网络安全

西藏自治区互联网网络安全月报 (2018年第2期总第61期)

发布时间: 2018-03-16 15:31:17    浏览次数: 78

    一、 2月我区网络安全基本态势

2018年2月,我区网络运行总体平稳,互联网骨干网各项监测指标正常,未出现造成较大影响的基础网络运行故障,未发生较大及以上网络安全事件;根据西藏分中心流监测分析系统对西藏电信、移动、联通三个公司的省际出口流量监测结果,发现全网流量基本正常,无异常流量。

二、 我区网络流量监测情况

(一) 全网流量

2018年2月,我区全网流量峰值为1638.4Gbps,峰值出现时间为2月7日23:00,每日20:00至00:00流量较高;全网流量谷值为223.22Gbps,谷值出现时间为2月19日07:00,每日04:00至08:00流量较低;全网平均流量为848.80Gbps;全网流量按传输协议分析,TCP占79.28%,UDP占20.62%;全网流量抽样如图1所示。



图1:全网流量抽样图

    (二) 国内跨地域流量

2018年2月,从外省流入我区的总流量为249170.38Tb,最多的三个省份分别为四川(29460.38Tb,约占11.82%)、广东(25207.88Tb,约占10.12%)和甘肃(15647.94Tb,约占6.28%);除甘肃和四川外,云南和青海涉藏两省流入我区流量分别为9581.46Tb(约占3.85%)和1407.83Tb(约占0.57%),青海是外省流入我区流量最少的省,流量分布情况如图2所示。


图2:流入我区的流量按地区分布图

 (三) 应用协议分析

2018年2月,全区全网流量最高的TCP和UDP端口及相应的应用协议分布如表1和表2所示。

               表1:TCP协议端口TOP10分布                              表2:UDP协议端口TOP10分布表

端口号

排名

百分比

主要业务种类


端口号

排名

百分比

主要业务种类

80

1

88.66%

网页服务

1863

1

48.49%

MSN服务

443

2

8.97%

安全服务

1864

2

8.49%

未知

8080

3

0.35%

未知

12345

3

7.73%

未知

1935

4

0.34%

网页服务

8000

4

4.29%

聊天服务

4443

5

0.16%

MSN服务

1024

5

3.28%

未知

8088

6

0.16%

未知

5041

6

3.03%

未知

4466

7

0.15%

未知

16285

7

1.97%

未知

1863

8

0.15%

未知

8080

8

1.97%

网页服务

809

9

0.12%

未知

54321

9

1.81%

未知

8410

10

0.10%

MSN服务

123

10

1.66%

未知

三、 网络安全事件分析

(一) 木马僵尸活动情况

2018年2月,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)对木马僵尸的活动状况进行了抽样监测,发现境内28.74万个IP地址对应的主机被木马或僵尸程序秘密控制,事件高发的三个省份分别为浙江(约占12.45%)、河南(约占11.90%)和广东(约占8.54%),其分布情况如图3所示;发现境内被利用作为木马或僵尸程序控制服务器对应的IP地址有1660个,事件高发的三个省份分别为广东(约占22.29%)、北京(约占20.24%)和上海(约占9.52%),其分布情况如图4所示。



图3:境内木马或僵尸程序受控主机按地区分布图

 



                                   图4: 境内木马或僵尸程序控制服务器按地区分布图

2月份,我区被木马或僵尸程序秘密控制对应的IP地址共274个,较2018年1月份下降43.51%;事件高发的三个地区分别为拉萨(约占55.11%)、日喀则(约占16.06%)和昌都(约占9.49%),其分布情况如图5所示;我区被利用作为木马或僵尸程序控制服务器对应的IP数量为7个。


图5:区内被木马、僵尸控制的主机按地市分布图

    (二) DDoS攻击事件

2018年2月,CNCERT/CC对DDoS攻击事件进行了监测,发现区内被控制端利用,向攻击目标发起DDoS攻击的肉鸡共27个。事件高发的地市分别为拉萨与山南(各约占25.93%)、昌都与林芝(各约占18.52%)和阿里(约占7.41%),其分布情况如图6所示;未发现被攻击者利用发起反射攻击的反射服务器。



图6:区内肉鸡按地市分布图

(三) 飞客”蠕虫病毒事件

2018年2月,CNCERT/CC对“飞客”蠕虫的活动状况进行了抽样监测,发现境内感染“飞客”蠕虫的主机IP 地址共22.80万个。事件高发的三个省份分别为广东(约占29.10%)、浙江(约占7.32%)和北京(约占6.19%),其分布情况如图7所示。



