2017年8月，新疆互联网网络安全状况整体评价为良。基础网络运行总体平稳，网站类安全事件数量环比上升103.33%，公共互联网恶意程序感染用户数量环比上升56.97%。

一、基础网络安全情况

本月，新疆基础网络总体运行平稳，互联网、骨干网各项监测指标正常，未出现造成较大影响的基础网络运行故障，未发生较大级以上网络安全事件。

二、重要信息系统安全情况

（一）网页篡改情况

本月，我国境内被篡改的网站数量为6019个，占全国网站数量的0.12%。新疆被篡改的网站数量为20个（包括125个篡改页面），占全区网站数量的0.14%。新疆被篡改的网页数量月度趋势如图1所示。

                        图1 新疆被篡改网页数量月度趋势

（二）网站后门情况

本月，我国境内被植入后门的网站数量为4247个，占全国网站数量的0.08%。新疆被植入后门的网站数量为13个，占全区网站数量的0.09%。新疆被植入后门的网站数量月度趋势如图2所示。

                      图2 新疆被植入后门网站数量月度趋势

（三）网站漏洞情况

本月，XJCERT处置国家信息安全漏洞共享平台(CNVD)下发和自主发现的涉及新疆党政机关、重要信息系统漏洞事件45起。其中，包括SQL注入漏洞事件13起，弱口令漏洞事件12起，远程代码执行漏洞事件11起，信息泄露漏洞事件6起，文件上传或下载漏洞事件3起。存在漏洞的网站数量月度趋势如图3所示。

                       图3 新疆存在漏洞网站数量月度趋势

三、公共网络安全情况

XJCERT对当前流行的545种木马家族和80种僵尸程序家族的活动状况进行了抽样监测，具体情况如下：

（一）木马或僵尸程序受控主机情况

本月，新疆有7137个IP的主机被植入木马或僵尸程序，约占全国的0.42%，排名第28位，受控主机IP地址数量的月度统计如图4所示。

                图4 新疆木马或僵尸程序受控主机IP地址数量月度统计

新疆木马或僵尸程序受控主机IP地址数量按地州分布如图5所示，其中，排名前三的是乌鲁木齐、伊犁、喀什。

                图5 新疆木马或僵尸程序受控主机IP地址数量按地州分布

（二）木马或僵尸程序控制服务器情况

新疆木马或僵尸程序控制服务器IP地址数量为5个，约占全国的0.17%，排名第29位，新疆木马或僵尸程序控制服务器IP地址数量月度统计如图6所示。

                  图6 新疆木马或僵尸程序控制服务器IP地址数量月度统计

境外控制新疆主机的服务器IP地址归属地主要分布在美国、丹麦和荷兰。其中，美国的138个IP地址对应的服务器控制了疆内4806个IP地址对应的主机，丹麦和荷兰的IP地址对应的服务器分别控制了疆内290个和90个IP地址对应的主机。境外控制新疆主机的服务器IP地址按地区分布情况如图7所示。

                 图7 境外控制新疆主机的服务器IP地址按地区分布

通过对控制规模较大的控制服务器所属地域进行分析，发现其IP地址多数位于境外，且呈现组织化、系统化的特点。境外控制服务器IP地址按控制规模排名情况TOP10见表1。

                 表1 境外控制服务器IP地址按控制规模排名情况TOP10

（三）感染“飞客”蠕虫病毒情况

新疆感染“飞客”蠕虫的主机IP地址数量为2570个，约占全国的0.66%，排名第25位。新疆感染“飞客”蠕虫的主机IP地址数量按月度统计如图8所示。

                  图8 新疆感染“飞客”蠕虫的主机IP地址按月度统计

新疆感染“飞客”蠕虫的主机IP地址数量按地州分布如图9所示，其中排名前三位的是乌鲁木齐、昌吉和伊犁。在一定程度上反映出经济较为发达地区，因计算机数量多，“飞客”蠕虫病毒较为活跃。

