?
网络安全

2018年1月西藏自治区互联网网络安全月报

发布时间: 2018-02-27 11:54:15    浏览次数: 71

    一、 1月我区网络安全基本态势

2018年1月,我区网络运行总体平稳,互联网骨干网各项监测指标正常,未出现造成较大影响的基础网络运行故障,未发生较大及以上网络安全事件;根据西藏分中心流监测分析系统对西藏电信、移动、联通三个公司的省际出口流量监测结果,发现全网流量基本正常,无异常流量。

    二、 我区网络流量监测情况

    (一) 全网流量

2018年1月,我区全网流量峰值为428Gbps,峰值出现时间为1月12日22:25,每日20:00至00:00流量较高;全网流量谷值为52Gbps,谷值出现时间为1月5日06:45,每日04:00至08:00流量较低;全网平均流量为228.11Gbps;全网流量按传输协议分析,TCP占74.33%,UDP占25.52%;全网流量抽样如图1所示。


图1:全网流量抽样图

    (二) 跨地域流量

2018年1月,从外省流入我区的总流量为189451.48Tb,最多的三个省份分别为甘肃(40960.69Tb,约占21.62%)、陕西(31282.88Tb,约占16.51%)和四川(30210.47Tb,约占15.95%);除甘肃和四川外,云南和青海涉藏两省流入我区流量分别为8607.69Tb(约占4.54%)和119.24Tb(约占0.06%),青海是外省流入我区流量最少的省,流量分布情况如图2所示。

图2:流入我区的流量按地区分布图

 (三) 应用协议分析

2018年1月,全区全网流量最高的TCP和UDP端口及相应的应用协议分布如表1和表2所示。

      表1:TCP协议端口TOP10分布表                    表2:UDP协议端口TOP10分布表

端口号

排名

百分比

主要业务种类


端口号

排名

百分比

主要业务种类

80

1

84.05%

网页服务

1863

1

34.53%

MSN服务

443

2

11.16%

安全服务

1864

2

8.60%

未知

809

3

0.65%

未知

12345

3

6.93%

未知

8080

4

0.57%

网页服务

8000

4

5.78%

聊天服务

1935

5

0.37%

未知

123

5

4.85%

未知

8088

6

0.21%

未知

8080

6

2.62%

网页服务

1863

7

0.19%

未知

16285

7

2.61%

未知

4466

8

0.18%

未知

5041

8

2.05%

未知

8410

9

0.14%

未知

1024

9

2.05%

未知

4443

10

0.14%

MSN服务

54321

10

1.38%

未知

    三、 网络安全事件分析

    (一) 木马僵尸活动情况

北京赛车pk10开奖直播 www.w6v0k.net 2018年1月,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)对木马僵尸的活动状况进行了抽样监测,发现境内51.68万个IP地址对应的主机被木马或僵尸程序秘密控制,事件高发的三个省份分别为广东(约占10.96%)、浙江(约占10.76%)和河南(约占10.76%),其分布情况如图3所示;发现境内被利用作为木马或僵尸程序控制服务器对应的IP地址有2339个,事件高发的三个省份分别为广东(约占20.14%)、北京(约占16.67%)和浙江(约占7.18%),其分布情况如图4所示。

     

图3:境内木马或僵尸程序受控主机按地区分布图

 

     

图4: 境内木马或僵尸程序控制服务器按地区分布图

我区被木马或僵尸程序秘密控制对应的IP地址共有485个,较2017年12月份下降8.49%;事件高发的三个地区分别为拉萨(约占56.08%)、日喀则(约占12.58%)和昌都(约占8.04%),其分布情况如图5所示;我区被利用作为木马或僵尸程序控制服务器对应的IP数量为3个。

图5:区内被木马、僵尸控制的主机按地市分布图

    (二) DDoS攻击事件

2018年1月,CNCERT/CC对DDoS攻击事件进行了监测,发现区内被控制端利用,向攻击目标发起DDoS攻击的肉鸡共276个。事件高发的三个地区分别为拉萨(约占95.29%)、林芝(约占1.45%)和山南(约占1.09%),其分布情况如图6所示。


图6:区内肉鸡按地市分布图

监测发现被攻击者利用发起反射攻击的反射服务器共24个,事件高发的三个地区分别为日喀则(约占58.33%)、昌都(约占16.67%)和拉萨(约占12.50%),其分布情况如图7所示。


