陕西省互联网网络安全情况月报.docx

1、陕西省互联网网络安全情况月报陕西省互联网网络安全情况月报2014年3月 （第W003期） 总第3期陕西省通信管理局国家计算机网络应急技术处理协调中心陕西分中心本期目录1 情况综述2014年3月，我省互联网络总体运行情况良好，未发生较大以上网络安全事件。根据监测分析，2014年3月，我省被境外通过木马僵尸程序控制的主机（受控端）IP数为61,251个，较上个月增加72.01%，占全国总数的3.07%；木马僵尸控制服务器（控制端）IP数为58个，较上个月减少30.12%，占全国总数的1.00%；省内被篡改网页的网站数为128个，较上个月增加12.28%，占全国总数的0.92%；省内被植入后门网站数

2、为65个，较上个月增加35.42%，占全国总数的1.08%；省内感染飞客蠕虫的主机IP数为18,063个，较上个月减少4.75%，占全国总数的1.90%。2 安全事件分析2.1 木马、僵尸网络事件分析2014年3月，CNCERT/CC对木马僵尸的活动状况进行了抽样监测，发现中国大陆地区1,990,707个IP 地址对应的主机被木马或僵尸程序秘密控制。事件高发的三个省份分别为广东省（约占36.0%）、浙江省（约占4.8%）、江苏省（约占4.7%），其分布情况如图1所示。图1：中国大陆地区木马或僵尸程序受控主机地区分布图2013年4月-2014年3月境内木马或僵尸程序控制服务器IP数量月度统计情况

3、如图2所示。图2：中国大陆地区木马或僵尸程序控制服务器IP数量月度统计2014年3月，陕西省有61,251个IP 地址对应的主机被境外黑客通过木马或僵尸程序控制，约占全国总数的3.07%，居全国第9位；有58个IP 地址对应的主机被用作木马和僵尸程序控制主机与境外进行通信,约占全国总数的1.00%，居全国第22位。2.2 “飞客”蠕虫病毒事件分析2014年3月，CNCERT/CC对“飞客”蠕虫的活动状况进行了抽样监测，发现境内感染“飞客”蠕虫的主机IP 地址共947,070个。事件高发的三个省份分别为广东（约占25.4%）、江苏（约占7.1%）和浙江（约占6.3%）；其中陕西省18,063个I

4、P地址，约占全国总数的1.90%，排名第18位。其分布情况如图3所示。图3：中国大陆地区感染飞客蠕虫的主机IP按地区分布图2.3 网页篡改事件分析2014年3月，CNCERT/CC监测发现中国大陆地区被篡改网站13,838个，其中境内被篡改政府网站（.gov）数量为602个。被篡改网站分布情况如图4所示，最多的地区分别为北京市（约占18.7%）、江苏省（约占12.4%）和浙江市（约占12.3%）。图4：境内被篡改网站按地区分布2013年4月-2014年3月境内被篡改网站数量按月度统计如图5所示。图5：境内被篡改网站数量月度统计2014年3月，陕西省内被篡改网站数量为128个，全国排名第15位，

5、陕西互联网应急中心协调处理政府网站篡改事件33起。2.4 网站后门事件分析2014年3月，CNCERT/CC监测发现中国大陆地区网站被植入后门数量5,965个。网站被植入后门分布情况如图7所示，最多的地区分别为北京市（约占16.1%）、江苏省（约占13.5%）和广东省（约占9.4%）。图6：境内网站被植入后门按地区分布2014年3月，陕西省境内监测发现网站被植入后门数量65个，约占全国总数的1.08%，全国排名第14名。3 安全事件处置情况2014年3月份，陕西互联网应急中心共协调处理各类网络安全事件179起，其中僵尸木马受控事件92起，僵尸木马控制事件9起，飞客病毒事件30起，移动互联网恶意

