您访问的网站安全吗?—网站安全监测情况
4 “您访问的网站安全吗?”—网站安全监测情况4.1网页篡改情况自2003年起,CNCERT 持续监测、跟踪和分析境内网站被篡改情况,在发现重要网站被篡改后及时通知网站所在省份的分中心协助处理,争取快
4 “您访问的网站安全吗?”—网站安全监测情况
4.1网页篡改情况
自2003年起,CNCERT 持续监测、跟踪和分析境内网站被篡改情况,在发现重要网站被篡改后及时通知网站所在省份的分中心协助处理,争取快速恢复被篡改网站。
境内网站被篡改总体情况
2010年,CNCERT 监测到境内被篡改网站月度统计情况如图4-1所示。其中,每月被篡改网站数量平均为2904个。11月、12月,CNCERT 增强了对互联网上从事网页篡改活动较为活跃的黑客群体的监测,并将一类新型网页篡改攻击事件,即以非授权的方式挂载非法网站链接(俗称“黑链”)纳入监测范围,使得11月、12月监测到的被篡改网站数量出现较大幅度的增加。关于挂载“黑链”类网页篡改攻击的具体特点,参见本章“网站篡改攻击行为分析”一节。
图4-1 2010年境内被篡改网站数量月度统计
如图4-2所示,2010年境内被篡改网站按域名类型进行统计,被篡改数量最多的是.com 和.com.cn 类域名网站,其多为企业、公司网站。不过值得注意的是,.gov.cn 域名网站所占比例达到13.30,.org.cn 所占比例达到
1.76,.edu.cn 域名网站所占比例达到1.15。
1 / 12
,图4-2 2010年境内被篡改网站按域名类型分布
如图4-3所示,2010年境内被篡改网站按地域进行统计,排行前十位的地区分别是:北京市、江苏省、广东省、福建省、上海市、浙江省、河南省、四川省、安徽省和湖北省。其中前六位与CNNIC2011年1月发布的境内分省网站数量的前六位一致1。
图4-3 2010年境内被篡改网站按地域分布
境内政府网站被篡改情况
2010年,境内政府网站被篡改数量为4635个,与2009年的2765个相比增加67.6。在CNCERT 监测的政府网站列表中,2010年被篡改的政府网站1 根据中国互联网络信息中心(CNNIC )2011年1月发布的《第27次中国互联网络发展状况统计报告》,分省网站数量排名前六位分别是广东、北京、上海、浙江、江苏、福建。
2 / 12
比例达到10.3,即全国有十分之一的政府部门网站遭遇黑客篡改。2010年境内被篡改政府网站数量及其占境内被篡改网站总数的比例月度统计如图4-4所示。
图4-4 2010年境内被篡改的网站中政府网站的数量和比例
政府网站易被篡改的主要原因是网站整体安全性差,缺乏必要的经常性维护,某些政府网站被篡改后长期无人过问,还有些网站虽然在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改。表4-1所示为CNCERT 监测发现的2010年被篡改的部分重要政府网站列表。
表4-1 2010年CNCERT 监测发现被篡改的部分省部级政府网站列表
,■ 网站篡改攻击行为分析
2010年对境内网站进行网页篡改攻击数量最多的前20位的攻击者如表4-2所示。其中,疑为来自境外的攻击者有8名。
表4-2 2010年CNCERT 监测到的篡改境内网站按数量排行TOP 20的攻击者
上述攻击者发起网页篡改的攻击动机可以分为三类:第一类是出于政治、宗教目的,如:ZoRRoKiN 和aGReSiF 经常将境内政府部门网站作为重点攻击目标,攻击成功后通常会在网站留下宣扬其政治、宗教理念的文字或图片,相关示例如图4-5所示;第二类是出于技术炫耀目的,如图4-6所示,攻击者篡改网站成功后留下大名,并留有调侃风格的文字或图片;第三类则是在网站上留存后门页面,如图4-7所示,一是方便其以后再次进入,二则不排除其将该后门用于地下交易牟取非法利益的可能。
4 / 12
图4-5 黑客篡改网站后留下的页面图例一(攻击者:
aGReSiF)
图4-6 黑客篡改网站后留下的页面图例二(攻击者:卖火机的男孩)
图4-7 黑客篡改网站后留下的页面图例三(攻击者:J0K )
CNCERT 还对互联网中大量存在的所谓“广告联盟”组织进行跟踪分析,发现
5 / 12
一些“广告联盟”幕后组织者利用网站的安全漏洞,在网站上(通常为首页面)嵌入和挂载大量网站链接,以达到通过增加网站点击流量非法牟利的目的。如图4-8所示,攻击者不仅以非授权的方式挂载非法网站链接(俗称“黑链”),并且留下文字变相地威胁网站所属部门。
