2011年6月网络安全现状

CNCERT 互联网安全威胁报告2011年6月 总第6期热线电话： 8610 82990999（中文），82991000（英文） 传真： 8610 82990399 电子邮件：cncert@

CNCERT 互联网安全威胁报告

2011年6月 总第6期

热线电话： 8610 82990999（中文），82991000（英文） 传真： 8610 82990399 电子邮件：cncert@cert.org.cn

PGP Key：http://www.cert.org.cn/cncert.asc

网址：http://www.cert.org.cn/

国家互联网应急中心 www.cert.org.cn 关于国家互联网应急中心（CNCERT ）

国家互联网应急中心的全称是国家计算机网络应急技术处理协调中心（英文简称为CNCERT 或CNCERT/CC），成立于1999年9月，是工业和信息化部领导下的国家级网络安全应急机构，致力于建设国家级的网络安全监测中心、预警中心和应急中心，以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能，支持基础信息网络的安全防护和安全运行，支援重要信息系统的网络安全监测、预警和处置。

2003年，CNCERT 在我国大陆31个省、自治区、直辖市成立分中心，完成了跨网络、跨系统、跨地域的公共互联网网络安全应急技术支撑体系建设，形成了全国性的互联网网络安全信息共享、技术协同能力。目前，CNCERT 作为国家互联网安全应急体系的核心技术协调机构，在协调国内网络安全应急组织（CERT ）共同处理互联网安全事件方面发挥着重要作用。

CNCERT 的业务能力主要包括：

⏹ 监测发现：依托“863-917网络安全监测系统”实现网络安全事件的监测发现。

863-917网络安全监测系统是一个全程全网、多层次、多渠道延伸的网络安全综合监测平台，目前已具备对安全漏洞、恶意代码、网页篡改、网页挂马、

拒绝服务攻击、域名劫持、路由劫持等各种网络威胁或攻击的监测发现能力。 ⏹ 通报预警：依托对丰富数据资源的综合分析和多渠道的信息获取实现网络安

全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分

析等。此外，按照2009年工业和信息化部颁布实施的《互联网网络安全信息通报实施办法》承担通信行业互联网网络安全信息通报工作。

⏹ 应急处置：依托与运营商、域名注册商、安全服务厂商等相关部门的快速工

作机制和与涉及国计民生的重要信息系统部门及执法机关密切合作机制实现

网络安全事件的快速处置；同时作为国际著名网络安全合作组织FIRST 和

APCERT 的重要成员，与多个世界著名的网络安全机构和各个国家级应急组

织建立了网络安全事件处理合作机制。面向国内外用户受理网络安全事件报

告，及时掌握和处置突发重大网络安全事件。

国家互联网应急中心 www.cert.org.cn

版权及免责声明

《CNCERT 互联网安全威胁报告》（以下简称“报告”）为国家计算机网络应急技术处理协调中心（简称国家互联网应急中心，CNCERT 或CNCERT/CC）的电子刊物，由CNCERT 编制并拥有版权。报告中凡摘录或引用内容均已指明出处，其版权归相应单位所有。本报告所有权利及许可由CNCERT 进行管理，未经CNCERT 同意，任何单位或个人不得将本报告以及其中内容转发或用于其他用途。

CNCERT 力争保证本报告的准确性和可靠性，其中的信息、数据、图片等仅供参考，不作为您个人或您企业实施安全决策的依据，CNCERT 不承担与此相关的一切法律责任。

国家互联网应急中心 www.cert.org.cn

本月网络安全基本态势分析

2011年6月，互联网网络安全状况整体评价为中。我国基础网络运行总体平稳，互联网骨干网各项监测指标正常，未发生较大以上网络安全事件。在我国互联网网络安全环境方面，我国境内感染“飞客”蠕虫的主机数量和被篡改政府网站数量、新发现信息系统安全漏洞数量较上月明显增多，但境内感染木马或僵尸程序的主机数量则继续呈下降趋势。总体上，6月公共互联网网络安全态势较上月有所恶化。

