CNCERT/CC 2006 年上半年网络安全工作报告
国家计算机网络应急技术处理协调中心
目 录
CNCERT/CC.....................................................................................................................................1 1 关于 CNCERT/CC................................................................................................................3 2 网络安全总体状况................................................................................................................4 3 网络安全监测与分析............................................................................................................4 3.1 网络攻击分析............................................................................................................4 3.2 漏洞发布....................................................................................................................5 3.3 扫描事件....................................................................................................................5 3.4 蠕虫事件....................................................................................................................6 3.5 木马事件....................................................................................................................7 3.6 僵尸网络事件............................................................................................................7 3.7 网页篡改事件............................................................................................................8 3.8 流量监测分析............................................................................................................9 4 网络安全事件处理情况..................................................................................................... 11 4.1 事件报告情况........................................................................................................... 11 4.2 事件处理情况...........................................................................................................13 4.3 部分典型事件处理情况..........................................................................................15 5 网络安全信息服务.............................................................................................................16 5.1 安全信息通报..........................................................................................................16 5.2 CNCERT/CC 网站....................................................................................................16 5.3 电子邮件..................................................................................................................17 6 网络安全会议与培训.........................................................................................................17 2006 中国计算机网络安全应急年会暨亚太地区应急组织年会在北京召开 ............17 7 国际合作与交流.................................................................................................................18 CNCERT/CC 参加东盟国家首席信息官网络安全研讨会 ..........................................18 CNCERT/CC 参加第二次中国-东盟电信周活动.........................................................18 CNCERT/CC 参加第 33 次 APEC 电信工作组大会....................................................19 CNCERT/CC 应邀参加微软主办的第四届国际反僵尸网络工作组会议 ..................19 8 结束语.................................................................................................................................19
1 关于 CNCERT/CC
国家计算机网络应急技术处理协调中心(简称 CNCERT/CC)是在信息产业部互联网应 急处理协调办公室的直接领导下,负责协调我国各计算机网络安全事件应急小组(CERT) 共同处理国家公共互联网上的安全紧急事件, 为国家公共互联网, 国家主要网络信息应用系 统以及关键部门提供计算机网络安全的监测,预警,应急,防范等安全服务和技术支持,及 时收集,核实,汇总,发布有关互联网网络安全的权威性信息,组织国内计算机网络安全应 急组织进行国际合作和交流的组织. CNCERT/CC 成立于 2000 年 10 月,2002 年 8 月成为国际权威组织"事件响应与安全组 织论坛 (FIRST) "的正式成员. CNCERT/CC 参与组织成立了亚太地区的专业组织 APCERT, 是 APCERT 的指导委员会委员,并在 2005 年的 APCERT 指导委员会换届选举中,当选为 APCERT 第一任副主席,2006 年再次当选 APCERT 副主席.CNCERT/CC 有条件及时与国 外应急小组和其他相关组织进行交流与合作,是中国处理网络安全事件的对外窗口. CNCERT/CC 的主要业务包括: 信息沟通: 通过各种信息渠道与合作体系, 及时交流获取各种网络安全事件与网络 安全技术的相关信息,并通报相关用户或机构; 事件监测: 及时发现各类重大网络安全隐患与网络安全事件, 向有关部门发出预警 信息,提供技术支持; 事件处理: 协调国内各应急小组处理公共互联网上的各类重大网络安全事件, 同时, 作为国际上与中国进行网络安全事件协调处理的主要接口, 协调处理来自国内外的 网络安全事件投诉; 数据分析: 对各类网络安全事件的有关数据进行综合分析, 形成权威的数据分析报 告; 资源建设:收集整理网络安全漏洞,补丁,攻击防御工具,最新网络安全技术等各 种基础信息资源,为各方面的相关工作提供支持; 安全研究: 跟踪研究各种网络安全问题和技术, 为网络安全防护和应急处理提供基 础; 安全培训:提供网络安全应急处理技术以及应急组织建设等方面的培训; 技术咨询:提供网络安全事件处理的各类技术咨询; 国际交流:组织国内计算机网络安全应急组织进行国际合作与交流. CNCERT/CC 的联系方式: 国家计算机网络应急技术处理协调中心 CNCERT/CC 网址:http://www.cert.org.cn/ 电邮:cncert@cert.org.cn 热线:+8610 82990999,82991000(英文) 传真:+8610 82990375 PGP Key:http://www.cert.org.cn/cncert.asc
2 网络安全总体状况
总体看来,2006 年上半年没有出现造成严重后果的网络安全事件,由于网络攻击的动 机从技术炫耀型转向利益驱动型,网络攻击的组织性,趋利性,专业性和定向性继续加强, 从而导致为获得经济利益的恶意代码和在线身份窃取成为网络攻击的主流, 无目的大范围扩 散的蠕虫逐渐淡出,而瞄准特定用户群体的定向化信息窃取和勒索成为网络攻击的新趋势, 此外,我国被篡改的网站数量居高不下,尤其是政府网站被篡改的比例呈现上升趋势,表明 我国政府网站的安全性令人担忧.从整体上看,网络攻击呈现下面三个特点: 1. 攻击组织严密化. 网络黑客逐步形成了较为严密的组织, 并在组织内部有明确的分 工,从恶意代码的制作,恶意代码的散布到最终敏感信息的窃取都有专人来负责. 不同组织之间既有竞争也有合作, 网络攻击按照计划有组织的进行, 致使网络攻击 的效率有明显的提高. 2. 攻击行为趋利化.网络黑客发动攻击的目的从最开始的技术炫耀转向获得经济利 益, 网络攻击的针对性和定向性进一步加强, 针对商业竞争对手的攻击和用于窃取 用户帐号, 密码等敏感数据的网络攻击逐步增多, 随着网络行为同社会行为联系的 进一步密切,网络攻击的最终目的越来越多地落在获取具体的经济利益上. 3. 攻击目标直接化.网络黑客针对攻击目标的特点,设计特定的攻击代码,绕过网络 防御体系入侵有价值的目标主机, 或者通过僵尸网络对于目标发起直接的大规模网 络攻击,使得针对特定目标的网络攻击具有更大的威胁和破坏性.
