青海省11月网络安全事件监测数据导读

(一)木马或僵尸程序监测数据

11月,我省受木马或僵尸程序控制的主机IP数量为5056个,较上月受控主机数量(3219个)增加1837个。

2015年12月-2016年11月受木马或僵尸程序控制的主机IP数量按月分布情况如图1所示。

图1  2015年12月-2016年11月省内受木马或僵尸程序控制主机IP数量按月分布

11月,省内受木马或僵尸程序控制的主机IP数量中,青海电信用户所占比例最大,具体分布情况如图2所示。    

图2  11月省内受木马或僵尸程序控制主机IP数量按运营商分布

(二)感染“飞客”蠕虫数据

11月,QHCERT对省内感染“飞客”蠕虫病毒进行汇总分析发现,我省感染“飞客”蠕虫病毒的主机IP数量为1014个,较上月794个增加220个。

2015年12月-2016年11月感染“飞客”蠕虫病毒主机IP数量月变化情况如图3所示。

图3  2015年12月-2016年11月省内感染“飞客”蠕虫病毒主机IP数量按月分布

11月,省内感染“飞客”蠕虫病毒主机IP数量中,青海电信用户所占比例最大,具体分布情况如图4所示。

图4  11月省内感染“飞客”蠕虫病毒主机IP数量按运营商分布

(三)恶意代码监测情况

11月,通过CNCERT/CC监测发现新增恶意代码名称数4个,新增恶意代码家族数2个。

2016年新增恶意代码月变化情况如图5所示。

图5  2016年新增恶意代码按月变化分布

恶意代码主要针对一些防护比较薄弱、访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载恶意代码。11月,监测发现放马站点中涉及的域名和IP数量共184个,排名前十的活跃放马站点域名和IP如表一所示。

表一:活跃放马站点域名和IP排行

排序

活跃放马站点域名

活跃放马站点IP

1

www.go890.com

183.60.106.54

2

url.222bz.com

106.37.238.1

3

url.tudown.com

120.26.127.170

4

dl.wandoujia.com

117.23.6.67

5

dl.cdn.wandoujia.com

117.23.6.68

6

idq.liukejun.com

117.23.6.64

7

url.goosai.com

117.23.6.63

8

icq.liukejun.com

123.57.144.183

9

nc-dl.wdjcdn.com

120.27.186.114

10

dljxa.caloinfo.com

139.196.242.34

11月我省未发现活跃放马站点域名和活跃放马站点。

(四)网页篡改监测情况

11月,境内被篡改网站的数量为5294个,与上月4524个相比增加770个,其中代号为“CieEler”、“L0s4r”的攻击者对境内网站进行了大量篡改。按类型分布情况如图6所示,其中,被篡改网站数量最多的分别是COM类3830个、NET类392个、GOV类142个、ORG类96个、其他834个。

图6  11月境内被篡改网站按类型分布

11月,境内政府网站被篡改数量为142个,较上月152个减少10个,占境内被篡改网站总数的2.7%。其中11月20日被篡改数量最多,达到33个。变化情况如图7所示,呈波动趋势。

图7  11月境内政府网站被篡改数量趋势

11月我省发生1起学校网站网页暗链事件。

11月,篡改境内网站数量前10位的攻击者如表二所示。

表二:篡改境内网站数量排行TOP10的攻击者

排序

攻击者名称

篡改网站数量

所属地域

1

CieEler

14

未知

2

L0s4r

11

境内

3

MagelangCybe

10

未知

4

越南邻国宰相

3

境内

5

BlackDoom

3

境内

6

陌影

2

未知

7

幽灵浪

2

未知

8

Βǒdg●d

2

未知

9

iskorpitx

2

未知

10

1923Turk

2

境外

(五)网站后门监测情况

11月,境内被植入后门的网站数量为5238个,较上月4235个相比增加1003个。按类型分布情况如图8所示。其中,被植入后门数量最多的分别是COM类3319个、NET类251个、GOV类175个、ORG类102个、EDU类77个、其他1359个。

8  11月境内被植入后门的网站按类型分布

11月,境内政府网站被植入后门的数量为175个,占境内被植入后门网站总数的3.3%。其中11月19日被植入后门数量最多,达到36个。变化情况如图9所示,呈波动趋势。


图9  11月境内政府网站被植入后门数量趋势

11月我省发生5起政府和企业信息系统网站后门事件。

(六)移动互联网监测情况

1.移动互联网恶意代码传播下载分析

11月,QHCERT监测发现,我省移动互联网恶意代码传播下载的数量为12721个,分布情况如图10所示。其中,移动恶意代码下载数量流氓行为占39.33%、恶意扣费占26.42%、隐私窃取占19.10%、资费消耗占14.57%、远程控制占0.55%、系统破坏占0.02%。

图10  11月移动恶意代码传播下载情况分析

2.移动互联网恶意代码活跃度情况分析

11月,QHCERT监测发现,我省移动互联网恶意代码活跃的数量为2,0007,828个,分布情况如图11所示。其中,移动恶意代码活跃度最多的分别是隐私窃取占96.64%、流氓行为占0.55%、诱骗欺诈0.06%、恶意扣费占1.75%、远程控制占0.64%、资费消耗占0.26%、恶意传播0.03%、恶意传播0.10%。

图11  11月移动恶意代码活跃度情况分析