• 本文作者: 漏洞应急响应中心
  • |
  • 2015年10月16日
  • |
  • 安全动态
  • |

2015年第42周安全通报

1 总体情况

1.1 本周漏洞情况

  • 本周共统计CVE漏洞173个,其中高危漏洞29个,中危漏洞133个,低危漏洞11个。漏洞数与前一周环比减少了7.5%,与去年同比减少了48.5%;
  • 本周记录了Adobe公司最新发布的多个漏洞,涉及到Acrobat Reader 和Flash player 两个产品,漏洞类型主要是任意命令执行、安全限制绕过、释放后重用、拒绝服务等,本周该公司产品的漏洞数量排名第一;还记录了苹果公司最新发布的多个漏洞,涉及到OS X、iOS、watchOS等产品,漏洞类型主要是拒绝服务、权限提升、信息泄露、安全限制绕过等;本周也记录了微软公司10月安全公告发布的多个漏洞,涉及到IE、Edge、VBScript&JScript 引擎、Office、Windows、SharePoint等多个产品,漏洞类型主要是拒绝服务、权限提升、释放后重用、ASLR 保护机制绕过等;
  • 本周记录的安全公司的产品漏洞是EMC RSA Web Threat Detection,该产品是EMC通过大数据实时智能分析Web会话和用户行为,防止网络欺诈和网络犯罪的统一安全解决方案。其5.1 之前的版本 SP1存在根用户权限获取漏洞和明文存储口令导致机密信息泄露的漏洞;

1.2 本周恶意域名与IP地址跟踪情况

  • 本周恶意IP地址数量在上周出现向下微调后出现向上微调的形态,目前看来这个整理的局面依旧保持;
  • 本周单个IP地址对应的恶意域名数量前10位列表显示,大陆出现了四个地址而海外出现一个地址的更替。海外地址的变化标志着2014年9月爆发的多个恶意域名组对应地址向海外特别是美国迁移的过程持续活跃;而大陆地址的变化标志着我们跟踪的今年二月爆发的恶意域名组对应的IP地址正在出现爆发式的迁移;
  • 在大陆的恶意IP地址数量地理分布排名列表中,北京、江苏、广东、浙江、河南位居前五,山东、上海、湖南、河北、山西位居六至十位,跟前一周相比,前七位没有变化,湖南排名靠前到第八,而河北排名不变,而山西顶替河北进入前十;
  • 在海外的恶意IP地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比没有变化;

1.3 下周安全预警等级

中度

2 安全漏洞

2.1 漏洞统计

 

2015-42-V

最近四周漏洞数量示意图

2015-42-VS

本周统计CVE漏洞前五位示意图

2.2 漏洞预警

2.2.1Adobe Reader Acrobat 任意文件删除漏洞

2015-42-1

2.2.2 Adobe Flash Player& Compiler释放后重用漏洞

2015-42-2

2.2.3 Microsoft Excel 释放后重用漏洞

2015-42-3

2.2.4 Microsoft VBScript 拒绝服务漏洞

2015-42-4

2.2.5 EMC RSA Web Threat Detection 根用户权限获取漏洞

2015-42-5

 

3 恶意域名与IP地址跟踪

3.1 总体情况

本期从国家权威部门获取的恶意域名数是19个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是13690个,将这些域名进行例行的IP地址解析,本周的验证结果如下:

  • 本周单个IP地址对应的恶意域名数量前10位列表显示,大陆出现了四个地址而海外出现一个地址的更替。海外地址的变化标志着2014年9月爆发的多个恶意域名组对应地址向海外特别是美国迁移的过程持续活跃;而大陆地址的变化标志着我们跟踪的今年二月爆发的恶意域名组对应的IP地址正在出现爆发式的迁移;
  • 在大陆的恶意IP地址数量地理分布排名列表中,北京、江苏、广东、浙江、河南位居前五,山东、上海、湖南、河北、山西位居六至十位,跟前一周相比,前七位没有变化,湖南排名靠前到第八,而河北排名不变,而山西顶替河北进入前十;
  • 在海外的恶意IP地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比没有变化;
  • 本期全部有效IP地址数量是3013个,其中海外有效IP地址数量是1952个,大陆有效IP地址数量是1061个,全部有效IP地址较上周相比增加了2个,增幅为0.07%;跟前一周相比,海外IP地址数量出现轻微下降而大陆的IP地址数量出现小幅上升;
  • 本统计期恶意IP地址数量在上周出现向下微调后出现向上微调的形态,目前看来这个整理的局面依旧保持;

