• 本文作者: 漏洞应急响应中心
  • |
  • 2015年6月12日
  • |
  • 未分类
  • |

2015年第24周安全通报

1   总体情况

1.1  本周漏洞情况

  • 本周统计CVE漏洞152个,其中高危漏洞77个,中危漏洞67个,低危漏洞8个。漏洞数与前一周环比上升39.4%,与去年同期同比下降10.6%;
  • 本周主要记录了微软公司例行的六月安全公告中的八个安全通报中涉及的45个漏洞,涉及到windows、Office、IE、Exchange等产品,漏洞如果成功利用可以造成权限提升、远程代码执行等严重影响;还记录了Adobe公司六月披露的一个安全通报中涉及的13个漏洞,涉及到Flash Player这个产品,漏洞如果成功利用可以造成安全机制绕过、拒绝服务、任意代码执行等严重影响。
  • 另外还记录了每周都会出现的一些公司产品的漏洞,如Cisco、IBM、Wordpress等产品的多个漏洞。

1.2  本周恶意域名与IP地址跟踪情况

  • 本统计期恶意IP地址数量在前一周出现剧烈下降后继续下降,总的来说,每周的恶意IP地址数量缓步增加的趋势已经被打破,从形态上看恶意IP地址数量返回了前期的调整区间。
  • 但是本统计期的海外的新增恶意IP地址的数量却大幅增加,这是不同寻常的地方,需要密切关注;
  • 根据分析本统计期单个IP地址对应的恶意域名数量前10位列表的结果,大陆的前10位列表与前一周相比保持不变;海外的前10位列表与前一周相比出现了一个IP地址的更替;
  • 在本统计期的大陆的恶意IP地址数量地理分布排名列表中,北京、浙江、广东、江苏、河南位居前五,跟前一周相比,浙江排名提前到第二;
  • 在本统计期的海外的恶意IP地址数量地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,跟前一周相比排名不变;

1.3  下周安全预警等级

中度

2  安全漏洞

1.1  漏洞统计

 

2015-24-V

                                         最近四周漏洞数量示意图

 

2.1  漏洞预警

2.1.1  Microsoft Office任意代码执行漏洞

2015-24-1

2.1.2        Microsoft Internet Explorer 拒绝服务漏洞

2015-24-2

2.1.3        Adobe Flash Player& Compiler ASLR 保护机制绕过漏洞

2015-24-3

2.1.4        Adobe Flash Player& Compiler 18.0.0.144 on Windows 18.0.0.143 on OS X

2015-24-4

2.1.5        Cisco AnyConnect Secure Mobility Client 根用户权限获取漏洞

2015-24-5

 

3  恶意域名与IP地址跟踪

3.1  总体情况

本期从国家权威部门获取的恶意域名数是14个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是13216个,将这些域名进行例行的IP地址解析,本周的验证结果如下:

  • 根据分析单个IP地址对应的恶意域名数量前10位列表的结果,大陆的前10位列表与前一周相比保持不变;海外的前10位列表与前一周相比继续出现了一个IP地址的更替;
  • 在大陆的恶意IP地址数量地理分布排名列表中,北京、浙江、广东、江苏、河南位居前五,跟前一周相比,浙江排名提前到第二;
  • 在海外的恶意IP地址数量地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,跟前一周相比排名不变;
  • 本期全部有效IP地址数量是2080个,其中海外有效IP地址数量是1303个,大陆有效IP地址数量是777个,全部有效IP地址较上周相比减少224个,降幅达到9.7%;跟前一周相比,海外IP地址数量和大陆IP地址数量均出现持续的下降。
  • 本统计期恶意IP地址数量在前一周出现剧烈下降后继续下降,总的来说,每周的恶意IP地址数量缓步增加的趋势已经被打破,从形态上看恶意IP地址数量返回了前期的调整区间。但是海外的新增恶意IP地址的数量却大幅增加,这是不同寻常的地方,需要密切关注;

以下是本统计期的数量趋势图。

2015-24

3.2  单个IP地址对应的恶意域名数量前10位分析

3.2.1  大陆的单个IP地址对应的恶意域名数量前10 位分析

我们看到跟前一周的记录相比,前十位记录保持不变,这已经是连续第四周了,还需要继续这种情况还能维持多久,并需关注以下三点:

  • 目前还有北京市联通的111.206.120.34和天津市联通的60.28.14.125依旧存在,还需要继续关注;
  • 前一周进入前十位的IP地址江苏省镇江市电信的222.186.129.198继续存在,涉及到108个类似于“xxxxxx.xxxxx.pw”的恶意域名,需要严加关注;
  • 目前在前十位列表中还有四个跟去年九月大量恶意域名爆发有关的IP地址,它们是一个湖北襄阳的IP地址,两个山西吕梁IP地址和一个浙江的IP地址,它们涉及到的恶意域名数量还是保持在高位,需要继续关注;

3.2.2      海外的单个IP地址对应的恶意域名数量前10位分析

我们看到跟前一周的记录相比,前十位记录出现了一个IP地址的更替。前一周新增一个美国新泽西州Merck公司的54.72.9.51,已经消失,而前二周消失的一个美国IP地址208.91.197.132再次出现,而它涉及到66个恶意域名,主要跟金融诈骗有关,如“bcndgdf34.cdbpl.com”、“zaixianzhifu3.235.xrjzb.com”、“zhifubaonewws.xrjzb.com”等恶意域名。

另外需要继续关注以下三点:

  • 前一周新增的韩国IP地址59.11.88.234继续出现,它涉及到的恶意域名大部分是类似“20140914121153313.sltbzy.com”的恶意域名,这正是跟去年九月大量恶意域名爆发有关的域名。这也是一个国内恶意域名爆发后对应IP地址迁移到海外的一个实例。
  • 还需要高度关注的是继续保持第一位的美国IP地址74.82.63.228。它涉及到的恶意域名数量达到684个,较继续增加,这些恶意域名大部分是以“xxxxx.bjsyedu.cn”形式存在,这正是前段时间以北京万网IP地址112.124.19.11为首的恶意域名爆发事件涉及的恶意域名,由此可以看出,这些恶意域名对应的IP地址已经转移到海外,以逃避控制和监管;
  • 另外持续关注香港的IP地址如103.232.215.133、 123.1.151.85两个IP地址中,123.1.151.85继续消失,根据以往经验,需要继续跟踪这个IP地址何时再出现在前十位列表中。

 

3.3  大陆和海外的恶意IP地址地理分布情况

3.3.1  大陆恶意IP地址地理分布情况

在本周大陆的恶意IP地址地理分布排名列表中,北京、浙江、广东、江苏、河南位居前五,跟前一周相比,浙江排名提前到第二;在第七到第十的排名中,湖南和上海交换位置,而山西取代福建进入前十;

以下是分布示意图:

2015-24-m

 

3.3.2        海外恶意IP地址地理分布情况

在本周海外恶意IP地址地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,跟前一周相比排名不变,但涉及到的IP地址数量较前一周有大幅下降;在第六到第十的排名中,排名尽管出现了变化,但涉及的IP地址数量很少,最高的不到20个。

以下是分布示意图:

2015-24-o

 

Written by 漏洞应急响应中心