CNCERT發佈《2019年上半年我國互聯網網絡安全態勢》

2019年08月13日 19:33:32 來源: 國家互聯網應急中心
  【列印】 【糾錯】

    為維護我國網絡空間的安全,保障互聯網健康有序的發展,2019年上半年,我國持續推進網絡安全法律法規體系建設,完善網絡安全管理體制機制,不斷加強互聯網網絡安全監測和治理,構建互聯網發展安全基礎,構築網民安全上網環境。2019年上半年,我國基礎網絡運作總體平穩,未發生較大規模以上網絡安全事件。但數據洩露事件及風險、有組織的分佈式拒絕服務攻擊干擾我國重要網站正常運作、魚叉釣魚郵件攻擊事件頻發,多個高危漏洞被曝出,我國網絡空間仍面臨諸多風險與挑戰。

    一、2019年上半年我國互聯網網絡安全監測數據分析

    國家互聯網應急中心(以下簡稱“CNCERT”)從惡意程式、漏洞隱患、移動互聯網安全、網站安全以及雲平臺安全、工業系統安全、互聯網金融安全等方面,對我國互聯網網絡安全環境開展宏觀監測。數據顯示,與2018年上半年數據比較,2019年上半年我國境內通用型“零日”漏洞①收錄數量,涉及關鍵信息基礎設施的事件型漏洞通報數量,遭篡改、植入後門、倣冒網站數量等有所上升,其他各類監測數據有所降低或基本持平。

    (一)惡意程式

    1. 電腦惡意程式捕獲情況

    2019年上半年,CNCERT新增捕獲電腦惡意程式樣本數量約3,200萬個,與2018年上半年基本持平,電腦惡意程式傳播次數日均達約998萬次。按照電腦惡意程式傳播來源統計,位於境外的IP地址主要是來自美國、日本和菲律賓等國家和地區,2019年上半年電腦惡意代碼傳播源位於境外分佈情況如圖1所示。位於境內的IP地址主要是位於廣東省、北京市和浙江省等。按照受惡意程式攻擊的IP統計,我國境內受電腦惡意程式攻擊的IP地址約3,762萬個,約佔我國活躍IP地址總數的12.4%,這些受攻擊的IP地址主要集中在江蘇省、廣東省、浙江省等地區,2019年上半年我國境內受電腦惡意程式攻擊的IP分佈情況如圖2所示。

圖1 2019年上半年電腦惡意代碼傳播源位於境外分佈情況

圖2 2019年上半年我國受電腦惡意代碼攻擊的IP分佈情況

    2. 電腦惡意程式用戶感染情況

    據CNCERT抽樣監測,2019年上半年,我國境內感染電腦惡意程式的主機數量約240萬台,相較2018年上半年同比下降9.7%。位於境外的約3.9萬個電腦惡意程式控制伺服器控制了我國境內約210萬台主機,就控制伺服器所屬國家來看,位於美國、日本和拉脫維亞的控制伺服器數量分列前三位,分別是約9,494個、5,535個和2,350個;就所控制我國境內主機數量來看,位於美國、法國和英國的控制伺服器控制規模分列前三位,分別控制了我國境內約150萬、22萬和16萬台主機。

    從我國境內感染電腦惡意程式主機數量按地區分佈來看,主要分佈在廣東省(佔我國境內感染數量的13.3%)、河南省(佔11.0%)、山東省(佔7.0%)等省份,但從我國境內各地區感染電腦惡意程式主機數量所佔本地區活躍IP地址數量比例來看,河南省、雲南省和河北省分列前三位,如圖3所示。在監測發現的因感染電腦惡意程式而形成的僵屍網絡中,規模在100台主機以上的僵屍網絡數量達1,842個,規模在10萬台以上的僵屍網絡數量達21個,如圖4所示。為有效控制電腦惡意程式感染主機引發的危害,2019年上半年,CNCERT組織基礎電信企業、域名服務機構等成功關閉714個控制規模較大的僵屍網絡。