2010年11月、12月,CNCERT 对“广告联盟”挂载的网游私服网站、网游外挂网站、网络博彩网站等三类链接特征进行了监测,对应监测到的被挂载黑链的受害网站约占被篡改网站总数的37。此外,CNCERT 对黑链产业进行了初步的摸底调研,一些“广告联盟”的组织者对在各类域名上挂载“黑链”的活动进行明码标价。其中,在.gov.cn 、.edu.cn 、.org 、.org.cn 等站点挂“黑链”的收费较高,这有两方面原因:一是上述各类域名在搜索引擎检索时权重值较高,二是政府、高校、事业单位和公益组织的网站在安全管理方面更可能存在疏漏,黑链存活的时间较长。综合上述情况看,由这些“广告联盟”一手导致的网页篡改(或称网页挂载黑链)事件已经成为诸多政府部门、高校和公司企业网站安全的重要威胁。
图4-8 “广告联盟”在受害网站放置的“黑链”
4.2 网页挂马情况
网页挂马是目前互联网黑色地下产业中进行最为猖獗的、对互联网安全危害较为严重的非法活动。一些针对新披露的信息安全漏洞制造的新型恶意代码往往会借网页挂马的方式进行大规模传播;网络中一些搜索热词或社会热点事件的出
6 / 12
,现引发了网民大量搜索和点击,相关页面也容易被黑客利用来挂马,达到快速传播恶意代码并控制大量用户主机的目的。网页挂马是揭开互联网黑色地下产业链黑幕的重要一环,是CNCERT 监测的重点目标。政府和重要信息系统部门、访问量较大的网站被挂马事件,以及网页挂马相关的恶意域名同时也是CNCERT 事件处置的重点2。
在通信行业互联网网络安全信息通报工作中,有多家安全企业定期向CNCERT 报告网页挂马情况3,与CNCERT 建立了良好的协作关系。对挂马网站及恶意域名信息的获取,安全企业主要通过两种途径:一是通过主动巡检的方式,对设定的目标网站进行遍历、抓取相关页面后研判分析得到;二是通过企业安全防护软件产品客户端进行拦截捕获;两种方式都能有效地掌握当前网站安全及用户访问网站安全的相关情况。本报告主要关注境内网站被挂马及恶意域名威胁情况。
挂马网站监测情况
根据知道创宇公司、奇虎360公司、网御星云公司的监测数据,2010年境内网页挂马情况呈现先扬后抑的趋势,各公司监测到的挂马网站(页面)数量在5月或6月份间出现全年最高点,而在下半年数量逐渐下降。如图4-9、4-10、4-11所示。此外,根据知道创宇公司对全国200余万个网站的监测结果,如图4-12所示,境内挂马网站数量按地域统计前十位分别是北京市、江苏省、广东省、浙江省、上海市、福建省、安徽省、山东省、湖北省和四川省。
2 2010年在CNCERT 组织的木马和僵尸网络多次专项治理行动中,恶意域名作为一项重要治理内容,由CNCERT 协调CNNIC 、中国万网、新网互联、新网数码、东南融通、希网网络等域名注册管理和服务机构进行清除。
3 每月或每周定期向CNCERT 报送网页挂马信息的安全企业有:微软公司、北京神州绿盟科技有限公司、北京网御星云信息技术有限公司、奇虎360软件(北京)有限公司、华为技术有限公司、北京知道创宇信息技术有限公司、哈尔滨安天信息技术有限公司、北京天融信科技有限公司、金山网络科技有限公司、北京启明星辰信息技术有限公司、沈阳东软软件股份有限公司、浪潮集团有限公司、北京安信华科技有限公司。
7 / 12
,图4-9 2010年境内挂马网站数量趋势(来源:知道创宇)
图4-10 2010年挂马页面数量趋势(来源:奇虎360)
图4-11 2010年挂马事件数量趋势(来源:网御星云)
图4-12 2010年境内挂马网站按地域分布(来源:知道创宇)
8 / 12
,恶意域名监测情况
恶意域名是黑客进行网页挂马的重要资源。挂马网站数量反映的是黑客对网站的侵害情况以及对用户的威胁情况,而恶意域名的活跃情况则进一步反映了攻击者进行挂马攻击的能力。如表4-3所示,黑客注册了类似7766.org 、8866.org 等动态域名用于传播网页木马。
表4-3 用于网页挂马的恶意域名TOP10(来源:安天公司)
2010年CNCERT 对境内外活跃的恶意域名进行了分类跟踪,发现侵害我国境内网站和用户的恶意域名主要有以下几组,如表4-4所示。从下表也可以看出,目前,侵害我国网站的恶意域名其注册商主要为境外机构。
9 / 12
,网页挂马攻击特点
对于网页挂马攻击的行为特点,首先通过一个挂马事件案例进行说明。2010年9月6日,CNCERT 监测发现某电视台网站存在挂马页面,当用户访问相关页面时,系统会自动执行黑客嵌入的恶意链接或恶意脚本。在用户主机存在相关操作系统或应用软件漏洞,又没有做好安全防护的情况下,会感染黑客放置的恶意代码。黑客借此可以控制用户主机,进而窃取用户私密信息。黑客挂马的技术步骤如表4-5所示。
通过利用操作系统和应用软件漏洞,特别是利用最新披露的零日漏洞进行挂马是黑客常用的攻击手段,图4-13所示为2010年监测到的网页挂马利用的漏洞情况。2010年出现的高危漏洞如“极光”漏洞(CVE-2010-0249)、“极风”漏洞(CVE-2010-0806)、CVE-2010-3962漏洞,在漏洞披露的短时间内,CNCERT
10 / 12