3 网络安全监测与分析
网络安全监测是通过各种手段对网络安全信息进行搜集,分析与判断.CNCERT/CC 建 设运行的 917 国家网络安全监测平台是我国网络安全事件监测的核心平台, 目前已经实现对 网络安全事件 7*24 小时不间断监测,并及时汇总我国公共互联网络安全事件信息. CNCERT/CC 还与多家网络安全研究开发机构合作,及时获得网络安全事件动态信息和蠕 虫,木马等恶意代码样本和特征,为在第一时间进行监测创造了有利条件.
3.1 网络攻击分析
网络攻击的演变过程是逐步渐进的,近两年,网络攻击呈现出以下发展趋势: 1. 经济化 攻击者利用社交工程,邮件,恶意网页和漏洞等方式传播恶意代码,利用木马和间谍软 件窃取用户的现实财产(如网上银行帐户密码,证券股票的交易密码等)和虚拟财产(如网 络游戏身份和武器装备等),并采用有效的信息回收方式获得窃取到的信息;攻击者编写并 出售零日攻击(0-Day Attack)恶意软件或者按照购买者的要求定制恶意软件,借此从中获利; 攻击者将窃取的或者从其他攻击者手里收购的信息出卖, 从中获得高额收入. 以上环节逐步 构成网络经济犯罪链,这一犯罪链已日趋成熟. 攻击者还利用僵尸网络(Botnet)发送垃圾邮件,依靠大量感染僵尸程序的主机点击广 告(Pay-per-click)获利; 利用发动 DDos 攻击为恐吓条件向服务提供商敲诈钱财; 利用网络 钓鱼(Phishing)和网址嫁接(Pharming)等网络仿冒手段实现在线身份窃取,获得经济利
益. 2006 年上半年,还出现了一种较新的网络攻击手段,即勒索软件(RansomWare).勒 索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件. 勒索 软件通常会将用户系统上多种类型的文件,如文档,邮件,数据库,源代码,图片,压缩文 件等,进行某种类型的加密操作,使这些文件不可用.勒索软件还可能通过修改系统配置文 件等方法,降低系统的可用性.然后,通过弹出窗口,对话框或生成文本文件等的方式向用 户发出勒索通知, 要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运 行的方法. 2.易用化 许多恶意代码都是开源程序, 这使得即使是初级攻击者, 也可以轻易获得需要的恶意代 码并定制其所需的功能. 同时由于代码具有良好的模块化设计, 当攻击者需要更新恶意代码 功能时,只需要下发一个新的模块即可,这样就延长了恶意代码的生命周期. 3.秘密化 秘密化不仅体现在 Rootkit 技术被更多地用在恶意代码中,还包括攻击方式的转变.现 在, 攻击者青睐于采用更隐蔽的方式对用户系统进行渗透. 比如利用会话劫持实现身份窃取, 网页内容欺骗,浏览器漏洞利用等.这样,即使用户保持了系统和应用的及时升级,安装了 安全防护软件,也仍然面临各种风险. 4.定向化 定向工具不同于传统的大规模扫描传播方式, 它瞄准特定用户群体, 不仅可以提高成功 率,还可以缩短攻击生效时间.想盗取网络游戏帐号的攻击者,就会在网络游戏论坛,聊天 室,群,网站和游戏里面散布一些 URL,声称可以下载游戏外挂,实际用户下载到的却是 窃取游戏信息的木马.针对特定用户群体的恶意软件攻击通常会在最短时间内达到预期目 的. 5.移动设备攻击 虽然针对手机和 PDA 等移动设备的攻击尚未造成严重损失,但是攻击者们正在积极地 尝试攻击移动设备的方法, 对移动设备的攻击和控制所带来的利益对攻击者具有巨大的诱惑 力.
3.2 漏洞发布
根据美国 CERT/CC 统计1,自 1995 年以来漏洞累计达到 24313 个,2006 年第一季度共 报告漏洞 1597 个,平均每天超过 17 个,超过去年同期 2 个.CNCERT/CC 2005 年共整理发 布漏洞公告 75 个, CNCERT/CC 2006 年上半年共整理发布漏洞公告 34 个. 从统计情况来看, 2006 年上半年漏洞报告数量仍处较高水平,存在大量的漏洞使得网络安全总体形势仍然严 峻.
年份 漏洞公布数量 2000 1090 2001 2437 2002 4129 2003 3784 2004 3780 2005 5,990 Q1, 2006
1,597
3.3 扫描事件
蠕虫,木马,间谍软件等恶意软件采用多种方式传播自身.为了找到存在包含漏洞或后
1
有关数据来自于 CERT/CC 的网站,http://www.cert.org
门等安全弱点的主机, 恶意软件通常启动大量的扫描, 探测运行在目标主机特定端口的服务 程序.如果主机的某端口被扫描,则扫描源很可能已经感染了某种类型的恶意软件.通过监 测扫描事件,可以在一定程度上估计感染恶意软件的主机情况. CNCERT/CC 获得的数据表明, 2006 年上半年我国大陆地区发生扫描事件最多的省市为 广东和浙江, 分别占扫描源总量的 44%和 26%. 当前互联网上最容易受到攻击的端口为 TCP 445,即 SMB(Server Message Block)协议,其次是用于 Windows 远程方法调用的 TCP 135 端 口和运行 Microsoft SQL Server 的 TCP 1433 端口.
