安恒信息发布2014年互联网安全年报

网络安全和数据安全：资讯、技术、法规、趋势。

摘要:1月14日消息，今日，安恒信息正式对外发布了其2014年互联网安全年报，对2014年整个互联网安全行业的国内外热点安全事件、安全漏洞、安全威胁变化以及APT攻击做了全面的分析。以下是报告的全文：一、2014年互联网安全状况总结2014年2月27日，中央成立...

1月14日消息，今日，安恒信息正式对外发布了其2014年互联网安全年报，对2014年整个互联网安全行业的国内外热点安全事件、安全漏洞、安全威胁变化以及APT攻击做了全面的分析。以下是报告的全文：

一、2014年互联网安全状况总结

2014年2月27日，中央成立了网络安全和信息化领导小组，习总书记任组长，并发表重要讲话，强调“没有网络安全，就没有国家安全;没有信息化，就没有现代化。”显示出最高层保障网络安全、维护国家利益、推送信息化发展的决心。网络安全和信息化建设已经上升为国家重大战略。同时，习主席第一次系统、完整地提出了中国的互联网治理观。通过一系列举措加快国内网络空间法治化进程，并且通过巴西会议、首届世界互联网大会、中美互联网对话等面向全球发出声音。

2014年，也是中国互联网历史上有特别意义的一年。既是中国互联网20周年的日子，也是全球网民数量突破30亿的一年。中国移动互联网用户第一次超过PC用户，中国互联网第一次诞生出3000亿美元的互联网巨头。展现网络大国迈向网络强国的良好态势。

同时，2014年也是多个互联网严重漏洞集中爆发的一年，如OpenSSL的心脏出血(Heartbleed)漏洞、OpenSSL3.0的贵宾犬漏洞、BashShellshock破壳、IE的0Day漏洞、Struts漏洞、Flash漏洞、Linux内核漏洞、Synaptics触摸板驱动漏洞、USBbad等重大漏洞先后曝光，受影响的网站、操作系统、硬件设备范围之广、之深，闻所未闻。

2014年我们所知的所有网络攻击，实际上还只是冰山一角，未来的网络空间将出现更多错综复杂、有组织性甚至是由敌对国家发起的网络袭击。APT攻击事件目前趋于爆发式增长，有些黑客秘密潜入重要系统窃取重要情报，而且这些网络间谍行动往往针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等;有些则属于商业黑客犯罪团伙入侵企业网络，搜集一切有商业价值的信息。

安恒信息盘点了2014年发生在全球的热点互联网信息安全事件，以及全年互联网网络漏洞与网站安全分析整理，希望能给我们的国家、机构、组织、企业，还有人民带来安全意识的启发，敲响网络信息安全的警钟。

1、国内互联网安全十大热点事件

No.1：维护网络安全首次列入政府工作报告

2014年2月27日，中央网络安全和信息化领导小组宣告成立，在北京召开了第一次会议。中共中央总书记、国家主席、中央军委主席习近平亲自担任组长，李克强、刘云山任副组长，再次体现了中国最高层全面深化改革、加强顶层设计的意志，显示出保障网络安全、维护国家利益、推动信息化发展的决心。而3月6日播出的央视晚间新闻《据说两会》栏目，向全国观众介绍了当前我国所处的网络安全形势，首次将维护网络安全列为国家安全和发展的重大战略问题之一。

No.2：2014世界互联网大会

以“互联互通共享共治”为主题的首届世界互联网大会于2014年11月19日至11月21日在浙江乌镇举办。国家互联网信息办公室主任鲁炜在30日国务院新闻办举行的发布会上表示，举办世界互联网大会，旨在搭建中国与世界互联互通的国际平台和国际互联网共享共治的中国平台。世界互联网大会也将永久会址确定在乌镇，打造网络空间的“乌镇峰会”。

此次大会是我国举办的规模最大、层次最高的互联网大会，据了解，有来自100个国家和地区的1000多位政要、企业巨头、专家学者等参加。

中方呼吁国际社会齐心协力，携手建立多边、民主、透明的国际互联网治理体系，共同构建和平、安全、开放、合作的网络空间，并提出九点倡议，具体包括：促进网络空间互联互通、尊重各国网络主权、共同维护网络安全、联合开展网络反恐、推动网络技术发展、大力发展互联网经济、广泛传播正能量、关爱青少年健康成长以及推动网络空间共享共治。

与此同时，安恒信息协助本次大会安全保障部门全面参与了世界互联网大会网络安全技术支撑工作，在安恒信息的风暴中心，技术人员7*24小时对世界互联网大会的网站进行实时监测，大会主会场的网络安全保障工作也闪现着安恒专家团队的身影。同时，作为大会新闻官网唯一网络安全支持保障单位，安恒信息也派出了最强阵容的专家团队驻场支持。据安恒信息世界互联网大会网络安全技术保障团队统计，截止到2014年11月21日13：00世界互联网大会结束，部署在世界互联网大会新闻官网中的WAF防护系统共防护了277531次严重攻击，大部分为SQL注入攻击、跨站脚本、WEB组件漏洞攻击和少量CC攻击。

No.3：2014首届国家网络安全周

2014年11月24日，以“共建网络安全，共享网络文明”为主题的首届国家网络安全宣传周启动仪式在北京中华世纪坛举行。此后，国家网络安全宣传周将于每年11月最后一周举行。

