向我國境內網站植入后門最多的國家竟是它？

文章開頭先列幾個問題：

自己人搞自己人，境內傳播和中招最多的分別是哪個??？

“曝洞一時爽，一直曝洞一直爽”，你覺得去年“洞主”是哪位？（不是搞事情，真不是）

“雷鋒網”VS“雷峰網(公眾號：雷峰網)”？仿冒頁面IP地址歸屬主要分布在哪國？

境外向我國境內網站植入后門IP地址所屬國家TOP10？

境內被篡改網頁的頂級域名前三位？

互聯網金融網站/APP什么類型洞最多？

當然回答這幾個問題不是為了虐你，而是為了讓你往下找答案。

一、惡意程序

（一）計算機惡意程序捕獲情況

2018年，CNCERT全年捕獲計算機惡意程序樣本數量超過1億個，涉及計算機惡意程序家族51萬余個，較2017年增加8132個。全年計算機惡意程序傳播次數日均達500萬余次。按照計算機惡意程序傳播來源統計，位于境外的主要是來自美國、加拿大和俄羅斯等國家和地區。位于境內的主要是位于陜西省、浙江省和河南省等省份。按照受惡意程序攻擊的IP統計，我國境內受計算機惡意程序攻擊的IP地址約5946萬個，約占我國IP總數的17.5%，這些受攻擊的IP地址主要集中在江蘇省、山東省、浙江省、廣東省等地區。

【2018年計算機惡意代碼傳播源位于境外分布情況】

【2018年我國受計算機惡意代碼攻擊的IP分布情況】

（二）計算機惡意程序用戶感染情況

2018年，我國境內感染計算機惡意程序的主機數量約655萬臺，同比下降47.8%。位于境外的約4.9萬個計算機惡意程序控制服務器控制了我國境內約526萬臺主機，就控制服務器所屬國家來看，位于美國、日本和德國的控制服務器數量分列前三位，分別是約14752個、6551個和2166個；就所控制我國境內主機數量來看，位于美國、中國香港和法國的控制服務器控制規模分列前三位，分別控制了我國境內約334萬、48萬和33萬臺主機。

【境內感染計算機惡意程序主機數量變化】

我國境內感染計算機惡意程序主機數量地區分布來看，主要分布在廣東?。ㄕ嘉覈硟雀腥緮盗康?0.9%）、江蘇?。ㄕ?.9%）、浙江?。ㄕ?.4%）等省份，但從我國境內各地區感染計算機惡意程序主機數量所占本地區活躍IP地址數量比例來看，河南省、江蘇省和廣西壯族自治區分列前三位。在監測發現的因感染計算機惡意程序而形成的僵尸網絡中，規模在100臺主機以上的僵尸網絡數量達3710個，規模在10萬臺以上的僵尸網絡數量達36個。

【我國各地區感染計算機惡意程序主機數量占本地區活躍IP地址數量比例】

（三）移動互聯網惡意程序

目前，隨著移動互聯網技術快速發展，我國移動互聯網網民數量突破8.17億（占我國網民總數量的98.6%），金融服務、生活服務、支付業務等全面向移動互聯網應用遷移。但竊取用戶信息、發送垃圾信息、推送廣告和欺詐信息等危害移動互聯網正常運行的惡意行為在不斷侵犯廣大移動用戶的合法利益。

2018年，CNCERT通過自主捕獲和廠商交換獲得移動互聯網惡意程序數量283萬余個，同比增長11.7%，盡管近三年來增長速度有所放緩，但仍保持高速增長趨勢。

【2010年至2018年移動互聯網惡意程序捕獲數量走勢】

通過對惡意程序的惡意行為統計發現，排名前三的分別為流氓行為類、資費消耗類和信息竊取類 ，占比分別為45.8%、24.3%和14.9%。

【2018年移動互聯網惡意程序數量按行為屬性統計】

（四）聯網智能設備惡意程序

目前活躍在智能聯網設備上的惡意程序家族主要包括Ddosf、Dofloo、Gafgyt、MrBlack、Persirai、Sotdas、Tsunami、Triddy、Mirai、Moose、Teaper、Satori、StolenBots、VPN-Filter等。

