行业监管
Industry management
互联网管理当前位置:首页 > 行业监管 > 互联网管理 > 互联网管理
黑龙江省公共互联网安全监测报告(2020年8月)
更新时间:2020-09-25 来源:黑龙江省通信管理局

一、8月互联网网络安全基本态势

2020年8月,我省互联网基础设施运行总体平稳,骨干网各项监测指标正常。木马僵尸网络、蠕虫病毒、web攻击等是我省重要信息系统和互联网用户面临的最主要的网络安全威胁。本月,我省感染木马、僵尸程序主机总数及被利用作为控制端主机数量较上月均有所下降,感染蠕虫病毒主机数量较上月有所下降,受web攻击主机数量较上月有所下降,8月有2个主机漏洞安全预警,整体数据如下:

(1)互联网主机安全情况。2020年8月我省感染木马或僵尸网络病毒的主机IP数量为7246个;我省被利用作为木马或僵尸网络控制端服务器的IP数量为910个;我省感染蠕虫病毒的主机IP数量为141个;我省遭受web攻击的主机IP数量为1259个;我省被利用作为web攻击的IP数量为3121个。

(2)主机漏洞安全预警。2020年8月互联网上爆出2个主机漏洞,“深信服EDR设备存在高危远程命令执行漏洞”与“通达OA存在高危远程命令执行漏洞”,建议用户及时做好漏洞防护。

二、8月互联网网络安全监测数据分析

2.1我省互联网主机安全状况分析

黑龙江省通信管理局对互联网主机易感染的木马、僵尸程序、蠕虫病毒、以及遭受web攻击情况进行了持续的监测和分析。从感染病毒的主机在省内分布来看,哈尔滨、佳木斯、大庆等地市感染病毒数量较大;从网络病毒的类型分析,主要以僵尸网络居多。

2.1.1我省互联网主机感染木马、僵尸程序情况

2.1.1.1我省木马、僵尸程序受控端情况

2020年8月,监测发现我省7246个IP地址对应的主机被其他国家或地区通过木马或僵尸程序秘密控制,如图1所示。

图1黑龙江省木马或僵尸程序受控主机IP数量月度统计图

8月,哈尔滨、佳木斯等城市木马或僵尸程序受控主机IP数量最多,其中哈尔滨占全省总数的98.33%,如图2所示。

图2黑龙江省木马或僵尸程序受控主机IP数量按地市分布图

2.1.1.2我省木马、僵尸程序控制端情况

2020年8月,监测发现我省910个IP地址对应的主机作为木马、僵尸程序控制端与其他国家或地区进行通信,如图3所示

图3黑龙江省木马或僵尸程序控制端服务器IP数量月度统计图

2.1.2我省互联网主机感染蠕虫病毒情况

2020年8月,监测发现我省141个IP地址对应的主机感染蠕虫病毒,如图4所示。

图4黑龙江省感染蠕虫主机IP数量月度统计图

8月,哈尔滨、佳木斯等地市感染蠕虫主机IP数量最多,其中哈尔滨占全省总数的93.62%,如图5所示。


图5黑龙江省感染蠕虫主机IP数量按地市分布图

2.1.3我省互联网web攻击情况

2.1.3.1我省web攻击受害端情况

2020年8月,监测发现我省1259个IP地址对应的主机被其他国家或地区web攻击,如图6所示。

图6黑龙江省木受web攻击主机IP数量月度统计图

8月,哈尔滨、大庆等城市受web攻击的受害主机IP数量最多,其中哈尔滨占全省总数的81.41%,如图7所示。

图7黑龙江省受web攻击主机IP数量按地市分布图

2.1.3.2我省web攻击攻击端情况

2020年8月,监测发现我省3121个IP地址对应的主机作为web攻击的攻击端与其他国家或地区进行通信,如图8所示

图8黑龙江省发起web攻击主机IP数量月度统计图

2.2我省互联网主机漏洞预警

2.2.1深信服EDR设备存在高危远程命令执行漏洞

2020年8月17日,互联网曝光了一个深信服EDR设备高危远程命令执行漏洞,攻击者通过构造特定的HTTP请求,可以成功利用漏洞在目标服务器上执行任意命令,如:写入后门文件。建议用户及时做好漏洞防护。

终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件(Agent)和管理平台(MGR)共同组成。

EDR的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件IOC的全网威胁定位。

此外,端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。深信服的EDR产品也支持与AC、SIP、AF、SOC、X-central产品的联动协同响应,形成新一代的安全防护体系。

2.2.2通达OA存在高危远程命令执行漏洞

通达OA是由北京通达信科科技有限公司自主研发的协同办公自动化软件,涵盖了个人事务、行政办公、流程审批、知识管理、人力资源管理、组织机构管理等企业信息化管理功能,是与中国企业管理实践相结合形成的综合管理办公平台。

2020年8月18日,互联网曝光了一个通达OA高危远程代码执行漏洞,攻击者可以在未授权的情况下,利用任意文件删除漏洞,删除验证权限文件auth.inc.php,结合后台文件上传漏洞,通过构造恶意请求,上传webshell恶意文件,可以成功利用此漏洞在目标服务器上执行任意命令,获取目标服务器权限。目前,漏洞利用代码已在互联网公开。建议用户及时做好漏洞防护。