圖3 我國各地區感染電腦惡意程式主機數量佔本地區活躍IP地址數量比例

圖4 2019年上半年僵屍網絡的規模分佈

    3. 移動互聯網惡意程式

    2019年上半年,CNCERT通過自主捕獲和廠商交換獲得移動互聯網惡意程式數量103萬餘個,同比減少27.2%。通過對惡意程式的惡意行為統計發現,排名前三的分別為資費消耗類、流氓行為類和惡意扣費類,佔比分別為35.7%、27.1%和15.7%。為有效防範移動互聯網惡意程式的危害,嚴格控制移動互聯網惡意程式傳播途徑,連續7年以來,CNCERT聯合應用商店、雲平臺等服務平臺持續加強對移動互聯網惡意程式的發現和下架力度,以保障移動互聯網健康有序發展。2019年上半年,CNCERT累計協調國內177家提供移動應用程式下載服務的平臺,下架1,190個移動互聯網惡意程式。

    近年來,新型網絡詐騙手法層出不窮,隨著移動互聯網和普惠金融的大力發展,出現了大量以移動端為入口騙取用戶個人隱私信息和賬戶資金的網絡詐騙活動。據CNCERT抽樣監測,2019年上半年以來,我國以移動互聯網為載體的虛假貸款APP或網站達1.5萬個,在此類虛假貸款APP或網站上提交姓名、身份證照片、個人資産證明、銀行賬戶、地址等個人隱私信息的用戶數量超過90萬。大量受害用戶在詐騙平臺支付了上萬元的所謂“擔保費”、“手續費”費用,經濟利益受到實質損害。

    4. 聯網智慧設備惡意程式

    據CNCERT監測發現,目前活躍在智慧聯網設備上的惡意程式家族主要包括Mirai、Gafgyt、MrBlack、Tsunami、Reaper、Ddostf、Satori、TheMoon、StolenBots、VPNFilter、Cayosin等。這些惡意程式及其變種産生的主要危害包括用戶信息和設備數據洩露、硬件設備遭控制和破壞,被用於DDoS攻擊或其他惡意攻擊行為、攻擊路由器等網絡設備竊取用戶上網數據等。CNCERT抽樣監測發現,2019年上半年,聯網智慧設備惡意程式控制伺服器IP地址約1.9萬個,同比上升11.2%;被控聯網智慧設備IP地址約242萬個,其中位於我國境內的IP地址近90萬個(佔比37.1%),同比下降12.9%;通過控制聯網智慧設備發起DDoS攻擊次數日均約2,118起。

  (二)安全漏洞

    1. 安全漏洞收錄情況

    2019年上半年,國家信息安全漏洞共用平臺(以下簡稱“CNVD”)收錄通用型安全漏洞5,859個,同比減少24.4%,其中高危漏洞收錄數量為2,055個(佔35.1%),同比減少21.2%,“零日”漏洞收錄數量為2,536個(佔43.3%),同比增長34.0%。安全漏洞主要涵蓋Google、Microsoft、Adobe、Cisco、IBM等廠商産品。按影響對象分類統計,收錄漏洞中應用程式漏洞佔56.2%,Web應用漏洞佔24.9%,作業系統漏洞佔8.3%,網絡設備(如路由器、交換機等)漏洞佔7.6%,數據庫漏洞佔1.8%,安全産品(如防火牆、入侵檢測系統等)漏洞佔1.2%,如圖5所示。

圖5 2019年上半年CNVD收錄漏洞按影響對象類型分類統計

    2019年上半年,CNVD繼續推進移動互聯網、電信行業、工業控制系統和電子政務4類子漏洞庫的建設工作,分別新增收錄安全漏洞數量384個(佔收錄數量的6.6%)、323個(佔5.5%)、158個(佔2.7%)和87個(佔1.5%)。

    2. 聯網智慧設備安全漏洞

    2019年上半年,CNVD收錄的安全漏洞中關於聯網智慧設備安全漏洞有1,223個,與2018年上半年基本持平。這些安全漏洞涉及的類型主要包括設備信息洩露、許可權繞過、遠端代碼執行、弱密碼等;涉及的設備類型主要包括家用路由器、網絡攝像頭等。

