2017中国网站安全形势分析报告

2017中国网站 安全形势分析报告 奇安信威胁情报中心 2018年1月23日 主 要 观 点 网站漏洞问题依旧严峻，教育和政府行业最值得关注 本次报告从漏洞自动检测和人工挖掘角度对国内教育、政府等十余类典型行业的网站进行了安全性对比研究。 从漏洞数量来看。云监测平台扫描检测的网站中，教育培训、政府机构和事业单位是存在漏洞最多的三个行业。在补天平台中，政府机构及事业单位、教育培训和互联网是人工收录漏洞数最多的三个行业。 从漏洞修复情况来看。通信运营商、金融和教育培训类网站是漏洞修复率最高的三个行业。96.9%的通信运营商网站漏洞都进行了修复，90.6%的金融行业的网站漏洞进行了修复，83.3%的教育培训网站进行了修复。 僵尸网络继续瞄准物联网 在2016年mirai僵尸网络攻击造成美国东海岸大面积断网事件之后，2017年以来，又有三个著名的僵尸网络出现http81、IoT_reaper和Satori。其中，http81和IoT_reaper都是针对IoT设备的僵尸网络。仅http81在国内感染的摄像头设备就超过5万台，而Satori则以12小时26万台的速度感染某品牌家用路由器，成为史上传播速度最快的僵尸网络。 挖矿木马成为网站最大现实威胁 2017挖矿木马疯狂的敛财暗流。挖矿木马是2017年非常流行的一种针对网络服务器进行攻击的木马程序，此类木马程序通过自动化的批量攻击感染存在漏洞的网络服务器，并控制服务器的系统资源，用于计算和挖掘特定的虚拟货币。由于挖矿木马长期占用CPU率达100%，因此，服务器感染挖矿木马后，最明显的现象是服务器响应非常缓慢，出现各种运行异常。如果挖矿木马攻击的是整个云服务平台，则平台上所有网站和服务系统都会受到严重影响。 另外，2018年1月8日，我们第一次见到Satori.Coin.Robber僵尸网络利用“肉鸡”扫描正在挖矿的设备，并通过篡改其挖矿设备的算力和代币，致使其挖掘的虚拟货币流向自己的口袋。 反人工检测技术大范围流行 2017年网络黑产大范围使用反人工检测技术，对网站进行黑词黑链篡改，攻击者在向网页中植入黑词黑链的同时，还会在页面中加入一段识别程序，该程序可以识别出访问请求是来在搜索引擎爬虫还是来自个人用户，如果访问请求来自搜索引擎爬虫，则进入带有黑词黑链等非法信息的页面；如果访问来自个人用户，则显示未经窜改的原始页面，对于未采用防篡改保护技术及缺乏相关经验的技术人员，这种攻击很难被发现，从而使带有非法信息的页面可以在网站中潜伏更长的时间。 WebLogic反序列化漏洞攻击可能在2018年大爆发 2017年12月末，国外安全研究者K.Orange在Twitter上爆出有黑产团体利用Weblogic反序列化漏洞（CVE-2017-3248）对全球服务器发起大规模攻击，大量企业服务器已失陷且 被安装上了watch-smartd挖矿程序；但此类攻击在国内还很少见到。不过，2018年1月11日，奇安信安服团队在应急响应过程中，发现某门户网站遭到了Weblogic最新反序列漏洞攻击。 由于国内外对此漏洞的重视程度明显不足，有可能导致基于该漏洞的网络攻击在2018年大规模爆发。 弱密码问题依然是网站安全最大隐患 依然普遍存在 奇安信安服团队参与处理的网站安全应急响应事件中，60%以上都与弱密码有关。包括2017年大规模流行的挖矿木马，其成功攻击的主要原因也是由于网站管理员使用弱密码。本报告也总结了大量相关攻击实例，可供读者参考。 摘 要 网站漏洞检测分析  2017年1-10月，奇安信网站安全检测平台共扫描检测网站104.7万个，其中，扫出存在漏洞的网站69.1万个（全年去重），共扫描出1674.1万次漏洞。扫出存在高危漏洞的网站34.5万个，占扫描网站总数的32.9%，共扫描出247.0万次高危漏洞。  