• 本文作者: 漏洞应急响应中心
  • |
  • 2015年8月21日
  • |
  • 安全动态
  • |

2015年第34周安全通报

1 总体情况

1.1 本周漏洞情况

  • 本周统计CVE漏洞312个,其中高危漏洞129个,中危漏洞170个,低危漏洞13个。漏洞数与前一周环比增加了578.3%,与去年同比增加了215.2%;
  • 本周记录的漏洞数量较前几周有大幅增长,原因是苹果、微软、Adobe、Mozilla等多家公司均在本周推出了八月安全公告;
  • 苹果公司的本月安全公告涉及的漏洞数量达90个,影响的产品主要是OS X、IOS、Safari 浏览器、webkit等,漏洞类型包括任意代码执行、目录遍历、信息泄露和安全机制绕过等;
  • 微软公司在本月安全公告中共发布了14个安全通报涉及的漏洞数量达到50个,影响的产品主要有Windows Server、Office、DotNet、IE浏览器等;
  • Adobe公司在本月发布的安全通报涉及到Adobe Flash Player的漏洞数量达到33个,继续了七月开始的大量修补Flash Player 漏洞的疯狂过程;
  • Mozilla公司也在本周发布安全通报,涉及到FireFox 浏览器的二十多个漏洞;
  • 另外思科公司也按照惯例发布了本周安全通报,涉及到其多个产品的十几个漏洞;本周还跟踪了非常流行的两个建站系统WordPress、Drupal的多个插件或模块的数量众多的漏洞;

1.2 本周恶意域名与IP地址跟踪情况

  • 本统计期恶意IP地址数量继续上升,尽管是连续三周小幅度上升,不过幅度极为有限,目前还依旧在前期的高位平台区间整理运行。这波上升趋势是否还能延续,尚待观察;
  • 根据分析本统计期单个IP地址对应的恶意域名数量前10位列表,大陆和海外均是继续出现了一个恶意IP地址的更替,而上周发现的在大陆爆发的多个恶意域名组对应的IP地址普遍向海外迁移的趋势本周有所减缓;
  • 在大陆的恶意IP地址数量地理分布排名列表中,北京、浙江、江苏、广东、河南位居前五,跟前一周相比,浙江、江苏排名互换,而位于西部的四川已被挤出前十位;
  • 在海外的恶意IP地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比没有变化;

1.3 下周安全预警等级

中度

2 安全漏洞

2.1 漏洞统计

 

2015-34-V

最近四周漏洞数量示意图

2015-34-VS

本周统计CVE漏洞前五位示意图

2.2 漏洞预警

2.2.1 Microsoft Internet Explorer ASLR 保护机制绕过漏洞

2015-34-1

2.2.2 Microsoft Windows Server任意代码执行漏洞

2015-34-2

2.2.3 Apple OS X任意代码执行漏洞

2015-34-3

2.2.4 Apple iOS 缓冲区溢出漏洞

2015-34-4

2.2.5 Adobe Flash Player& Compiler 释放后重用漏洞

2015-34-5

2.2.6 Mozilla Firefox 释放后重用漏洞

2015-34-6

 

3 恶意域名与IP地址跟踪

3.1 总体情况

本期从国家权威部门获取的恶意域名数是38个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是13477个,将这些域名进行例行的IP地址解析,本周的验证结果如下:

  • 根据分析单个IP地址对应的恶意域名数量前10位列表的结果, 大陆和海外均是继续出现了一个恶意IP地址的更替;而上周发现的在大陆爆发的多个恶意域名组对应的IP地址普遍向海外迁移的趋势本周有所减缓;
  • 在大陆的恶意IP地址数量地理分布排名列表中,北京、浙江、江苏、广东、河南位居前五,跟前一周相比,浙江、江苏排名互换,而位于西部的四川已被挤出前十位;
  • 在海外的恶意IP地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比没有变化;
  • 本期全部有效IP地址数量是2978个,其中海外有效IP地址数量是1954个,大陆有效IP地址数量是1024个,全部有效IP地址较上周相比增加了13个,增幅为0.44%;跟前一周相比,海外和大陆的IP地址数量均出现轻微的增加;
  • 本统计期恶意IP地址数量继续上升,尽管是连续三周小幅度上升,不过幅度极为有限,目前还依旧在前期的高位平台区间整理运行。这波上升趋势是否还能延续,尚待观察。以下是本统计期的数量趋势图:

2015-34

3.2 单个IP地址对应的恶意域名数量前10位分析

3.2.1 大陆的单个IP地址对应的恶意域名数量前10 位分析

我们看到跟前一周的记录相比,前十位记录继续出现了一个恶意IP地址的更替。以下是前10位地址的详细介绍:

  • 在前十位列表中上周刚刚出现的一个中国联通云数据中心的120.52.69.2本周已经消失;需要继续关注恶意域名组“{XXXX].0519mr.net”对应的IP地址迁移的过程;
  • 在前十位列表中新出现了一个上海移动的IP地址221.130.179.36,这个地址尽管刚在前十位列表出现,但是实际上连续存活时间达到了136周,涉及到92个恶意域名,这些恶意域名大部分是以“[XXXX].3322.org”的形式存在,目前还没有发现有IP地址迁移的情况;
  • 在前十位列表中的北京市联通的111.202.75.66,涉及到的恶意域名数量继续增加到479个,与前一周相比增加了1个域名,这些恶意域名大部分也是以形式“{XXXX].0519mr.net”存在,需要高度关注;
  • 另外在前十位列表中还有四个跟去年九月大量恶意域名爆发有关的IP地址,它们是湖北襄阳的IP地址111.177.111.83,两个山西吕梁IP地址60.221.255.11和60.221.255.10,以及一个浙江的IP地址183.136.235.15,它们涉及到的恶意域名数量之和已经超过了四千个,继续保持在高位,这些恶意域名大部分以形式“[xxxx].liulanwangye.com、[yyyymmddhhmmsssss]. hflddz|mtvmin|wangendong.com”存在;
  • 在前10位列表中继续保持的有广东省深圳市 电信(龙岗/南山区)的IP地址219.134.132.88,它涉及的恶意域名数量维持在386个,这些恶意域名大部分以形式“[XXX]. isgre.at”,需要继续关注;
  • 在前10位列表中继续保持的还有河南省南阳市电信的IP地址219.150.241.46 ,它涉及的恶意域名数量维持在203个,这些恶意域名大部分以形式“[xxx].conna.dtdns.net”存在,需要继续关注;
  • 前10位继续保持的还有广西的IP地址118.184.176.13,它涉及的恶意域名数量维持在196个,这些恶意域名大部分以形式“[xxxx].go.8800.org”存在,需要继续关注;
  • 前10位继续保持的还有江苏省镇江市电信的222.186.129.198,它涉及到110个恶意域名,这些恶意域名大部分以形式“xxxxxx.xxxxx.pw”存在,需要继续关注;

3.2.2 海外的单个IP地址对应的恶意域名数量前10位分析

我们看到跟前一周的记录相比,前十位记录继续出现了一个恶意IP地址的更替。以下是前10位地址的详细介绍:

  • 连续8周排名前十位列表第一位的的美国IP地址74.82.63.228已经消失,需要继续关注其对应的类似“xxxxx.bjsyedu.cn”的恶意域名对应的IP地址后续的迁移情况;
  • 在前十位列表中排名第一的是美国的184.168.221.46,本周对应的恶意域名数量维持在565个,这些恶意域名大部分以形式“[yyyymmddhhmmsssss]. Hflddz.com”存在,这些恶意域名正是2014年九月大量爆发的以形式“[xxxx].liulanwangye.com、[yyyymmddhhmmsssss]. hflddz|mtvmin|wangendong.com”存在的恶意域名,标志着这些恶意域名对应的IP地址向海外特别是美国迁移的过程正在继续;
  • 在前十位列表中跟地址184.168.221.46类似的还有美国的184.168.221.41,它涉及到的恶意域名数量达到514个,这些恶意域名大部分以形式“[yyyymmddhhmmsssss]. mtvmin.com.com”存在;
  • 在前十位列表中跟上面的地址类似的还有美国的50.63.202.42,它涉及到的恶意域名数量达到289个这些恶意域名大部分以形式“[yyyymmddhhmmsssss]. xashunda.com”存在;
  • 在前十位列表中韩国IP地址59.11.88.234继续存在,位列第二。它涉及到的恶意域名数量保持在537个,大部分是类似“20140914121153313.sltbzy.com”的恶意域名,这正是跟去年九月大量恶意域名爆发有关的域名。这也是一个国内恶意域名爆发后对应IP地址迁移到海外的一个实例;
  • 在前十位列表中上周新增的韩国地址14.33.133.171继续存在,它涉及到的恶意域名数量达到113个。这些恶意域名大部分以形式“138[9]+(6位数).lingjunedu.com”存在,这些域名是在2014年上半年爆发的,已经沉寂了一年多,现在又重新爆发,需要引起足够关注;
  • 德国IP地址88.198.132.3,涉及的恶意域名数量保持在269个,这些恶意域名大部分以形式”[任意字符].usa/flu/igg.cc”存在;
  • 前10位继续保持的地址还有美国新泽西州Merck公司的IP地址54.235.159.97,它涉及的恶意域名数量维持在125个,这些恶意域名大部分以形式”cdn.[xxxx].[xxxx].us、cdn.[xxx].com”存在;
  • 前10位保持的地址还有香港的IP地址如103.232.215.133,它涉及的域名数量增加到128个,与前一周相比增加了3个域名,依旧保持在活跃状态。这些恶意域名大部分以形式“[xxxx].dyjclj.com、www.icbc[XXX].com”存在;
  • 前10位继续保持的地址还有美国的IP地址67.208.74.71,它涉及的恶意域名数量保持在112个,这些恶意域名大部分以形式[xxx].rr.nu,[xxx].bestdeals.at存在;
  • 美国的IP地址208.91.197.132上周消失以后,本周重新回到前十位列表中,它涉及的恶意域名数量是86个,这些恶意域名大部分以形式[xxx].rr.nu,[xxx].bestdeals.at存在;

 

3.3 大陆和海外的恶意IP地址地理分布情况

3.3.1 大陆恶意IP地址地理分布情况

在本周大陆的恶意IP地址地理分布排名前十位列表中,北京、浙江、江苏、广东、河南位居前五,跟前一周相比,浙江、江苏排名互换;山东、上海保持第六、七位,在第八到第十的排名中,河北重新进入前十,排名第八,湖南、福建分别排名第九和第十,而四川被挤出前十位。以下是分布示意图:

2015-34-m

 

3.3.2 海外恶意IP地址地理分布情况

在本周海外恶意IP地址地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比没有变化;在第六到第十的排名中,跟前一周相比,加拿大排名提前至第六,而巴西、俄罗斯和英国排名分别位居七、八、九位,法国不变,排名第十。以下是分布示意图:

2015-34-o

 

Written by 漏洞应急响应中心