  (三)拒絕服務攻擊

    CNCERT抽樣監測發現,2019年上半年我國境內峰值超過10Gbps的大流量分佈式拒絕服務攻擊(以下簡稱“DDoS攻擊”)事件數量平均每月約4,300起,同比增長18%,並且仍然是超過60%的DDoS攻擊事件為僵屍網絡控制發起。在DDoS攻擊資源分析方面,2019年上半年,CNCERT發現用於發起DDoS攻擊的C&C控制伺服器②數量共1,612個,其中位於我國境內的有144個,約佔總量的8.9%,同比減少13%,位於境外的控制端數量同比增長超過一倍;總肉雞③數量約64萬個,同比下降10%;反射攻擊伺服器約617萬個,同比下降33%;受攻擊目標IP地址數量約5.7萬餘個,這些攻擊目標主要分佈在色情、博彩等互聯網地下黑産方面以及文化體育和娛樂領域。

    (四)網站安全

    1. 網頁倣冒

    2019年上半年,CNCERT自主監測發現約4.6萬個針對我國境內網站的倣冒頁面。為有效防範網頁倣冒引發的危害,CNCERT重點針對金融行業、電信行業網上營業廳的倣冒頁面進行處置,共協調處置倣冒頁面1.2萬餘個,同比減少35.2%。對這些已協調處置的倣冒頁面分析來看,承載倣冒頁面IP地址歸屬情況與近幾年來的情況一樣,主要分佈在美國和中國香港,如圖6所示。

圖6 2019年上半年承載倣冒頁面IP地址和倣冒頁面數量分佈

    2. 網站後門

    2019年上半年,CNCERT監測發現境內外約1.4萬個IP地址對我國境內約2.6萬個網站植入後門,同比增長約1.2倍。其中,約有1.3萬個(佔全部IP地址總數的91.2%)境外IP地址對境內約2.3萬個網站植入後門,位於美國的IP地址最多,其次是位於中國香港和新加坡的IP地址,如圖7所示。從控制我國境內網站總數來看,位於中國香港的IP地址控制我國境內網站數量最多,有6,984個,其次是位於美國和菲律賓的IP地址,分別控制了我國境內4,816個和2,509個網站。

圖7 2019年上半年向我國境內網站植入後門IP地址所屬國家或地區TOP10

    3. 網頁篡改

    2019年上半年,CNCERT監測發現並協調處置我國境內遭篡改的網站有近4萬個,其中被篡改的政府網站有222個。從境內被篡改網頁的頂級域名分佈來看,“.com”、“.net”和“.org”佔比分列前三位,如圖8所示。

圖7 2019年上半年向我國境內網站植入後門IP地址所屬國家或地區TOP10

  五)雲平臺安全

    根據CNCERT監測數據,2019年上半年,發生在我國雲平臺上的網絡安全事件或威脅情況相比2018年進一步加劇。首先,發生在我國主流雲平臺上的各類網絡安全事件數量佔比仍然較高,其中雲平臺上遭受DDoS攻擊次數佔境內目標被攻擊次數的69.6%、被植入後門連結數量佔境內全部被植入後門連結數量的63.1%、被篡改網頁數量佔境內被篡改網頁數量的62.5%。其次,攻擊者經常利用我國雲平臺發起網絡攻擊,其中利用雲平臺發起對我國境內目標的DDoS攻擊次數佔監測發現的DDoS攻擊總次數的78.8%、發起對境內目標DDoS攻擊的IP地址中來自我國境內雲平臺的IP地址佔72.4%、承載的惡意程式種類數量佔境內互聯網上承載的惡意程式種類數量的71.2%、木馬和僵屍網絡惡意程式控制端IP地址數量佔境內全部惡意程式控制端IP地址數量的84.6%。另外,自2019年以來,CNCERT在持續開展的MongoDB、Elasticsearch等數據庫數據洩露風險應急處置過程中,發現存在隱患的數據庫搭建在雲服務商平臺上的數量佔比超過40%。雲服務商和雲用戶應加大對網絡安全的重視和投入,分工協作提升網絡安全防範能力。雲服務商應提供基礎性的網絡安全防護措施並保障雲平臺安全運作,全面提高雲平臺的安全性和可控性,全面加強網絡安全事件監測和處置能力。雲用戶對部署在雲平臺上的系統承擔主體責任,需全面落實系統的網絡安全防護要求。

