• 本文作者: 漏洞应急响应中心
  • |
  • 2015年9月6日
  • |
  • 安全动态
  • |

2015年第36周安全通报

1 总体情况

1.1 本周漏洞情况

  • 本周统计CVE漏洞116个,其中高危漏洞30个,中危漏洞74个,低危漏洞12个。漏洞数与前一周环比增加了0.9%,与去年同比增加了93.3%;
  • 本周记录了Google公司最新发布的安全公告中的十多个漏洞, 涉及到Chrome 浏览器、V8、Skia、Blink等多个产品组件,漏洞类型包括释放后重用、拒绝服务、访问限制绕过、同源策略绕过等高危漏洞;也记录了Linux Kernal 3.x,4.x 版本上出现多个高危漏洞;还记录了HP公司多个产品的多个漏洞,该公司产品的漏洞数量排名继续位列前三;
  • 本周还记录了思科、Siemens等公司的多个产品的多个漏洞;并且继续跟踪了Innominate mGuard和Fortinet FortiClient两家安全公司的安全套件存在的几个安全漏洞;

1.2 本周恶意域名与IP地址跟踪情况

  • 本统计期恶意IP地址数量在连续四周小幅度上升后出现了微调,目前还依旧在前期的高位平台区间整理运行。这种平衡的局面何时打破,还需继续观察;
  • 根据分析本统计期单个IP地址对应的恶意域名数量前10位列表,海外出现一个新增地址,这标志着2014年上半年爆发的多个恶意域名组开始从沉寂变为活跃,其对应的IP地址正在向海外(韩国)迁移;另外尽管大陆没有出现新增地址,但是在前十位列表中有七个地址跟两组恶意域名组的爆发有关,集中度很高,需要重点关注后续的变化情况;
  • 在大陆的恶意IP地址数量地理分布排名列表中,北京、广东、浙江、江苏、河南位居前五,跟前一周相比,广东排名靠前到第二位; 上周位居第十的河北,本周提前到第八,西部省份的四川替代福建再次进入前十;
  • 在海外的恶意IP地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比没有变化;

1.3 下周安全预警等级

中度

2 安全漏洞

2.1 漏洞统计

 

2015-36-V

最近四周漏洞数量示意图

2015-36-VS

本周统计CVE漏洞前五位示意图

2.2 漏洞预警

2.2.1 Google Blink 释放后重用漏洞

2015-36-1

2.2.2 Google Chrome 预定的访问限制绕过漏洞

2015-36-2

2.2.3 Linux kernel 拒绝服务漏洞

2015-36-3

2.2.4 Linux kernel 释放后重用漏洞

2015-36-4

2.2.5 HP Systems Insight Manager 拒绝服务漏洞

2015-36-5

 

3 恶意域名与IP地址跟踪

3.1 总体情况

本期从国家权威部门获取的恶意域名数是31个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是13539个,将这些域名进行例行的IP地址解析,本周的验证结果如下:

  • 根据分析单个IP地址对应的恶意域名数量前10位列表的结果, 海外出现一个新增地址,这标志着2014年上半年爆发的多个恶意域名组开始从沉寂变为活跃,其对应的IP地址正在向海外(韩国)迁移;另外尽管大陆没有出现新增地址,但是在前十位列表中有七个地址跟两组恶意域名组的爆发有关,集中度很高,需要重点关注后续的变化情况;
  • 在大陆的恶意IP地址数量地理分布排名列表中,北京、广东、浙江、江苏、河南位居前五,跟前一周相比,广东排名靠前到第二位; 上周位居第十的河北,本周提前到第八,西部省份的四川替代福建再次进入前十;
  • 在海外的恶意IP地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比没有变化;
  • 本期全部有效IP地址数量是2974个,其中海外有效IP地址数量是1962个,大陆有效IP地址数量是1012个,全部有效IP地址较上周相比减少了9个,降幅为0.3%;跟前一周相比,海外IP地址数量出现轻微上升而大陆的地址数量出现轻微下降;
  • 本统计期恶意IP地址数量在连续四周小幅度上升后出现了微调,目前还依旧在前期的高位平台区间整理运行。这种平衡的局面何时打破,还需继续观察。以下是本统计期的数量趋势图:

2015-35

3.2 单个IP地址对应的恶意域名数量前10位分析

3.2.1 大陆的单个IP地址对应的恶意域名数量前10 位分析

我们看到前一周的全部十个IP地址均保持在本周的前十位列表中,没有出现新增地址。以下根据这些IP地址对应的恶意域名组进行分类介绍:

