图10 2013年至2018年CNVD子漏洞库收录情况对比
2018年,应用广泛的软硬件漏洞被披露,修复难度很大,给我国网络安全带来严峻挑战,包括计算机中央处理器(CPU)芯片爆出Meltdown漏洞 和Spectre漏洞 ,影响了1995年以后生产的所有Intel、AMD、ARM等CPU芯片,同时影响了各主流云服务平台及Windows、Linux、MacOS、Android等主流操作系统。随后,Oracle Weblogic server、Cisco Smart Install等在我国使用广泛的软件产品也相继爆出存在严重安全漏洞。
(二)联网智能设备安全漏洞
2018年,CNVD收录的安全漏洞中关于联网智能设备安全漏洞有2,244个,同比增长8.0%。这些安全漏洞涉及的类型主要包括设备信息泄露、权限绕过、远程代码执行、弱口令等;涉及的设备类型主要包括家用路由器、网络摄像头等。
三、拒绝服务攻击2018年,CNCERT抽样监测发现我国境内峰值超过10Gbps的大流量分布式拒绝服务攻击(DDoS攻击)事件数量平均每月超过4,000起,超过60%的攻击事件为僵尸网络控制发起。僵尸网络主要偏好发动TCP SYN FLOOD和UDP FLOOD攻击,在线攻击平台主要偏好发送UDP Amplification FLOOD攻击。
(一)攻击资源情况
2018年,CNCERT对全年用于发起DDoS攻击的攻击资源进行了持续分析,发现用于发起DDoS攻击的C&C控制服务器 数量共2,108台,总肉鸡 数量约144万台,反射攻击服务器约197万台,受攻击目标IP地址数量约9万个,这些攻击目标主要分布在色情、博彩等互联网地下黑产方面以及文化体育和娱乐领域,此外还包括运营商IDC、金融、教育、政府机构等。
(二)攻击团伙情况
2018年,CNCERT共监测发现利用僵尸网络进行攻击的DDoS攻击团伙50个。从全年来看,与DDoS攻击事件数量、C&C控制服务器数量一样,攻击团伙数量在2018年8月达到最高峰。其中,控制肉鸡数量较大的较活跃攻击团伙有16个,涉及C&C控制服务器有358个,攻击目标有2.8万个,如表3所示。为进一步分析这16个团伙的关系情况,通过对全年攻击活动进行分析,发现不同攻击团伙之间相互较为独立,同一攻击团伙的攻击目标非常集中,不同攻击团伙间的攻击目标重合度较小。
表3 2018年活跃攻击团伙基本信息表
2018年,CNCERT加强了对网站攻击资源的分析工作,发现绝大多数网站攻击行为由少量的活跃攻击资源 发起,对我国网站安全影响较大。根据这些攻击资源之间的关联关系,可将其划分为不同的“攻击团伙”所掌握。这些“攻击团伙”不断更换其掌握的大量攻击资源,长期攻击并控制着大量安全防护能力薄弱的网站。通过挖掘和研判“攻击团伙”对受攻击网站的具体操作行为,CNCERT发现这些攻击多带有黑帽SEO 、网页篡改等典型黑产利益意图,并使用流行的攻击工具对网站开展批量化、长期化控制。随着对网站面临安全风险的深入分析,CNCERT掌握了大量的攻击者特征及攻击手法,能为我国做好网站安全管理提出更有针对性、更有效的防范建议。
(一)网页仿冒
2018年,CNCERT自主监测发现约5.3万个针对我国境内网站的仿冒页面,页面数量较2017年增长了7.2%。其中,仿冒政务类网站数量明显上升,占比高达25.2%,经分析,这些仿冒页面主要被用于短期内提高其域名的搜索引擎排名,从而快速转化为经济利益。为有效防范网页仿冒引发的危害,CNCERT重点针对金融行业、电信行业网上营业厅的仿冒页面进行处置,全年共协调处置仿冒页面3.5万余个。从承载仿冒页面IP地址归属情况来看,绝大多数位于境外,主要分布在美国和中国香港,如图11所示。