  (六)工業互聯網安全

    1. 工業網絡産品安全檢測情況

    電力安全是關鍵信息基礎設施保護的重要內容之一,為調查我國電力二次設備的安全現狀,2019年上半年CNCERT繼續對國內主流電力廠商的産品進行安全摸底測試,電力設備供應商在電網企業的引導下,已有一定安全意識,但設備整體網絡安全水準仍有待提高。截至目前,在涉及28個廠商、70余個型號的六大類産品(測控裝置、保護裝置、智慧遠動機、站控軟件、PMU、網絡安全態勢感知採集裝置,)中均發現了中、高危漏洞,可能産生的風險包括拒絕服務攻擊、遠端命令執行、信息洩露等。其中SISCO MMS協議④開發套件漏洞,幾乎影響到每一款支持MMS協議的電力裝置。

    2. 聯網工業設備和工業雲平臺暴露情況

    2019年上半年,CNCERT進一步加強了針對聯網工業設備和工業雲平臺的網絡安全威脅發現能力,累計監測發現我國境內暴露的聯網工業設備數量共計6,814個,包括可編程邏輯控制器、數據採集監控伺服器、串口伺服器等,如圖9所示,涉及西門子、韋益可自控、羅克韋爾等37家國內外知名廠商的50種設備類型。其中,存在高危漏洞隱患的設備佔比約34%,這些設備的廠商、型號、版本、參數等信息長期遭惡意嗅探,僅在2019年上半年嗅探事件就高達5,151萬起。另外,CNCERT發現境內具有一定用戶規模的大型工業雲平臺40余家,業務涉及能源、金融、物流、智慧製造、智慧城市、醫療健康等方面,並監測到根雲、航太雲網、COSMOPlat、OneNET、OceanConnect等大型工業雲平臺持續遭受漏洞利用、拒絕服務、暴力破解等網絡攻擊,工業雲平臺已經成為網絡攻擊的重點目標。

圖9 2019年上半年發現的聯網工業設備類型分佈情況

    3. 重點行業安全情況

    涉及國計民生的重點行業監控管理系統因存在網絡配置疏漏等問題,可能會直接暴露在互聯網上,一旦遭受網絡攻擊,影響巨大。為評估重要行業聯網系統的網絡安全風險情況,2019年上半年CNCERT對水電和醫療健康兩個行業的聯網監控或管理系統開展了網絡安全監測與分析,發現水電行業暴露相關監控管理系統139個,涉及生産管理和生産監控2大類;醫療健康行業暴露相關數據管理系統709個,涉及醫學信息和基因檢測2大類,如圖10所示。同時,CNCERT監測發現,在以上水電和健康醫療行業暴露的系統中,存在高危漏洞隱患的系統佔比分別為25%和72%,且部分暴露的監控或管理系統存在遭境外惡意嗅探、網絡攻擊情況。

圖10 2019年上半年發現的重點行業聯網監控管理系統分類

    (七)互聯網金融安全

    為實現對我國互聯網金融平臺網絡安全總體態勢的宏觀監測,CNCERT發揮技術優勢,建設了國家互聯網金融風險分析技術平臺網絡安全監測功能,對我國互聯網金融相關網站、移動APP等的安全風險進行監測。

    1. 互聯網金融網站安全情況

    2019年上半年,CNCERT監測發現互聯網金融網站的高危漏洞92個,其中SQL注入漏洞27個(佔比29.3%);其次是遠端代碼執行漏洞20個(佔比21.7%)和敏感信息泄漏漏洞16個(佔比17.4%),如圖11所示。近年來,隨著互聯網金融行業的發展,互聯網金融平臺運營者的網絡安全意識有所提升,互聯網金融平臺的網絡安全防護能力有所加強,特別是規模較大的平臺,但仍有部分平臺安全防護能力不足,安全隱患較多。

