奇安信：2018年中国网站安全形势分析报告（35页）.pdf

《奇安信：2018年中国网站安全形势分析报告（35页）.pdf》由会员分享，可在线阅读，更多相关《奇安信：2018年中国网站安全形势分析报告（35页）.pdf（35页珍藏版）》请在三个皮匠报告上搜索。

1、在所有网站中，我们在能够明确的确认其所属行业的网站中选择了政府机构及事业单位、教育培训、互联网、IT 信息技术、生活服务、金融、制造业、医疗卫生、通信运营商、交通运输十个行业网站进行了分类，重点研究这十个行业网站的安全状况。补天平台收录的网站漏洞中，政府机构及事业单位网站的漏洞数量是最多的，占比为19.0%；其次，教育培训网站漏洞为 18.3%，互联网行业为 11.5%。每个行业的网站漏洞分布情况，具体如下图所示。被报告漏洞涉及的不同行业网站中，通信运营商行业网站注册率最高为 84.0%，其次，金融注册率为 77.3%，互联网行业网站注册率为 61.9%。扫描行为通常处于情报搜集阶段，使用自动

2、化程序对未知主机进行批量检测，根据主机返回的信息判断其运行状态。通常用于判断主机运行的服务类型、服务程序及版本，是否存在漏洞等信息，进而有针对性执行攻击手段。扫描事件是指在一定时间内，具有相同或相似特征的扫描行为的集合。2018 年全年，奇安信威胁情报中心在全球范围内共监测发现扫描源 IP 1400 万个，累积监测到扫描事件3.93 亿次。全球平均每日活跃的扫描源 IP 大约有 13.3 万个，对应的日均扫描事件约 107.6万起。扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够发现扫描目标存在的漏洞并将扫描结果提供给使用者。其工作原理是扫描器向目标计算机发送数据包，然后根据对方反馈的

3、信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。在互联网上，活跃的扫描器背后往往是活跃的黑客组织和潜在的危险。对全网扫描器及其扫描活动的监测、发现与防范，是网络系统安全运维所需的，重要的威胁情报信息。通过对 2018 年全年网络扫描器扫描的端口分析发现，扫描器扫描的端口主要为具备远程控制能力的端口和存在信息泄露的端口。从具体的端口号来看，被扫描次数最多的端口仍是 23 端口和 2323 端口，约 47.3%的网络扫描事件会扫描 23 端口，约 28.1%的网络扫描事件会扫描 2323 端口。2017 年起，一个由多个子僵尸网络构成的多重僵尸网络“MyKings”被发现并披露。该僵

4、尸网络一直积极的扫描互联网上 1433 及其他多个端口，并在渗透进入受害者主机后传播包括 DDoS、Proxy、RAT、Miner 在内的多重不同用途的恶意代码。我们将其命名为 MyKings，原因之一来自该僵尸网络的一个主控域名*.mykings.pw。该僵尸网络扫描的端口主要包括：1433 端口、3306 端口、135 端口、22 端口、445 端口、23 端口、80 端口及 3389 端口等。在 2018.1.172018.1.21 这段时间，针对 1433 端口的扫描流量有一个明显的波谷，我们怀疑这与该团伙的基础设施变动有直接关系。2018 年，永恒之蓝勒索蠕虫（WannaCry 病毒）等一系列勒索病毒仍然在全球肆虐。其特征之一就是会扫描 445 端口，所以，每一台感染 WannaCry 病毒电脑也会成为一个针对445 端口的扫描器。而该病毒在 2017 年的爆发，使得针对 445 端口的扫描活动也异常活跃，以至于针对 445 端口的扫描器数量在 2017 年排名进入了前十名。2018 年，445 端口仍保持扫描器扫描端口最多的前十个端口之一。