4月网络安全事件监测数据
(一)木马或僵尸程序监测数据
4月,我省受木马或僵尸程序控制的主机IP数量为6662个,较上月受控主机数量(10309个)减少3647个。
2016年5月-2017年4月受木马或僵尸程序控制的主机IP数量按月分布情况如图1所示。
图1 2016年5月-2017年4月省内受木马或僵尸程序控制主机IP数量按月分布
4月,省内受木马或僵尸程序控制的主机IP数量中,青海电信用户所占比例最大,具体分布情况如图2所示。
图2 2月省内受木马或僵尸程序控制主机IP数量按运营商分布
(二)感染“飞客”蠕虫数据
4月,QHCERT对省内感染“飞客”蠕虫病毒进行汇总分析发现,我省感染“飞客”蠕虫病毒的主机IP数量为665个,较上月数量(787个)减少122个。
2016年5月-2017年4月感染“飞客”蠕虫病毒主机IP数量月变化情况如图3所示。
图3 2016年5月-2017年4月省内感染“飞客”蠕虫病毒主机IP数量按月分布
4月,省内感染“飞客”蠕虫病毒主机IP数量中,青海电信用户所占比例最大,具体分布情况如图4所示。
图4 4月省内感染“飞客”蠕虫病毒主机IP数量按运营商分布
(三)恶意代码监测情况
4月,通过CNCERT/CC监测发现新增恶意代码名称数10个,新增恶意代码家族数3个。
恶意代码主要针对一些防护比较薄弱、访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载恶意代码。4月,监测发现放马站点中涉及的域名和IP数量共3834个,排名前十的活跃放马站点域名和IP如表一所示。
表一:活跃放马站点域名和IP排行
排序 | 活跃放马站点域名 | 活跃放马站点IP |
1 | kltg.241804.com | 106.37.238.1 |
2 | nc-dl.wdjcdn.com | 183.60.106.54 |
3 | dl.wandoujia.com | 218.75.153.14 |
4 | dl.cdn.wandoujia.com | 120.26.127.170 |
5 | www.go890.com | 61.233.139.70 |
6 | down.91dmz.com | 61.133.192.170 |
7 | down.downxiazai.net | 113.142.84.78 |
8 | down.nxwb.net | 115.231.153.8 |
9 | idq.liukejun.com | 180.97.77.96 |
10 | icq.liukejun.com | 123.138.23.10 |
4月我省未发现活跃放马站点域名和活跃放马站点。
(四)网页篡改监测情况
4月,境内被篡改网站的数量为6312个,与上月5252个相比增加20.18%,其中代号为“暗链测试”、“暗链攻击”的攻击者对境内网站进行了大量篡改。按类型分布情况如图5所示,其中,被篡改网站数量最多的分别是COM类4065个、NET类528个、GOV类194个、ORG类133个、其他1392个。
图3 4月境内被篡改网站按类型分布
4月,境内政府网站被篡改数量为194个,占境内被篡改网站总数的3.1%。其中4月8日被篡改数量最多,达到38个。变化情况如图6所示,呈波动趋势。
4月我省发生3起企业网站网页篡改及暗链事件。
4月,篡改境内网站数量前10位的攻击者如表二所示。
表二:篡改境内网站数量排行TOP10的攻击者
排序 | 攻击者名称 | 篡改网站数量 | 所属地域 |
1 | 暗链测试 | 1979 | 境内 |
2 | 暗链攻击 | 1835 | 未知 |
3 | 未知 | 1181 | 未知 |
4 | 页面攻击 | 955 | 未知 |
5 | Ramnit后门 | 438 | 境内 |
6 | 夹带攻击 | 70 | 未知 |
7 | 搜索引擎劫持_baidu | 40 | 未知 |
8 | 搜索引擎劫持_google | 36 | 未知 |
9 | 搜索引擎劫持_sogou | 14 | 未知 |
10 | 网站后门 | 13 | 未知 |
(五)网站后门监测情况
4月,境内被植入后门的网站数量为3940个,较上月5422个相比增加27.33%。按类型分布情况如图7所示。其中,被植入后门数量最多的分别是COM类2210个、NET类294个、GOV类200个、ORG类122个、EDU类83个、其他1031个。
4月,境内政府网站被植入后门的数量为200个,占境内被植入后门网站总数的5.1%。其中4月24日被植入后门数量最多,达到27个。变化情况如图8所示,呈波动趋势。
4月我省发生9起政府及企业网站后门事件。
(六)移动互联网监测情况
1.移动互联网恶意代码传播下载分析
4月,QHCERT监测发现,我省移动互联网恶意代码传播下载的数量为3319300个,分布情况如图9所示。其中,移动恶意代码下载数量最多的分别是隐私窃取占70.93%、流氓行为占15.75%、资费消耗占7.64%、恶意扣费占5.37%、诱骗欺诈0.04%、远程控制占0.26%。
图9 4月移动恶意代码传播下载情况分析
2.移动互联网恶意代码活跃度情况分析
4月,QHCERT监测发现,我省移动互联网恶意代码活跃的数量为1559176个,分布情况如图10所示。其中,移动恶意代码活跃度最多的分别是隐私窃取占96.16%、恶意扣费占2.43%、远程控制占0.73%、流氓行为占0.55%、诱骗欺诈0.04%、恶意传播0.01%。
图10 4月移动恶意代码活跃度情况分析