圖11 互聯網金融網站高危漏洞分佈情況

    2. 互聯網金融APP安全情況

    在移動互聯網技術發展和應用普及的背景下,用戶通過互聯網金融APP進行投融資的活動愈加頻繁,絕大多數的互聯網金融平臺通過移動APP開展業務,且有部分平臺僅通過移動APP開展業務。2019年上半年,CNCERT對105款互聯網金融APP進行檢測,發現安全漏洞505個,其中高危漏洞239個。在這些高危漏洞中,明文數據傳輸漏洞數量最多有59個(佔高危漏洞數量的24.7%),其次是網頁視圖(Webview)明文存儲密碼漏洞有58個(佔24.3%)和源代碼反編譯漏洞有40個(佔16.7%),如圖12所示。這些安全漏洞可能威脅交易授權和數據保護,存在數據洩露風險,其中部分安全漏洞影響應用程式的文件保護,不能有效阻止應用程式被逆向或者反編譯,進而使應用暴露出多種安全風險。

圖12 互聯網金融移動APP高危漏洞分佈情況

    二、2019年上半年我國互聯網網絡安全狀況特點

    (一)個人信息和重要數據洩露風險嚴峻

    2019年初,在我國境內大量使用的MongoDB、Elasticsearch數據庫相繼曝出存在嚴重安全漏洞,可能導致數據洩露風險,凸顯了我國數據安全問題嚴重。CNCERT抽樣監測發現,我國境內互聯網上用於MongoDB數據庫服務的IP地址約2.5萬個,其中存在數據洩露風險的IP地址超過3,000個,涉及我國一些重要行業。Elasticsearch數據庫也曝出類似安全隱患。經過分析,CNCERT發現這兩個數據庫均是在默認情況下,無需許可權驗證即可通過默認端口本地或遠端訪問數據庫並進行任意的增、刪、改、查等操作。在數據庫啟用連接公共互聯網前,用戶需做好相關安全設置以及數據庫訪問安全策略,才能有效避免數據洩露風險。

    (二)多個高危漏洞曝出給我國網絡安全造成嚴重安全隱患

    2019年以來,WinRAR壓縮包管理軟件、Microsoft遠端桌面服務、Oracle WebLogic wls-9-async組件等曝出存在遠端代碼執行漏洞⑤,給我國網絡安全造成嚴重安全隱患。以Oracle WebLogicwls-9-async組件存在反序列化遠端命令執行“零日”漏洞為例,該漏洞容易利用,攻擊者利用該漏洞可對目標網站發起植入後門、網頁篡改等遠端攻擊操作,對我國網絡安全構成了較為嚴重的安全隱患。這些基礎軟件廣泛應用在我國基礎應用和通用軟硬體産品中,若未得到及時修復,容易遭批量利用,造成嚴重危害。同時,近年來“零日”漏洞收錄數量持續走高,在2019年上半年CNVD收錄的通用型安全漏洞數量中,“零日”漏洞收錄數量佔比43.3%,同比增長34.0%,因這些漏洞在披露時尚未發佈補丁或相應的應急策略,一旦被惡意利用,將可能産生嚴重安全威脅。針對安全漏洞可能産生的危害,CNVD持續加強對重大高危漏洞的應急處置協調,2019年上半年通報安全漏洞事件萬餘起。

    (三)針對我國重要網站的DDoS攻擊事件高發

    正像前期預測,2019年具有特殊目的針對性更強的網絡攻擊越來越多。2019年上半年,CNCERT監測發現針對我國重要網站的CC攻擊事件高發。攻擊者利用公開代理伺服器向目標網站發起大量的訪問,訪問內容包括不存在的頁面、網站大文件、動態頁面等,由此來繞過網站配置的CDN節點直接對網站源站進行攻擊,達到了使用較少攻擊資源造成目標網站訪問緩慢甚至癱瘓的目的。2019年上半年,CNCERT抽樣監測發現,針對我國境內目標的DDoS攻擊中,來自境外的DDoS攻擊方式以UDP Amplification FLOOD攻擊、TCP SYN FLOOD攻擊方式等為主,其中又以UDP Amplification FLOOD攻擊方式佔比最高約75%。

