奇安信：2018年中國網站安全形勢分析報告（35頁）.pdf

1、在所有網站中，我們在能夠明確的確認其所屬行業的網站中選擇了政府機構及事業單位、教育培訓、互聯網、IT 信息技術、生活服務、金融、制造業、醫療衛生、通信運營商、交通運輸十個行業網站進行了分類，重點研究這十個行業網站的安全狀況。補天平臺收錄的網站漏洞中，政府機構及事業單位網站的漏洞數量是最多的，占比為19.0%；其次，教育培訓網站漏洞為 18.3%，互聯網行業為 11.5%。每個行業的網站漏洞分布情況，具體如下圖所示。被報告漏洞涉及的不同行業網站中，通信運營商行業網站注冊率最高為 84.0%，其次，金融注冊率為 77.3%，互聯網行業網站注冊率為 61.9%。掃描行為通常處于情報搜集階段，使用自動

2、化程序對未知主機進行批量檢測，根據主機返回的信息判斷其運行狀態。通常用于判斷主機運行的服務類型、服務程序及版本，是否存在漏洞等信息，進而有針對性執行攻擊手段。掃描事件是指在一定時間內，具有相同或相似特征的掃描行為的集合。2018 年全年，奇安信威脅情報中心在全球范圍內共監測發現掃描源 IP 1400 萬個，累積監測到掃描事件3.93 億次。全球平均每日活躍的掃描源 IP 大約有 13.3 萬個，對應的日均掃描事件約 107.6萬起。掃描器是一類自動檢測本地或遠程主機安全弱點的程序，它能夠發現掃描目標存在的漏洞并將掃描結果提供給使用者。其工作原理是掃描器向目標計算機發送數據包，然后根據對方反饋的

3、信息來判斷對方的操作系統類型、開發端口、提供的服務等敏感信息。在互聯網上，活躍的掃描器背后往往是活躍的黑客組織和潛在的危險。對全網掃描器及其掃描活動的監測、發現與防范，是網絡系統安全運維所需的，重要的威脅情報信息。通過對 2018 年全年網絡掃描器掃描的端口分析發現，掃描器掃描的端口主要為具備遠程控制能力的端口和存在信息泄露的端口。從具體的端口號來看，被掃描次數最多的端口仍是 23 端口和 2323 端口，約 47.3%的網絡掃描事件會掃描 23 端口，約 28.1%的網絡掃描事件會掃描 2323 端口。2017 年起，一個由多個子僵尸網絡構成的多重僵尸網絡“MyKings”被發現并披露。該僵

4、尸網絡一直積極的掃描互聯網上 1433 及其他多個端口，并在滲透進入受害者主機后傳播包括 DDoS、Proxy、RAT、Miner 在內的多重不同用途的惡意代碼。我們將其命名為 MyKings，原因之一來自該僵尸網絡的一個主控域名*.mykings.pw。該僵尸網絡掃描的端口主要包括：1433 端口、3306 端口、135 端口、22 端口、445 端口、23 端口、80 端口及 3389 端口等。在 2018.1.172018.1.21 這段時間，針對 1433 端口的掃描流量有一個明顯的波谷，我們懷疑這與該團伙的基礎設施變動有直接關系。2018 年，永恒之藍勒索蠕蟲（WannaCry 病毒）等一系列勒索病毒仍然在全球肆虐。其特征之一就是會掃描 445 端口，所以，每一臺感染 WannaCry 病毒電腦也會成為一個針對445 端口的掃描器。而該病毒在 2017 年的爆發，使得針對 445 端口的掃描活動也異?；钴S，以至于針對 445 端口的掃描器數量在 2017 年排名進入了前十名。2018 年，445 端口仍保持掃描器掃描端口最多的前十個端口之一。