2015-35

3.2 单个IP地址对应的恶意域名数量前10位分析

3.2.1 涉及到大陆的单个IP地址对应的恶意域名数量前10 位分析

我们看到在前十位记录中出现了四个地址的更替,这是一个比较剧烈的变化,标志着我们跟踪的恶意域名组对应的IP地址正在出现爆发式的迁移。以下是详细介绍:

    消失地址:

  • 上周出现的江苏省镇江市电信的222.186.129.198本周再次消失;
  • 上周出现的上海移动的IP地址221.130.179.36本周再次消失;
  • 持续保持在前10位列表长达53周的山西吕梁的IP地址60.221.255.11本周消失;
  • 持续保持在前10位列表长达34周的山西吕梁的IP地址60.221.255.10本周消失;
  • 新增地址:

  • 在前10位列表中新增了一个北京联通的IP地址123.125.93.10,涉及到的恶意域名数量达到140个,而在上周的数量是42个,本周排名位居第七;
  • 在前10位列表中新增了一个北京联通的IP地址123.125.93.3,涉及到的恶意域名数量达到125个,而在上周的数量是44个,本周排名位居第八;
  • 在前10位列表中新增了一个北京联通的IP地址123.125.93.20,涉及到的恶意域名数量达到124个,而在上周的数量是49个,本周排名位居第九;
  • 在前10位列表中新增了一个北京联通的IP地址123.125.93.7,涉及到的恶意域名数量达到123个,而在上周的数量是41个,本周排名位居第十;
  • 以上四个地址对应的恶意域名正是类似于今年二月爆发的以“[XXXX] .bjsyedu.cn”,”[XXXX].0519mr.net”等形式存在的多个恶意域名组,结合到前一周的跟这些恶意域名相关的两个地址的消失情况,即天津联通的IP地址60.28.14.125和中国联通数据中心的IP地址120.52.69.2,这就标志着这些恶意域名组对应的IP地址出现了新的爆发式迁移;
  • 保持地址:

    1) 2014年9月爆发的以“[yyyymmddhhmmsssss]. kangdelvhua.com|annengdl.com|pengjinshun.com|maxbolift.com|qqldp.com|.iyomall.com|.sltbzy.com|.mtvmin.com”等形式存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有湖北襄阳的IP地址111.177.111.83,涉及到的恶意域名数量达到1484个,本周排名位居第一;
  • 在前十位列表中本周继续保持的有浙江的IP地址183.136.235.15,涉及到的恶意域名数量达到183个,本周排名位居第六;
  • 2) 今年二月爆发的以“[XXXX] .bjsyedu.cn”,”[XXXX].0519mr.net”形式存在的恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有北京市联通的111.202.75.66,涉及到的恶意域名数量继续保持在480个,本周排名位居第二;
  • 3) 长期以形式“[XXX]. isgre.at”形式存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有广东省深圳市 电信(龙岗/南山区)的IP地址219.134.132.88,它涉及的恶意域名数量维持在386个,本周排名位居第三,对应关系长期保持稳定,目前还没有发现有IP地址迁移的情况;
  • 4) 长期以形式“[xxx].conna.dtdns.net”存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的还有河南省南阳市电信的IP地址219.150.241.46 ,它涉及的恶意域名数量维持在203个,本周排名位居第四,对应关系长期保持稳定,目前还没有发现有IP地址迁移的情况;
  • 5) 长期以“[xxxx].go.8800.org”形式存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的还有广西的IP地址118.184.176.13,它涉及的恶意域名数量维持在196个,本周排名位居第五,对应关系长期保持稳定,目前还没有发现有IP地址迁移的情况;

