吉林省互联网网络安全情况月度通报(2021年9月)
一、公共互联网网络安全预警信息
(一)情况综述
2021年9月,我省互联网络总体运行情况良好。基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件。
(二)本月网络安全威胁处置情况
本月,吉林省通信管理局按照及时响应、快速处置的工作原则共处置网络安全威胁23起,其中安全事件-主机受控11起、安全隐患-系统漏洞12起。
(三)本月重要威胁——跨站脚本漏洞
1、威胁描述
Web程序没有对攻击者提交的含有可执行代码的输入进行有效验证,在某页面返回给访问该Web程序的任意用户,可能导致这些代码在用户的浏览器解释执行。
Web站点把用户的输入未做过滤就直接输出到页面,参数中的特殊字符打破了HTML页面的原有逻辑,黑客可以利用该漏洞执行任意HTML/JS代码。这里所说的用户输入包括用户提交的GET、POST 参数,还包含HTTPReferrer头,甚至是用户的Cookie。
2、事件危害
Ø 帐号劫持-攻击者可以在会话cookie过期之前劫持用户的会话,并以用户的权限执行操作,如发布数据库查询并查看结果。
Ø 恶意脚本执行-用户可能在不知情的情况下执行攻击者注入到动态生成页面中的JavaScript、VBScript、 ActiveX、HTML 甚至Flash内容。
Ø 蠕虫传播-通过Ajax应用,与CSRF漏洞结合,跨站脚本可以以类似于病毒的方式传播。跨站脚本负载可以自动将其自身注入到页面中,并通过更多的跨站脚本轻易的重新注入同一主机,而所有这些都无需手动刷新页面。因此,跨站脚本可以使用复杂的HTTP方式发送多个请求,并以用户不可视的方式自我传播。
Ø 信息窃取-攻击者可以通过重新定向和伪造站点将用户连接到攻击者所选择的恶意服务器并获得用户所输入的任何信息。
Ø 拒绝服务-通常攻击者通过在包含有跨站脚本漏洞的站点上使用畸形的显示请求,就可以导致主机站点反复的自我查询,出现拒绝服务的情况。
Ø 浏览器重新定向-在某些使用帧的站点上,用户可能在实际上已经被重新定向到恶意站点的情况下误导为仍处在原始站点上,因为浏览权地址栏中的URL仍保持不变。这是由于没有重新定向整个页面,而只是执行JavaScript的帧。
Ø 控制用户设置-攻击者可以恶意更改用户设置。
3、修复建议
Ø 对输入数据严格匹配,比如只接受数字输入的就不能输入其他字符。不仅要验证数据的类型,还要验证其格式、长度、范围和内容。
Ø 输入过滤,应该在服务器端进行。PHP在设置magic_ quotes_gpc 为On的时候,会自动转义参数中的单双引号,但这不足以用于XSS漏洞的防御,仍然需要在代码级别防御.
Ø 编码时使用ESAPI库或其他antixss库。
Ø 针对UTF-7XSS,应指定网页字符集编码。使用’Content-Type'头或<meta>标记。
Ø 针对MHTMLXSS,将url参数值中的%0d、%0a、%0D、%0A 删除。严格限制URL参数输入值的格式,不能包含不必要的特殊字符(0d、%0a等)。如确实需要换行,将其转换为<br>输出。
二、省内手机恶意程序情况统计
(一)概述
本月移动互联网发生病毒事件9.34万余件,总体趋势较为平稳。其中“流氓行为”类病毒占本期病毒活跃事件数的87.29%,“隐私窃取”类病毒占本期病毒活跃事件数的11.19%,“诱骗欺诈”类病毒占本期病毒活跃事件数的1.11%。涉及的活跃病毒6种,其中高危病毒2种、中危病毒2种、低危病毒2种。
图1 2021年移动互联网病毒事件统计
月份 | 移动互联网发生病毒事件(万件) | 环比 |
2021年1月 | 71 | -11% |
2021年2月 | 58 | -18% |
2021年3月 | 73 | 26% |
2021年4月 | 116 | 58% |
2021年5月 | 99 | -15% |
2021年6月 | 23 | -77% |
2021年7月 | 20 | -13% |
2021年8月 | 15 | -25% |
2021年9月 | 9 | -38% |
表1 移动互联网发生病毒事件统计表
(二)受感染用户情况
病毒感染用户数8794余户(已去重),其中高危病毒感染用户终端173余户,占本期感染用户总数的1.97%;中危病毒感染用户终端21余户,占本期感染用户总数的0.24%;低危病毒感染用户终端8603余户,占本期感染用户总数的97.79%。;在这些用户中,安卓用户数为8637余户、IOS用户数为158户。
图2 本期病毒感染用户(已去重)数量分布图
(三)省内各地事件数对比
本月各地市移动恶意事件数量总体趋势较为平稳,分布图中横轴表示“地区”,纵轴表示“病毒活跃事件数”。其中长春市的病毒活跃事件数达到31614件;吉林市的病毒活跃事件数达到19547件;延边朝鲜族自治州的病毒活跃事件数达到9841件。
图3 2021年各地市移动恶意事件数量统计
图4 9月各地市移动恶意事件分布
三、省内僵木蠕情况统计
(一)概述
本月僵尸网络、木马程序、蠕虫攻击和WEB攻击事件日志近74.7万条。本月僵尸网络事件量为18.6万条,木马事件量为56.1万条、蠕虫事件量为92条,木马程序和僵尸网络为攻击者主要的攻击手段。
图5 2021年僵尸网络、木马、蠕虫事件数量统计
月份 | 僵尸网络、木马、蠕虫事件(万条) | 环比 |
2021年1月 | 15 | -19% |
2021年2月 | 26 | 70% |
2021年3月 | 35 | 35% |
2021年4月 | 22 | -37% |
2021年5月 | 48 | 116% |
2021年6月 | 71 | 49% |
2021年7月 | 58 | -18% |
2021年8月 | 82 | 40% |
2021年9月 | 75 | -8% |
表2 僵尸网络、木马、蠕虫事件统计表
(二)省内各地事件数对比
本月各地区僵木蠕事件分布情况如下图所示,其中长春市僵木蠕事件量最大达53.3万余条,占比为71.1%。
图6 9月各地市僵木蠕事件分布
(三)各区域安全态势比较
本月全省共计9个地区被攻击,主要受害区域长春受攻击次数明显减少,从而导致总体事件量减少。
序号 | 城市 | 本月受攻击次数 | 上月受攻击次数 | 较上月 |
1 | 长春市 | 532904 | 656280 | -123376 |
2 | 吉林市 | 121096 | 104569 | 16527 |
7 | 四平市 | 22133 | 7768 | 14365 |
3 | 松原市 | 18696 | 14674 | 4022 |
5 | 白山市 | 16548 | 11398 | 5150 |
4 | 白城市 | 11620 | 11917 | -297 |
6 | 辽源市 | 8190 | 10379 | -2189 |
9 | 延边朝鲜族自治州 | 2267 | 1139 | 1128 |
8 | 通化市 | 872 | 1274 | -402 |
表3 9月各区域安全事件分布表