从域名类型统计来看，全球通用域名中.com域名最多，占比为64.2%；其次是.cn（23.0%）、.net（5.9%）；作为本土化域名，.gov占比为3.6%，.edu占比为1.6%。  从网站检测出漏洞的危险等级来看，2017年高危漏洞数量占比为11.5%，中危漏洞占比为5.0%，低危漏洞占比为83.5%。  奇安信网站安全检测平台全年共扫描发现网站高危漏洞247.0万次，较2016年480.8万次降低了48.7%，平均每天扫出高危漏洞约8097次。  根据奇安信网站安全检测平台扫描出高危漏洞的情况，跨站脚本攻击漏洞的扫出次数和漏洞网站数都是最多的，稳居排行榜榜首。其次是SQL注入漏洞、SQL注入漏洞（盲注）、PHP错误信息泄露等漏洞类型。下表给出了2017年1-10月份高危漏洞TOP10。  应用程序错误信息（287.7万次）、发现敏感名称的目录漏洞（184.1万次）和异常页面导致服务器路径泄露（122.7万次）这三类安全漏洞是占比最高的网站安全漏洞，三者之和超过其他所有漏洞检出次数的总和。  2017年全年，奇安信云监测平台共对7.94万个网站进行扫描检测，扫出存在漏洞的网站6.35万个，占比为80.0%，共扫描检测出2428.8万次网站漏洞。其中，扫描出高危漏洞网站2.24万个，共扫描出121.3万次高危漏洞。  从2017年云监测扫描检测的网站中，人工挑选出十个行业进行分析。教育培训类网站是检测出网站漏洞最多的行业，总计为555.3万次网站漏洞，其次是政府部门的网站，共检测出455.9万次网站漏洞，事业单位的网站，共检测出92.0万次网站漏洞。  进一步对不同行业网站扫出的高危漏洞进行分析，我们发现，政府部门网站扫描出高危漏洞次数最多，为31.76万次，其次为教育培训类网站，共扫描检测出高危漏洞16.89万次。 网站漏洞攻击分析  2017年1-10月，奇安信网站卫士共为187.5万个网站拦截各类网站漏洞攻击26.4亿次，较2016年17.1亿次，增长54.4%，平均每天拦截漏洞攻击868.9万次。  截止到2017年10月，全年遭到漏洞攻击的网站共计79.8万个（全年去重），占奇安信网站卫士覆盖总量（187.5万）的42.5%。平均每月约有8.0万个网站遭遇各类漏洞攻击，同比下降44.2%。  奇安信网站卫士拦截漏洞攻击次数最多的10个漏洞类型，这十个类型共遭到攻击22.0亿次，占到漏洞攻击拦截总量的83.4%。  59.7%的网站漏洞攻击类型都为“SQL注入”，稳坐第一。其次为“Webshell”和“通用漏洞”，占比分别为8.2%和3.6%。  从遭到漏洞攻击网站服务器IP的地域分布来看，83.4%受害者IP来自境内地区IP，境外的受害者仅为16.6%。从境内受害者的IP地域分布来看，23.1%来自北京，居于首位；其次分别为浙江（15.8%）、广东（11.7%）等。  从发起漏洞攻击IP的地域分布来看，45.3%的攻击者IP来自境内地区，来自境外的攻击占比为54.7%。从境内攻击者的IP地域分布来看，21.5%来自北京，居于首位；其次分别为江苏（16.5%）、河南（12.3%）等。  漏洞攻击在一周之内的分布统计。星期四是一周中漏洞攻击最为集中的一天，占总攻击量的15.3%，周日仅居其次，为15.2%，而周五的攻击量则相对最少，仅占总攻击量的14.5%。就平均性而言，周一周二周六较安全，而周四、周日最危险。 人工挖掘漏洞分析  2017年全年，补天平台SRC共收录各类网站安全漏洞报告22706个，共涉及14416个网站。其中，3月份收录的网站漏洞数量最多，为3338个。  在补天平台被报告漏洞涉及的政企机构中，平均约有29.6%的网站已注册加入补天平台。  从补天平台收录网站漏洞的性质来看，通用型漏洞比例很低，仅为4.1%，95.9%的网站漏洞都为事件型漏洞。  从补天平台收录网站漏洞的危害等级来看，高危漏洞占比为24.2%，中危漏洞占比为45.8%，低危漏洞占比为30.0%。  