◆ 基础网络安全

2011年6月，我国基础网络运行总体平稳，互联网骨干网各项监测指标正常，未出现省级行政区域以上的造成较大影响的基础网络运行故障，未发生较大以上网络安全事件，但存在一定数量的流量不大的针对互联网基础设施实施的拒绝服务攻击事件。

◆ 重要联网信息系统安全

政府网站和金融行业网站仍然是不法分子攻击的重点目标，安全漏洞是重要联网信息系统遭遇攻击的重要内因。本月，监测发现被篡改政府网站数量为333个，较上月的212个大幅增长57，占境内被篡改网站比例由6.31上升到10.52；接收的网页仿冒事件报告数量为381个，较上月480个下降21，这些仿冒事件绝大多数都是针对金融机构、电子商务、第三方在线支付网站；此外，“Microsoft Word文件指针远程代码执行漏洞”、“Xitami HTTP 头远程缓冲区溢出漏洞”、“Opera Web Browser拒绝服务漏洞”影响较为严重，互联网上已经出现有关攻击代码。

1

国家互联网应急中心 www.cert.org.cn 公共网络环境安全

2011年6月，根据CNCERT 的监测数据和通信行业报送数据，我国互联网网络安全环境主要指标情况如下：①网络病毒1活动情况方面，境内感染网络病毒的终端数约为815万个，较上月大幅增长76；获得新增网络病毒名称953个，较上月增长31，获得新增网络病毒家族38个，较上月大幅增长65；各安全企业报送的网络病毒捕获数量总体呈下降趋势，瑞星公司截获的病毒数量较上月减少

5.7，新增病毒数量比上月减少42.2；金山公司报送的计算机病毒事件数量较上月减少15.7；安天公司捕获的样本总数较上月减少 10.5，新增病毒种类较上月增加14.1。②网站安全方面，本月境内被篡改网站数量为3164个，较上月下降6；接收网页仿冒事件报告381个，较上月下降21；各安全企业报送的网页挂马情况中，奇虎360公司、安天公司、浪潮公司报送的网页挂马事件数量较上月均呈现上升趋势，分别上升了2.8、12.4、27.1，但金山公司和网御星云公司报送的网页挂马事件数量较上月有所下降，降幅分别为19.7和13。③安全漏洞方面，国家信息安全漏洞共享平台（CNVD 2）收集整理信息系统安全漏洞447个，较上月增长23，其中高危漏洞250个，可被利用来实施远程攻击的漏洞有406个。④垃圾邮件方面，从中国互联网协会反垃圾邮件中心报送数据看，本月共接收11164件垃圾邮件事件举报，较上月下降31。⑤事件受理方面，CNCERT 接收到网络安全事件报告1344件，数量较上月增长2。

注1：一般情况下，恶意代码是指在未经授权的情况下，在信息系统中安装、执行以达到不正当目的的程序。其中，网络病毒是特指有网络通信行为的恶意代码。6月，CNCERT 在对网络病毒进行抽样监测时，对177种木马家族和65种僵尸程序家族进行了抽样监测。

注2：CNVD 是CNCERT 联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

2

国家互联网应急中心 www.cert.org.cn ◆ 网络病毒监测数据分析

2011年6月，境内感染网络病毒的终端数约为815万个。其中，境内被木马或僵尸程序控制的主机IP 约为38万个，环比下降6；境内感染飞客蠕虫的主机IP 约为777万个，环比大幅增长84；

