瑞星2016年上半年中国信息安全报告之个人互联网安全

指尖光影

本报告综合瑞星“云安全”系统、瑞星客户服务中心、瑞星反病毒实验室、瑞星互联网攻防实验室、瑞星威胁情报平台等部门的统计、研究数据和分析资料，仅针对中国2016年1至6月的网络安全现状与趋势进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构作为互联网信息安全状况的介绍和研究资料，请相关单位酌情使用。如若本报告阐述之状况、数据与其他机构研究结果有差异，请使用方自行辨别，瑞星公司不承担与此相关的一切法律责任。

目录


报告摘要
一、个人互联网安全

（一）病毒和木马        

1.上半年病毒概述        

2. 2016年1至6月病毒Top10        

3. 2016年1至6月广东省病毒Top5        

4. 2016年1至6月北京市病毒Top5        

5. 2016年1至6月山东省病毒Top5        

6. 2016年1至6月江苏省病毒Top5        

7. 2016年1至6月浙江省病毒Top5        

8. 2016年1至6月CVE漏洞Top10        

专题：敲诈软件分析报告

（二）恶意URL        

1.2016上半年全球恶意URL总体概述        

2.2016上半年中国恶意URL总体概述        

3.2016上半年中国钓鱼网站概述        

4.2016上半年中国部分省市访问钓鱼网站类型概述        

5.钓鱼网站趋势分析        

6.2016上半年中国挂马网站概述

二、移动互联网安全

（一）手机安全        

1.手机病毒概述        

2. 2016年1至6月Android手机漏洞Top5        

3.手机垃圾短信概述        

4.移动支付安全风险概述

（二）2016上半年移动安全事件        

1.手机扫描二维码存在安全隐患        

2.公共免费WiFi可瞬间盗取你的一切隐私        

3.Android Qualcomm Wi-Fi driver安全限制绕过漏洞        

4.病毒伪装“交行安全控件”盗取用户敏感信息        

5. “短信拦截马”病毒来袭，谨慎点击带有链接的短信息

三、企业信息安全

（一）上半年全球重大网络安全事件        

1.恶性敲诈软件国内大爆发        

2.乌克兰电网遭黑客攻击之Black Energy        

3. 2.7亿Gmail、雅虎和Hotmail账号遭泄露        

4.叙利亚政府网络被黑，泄露43GB数据        

5.匿名者DDoS攻击希腊银行网站        

6.德国贡德雷明根核电站发现病毒        

7.全球2.5万网络摄像机被黑，用于构建僵尸网络        

8.日本16州ATM机沦陷，14亿日元不翼而飞        

9.超3200万Twitter账户密码泄露        

10.俄罗斯最大社交网站VK.com被黑，1.71亿用户账号仅售1比特币        

11.MySpace出现史上最大规模数据泄露事件        

12.卡塔尔国家银行被黑，1.4G数据泄露（涉及王室、英国军情六处、法国和波兰等各国情报）

（二）政府、金融、互联网、教育类网站将遭受Struts2漏洞攻击        

1.Struts2漏洞概述        

2.Struts2漏洞引发的攻击        

3.漏洞攻击分布监测        

4. 漏洞攻击造成的危害        

（三）大规模数据泄露使全球网民无秘        

1.全球重大数据泄露事件        

2.社交网站、色情网站成数据泄露“大头”        

3.基于被泄露的用户量分析        

4.商业和政治为数据泄露主要原因        

5.Java、Flash和IE最受攻击者青睐        

6.数据泄露事件的影响        

四、趋势展望

（一）敲诈软件依然会是低成本高收益网络犯罪主流        

（二）政治色彩严重的网络攻击已波及民生领域        

（三）大规模数据泄露事件频发，云安全问题应得到高度重视        

（四）第三世界金融系统成为黑客的提款机        

专题：你可能不知道你正在被偷窥



报告摘要

2016年1至6月

瑞星“云安全”系统共截获病毒样本总量2,312万个，病毒总体数量比2015年同期上涨20.17%。报告期内，病毒感染次数2.4亿次，感染机器总量823万台，平均每台电脑感染29.16次病毒。

2016年1至6月

瑞星“云安全”系统在全球范围内共截获恶意URL总量6,807万个，其中挂马网站4,987万个，钓鱼网站1,820万个。美国恶意URL总量为3,466万个，位列全球第一，其次是葡萄牙415万个，中国408万个，分别位列二、三位。