7:区内反射服务器按地市分布图

(三) 飞客”蠕虫病毒事件

2018年1月,CNCERT/CC对“飞客”蠕虫的活动状况进行了抽样监测,发现境内感染“飞客”蠕虫的主机IP 地址共30.84万个。事件高发的三个省份分别为广东(约占29.59%)、浙江(约占7.46%)和江苏(约占6.14%),其分布情况如图8所示。

             

图8:境内感染飞客蠕虫的主机按地区分布图

我区感染飞客蠕虫病毒主机IP数量306个,较2017年12月份下降26.09%,事件高发的三个地区分别为拉萨(约占69.28%)、日喀则(约占13.40%)、昌都(约占6.86%),其分布情况如图9所示。


图9:区内感染飞客蠕虫的主机按地市分布图

    (四) 网页篡改事件

2018年1月,CNCERT/CC对网页篡改事件进行了抽样监测,发现境内被篡改的网站共4101个。事件高发的三个省份分别为广东(约占43.53%)、北京(约占12.78%)和河南(约占8.83%),其分布情况如图10所示;境内被篡改网站数量按类型分布统计,事件高发的三个类型分别为.COM(约占65.47%)、.NET(约占8.56%)和.ORG(约占1.95%),其情况如图11所示。

     

图10:境内被篡改网站按地区分布图

     

图11:境内被篡改网站按类型分布图

1月份,我区未发现被篡改的网站。

(五) 网站后门事件

2018年1月,CNCERT/CC对网站后门事件进行了抽样监测,发现境内网站后门事件共2606个,事件高发的三个省份分别为广东(约占35.61%)、北京(约占18.92%)和河南(约占9.21%),其分布情况如图12所示;境内被植入后门网站数量按类型分布统计,事件高发的三个类型分别为.COM(约占57.18%)、.NET(约占5.33%)和.GOV(约占4.45%),其情况如图13所示。

        

图12:境内被植入后门网站按地区分布图

     

    图13:境内被植入后门网站按类型分布图

1月份,我区未发现被植入后门的网站。

 四、 业界新闻速递

(一) 全国信息安全标准化技术委员会发布《网络安全实践指南—CPU熔断和幽灵漏洞防范指引》

1月16日消息 全国信息安全标准化技术委员会秘书处(以下简称“信安标委秘书处”)针对近期披露的CPU熔断(Meltdown)和幽灵(Spectre)漏洞,组织相关厂商和安全专家,编制发布了《网络安全实践指南—CPU熔断和幽灵漏洞防范指引》(以下简称《防范指引》)。

信安标委秘书处相关负责人表示,熔断和幽灵漏洞影响范围覆盖主流CPU,引发广泛的关注。相关厂商应及时应对,为产品提供必要的技术支持,有序开展补丁升级工作,引导用户提高安全意识,有效控制相关风险,维护用户利益。

据介绍,本次披露的漏洞属于芯片级漏洞,主要影响和风险包括窃取内存数据、造成敏感信息泄漏等。目前尚未发现利用上述漏洞针对个人用户的直接攻击。

《防范指引》就受熔断和幽灵漏洞威胁的四类典型用户,包括云服务提供商、服务器用户、云租户、个人用户等,给出了详细的防范指引,并提供了部分厂商安全公告和补丁链接。其中,云服务提供商和服务器用户应在参考CPU厂商和操作系统厂商建议的基础上,结合自身环境制定升级方案,综合考虑安全风险、性能损耗等因素,采取相关安全措施防范安全风险;云租户和个人用户应及时关注云服务提供商、操作系统厂商、浏览器厂商等提供的安全补丁,及时升级,避免受到漏洞的影响?!斗婪吨敢啡目赏ü梦市虐脖晡净竦茫╳ww.tc260.org.cn)。

(二) 以德交易所DNS遭黑客劫持 已损失超过26.6万美元

12月29日消息,以德(EtherDelta)是用于以太坊(Ethereum)与ERC20兼容代币(已经部署在Ethereum区块链上的代币)之间进行交易的加密货币交易所。它并不需要登录,并且可以在全世界任何地区都能安全使用。因其分布式、去中心化以及加密签名交易的特性,而深受加密货币交易者的欢迎。

