CNCERT：2018年12月活跃恶意域名报告

本报告以CNCERT监测数据和通报成员单位报送数据作为主要依据，对我国互联网面临的各类安全威胁进行总体态势分析，并对重要预警信息和典型安全事件进行探讨。

2018年12月，互联网网络安全状况整体评价为良。主要数据如下：

* 境内感染网络病毒的终端数为近78万个；

* 境内被篡改网站数量为1,376个，其中被篡改政府网站数量为80个；境内被植入后门的网站数量为2,317个，其中政府网站有34个；针对境内网站的仿冒页面数量为5,324个；

* 国家信息安全漏洞共享平台（CNVD）收集整理信息系统安全漏洞1,206个，其中，高危漏洞481个，可被利用来实施远程攻击的漏洞有1,067个。

网络病毒监测数据分析

2018年12月，境内感染网络病毒的终端数为近78万个。其中，境内近54万个IP地址对应的主机被木马或僵尸程序控制，与上月的近60万个相比下降10.4%。

1、木马僵尸网络监测数据分析

2018年12月，境内近54万个IP地址对应的主机被木马或僵尸程序控制，按地区分布感染数量排名前三位的分别是广东省、河南省、浙江省。

木马或僵尸网络控制服务器IP总数为28,696个。其中，境内木马或僵尸程序控制服务器IP有1,955个，按地区分布数量排名前三位的分别为广东省、北京市、上海市。境外木马或僵尸程序控制服务器IP有26,738个，主要分布于美国、德国、日本。其中，位于美国的控制服务器控制了境内256,835个主机IP，控制境内主机IP数量居首位，其次是位于加拿大和意大利的IP地址，分别控制了境内124,478个和82,410个主机IP。

2、移动互联网恶意程序监测数据分析

2018年12月，CNCERT针对目前流行的信息窃取类、恶意扣费类和敲诈勒索类典型移动恶意程序进行分析，发现信息窃取类恶意程序样本2,437个，恶意扣费类恶意程序样本3,700个，敲诈勒索类恶意程序样本1,380个。

2018年12月，CNCERT向应用商店、个人网站、广告平台、云平台等传播渠道通报下架移动互联网恶意程序124个。其中，资费消耗类的恶意程序数量居首位(占37.1%)，诱骗欺诈（占28.2%）、恶意扣费类（占20.2%）分列第二、三位。

3、网络病毒捕获和传播情况

网络病毒主要针对一些防护比较薄弱，特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后，会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。

网络病毒在传播过程中，往往需要利用黑客注册的大量域名。2018年12月，CNCERT监测发现的放马站点中，通过域名访问的共涉及有12,682个域名，通过IP直接访问的共涉及有8,409个IP。在12,682个放马站点域名中，于境内注册的域名数为5,054个（约占39.9%），于境外注册的域名数为3,323个（约占26.2%）。放马站点域名所属顶级域名排名前5位的具体情况如表所示。