3.4 蠕虫事件
2006 年上半年未出现大规模传播的蠕虫,分析其原因主要有三方面.首先,2006 年上 半年发现的 Windows 系统漏洞难以被利用,无法实现大规模,自动化的攻击;其次,由于 WinXP SP2 的 DEP/NX 保护技术,使得许多常规的缓冲区溢出无法被利用,因而限制了一 些利用系统漏洞蠕虫的传播;再者,由于黑客更多的开始追逐经济利益,蠕虫的针对性,隐 蔽性和可控性得到了进一步加强. CNCERT/CC 获得的数据表明, 2006 年上半年约有 14 万多台中国大陆主机感染过 Beagle 和 Slammer 蠕虫,被感染的机器按照地区分布如下图:
2006上半年Beagle和Slammer蠕虫感染主机按地区 分布图
其他 27%
广东 29%
湖北 4% 四川 4% 江苏 7% 浙江 8% 北京 9% 上海 12%
图 3-1 在蠕虫类代码中, "网络天空" (Worm_Netsky)及变种是当前最容易感染的蠕虫之一. 该蠕虫主要通过电子邮件的附件进行传播,运行附件后系统就会受到感染."爱之门" (Worm_Lovegate)及变种蠕虫在 3 月出现后排名不断上升,该蠕虫主要通过局域网进行传 播,可导致局域网内所有计算机受到控制.同时,该蠕虫还会回复 Microsoft Outlook 和 Outlook Express 中收到的邮件,自动向外发送带毒邮件,与其他通过电子邮件传播的蠕虫相 比,该蠕虫更具欺骗性和迷惑性.常见的 Worm_Mytob 和"贝革热"(Worm_Bbeagle.J)蠕虫 同样是通过电子邮件的附件进行传播, 用户运行附件后系统就会受到感染. 可见发送垃圾邮 件仍然是蠕虫传播的一个重要手段.
3.5 木马事件
各类安全事件中, 由于木马事件隐蔽性非常强, 被植入木马的计算机会被攻击者通过网 络秘密控制,因此木马事件的危害极为严重,往往成为信息泄露的重要原因. 2006 年上半年, CNCERT/CC 对一些常见木马程序的活动状况进行了抽样监测, 发现我 国大陆地区 2 万 3 千 3 百多个 IP 地址的主机被植入木马,我国大陆地区木马活动分布情况 如下图所示,最多的地区分别为广东省(16%),上海(15%)和北京(15%).
2006年上半年我国大陆木马抽样监测情况
其他 24% 广东 16% 上海 15% 湖北 4% 浙江 7% 北京 15%
福建 9%
江苏 10%
图 3-2 CNCERT/CC 发现中国大陆地区以外 1 万 6 千多个主机地址对这些木马进行控制, 木马 的控制主机主要位于美国(32%),中国台北(19%),中国香港(18%)等地.
2006年上半年对中国大陆进行木马攻击主 机按国家和地区分布图
韩国 4% 加拿大 5% 日本 7% 中国香港 16% 其他 17% 美国 32%
中国台北 19%
图 3-3 以上的数据只是对我国互联网上木马活动情况的简单统计,实际情况会更加严重和复 杂. 随着我国互联网络的应用和普及, 日益增加的木马程序将使得计算机数据的失窃和被控 事件多发, 被木马控制的计算机不仅面临严重的泄密威胁, 还容易被黑客利用发起其他攻击, 甚至从事违法犯罪活动.
3.6 僵尸网络事件
僵尸程序(bot)更加注重隐蔽,为了达到长期控制感染主机的目的,出现了更多利用
rootkit 原理隐藏进程的僵尸程序.2006 年上半年, CNCERT/CC 累计发现中国大陆地区有七 百多万个 IP 地址的主机被僵尸网络控制,其中节点数大于 5000 的僵尸网络有 199 个.根据 监测,最大的 Toxbot 僵尸网络累计感染 180 多万个客户端(不区分动态 IP),该僵尸网络 至少已经持续活动 9 个月,并不断进行扫描扩张,键盘记录等活动. 中国大陆感染僵尸程序的主机较 2005 年有增多趋势.这些僵尸网络的控制服务器多数 位于美国.
2006年上半年僵尸网络控制服务器按国家和 地区分布 其他
18% 中国香港 3% 巴西 4% 韩国 7%
美国 68%
图 3-4 僵尸网络的规模总体上趋于小型化, 局部化和专业化, 有些僵尸网络专门关注特定类型 的用户系统.2006 年上半年监测到僵尸网络节点累计数量分布情况如下图.
2006年上半年CNCERT/CC监测到的节点数累计 大于1000的僵尸网络规模与数量对比图
300 250 200 150 100 50 0 >10万 5-10万 2-5万 500020000 1000-5000
30 41 16 112 266
图 3-5
3.7 网页篡改事件
CNCERT/CC 每日对我国网站被篡改情况保持跟踪监测, 并及时通知我国大陆地区网站 所在省的分中心协助解决,尽力帮助被篡改网站快速恢复.根据 CNCERT/CC 监测,2006 年上半年发现我国大陆地区被篡改网站总数达到 5781 个,其中政府网站 1592 个.2006 年 上半年我国被篡改网站数量和政府网站被篡改数量按月统计情况如下图所示.
