【连载】2016年中国网络空间安全年报(三)
2016年中国网络空间安全年报
1.3. 站点安全事件分析
2016年国内依旧有部分重要站点被黑,出现此类事件意味着站点已被黑客成功入侵,相关站需要及时清除后门木马、及时检查站点安全状态,并采取合理的安全措施防护此类事件再次发生。根据风暴中心2016年度的监测结果来看,仅已通知告警的安全事件就达1230件,其中站点受暗链影响较为严重,达到930件。其中已提交并正式通报的安全事件具体类型分布可见下图:
▲ 图 1‑9 2016年度通报安全事件类型分布
从受影响的区域来看,安全事件主要集中在山东、浙江、江苏等区域,下图为根据事件进行的区域排行TOP10及对应的事件类型数量:
▲ 表 1-2 出现安全事件最多的前十个省份事件概况
从上图可见,发生暗链、反共、黑页事件的数量与其站点总数、事件总数呈正相关,除此之外,根据风暴中心对各省反共事件、暗链事件的下级辖区进行分析,发现出现反共事件的省份中,省会均有遭受反共组织攻击成功的案例。
以下选取危害程度较高的反共黑客事件、网站被植入暗链事件做主要分析。
1.3.1. 反共黑客活动规律影响较大
“反共黑客”是互联网上的一批反党反政府不法分子所形成的非法极端互联网组织,具有很强的攻击现有社会、政治现象的动机。
根据近两年的攻击趋势来看,反共黑客攻击的目标多集中于政务、企业、教育行业,尤其是站点中的CMS管理系统、邮件系统等。攻击成功后,篡改网页,并显示反动口号,发布的言论常与时事热点结合,具有较强的煽动性。同时,该组织在谷歌地图上进行标记,注明攻陷网站名称和具体时间,并通过网络媒介展示与传播以扩大影响。
“反共黑客”的活动具备组织性与周期性,每周定期对我国境内攻击目标发起数起攻击。从该周期性特征研判,“反共黑客”能持续并稳定发布攻击案例,说明其已掌握了我国境内大量网站的漏洞,可能采用了预先植入后门等手段,控制了大批网站服务器以备每周发布黑页使用。
▲ 图 1‑10 2016年全国范围内反共事件分布图
上图为2016年度反共黑客事件区域分布图。根据风暴中心监测,我国在2016年度共发生118次反共事件,反共事件多集中于北京、浙江等区域,尤其在大型政治会议期间,反共黑客对国内政务站点、会议媒体站点有较为明显的攻击意图,以下就2016年反共事件的特征做简要分析。
● 周期性明显。综合近几年反共事件的时间来看,黑客组织每三天将会进行一次反共黑客攻击,大型会议期间依然保持此周期进行攻击,且时间均集中在晚间19:00~21:00,由此也映射出反共事件背后具有一个非法极端的反共组织控制,反共攻击已成为其常态化的工作内容。
● 标记明显。反共黑客多在网站群的首页或重要页面,通过网站系统固有漏洞进行反共图片上传以及页面篡改,并附加醒目的反共黑客标记,以彰显反共组织的政治意图。
● 攻击意图明显。在大型会议,如国家网络安全宣传周、G20杭州峰会、世界互联网大会、两会等重要政治会议期间,黑客攻击意图愈发明显,尤其在G20杭州峰会期间,随着各省安全监管单位的安全意识提高,站点的安全水平也不断提升,黑客对峰会的举办地:浙江杭州进行了具有针对性的攻击,由于浙江省相关安全监管单位高度重视网络安全,因此会议期间黑客在举办地并未攻击成功,取而代之选择了相邻省份一家企业的后台站点进行入侵,并发布了具有反击性的言论。
根据2016年的反共黑客攻击情况来看,网络空间战场的意识形态之争愈演愈烈,相关安全监管部门正采取越来越多的防护措施及安全决策,以防止反共事件的出现,由此可见我国站点的安全水平及人们的信息安全意识有所提高。
1.3.2. 重要站点被入侵成为暗链源站
暗链源站指的是暗链传播内容的承载站点,往往被植入大量的正常站点中,其中有部分是非法盈利组织的自建站点,还有一部分是通过入侵成功正常站点进行内容传播。根据风暴中心统计,全国现网内共有近2809个站点成为暗链源,其中包含50多个被入侵控制的政务站点,其中被入侵的站点成为暗链源特征较为明显,主要具备以下不安全特征:
● 开放大量高危、非常规端口。根据风暴中心对这批站点进行端口扫描,发现700多个站点开放了异常端口,更有站点开放90个以上的端口,暴露在互联网中的异常端口很有可能成为黑客入侵的起点。
● 主域名被劫持。劫持后在新的主机上可随意发布内容,通常主页内容保持一致迷惑原单位的管理员与用户短时间内不被发现。
● 站点存在安全漏洞。这些被入侵的目标站点往往在建站伊始,由于建设方网络安全意识的匮乏,没有在代码中加入任何过滤措施,或者长期使用低版本的操作系统、服务器等,导致黑客更倾向于入侵此类站点。
除此之外,暗链源由于需要进行广泛的传播提高SEO排名,会有其相应的特点如下:
● 被黑站点成为暗链源后,集中传播非法内容。站点被黑成为暗链传播源的多是一些权重较高的站点如政府单位站点、教育站点等,这类站点被黑后会在该站点中被大量植入需要推广的页面,如下表所示在不同页面下,放入类似内容,通过对关键字、内容的优化,并将这类页面链接植入其他站点进行推广,提升在搜索引擎中的关键字内容排行。这类链接由于是在高可信度域名下,可很好地逃避搜索引擎与网络安全产品的识别封杀。需要靠被黑单位站点增强对网站的安全监测管理来尽快发现并移除,降低被黑客利用的损失。
▲ 表 1-3被植入页面标题相似站点举例
● 泛解析方式传播逃避黑名单检测。从暗链源传播的地址分析,大部分属于子域名,一般是主站点开放了泛解析,子域名命名规则类似,目的是用于逃避一些传统的网络安全产品采用黑名单的方式对这些地址进行封禁,可灵活地通过批量修改子域名的地址来方便地继续传播。
● 使用新顶级域名。根据2016年发现的暗链源来看,逐渐出现以win、top等顶级域名为后缀的站点,这类站点多为廉价、近年来新增的顶级域名,每年均有不同数量的暗链源增长。
基于以上特征,以下选取某典型暗链源站点:云南省某政务站点(ld*c.gov.cn)进行分析,根据前期分析,此站点具有以下特征:
● 站点的主域名为*.gov.cn,且whois信息为云南省某工商行政管理局,无备案信息。
● IP被解析到新加坡。
● 开放12个端口,其中包括常见的21号FTP端口、22号SSH远程登录端口、电子邮件传输端口(如25、110、143、465、587、993、995号端口)、443网页浏览端口、3306数据库默认通讯端口等。
● 可根据主域名在搜索引擎中发现大量的二级域名(70多条),标题及页面内容均为非正常政务站点内容,且具有广告性质。
▲ 图 1‑12 典型被黑站点示例
网站管理单位与相关监管单位应该加强对自有站点的实时监控,避免站点被入侵后成为非法信息的传播源。
1.4. 0 day漏洞概览
2016年度,互联网以及安恒研究院均发现了若干有重大影响的0day漏洞,风暴中心在第一时间对全网重要行业的海量站点进行了深入的指纹分析,以及无害性测试,并将分析成果如漏洞影响力报告提交给监管部门,并进行了0day 的专项预警与服务应急支持,下文选取3个0day进行分析。
1.4.1. 博达网站群管理系统SQL注入漏洞
2016年5月1日,安恒内部漏洞提交平台收到博达网站群管理系统的紧急0day漏洞,漏洞可以造成博达网站群管理系统SQL注入。由于博达网站群管理系统在我国应用范围广泛,尤其是全国重要站点中应用十分广泛,本次漏洞的影响范围将极其广泛。一旦这批网站被攻击,将会严重影响在线业务的正常运营,影响相关单位的形象与公信度,严重者会造成数据泄露、敏感信息外泄、网站篡改、系统被控等后果。风暴中心在最快的时间内,对当时我国24万个全国重要站点和6万余个教育行业网站进行了抽样检测,经过验证,发现存在166个站点漏洞可被利用获得权限。
1.4.2. struts2 tag远程代码执行
2016年4月15日,安恒安全研究院专家在Struts2上发现了一个严重的远程代码执行漏洞S2-032(CVE-2016-3081),黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令,将会对受影响站点造成严重影响,引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。漏洞涉及全国重要站点、银行网站,甚至网易等知名互联网公司,大部分以银行、证券、国企为主,也有不少互联网企业受到波及。本次漏洞影响范围为Struts 2.0.0 - Struts Struts2.5.BETA3版本(不包括已修复版本2.3.20.2、2.3.24.2和2.3.28.1)。
风暴中心目前已经对我国近20万个重要全国重要站点、200多个金融行业网站及1500多个其它网站进行了抽样检测,发现存在51个站点漏洞可被利用获得权限。
1.4.3. 拓尔思系统任意文件上传漏洞
2016年1月26日,安恒内部漏洞提交平台收到拓尔思系统的紧急0day漏洞,漏洞可以造成拓尔思的was系统文件上传,这是继2016年1月12日,拓尔思的wcm系统任意文件上传漏洞之后,拓尔思爆发的又一重量级漏洞。
由于拓尔思的网站内容管理系统在我国政府行业应用范围广泛,一旦这批网站被攻击,将会严重影响政府在线业务的正常运营,影响相关单位的形象与公信度,严重者会造成数据泄露、敏感信息外泄、网站篡改、系统被控等后果。
风暴中心目前已经对我国25万个重要的全国重要站点进行了抽样检测,发现1449个站点可能受该0day影响,其中湖南、江苏受影响情况比较严重,且有部分部委级别网站也收到该漏洞的影响。
未完待续