2016年1至6月

北京市、广西壮族自治区访问钓鱼网站类型主要以赌博类为主，广东省访问钓鱼网站类型主要以论坛类为主，黑龙江省、新疆省、天津市访问钓鱼网站类型主要以情色类为主，江苏省、上海市访问钓鱼网站类型主要以情色类与下载站类为主，安徽省访问钓鱼网站类型则是主要以赌博类与情色类为主。

2016年1至6月

瑞星“云安全”系统共截获手机病毒样本198万个，与2015年同期相比增长155.15%，新增病毒以隐私窃取类为主。在报告期内，手机病毒类型中隐私窃取类占比30%，位列第一位，其次是恶意传播类与恶意扣费类，分别占比20%与15%。

2016上半年移动安全事件

手机扫描二维码存在安全隐患；

公共免费WiFi可瞬间盗取你的一切隐私；

Android Qualcomm Wi-Fi driver安全限制绕过漏洞；

病毒伪装“交行安全控件”盗取用户敏感信息；

“短信拦截马”病毒来袭，谨慎点击带有链接的短信息；

2016上半年全球重大网络安全事件

恶性敲诈软件国内大爆发；

乌克兰电网遭黑客攻击之Black Energy；

2.7亿Gmail、雅虎和Hotmail账号遭泄露；

叙利亚政府网络被黑，

泄露43GB数据；

匿名者DDoS攻击希腊银行网站；

德国贡德雷明根核电站发现病毒；

全球2.5万网络摄像机被黑，用于构建僵尸网络；

日本16州ATM机沦陷，14亿日元不翼而飞；

超3200万Twitter账户密码泄露；

俄罗斯最大社交网站VK.com被黑，1.71亿用户账号仅售1比特币；

MySpace出现史上最大规模数据泄露事件；

卡塔尔国家银行被黑，1.4G数据泄露（涉及王室、英国军情六处、法国和波兰等各国情报）。

2016年上半年

Struts2相继暴露多个高危害漏洞，这些漏洞可远程代码执行，通过执行恶意代码对远程服务器实施攻击。由于Struts架构广泛应用于政府、大型互联网企业、金融机构等网站建设，并作为网站开发的底层框架使用，所以此次漏洞可能使大量政府、门户、电商、银行等网站遭受恶意攻击。电商、银行等网站很容易造成用户帐号密码丢失，由于门户、政府网站在用户心中可信度较高，很容易被不法分子利用，通过发布钓鱼欺诈链接诱使网民受骗。

2016年上半年

大规模数据泄露使全球网民无秘，社交网站、色情网站成数据泄露“大头”，商业和政治为数据泄露主要原因。商业原因：竞争对手进行恶意竞争，毁坏对手公司的业界声誉等；政治原因：阻止选举、反对种族歧视等。Adobe、微软和甲骨文公司是数据泄露漏洞较多的企业，Java、Flash和IE最受攻击者青睐。

趋势展望

敲诈软件依然会是低成本高收益网络犯罪的主流；政治色彩严重的网络攻击已波及民生领域；大规模数据泄露事件频发，云安全问题应得到高度重视；第三世界金融系统成为黑客的提款机；

专题

你可能不知道你正在被偷窥。2016年智能摄像头、智能手机引发的艳照门、偷窥门事件（三里屯、陆家嘴、宜家……）让互联网这个暗流涌动的大海彻底沸腾了。智能摄像头在给我们带来便利的同时，也存在着极大的安全隐患。无论是国际网站，还是国内网站都流出大量通过智能摄像头拍摄出的用户私密与不雅照片。



一、个人互联网安全

（一）病毒和木马

1.上半年病毒概述

（1）病毒疫情总体概述

2016年1至6月，瑞星“云安全”系统共截获病毒样本总量2,312万个，病毒总体数量比2015年同期上涨20.17%。报告期内，病毒感染次数2.4亿次，感染机器总量823万台，平均每台电脑感染29.16次病毒。

在报告期内，新增木马病毒占总体病毒的52.78%，依然是第一大种类病毒。灰色软件病毒（垃圾软件、广告软件、黑客工具、恶意壳软件）为第二大种类病毒，占总体新增病毒样本的22.95%，第三大种类病毒为蠕虫病毒，占总体比例的9.83%。病毒释放器占总体数量的9.03%，后门病毒占总体数量的3.5%，漏洞攻击占总体数量的1.75%，分别位列第四、第五和第六。