这个深受的加密货币交易所遭遇了黑客攻击,许多用户在不知情的情况下将其代币发送给了黑客,而不是用于交换。

据调查统计,至少有308个以太币(约价值266,789美元)以及其他潜在价值超过数十万美元的代币被盗。

EtherDelta是一个去中心化交易所,提供去中心化、分布式交易,它涵盖了几乎所有类型以太坊代币的交易。

与较大的交易所相比,它的交易量并不大,但是在ICO(初始投币产品)中生成新的代币之后,这对于交易者来说是重要的第一步。

显然,支配EtherDelta行为的智能合约在攻击中并没有受到损害。相反,攻击者成功地劫持了EtherDelta的DNS服务器,并为交易者提供了一个虚假版本。虚假网站模仿了真实网站的域名,这比常见的网络钓鱼攻击更为危险。

整个攻击只存在了几个小时,真实的EtherDelta网站很快就得到了恢复。但就是在这几个小时期间,已经有很多交易者向黑客发送了以太币或其他代币的令牌。

这些代币从下午1:40开始流入,直到大约晚上8点。攻击者在周四凌晨1:30左右将大部分资金转移到了其他地址。

EtherDelta官方在Twitter上确认了这一攻击事件,并建议所有用户暂时不要使用该网站。

(三) 法德将联合向二十国集团提交比特币监管建议

1月20日消息 法国经济和财政部日前提供的资料显示,法德两国将在今年3月向二十国集团共同提交比特币监管建议。

法国经济和财政部长布鲁诺?勒梅尔与德国财政部长彼得?阿尔特迈尔18日在巴黎举行了联合新闻发布会。勒梅尔说,法德双方对比特币风险有相同的担忧,对比特币监管也有同样的目标,双方将就比特币风险联合撰写分析报告及监管建议,这些成果将在今年3月举行的二十国集团财长会上提交给二十国集团。

另据法国媒体报道,阿尔特迈尔当日在新闻发布会上说,对于比特币及其他类似货币,德法政府有共同责任向两国民众解释此类货币的风险,以及通过监管来减少风险。

有别于传统货币,比特币实际上是一种基于区块链技术的加密数据。目前,已有多个国家出于管控金融风险、打击洗钱行为等考虑,收紧对比特币的监管。

(四) 一加承认多达4万名客户受到信用卡安全漏洞的影响

1月20日消息,OnePlus宣布,最近有4万名客户受到安全漏洞的影响,导致该公司在本周早些时候关闭了在线商店的信用卡支付。目前,第三方安全机构正在进行调查导致客户信用卡信息在购买OnePlus产品时被盗的漏洞。

尽管在过去一周内只有信用卡信息被盗用和欺诈性购买的报道,但OnePlus表示,自11月中旬以来,盗取数据的脚本已经在其中一台支付处理服务器上运行。该脚本能够直接从客户的浏览器窗口中获取完整的信用卡信息,包括卡号、到期日期和安全代码。该公司表示,已经确定了攻击发生的地点,并已经找到攻击者的入口点,但调查仍在进行中。

目前尚不清楚这种攻击是否是远程完成的,或者是否有人物理访问服务器来安装脚本。在一篇详细介绍调查结果的论坛帖子中,OnePlus表示脚本“间歇性”运行,受感染的服务器已经与系统的其他部分隔离。它还表示,通过已经保存信息的信用卡支付的客户,通过PayPal处理的信用卡或通过PayPal账户支付的客户应该不会受到影响。

OnePlus发言人表示,遭受攻击的4万名客户仅占其客户总数的一小部分。该公司正在向受影响的客户伸出援手,并免费提供一年的信用监测服务。调查期间还与地方当局合作。信用卡付款将在OnePlus.net商店中保持禁用,直到调查完成,同时客户可以通过PayPal购买物品。OnePlus表示,它正在努力实施更安全的信用卡付款方式。

上周,OnePlus首席执行官刘佩特告诉CNET,它正在探索与美国运营商的合作关系,但一位发言人证实,这一安全漏洞不会改变OnePlus在线销售策略方面的任何事情。该公司目前还没有计划将其商店转移到亚马逊或其他电子商务平台。

 


 

附录:术语解释

信息系统

信息系统是指由计算机硬件、软件、网络和通信设备等组成的以处理信息和数据为目的的系统。

漏洞

漏洞是指信息系统中的软件、硬件或通信协议中存在缺陷或不适当的配置,从而可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险。

恶意程序

恶意程序是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序。恶意程序分类说明如下:

