• 本文作者: 漏洞应急响应中心
  • |
  • 2015年12月11日
  • |
  • 安全动态
  • |

2015年第50周安全通报

1 总体情况

1.1 本周漏洞情况

  • 本周统计CVE漏洞123个,其中高危漏洞73个,中危漏洞46个,低危漏洞4个。漏洞数与前一周环比增加了339.3%,与去年同比减少了33.5%;
  • 本周记录了微软公司在12月份安全公告中发布的多个产品的漏洞,涉及到IE、Edge、Windows、Office、Silverlight,漏洞类型主要是代码执行、安全机制绕过、权限提升、拒绝服务等,在本周增加的漏洞数量中,按公司累计排名,微软公司最新发布的漏洞数量位居第一;还记录了谷歌公司的多个产品的漏洞,涉及到Chrome浏览器、安卓操作系统、PDFium、V8、sfntly等产品,漏洞类型主要是拒绝服务、 信息泄露、 权限提升、代码执行等;还继续跟踪了等F5 BIG-IP、Debian 、Red Hat、IBM和思科公司产品的多个漏洞;
  • 本周记录的安全公司的产品漏洞是美国Blue Coat Systems公司的一款统一代理客户端Blue Coat Unified Agent 4.6.2 之前的版本存在安全机制绕过漏洞;中国华为(Huawei)公司的统一安全网关产品(unified security gateways)USG系列 USG5500, USG2100, USG2200,USG5100 存在拒绝服务漏洞;

1.2 本周恶意域名与IP地址跟踪情况

  • 本周恶意IP地址数量在前一周返回前期整理区间后继续小幅反弹后再次出现深幅回档,不过预计这种激烈的下跌只是短暂的,长期趋势依旧向上;
  • 本周单个IP地址对应的恶意域名数量前10位列表显示,大陆和海外均出现地址的更替,这标志着恶意域名组对应的IP地址出现了新的爆发扩散的趋势;
  • 在大陆的恶意IP地址数量地理分布排名列表中,北京、江苏、浙江、广东、上海位居前五,河南、湖北、湖南、山东、四川位居六至十位,跟前一周相比最突出的是湖北、四川取代福建、河北进入前十位而上海依旧保持在前五位;

1.3 下周安全预警等级

中度

2 安全漏洞

2.1 漏洞统计

 

2015-50-v

最近四周漏洞数量示意图

2015-50-vs

本周统计CVE漏洞前五位示意图

2.2 漏洞预警

2.2.1 Microsoft Excel任意代码执行漏洞

2015-50-1

2.2.2 Microsoft Windows 任意代码执行漏洞

2015-50-2

2.2.3 Microsoft Internet Explorer 拒绝服务漏洞

2015-50-3

2.2.4 Google Chrome 释放后重用漏洞

2015-50-4

2.2.5 Huawei 统一安全网关(USG) 拒绝服务漏洞

2015-50-5

 

3 恶意域名与IP地址跟踪

3.1 总体情况

本期从国家权威部门获取的恶意域名数是18个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是13948个,将这些域名进行例行的IP地址解析,本周的验证结果如下:

  • 本周单个IP地址对应的恶意域名数量前10位列表显示,大陆和海外均出现多个地址的更替,这标志着恶意域名组对应的IP地址出现了新的爆发扩散的趋势;
  • 在大陆的恶意IP地址数量地理分布排名列表中,北京、江苏、浙江、广东、上海位居前五,河南、湖北、湖南、山东、四川位居六至十位,跟前一周相比最突出的是湖北、四川取代福建、河北进入前十位而上海依旧保持在前五位;
  • 在海外的恶意IP地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,加拿大、巴西、俄罗斯、法国、英国位居六到十位,跟前一周相比排名加拿大排名从第十上升到第六,而巴西、俄罗斯、法国、英国的名次依次下降一位;
  • 本期全部有效IP地址数量是2719个,其中海外有效IP地址数量是1769个,大陆有效IP地址数量是950个,全部有效IP地址较上周相比减少了339个,降幅为11.09%,跟前一周相比,海外IP地址数量和大陆的IP地址数量均出现大幅下降;
  • 本统计期恶意IP地址数量在前一周返回前期整理区间后继续小幅反弹后再次出现深幅回档,不过预计这种激烈的下跌只是短暂的,长期趋势依旧向上;
  • 以下是本统计期的数量趋势图:

