青海省6月网络安全事件监测数据导读

(一)木马或僵尸程序监测数据

6月,我省受木马或僵尸程序控制的主机IP数量为11787个,较上月受控主机数量(2955个)上升8832个。

2016年6月-2017年6月受木马或僵尸程序控制的主机IP数量按月分布情况如图1所示。


图1  2016年7月-2017年6月省内受木马或僵尸程序控制主机IP数量按月分布

6月,省内受木马或僵尸程序控制的主机IP数量中,青海电信用户所占比例最大,具体分布情况如图2所示。    

图2  6月省内受木马或僵尸程序控制主机IP数量按运营商分布

(二)感染“飞客”蠕虫数据

6月,QHCERT对省内感染“飞客”蠕虫病毒进行汇总分析发现,我省感染“飞客”蠕虫病毒的主机IP数量为784个,较上月数量(696个)增加88个。

2016年7月-2017年6月感染“飞客”蠕虫病毒主机IP数量月变化情况如图3所示。

图3  20167月-20176月省内感染“飞客”蠕虫病毒主机IP数量按月分布

6月,省内感染“飞客”蠕虫病毒主机IP数量中,青海电信用户所占比例最大,具体分布情况如图4所示。


图4   6月省内感染“飞客”蠕虫病毒主机IP数量按运营商分布

(三)恶意代码监测情况

6月,通过CNCERT/CC监测未发现新增恶意代码,新增恶意代码家族数0个。

恶意代码主要针对一些防护比较薄弱、访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载恶意代码。6月,监测发现放马站点中涉及的域名和IP数量共507个,排名前十的活跃放马站点域名和IP如表一所示。

表一:活跃放马站点域名和IP排行

排序

活跃放马站点域名

活跃放马站点IP

1

dl.wandoujia.com

106.37.238.1

2

dl.cdn.wandoujia.com

111.206.15.2

3

nc-dl.wdjcdn.com

120.26.127.170

4

i.kpzip.com

61.136.163.78

5

cl.xzqxzs.com

183.60.106.54

6

cl.gxjsxq.com

122.70.142.167

7

www.go890.com

61.133.192.170

8

down.nxwb.net

222.28.152.177

9

cl2.cjsdxz.com

61.233.139.70

10

cl2.dhfszh.com

110.40.4.3

6月我省未发现活跃放马站点域名和活跃放马站点。

(四)网页篡改监测情况

6月,境内被篡改网站的数量为3669个,与上月6245个相比减少41.25%,其中代号为“暗链测试”、“Ramnit后门”的攻击者对境内网站进行了大量篡改。按类型分布情况如图5所示,其中,被篡改网站数量最多的分别是COM类2683个、NET类215个、GOV类117个、ORG类66个、其他588个。


5  6月境内被篡改网站按类型分布

6月,境内政府网站被篡改数量为117个,占境内被篡改网站总数的3.2%。其中6月12日被篡改数量最多,达到21个。变化情况如图6所示,呈波动趋势。


6  6月境内政府网站被篡改数量趋势

6月我省发生2起政府及企业网站暗链事件。

6月,篡改境内网站数量前10位的攻击者如表二所示。

表二:篡改境内网站数量排行TOP10的攻击者

排序

攻击者名称

篡改网站数量

所属地域

1

暗链测试

1886

境内

2

未知

1082

未知

3

Ramnit后门

627

未知

4

网站后门

6

未知

5

BlackDoom

3

未知

6

MagelangCybe

2

境外

7

陌影

2

境内

8

L0s4r

2

未知

9

hossein007

2

未知

10

AshiyaneDigitalSecurityTeam

2

境外

(五)网站后门监测情况

6月,境内被植入后门的网站数量为4226个,较上月4916个相比减少了14.04%。按类型分布情况如图7所示。其中,被植入后门数量最多的分别是COM类2336个、NET类286个、GOV类213个、ORG类112个、EDU类91个、其他1188个。


7  6月境内被植入后门的网站按类型分布

6月,境内政府网站被植入后门的数量为213个,占境内被植入后门网站总数的5.0%。其中6月5日被植入后门数量最多,达到30个。变化情况如图8所示,呈波动趋势。


8  6月境内政府网站被植入后门数量趋势

6月我省发生9起政府及企业网站后门事件。