2006年 上 半 年 中 国 被 篡 改 网 页 数 量 1600 1400 1200 1000 800 600 400 200 0 一月 二月 三月 中国大陆 四月 中国香港 中国台北 五月 六月
图 3-6
2006年上半年大陆政府网站被篡改数量
450 400 350 300 250 200 150 100 50 0 一月 二月 三月 四月 五月 六月
图 3-7 CNCERT/CC 根据报告事件和监测记录,分析我国大陆地区被篡改网站情况,发现政府 机构网站被篡改尤为严重,其中,不少政府网站都被植入过带有政治色彩的文字或图片,其 中代号为 Triad,KML,hackercc 等的一些黑客组织对大陆网站进行了大量攻击,代号为 Kachal667 Digital Network Security and Hacking Team 的攻击者在所篡改的网页上发布了针 对美国的政治性言论, 代号为 iskorpitx 的攻击者对大陆网站进行了带有政治色彩的攻击. 这 不仅影响了网站正常业务的开展,更严重影响了我国政府网站的形象. CNCERT/CC 对于 1 到 5 月份大陆地区厅局级及其以上级别被篡改的政府网站进行统 计,事件总数高达 125 件,通过按照省份进行分类汇总发现,湖北,河北和四川省被篡改的 网站数量位列前三,而青海,云南,西藏,重庆没有被篡改网站的记录.超过平均值的省份 多处在东部地区, 低于平均值的省份多处在西部地区, 可见被篡改的政府网站数目同本地信 息化程度和网站管理水平有较大的关系.
3.8 流量监测分析
网络业务流量的监测, 对网络运行状况, 业务特点分析以及一些突发安全事件的发现具
有重要参考意义. 根据 CNCERT/CC 网络安全监测系统对流量数据进行的抽样统计显示, TCP 协议中, 在 占网络带宽前三名的网络应用是 Web 浏览,P2P 软件 eMule,电子邮件.可以看出,P2P 下 载软件,例如 eMule,BT,迅雷等,占用了大量网络带宽.使用 TCP 25 号端口的电子邮件 协议是现在应用最广泛的互联网协议之一, 除正常使用外, 该端口还充斥着大量的蠕虫和垃 圾邮件流量.此外,用于 HTTP 加密传输的 HTTPS 协议,常用于视频点播的实时流协议以 及 MSN 等及时通讯软件使用的协议也占用了较多带宽.具体情况如下图表所示:
TCP协议带宽占用排名 100% 80% 比例 60% 40% 20% 0% 80 4662 25 443 554 18.4% 3.5% 1.4% 1.2% 0.9% 0.8% 0.6% 6881 0.6% 3077 0.6% 0.4% 0.4% 66.3%
10700 1863 端口
1755 16881 1080
图 3-8 排名 1 2 3 4 5 6 7 8 9 10 端口 80 4662 25 443 554 10700 1863 6881 3077 1755 网页服务 P2P 软件 eMule 默认端口 电子邮件服务 HTTPS 服务 RTSP 即实时流协议 新版本 eMule 默认端口 MSN 软件端口 P2P 软件 BT 默认端口 P2P 软件迅雷默认端口 Microsoft Media Server, 微软媒体服务器 应用
在 UDP 协议中,当前最消耗带宽的网络应用是被 SQL Slammer 蠕虫利用的 1434 端口, 其次为被用来发送垃圾信息的 1026 和 1027 端口, 接下来是 P2P 下载软件 eMule 使用的 4672 端口.而正常广泛使用的 DNS 应用只占 8.2%.此外,BT 下载软件,常用于视频点播的实 时流协议也占用较多带宽.具体情况如下图表所示.
UDP协议带宽占用排名 25% 20% 比例 15% 10% 5% 0% 1434 1026 1027 4672 53 端口 7000 16881 32459 16800 6970 20.61% 16.87% 13.77% 9.15% 8.17% 5.02% 3.60% 3.28% 2.40% 1.30%
图 3-9 排名 1 2 3 4 5 6 7 8 9 10 端口 1434 1026 1027 4672 53 7000 16881 32459 16800 6970 应用 SQL Slammer 蠕虫利用的 SQL Server 服务端口 Windows RPC,被利用发送垃圾信息 Windows RPC,被利用发送垃圾信息 eMule P2P 文件下载工具默认端口 正常的 DNS 服务 未知 BitTorrent P2P 文件下载工具常用端口 uTorrent P2P 文件下载工具默认端口 Tvants 流媒体播放软件默认端口 RealAudio 客户端从服务器接收音频数据流端口
CNCERT/CC 密切关注互联网上新协议的应用情况,在 2006 年上半年,CNCERT/CC 对于 SIP 协议的使用情况进行了抽样监测,统计结果表明在实际应用中,有约 60%的 SIP 协议使用默认的 UDP 5060 端口.从国内分布来看,SIP 服务器主要分布在上海,广东,北 京,江苏,福建等地,其中上海最多——占 25%,其次是广东——占 18%.从国家和地区 分布来看,SIP 服务器主要在美国,中国台北,中国香港, 其中美国最多——占 46%,其次 是中国台北和中国香港,分别占 19%和 11%.