No.4：2014年春运第一天12306爆用户信息泄露漏洞

No.5：支付宝前员工被曝贩卖20G用户资料

一二线电商企业本身有完善的用户数据库，需要进行严格的数据监控，防止数据泄露至黑色交易链。此类信息贩卖产业，有的甚至采取公司的运作方式，从互联网上购买个人或单位信息，转卖他人获利;通过网上购买公民户籍、住房、车辆等个人信息为他人提供婚恋、追债、手机定位等服务项目并从中获利;通过网上购买信息推销产品;利用自身特殊身份盗窃、骗取公民、企业信息转卖获利。

No.6：DNS瘫痪致全国三分之二网站故障

2014年1月21日下午3时20分左右，全国DNS域名解析系统出现了大范围的访问故障，包括DNSPod在内的多家域名解析服务提供商予以确认，此次事故波及全国，有近三分之二的网站不同程度的出现了不同地区、不同网络环境下的访问故障，其中百度、新浪等知名网站也受到了影响。据了解，在此次故障中，多数网站被解析到了65.49.2.178这一IP地址，由于错误的解析，多数网站出现了访问故障，对普通网民而言，最直接的表现就是很多网站打不开了。下午4时许，匿名者黑客团体宣布对在3时31分发生的DNS瘫痪负责。

这次DNS瘫痪除了给网民带来负面体验外，也普及了根服务器的概念：根服务器是是互联网域名解析系统(DNS)中最高级别的域名服务器，目前全世界只有13台，其中10台在美国，另外3台位于英国、瑞典和日本。这给我们敲响了警钟，泱泱网民大国只有根服务器的租用权是相当危险的。

No.7：“2000万开房信息泄露案”开审

2014年2月14日上午，“2000万开房信息泄露事件”首例诉讼在浦东法院第一次开庭审理。原告王金龙起诉汉庭星空(上海)酒店管理有限公司和浙江慧达驿站网络有限公司，并要求赔偿20万元。

王金龙通过分析，完成了《上海市民信息泄露情况分析报告》，上海有86万受害人，居全国首位。

No.8：携程支付出现漏洞导致大量用户信用卡信息泄露

漏洞报告平台乌云网2014年3月22日披露了携程网安全漏洞信息，漏洞发现者称由于携程开启了用户支付服务接口的调试功能，支付过程中的调试信息可被任意骇客读取。

在乌云披露该信息后，携程官方表示，两个小时内修复该问题。

该漏洞发现者称，由于该漏洞存在，携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露，包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。所谓遍历(Traversal)，是指沿着某条搜索路线，依次对树中每个结点均做一次且仅做一次访问。访问结点所做的操作依赖于具体的应用问题。

携程表示，可能受影响用户为3月21日与3月22日的部分交易客户，目前并没有因该漏洞的影响而造成相应财产损失的情况发现。

No.9：全国硕士考试报名信息遭泄露1万5买130万用户数据

某漏洞平台报道《国内考研130W报名信息泄漏事件》并表示该漏洞导致泄露的信息正在被黑产利用。出售的用户信息截止到2014年11月份的130万考研用户，而且数据已经被多次转卖，经过与卖家了解，数据泄漏了考研用户的姓名、手机、座机、身份证、住址、邮编、学校、专业等敏感数据。

No.10：年底12306超十万条数据泄露

铁路公安机关于当日晚，将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人抓获。经查，嫌疑人蒋某某、施某某通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登陆网站进行“撞库”，非法获取用户的其他信息，并谋取非法利益。

另外一个问题就是验证码，12306的PC端的验证码比较难识别，但登陆接口并非只有一个，手机APP也存在登陆接口，经过测试也没有验证码。密码只是md5进行了一次hash，这个接口登陆也不需要进行短信验证。所以很容易利用这个接口进行撞库攻击。如果是撞库，这是否也暴露出了12306对此类新型攻击手段的防范意识与手段有待加强呢

2、国际互联网安全十大热点事件

No.1：WindowsXP停服

服役13年的微软WindowsXP系统于2014年4月8日正式“退休”。尽管这之后XP系统仍可以继续使用，但微软不再提供官方服务支持。对于中国数以亿计的XP用户来说，一方面是对已经使用了13年的操作系统依依不舍，一方面也对即将面临的安全风险顾虑重重。微软官方对此的解释是由于系统运行周期较长，加上技术条件的落后，已经无法抵御网络黑客和病毒的攻击，运行环境方面存在很大的漏洞。

No.2：土耳其石油管道事件

就网络黑客而言，入侵某一跨国企业的电脑系统是一回事，而通过入侵某一国家的民用基础设施并引起爆炸则就完全是另一回事了，而最早发生于2008年的土耳其石油管道爆炸事件就是其中之一，这是一次具有分水岭意义的事件。

对此，专门研究美国安全政策的雷维隆(DerekReveron)博士就认为，土耳其这一事件的披露让美国政府深感忧心，因为全美境内有着长达数千英里的原油、天然气管道线。

No.3：伊朗黑客瞄准航空公司系统

国外知名安全机构指出，虽然来自俄罗斯的黑客动态一直都占据着科技媒体的头条位置，但近年来来自伊朗的黑客们大有后来居上的势头。

同时，这些黑客的攻击目标还包括了旅客的护照照片以及机场员工卡等机密内容，而这些内容的泄露将有可能帮助不法之徒轻松通过机场的安检程序。

No.4：英国央行雇佣黑客

在IT界，大型组织常常雇佣电脑黑客已经是一个众所周知的“秘密”了。这些特殊黑客的工作，就是对系统进行调校，以尽可能地确保公司的安全。然而，尽管这或许已经是一个常识性的东西，但却并没有多少公司公开谈论雇佣黑客的事情。毕竟讨论安全协定可以看作是有风险的。