木马僵尸网络监测数据分析

2011年6月，CNCERT 监测发现境内约38万个IP 地址对应

的主机被木马或僵尸程序控制，按地区分布感染数量排名前三位的分别是江苏省、广东省、山东省。

木马或僵尸网络控制服务器IP 总数为31507个。其中，境内

木马或僵尸网络控制服务器IP 数量为24662个；境外木马或僵尸网络控制服务器IP 数量为6845个，按国家或地区分布数量排名前三位的分别为日本、美国、韩国。

飞客蠕虫监测数据分析

2011年6月，CNCERT 监测到全球互联网约4256万个主机

IP 地址感染飞客蠕虫，按国家或地区分布感染数量排名前三位的分别是中国大陆、巴西、俄罗斯。

境内感染飞客蠕虫的主机IP 约为777万个，按地区分布感染

数量排名前三位的分别是广东省、浙江省、江苏省。

恶意代码捕获和传播情况

2011年6月，CNCERT 通过多种渠道获得新增网络病毒名称

数为953个，新增网络病毒家族数为38个。网络病毒主要针对一些防护比较薄弱，特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后，会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。这些放马站点是网络病毒散播的源头，是黑色地下产业链中非常重要的一个环节。2011年6月，CNCERT 监测发现排名前五的活跃放马站点域名和活跃放马站点IP 如表1所示。

3

国家互联网应急中心 www.cert.org.cn

网络病毒在传播过程中，往往需要利用黑客注册的大量域名。根据CNCERT 对活跃恶意域名的分类跟踪，2011年6月，活跃恶

意域名所属顶级域名及地理分布情况如表2

所示，绝大多数恶意域名分布在极少数的顶级域名上；活跃恶意域名在域名服务机构的注册情况如图1所示，请各域名服务机构注意加强域名服务的安全管理和域名滥用处理。特别是，由于不法分子为降低传播网络病毒的成本往往申请大量的免费域名，所以免费域名服务机构更需加强有关工作。

图1：活跃恶意域名按域名服务机构分布

4

国家互联网应急中心 www.cert.org.cn

◆ 网站安全情况分析

境内网站被篡改情况

2011年6月，境内被篡改网站的数量为3164个，其中代号为“soojoy”、“twy”和“s4r4d0”的攻击者对境内网站进行了大量篡改。

境内被篡改网站数量按地区分布排名前三位的分别是北京市、广东省、福建省。按网站类型统计，被篡改数量最多的是.com 和.com.cn 域名类网站，其多为商业类网站；值得注意的是，被篡改的.gov.cn 域名类网站有333个，占境内被篡改网站的比例为10.52。

截至6月30日仍未恢复的部分被篡改政府网站3如表3所示。

注3：政府网站是指英文域名以“.gov.cn”结尾的网站，但不排除个别非政府部门也使用“.gov.cn”的情况。表格中仅列出了被篡改网站或被挂马网站的域名，而非具体被篡改或被挂马的页面URL 。

5

国家互联网应急中心 www.cert.org.cn

境内网站被挂马情况

根据CNCERT 监测和通信行业报送数据，截至6月30日仍存在被挂马或被植入不正当广告链接（如：网络游戏、色情网站链接）的部分政府网站如表4所示。

6

国家互联网应急中心 www.cert.org.cn

网络安全的主要威胁

近期披露的一些严重安全漏洞是互联网所面临的主要安全威胁。2011年6月，国家信息安全漏洞共享平台（CNVD ）收集整理信息系统安全漏洞447个。其中，高危漏洞250个，可被利用来实施远程攻击的漏洞有406个。受影响的软硬件系统厂商包括Adobe 、Apple 、Cisco 、Google 、IBM 、Linux 、Microsoft 、Mozilla 、Novell 等。

根据漏洞影响对象的类型，漏洞可分为操作系统漏洞、应用程序漏洞、WEB 应用漏洞、数据库漏洞、网络设备漏洞（如路由器、交换机等）和安全产品漏洞（如防火墙、入侵检测系统等）。本月CNVD 收集整理的漏洞中，按漏洞类型分布排名前三位的分别是应用程序漏洞、WEB 应用漏洞、操作系统漏洞。

本月，“Microsoft Word 文件指针远程代码执行漏洞”、“Xitami HTTP 头远程缓冲区溢出漏洞”、“Opera Web Browser拒绝服务漏洞”影响较为严重，互联网上已经出现有关攻击代码，为避免受到漏洞影响，请广大用户及时采取补丁修复、提高主机操作系统安全防范等级等防御措施。

7