2015-50

3.2 单个IP地址对应的恶意域名数量前10位分析

3.2.1 涉及到大陆的单个IP地址对应的恶意域名数量前10 位分析

我们看到在本周的前十位列表中,出现了五个地址的更替,消失的这五个地址全部跟一组恶意域名组有关,而增加的五个地址中有两个跟这组恶意域名组有关,这就标志着这类恶意域名组对应的IP地址出现了新的爆发扩散的趋势。以下是详细介绍:

    消失地址:

  • 在前十位列表中消失的有天津联通的IP地址60.28.14.125;
  • 在前十位列表中消失的有北京市联通的IP地址111.202.75.66;
  • 在前十位列表中消失的有北京市联通的IP地址123.125.93.20;
  • 在前十位列表中消失的有天津市联通的IP地址60.28.14.121;
  • 在前十位列表中消失的有天津联通的60.28.14.120;
  • 以上五个地址都跟今年二月爆发的以“[XXXX] .bjsyedu.cn”,”[XXXX].0519mr.net”形式存在的恶意域名组有关,这标志着本周跟这些恶意域名组有关的IP地址爆发现象出现暂时中止;
  • 新增地址:

  • 在前10位列表中本周新增的IP地址有北京市 普天科创实业有限公司的106.2.189.18,涉及的恶意域名大部分以形式“[XXXX].0519mr.net””存在,这类域名跟今年二月爆发的恶意域名组有关,涉及的恶意域名数量达到233个,本周排名位居第三;
  • 在前10位列表中本周新增的IP地址有广东省 电信的106.120.178.130,涉及的恶意域名大部分以形式“[XXXX].0519mr.net””存在,这类域名跟今年二月爆发的恶意域名组有关,涉及的恶意域名数量达到203个,本周排名位居第四;
  • 在前10位列表中第48周消失的江苏省镇江市电信的222.186.129.198本周再次出现,涉及的恶意域名大部分以形式“xxxxxx.xxxxx.pw”存在。尽管这个地址刚在前十位列表出现,但是实际上连续存活时间达到了33周,涉及到的恶意域名数量达到124个,本周排名位居第八,目前还没有发现有IP地址迁移的情况;
  • 在前10位列表中第47周消失的一个上海移动的IP地址221.130.179.36,本周再次出现,涉及到的恶意域名大部分是以“[XXXX].3322.org”的形式存在。尽管这个地址刚在前十位列表出现,但是实际上连续存活时间达到了147周,涉及到92个恶意域名,本周排名位居第九,目前还没有发现有IP地址迁移的情况;
  • 在前10位列表中本周新增的IP地址有四川省德阳市电信的220.167.104.226,涉及的恶意域名大部分以形式“[yyyymmddhhmmsssss].qqldp.com”存在,跟2014年9月爆发的恶意域名组有关,涉及的恶意域名数量达到49个,本周排名位居第十;
  • 保持地址:

    1) 2014年9月爆发的以“[yyyymmddhhmmsssss]. kangdelvhua.com|annengdl.com|pengjinshun.com|maxbolift.com|qqldp.com|.iyomall.com|.sltbzy.com|.mtvmin.com”等形式存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有湖北襄阳的IP地址111.177.111.83,涉及到的恶意域名数量保持在1484个,本周排名位居第一;
  • 在前十位列表中本周继续保持的有浙江省 电信的183.136.235.15,涉及到的恶意域名数量保持在183个,本周排名位居第七;
  • 2) 长期以形式“[XXX]. isgre.at”形式存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有广东省深圳市 电信(龙岗/南山区)的IP地址219.134.132.88,它涉及的恶意域名数量维持在386个,本周排名位居第二,对应关系长期保持稳定,目前还没有发现有IP地址迁移的情况;
  • 3) 长期以形式“[xxx].conna.dtdns.net”存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有河南省南阳市电信的IP地址219.150.241.46,涉及的恶意域名数量维持在203个,本周排名位居第五,对应关系长期保持稳定,目前还没有发现有IP地址迁移的情况;
  • 4) 长期以形式“[xxxx].go.8800.org”存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有广西的IP地址118.184.176.13,涉及的恶意域名数量维持在196个,本周排名位居第六,对应关系长期保持稳定,目前还没有发现有IP地址迁移的情况;

