10月网络安全事件监测数据
(一)木马或僵尸程序监测数据
10月,我省受木马或僵尸程序控制的主机IP数量为3219个,较上月受控主机数量(6553个)减少3334个。
2015年11月-2016年10月受木马或僵尸程序控制的主机IP数量按月分布情况如图1所示。
图1 2015年11月-2016年10月省内受木马或僵尸程序控制主机IP数量按月分布
10月,省内受木马或僵尸程序控制的主机IP数量中,青海电信用户所占比例最大,具体分布情况如图2所示。
图2 10月省内受木马或僵尸程序控制主机IP数量按运营商分布
(二)感染“飞客”蠕虫数据
10月,QHCERT对省内感染“飞客”蠕虫病毒进行汇总分析发现,我省感染“飞客”蠕虫病毒的主机IP数量为794个,较上月992个减少198个。
2015年11月-2016年10月感染“飞客”蠕虫病毒主机IP数量月变化情况如图3所示。
图3 2015年11月-2016年10月省内感染“飞客”蠕虫病毒主机IP数量按月分布
10月,省内感染“飞客”蠕虫病毒主机IP数量中,青海电信用户所占比例最大,具体分布情况如图4所示。
图4 10月省内感染“飞客”蠕虫病毒主机IP数量按运营商分布
(三)恶意代码监测情况
10月,通过CNCERT/CC监测发现新增恶意代码名称数6个,新增恶意代码家族数2个。
2016年新增恶意代码月变化情况如图5所示。
图5 新增恶意代码按月变化分布
恶意代码主要针对一些防护比较薄弱、访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载恶意代码。10月,监测发现放马站点中涉及的域名和IP数量共259个,排名前十的活跃放马站点域名和IP如表一所示。
表一:活跃放马站点域名和IP排行
排序 | 活跃放马站点域名 | 活跃放马站点IP |
1 | www.go890.com | 120.27.186.114 |
2 | url.tduou.com | 120.26.127.170 |
3 | url.222bz.com | 114.55.188.114 |
4 | url.tudown.com | 117.23.6.64 |
5 | nc-dl.wdjcdn.com | 106.37.238.1 |
6 | dl.wandoujia.com | 117.23.6.68 |
7 | dl.cdn.wandoujia.com | 222.186.161.72 |
8 | url.goosai.com | 123.57.144.183 |
9 | c2.9377wan.cn | 112.74.141.46 |
10 | idq.liukejun.com | 117.23.6.63 |
10月我省未发现活跃放马站点域名和活跃放马站点。
(四)网页篡改监测情况
10月,境内被篡改网站的数量为4524个,与上月5241个相比减少717个,其中代号为“CieEler”、“L0s4r”的攻击者对境内网站进行了大量篡改。按类型分布情况如图6所示,其中,被篡改网站数量最多的分别是COM类3332个、NET类311个、GOV类122个、ORG类99个。
图6 10月境内被篡改网站按类型分布
10月,境内政府网站被篡改数量为122个,较上月减少10个,占境内被篡改网站总数的2.7%。其中10月20日被篡改数量最多,达到20个。变化情况如图7所示,呈波动趋势。
图7 10月境内政府网站被篡改数量趋势
10月我省发生11起政府网站网页篡改事件。
10月,篡改境内网站数量前10位的攻击者如表二所示。
表二:篡改境内网站数量排行TOP10的攻击者
排序 | 攻击者名称 | 篡改网站数量 | 所属地域 |
1 | CieEler | 13 | 未知 |
2 | L0s4r | 6 | 未知 |
3 | 搜索引擎劫持_baidu | 6 | 未知 |
4 | 暗链攻击 | 5 | 未知 |
5 | 页面攻击 | 5 | 未知 |
6 | MagelangCybe | 5 | 境内 |
7 | ColdDog | 2 | 未知 |
8 | 夹带攻击 | 2 | 未知 |
9 | Βǒdg●d | 2 | 未知 |
10 | 越南邻国宰相 | 2 | 境内 |
(五)网站后门监测情况
10月,境内被植入后门的网站数量为4235个,较上月11952个相比减少7717个。按类型分布情况如图8所示。其中,被植入后门数量最多的分别是COM类2618个、NET类215个、GOV类124个、ORG类117个、EDU类77个、其他1084个。
图8 10月境内被植入后门的网站按类型分布
10月,境内政府网站被植入后门的数量为124个,占境内被植入后门网站总数的2.9%。其中10月21日被植入后门数量最多,达到18个。变化情况如图9所示,呈波动趋势。
图9 10月境内政府网站被植入后门数量趋势
10月我省发生9起政府网站后门事件。
(六)移动互联网监测情况
1.移动互联网恶意代码传播下载分析
10月,QHCERT监测发现,我省移动互联网恶意代码传播下载的数量为15896个,分布情况如图10所示。其中,移动恶意代码下载数量流氓行为占40.37%、隐私窃取占31.32%、恶意扣费占14.76%、资费消耗占11.64%、系统破坏占1.56%、远程控制占0.35%。
图10 10月移动恶意代码传播下载情况分析
2.移动互联网恶意代码活跃度情况分析
10月,QHCERT监测发现,我省移动互联网恶意代码活跃的数量为2,053,194个,分布情况如图11所示。其中,移动恶意代码活跃度最多的分别是隐私窃取占86.12%、流氓行为占5.33%、诱骗欺诈4.60%、恶意扣费占2.93%、远程控制占0.63%、资费消耗占0.20%、系统破坏0.03%、。
图11 10月移动恶意代码活跃度情况分析