从补天平台收录网站漏洞的具体类型来看，SQL注入漏洞最多，占比为32.1%，其次是命令执行和信息泄露，占比分别为27.4%和10.5%。占比较高的还有弱口令（10.2%）、代码执行（4.3%）。  在补天平台收录网站漏洞中，74.4%的网站漏洞已经进行了修复，25.6%的网站漏洞未进行修复。  从省级地域分布来看，补天平台收录网站漏洞最多的十个省份占到了总量的74.5%。其中，IP地址在北京的网站漏洞最多，占比为28.8%，其次广东省为8.9%，浙江省为6.4%。  从城市地域分布来看，补天平台收录网站漏洞最多的十个城市占总量的66.0%。其中，IP地址在北京市的网站漏洞最多，高达43.5%，其次上海市为6.6%，杭州市为3.1%。  补天平台收录的网站漏洞中，政府机构及事业单位网站的漏洞数量是最多的，占比为24.9%；其次，教育培训网站漏洞为20.8%，互联网行业为17.7%。每个行业的网站漏洞分布情况。  被报告漏洞涉及的不同行业网站中，通信运营商行业网站注册率最高为62.4%，其次，制造业网站注册率为50.0%，IT信息技术行业网站注册率为49.7%。  从高危漏洞网站来看，通信运营商和IT信息技术的网站高危漏洞占比最多，均为45.4%，其次是金融网站高危漏洞为43.1%。  96.9%的通信运营商网站漏洞都进行了修复，其次，90.6%的金融行业的网站漏洞进行了修复，83.3%的教育培训网站进行了修复。 网络扫描  2017年全年，奇安信威胁情报中心在全球范围内共监测发现扫描源IP 1400万个，累积监测到扫描事件3.93亿次。全球平均每日活跃的扫描源IP大约有13.3万个，对应的日均扫描事件约107.6万起。  网络扫描活动的具体技术方法多种多样，但从扫描的具体目的来看，主要可以分为三种类型：常规恶意扫描、针对性突发扫描和安全监控扫描。  通过对2017年全年网络扫描器扫描的端口分析发现，扫描器扫描的端口主要为具备远程控制能力的端口和存在信息泄露的端口。23端口和2323端口是被扫描次数最多的端口，网络扫描事件中约61.8%会扫描23端口，约23.9%会扫描2323端口。  从扫描事件的数量来看，60.9%的网络扫描事件是从中国大陆发起的，5.0%是从巴西发起的，而美国、俄罗斯和印度位列其后，占比分别为4.0%、3.4%和2.6%。  而从扫描器的数量来看，43.3%的扫描源IP位于中国大陆境内；9.0%的扫描源IP位于巴西；印度、俄罗斯、阿根廷分列三到五位，比例分别为5.4%、4.6%和4.2%。 网站DDoS攻击情况  2016年12月5日至2017年12月5日，奇安信威胁情报中心监测到626.2万个IP在过去一年曾遭到过1064.3万次攻击。  针对DDoS攻击的端口中，80端口是DDoS攻击最常用的端口，占比为47.8%，其次为4444端口（17.0%）、3074端口（8.7%）。  DDoS攻击的网站域名中，51.7%为.com域名，其占据了半壁江山。其次是.net和.cn域名，占比分别为24.5%和11.0%。  DDoS攻击类型中，amp_flood类型最多，占比为55.4%，其次为syn_flood和simple_flood，占比分别为13.7%和13.5%。  从攻击时长来看，超过五成的DDoS攻击持续时间小于10分钟，而持续时间在10分钟至30分钟的攻击占比约为22.5%，30分钟至1小时的攻击占比约为8.1%，持续时间超过1小时的攻击占比不足10%。  DDoS 攻击主要由受控的僵尸网络发动。xor家族是最为活跃的DDoS僵尸网络家族，占比为38.1%；其次，elknot家族为29.5%；gafgyt家族为14.7%。  僵尸网络攻击的端口也很受大家的关注。80端口仍是大多数僵尸网络攻击的主要目标，占比为62.8%，其次是53端口为7.5%，3074端口为6.7%。  在2017年的DDoS僵尸网络攻击中，syn