3.2.2 涉及到海外的单个IP地址对应的恶意域名数量前10位分析

我们看到在本周的前十位列表中,出现了两个地址的更替,无论是消失的还是新增的地址,对应的恶意域名主要还是跟仿冒大陆金融诈骗网站有关。以下是详细介绍:

    消失地址:

  • 在前十位列表中消失的有美国新泽西州Merck公司的54.72.130.67;
  • 在前十位列表中消失的有美国的208.91.197.132;
  • 新增地址:

  • 在前10位列表中本周新增的IP地址有美国的209.99.40.222,涉及的恶意域名数量达到70个,本周排名位居第九;
  • 在前10位列表中本周新增的IP地址有美国的209.99.40.223,涉及的恶意域名数量达到70个,本周排名位居第十;
  • 以上两个地址都跟以形式“[xxxx].dyjclj.com、www.icbc[XXX].com、[xxxx].wxx.1860asp.com”存在的恶意域名组有关;
  • 保持地址:

    1) 以形式“20140816192246204.qqldp.com”存在,属于2014年9月爆发的以“[yyyymmddhhmmsssss]. kangdelvhua.com|annengdl.com|pengjinshun.com|maxbolift.com|qqldp.com|.iyomall.com|.sltbzy.com|.mtvmin.com” 等形式存在的多个恶意域名组对应的恶意IP地址跟踪

  • 在前十位列表中有韩国的IP地址175.195.249.246,涉及的恶意域名数量达到535个,本周排名位居第一;
  • 在前十位列表中有韩国的IP地址210.183.56.13,涉及的恶意域名数量达到529个,本周排名位居第二;
  • 在前十位列表中本周继续保持的有美国的IP地址50.63.202.42,涉及的恶意域名数量保持在290个,本周排名位居第三;
  • 2) 长期以”[任意字符].usa/flu/igg.cc”形式存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有德国IP地址88.198.132.3,涉及的恶意域名数量保持在269个,本周排名位居第四;
  • 3) 长期以形式“[xxxx].dyjclj.com、www.icbc[XXX].com”存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有香港的IP地址103.232.215.133,它涉及的域名数量增加到185个,本周排名位居第五

    4) 长期以”cdn.[xxxx].[xxxx].us、cdn.[xxx].com”形式存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有美国新泽西州Merck公司的IP地址54.235.159.97,它涉及的恶意域名数量维持在125个,本周排名位居第六;
  • 5) 长期以形式“[xxx].rr.nu,[xxx].bestdeals.at”存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有美国的IP地址67.208.74.71,它涉及的恶意域名数量保持在112个,本周排名位居第七;
  • 6) 长期以形式“cebbank.com.mmt5.com,[cemn-toabao. comyaggggdofcai8.ce.ms,item.taobao”存在的多个金融诈骗恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有美国新泽西州Merck公司的54.72.9.51,它涉及到84个恶意域名,排名第八;

 

3.3 大陆和海外的恶意IP地址地理分布情况

3.3.1 大陆恶意IP地址地理分布情况

在本周大陆的恶意IP地址地理分布排名前十位列表中,北京、江苏、浙江、广东、上海位居前五,河南、湖北、湖南、山东、四川位居六至十位,跟前一周相比排名出现较大变化,最突出的是湖北、四川取代福建、河北进入前十位而上海依旧保持在前五位;以下是分布示意图:

2015-50-m

 

3.3.2 海外恶意IP地址地理分布情况

在本周海外恶意IP地址地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,加拿大、巴西、俄罗斯、法国、英国位居六到十位,跟前一周相比排名加拿大排名从第十升到第六,而巴西、俄罗斯、法国、英国的名次依次下降一位;以下是分布示意图:

2015-50-o

 

Written by 漏洞应急响应中心