1.  特洛伊木马(Trojan Horse

特洛伊木马(简称木马)是以盗取用户个人信息,甚至是远程控制用户计算机为主要目的的恶意代码。由于它像间谍一样潜入用户的计算机,与战争中的“木马”战术十分相似,因而得名木马。按照功能,木马程序可进一步分为:盗号木马[1]、网银木马[2]、窃密木马[3]、远程控制木马[4]、流量劫持木马[5]、下载者木马[6]和其它木马七类。

2.  僵尸程序(Bot)

僵尸程序是用于构建大规模攻击平台的恶意代码。按照使用的通信协议,僵尸程序可进一步分为:IRC僵尸程序、Http僵尸程序、P2P僵尸程序和其它僵尸程序四类。

3.  蠕虫(Worm)

蠕虫是指能自我复制和广泛传播,以占用系统和网络资源为主要目的的恶意代码。按照传播途径,蠕虫可进一步分为:邮件蠕虫、即时消息蠕虫、U盘蠕虫、漏洞利用蠕虫和其它蠕虫五类。

4.  病毒(Virus)

病毒是通过感染计算机文件进行传播,以破坏或篡改用户数据,影响信息系统正常运行为主要目的恶意代码。

5.  其它

上述分类未包含的其它恶意代码。

随着黑客地下产业链的发展,互联网上出现的一些恶意代码还具有上述分类中的多重功能属性和技术特点,并不断发展。对此,我们将按照恶意代码的主要用途参照上述定义进行归类。

僵尸网络

僵尸网络是被黑客集中控制的计算机群,其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为,如可同时对某目标网站进行分布式拒绝服务攻击,或发送大量的垃圾邮件等。

拒绝服务攻击

网页篡改是恶意破坏或更改网页内容,使网站无法正常工作或出现黑客插入的非正常网页内容。

网页仿冒

网页仿冒是通过构造与某一目标网站高度相似的页面(俗称钓鱼网站),并通常以垃圾邮件、即时聊天、手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息,诱骗用户访问钓鱼网站,以获取用户个人秘密信息(如银行帐号和帐户密码)。

网页挂马

网页挂马是通过在网页中嵌入恶意代码或链接,致使用户计算机在访问该页面时被植入恶意代码。

网站后门

网站后门事件是指黑客在网站的特定目录中上传远程控制页面从而能够通过该页面秘密远程控制网站服务器的攻击事件。

垃圾邮件

垃圾邮件是将不需要的消息(通常是未经请求的广告)发送给众多收件人。包括:(一)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件;(二)收件人无法拒收的电子邮件;(三)隐藏发件人身份、地址、标题等信息的电子邮件;(四)含有虚假的信息源、发件人、路由等信息的电子邮件。

域名劫持

域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据,使得用户在访问相关域名时返回虚假IP地址或使用户的请求失败。

非授权访问

非授权访问是没有访问权限的用户以非正当的手段访问数据信息。非授权访问事件一般发生在存在漏洞的信息系统中,黑客利用专门的漏洞利用程序(Exploit)来获取信息系统访问权限。

路由劫持

路由劫持是通过欺骗方式更改路由信息,以导致用户无法访问正确的目标,或导致用户的访问流量绕行黑客设定的路径,以达到不正当的目的。

DDoS攻击

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发送密集的攻击包,或执行特定的攻击操作,从而成倍地提高拒绝服务攻击的能力。以期致使目标停止提供服务。

1. 肉鸡资源

指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。

2. 反射服务器资源

指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器、NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络。

3. 跨域伪造流量来源路由器

是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷。且该路由器下的网络中存在发动DDoS攻击的设备。



[1]:盗号木马是用于窃取用户电子邮箱、网络游戏等账号的木马。

[2]:网银木马是用于窃取用户网银、证券等账号的木马。

[3]:窃密木马是用于窃取用户主机中敏感文件或数据的木马。

[4]:远程控制木马是以不正当手段获得主机管理员权限,并能够通过网络操控用户主机的木马。

[5]:流量劫持木马是用于劫持用户网络浏览的流量到攻击者指定站点的木马。

[6]:下载者木马是用于下载更多恶意代码到用户主机并运行,以进一步操控用户主机的木马。

附件:

?

西藏自治区通信管理局版权所有 2010-2015

COPYRIGHT 2005 www.w6v0k.net ALL RIGHTS RESERVED 藏ICP备05000001

藏公网安备 54010202000074号

地址:西藏自治区拉萨市太阳岛一路13号

电话:0891-6871028   邮编:850006

90| 970| 278| 596| 478| 382| 747| 872| 339| 731|