6、程序受控事件15起，重要信息系统网页篡改事件26起，网站SQL注入漏洞事件4起，权限绕过漏洞事件2起，网页后门漏洞事件1起。陕西互联网应急中心及时向用户作了情况通报并指导用户进行系统恢复，使事件在最快时间内得到处理，消除了不良影响。4 安全预警信息4.1 本月重要安全漏洞信息通报2014年3月，CNCERT/CC收到的来自国家信息安全漏洞共享平台（CNVD）报告的漏洞数量646个，其中高危漏洞214个、中危漏洞368个、低危漏洞64个，其中0day漏洞180个。（一）关于DEDECMS SQL注入高危漏洞被利用发起大规模攻击的情况通报近日，国家信息安全漏洞共享平台（CNVD）对国内应用广泛的网

7、站内容管理软件DEDECMS（又称“织梦”CMS） 存在的一个SQL注入高危漏洞进行监测后发现，针对该漏洞的攻击近期呈现大规模爆发趋势，对网站运行安全和用户个人信息安全构成较为严重的威胁。具体情况通报如下：一、 漏洞情况分析DEDECMS是由上海卓卓网络科技有限公司生产的一款网站建站系统软件，在国内政府、高校、企事业单位以及个人用户网站中应用较为广泛。2014年2月25日，该软件被披露存在一个高危漏洞（CNVD收录编号：CNVD-2014-01382)。至2月28日，针对该漏洞的攻击利用代码和相关利用工具在互联网上已经被公开传播。漏洞存在于/plus/recommend.php页面，由于页面参

8、数未进行严格过滤，存在SQL注入漏洞。攻击者可利用漏洞直接获得网站数据库信息（包括后台管理员账号和口令信息），进而取得网站后台管理权限，后续可进一步渗透取得网站服务控制权。二、漏洞影响范围CNVD对漏洞的综合评级为“高危”。受漏洞影响的DEDECMS 版本包括V 5.7SP1及以下版本。由于漏洞危害大且易于利用，CNVD联合上海交通大学组织开展对该漏洞攻击情况的监测，并加大对存在漏洞的政府和高校网站的处置通报力度。根据CNVD抽样监测结果，3月3日至9日，互联网上有2668个攻击源IP发起漏洞攻击，其中境外攻击源IP占22%（589个）, 境外攻击源IP中自中国香港地区和美国的较多，分别有16

9、3个和155个。上述2668个攻击源IP共尝试扫描了48661个网站IP主机，其中474个网站IP因存在漏洞被攻击成功。从时间周期看，如下图所示，在一周之内被尝试攻击的网站数量呈现上升趋势并保持在高位，在3月8日达到峰值，被攻击成功的网站IP达到286个。针对黑客发起大规模漏洞攻击的情况，CNCERT组织协调全国分中心以及教育网应急组织（CCERT）加大漏洞通报和处置力度， 3月3日至13日共计通报政府、高校和电信行业网站存在DEDECMS漏洞事件超过100起。三、漏洞处置建议目前，DEDECMS软件生产厂商已经发布了针对该漏洞的相关补丁。建议用户及时到生产厂商官方网站下载补丁程序及时升级。同

10、时，建议禁止外部无关IP或用户访问网站后台管理地址。（二）关于Linksys路由器产品受漏洞和“the moon”蠕虫攻击威胁的情况通报近日，国家信息安全漏洞共享平台（CNVD）联合上海交通大学网络信息中心对Linksys多款路由器产品受到漏洞和“themoon”蠕虫攻击威胁的情况进行了分析和监测，获知互联网上有近2.5万个IP对应的路由器设备受到攻击威胁，其中中国境内用户有近600个设备IP，对企业和用户上网安全构成较大的威胁。具体情况通报如下：一、 漏洞和蠕虫情况分析Linksys是知名路由器品牌，2013年以前归属思科公司（Cisco），现该品牌归属贝尔金公司（Belkin）。2014年

11、2月16日，Linksys多款路由器产品被披露存在一个安全绕过高危漏洞（CNVD收录编号：CNVD-2014-01260），由于产品未能对tmUnblock.cgi、hndUnblock.cgi等CGI页面以及后台服务的访问权限进行限制，攻击者可利用漏洞执行特定指令，取得路由器设备的控制权，继而可发起DNS劫持、网络钓鱼等攻击，对用户个人信息安全构成威胁。2月中旬，国外研究者发现一种名为“themoon”蠕虫正在发起对Linksys路由器的攻击。该蠕虫利用的是Linksys相关CGI页面的漏洞，对暴露在互联网上的Linksys路由器80或8080端口开展扫描，利用漏洞从黑客控制的服务器上下载恶

