信息公开
information public
通知公告当前位置:首页 > 信息公开 > 通知公告
黑龙江省公共互联网安全监测报告(2021年1月)
更新时间:2021-03-22 来源:黑龙江省通信管理局

2021年1月,我省互联网基础设施运行总体平稳,骨干网各项监测指标正常。木马僵尸网络、蠕虫病毒、web攻击等是我省重要信息系统和互联网用户面临的最主要的网络安全威胁。本月,我省感染木马、僵尸程序主机总数有所下降,被利用作为控制端主机数量较上月有所下降,感染蠕虫病毒主机数量较上月有所上升,受web攻击主机数量较上月有所上升。本月我省感染木马或僵尸网络病毒的主机IP数量为25671个; 被利用作为木马或僵尸网络控制端服务器的IP数量为3753个;感染蠕虫病毒的主机IP数量为480个;遭受web攻击的主机IP数量为4213个; 被利用作为web攻击的IP数量为10053个。

本月互联网上爆出2个主机漏洞,“Microsoft Defender远程代码执行漏洞(CVE-2021-1647)”与“Linux sudo权限提升漏洞(CVE-2021-3156)”,建议用户及时做好漏洞防护。

一、我省互联网主机安全状况分析

黑龙江省通信管理局对互联网主机易感染的木马、僵尸程序、蠕虫病毒、以及遭受web攻击情况进行了持续的监测和分析。从感染病毒的主机在省内分布来看,哈尔滨、佳木斯、齐齐哈尔等地市感染病毒数量较大;从网络病毒的类型分析,主要以僵尸网络居多。

(一)我省互联网主机感染木马、僵尸程序情况

1.我省木马、僵尸程序受控端情况

2021年1月,监测发现我省25671个IP地址对应的主机被其他国家或地区通过木马或僵尸程序秘密控制,如图1所示。

黑龙江省木马或僵尸程序受控主机IP数量月度统计图

2021年1月,哈尔滨、佳木斯等城市木马或僵尸程序受控主机IP数量最多,其中哈尔滨占全省总数的94.14%,如图2所示。

黑龙江省木马或僵尸程序受控主机IP数量按地市分布图

2.我省木马、僵尸程序控制端情况

2021年1月,监测发现我省3753个IP地址对应的主机作为木马、僵尸程序控制端与其他国家或地区进行通信,如图3所示。

3黑龙江省木马或僵尸程序控制端服务器IP数量月度统计图

(二)我省互联网主机感染蠕虫病毒情况

2021年1月,监测发现我省480个IP地址对应的主机感染蠕虫病毒,如图4所示。

黑龙江省感染蠕虫主机IP数量月度统计图

2021年1月,哈尔滨、齐齐哈尔等地市感染蠕虫主机IP数量最多,其中哈尔滨占全省总数的84.58%,如图5所示。

5黑龙江省感染蠕虫主机IP数量按地市分布图

(三)我省互联网web攻击情况

1.我省web攻击受害端情况

2021年1月,监测发现我省4213个IP地址对应的主机被其他国家或地区web攻击,如图6所示。

黑龙江省木受web攻击主机IP数量月度统计图

2021年1月,哈尔滨、齐齐哈尔等城市受web攻击的受害主机IP数量最多,其中哈尔滨占全省总数的74.63%,如图7所示。

黑龙江省受web攻击主机IP数量按地市分布图

2.我省web攻击攻击端情况

2021年1月,监测发现我省10053个IP地址对应的主机作为web攻击的攻击端与其他国家或地区进行通信,如图8所示。

8黑龙江省发起web攻击主机IP数量月度统计图

二、我省互联网主机漏洞预警

(一) Microsoft Defender远程代码执行漏洞(CVE-2021-1647)

微软官方于2021年1月13日发布安全更新,其中修复了一个Microsoft Defender远程代码执行漏洞(CVE-2021-1647),攻击者需要通过构造恶意的PE文件,通过钓鱼邮件链接等方式使受害者获取到该恶意文件,从而触发Microsoft Defender自动对该文件进行解析,最终造成远程代码执行。

目前微软官方已提供相应的月度安全补丁以修复该漏洞,提醒 Windows 用户尽快安装补丁阻止漏洞攻击。

(二) Linux sudo权限提升漏洞(CVE-2021-3156)

2021年1月26日,Linux安全工具sudo被发现严重的基于堆缓冲区溢出漏洞。利用这一漏洞,攻击者无需知道用户密码,一样可以获得root权限,并且是在默认配置下。此漏洞已分配为CVE-2021-3156,危险等级评分为7分。

当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或-i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。因此只要存在sudoers文件(通常是/etc/sudoers),攻击者就可以使用本地普通用户利用sudo获得系统root权限。攻击者可利用该漏洞在多个Linux发行版上成功获得了完整的root权限,包括Ubuntu 20.04(sudo 1.8.31)、Debian 10(sudo 1.8.27)和Fedora 33(sudo 1.9.2),并且sudo支持的其他操作系统和Linux发行版也很容易受到攻击。

目前漏洞细节已公开,请受影响的用户基于官方补丁,尽快采取措施进行防护。


关闭