《CNCERT：2018年网站攻击态势及“攻击团伙”挖掘分析报告（22页）.pdf》由会员分享，可在线阅读，更多相关《CNCERT：2018年网站攻击态势及“攻击团伙”挖掘分析报告（22页）.pdf（22页珍藏版）》请在三个皮匠报告上搜索。

1、 20182018 年网站攻击态势及年网站攻击态势及 “攻击团伙攻击团伙”挖掘分析报告挖掘分析报告 国家计算机网络应急技术处理协调中心 2019 年 3 月 2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 2 2 / 2323 前言 国家互联网应急中心（以下简称 CNCERT/CC）持续对网站攻击进行抽样监测分析。在获取网站服务器权限后，攻击者往往会留有网站后门（webshell），用于持续保持对被攻击网站的权限。也就是说，网站后门的植入、连接操作往往说明攻击者具有长期控制服务器权限的可能性，尤为值得关注。CNCERT/CCCNCERT/CC 尝试从尝试从攻击源和被攻击

2、端的角度对攻击源和被攻击端的角度对网站后网站后门门连接连接进行各维度的态势统计分析，进行各维度的态势统计分析，进而进而观察观察网站网站攻击攻击的总体的总体态势，并对其中可能存在的态势，并对其中可能存在的“攻击团伙”进行挖掘和刻画，攻击团伙”进行挖掘和刻画，进而进而以“以“攻击攻击团伙”的全新视角来观察团伙”的全新视角来观察网站网站攻击中攻击中一些值一些值得关注的有紧密联系的攻击资源集合。得关注的有紧密联系的攻击资源集合。 本报告中的“攻击团伙”指的是通过相对独占的网络资源（例如攻击 IP、代理 IP、特定攻击工具等），针对相同的目标进行长期或者规模化攻击的网络资源集合。在网站后门攻击事件中，考

3、虑到网站后门的相对独占性，则可以认为是通过攻击 IP 以及网站后门的连接紧密程度（例如连接关系、连接频繁度等），挖掘而出的攻击 IP 及其掌握的网站后门链接的集合。通过对挖掘而出的重要团伙进行深入分析，CNCERT/CC 发现，这些值得关注的团伙往往由带有一定目的的个人、组织，掌握和使用，通过网站后门持续保持对网站服务器的权限，实现数据窃取、黑帽 SEO、网页篡改等可能的黑色产业意图。后续 CNCERT/CC将对观测到的部分典型网站攻击团伙进行细致跟踪分析并对外进行陆续发布。 详细分析情况请见报告正文。 2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 3 3 / 232

4、3 一、2018 年网站攻击统计态势 据 CNCERT/CC 抽样监测，2018 年各月抽样监测发现的网站后门链接个数分布情况如下图所示。可以发现，20182018 年年 3 3- -8 8 月期间月期间，监测到的监测到的网站网站攻击攻击活动较为活动较为活跃活跃。 图图 1 1.1.1 20182018 年各月监测发现的年各月监测发现的网站后门网站后门链接链接个数个数 2018 年抽样监测到的网站后门脚本类型分布如下图所示，其中 PHPPHP 类型的类型的网站后门网站后门数量最多数量最多， 占 66.7%； 其次是 ASP 和 JSP 脚本类型的网站后门， 分别占 24.2%、 7.3%。 图

5、图 1.1.2 2 20182018 年年监测监测发现发现的的网站后门网站后门按按攻击攻击脚本类型脚本类型分布分布 网站后门全年统计态势如下图所示。可以看出，每月发起网站后门攻击的 IP 与受到网站后门攻击的服务器数量基本相近。 每月监测发现的网站后门数量与受攻击域名数量基本与050001000015000200002500030000350001月2月3月4月5月6月7月8月9月10月 11月 12月66.7%66.7%24.2%24.2%7.3%7.3%1.8%1.8%php shellasp shelljsp shellother2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNC

6、ERT/CC 4 4 / 2323 攻击 IP 数/受攻击 IP 数呈正相关，且具有受攻击域名数量远小于网站后门数量的特点，说说明明网站网站攻击者攻击者倾向于对倾向于对同一个同一个域名植入多个域名植入多个后门后门，用于保证持续获取网站权限，用于保证持续获取网站权限。 图图 1.1.3 3 20182018 年各月的年各月的网站网站攻击攻击态势态势 1.1 攻击源分析 根据 CNCERT/CC 2018 年全年抽样监测， 2018 年发起网站后门攻击的 IP 约有 5 万多个。分别统计各个攻击 IP 发起攻击的天数（详见下图）可知，94.5%的攻击 IP 活跃天数在 1-7 天内，5.5%5.5