這些惡意程序及其變種產生的主要危害包括用戶信息和設備數據泄露、硬件設備遭控制和破壞、被用于DDoS攻擊或其他惡意攻擊行為、攻擊路由器等網絡設備竊取用戶上網數據等。

通過抽樣監測發現，2018年，聯網智能設備惡意程序控制服務器IP地址約2.3萬個，位于境外的IP地址占比約87.5%；被控聯網智能設備IP地址約446.8萬個，位于境內的IP地址占比約34.6%，其中山東、浙江、河南、江蘇等地被控聯網智能設備IP地址數量均超過10萬個；控制聯網智能設備且控制規模在1000臺以上的僵尸網絡有363個，其中，控制規模在1萬臺以上的僵尸網絡19個，5萬臺以上的8個。

【2018年聯網智能設備僵尸網絡控制規模統計情況】

二、安全漏洞

（一）安全漏洞收錄情況

2014年以來，國家信息安全漏洞共享平臺（CNVD） 收錄安全漏洞數量年平均增長率為15.0%，其中，2018年收錄安全漏洞數量同比減少了11.0%，共計14201個，高危漏洞收錄數量為4898個（占34.5%），同比減少12.8%，但近年來“零日”漏洞 收錄數量持續走高，2018年收錄的安全漏洞數量中，“零日”漏洞收錄數量占比37.9%，高達5381個，同比增長39.6%。

【2013年至2018年CNVD收錄安全漏洞數量對比】

安全漏洞主要涵蓋Google、Microsoft、IBM、Oracle、Cisco、Foxit、Apple、Adobe等廠商產品。

【2018年CNVD收錄漏洞涉及廠商情況統計】

按影響對象分類統計，收錄漏洞中應用程序漏洞占57.8%，Web應用漏洞占18.7%，操作系統漏洞占10.6%，網絡設備（如路由器、交換機等）漏洞占9.5%，安全產品（如防火墻、入侵檢測系統等）漏洞占2.4%，數據庫漏洞占1.0%。

【2018年CNVD收錄漏洞按影響對象類型分類統計】

（二）聯網智能設備安全漏洞

2018年，CNVD收錄的安全漏洞中關于聯網智能設備安全漏洞有2244個，同比增長8.0%。這些安全漏洞涉及的類型主要包括設備信息泄露、權限繞過、遠程代碼執行、弱口令等；涉及的設備類型主要包括家用路由器、網絡攝像頭等。

三、拒絕服務攻擊

（一）攻擊資源情況

通過對全年用于發起DDoS攻擊的攻擊資源進行持續分析，CNCERT發現用于發起DDoS攻擊的C&C控制服務器數量共2108臺，總肉雞數量約144萬臺，反射攻擊服務器約197萬臺，受攻擊目標IP地址數量約9萬個，這些攻擊目標主要分布在色情、博彩等互聯網地下黑產方面以及文化體育和娛樂領域，此外還包括運營商IDC、金融、教育、政府機構等。

（二）攻擊團伙情況

2018年共監測發現利用僵尸網絡進行攻擊的DDoS攻擊團伙50個。從全年來看，與DDoS攻擊事件數量、C&C控制服務器數量一樣，攻擊團伙數量在2018年8月達到最高峰。其中，控制肉雞數量較大的較活躍攻擊團伙有16個，涉及C&C控制服務器有358個，攻擊目標有2.8萬個。進一步分析這16個團伙的關系情況，發現不同攻擊團伙之間相互較為獨立，同一攻擊團伙的攻擊目標非常集中，不同攻擊團伙間的攻擊目標重合度較小。