所以2014年4月，当英国央行(BankofEngland)宣布雇佣黑客来帮助其对二十多个主要银行进行防御测试时，立刻引起了轩然大波。然而，此举还是得到了网络安全专业人士的认可。有人认为，英国走在了网络保护的前沿，能够对消费者、企业和经济起到正面的影响作用。

No.5：爱德华·斯诺登警示社交媒体监听

在政府持续成为曝光主要焦点的同时，斯诺登又爆出了使用云服务、搜索引擎和社交媒体的有关风险，暗示谷歌和脸谱都与政府勾结进行监听和提供“危险”服务。2014年7月，斯诺登又指责Dropbox公司“对隐私怀有敌意”，并是美国政府棱镜窥探计划的走狗。

No.6：美国通过互联网监听从事工业间谍活动

美国国家安全局监听计划的揭露给2014年的整个IT界和各国政府都蒙上了一层阴影。可以说，2014年1月爱德华·斯诺登声称的以民主堡垒自居的美国通过互联网监听从事工业间谍活动是最令人不寒而栗的事件之一。

斯诺登称，美国的工业间谍活动所针对的不仅仅只是限于“国家安全问题”，而且还包括任何可能对美国有价值的工程和技术资料。他以德国工业巨头西门子为例说:“如果西门子的信息符合美国的国家利益，即使这些信息与美国的国家安全没有半毛钱关系，他们照样还是会拿取这些信息。”

和今年的其他安全事件一样，斯诺登的言论毫无疑问地引起了很多关于将敏感信息存储在云端是否符合其背后逻辑的质疑。

No.7：摩根大通受攻击波及多数美国人

人们一般认为，被攻破的都是些安全措施薄弱的公司，然而众所周知的是，摩根大通在安全保护领域有着非常完善的安全规划并不惜投入巨资。摩根大通事件以惨痛的教训向世界做出警示，没有人是绝对安全的。

No.8：“攻击世界杯行动”

在推特发布的一条信息中，上述黑客组织宣布，自从巴西世界杯开幕以来，他们已经实施了一百多次网络攻击，被攻击的网站对象隶属于巴西情报机构、世界杯赞助商现代公司巴西分公司，巴西足球协会，巴西司法部，圣保罗军事警察机构，巴西银行，以及Africa.com.br网站。本次攻击行动的主要目的是对巴西的贫困现象、腐败和警方暴力表示抗议。

No.9：苹果iCloud安全漏洞泄漏名人裸照

苹果公司一向以其自身设备和服务的安全而自豪，但2014年8月，随着其iCloud服务被攻破，许多的名人信息被泄露，这个iPhone和iPad制造商也被狠狠地打了脸。事件造成数百张家喻户晓的名人私密照片被盗，其中包括主演影片《饥饿游戏》(TheHungerGames)的明星詹妮弗·劳伦斯(JenniferLawrence)的裸照，苹果公司只好加紧解决其iCloud服务的安全问题。

在这么多的企业和个人越来越愿意相信云服务的背景下，该事件向我们敲响了警钟，那就是在云服务上存储敏感文件可能并不像我们想象的那样安全。将敏感资料放在云端，就要对这样的潜在后果有所警醒。很多人可能还不知道，智能手机通常都会自动备份文件到云服务器。今天的设备都非常热衷于将数据推送至各自的云服务器上，人们应该小心敏感资料不会自动上传到网上或者其他配对的设备上。

No.10：索尼影业被黑

2014年11月份，索尼影视娱乐受到黑客攻击，导致公司系统被迫关闭。这是安全声誉欠佳的索尼继一连串针对其PlayStation(PS)网络的攻击后，受到的又一次打击。攻击造成从包括个人信息和名人电子邮件在内的员工详细信息到未发布的影片都被公之于众。

美国联邦调查局声称背后黑手是朝鲜，总统奥巴马也二次发声要打击网络攻击行为。朝鲜当局呼吁成立朝美联合调查组，并威胁如果未遂其愿的话可能导致“严重后果”。此事已经上升到国家政治层面。

3、2014互联网网络漏洞简析

根据中国国家信息安全漏洞库统计，2014年全年互联网新增各类网络漏洞9118个，其中第一季度新增安全漏洞2018个;第二季度安全漏洞1910个;第三季度安全漏洞2537个;第四季度安全漏洞2653个。

从漏洞严重程度来看，高危漏洞占全年漏洞总数的比例为26.03%(2373);中危漏洞占全年漏洞总数的比例为65.92%(6011);低危漏洞占全年漏洞总数的比例为8.05%(734)。

No.2：OpenSSL爆“心脏出血”漏洞

2014年4月8日，来自Codenomicon和谷歌安全部门的研究人员，发现OpenSSL的源代码中存在一个漏洞，可以让攻击者获得服务器上64K内存中的数据内容。该漏洞在国内被译为“OpenSSL心脏出血漏洞”，因其破坏性之大和影响的范围之广，堪称网络安全里程碑事件。

密歇根大学的一个安全研究团队利用开源网络扫描工具ZMap搜索存在Heartbleed漏洞的网站。研究人员完整扫描了地址空间，截至2014年4月10日2:00PM，Alexa排名前百万的网站中有32%支持SSL，在支持HTTPS的网站中，9%存在漏洞，31.9%安全的支持OpenSSLTLSHeartbeatExtension，59%不支持HeartbeatExtension(不存在心脏出血漏洞)，也就是在漏洞爆发的时候全球前一百万的网站中，有40.9%的网站中招。全球第一个被攻击通告的案例加拿大税务局确认Heartbleed导致了900个纳税人的社会保障号被盗，这900个纳税人的社保号被攻击者在系统中完全删除了。