4 网络安全事件处理情况
CNCERT/CC 是接收国内网络安全事件报告的重要机构,同时作为国际应急组织 FIRST 和亚太地区应急组织 APCERT 成员,CNCERT/CC 负责接收国际网络安全事件报告.目前 CNCERT/CC 有专门接收事件报告的热线电话,电子邮件,CNCERT/CC 网站有专门的事件 报告系统,网络用户也可以在线填写网络安全事件报告表单,提交网络安全事件信息. CNCERT/CC 有专人对用户报告网络安全事件进行分析处理, 遇重大网络安全事件还将向有 关部门报告,进入紧急处理程序.
4.1 事件报告情况
网络安全事件数量统计
2006 年上半年,CNCERT/CC 共收到国内外通过应急热线,网站,电子邮件等报告的非 扫描类网络安全事件 6765 件,平均每月 1100 多件,每月的具体事件报告数量见图 4-1.
2006年上半年网络安全事件报告月度统计 1600 1400 1200 1000 800 600 400 200 0 1月 2月 3月 4月 5月 6月 874 581 1451 1218 1262
1379
非扫描类事件报告数量
图 4-1 网络安全事件分类统计 2006 年上半年,CNCERT/CC 收到 6765 件非扫描类网络安全事件报告,按类型统计如 下图所示,报告较多的是网页篡改(5781 件),垃圾邮件(341 件)和网络仿冒(266 件).
2006年上半年事件报告类型分布
拒绝服务攻击 蠕虫 垃圾邮件 网络仿冒 主机入侵 僵尸网络 网页恶意代码 木马 其他
网页篡改
网页篡改 主机入侵 木马
网络仿冒 拒绝服务攻击 其他
垃圾邮件 网页恶意代码
蠕虫 僵尸网络
图 4-2
4.2 事件处理情况
CNCERT/CC 协助用户进行事件处理, 以便尽快消除网络安全事件对用户造成的各方面 危害,帮助用户尽量减少损失.同时,按照国际惯例,在事件处理的过程中,帮助用户保存 必要的证据,以便用户需要寻求司法协助时参考使用. 参与事件处理数目按省份统计 2006 年上半年, CNCERT/CC 共处理网络安全事件近 200 件, 大部分事件是 CNCERT/CC 国家中心根据事件涉及主机所属地区, 协调当地分中心进行处理的. 各省分中心参与处理的 事件数目对比情况见下图,其中广东,上海,北京,福建等地处理事件数量较多.
2006年上半年CNCERT/CC各省分中心参与事件处理数目对比
江苏 3% 其它 12% 广东 22%
河北 浙江 3% 3% 黑龙江 3% 辽宁 3% 新疆 3% 陕西 3%
安徽 5%
上海 18% 四川 5% 福建 8% 北京 9%
广东 黑龙江
上海 浙江
北京 河北
福建 江苏
四川 其它
安徽
陕西
新疆
辽宁
图 4-3 2006 年上半年, CNCERT/CC 处理的主要事件类型包括网页篡改, 网络仿冒, 僵尸网络, 主机入侵, 拒绝服务攻击, 恶意代码等. 各类事件所占比例如下图所示, 其中网页篡改 (58%) 和网络仿冒(33%)类事件所占比例较大.
2 00 6年 上 半 年 C NC ER T/ CC 参 与 处 理 事 件 类 型 分 布
拒绝服务攻击 3% 主机入侵 1% 僵尸网络 1% 网络仿冒 32%
恶意代码 5% 其它 1%
网页篡改 57%
网页篡改 拒绝服务攻击
网络仿冒 恶意代码
僵尸网络 其它
主机入侵
图 4-4 网络仿冒事件处理 CNCERT/CC 上半年共接到网络仿冒事件报告 266 件, 其中协调 CNCERT/CC 各省分中 心具体处理了 58 件.这些网络仿冒类事件全部是国际应急组织和安全小组报告并要求协助 处理的, 被仿冒的网站大都是国外的著名金融机构. 下表列出了报告网络仿冒事件数量较多 的组织机构. 网络仿冒事件报告者 (报告数量超过 5 个的组织机构) eBay(美国网上交易站点) Verisign(美国网络安全公司) HSBC(汇丰银行) FIDUCIA(德国网络安全公司) MM Ops Center(美国网络安全公司) Brandimensions(加拿大网络安全公司) 表 4-1 今年上半年出现的政府和重要信息系统网站被植入假冒网站的事例列举如下: 2006 年 5 月 27 日,北京市某区政府服务器被入侵植入香港汇丰银行的假冒网站.2006 年 4 月,国外多家媒体以"中国的银行网站被利用作 Phishing"为题,报道了中国某银行网 站被植入假冒 Paypal 网站的事件.2006 年 6 月 19 日,大连市某区政府网站邮件服务器被入 侵并植入电子港湾(eBay)的假冒网站. CNCERT/CC 对网络仿冒事件,尤其是政府网站被置入假冒网站事件尤为关注,接到上 述事件投诉后,通过各省分中心或直接联系主机用户,进行了协调处理,及时关闭了仿冒网 站, 减少了用户的损失和事件带来的影响. 针对近期我国部分政府和重要信息系统运营单位 主机被入侵后进行网络欺诈情况, 我中心还向有关部门作了专题报告, 并提出若干加强政府 数量 128 57 11 7 7 6
和重要信息系统部门网站安全的建议.