图7:境内感染飞客蠕虫的主机按地区分布图

2月份,我区感染飞客蠕虫病毒主机IP数量273个,较2018年1月份下降10.78%,事件高发的地区分别为拉萨(约占69.23%)、日喀则(约占9.52%)、昌都与阿里(各约占8.06%),其分布情况如图8所示。


图8:区内感染飞客蠕虫的主机按地市分布图

      (四) 网页篡改事件

2018年2月,CNCERT/CC对网页篡改事件进行了抽样监测,发现境内被篡改的网站共3678个。事件高发的三个省份分别为广东(约占43.77%)、北京(约占13.02%)和河南(约占7.97%),其分布情况如图9所示;境内被篡改网站数量按类型分布统计,事件高发的三个类型分别为.COM(约占66.30%)、.NET(约占8.37%)和.ORG(约占1.66%),其情况如图10所示。



图9:境内被篡改网站按地区分布图



图10:境内被篡改网站按类型分布图

2月份,我区未发现被篡改的网站。

(五) 网站后门事件

2018年2月,CNCERT/CC对网站后门事件进行了抽样监测,发现境内网站后门事件共1718个,事件高发的三个省份分别为广东(约占39.81%)、北京(约占20.26%)和河南(约占11.82%),其分布情况如图11所示;境内被植入后门网站数量按类型分布统计,事件高发的三个类型分别为.COM(约占68.18%)、.NET(约占5.88%)和.GOV(约占2.62%),其情况如图12所示。



图11:境内被植入后门网站按地区分布图



   图12:境内被植入后门网站按类型分布图

2月份,我区未发现被植入后门的网站。

四、 业界新闻速递

(一)  全球网络安全中心正式成立

1月26日消息 各国政府及企业每年在网络攻击威胁应对领域的投入已增长至4450亿美元(约合人民币2.85万亿元),由第 48 届达沃斯世界经济论坛(WEF)牵头的全球网络安全中心于2018年1月23日正式成立。这一全新机构旨在提升网络弹性,同时建立起一套独立的最佳实践库,并将针对不同攻击场景提供指导性意见。

根据世界经济论坛总裁阿洛伊斯·齐韦吉在新闻发布会上所言,该中心将常设于日内瓦,并计划于2018年3月正式开始运作。该中心还将帮助“网络发达”区域制定新的战略,用以保护各类关键基础设施。此外,物联网(IoT)与联网设备的兴起亦成为企业特别担心的一类挑战,人们普遍认为其会造成更严重的网络安全问题。

网络安全全球中心将自主管理。世界经济论坛发言人格奥尔·施密特向公众介绍称,中心的运营将依赖成员资助,论坛本身将领投数百万瑞士法郎。目前,合作伙伴公司必须支付一定的费用才能加入,而政府、学术界和公民社会则可以免费加入。该中心计划2018年仅雇用20-30名员工。

目前还不知道有多少“政府合作伙伴”加入这个中心,不过在2017年11月份的筹备会议上,有近20个国家的政府代表参加了会议,其中包括几个G7和G20国家。

(二)  美公布新核战略 遭到网络攻击也会用核武反击

2月4日消息 当地时间周五(2日),美国国防部公布了酝酿一年之久的《核态势评估》。报告要求美军队对海陆空三类核武器进行全面现代化升级。美军所谓“核三角”由空基、陆基和海基组成,其中空基有46架载核B-52战略轰炸机以及20架载核B-2轰炸机组成,陆基部分由400枚分布在各州的洲际弹道导弹组成,而海基发射平台则由配备载核弹道导弹的战略核潜艇构成。报告称,研发新式核武器的主要方向是海基发射的低当量战术核武器,改装一部分潜艇,使其拥有装低当量核弹的能力,同时计划开发一种由潜艇发射的载核巡航导弹。传统上,美国在世界各地的战术核威慑主要依靠战略轰炸机,但这些战略轰炸机必须以美国本土或者盟友的空军基地作为依托。而如果在潜艇上加装战术核武器,可不受这一限制,更加灵活地将战术核武器投射到世界各个角落。

过去几十年来,美国承诺只有在非常有限的情形下,才会对敌方“首先使用”核武器,而周五公布的新战略扩大了允许美国使用核武器的范围。报告称,如果美国基础设施比如国家电网或通信网络遭受非核武器造成的严重袭击,或者美国遭遇严重的网络攻击,那么美方也会使用核武器进行反击。

报告渲染了国际局势的紧张,称朝鲜的核武器进展以及伊朗的核设施都是美国潜在威胁。此外,报告延续了国家战略安全报告和国防安全报告的基调,将美国同中俄的“大国竞争”而非反恐定义为美国的首要核安全威胁。