No.3：Linux“Bash”破壳漏洞大爆发

2014年9月25日，国外安全专家发现Linux系统中一个频繁使用的片段“Bash”存在漏洞，影响目前主流的Linux系统。利用该漏洞，黑客可以远程窃取服务器上的信息，并进一步控制服务器。

“Bash”漏洞(Shellshock)是继今年四月的“心脏流血”漏洞之后，业界发现的首个重大互联网威胁。由于后者所影响的OpenSSL加密软件被用在全球大约三分之二的网络服务器中，因此影响范围十分广泛。

最新的这项漏洞的威胁程度之所以堪比“心脏流血”，一定程度上是因为Shellshock所影响的Bash软件，同样被广泛应用与各类网络服务器以及其他电脑设备。

但安全专家表示，由于并非所有运行Bash的电脑都存在漏洞，所以受影响的系统数量或许不及“心脏流血”。不过，Shellshock本身的破坏力却更大，因为黑客可以借此完全控制被感染的机器，不仅能破坏数据，甚至会关闭网络，或对网站发起攻击。

与之相比，“心脏流血”漏洞只会导致数据泄漏。

No.4：Struts2漏洞频出祸根是Apache底层代码不严谨

ApacheStruts2的远程代码执行漏洞风暴影响刚刚散去，2014年4月23日晚，国外安全人员研究发现Apache公司提供的升级版本并未完全修复漏洞，ApacheStruts2在处理CVE-2014-0094的漏洞补丁中存在缺陷，会被轻易绕过，可导致任意命令执行。Struts2上次远程代码执行漏洞，是由于黑客通过ParametersInterceptor接口可以操控服务器运行环境中的一些对象，因此补丁中禁用了此接口，但是由于防护规则不完善，导致安全机制仍可被攻击者绕过。建设银行、工商银行、中国银行、淘宝、京东、中国移动官网等都采用Struts2框架，此漏洞对上述网站服务器构成了拒绝服务和远程控制的威胁。

4、2014互联网网站安全简析

2011年12月21日，国内最大的开发者社区CSDN数据库被黑客攻击，以致600万用户资料外泄，由此拉开了我国互联网史上最大规模信息泄露事件序幕。2014年网站泄密事件依然不断升级、不断发生，每天都有新的大型知名网站的用户信息外泄，据不完全统计已有超过上亿互联网用户资料泄露，绝大部分信息均为有效数据。网站泄密事故发生主要原因在于网站存在漏洞，从而遭到黑客入侵“拖库”。这些网站设计时是允许任何人、从任何地方登陆进入访问，因而也成为了通往隐藏在深处的重要数据的桥梁。通过安恒信息风暴中心网站安全监测平台的统计，目前国内存在高危漏洞的网站约占35%，中危漏洞的网站约占45%，低危漏洞的网站约占62%，而相对比较安全的网站只有23%。

目前国内网站存在最多的高危风险的漏洞包括了sql注入、跨站脚本攻击、网站弱口令等漏洞;中危风险的漏洞是备份文件、目录遍历漏洞;低危风险的漏洞是trace等漏洞。

(1)、电子政务：网站安全任重道远

根据安恒信息在2014年电子政务网站安全随机检查中，对国家部委、中央企业以及10个省市的重点政府网站进行安全检查工作，检查网站总数为5023个，发现675个网站存在安全漏洞，占被抽查网站总数的11.10%，存在高危漏洞的网站有366个，占3.12%;中危漏洞的网站有2572个，占21.95%;低危漏洞数量有8778个，占74.92%。如下图所示：

▲全国政府网站安全抽查网站安全状况

▲全国政府网站安全抽查漏洞等级分布情况

(2)、网站篡改：仍以网络暗链为主要攻击手段

在众多的网络攻击方式中，网页篡改是比较浅层的攻击手段，而我国相对滞后的网站建设却使之成为攻击网站的主要技术手段之一。

2014年，网络暗链在安恒信息风暴中心互联网大数据监控平台的网页篡改中居于领先位置。所谓暗链攻击，是指黑客通过隐形篡改技术在被攻击网站的网页植入暗链，这些暗链往往被非法链接到色情、诈骗、甚至反动信息。

2014年，安恒信息风暴中心网站安全监测平台发现国内被篡改的网页数量为134346个。国内被篡改网页的月度统计情况如下图所示，统计包含网站被植入暗链的情况：

2014年我国境内被植入暗链网站按地域类型前十位分布情况如下图示，篡改页面总量达到99017个，其中北京、广州、江苏三省市被篡改页面居全国前三。

(3)、网站漏洞：SQL注入仍是网站安全头号威胁

为了篡改网页植入暗链盗取数据，黑客一般需提前知晓网站的漏洞，提前在网页中植入后门，并最终获取网站的控制权。作为现在互联网Web应用系统最经常被利用且影响最严重的漏洞，SQL注入漏洞和XSS跨站脚本漏洞仍然是年互联网安全威胁的重要攻击方式，WebDev和Strurs2漏洞威胁依然存在于较多的政府网站与商业网站。

2014年我国境内被SQL注入漏洞攻击网站按地域类型分布排名前十位的省份如下图所示。

2014年我国境内被XSS跨站脚本漏洞攻击网站按地域类型分布排名前十位的省份如下图所示。

2014年我国境内被WebDev漏洞攻击网站按地域类型分布排名前十位的省份如下图所示。

二、安全形势分析

1、网络空间安全威胁阶段和当前形势

随着互联网和信息技术的发展趋势，存在信息网络当中的“安全”成为关乎国家安全的重要问题，国际上信息科技发达国家进入了网络空间的战略集中部署阶段，网络安全的边界概念被模糊化，各种安全威胁不断被放大和演变，网络的安全形势日益复杂严峻。