4.3 部分典型事件处理情况
与韩国应急组织协调处理我国网民盗用韩国居民身份证号码事件 2 月 21 日,韩国应急组织向 CNCERT/CC 反映,数万个中国网站发布或转载了韩国居 民身份证号码, 大量中国网民盗用这些号码用来注册韩国的网络游戏和其他网站. 韩国应急 组织表示,该事件严重威胁个人隐私,已成为韩国国内当时最受关注的话题之一. CNCERT/CC 掌握了有关情况后,及时向有关部门报告,并提出了相关建议,此外还与 韩国应急组织保持密切沟通,防止出现针对我国的大规模网络攻击.CNCERT/CC 对此事件 的处理得到韩国应急组织的理解和支持. 协助科技网处理某科技集团一研究所的 Rbot 僵尸网络事件 4 月 24 日,中国科技网向 CNCERT/CC 发来协调请求,报告某科技集团一研究所发生 的网络安全事件. CNCERT/CC 立即启动了相关的处理流程, 前往用户处进行恶意程序取样, 并对样本进行了分析. 之后得到样本代码的分析结果, 确认获得的恶意程序样本 winhelp.exe 为僵尸程序 Rbot 的变种.CNCERT/CC 向科技网发函通报了分析情况和处理建议,消除了 潜在隐患,得到了对方的积极反馈. "五一"黄金周期间及时阻止了对日本内阁网的攻击事件 5 月 3 日晚,CNCERT/CC 收到有关部门的通报,获悉当晚可能发生针对日本内阁网的 网络攻击,CNCERT/CC 展开有关情况的跟踪,并在有关分中心的协助下,协调有关部门阻 止了这起攻击事件的发生. 帮助江苏扬州一公司结束了持续两年遭受分布式拒绝服务攻击的局面 5 月 17 日, CNCERT/CC 接到应急服务试点单位转来的涉及江苏省扬州某公司的事件报 告,该公司持续两年遭到分布式拒绝服务(DDOS)攻击,最近的攻击致使该公司整个网络 运营业务完全中断,损失严重.CNCERT/CC 协同分中心和服务试点单位立即对攻击源进行 了定位,远程取证和技术分析,最后向该公司反馈了有关情况,该公司立即向江苏省扬州市 公安部门报案. 据悉, 江苏省扬州市公安部门已经根据 CNCERT/CC 提供的技术线索逮捕到 黑客.在运营商配合下,被黑客入侵后用来发动攻击的服务器均得到处理.事后,该公司向 CNCERT/CC 发来了感谢信. 协助香港应急组织(HKCERT)处理两起安全事件 5 月 18 日晚,CNCERT/CC 接到香港应急组织 HKCERT 报告的两起事件: 1,四川某网站涉嫌公布了香港警方的内部资料,经 5 月 19 日早上核实,该网站已在有 关部门的协助下删去了此网页,CNCERT/CC 及时将有关情况回复了香港警方联系人. 2,广西某网站涉嫌嵌入恶意代码,在 5 月 19 日 CNCERT/CC 证实该网站被利用 iframe 漏洞植入了木马, 根据分析结果 CNCERT/CC 立即通知广西分中心, 由广西分中心将有关情 况通报了相关单位,及时清除了木马,消除了安全隐患. 通告 Juniper 路由器存在严重安全漏洞 CNCERT/CC 于 6 月 23 日通过国际合作渠道获知,全球最大的网络设备厂商之一——
Juniper 的路由器被发现存在严重安全漏洞,当路由器用于 IPv6 网络,并持续接收特定结构 的 IPv6 数据包时,系统将因内存溢出而崩溃.因此攻击者通过远程攻击即可造成使用该路 由器的 IPv6 网络瘫痪. 我中心及时通知了各互联网运营单位,推荐尽快将路由器系统软件(JUNOS)升级到 2006 年 5 月 10 号之后发布的新版本,或者关闭 IPv6 功能,从而避免该漏洞给我国公共互 联网造成严重损失.
5 网络安全信息服务
网络安全事件影响日益广泛, 网络安全保障的难度越来越大, 仅仅靠少数的网络安全应 急组织和服务机构远远不够,需要提高全社会网络安全意识和应对网络安全事件的能力. CNCERT/CC 网络安全信息服务是面向国内各行各业和广大网民,提供全面,及时,有效, 权威,实用的网络安全信息,使网络安全管理人员和用户及时了解最新网络安全宏观状况, 漏洞补丁,应急技术,安全工具等方面的信息,目标是全面提高全社会对网络安全事件的预 防和应对能力.
5.1 安全信息通报
CNCERT/CC 将网络安全平台所发现的及从国际应急组织渠道获取的与有关部门信息系 统有关的安全事件及时通报给有关部门. 2006 年上半年, CNCERT/CC 共向有关部门发出网络 安全预警信息 6 次; 为国内骨干网运营商等提供了所有 CNCERT/CC 的安全公告信息. 月份, 3 对瑞波变种(Backdoor/Rbot.auv)蠕虫所形成的僵尸网络情况进行监测,并将有关情况通报 了相关部门.4 月份,对通过监测发现北京地区某运营商 UDP1026/1027 端口流量异常的事 件,及时通报了相关运营单位进行了处理,最终网络流量恢复了正常水平. CNCERT/CC 投入力量针对影响公共互联网安全的漏洞进行了分析研究和通报.5 月底, CNCERT/CC 获知 Word 存在一个缓冲区溢出漏洞,用户一旦打开一个利用此漏洞的 Word 文档 可能诱发攻击, 而且 Word 以外的其他 Office 文档也可以被利用来形成攻击.CNCERT/CC 对此漏洞的情况进行了给予了高度重视, 及时在网站上发布了公告, 并跟踪利用该漏洞的后 门,并对该攻击程序进行了分析和监测.6 月份,通过国际合作渠道获知 Juniper 路由器被 发现存在可导致系统崩溃的严重安全漏洞,CNCERT/CC 立即组织力量进行了研究,提出了应 对措施,及时将漏洞和应对措施通知给了相关部门和各运营单位. 今后,CNCERT/CC 将进一步规范与有关部门和运营商的信息共享机制,并继续推动此项 工作.