【2018年活躍攻擊團伙基本信息表】

四、網站安全

絕大多數網站攻擊行為由少量的活躍攻擊資源發起，根據這些攻擊資源之間的關聯關系，可將其劃分為不同的“攻擊團伙”所掌握。這些“攻擊團伙”不斷更換其掌握的大量攻擊資源，長期攻擊并控制著大量安全防護能力薄弱的網站。

（一）網頁仿冒

經監測，去年約5.3萬個針對我國境內網站的仿冒頁面，頁面數量較2017年增長了7.2%。其中，仿冒政務類網站數量明顯上升，占比高達25.2%，經分析，這些仿冒頁面主要被用于短期內提高其域名的搜索引擎排名，從而快速轉化為經濟利益。從承載仿冒頁面IP地址歸屬情況來看，絕大多數位于境外，主要分布在美國和中國香港。

【2018年承載仿冒頁面IP地址和仿冒頁面數量分布】

（二）網站后門

1. 我國境內被植入后門情況

過去一年，約1.6萬個IP地址對我國境內約2.4萬個網站植入后門。近三年來，我國境內被植入后門的網站數量持續保持下降趨勢，2018年的數量較2017年下降了19.3%。其中，約有1.4萬個（占全部IP地址總數的90.9%）境外IP地址對境內約1.7萬個網站植入后門，位于美國的IP地址最多，占境外IP地址總數的23.2%，其次是位于中國香港和俄羅斯的IP地址。從控制我國境內網站總數來看，位于中國香港的IP地址控制我國境內網站數量最多，有3994個，其次是位于美國和俄羅斯的IP地址，分別控制了我國境內3607個和2011個網站。

【2018年境外向我國境內網站植入后門IP地址所屬國家或地區TOP10】

2. 網站后門“攻擊團伙”情況

數據顯示，攻擊活躍在 10 天以上的網站“攻擊團伙”有 777 個，全年活躍的“攻擊團伙”13 個，如圖所示?！肮魣F伙”中使用過的攻擊 IP地址數量大于 100個 的有 22 個，攻擊網站數量超過 100 個的“攻擊團伙”有 61 個。

從“攻擊團伙”的攻擊活躍天數來看，少數攻擊團伙能夠保持持續活躍。多數“攻擊團伙”的活躍天數較短，無法形成對被入侵網站服務器的持久化控制；少量值得關注的“攻擊團伙”具有長時間持續攻擊的特點，持續對其入侵的多個網站服務器實現長期控制。

【不同活躍天數的“攻擊團伙”數量統計】

（三）網頁篡改

經監測，去年我國境內遭篡改的網站有7049個，較2017年的約2萬個有大幅的下降，下降了64.9%，其中被篡改的政府網站有216個，較2017年的618個減少65.0%。從網頁遭篡改的方式來看，被植入暗鏈的網站占全部被篡改網站的比例為56.9%，占比呈現持續縮小趨勢。從境內被篡改網頁的頂級域名分布來看，“.com”、“.net”和“.gov.cn”占比分列前三位，分別占總數的66.3%、7.7%和3.1%，占比分布情況與2017年無明顯變化。

【2013年至2018年我國境內被篡改網站數量情況】

五、工業互聯網安全

（一）工業網絡產品安全檢測情況

通過對主流工控設備和網絡安全專用產品進行了安全入網抽檢，并對電力二次設備進行專項安全測試。在所涉及35個國內外主流廠商的87個型號產品中共發現232個高危漏洞，可能產生的風險包括拒絕服務攻擊、遠程命令執行、信息泄露等。

利用這些漏洞，攻擊者可使工控設備宕機，甚至獲取設備控制權限，可能對其他工業網絡設備發起攻擊。進一步分析發現，在電力設備測試中部分漏洞呈現同源性特征，經分析因大多數電力設備廠商在實現IEC 61850協議（電力系統最重要的通信協議之一）時都采用了美國SISCO公司的第三方開發套件，顯示了較嚴重的產品供應鏈安全風險。