▎各国加速网络安全战略部署

美国从90年代后期开始注重关键基础设施来自网络空间的威胁，并先后制定出成熟的国家网络空间安全战略，主要战略性文件包括《网络空间安全国家战略》、《网络空间国际战略》和《网络空间行动战略》。

在美国的示范效应作用下，先后有50多个国家制定并公布了国家安全战略。欧盟委员会在2014年2月公报中强调网络空间治理中的政府作用;习近平在巴西会议上第一次提出信息主权，明确“信息主权不容侵犯”的互联网信息安全观。日美第二次网络安全综合对话结束，两国在网络防御领域的合作将进一步强化;中日韩建立网络安全事务磋商机制并举行了第一次会议，探讨共同打击网络犯罪和网络恐怖主义，在互联网应急响应方面的建立合作。

▎网络安全威胁隐患不容忽视

木马病毒、钓鱼诈骗、僵尸网络、分布式拒绝攻击(DDOS攻击)、高级持续威胁攻击(APT攻击)等成为当今网络主流的攻击方式，并呈现愈演愈烈的趋势。云端恶意代码样本已从2005年的40万种增长至目前的60亿种，全球恶意代码样本数目正以每天可获取300万个的速度增长，继“震网”和“棱镜门”事件之后，网络基础设施又遇全球性高危漏洞侵扰，“心脏出血”漏洞威胁我国境内约3.3万网站服务器，Bash漏洞影响范围遍及全球约5亿台服务器及其他网络设备，基础通信网络和金融、工控等重要信息系统安全面临严峻挑战。

▎解析Blackhat2014峰会，展望未来安全趋势

随着互联网和移动互联技术在全球迅速普及，人们工作生活的方方面面被“一网打尽”，但网络环境日趋复杂，面对高速增长的数据信息量、移动应用端的普及，以及病毒和黑客不断变化的入侵方式，预计未来的信息安全重点将聚集在云安全、物联网、移动终端、数据存储安全方面。

2、我国网络空间安全现状

我国信息网络蓬勃发展，互联网络规模不断扩大，应用水平不断提高，网络应用形势呈现多样化，成为推动社会进步和经济发展的巨大动力。伴随着信息网络快速增长的步伐，也出现了不少迫切需要解决的问题，尤其是当前网络立法系统性不强、及时性不够和立法规格不高，物联网、云计算、大数据等新技术新应用、数据和用户信息泄露等的网络安全问题日益突出。

CNCERT监测数据和通信行业报送信息，我国互联网仍然存在较多网络攻击和安全威胁，不仅影响广大网民利益，妨碍行业健康发展，甚至对社会经济和国家安全造成威胁和挑战。

▎政府网站成为信息安全威胁的重灾区

地方政府网站是黑客攻击的“重灾区”，2014年我国境内被篡改和被植入后门的政府网站中，超过90%是省市级以下的地方政府网站。我国政府网站频繁遭受黑客组织攻击。

▎网络设备成黑客入侵后门

▎有组织攻击频发，我国面临大量境外攻击威胁

国家级有组织网络攻击频发，我国部分重要网络信息系统遭受渗透入侵，CNCERT监测发现境内1.5万台主机被APT木马控制。境内1090多万台主机被境外控制服务器控制，主要分布在美国、韩国和中国香港，其中美国占30.2%，控制主机数量占被境外控制主机总数的41.1%。

▎移动互联网环境有所恶化

仅2014上半年，新增移动互联网恶意程序就超过36.7万，移动恶意程序99%以上针对安卓平台，恶意扣费类程序占到62%以上，超过300家应用商店存在移动恶意程序。手机应用商店、论坛、下载站点、经销商等生态系统上游环节污染，下游用户感染速度加快。

3、移动互联网的安全现状

2014年，国家互联网应急中心在2014中国互联网大会上发布了《2014年上半年移动互联网环境治理报告》中发布的新数据，更是引起了人们的注意：新增移动互联网恶意程序超过36.7万，移动恶意程序99%以上针对安卓平台，恶意扣费类程序占到62%以上，超过300家应用商店存在移动恶意程序……

综上所述，为净化移动互联网的应用环境，构建移动应用(APP)自身的立体防护体系，将是移动互联网网络信息安全的源头和重中之重。

三、2014网络安全热点问题

1、威胁由网络层转向应用层

如今，许多行业用户将大量有价值的客户数据存储于在线数据库，通过网络应用与外界交互。不论是电子政务、通信、金融、电子商务抑或是小小的个人博客，基于Web和数据库的应用系统已经逐渐成为主流。在我们享受这些信息系统带来便利的同时，也必须正视其带来的安全和威胁:

(1)随着Web应用系统不断地建设及陆续投入运行，这些Web应用程序所带来的安全漏洞越来越多;

(2)使用者安全意识的培养跟不上Web应用的普及速度，加上Web应用本身的粗放式特点，使攻击成为了简单的事情;

(3)目前基于Web的各种应用直接承载有各类虚拟资产，而这类虚拟资产可以方便的转换为现实经济价值。很显然，此类应用系统将会成为以经济利益为驱动的攻击首选;

(4)随着技术的不断提高，攻击工具日益专业化、易用化、攻击方法也越来越复杂、隐蔽，防护难度较大、导致各类攻击者活动越来越猖獗;