5.2 CNCERT/CC 网站
CNCERT/CC 网站是 CNCERT/CC 对外提供网络安全信息服务的重要窗口.2006 年上 半年,CNCERT/CC 通过网站发布了近 120 条消息,其中包括安全公告,漏洞公告,病毒预 报,安全新闻,安全建议,统计报告等栏目.2006 年中国计算机网络安全应急年会之 后,CNCERT/C 还将年会资料, 报告和年度总结报告免费公布到了网站上. 目前, CNCERT/CC 网站已成为国内外安全组织和网站参考或转载权威信息的重要来源.
2006上半年度CNCERT/CC网站安全信息分类统计 50 40 30 20 10 0 40 22 6 2 5 6 2
34
图 5-1
5.3 电子邮件
相对于以网站形式提供信息服务的开放性, CNCERT/CC 还通过电子邮件的形式为特定 用户群体提供定向的信息服务,目的是在第一时间将 CNCERT/CC 发布的各类信息送达用 户.目前 CNCERT/CC 的用户群(邮件订户)包括各省分中心,运营商 CERT 组织,应急 服务试点单位,技术支撑单位,中国互联网协会网络与信息安全工作委员会,APCERT, FIRST,TRANSIT 培训班学员,东盟培训班学员等.2006 年上半年,CNCERT/CC 共向中 国互联网协会网络与信息安全工作委员会等单位发布网络安全月报 6 期.
6 网络安全会议与培训
2006 中国计算机网络安全应急年会暨亚太地区应急组织年会在北京召开 由 CNCERT/CC 主办的 2006 中国计算机网络安全应急年会暨亚太地区应急组织年会于 2006 年 3 月 28 日至 31 日在北京顺利召开.总共 4 天的会议包含了三个主要内容,分别是 中国互联网协会网络与信息安全工作委员会年会,亚太地区应急组织(APCERT)年会和 CNCERT 年会,本次会议得到了国务院信息化工作办公室,信息产业部,中国人民银行,中 国科协以及相关国际组织等机构的大力支持,共有来自于相关部委,重要信息系统部门, CNCERT/CC 各省分中心,国际网络安全应急论坛组织(FIRST),APCERT 成员组织及其合作 组织,我国互联网运营商应急小组,科研院所,国内安全企业,新闻媒体代表共计约 350 人出席了本次会议. 本 次 会 议 的 主 题 是 " 网 络 安 全 — — 共 同 的 责 任 " Network Security – Common ( Responsibility) ,旨在进一步加强国内各个行业和领域,中国与亚太地区以及亚太地区各 个经济体之间在网络安全方面的合作, 在巩固已有协调运作机制的基础上, 将应对大规模和 跨界网络安全事件的处理能力提高到一个新的水平. 其中,中国互联网协会网络与信息安全工作委员会年会共约有 50 名的委员参加,会议
资 CN 料 CE RT /C C动 态
公 告
公 告
预 报
新 闻
建 议
报 告 计 统 技
全
洞
毒
全
安
漏
病
安
安
全
术
总结了 05 年的工作, 提出了 06 年的工作计划, 会上委员会秘书处提出成立三个兴趣小组的 意见,以协同相关委员共同开展相应标准的研究和制定工作.APCERT 年会共约有 50 多名来 自 17 个国家和地区的 APCERT 成员参加,APCERT 年会是每年一度 APCERT 全体成员的大会, 是 APCERT 成员组织间进行交流, 沟通与合作的重要平台, 在本次 APCERT 指导委员会换届选 举中 CNCERT/CC 再次当选为 APCERT 副主席. 一年一度的中国计算机网络安全应急年会(简称 CNCERT 年会)不仅为与会者提供了听 取权威网络安全专家报告,了解最新的业界动态,学习最新技术和经验的宝贵机会,也为广 大参会者搭建了一个广泛交流,促进协作,建立信任关系与合作的平台.同时,也进一步拓 展了 CNCERT/CC 的国际合作关系网,提升了我国在网络安全领域的国际影响力.
7 国际合作与交流
CNCERT/CC 参加东盟国家首席信息官网络安全研讨会 2006 年 3 月 15 日至 17 日,由东盟秘书处(ASEAN Secretariat ICT/E-ASEAN Unit) 主办的东盟国家首席信息官网络安全研讨会(Workshop on Network Security for ASEAN CIOs) 在越南河内举行,来自东盟国家的 20 余名政府部门代表和技术专家参加本次大会. 此次会议是由微软公司赞助支持,邀请 APCERT 为东盟国家参会代表介绍有关网络安全 应急组织的作用,功能,案例,经验等.APCERT 的成员 AusCERT,CNCERT/CC,KrCERT/CC, MyCERT/CC 等四个应急组织派代表参加了会议,CNCERT/CC 在会议上做了题为"国家级应急 响应组织能力建设实践"的报告,就如何开展有关合作提供了建议,得到 ASEAN 秘书处的积 极响应. 三天的会议中,参会代表分别就网络安全威胁情况( Network Security Threats and Situation),方法,框架,技术和挑战(Approaches, Framework, Technology, and Challenges),行动和合作-应对挑战(Addressing the Challenges - Actions and Co-operations)等三个主题,进行了充分的讨论交流. 通过此次会议,CNCERT/CC 与东盟国家成员国交流了在应对网络安全威胁方面的经验, 了解了东盟国家在网络安全方面以及其应急组织的情况,并增进了 ASEAN 和东盟国家对 CNCERT/CC 的了解,为进一步开展合作打下了一定基础. CNCERT/CC 参加第二次中国-东盟电信周活动 2006 年 4 月 17 日至 21 日, CNCERT/CC 随信息产业部代表团参加了在马来西亚举办的第 二次中国-东盟电信周活动, 并在其中的信息通信工商论坛中作了题为 "网络安全能力建设" 的报告. 目前中国与东盟在信息通信领域正在展开 6 项主要合作,网络与信息安全是其中之一. 在这次活动中,CNCERT/CC 参与了"中国-东盟网络和信息安全应急反应协作框架"概念文 件的草拟工作.该框架是 2005 年关于中国-东盟合作的《北京宣言》中提出的,目的是通过 加强合作促进本地区网络安全保障能力的提高.