图1：2016年1至6月病毒类型统计

图2：2015年上半与2016年上半年病毒对比图

（2）病毒感染地域分析

在报告期内，广东省病毒感染2,910万人次，依然位列全国第一，其次为北京市2,493万人次及山东省1601万人次。与2015年同期相比，北京成功排进前三，江苏则由第二名降到第四。

图3：2016年1至6月病毒感染地域Top10

2. 2016年1至6月病毒Top10

根据病毒感染人数、变种数量和代表性进行综合评估，瑞星评选出了2016年1至6月病毒Top10：

图4：2016年1至6月病毒Top10

3. 2016年1至6月广东省病毒Top5

图5：2016年1至6月广东省病毒Top5

4. 2016年1至6月北京市病毒Top5

图6：2016年1至6月北京市病毒Top5

5. 2016年1至6月山东省病毒Top5

图7：2016年1至6月山东省病毒Top5

6. 2016年1至6月江苏省病毒Top5

图8：2016年1至6月江苏省病毒Top5

7. 2016年1至6月浙江省病毒Top5

图9：2016年1至6月浙江省病毒Top5

8. 2016年1至6月CVE漏洞Top10

图10：2016年1至6月CVE漏洞Top10

专题：敲诈软件分析报告

1.什么是敲诈软件？

敲诈软件（也称密锁病毒）主要通过恶意钓鱼邮件进行传播，一旦用户运行邮件附件，病毒会将电脑中的各类文档进行加密，让用户无法打开，并出现弹窗，提示限时付款的勒索信息，如果用户未在指定时间缴纳黑客要求的金额，被锁文件将永远无法恢复。

图11：敲诈病毒运作流程

2.敲诈软件技术分析

图12：敲诈软件技术分析

3.敲诈软件发展史

敲诈软件起源较早，最早于1996年。早年间以数据绑架为主，多用自定义加密算法，可技术还原。

2013年，邮件传播，加密办公文件、照片、视频等几十种格式的文件，72小时之内向其指定账户支付300美元，PayPal等手段支付，FBI都建议受害者支付“赎金”来解密文件。

2015年1月，邮件传播，加密办公文件、照片、视频等百余种文件格式，在96小时内向其支付8比特币（当时约合人民币1万元左右）

2015年4月，国内爆发，邮件传播，屏保格式病毒样本、加密办公文件、照片、视频等百余种文件格式，在96小时内向其支付比特币。

2016年1月，邮件传播，通过合法数字签名绕开杀毒软件。

2016年3月，利用Office宏进行攻击，加密硬盘上的所有文档并重置文件为MP3，要求用户支付赎金（最少500美元）。

4.敲诈软件感染数据

在报告期内，瑞星“云安全”系统共截获密锁病毒样本13.45万个，感染共计659万次，其中安徽省感染49.56万次，位列全国第一，其次为广东省43.42万次、浙江省41.71万次及北京市41.14万次。

图13：2016年1至6月敲诈病毒感染地域分布Top10

5.瑞星给用户的建议

1）、定期备份系统与重要文件，并离线存储独立设备；

2）、使用专业的电子邮件与网络安全工具，可分析邮件附件、网页、文件是否包括恶意软件，带有沙箱功能；

3）、经常给操作系统、设备及第三方软件更新补丁；

4）、使用专业的反病毒软件、防护系统，并及时更新；

5）、设置网络安全隔离区，确保既是感染也不会轻易扩散；

6）、针对BYOD设置同样或更高级别的安全策略；

7）、加强员工（用户）安全意识培训，不要轻易下载文件、邮件附件或邮件中的不明链接。

（二）恶意URL

1.2016上半年全球恶意URL总体概述

2016年1至6月，瑞星“云安全”系统在全球范围内共截获恶意URL总量6，807万个，其中挂马网站4987万个，钓鱼网站1，820万个。美国恶意URL总量为3，466万个，位列全球第一，其次是葡萄牙415万个，中国408万个，分别为二、三位。