12、意程序至路由器设备上，完成对路由器的远程控制。根据进一步分析，该蠕虫还会使用SSL协议进行远程控制，并对其他的恶意攻击采取排他措施。二、攻击影响范围CNVD对漏洞的综合评级为“高危”。根据国外研究者的分析结果，受漏洞和“the moon”蠕虫影响的Linksys路由器产品不仅包括LinksysE系列的E4200、E3200、E3000、E2500、E2100L、E2000、E1550、E1500、E1200、E1000、E900和E300，还包括其他系列的的WAG320N、WAP300N、WAP610N、WES610N、WET610N、WRT610N、WRT600N、WRT400N、WRT32

13、0N、WRT160N和WRT150N。上述版本产品在企业及个人用户中应用较为广泛。根据CNVD和上海交通大学网络信息中心的联合监测结果，至2014年3月13日，共检测发现到互联网上有近2.5个IP对应为所述Linksys路由器设备，位于美国、加拿大和中国的IP数量排名前三。三、漏洞处置建议目前，贝尔金公司尚未对上述漏洞及蠕虫情况发布针对性的补丁或升级程序，但在其官方网站上发布了防范攻击的指导性方法，主要步骤有：升级路由器固件版本至2.0.04版以上；通过路由器Web管理界面，在“RemoteManagement Access”中将“Remote Management”设置为“Disable”；

14、在Web管理界面“Security”功能中，勾选上“Filter Anonymous Internet Request”选项。建议广大用户参考上述步骤进行加固，并随时关注厂商主页以获取最新版本或补丁信息。同时，建议国内路由器厂商排查本公司产品，如产品有与上述Linksys产品代码同源的，需及时做好用户的安全响应工作。（三）Microsoft Word RTF文件解析错误代码执行漏洞Microsoft Word在解析畸形的RTF格式数据时存在错误导致内存破坏，使得攻击者能够执行任意代码。当用户使用Microsoft Word受影响的版本打开恶意RTF文件，或者Microsoft Word是Mic

15、rosoft Outlook的Email Viewer时，用户预览或打开恶意的RTF邮件信息，攻击者都可能成功利用此漏洞，从而获得当前用户的权限。值得注意的是，Microsoft Outlook 2007/2010/2013默认的Email Viewer都是Microsoft Word。该漏洞影响产品为Microsoft SharePoint Server 2010 SP1、Microsoft Office Web Apps 2010 SP1、Microsoft Word 2007 null、Microsoft Word 2010 null、Microsoft Office for Mac 2

16、011 null、Microsoft Word 2003 null、Microsoft Office Compatibility Pack SP3、Microsoft Office Web Apps 2010 SP2、Microsoft SharePoint Server 2010 SP2、Microsoft Office Web Apps Server 2013及Microsoft Word 2013，属高危漏洞，CNVD-ID为CNVD-2014-01932，CVE-ID为CVE-2014-1761。目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版

17、本： /bulletin/（四）WordPress插件Duplicate Post duplicate-post-admin.php用户登录cookie值SQL注入漏洞WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。 WordPress插件Duplicate Post duplicate-post-admin.php存在SQL注入漏洞。由于uplicate-post-admin.php未能正确过滤的用户提供的输入到用户登录cookie值，允许远程攻击者在后端数据库中注入或操纵SQL查询，允许任意数据的操纵或泄露。该漏洞影响产

18、品为WordPress Duplicate Post Plugin 2.5，属高危漏洞，CNVD-ID为CNVD-2014-01972。用户可联系供应商获得补丁信息： /duplicate-post/changelog/（五）BlackBerry QNX Neutrino RTOS权限提升漏洞QNX Neutrino 实时操作系统是一种功能全面、运行稳健的操作系统。 BlackBerry QNX Neutrino RTOS存在权限提升漏洞，允许本地用户通过提供任意程序名称作为命令行参数获得权限。该漏洞影响产品为Blackberry qnx neutrino rtos 6.4.1、Blackbe