CNCERT/CC 参加第 33 次 APEC 电信工作组大会 2006 年 4 月 23 日至 28 日,CNCERT/CC 参加了在加拿大卡尔加里召开的第 33 次 APEC 电信工作组大会. 由于网络与信息安全是 APEC 最关注的问题之一, 在会议决定的 APEC Tel 新工作框架中, "安全与繁荣指导组"被提升为三个核心工作组之一,会议就网络与信息安 全的技术和管理进行了内容丰富的讨论,总结了 APEC Tel 正在开展的一些相关工作的阶段 性情况,提出了下一步工作的建议.CNCERT/CC 代表 APCERT 在全体会议上做了致词, 感谢 APEC Tel 正式接纳 APCERT 作为嘉宾成员,并倡议加强与 APEC Tel 各成员在网络安 全保障方面的合作. CNCERT/CC 应邀参加微软主办的第四届国际反僵尸网络工作组会议 2006 年 4 月 24 日至 26 日, CNCERT/CC 应邀派代表参加了微软主办的第四届国际反僵尸 网络工作组(4th International Botnet Task Force Meeting)会议.此次会议在法国里昂 的国际刑警总部举行,来自欧洲,亚洲,美洲的许多国家的执法部门以及应急组织代表,共 130 多人参加了此次会议. 会上, 共有十四位专家作了报告, 内容涉及僵尸网络的最新情况, 僵尸网络的有关案例, 如何进行分析取证等方面,并就执法部门,应急组织,供应商如何从各自角度共同应对僵尸 网络进行了专题讨论. CNCERT/CC 上发布了题为"CNCERT/CC 如何应对僵尸网络"的报告,得到了参会代表和 会议主办方的好评.通过交流, CNCERT/CC 进一步加强了与有关国家的应急组织和执法部 门的联系,同时,通过国际合作,CNCERT/CC 在推动对僵尸网络事件的处理方面也将发挥更 积极的作用.
8 结束语
总体来看,2006 年上半年没有发生大规模的网络安全事件,随着微软 Windows XP SP2 的广泛使用, 利用微软系统漏洞进行传播的蠕虫已经不再是网络安全事件的主流, 扫描类蠕 虫的对整体网络的压力逐步减少,但是针对漏洞的"零日攻击"和利用网络攻击获取经济利 益成为趋势.在利益驱动下,以木马,僵尸网络,间谍软件为代表的恶意代码和网络仿冒等 在线身份窃取类安全事件仍然多发,拒绝服务攻击,垃圾邮件类安全事件仍然猖獗. 根据中国互联网信息中心(CNNIC)2006 年 7 月 19 日公布的《中国互联网络发展状况统 计报告》显示,截至 2006 年 6 月 30 日,我国上网用户总数为 1.23 亿人,上网计算机达到 5450 万台,网络用户和网络主机的数量仍然在持续增长,我国的电子政务,电子商务,网 络游戏,网络博客,及时通讯等互联网业务已经初具规模,并正在快速发展.与此同时,互 联网的开放性和应用系统的复杂性带来的安全风险也随之增多, 各种网络漏洞的大量存在和 不断发现,仍是网络安全的最大隐患;网络攻击行为日趋复杂,各种方法相互融合后的定向 性和专业性攻击使网络安全防御更加困难. 根据 2006 年上半年的监测与分析, 预计 2006 年下半年发生大规模的网络安全事件的可 能性比较小,以敲诈勒索,僵尸网络,间谍软件为代表的恶意代码,以及网络仿冒,网址嫁 接,网络劫持等在线身份窃取类安全事件将会继续增加,针对 P2P,IM 等新型网络应用的 安全攻击将会迅速发展, 网站被篡改事件将持续在高位徘徊, 这些问题将导致网络安全事件
数量整体仍呈上升趋势. 作为国家基础网络安全保障重要的技术支撑部门, CNCERT/CC 将在信息产业部的领导 下,继续围绕提高能力和扩大服务两大核心任务,重点提高事件监测和发现能力,加强事件 分析和事件管理,积极拓展和发挥应急体系的作用,全面提高公共互联网的安全保障能力.
编者按: 谢谢您阅读 "CNCERT/CC 网络安全工作报告" 如果您发现本报告存在任何问题, , 请您及时与我们联系,来信地址为:cncert@cert.org.cn.
版权声明: "CNCERT/CC 网络安全工作报告"版权为 CNCERT/CC 所有.转载或引用其中 的有关内容,包括数据及图表,请注明出处.