    (四)利用釣魚郵件發起有針對性的攻擊頻發

    2019年上半年,CNCERT監測發現惡意電子郵件數量超過5600萬封,涉及惡意郵件附件37萬餘個,平均每個惡意電子郵件附件傳播次數約151次。釣魚郵件一般是攻擊者偽裝成同事、合作夥伴、朋友、家人等用戶信任的人,通過發送電子郵件的方式,誘使用戶回復郵件、點擊嵌入郵件正文的惡意連結或者打開郵件附件以植入木馬或間諜程式,進而竊取用戶敏感數據、個人銀行賬戶和密碼等信息,或者在設備上執行惡意代碼實施進一步的網絡攻擊活動,因欺騙迷惑性很強,用戶稍不謹慎就很容易上當。其中,對通過釣魚郵件竊取郵箱賬號密碼情況進行分析,CNCERT監測發現我國平均每月約數萬個電子郵箱賬號密碼被攻擊者竊取,攻擊者通過控制這些電子郵件對外發起攻擊。例如2019年初,某經濟駭客組織利用我國數百個電子郵箱對其他國家的商業和金融機構發起釣魚攻擊。

    三、2019年上半年網絡安全威脅治理工作開展情況

    2019年上半年,CNCERT協調處置網絡安全事件約4.9萬起,同比減少7.7%,其中安全漏洞事件最多,其次是惡意程式、網頁倣冒、網站後門、網頁篡改、DDoS攻擊等事件。此外,2019年以來,我國有關部門針對移動應用違法違規收集使用個人信息、互聯網網站安全等開展專項治理工作,以規範市場秩序、維護我國網絡安全。

    (一)我國網絡安全治理的頂層設計逐步完善

    近年來,我國用戶個人信息和重要數據保護工作受到廣泛關注,我國正在抓緊推進數據保護方面的規章制度、標準等的制定工作。2019年以來,國家互聯網信息辦公室會同各行業主管部門研究起草了《數據安全管理辦法(徵求意見稿)》、《網絡安全審查辦法(徵求意見稿)》、《個人信息出境安全評估辦法(徵求意見稿)》、《兒童個人信息網絡保護規定(徵求意見稿)》、《APP違法違規收集使用個人信息行為認定方法(徵求意見稿)》,並面向社會公開徵求意見。此外,為規範網絡安全漏洞報告和信息發佈等行為,保證網絡産品、服務、系統的漏洞得到及時修補,提高網絡安全防護水準,工業和信息化部會同有關部門起草了規範性文件《網絡安全漏洞管理規定(徵求意見稿)》,正在向社會公開徵求意見。

    (二)移動APP違規收集個人信息治理專項

    隨著移動互聯網技術的快速發展和應用,移動互聯網終端應用已成為互聯網用戶上網的首要入口和互聯網信息服務的主要形式。根據統計,我國境內應用商店數量已超過200家,上架應用近500萬款,下載總量超過萬億次,發展勢頭迅猛。與此同時,移動APP強制授權、過度索權、超範圍收集個人信息的現象大量存在,違法違規使用個人信息的問題十分突出,廣大網民對此反應強烈。CNCERT監測分析發現,在目前下載量較大的千餘款移動APP中,每款應用平均申請25項許可權,其中申請了與業務無關的撥打電話許可權的APP數量佔比超過30%;每款應用平均收集20項個人信息和設備信息,包括社交、出行、招聘、辦公、影音等;大量APP存在探測其他APP或讀寫用戶設備文件等異常行為,對用戶的個人信息安全造成潛在安全威脅。為保障個人信息安全,維護廣大網民合法權益,中央網信辦、工業和信息化部、公安部、市場監管總局決定,2019年在全國範圍組織開展APP違法違規收集使用個人信息專項治理,組織開展移動應用專項評估。專項治理工作啟動以來,多項成果文件向社會發佈,包括《百款常用APP強制開啟許可權情況通報》、《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規範》、《APP違法違規收集使用個人信息行為認定辦法》等,有效指導APP運營者加強個人信息保護,規範市場秩序。

