2018年网站攻击态势及攻击团伙.PDF

2018 年网站攻击态势及“攻击团伙” 挖掘分析报告 国家计算机网络应急技术处理协调中心 2019 年3 月 2018 年网站攻击态势及 “攻击团伙”挖掘分析报告 CNCERT/CC 前言 国家互联网应急中心（以下简称 CNCERT/CC ）持续对网站攻击进行抽样监测分析。 在获取网站服务器权限后，攻击者往往会留有网站后门 （webshell ），用于持续保持对被 攻击网站的权限。也就是说，网站后门的植入、连接操作往往说明攻击者具有长期控制服务 器权限的可能性，尤为值得关注。CNCERT/CC 尝试从攻击源和被攻击端的角度对网站后 门连接进行各维度的态势统计分析，进而观察网站攻击的总体态势，并对其中可能存在的 “攻击团伙”进行挖掘和刻画，进而以“攻击团伙”的全新视角来观察网站攻击中一些值 得关注的有紧密联系的攻击资源集合。 本报告中的“攻击团伙”指的是通过相对独占的网络资源（例如攻击IP、代理IP、特 定攻击工具等），针对相同的目标进行长期或者规模化攻击的网络资源集合。在网站后门攻 击事件中，考虑到网站后门的相对独占性，则可以认为是通过攻击IP 以及网站后门的连接 紧密程度（例如连接关系、连接频繁度等），挖掘而出的攻击IP 及其掌握的网站后门链接 的集合。通过对挖掘而出的重要团伙进行深入分析，CNCERT/CC 发现，这些值得关注的 团伙往往由带有一定目的的个人、组织，掌握和使用，通过网站后门持续保持对网站服务器 的权限，实现数据窃取、黑帽SEO 、网页篡改等可能的黑色产业意图。后续CNCERT/CC 将对观测到的部分典型网站攻击团伙进行细致跟踪分析并对外进行陆续发布。 详细分析情况请见报告正文。 2 / 23 2018 年网站攻击态势及 “攻击团伙”挖掘分析报告 CNCERT/CC 一、2018 年网站攻击统计态势 据CNCERT/CC 抽样监测，2018 年各月抽样监测发现的网站后门链接个数分布情况 如下图所示。可以发现，2018 年3-8 月期间，监测到的网站攻击活动较为活跃。 35000 30000 25000 20000 15000 10000 5000 0 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 图1.1 2018 年各月监测发现的网站后门链接个数 2018 年抽样监测到的网站后门脚本类型分布如下图所示，其中PHP 类型的网站后门 数量最多，占66.7% ；其次是ASP 和JSP 脚本类型的网站后门，分别占24.2%、7.3%。 1.8% 7.3% 24.2% 66.7% php shell asp shell jsp shell other 图1.2 2018 年监测发现的网站后门按攻击脚本类型分布 网站后门全年统计态势如下图所示。可以看出，每月发起网站后门攻击的IP 与受到网 站后门攻击的服务器数量基本相近。每月监测发现的网站后门数量与受攻击域名数量基本与 3 / 23 2018 年网站攻击态势及 “攻击团伙”挖掘分析报告 CNCERT/CC 攻击 IP 数/受攻击 IP 数呈正相关，且具有受攻击域名数量远小于网站后门数量的特点，说 明网站攻击者倾向于对同一个域名