19、rry qnx neutrino rtos 6.5.0及Blackberry qnx neutrino rtos 6.5.0 SP1，属高危漏洞，CNVD-ID为CNVD-2014-01882，CVE-ID为CVE-2014-2533。目前没有详细的解决方案提供： （六）Cisco IOS Software IK3v2模块拒绝服务漏洞Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。 Cisco IOS 12.2、15.0-15.3、IOS XE 3.2-3.7、3.8-3.10版本存在拒绝服务漏洞，远程攻击者通过特制的IKEv2数据包，利用此漏洞可造成拒绝服务（内存

20、耗尽）。该漏洞影响产品为Cisco IOS 12.2，属高危漏洞，CNVD-ID为CNVD-2014-02022，CVE-ID为CVE-2014-2108。Cisco已经为此发布了一个安全公告（cisco-sa-ikev2）以及相应补丁: /center/content/CiscoSecurityAdvisory/cisco-sa-ikev2（七）Huawei Ethernet Switches拒绝服务漏洞Huawei Ethernet Switches是华为公司开发的交换机设备。 Huawei Ethernet Switches在设备处理某些Y.1731报文时存在错误，允许攻击者利用漏洞提交

21、特制的报文使设备重载。该漏洞影响产品为Huawei S9300、HuaweiS2300/S3300/S5300 及Huawei S6300，属高危漏洞，CNVD-ID为CNVD-2014-01858。用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞： /security/psirt/security-bulletins/security-advisories/hw-329625.htm（八）Apple iOSfacetime联系人信息泄露漏洞Apple iOS是一款运行在苹果iPhone和iPod touch设备上的最新的操作系统。 Apple iOS处理失败的Facetime调用存在问题

22、，允许物理能访问设备的攻击者可在锁屏下访问的FaceTime联系人信息。该漏洞影响产品为Apple IOS 7.1，属高危漏洞，CNVD-ID为CNVD-2014-01692，CVE-ID为CVE-2014-1274。目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： （九）Samsung Proprietary软件Android后门未授权访问漏洞Samsung Galaxy系列手机内的proprietary软件允许Android读写删除手机内的任意文件，在实现上存在远程未授权访问漏洞，攻击者可利用该漏洞在受影响设备上执行任意RFS命令。该漏洞影响产品为Samsung Gala

23、xy系列，属高危漏洞，CNVD-ID为CNVD-2014-01786。目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：4.2 本月活跃网络病毒情况活跃网络病毒TOP5病毒名称病毒特点Backdoor.Win32.Rbot.gcy（Rbot后门病毒）该病毒运行后将释放到系统目录system32下，并设将自身置为开机自启动。病毒将监控用户的键盘操作，监视电脑的屏幕、摄像头，远程控制电脑，上传重要的系统信息至黑客指定服务器，用户电脑一旦中毒将面临隐私信息泄露、网银账密被盗、重要文件遭到破坏等风险。Trojan.win32.Generic.159735C0（Generic木马病毒）该

24、病毒运行后将在系统文件夹中创建文件，记录病毒文件运行次数，并将自身设置为开机自启动，后台连接黑客指定网址，频繁为广告网站刷取流量，同时病毒会篡改用户的浏览器首页，将其指向广告网址，并在桌面创建广告网站的快捷方式。用户电脑一旦中毒将出现网络被大量占用，电脑运行缓慢等症状，严重者还会遭遇钓鱼网站的攻击。Backdoor.Win32.Spammy.d（Spammy后门病毒）该病毒运行后会搜索中毒电脑Outlook讯簿中的联系人列表和互联网资源管理器缓存文件中的电子邮件地址，并将该类信息发送至黑客指定服务器。除此之外，该病毒还会读取黑客预先放置在远程服务器上的文件，并按照该文件内容，向用户的联系人发送

25、垃圾邮件。用户电脑一旦中毒，将会面临隐私信息泄露的风险，同时用户的亲友还有可能因此收到诈骗邮件。Trojan.Win32.Generic.12EB8C1E（Generic木马病毒）该病毒运行后自我复制至系统文件夹，并创建服务关联复制后的病毒。一旦服务被启动，将释放一个恶意DLL，当该DLL被加载后，病毒将启动CMD进行自我删除。用户电脑一旦中毒，将面临隐私信息泄露、网银账密被盗等风险。Trojan.Win32.Mnless.suk（Mnless木马病毒）该病毒伪装成网络游戏的外挂程序引诱网民下载，病毒运行后修改注册表，将自身设置为开机自启动，并在系统目录下释放一个驱动文件，以规避杀毒软件的查杀