3.2.2 涉及到海外的单个IP地址对应的恶意域名数量前10位分析

我们看到在本周的前十位列表中,新增了一个美国的地址,而消失了一个韩国的地址,这正是一次完美的恶意域名组对应的IP地址出现的迁移现象。以下是详细介绍:

    消失地址:

  • 前十位列表中持续保持第一位的韩国的IP地址59.11.88.234本周已经消失,它的位置正好被新增的美国的IP地址50.63.202.42所取代;
  • 新增地址:

  • 在前十位列表中本周新增的有美国的IP地址50.63.202.42,涉及的恶意域名大部分以形式“20140816192246204.qqldp.com”存在,属于2014年9月爆发的以“[yyyymmddhhmmsssss]. kangdelvhua.com|annengdl.com|pengjinshun.com|maxbolift.com|qqldp.com|.iyomall.com|.sltbzy.com|.mtvmin.com” 等形式存在的多个恶意域名组对应的恶意IP地址,涉及到的恶意域名数量达到290个,本周排名位居第一;该地址的出现也标志着这些恶意域名对应的IP地址向海外特别是美国迁移的过程持续出现活跃的迹象;
  • 保持地址:

    1) 长期以”[任意字符].usa/flu/igg.cc”形式存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有德国IP地址88.198.132.3,涉及的恶意域名数量保持在269个,本周排名位居第二;
  • 2) 长期以形式“[xxxx].dyjclj.com、www.icbc[XXX].com”存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有香港的IP地址103.232.215.133,它涉及的域名数量保持在135个,本周排名位居第三;
  • 3) 长期以”cdn.[xxxx].[xxxx].us、cdn.[xxx].com”形式存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有美国新泽西州Merck公司的IP地址54.235.159.97,它涉及的恶意域名数量维持在125个,本周排名位居第四;
  • 4) 长期以形式“[xxx].rr.nu,[xxx].bestdeals.at”存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有美国的IP地址67.208.74.71,它涉及的恶意域名数量保持在112个,本周排名位居第六;
  • 5) 新近爆发的以“taobao.vqotdy.com|xxx.xrjzb.com|zhifubaonews.xrjzb.com”等形式出现的恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有美国的IP地址208.91.197.132,涉及到的域名数量增加到95个,本周排名位居第七;
  • 6) 长期以形式“cebbank.com.mmt5.com,[cemn-toabao. comyaggggdofcai8.ce.ms,item.taobao”存在的多个金融诈骗恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中前一周新增的美国的IP地址54.72.9.51继续存在,涉及到的域名数量达到82个,本周排名位居第八,其对应关系长期保持稳定,目前还没有发现有IP地址迁移的情况;
  • 7) 长期以形式“icbc.forshop.cu.cc,taobaocom-b7.cu.cc”存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中前一周新增的有美国的IP地址216.38.62.18继续存在,涉及到的域名数量达到68个,本周排名位居第九,其对应关系长期保持稳定,目前还没有发现有IP地址迁移的情况;
  • 8) 2014年9月爆发的以“[yyyymmddhhmmsssss]. kangdelvhua.com|annengdl.com|pengjinshun.com|maxbolift.com|qqldp.com|.iyomall.com|.sltbzy.com|.mtvmin.com” 等形式存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有上周新增的美国的IP地址50.63.202.54,涉及的恶意域名数量增加到63个,本周排名位居第十;

 

3.3 大陆和海外的恶意IP地址地理分布情况

3.3.1 大陆恶意IP地址地理分布情况

在本周大陆的恶意IP地址地理分布排名前十位列表中,北京、江苏、广东、浙江、河南位居前五,山东、上海、湖南、河北、山西位居六至十位,跟前一周相比,前七位没有变化,湖南排名靠前到第八,而河北排名不变,而山西顶替河北进入前十;以下是分布示意图:

2015-42-m

 

3.3.2 海外恶意IP地址地理分布情况

在本周海外恶意IP地址地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比没有变化;在第六到第十的排名中,跟前一周相比,加拿大排名靠后到第十,而其他国家排名均向前移动一位;以下是分布示意图:

2015-42-o

 

Written by 漏洞应急响应中心