然而与之形成鲜明对比的却是：原有安全解决方案无一例外的把重点放在网络层，致使当应用层攻击(如：SQL注入攻击、跨站脚本攻击、恶意代码等等)发生时，传统的网络层安全设备，如防火墙、IDS/IPS等形同虚设，根本无能为力。根据Gartner的报告，目前网络中常见的攻击已经由传统的系统漏洞攻击逐渐发展演变为对应用自身弱点的攻击，其中最常见的攻击技术就是针对Web应用的SQL注入和钓鱼攻击。据安恒信息风暴中心的统计显示，国内网站安全性令人担忧:65.5%的网站存在安全漏洞,其中,29.2%的网站存在高危安全漏洞;8.7%的网站遭到篡改,33.7%的网站被植入了后门。平均每天有3500多家网站遭到35万次的各类漏洞攻击;每天有超过600余家网站遭到1180多万次的流量攻击。政府网站是漏洞攻击的首要目标,而企业网站则是流量攻击的首要目标。跨站脚本漏洞和SQL注入漏洞这两类高危安全漏洞仍然是占比最高的网站安全漏洞,二者之和超过网站所有漏洞检出总次数的一半。

2、网络攻击趋势变化

当前攻击者也由过去的单兵作战，无目的的攻击转为有目的、有针对性的攻击，并且形成一整套以攻击者为中心的“传、攻、销”的经济产业链。境外情报机构、企业公司和犯罪团伙都愿意付钱买下有关安全漏洞——以及如何加以利用——的信息。各种信息网络犯罪每天充斥在我们生活当中，信息网络犯罪已经达到了一个前所未有的高度，违法犯罪类型和形式趋于多样化、隐蔽化、复杂化。那么如今的信息网络犯罪攻击技术已经达到什么样的程度了呢

(1)Web应用安全与数据泄漏

攻击者的目标明确、趋利化特点明显，针对不同Web应用网站所采用的攻击手段不同，攻击者入侵一个目标站点的时候，首先会看该站点是否存在利益价值。目前攻击者的商业攻击主要针对在线购物网站、社交网站、网络游戏、大型论坛、慈善机构、电子政务、金融证券网站等网站。比如攻击者可以通过入侵缺乏防护措施的政府网站挂“黑链”，因为政府网站在搜索引擎中占据的权重较高，攻击者可以通过植入脚本木马进行网页篡改，将自己指定的网站或代码插入到政府网站的正常页面中，从而提供其在搜索引擎中的排名靠前并盈利。

现在的大型网站一般都使用第三方开发公司的商业网站管理内容系统，虽然一般情况下这些商业网站每年也会聘请安全服务机构进行安全风险评估，部署大量安全产品，但是狡猾的攻击者会绕道先攻击网站的开发商，获取到商业网站管理系统的源码，然后进行分析挖掘漏洞，再转回头攻击之前的目标商业网站。同时攻击者会利用挖掘到的商业漏洞攻击其他商业网站或者出售该漏洞。

攻击者们通过入侵各个站点，把这些站点的用户数据库整体下载下来，这个叫做“拖库”;然后再把这些数据库里的个人信息拿来进行网络诈骗或者层层出售，这个叫做“洗库”;最后攻击者们通过某些渠道相互共享出来，找到各自用户信息的共同点和关联之处，取得完整用户的完整个人信息，再用这些信息进一步去尝试其他攻击目标网站或者个人，这个叫做“撞库”，最后偷取用户游戏账号、银行账号、证券交易账号、密码等，窃取用户的私有财产。

(2)0day攻击

挖掘软件漏洞，在网络安全中是一个古老的技艺，世界上第一个蠕虫病毒“莫里斯蠕虫”就是病毒制造者莫里斯通过挖到的UNIX漏洞进行传播的。现在越来越多的破解者和攻击者们，已经把目光从率先发布漏洞信息的荣誉感转变到利用这些漏洞而得到的经济利益上，互联网到处充斥着数以万计的充满入侵激情的脚本小子，更不用说那些以窃取信息为职业的商业间谍和情报人员了。于是，0day有了市场。

国外很早就有了0day的网上交易，攻击者们通过网上报价出售手中未公开的漏洞信息，几年前，攻击者通常会将漏洞信息出售给微软和苹果等公司，然后由它们去修复。由于政府机构愿意付出更高的价格购买0day漏洞，迫使微软提高价格至最高15万美元。有两位意大利攻击者，他们将找到的0day漏洞细节出售给美国政府的安全机构如NSA及其对手伊朗革命卫队。

当今的互联网，病毒、蠕虫、僵尸网络、间谍软件、DDoS犹如洪水般泛滥，所有的这一切都或多或少地从0day走过，但不管怎样，0day带来的潜在经济利益不可抹杀，而其将来对信息安全的影响以及危害也绝不能轻视。

(3)网络攻击工具逐渐齐全

Metasploit是一个免费的、可下载的框架，通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。当H.D.Moore在发布Metasploit时，它的发布在安全界引发了强烈的地震，甚至有人把它形容成“可以黑掉整个星球”。仿佛一夜之间，任何人都可以成为攻击者，每个人都可以使用攻击工具来攻击那些未打过补丁或者刚刚打过补丁的漏洞。软件厂商再也不能推迟发布针对已公布漏洞的补丁了，这是因为Metasploit团队一直都在努力开发各种攻击工具，并将它们贡献给所有Metasploit用户。