图14：2016年1至6月全球恶意URL地域分布Top10

2.2016上半年中国恶意URL总体概述

在报告期内，天津恶意URL总量为73.31万个，位列中国第一，其次是北京71.27万个，以及香港50.16万个，分别为二、三位。

注：上述恶意URL地址为恶意URL服务器的物理地址。

图15：2016年1至6月中国恶意URL地域分布Top10

3.2016上半年中国钓鱼网站概述

2016年1至6月，瑞星“云安全”系统共拦截钓鱼网站攻击2，223万余次，攻击机器总量216万台，平均每台机器被攻击10.29次。

在报告期内，广东省受到钓鱼网站攻击455万次，位列第一位，其次是北京市受到钓鱼网站攻击427万次，第三名是山东省受到钓鱼网站攻击139万次。

图16：2016年1至6月钓鱼网站攻击地域分布Top10

图17：2016年1至6月钓鱼网站类型

图18：2016年1至6月重大钓鱼网站Top10

4.2016上半年中国部分省市访问钓鱼网站类型概述

在报告期内，北京市访问钓鱼网站类型主要以赌博类为主，占钓鱼网站总类型的70%。

图19：2016年1至6月北京市访问钓鱼网站类型

广东省访问钓鱼网站类型主要以论坛类为主，占钓鱼网站总类型的59%。

图20：2016年1至6月广东省访问钓鱼网站类型

广西壮族自治区访问钓鱼网站类型主要以赌博类为主，占钓鱼网站总类型的56%。

图21：2016年1至6月广西壮族自治区访问钓鱼网站类型

黑龙江省访问钓鱼网站类型主要以情色类为主，占钓鱼网站总类型的94%。

图22：2016年1至6月黑龙江省访问钓鱼网站类型

新疆省访问钓鱼网站类型主要以情色类为主，占钓鱼网站总类型的96%。

图23：2016年1至6月新疆省访问钓鱼网站类型

天津市访问钓鱼网站类型主要以情色类为主，占钓鱼网站总类型的79%。

图24：2016年1至6月天津市访问钓鱼网站类型

上海市访问钓鱼网站类型主要以情色类与下载站类为主，分别占钓鱼网站总类型的36%与34%。

图25：2016年1至6月上海市访问钓鱼网站类型

江苏省访问钓鱼网站类型主要以下载站类与情色类为主，分别占钓鱼网站总类型的41%与32%。

图26：2016年1至6月江苏省访问钓鱼网站类型

安徽省访问钓鱼网站类型主要以赌博类与情色类为主，分别占钓鱼网站总类型的35%与19%。

图27：2016年1至6月安徽省访问钓鱼网站类型

5.钓鱼网站趋势分析

2016年金融、银行类钓鱼网站较往年有增加趋势，并且随着电子商务发展，支付类钓鱼网站也在增加。特别值得注意的是苹果ID钓鱼攻击，由于苹果手机加密性较高，攻击者可以使用苹果ID钓鱼方式进行篡改用户密码勒索用户。而钓鱼网站在2016年上半年数量有所增加，主要通过以下手段进行攻击。

利用垃圾短信“伪基站”推送恶意网址给用户，诱骗钓鱼。

图28：“伪基站”推送恶意网址

利用移动App进行的钓鱼。随着手机移动终端的使用率逐渐上升，很多钓鱼攻击者利用终端缺少安全防护进行钓鱼攻击。

图29：移动App进行的钓鱼

利用不同综艺节目、明星借钱或者中奖方式进行钓鱼诈骗。

图30：利用综艺节目中奖方式进行钓鱼诈骗

垃圾邮件配合Web漏洞形式进行盗取用户信息。

图31：利用垃圾邮件盗取用户信息

6.2016上半年中国挂马网站概述

2016年1至6月，瑞星“云安全”系统共拦截挂马网站攻击971万余次，攻击机器总量56万台，平均每台机器被攻击17.34次。

在报告期内，辽宁省受到挂马攻击337万次，位列第一位，其次是北京市受到挂马攻击236万次，第三名是上海市受到挂马攻击126万次。

图32：2016年1至6月挂马攻击地域分布Top10

由于2016年上半年漏洞爆发频率较低，相对挂马行为多数采用2013-2015年漏洞利用工具，随着杀毒软件的升级，瑞星安全软件已经可以对常见的漏洞利用工具进行有效的拦截。

未完待续

本文来源 :http://www.freebuf.com/articles/paper/110391.html