26、及游戏客户端的自身监控。同时病毒会以开启外挂登录游戏为由，要求网民输入游戏账号及密码，网民一旦轻信，将面临游戏账号被盗的风险。表1：活跃网络病毒TOP54.3 本月恶意代码捕获和传播情况以下表2为中国反病毒联盟（ANVA）近期监测发布的散布恶意代码的URL，登陆这些URL，会弹出下载指令，如点击下载，将使用户主机感染恶意程序。.51:58888/cpa/cpa.exe:88/down/45/av-104-4-&ttt.exe/tr2NeRaJ-101-700-56091.exe.254:552/Server.exe/setup_3102-26409.exe/AVsafzw-105-216-94

27、675.exe.91:8057/q/cqsj.css.39:1142/svshost.exehttp:/ys-/setup_3332.exe.91:8057/q/my.css/qq1.exe/setup.exe.60:8083/aspp/zr.js.108:6011/d11/da.js.35:85/tt/6.exe/29udlq.exe.91:801/csvdesSDda.jpg:9918/svhoss.exe.22:997/1081/aaa44.css.189:8080/1.exe-c2.exe.91:8057/q/zxwm.css:787/xm/60.exe.17:5758/zp/01.e

28、xe.51:8888/cpa/xx.exe.14:4433/Smoke.exe表2：恶意URL列表4.4 本月钓鱼网站统计情况本月钓鱼网站Top5：（注意：以下网址或带有病毒，请不要点击）序号钓鱼类型钓鱼URL危害1假冒医药类骗取用户银行卡号密码及个人隐私2假冒中国好声音类虚假中奖信息，诱骗用户汇款3假冒网络交易类.36/bank/CCB-XYK.asp骗取用户银行卡号密码及个人隐私4假冒爸爸去哪儿类虚假中奖信息，诱骗用户汇款5假冒中国梦想秀中奖类.com/.com/.com/.org/虚假中奖信息，诱骗用户汇款表3：本月钓鱼网站TOP54.5 本月重要漏洞修补信息（一）WordPress插件

29、mTouch Quiz quiz SQL注入漏洞的补丁WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。 WordPress插件mTouch Quiz存在SQL注入漏洞。由于通过quiz参数传递至wp-admin/edit.php (当action设置为mtouch-quiz/question.php) 的输入在被用于SQL查询前未能正确过滤，攻击者可以利用漏洞通过注入任意SQL代码操纵SQL查询。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。补丁链接：/mtouch-quiz/（二）Oracle VM Virtua

30、lBox crNetRecvWriteback()内存破坏漏洞的补丁Oracle VM VirtualBox是一款开源虚拟机软件。 Oracle VM VirtualBox crNetRecvWriteback()函数未能正确处理CR_MESSAGE_WRITEBACK消息数据，允许攻击者利用漏洞破坏任意内存地址，可使系统崩溃或提升权限。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。补丁链接：（三）Microsoft Windows Win32k.sys内存对象本地权限提升漏洞的补丁Microsoft Windows是一款微软开发的流行的操作系统。Microsoft DirectX是

31、Windows操作系统中的一项功能，流媒体在玩游戏或观看视频时通过这个功能支持图形和声音。 Microsoft Windows Win32k.sys在处理内存中的对象时存在安全漏洞，允许本地攻击者利用漏洞以内核上下文执行任意代码，提升权限。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。补丁链接：-us/security/bulletin/MS14-015（四）Apple iOSfacetime联系人信息泄露漏洞的补丁Apple iOS是一款运行在苹果iPhone和iPod touch设备上的最新的操作系统。 Apple iOS处理失败的Facetime调用存在问题，允许物理能访问设备的攻击者可在锁屏下访问的FaceTime联系人信息。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。补丁链接：（五）Cisco Wireless LAN Controller远程未授权访问漏洞的补丁Cisco Wireless LAN Controller负责全系统的无线LAN功能，例如安全策略、入侵保护、RF管理，服务质量和移动性。 Cisco