青海省5月网络安全事件监测数据导读

5月网络安全事件监测数据

(一)木马或僵尸程序监测数据

5月,我省受木马或僵尸程序控制的主机IP数量为2955个,较上月受控主机数量(6662个)减少3707个。

2016年6月-2017年5月受木马或僵尸程序控制的主机IP数量按月分布情况如图1所示。

图1  2016年6月-2017年5月省内受木马或僵尸程序控制主机IP数量按月分布

5月,省内受木马或僵尸程序控制的主机IP数量中,青海电信用户所占比例最大,具体分布情况如图2所示。    

图2  5月省内受木马或僵尸程序控制主机IP数量按运营商分布

(二)感染“飞客”蠕虫数据

5月,QHCERT对省内感染“飞客”蠕虫病毒进行汇总分析发现,我省感染“飞客”蠕虫病毒的主机IP数量为696个,较上月数量(665个)增加31个。

2016年6月-2017年5月感染“飞客”蠕虫病毒主机IP数量月变化情况如图3所示。

图3  20165月-20175月省内感染“飞客”蠕虫病毒主机IP数量按月分布

5月,省内感染“飞客”蠕虫病毒主机IP数量中,青海电信用户所占比例最大,具体分布情况如图4所示。

图4   5月省内感染“飞客”蠕虫病毒主机IP数量按运营商分布

(三)恶意代码监测情况

5月,通过CNCERT/CC监测发现新增恶意代码名称数4个,新增恶意代码家族数1个。

恶意代码主要针对一些防护比较薄弱、访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载恶意代码。5月,监测发现放马站点中涉及的域名和IP数量共3854个,排名前十的活跃放马站点域名和IP如表一所示。

表一:活跃放马站点域名和IP排行

排序

活跃放马站点域名

活跃放马站点IP

1

www.go890.com

183.60.106.54

2

cl.xzqxzs.com

120.26.127.170

3

down.nxwb.net

61.133.192.170

4

nc-dl.wdjcdn.com

106.37.238.1

5

i.kpzip.com

36.42.32.220

6

cl.gxjsxq.com

117.23.6.67

7

dl.wandoujia.com

117.23.6.64

8

dl.cdn.wandoujia.com

222.28.152.177

9

idq.liukejun.com

221.230.141.238

10

icq.liukejun.com

117.23.6.63

5月我省未发现活跃放马站点域名和活跃放马站点。

(四)网页篡改监测情况

5月,境内被篡改网站的数量为6245个,与上月6312个相比增加1.06%,其中代号为“暗链测试”、“暗链攻击”的攻击者对境内网站进行了大量篡改。按类型分布情况如图5所示,其中,被篡改网站数量最多的分别是COM类4042个、NET类527个、GOV类145个、ORG类134个、其他1397个。

5  5月境内被篡改网站按类型分布

5月,境内政府网站被篡改数量为145个,占境内被篡改网站总数的2.3%。其中5月9日被篡改数量最多,达到32个。变化情况如图6所示,呈波动趋势。

6  5月境内政府网站被篡改数量趋势

5月我省发生1起政府网站网页篡改及暗链事件。

5月,篡改境内网站数量前10位的攻击者如表二所示。

表二:篡改境内网站数量排行TOP10的攻击者

排序

攻击者名称

篡改网站数量

所属地域

1

暗链测试

1921

境内

2

暗链攻击

1745

未知

3

未知

1102

未知  

4

页面攻击

916

境内

5

Ramnit后门

612

未知  

6

搜索引擎劫持_google

22

未知  

7

夹带攻击

21

未知  

8

搜索引擎劫持_baidu

18

未知  

9

搜索引擎劫持_sogou

9

未知  

10

网站后门

7

境内

(五)网站后门监测情况

5月,境内被植入后门的网站数量为4916个,较上月3940个相比增加24.77%。按类型分布情况如图7所示。其中,被植入后门数量最多的分别是COM类2732个、NET类355个、GOV类228个、ORG类126个、EDU类112个、其他1363个。

7  5月境内被植入后门的网站按类型分布

5月,境内政府网站被植入后门的数量为228个,占境内被植入后门网站总数的4.6%。其中5月26日被植入后门数量最多,达到44个。变化情况如图8所示,呈波动趋势。

8  5月境内政府网站被植入后门数量趋势

5月我省发生2起学校及企业网站后门事件。

(六)移动互联网监测情况

1.移动互联网恶意代码传播下载分析

5月,QHCERT监测发现,我省移动互联网恶意代码传播下载的数量为2943300个,分布情况如图9所示。其中,移动恶意代码下载数量最多的分别是流氓行为占60.95%、隐私窃取占16.58%、资费消耗占11.26%、恶意扣费占11.06%、远程控制占0.15%。

9  5月移动恶意代码传播下载情况分析

2.移动互联网恶意代码活跃度情况分析

5月,QHCERT监测发现,我省移动互联网恶意代码活跃的数量为200127个,分布情况如图10所示。其中,移动恶意代码活跃度最多的分别是隐私窃取占97.35%、恶意扣费占1.58%、远程控制占0.53%、流氓行为占0.47%、资费消耗0.07%。

10  5月移动恶意代码活跃度情况分析