一、恶意程序
(一)恶意程序捕获情况
2021年上半年,捕获恶意程序样本数量约2,307万个,日均传播次数达582万余次,涉及恶意程序家族约20.8万个。
图1 恶意程序传播源位于境外分布情况
图2 我国受恶意程序攻击的IP分布情况
(二)计算机恶意程序用户感染情况
我国境内感染计算机恶意程序的主机数量约446万台,同比增长46.8%。位于境外的约4.9万个计算机恶意程序控制服务器控制我国境内约410万台主机。
图3 控制我国境内主机的境外计算机恶意程序控制服务器数量分布
图4 控制我国境内主机数量TOP10的国家或地区
此外,根据CNCERT抽样监测数据,境外约1.2万个IPv6地址控制了我国境内约2.3万台IPv6地址主机。
图5 我国境内感染计算机恶意程序主机数量按地区分布
图6 僵尸网络的规模分布
CNCERT协调相关机构成功关闭259个控制规模较大的僵尸网络,有效控制计算机恶意程序感染主机引发的危害。
(三)移动互联网恶意程序
通过自主捕获和厂商交换发现新增移动互联网恶意程序86.6万余个,同比下降47.0%。
图7 移动互联网恶意程序数量按行为属性统计
为有效防范移动互联网恶意程序的危害,严格控制移动互联网恶意程序传播途径,累计协调国内204家提供移动应用程序下载服务的平台下架25,054个移动互联网恶意程序,有效防范移动互联网恶意程序危害,严格控制移动互联网恶意程序传播途径。
二、安全漏洞
国家信息安全漏洞共享平台(CNVD)收录通用型安全漏洞13,083个,同比增长18.2%。其中,高危漏洞收录数量为3,719个(占28.4%),同比减少13.1%;“零日”漏洞收录数量为7,107个(占54.3%),同比大幅增长55.1%。2021年上半年,CNVD验证和处置涉及政府机构、重要信息系统等网络安全漏洞事件近1.8万起。
图8 CNVD收录安全漏洞按影响对象分类统计
三、拒绝服务攻击
(一)境内目标遭大流量DDoS攻击情况
CNCERT监测发现,境内目标遭受峰值流量超过1Gbps的大流量攻击事件同比减少17.5%,主要攻击方式为TCP SYN Flood、UDP Flood、NTP Amplification、DNS Amplification、TCP ACK Flood和SSDP Amplification,这6种攻击的事件占比达到96.1%;攻击时长不超过30分钟的攻击事件占比高达96.6%,比例进一步上升,表明攻击者越来越倾向于利用大流量攻击瞬间打瘫攻击目标。
(二)被用于进行DDoS攻击的网络资源活跃情况
累计监测发现用于发起DDoS攻击的活跃控制端1,455台,其中位于境外的占比97.1%;活跃肉鸡71万余台,其中位于境内的占比92.7%;反射攻击服务器约395万余台,其中位于境内的占比80.7%。与2020年上半年相比,境内各类攻击资源数量持续减少,境内活跃控制端数量同比减少60.4%、肉鸡数量同比减少40.1%、活跃反射服务器同比减少40.9%。
四、网站安全
(一)网页仿冒
监测发现针对我国境内网站仿冒页面约1.3万余个。为有效防止网页仿冒引发的危害,CNCERT重点针对金融、电信等行业的仿冒页面进行处置,共协调关闭仿冒页面8,171个,同比增加31.2%。
图9 承载仿冒页面IP地址和仿冒页面数量分布
监测发现,今年2月份以来,针对地方农信社的仿冒页面呈爆发趋势,仿冒对象不断变换转移,承载IP地址主要位于境外。这些仿冒页面频繁动态更换银行名称,多为新注册域名且通过伪基站发送钓鱼短信的方式进行传播。
(二)网站后门
境内外8,289个IP地址对我国境内约1.4万个网站植入后门,我国境内被植入后门的网站数量较2020年上半年大幅减少62.4%。
图10 境外向我国境内网站植入后门IP地址所属国家或地区TOP10
(三)网页篡改
我国境内遭篡改的网站有近3.4万个,其中被篡改的政府网站有177个。
图11 境内被篡改网站按顶级域名分布
五、云平台安全
发生在我国云平台上的各类网络安全事件数量占比仍然较高,其中云平台上遭受大流量DDoS攻击的事件数量占境内目标遭受大流量DDoS攻击事件数的71.2%、被植入后门网站数量占境内全部被植入后门网站数量的87.1%、被篡改网站数量占境内全部被篡改网站数量的89.1%。
六、工业控制系统安全
CNCERT监测发现境内大量暴露在互联网的工业控制设备和系统。存在高危漏洞的系统涉及煤炭、石油、电力、城市轨道交通等重点行业,覆盖企业生产管理、企业经营管理、政府监管、工业云平台等。
图12 监测发现的联网工业设备的类型统计
图13 监测发现的重点行业联网监控管理系统的漏洞威胁统计
图14 监测发现的重点行业联网监控管理系统类型统计
京公网安备 11010802033237号