                图9 新疆感染“飞客”蠕虫的主机IP地址数量按地州分布

四、移动互联网安全情况

（一）恶意行为分布情况

按照移动互联网恶意程序的行为分类，新疆主要有八种类型，其中流氓行为类下载数量排第一，隐私窃取类、资费消耗类位居其后。移动互联网恶意程序按类型分布如图10所示。

                     图10 新疆移动互联网恶意程序按类型分布

（二）恶意程序感染情况

新疆活跃的移动互联网恶意程序有35款，其中活跃度排名前三的移动互联网恶意程序是“GoogleUpdate”、“爱游戏”和“SRE Loc”，其传播次数分别为5.5万次、4.2万次和2.1万次。移动互联网恶意程序传播次数Top10如图11所示。

                  图11 新疆移动互联网恶意程序传播次数Top10

五、木马和僵尸网络专项打击情况

为有效降低我区发生大规模拒绝服务攻击等重大突发网络安全事件风险，根据工信部《公共互联网网络安全威胁监测与处置办法》，2017年8月，新疆互联网应急中心（XJCERT）组织区内各电信运营企业开展了4次木马和僵尸网络打击5行动，共下发并处置受控端及控制端628个。

六、国内外重点网络安全信息

（一）工信部加快车联网等领域安全防护技术攻坚

工信部将聚焦电信和互联网行业网络安全保障关键环节，开展网络安全试点示范工作，引导企业加强技术手段建设，增强防范和应对网络安全威胁的能力，特别是车联网、物联网等新业务和融合领域的网络安全防护能力。工信部网络安全管理局有关负责人表示，工信部将车联网等新领域和新业态的网络安全工作作为今年重点，提出加强面向公共云服务、物联网、车联网、工业互联网等领域典型应用场景的安全防护，研发先进技术，提供特定、可行、有效的安全保护手段。他说，工信部鼓励企业在互联网安全防护上先试先行，并将针对新业务及融合领域网络安全、网络安全创新应用、域名系统安全等领域遴选试点示范企业，加强技术研发和应用落地。

（二）国家网络安全学院项目武汉开建

国家网络安全学院及配套的超算数据中心、科技孵化园等一批项目8月23日在武汉市临空港经济技术开发区集中开工建设。项目总投资达到216亿元。这标志着由中央网信办扶持的首个“国家网络安全人才与创新基地”整体进入实质性建设阶段。国家网络安全学院项目总用地面积1500亩，总投资50亿元，规划建设网络安全学院、培训学院和研究院。项目计划2018年11月完成结构封顶，2019年6月建成投入运营，将为1万人提供教育培养和专业培训的学习研究及生活的场所，为打造网络安全人才提供重要载体。与国家网络安全学院项目配套的展示中心、国际人才社区、超算数据中心等一批项目当日也同步开工建设。

（三）加密货币勒索软件Miner可利用WMI与“永恒之蓝”肆意传播

趋势科技（Trend Micro）研究人员近期发现加密货币勒索软件 Miner，允许黑客利用Windows管理工具WMI与安全漏洞“永恒之蓝（EternalBlue）”进行肆意传播。据悉，该勒索软件首次于今年7月发现，受其影响最严重的国家包括日本（43.05%）、印度尼西亚（21.36%）、台湾（13.67%）、泰国（10.07%）等。研究人员表示，该勒索软件使用 WMI 作为无文件持久性机制，即由 WMIStandard Event Consumer 脚本应用程序（scrcons.exe）执行。此外，Miner还使用EternalBlue漏洞感染系统网络。研究显示，无文件WMI脚本与EternalBlue 的结合可以使Miner隐蔽持久的感染目标设备。Miner的感染流程分为多个阶段。首先，Miner感染目标系统后会通过EternalBlue漏洞删除并运行系统后门BKDR_FORSHARE.A）；其次，系统在安装各种 WMI 脚本后，会将其连接到C＆C服务器并获取指令；最终，目标系统将下载运行该恶意软件与其相关组件进行肆意传播。