9月互联网网络安全基本态势

2017年9月，我省互联网基础设施运行总体平稳，骨干网各项监测指标正常。木马僵尸网络、飞客蠕虫病毒、网站类攻击、拒绝服务攻击等是我省重要信息系统和互联网用户面临的最主要的网络安全威胁。本月，我省感染木马、僵尸程序主机总数较上月有所下降、飞客蠕虫病毒主机数量总数较上月小幅度增加，具体情况如下：

(1)互联网主机安全情况。2017年9月我省感染木马或僵尸网络病毒的主机IP数量为23467个; 我省被利用作为木马或僵尸网络控制端服务器的IP数量为9个；我省感染飞客蠕虫病毒的主机IP数量为4593个。

(2)网站安全情况。2017年9月，监测发现我省被篡改网站16个,被黑客植入网页后门的网站21个。

(3)其他公共网络环境安全情况。2017年8月，国家信息安全漏洞共享平台共收集整理并公开发布信息安全漏洞1538个，其中高危漏洞551个。

9月互联网网络安全监测数据分析

我省互联网主机安全状况分析

国家计算机网络应急处理协调中心黑龙江分中心对互联网主机易感染的木马、僵尸程序、飞客蠕虫病毒进行了持续的监测和分析。2017年9月，我省感染木马、僵尸程序主机总数较上月大幅减少，飞客蠕虫病毒主机数量及被利用作为控制端主机总数较上月均有所下降。美国、韩国、英国等国家或地区是主要发源地；从网络病毒的类型分析，主要以远控、盗号木马居多。

1.我省互联网主机感染木马、僵尸程序情况

（1）我省木马、僵尸程序受控端情况

2017年9月，监测发现我省23467个IP地址对应的主机被其他国家或地区通过木马或僵尸程序秘密控制，占全国比例为2.23%，如图1所示。

（2）我省木马、僵尸程序控制端情况

2017年9月，监测发现我省9个IP地址对应的主机作为木马、僵尸程序控制端与其他国家或地区进行通信，占全国比例为0.37%，如图2所示。

2.我省互联网主机感染飞客蠕虫病毒情况

2017年9月，监测发现我省4593个IP地址对应的主机感染飞客蠕虫病毒，占全国比例为1.07%，如图3所示。

我省网站安全状况分析

1.我省网页篡改事件

2017年9月，国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省16个网站被篡改，如图4所示。

2.我省网页后门事件

2017年9月，国家计算机网络应急技术处理协调中心黑龙江分中心共监测发现我省遭后门攻击网站21个，如图5所示。

重要安全预警、

“Bad Rabbit”（坏兔子）的勒索软件

近日，一款名为“Bad Rabbit”（坏兔子）的勒索软件在境外蔓延。CNCERT第一时间对该勒索软件进行分析。

1.基本情况

2017年10月24日，“Bad Rabbit”（坏兔子）勒索软件在境外蔓延，目前涉及的国家主要有俄罗斯、乌克兰、德国、土耳其等欧洲国家，受害者包括俄罗斯的国际文传电讯社、乌克兰敖德萨国际机场、乌克兰基辅地铁系统等欧洲多国基础设施。

与之前的“Wannacry”与“Petya”不同，“Bad Rabbit”并未使用漏洞进行传播。攻击者通过攻陷合法网站，在合法网站中植入恶意代码，伪装成Adobe Flash升级更新弹窗，诱导用户主动点击下载并手动运行伪装成Adobe Flash的“Bad Rabbit”勒索软件。此勒索软件会加密感染者电脑中的文件，并提示受害者支付0.05比特币的赎金；此外，该勒索软件会扫描内网SMB共享，使用弱密码和Mimikatz工具获取登录凭证等手段尝试登录和感染内网其它主机。

2.影响范围

目前，该勒索软件主要在境外蔓延。根据CNCERT监测，10月24日至10月25日期间，境内仅发现极少量IP存在该勒索软件下载以及分发行为。疑似感染地区包括广东、河南、福建与北京。截止到此通报发布日期，我国境内尚未发现规模性感染。

3.处置建议

尽管此勒索软件并未利用漏洞进行大规模传播，但不排除后续出现利用漏洞进行传播的变种的可能。针对国内互联网用户, CNCERT的防护建议如下：

（1）检查系统中是否存在以下三个文件之一，若存在则说明已经感染该勒索软件，请立即清除：

C:Windowsdispci.exe

C:Windowsinfpub.dat

C:Windowscscc.dat

（2）安装并及时更新杀毒软件产品；

（3）及时关闭计算机以及网络设备上的445和139端口；

（4）及时更新系统安全补丁；

（5）关闭不必要的网络共享；

（6）使用强度较高的密码并定期更换，降低系统密码被破解的风险；

（8）定期在不同的存储介质上备份计算机上的重要文件。

CNCERT后续将密切监测和关注相关情况。请国内相关单位做好信息系统应用情况排查工作，如需技术支援，请联系 CNCERT。电子邮箱： cncert@cert.org.cn。