【2018年工業網絡產品安全檢測中發現的高危漏洞類型分布】

（二）聯網工業設備和工業云平臺暴露情況

監測發現去年境外對我國暴露工業資產的惡意嗅探事件約4451萬起，較2017年數量暴增約17倍。我國境內暴露的聯網工業設備數量共計6020個，涉及西門子、韋益可自控、羅克韋爾等37家國內外知名廠商產品，這些聯網設備的廠商、型號、版本、參數等信息遭惡意嗅探。

【2018年發現的聯網工業設備廠商分布情況】

據了解，目前我國具有一定規模的工業云平臺有30多家，業務涉及能源、金融、物流、智能制造、智慧城市等方面，并監測發現根云、航天云網、COSMOPlat、OneNET、OceanConnect等大型工業云平臺持續遭受漏洞利用、拒絕服務、暴力破解等網絡攻擊，工業云平臺正逐漸成為網絡攻擊的重點目標。

（三）重點行業遠程巡檢情況

電力、石化等重點行業的生產監控管理系統因存在網絡配置疏漏等問題，可能會直接暴露在互聯網上，一旦遭受網絡攻擊，影響巨大。數據顯示，電力、城市公用工程和石油天然氣三個行業的聯網監控管理系統均存在高危漏洞隱患，各自占監控管理系統的比例為10%、28%和35%，且部分暴露的監控管理系統存在遭境外惡意嗅探、網絡攻擊的情況。

六、互聯網金融安全

（一）互聯網金融網站安全情況

隨著互聯網金融行業的發展，互聯網金融平臺運營者的網絡安全意識有所提升，互聯網金融平臺的網絡安全防護能力有所加強，特別是規模較大的平臺，但仍有部分平臺安全防護能力不足，安全隱患較多，

2018年，CNCERT發現互聯網金融網站的高危漏洞1700個，其中XSS跨站腳本類型漏洞占比最多有782個（占比46.0%）；其次是SQL注入漏洞476個（占比28.0%）和遠程代碼執行漏洞85個（占比5.0%）。

【互聯網金融網站高危漏洞分布情況】

（二）互聯網金融APP安全情況

在移動互聯網技術發展和應用普及的背景下，用戶通過互聯網金融APP進行投融資的活動愈加頻繁，絕大多數的互聯網金融平臺通過移動APP開展業務，且有部分平臺僅通過移動APP開展業務。經對430個互聯網金融APP進行檢測，發現安全漏洞1005個，其中高危漏洞240個，明文數據傳輸漏洞數量最多有50個(占高危漏洞數量的20.8%)，其次是網頁視圖（Webview）明文存儲密碼漏洞有48個（占20.0%）和源代碼反編譯漏洞有31個（占12.9%）。這些安全漏洞可能威脅交易授權和數據保護，存在數據泄露風險，其中部分安全漏洞影響應用程序的文件保護，不能有效阻止應用程序被逆向或者反編譯，進而使應用暴露出多種安全風險。

【互聯網金融移動APP高危漏洞分布情況】

（三）區塊鏈系統安全情況

伴隨互聯網金融的發展，攻擊者攻擊互聯網金融平臺牟利的手段不斷升級，并融合了金融業務特征，出現“互聯網+金融”式攻擊，尤其是在區塊鏈數字貨幣等業務領域表現得更為明顯。首先，區塊鏈系統往往自帶金融屬性，直接運行數字貨幣等資產；其次，區塊鏈相關代碼多為開源，容易暴露風險；第三，區塊鏈系統在對等網絡環境中運行，網絡中的節點防護能力有限；第四，用戶自行保管私鑰，一旦丟失或盜取無法找回；第五，相關業務平臺發展時間短，系統安全防護經驗和手段不完善、全面性和強度不足。

報告來源《2018年我國互聯網網絡安全態勢報告》，報告由CNCERT發布，雷鋒網編輯。

雷鋒網

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。