    1) 今年二月爆发的以“[XXXX] .bjsyedu.cn”,”[XXXX].0519mr.net”形式存在的恶意域名组对应IP地址变化情况跟踪

  • 上周新增的天津联通的IP地址60.28.14.125继续保持在前十位列表中,涉及到的恶意域名数量达到1097个,本周排名位居第三;
  • 在前十位列表中本周继续保持的有北京市联通的111.202.75.66,涉及到的恶意域名数量继续增加到480个,本周排名位居第五;
  • 上周新增的中国联通云数据中心的120.52.69.2继续保持在前十位列表中,涉及到的恶意域名数量达到376个;本周排名位居第七;
  • 2) 2014年9月爆发的以“[yyyymmddhhmmsssss]. kangdelvhua.com|annengdl.com|pengjinshun.com|maxbolift.com|qqldp.com|.iyomall.com|.sltbzy.com|.mtvmin.com”等形式存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有湖北襄阳的IP地址111.177.111.83,涉及到的恶意域名数量达到1484个,本周排名位居第一;
  • 在前十位列表中本周继续保持的还有山西吕梁的IP地址60.221.255.11,涉及到的恶意域名数量继续增加到1453个,本周排名位居第二;
  • 在前十位列表中本周继续保持的还有山西吕梁的IP地址60.221.255.10,涉及到的恶意域名数量继续增加到1064个,本周排名位居第四;
  • 在前十位列表中本周继续保持的有浙江的IP地址183.136.235.15,涉及到的恶意域名数量继续增加到183个,本周排名位居第十;
  • 3) 长期以形式“[XXX]. isgre.at”形式存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有广东省深圳市 电信(龙岗/南山区)的IP地址219.134.132.88,它涉及的恶意域名数量维持在386个,对应关系长期保持稳定,目前还没有发现有IP地址迁移的情况;
  • 4) 长期以形式“[xxx].conna.dtdns.net”存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的还有河南省南阳市电信的IP地址219.150.241.46 ,它涉及的恶意域名数量维持在203个,对应关系长期保持稳定,目前还没有发现有IP地址迁移的情况;
  • 5) 长期以“[xxxx].go.8800.org”形式存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的还有广西的IP地址118.184.176.13,它涉及的恶意域名数量维持在196个,对应关系长期保持稳定,目前还没有发现有IP地址迁移的情况;

3.2.2 海外的单个IP地址对应的恶意域名数量前10位分析

我们看到跟前一周相比,本周的前十位列表中出现一个新增地址,它是韩国的210.183.56.202,该地址进入前十位列表,标志着2014年上半年爆发的以形式“138[9]+(6位数).lingjunedu.com”存在的多个恶意域名组开始从沉寂变为活跃,其对应的IP地址正在向海外(韩国)迁移,需要重点关注。以下是前十位列表中的IP地址对应的恶意域名组进行分类介绍:

    1) 2014年上半年爆发的以形式“138[9]+(6位数).lingjunedu.com”存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有韩国地址14.33.133.171,它涉及到的恶意域名数量达到113个,本周排名位居第八;
  • 在前十位列表中本周新增的韩国的IP地址210.183.56.202,它涉及到的恶意域名数量达到93个,本周排名位居第十;
  • 上面这些恶意域名组正在开始从沉寂变为活跃,需要重点关注;
  • 2) 2014年9月爆发的以“[yyyymmddhhmmsssss]. kangdelvhua.com|annengdl.com|pengjinshun.com|maxbolift.com|qqldp.com|.iyomall.com|.sltbzy.com|.mtvmin.com”等形式存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有美国的IP地址184.168.221.46,涉及到的恶意域名数量达到565个,本周排名位居第一;
  • 在前十位列表中本周继续保持的有韩国的IP地址59.11.88.234,涉及到的恶意域名数量保持在537个,本周排名位居第二;
  • 在前十位列表中本周继续保持的还有美国的IP地址184.168.221.41,涉及到的恶意域名数量达到514个,本周排名位居第三;
  • 在前十位列表中本周继续保持的还有美国的IP地址50.63.202.42,涉及到的恶意域名数量达到289个,本周排名位居第四;
  • 以上这些恶意域名对应的IP地址向海外特别是美国迁移的过程正在继续:
  • 3) 长期以”[任意字符].usa/flu/igg.cc”形式存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有德国IP地址88.198.132.3,涉及的恶意域名数量保持在269个,本周排名位居第五;
  • 4) 长期以”cdn.[xxxx].[xxxx].us、cdn.[xxx].com”形式存在的多个恶意域名组对应IP地址变化情况跟踪:

  • 在前十位列表中本周继续保持的有美国新泽西州Merck公司的IP地址54.235.159.97,它涉及的恶意域名数量维持在125个,本周排名位居第七;
  • 5) 长期以形式“[xxxx].dyjclj.com、www.icbc[XXX].com”存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有香港的IP地址如103.232.215.133,它涉及的域名数量增加到130个,本周排名位居第六;
  • 6) 长期以形式“[xxx].rr.nu,[xxx].bestdeals.at”存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有有美国的IP地址67.208.74.71,它涉及的恶意域名数量保持在112个,本周排名位居第九;

 

3.3 大陆和海外的恶意IP地址地理分布情况

3.3.1 大陆恶意IP地址地理分布情况

在本周大陆的恶意IP地址地理分布排名前十位列表中,北京、广东、浙江、江苏、河南位居前五,跟前一周相比,广东排名靠前到第二位; 上周位居第十的河北,本周提前到第八,西部省份的四川替代福建再次进入前十;以下是分布示意图:

2015-36-m

 

3.3.2 海外恶意IP地址地理分布情况

在本周海外恶意IP地址地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比没有变化;在第六到第十的排名中,跟前一周相比,排名也没有变化;以下是分布示意图:

2015-36-o

 

Written by 漏洞应急响应中心