意，任何单位或个人不得将本报告以及其中内容转发或用于其他用途。

CNCERT 力争保证本报告的准确性和可靠性，其中的信息、数据、图片等仅供参考，不作为您个人或您企业实施安全决策的依据，CNCERT 不承担与此相关的一切法律责任。

国家互联网应急中心 www.cert.org.cn

本月网络安全基本态势分析

2011年1月，互联网网络安全状况整体评价为良。我国互联网基础设施整体运行平稳，影响较大的事件主要是1 月13 日17时至20时因厦门易名网络科技有限公司DNS 服务器遭受大规模拒绝服务攻击，导致通过其进行域名解析的大量网站业务受到影响。针对政府、企业以及广大互联网用户的主要网络安全威胁来自于信息系统高危漏洞、恶意代码传播以及网站攻击。

根据CNCERT 监测结果，我国境内僵尸网络受控主机数量略有增长，境内木马受控主机和网页篡改数量有所下降。根据通信行业报送的信息，本月公共互联网环境中网络安全事件报送数量总体呈现上升趋势，主要集中在各地通信管理局和基础电信运营企业报送的计算机病毒事件、蠕虫事件、木马和僵尸网络事件等方面，这说明通信行业加大了对公共互联网的安全监测和环境的治理。总体上，1月公共互联网网络安全态势比上月份略好，各单位应重点关注一些对本单位信息系统运行可能构成较大威胁或可能造成较大影响的事件信息和预警信息，如：桌面操作系统和应用软件漏洞。

◆ 基础网络的运行安全

2011年1月，我国互联网基础设施运行整体平稳，1 月13 日17时至20时因厦门易名网络科技有限公司DNS 服务器遭受大规模拒绝服务攻击，导致通过其进行域名解析的大量网站业务受到影响。针对境内互联网设施的主要网络攻击仍然是拒绝服务攻击。

◆ 公共互联网的网络安全

2011年1月，根据CNCERT 的监测数据和通信行业报送数据，

1

国家互联网应急中心 www.cert.org.cn 全国公共互联网网络安全状况的主要指标情况如下：①网络病毒1活动情况方面，境内感染网络病毒的终端数约为874万个；②网站安全方面，境内被篡改网站数量为5596个，其中被篡改政府网站数量为337个，占境内被篡改网站比例为6.02；据各安全企业的报送情况，1月份网页挂马情况总体上较上月有所好转，但对恶意代码的捕获情况各不相同；③事件受理方面，CNCERT 接收到网络安全事件报告723件（不含扫描和垃圾邮件类事件2）。

◆ 网络病毒监测数据分析

2011年1月，境内感染网络病毒的终端数约为874万个。其中，境内被木马或僵尸程序控制的主机IP 约为57万个；境内感染飞客蠕虫的主机IP 约为785万个；境内感染“毒媒”手机病毒的用户约为33万个。

木马僵尸网络监测数据分析

2011年1月，CNCERT 监测发现境内57万余个IP 地址对应

的主机被木马或僵尸程序控制，按地区分布感染数量排名前三位的分别是广东、山东、浙江。

木马或僵尸网络控制服务器IP 总数为29863个。其中，境内

木马或僵尸网络控制服务器IP 数量为22795个；境外木马或僵尸网络控制服务器IP 数量为7068个，按国家或地区分布数量排名前三位的分别为印尼、美国、日本。

飞客蠕虫监测数据分析

2011年1月，CNCERT 监测到全球互联网约4559万个主机

注1：一般情况下，恶意代码是指在未经授权的情况下，在信息系统中安装、执行以达到不正当目的的程序。其中，网络病毒是特指有网络通信行为的恶意代码。1月，CNCERT 在对网络病毒进行抽样监测时，对153种木马和57种僵尸程序进行了监测。

注2：因CNCERT 一般不对扫描类事件和垃圾邮件类事件报告进行处置，故未做统计。对于垃圾邮件事件报告，CNCERT 直接转中国互联网协会反垃圾邮件中心处置。

2

国家互联网应急中心 www.cert.org.cn

IP 地址感染飞客蠕虫，按国家或地区分布感染数量排名前三位的分别是中国大陆、巴西、俄罗斯。

境内感染飞客蠕虫的主机IP 约为785万个，按地区分布感染

数量排名前三位的分别是广东、浙江、江苏。

恶意代码捕获和传播情况

2011年1月，CNCERT 通过多种渠道获得新增网络病毒名称

数为1425个，网络病毒家族数为253个。网络病毒主要通过网页挂马方式进行传播，其中往往需要利用黑客注册的大量域名。根据CNCERT 对活跃恶意域名的分类跟踪，2011年1月侵害境内网站和用户的恶意域名主要有以下几组，如表1所示。从下表可以看出，目前，侵害境内网站的恶意域名其注册商主要为境外机构。