经验丰富的攻击者一般都喜欢使用一些网络攻击工具来提升自己的攻击效率，而这些工具的使用，只需要非常少的技术，另外，开发人员通常将这些工具做为合法的渗透测试工具在攻击者论坛或他们的网站上免费提供。通过最近几年网络安全技术的快速发展，网络攻击工具也有了新的发展趋势。

比如现在攻击工具的自动化水平不断提高。以前，安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度。在2000年之前，攻击工具需要人来发动新一轮攻击。现在，攻击工具可以自己发动新一轮攻击，比如震网病毒主要利用Windows系统漏洞实施攻击和传播，具有极强的复制能力和明确的攻击目标，一旦成功感染系统就会自动传播给其他与之相连的电脑，最后造成大量网络流量的连锁效应，导致整个网络系统瘫痪。

攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比，攻击工具的特征更难发现，更难利用特征进行检测。

(4)APT攻击

高级持续性威胁(AdvancedPersistentThreat，APT)，威胁着企业的数据安全。APT是攻击者以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划和有组织地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

APT入侵客户的途径多种多样，主要包括以下几个方面。

——以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。

——社会工程学的恶意邮件是许多APT攻击成功的关键因素之一，随着社会工程学攻击手法的日益成熟，邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现，这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。攻击者刚一开始，就是针对某些特定员工发送钓鱼邮件，以此作为使用APT手法进行攻击的源头。

——利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。

(5)移动互联网安全

如今，人们的信息交流开始越来越多地由PC转向手机，然而，随着移动互联网的快速发展，固定互联网上原有的恶意程序传播、远程控制、网络攻击、垃圾邮件等网络安全威胁也快速地向移动互联网蔓延。这些恶意程序往往在用户不知情的情况下窃取用户个人信息，诱骗用户上当受骗，造成用户的经济损失。移动互联网已经被各种病毒、木马、恶意代码等攻击行为全面侵袭——手机上的木马可以控制调取通讯录、短信，可以对通话进行录音，然后把录音传到控制端去，还可以伪造朋友给机主发短信，或者伪造机主身份给朋友发短信……

因此，对移动互联网恶意程序进行有效的防范和控制，不断提高移动智能终端的安全能力，关系到我国移动互联网的健康发展和对广大移动互联网终端用户合法权益的保护。

(6)智慧城市面临的新型信息安全威胁

智慧城市是一项甚为复杂的大型系统工程，随着三网融合、两化融合的深入推进，物联网、云计算、大数据等高新技术的应用与发展，所面临的网络环境更加复杂，因此其信息与网络乃至应用终端的安全问题均比一般互联网的信息安全问题要多。

我国的“智慧城市”建设进入高峰期，智慧城市的信息系统特点是一把双刃剑，在给人们带来智慧城市的美好前景的同时，也带来了新的信息安全的威胁。

主要的威胁包括(但不限于)：

1.恶意的网络攻击：

2.城市管理信息泄密：

智慧城市应用大部分是在公网上运行，采集并保存着城市运行和管理的海量数据，这些海量数据通过大数据分析软件的分析，为城市管理人员提供了这个城市的各种重要信息，其中一些信息具备非常高的信息价值，应该对这些信息进行很高密级的保护。然而，由于这些信息设备往往无人值守，恶意人员可能偷盗传感器件获得其存储密码和感知数据，通过多位置放置被控节点副本及发射无线干扰信号，进行物理层面攻击使网络瘫痪，还可能利用公开的智慧城市应用和方便的云计算资源，实施大数据计算，从而获取到这些机密信息，这种情况轻则会造成商业的被动和损失，重则可能会造成社会和国家安全上的威胁。

3.个人信息的泄密：

4.业务连续性和灾难恢复方面的安全威胁：

智慧城市是城市运行和管理的高级信息化应用，这些应用发展到一定的规模后，人们会发现越来越离不开这些应用，到那个时候，如果出现智慧城市应用的运行问题或者遭受到自然的灾害影响时，城市的运行和管理将遭到重大的打击，最终将极大的影响到市民的正常生活。

综上所述，智慧城市建设除了会带来通常的信息安全问题，还可能会带来严重的社会稳定、经济利益甚至于国家安全的威胁，因此必须倍加重视与小心务实应对。

四、2014网络安全APT攻击专题分析

1、警惕利用Bash漏洞的IRC-BOT

(1)、什么是Bash安全漏洞

继2014年4月的“Openssl心脏流血”漏洞之后，另一个重大互联网威胁于2014年9月24日爆发，GNUBash(Bourneagainshell)4.3及之前版本在处理某些构造的环境变量时存在安全漏洞，可能允许攻击者远程执行任意命令，GNUBash漏洞编号为CVE-2014-6271。

百度百科的介绍显示，Bash(GNUBourne-AgainShell)是大多数Linux系统以及MacOSXv10.4默认的shell，它能运行于大多数Unix风格的操作系统之上，甚至被移植到了MicrosoftWindows上的Cygwin系统中，以实现Windows的POSIX虚拟接口。此外，它也被DJGPP项目移植到了MS-DOS上。

而Bash的命令语法是Bourneshell命令语法的超集。数量庞大的Bourneshell脚本大多不经修改即可以在Bash中执行，只有那些引用了Bourne特殊变量或使用了Bourne的内置命令的脚本才需要修改。可以说，Bash是类Unix系统的核心，如果Bash出现了漏洞，则说明攻击者可以控制机器一切。

(2)、Bash安全漏洞攻击分析

近期，安恒信息安全研究院也监控到了大量利用Bash安全漏洞进行的攻击，我们主要是对这次的攻击使用的Bash脚本和植入的IRC-BOT进行分析。

Bash脚本分析

我们在明御APT攻击(网络战)预警平台上发现了攻击者发送的数据包如下:

攻击脚本部分截图如下：

这个sh攻击脚本针对了多个平台进行攻击,包括有arm、linux–x86、linux-x64,但是基本的攻击思路差不多。

1.它首先修改用户DNS为8.8.8.8,然后针对不同平台下载不同恶意程序。

2.当被攻击的平台上是arm架构时,它首先从地址:

下载arm架构下的IRC-bot,并写入自启动。

4.使用ipkg安装openssh,并把ssh的端口改为26。攻击代码部分截图如下：

5.当被攻击的平台上是linux-x86时:

它和arm差不多，只不过是从

下载linux-x86架构下的IRC-bot，其他都操作一样。

6.当被攻击的平台上是linux-x64时:

它依然上面的一样，下载地址变成了：

其他都操作一样。

7.接着新建了一个叫做“request”的用户名，密码未知(暂时未破解)。

在twitter上我们看见有人公开发现是在12月5日。

攻击者为了达到对系统长期的占用，将系统植入木马成为僵尸网络的一部分后，还给有问题的系统打了Bash补丁。

最后还下载了叫做run的bash脚本,脚本内容如下

这个run脚本主要作用是下载叫pnscan的恶意程序，它主要是扫描程序，从调用参数可以看见它是全网段扫描的。

IRC-BOT分析

通过简单的分析我们发现上面提到的恶意软件都是功能相同架构不同的IRC-BOT，它们都使用了upx进行加密

首先脱壳，然后能解密出两个恶意的irc服务器地址

接着被感染的设备会登入到irc服务器上等待接受指令，部分指令截图：

具体含义是：

在分析的过程中我们发现它是某个开源的程序，由于危害性我们就不给出链接了。

(3)、尽快升级Bash

安恒信息研究院提醒用户按照GUNBash官方指导意见进行升级：

安恒信息服务中心团队在对客户进行技术支持的过程中，发现有对其服务设备通过yum命令对GUNbash升级版本的时候由于yum镜像点没有更新，而且不同的linux发行版本更新命令也不一样，导致升级失败或者升级过程中体验不佳。经安全信息服务中心团队多次测试，建议有相同问题的其他客户通过iptables来对bash漏洞进行阻断，该方法适用于所有linux的发行版本：

两条命令如下：

同时安恒信息研发中心迅速组织经验丰富的开发团队，对明鉴和明御两大系列产品进行策略升级，用户在升级安恒信息的产品后能快速识别或防御该漏洞信息。如网站用户可以升级明鉴WEBSCAN扫描器进行扫描GUNBash漏洞，升级明御WEB应用防火墙可以防护该漏洞;系统运维人员可以使用明鉴等保检查工具箱中系统漏洞检查工具批量检查Linux服务器是否存在Bash漏洞。

2、警惕Asprox蠕虫爆发

(1)、Asprox僵尸网络凶猛来袭

安恒信息安全研究院在多台部署了明御APT攻击(网络战)预警平台的设备上发现了Asprox蠕虫，最早发现是2014年9月某科研机构的APT邮件检测系统中发现了该蠕虫的告警消息。

接下来的几个月从在不同的地都收到样本反馈。

该僵尸网络在曾在国外大势传播,近期出现在国内，需要引起高度的重视。安恒信息在此提醒广大用户，在收到类似邮件时，千万不要点击运行附件程序。

(2)、Asprox攻击技术细节分析

1、外部观察

攻击者伪装成航空公司服务人员，发送了一封待处理订单的邮件。

解压缩邮件附件后,可以看见可疑文件使用了和word文档一样的图标，显然它想把自己伪装成word文档，

为了伪装的更隐藏一些，用户双击运行后，它会弹出如下具有欺骗性的告警消息，让人误以为文档损坏。

实际上它早已将恶意代码注入到svchost.exe里面运行。

在我们APT预警平台的抓获的风险日志中也能看见它的恶意行为。

2、内部剖析

为了方便理解，我们先画出了整个攻击流程

▲(整个攻击流程)

该恶意程序DeltaTicket的外壳代码部分包含了大量‘垃圾’代码，在多次异或解密后，它使用函数RtlDecompressBuffer在内存中解压出一个恶意的dll文件。

该dll文件在整个程序的运行过程中并不会释放处理，而是把它注入到新建的svchost进程中，从而实现在内存中动态加载运行。

其关键注入恶意代码的流程如下：

▲(注：大量恶意软件都使用了类似)

接着新建的svhost会拷贝自身到%AppData%目录,即：

%AppData%\jgajbltl.exe(名字是随机的)

并检测自己是否已经写入自启动，如果没，便写入如下路径：

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

接着构造类是于如下的XLM格式的字符串：

id的值是$MD5(SID+installDate+username),其他的标识是它的版本信息等。

然后使用RSA算法加密该xml格式的数据，RSA加密的公钥是：

将加密的数据发送到之前解密的URL，然后等待从这些服务器发送的指令。

通过分析发现关键指令，其伪代码的如下：

具体指令的含义是：

(3)、Asprox排查方法

1.检查系统进程中是否有以普通用户启动的scvhost进程。

2.检查系统检查系统%AppData%目录是否存在未知的可执行文件

注意：

a)Windows7下%AppData%的路径是：C:\Users\<用户名>\AppData\Roaming

b)WindowsXP下%AppData%的路径是：C:\DocumentsandSettings\<用户名>\ApplicationData

3.检查系统注册表

HKCU\Software\Microsoft\Windows\CurrentVersion\Run中是否存在可疑文件名。