    (三)互聯網網站安全整治專項

    2019年5月至12月,中央網信辦、工業和信息化部、公安部、市場監管總局四部門聯合開展全國範圍的互聯網網絡安全專項整治工作。專項整治工作將對未備案或備案信息不準確的網站進行清理,對攻擊網站的違法犯罪行為進行嚴厲打擊,對違法違規網站進行處罰和公開曝光。此次專項整治的一大特點是將加大對未履行網絡安全義務、發生事件的網站運營者的處罰力度,督促其切實落實安全防護責任,加強網站安全管理和維護。專項整治期間,中央網信辦將加強統籌協調,指導有關部門做好信息共用、協同配合,堅持依法依規,堅持防攝並舉,促使網站運營者網絡安全意識和防護能力有效提升,實現網站安全形勢取得明顯改觀。截至2019年6月,互聯網網站安全專項整治行動期間,共用網站安全事件511起,其中網頁篡改事件佔比最高達89.2%。

    (四)DDoS攻擊團夥治理工作

    2019年以來,CNCERT持續開展DDoS攻擊團夥的追蹤和治理工作,截至目前,2018年活躍的較大規模DDoS攻擊團夥⑥大部分已不再活躍,但有5個攻擊團夥通過不斷變換資源持續活躍。其中最活躍的攻擊團夥主要使用XorDDoS僵屍網絡發起DDoS攻擊,慣常使用包含特定字符串的惡意域名對僵屍網絡進行控制,對遊戲私服、色情、賭博等相關的伺服器發起攻擊。分析發現,惡意域名大多在境外域名註冊商註冊,並通過不斷變換控制端IP地址,持續活躍對外發起大量攻擊。 2019年上半年,我國迎來了5G商用牌照正式發放,我國互聯網的發展又進入了一個新時期。5G技術將加速更多行業的數字化轉型,拓展大市場,帶來新機遇,有力支撐數字經濟蓬勃發展。與此同時,也預示互聯網上承載的

    信息將更為豐富,物聯網將大規模發展。但用戶個人信息和重要數據洩露風險嚴峻、有針對性的攻擊行動頻發等情況,嚴重威脅我國網絡空間安全。預計在2019年下半年,保護用戶個人信息和重要數據安全、有效治理和防範網絡攻擊、全面研究新技術新業務應用帶來的安全風險等方面仍然是我們要重點關注的方向。報告中的註腳:

    ①“零日”漏洞是指CNVD收錄該漏洞時還未公佈補丁。

    ②C&C控制伺服器:全稱為Command and Control Server,即“命令及控制伺服器”,目標機器可以接收來自伺服器的命令,從而達到伺服器控制目標機器的目的。

    ③ 肉雞:接收來自C&C控制伺服器指令,對外發出大量流量的被控聯網設備。

    ④ 製造報文規範(MMS)協議是ISO 9506標準所定義的一套用於工業控制系統的通信協議,目的是為了規範工業領域具有通信能力的智慧感測器、智慧電子設備、智慧控制設備的通信行為,使系統整合變得簡單、方便。

    ⑤ 對應的CNVD編號:WinRAR系列任意代碼執行漏洞(CNVD-2019-04911、CNVD-2019-04912、CNVD-2019-04913與CNVD-2019-04910),Microsoft遠端桌面服務遠端代碼執行漏洞(CNVD-2019-14264),Oracle WebLogic wls9-async反序列化遠端命令執行漏洞(CNVD-C-2019-48814)。

    ⑥ CNCERT發佈的《2018 年活躍DDoS攻擊團夥分析報告》

    2019年上半年我國互聯網網絡安全態勢

關閉