3

国家互联网应急中心 www.cert.org.cn

◆ 网站安全情况分析

境内网站被篡改情况

2011年1月，境内被篡改网站的数量为5596个，其中代号为 “soojoy”、“Cracker-Mr.X” 和“冰寒”的攻击者对境内网站进行了大量篡改。

境内被篡改网站数量按地区分布排名前三位的分别是江苏、北京、福建。按网站类型统计，被篡改数量最多的是.com 和.com.cn 域名类网站，其多为商业类网站；值得注意的是，被篡改的.gov .cn 域名类网站有337个，占境内被篡改网站的比例为6.02。

截至1月31日仍未恢复的部分被篡改政府网站3如表2所示。

注3：政府网站是指英文域名以“.gov.cn”结尾的网站，但不排除个别非政府部门也使用“.gov.cn”的情况。表格中仅列出了被篡改网站或被挂马网站的域名，而非具体被篡改或被挂马的页面URL 。

4

国家互联网应急中心 www.cert.org.cn

境内网站被挂马情况

根据CNCERT 监测和通信行业报送数据，截至1月31日仍

存在被挂马或被植入不正当广告链接（如：网络游戏、色情网站链接）的部分政府网站如表3所示。

◆ 网络安全的主要威胁

近期披露的一些严重安全漏洞是互联网所面临的主要安全威胁。2011年1月，国家信息安全漏洞共享平台（CNVD 4）收集整理信息系统安全漏洞406个。其中，高危漏洞101个，可被利用来实施远程攻击的漏洞有352个。受影响的软硬件系统厂商包括Apple 、Cisco 、Google 、IBM 、Linux 、Microsoft 、Mozilla 、OpenOffice 、Oracle 等。

按照所涉及的软件类型，漏洞可分为操作系统漏洞、应用程序漏洞、WEB 应用漏洞、数据库漏洞、网络设备漏洞（如路由器、交换机等）和安全产品漏洞（如防火墙、入侵检测系统等）。本月CNVD 收集整理的漏洞中，按漏洞类型分布排名前三位的分别是应用程序漏洞、操作系统漏洞、网络设备漏洞。

根据CNVD 的代码验证结果，本月共出现了66个0day 漏洞，其中影响较为严重的是“Microsoft Windows MHTML脚本代码注入漏洞”和“Kingsoft Antivirus 'KisKrnl.sys'驱动拒绝服务漏洞”，互联网上已经出现针对上述漏洞的攻击代码，为避免受到漏洞影响，请广大用户及时采取补丁修复、提高主机操作系统安全防范等级等防御措施。

本月，CNVD 对北京亚控科技有限公司生产的工业系统管理监控

注4：CNVD 是CNCERT 联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

5

国家互联网应急中心 www.cert.org.cn 软件KingView 6.5.3存在的一个高危漏洞进行了分析验证，并协调亚控公司对漏洞提供了修复补丁。分析结果表明，利用该漏洞可获得用户主机权限，进而对相关工业控制系统的运行安全构成严重威胁。建议有关用户采取如下防范措施：（1）及时下载亚控公司发布的安全补丁，对系统进行加固；（2）对网络加强管理，尽可能地将与工业控制系统相关的管理控制主机与互联网隔离。

用户对网络安全事件的感知情况

2011年1月，互联网用户感知最为强烈的事件是垃圾邮件事件和恶意代码事件。从中国互联网协会反垃圾邮件中心报送数据看，其1月共接收13212件垃圾邮件事件举报；从CNCERT 接收国内外投诉事件情况看，恶意代码事件占29。

6

国家互联网应急中心 www.cert.org.cn

本月网络安全事件接收与处理情况

◆ 事件接收情况

2011年1月，CNCERT 收到国内外通过电子邮件、热线电话、网站提交、传真等方式报告的网络安全事件723件（合并了通过不同方式报告的同一网络安全事件，且不包括扫描和垃圾邮件类事件），其中来自国外的事件报告有170件。

在723件事件报告中，排名前三位的安全事件分别是漏洞、恶意代码、网页仿冒。

◆ 事件处理情况

对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件，以及自主监测发现的网络安全事件，CNCERT 每日根据事件的影响范围和存活性、涉及用户的性质等因素，筛选重要事件进行协调处理。

2011年1月，CNCERT 总部以及各省分中心共同协调处理了610件网络安全事件。各类事件处理数量中漏洞和恶意代码类事件处理数量较多，本月网页仿冒和网页篡改类事件也是处置的重点。

◆ 本月网络安全重点事件

协调处置境外投诉拒绝服务攻击事件

1月13日，CNCERT 接到亚太网络安全组织APCERT 投诉，称位于我国大陆的某主机向境外的某重要网络设施持续发起拒绝服务攻击，该主机极有可能被黑客控制。接收到事件投诉后，CNCERT 及时响应，通过主机IP 所在地区分中心——湖北分中心协调当地基础电信运营企业进行查证。在确认该主机存在恶意网络行为后，立即联系相关用户进行了有效处理。

7