一些美国战略学者指出,从核武器的数量和发展程度上看,硬把中国作为美国的核假想敌属于无稽之谈。同时一些专家质疑这些更新计划可能给美国高达20万亿的债务和每年的财政赤字带来的巨大负担。特朗普政府向国会提交的2018财年预算中军事预算8240亿,为七年之最。占美国联邦政府弹性预算的50%以上。而更新升级核武器库的现代化方案只是特朗普扩军目标之一。

(三)  新型僵尸网络HNS不断增长,已感染逾2万物联网设备

外媒1月25日消息,一个名为 Hide’N Seek(HNS)的新僵尸网络正在世界各地不断增长,对物联网设备造成重大影响(截至目前为止,受感染的物联网设备数量已达2万)。据研究人员介绍,HNS僵尸网络使用定制的点对点通信来诱捕新的物联网设备并构建其基础设施,目前HNS主要是针对不安全的物联网设备,尤其是IP摄像机。

Bitdefender的安全研究人员发现HNS僵尸网络于2018年1月10日首次出现,和其他与Mirai有关的物联网(IoT)僵尸网络并不相同。因为HNS有着不同的起源,且不共享其源代码。事实上,Bitdefender高级电子威胁分析师BogdanBotezatu认为HNS与Hajime僵尸网络更为相似。

Bitdefender的研究人员在1月24日发表的博客文章中写道:“HNS僵尸网络以复杂并且分散的方式进行通信,使用多种防篡改技术来防止第三方劫持。”其僵尸程序可以通过与Reaper相同的漏洞(CVE-2016-10401和其他针对网络设备的漏洞),对一系列设备进行Web开发。

除此之外,HNS还可以执行多个命令,包括数据泄露、代码执行和对设备操作的干扰。其僵尸程序具有类似蠕虫的特性,可以随机生成一个IP地址列表来获得潜在的目标,随后向列出的每个目标设备发起一个原始的套接字 SYN 连接。

一旦连接成功,僵尸程序将查找设备提供的 “buildroot login”横幅,并尝试使用一组预定义凭据进行登录。如果失败,它会试图通过使用硬编码列表的字典攻击来破解设备的密码。

其次,若用户设备与僵尸程序具有相同的局域网,那么僵尸程序将会设置TFTP服务器,以便受害者能够下载样本。但如果是位于互联网上,僵尸程序将尝试一种特定的远程有效载荷传递方法,让用户设备下载并运行恶意软件样本。

一旦设备被感染,僵尸网络背后的黑客就可以使用命令来控制它。目前僵尸网络已经从最初的12个受损设备增加到2万多个。

但幸运的是,像大多数物联网僵尸网络一样,HNS僵尸网络不能在受感染的设备上建立持久性。只要通过简单的设备重新启动,受感染的设备中就可以自动删除恶意软件。

目前Bitdefender的研究人员尚未发现HNS僵尸网络具有DDoS功能,这意味着HNS将被部署为一个代理网络。另外,研究人员透露HNS僵尸网络仍然不断变化中,可能会被应用于多种攻击场景。

(四)  URL 传输库 libcurl 现多个漏洞或致敏感信息泄露

外媒1月25日消息,研究人员发现客户端URL传输库libcurl正受到一些漏洞影响。其中一个在很大程度上与HTTP请求中处理自定义标头的方式有关,可能会导致认证数据泄露给第三方。除此之外,一个“HTTP/2 trailer out-of-bounds read”的漏洞也对libcurl造成了一定困扰。

当被要求在 HTTP 请求中发送自定义标头时,libcurl会首先将这组标头发送给初始URL中的主机。但若被要求遵循重定向,并且返回一个30X的HTTP响应代码,那么libcurl则会发送给响应头值中的URL所提及的主机。

研究人员称,将同一组标头发送到子序列主机对于传递自定义Authorization的应用程序来说是一个特殊的问题。因为这组标头通常包含敏感的信息和数据,可能会被攻击者滥用来模拟libcurl-using客户端请求。

这一漏洞被跟踪为CVE-2018-1000007,在1999年就已出现。目前受影响的是libcurl 7.1至7.57.0的版本,后续版本(7.58.0)不受影响。

进行访问时数据会被越界读取,从而导致崩溃或者(太大的)数据被传递给libcurl回调。若有人的服务能够响应或使用trailer头域,那么很可能会导致拒绝服务或信息泄露的情况出现。

该漏洞被跟踪为CVE-2018-1000005,影响libcurl 7.49.0至7.57.0的版本。所幸目前研究人员并没有发现到这个漏洞在野外被利用。

 


 


附件:



西藏自治区通信管理局版权所有 2010-2015

COPYRIGHT 2005 XZCA.GOV.CN ALL RIGHTS RESERVED 藏ICP备05000001

藏公网安备 54010202000074号

地址:西藏自治区拉萨市太阳岛一路13号

电话:0891-6871028   邮编:850006