查看原文
其他

物联网安全威胁情报(2020年3月)


1总体概述
根据CNCERT监测数据,自2020年3月1日至31日,共监测到物联网(IoT)设备恶意样本17042个,发现样本传播服务器IP地址42889个,境内被攻击的设备地址达635万个。

2传播IP情况
本月共发现42889个恶意样本传播服务器IP,境外/地区的传播服务器IP主要位于美国(37.11%)、澳大利亚(6.92%)、韩国(5.25%)等,地域分布如图1所示。

图1 恶意程序服务器IP地址国家(地区)分布图

在本月发现的恶意样本传播IP地址中,有34167个为新增,8722个在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。

图2 本期传播IP在往期监测月份出现的数量
按样本分发数量排序,分发最多的10个C段为:
表1 样本分发数量最多的10个C段

目前仍活跃的恶意样本传播IP地址中,按攻击设备地址数量排序,前10为:

表2 攻击设备最多的10个恶意样本传播IP

除了使用集中的地址进行传播,还有很多物联网恶意程序使用P2P进行传播,根据我们的监测,境内物联网两大P2P僵尸网络——Hajime和Mozi本月新增传播IP 30732个(其中Hajime 12459个、Mozi 18273个)

3被攻击IP情况
境内被攻击IoT设备地址分布中,浙江占比最高,为20.89%,其次是台湾(15.20%)、北京(13.40%)、广东(8.89%)等,如图3所示。

3 境内被攻击IoT设备IP地址省市分布图
黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现7亿11003914个物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:

表3 本月被利用最多的10个已知IoT漏洞

(按攻击次数统计)


4样本情况
对监测到的17042个恶意样本进行家族统计分析,发现主要是Mirai、Gafgyt、SiggenHajimeTsunami等家族的变种,样本家族分布如图4所示。

图4 恶意样本家族分布

样本传播时常用的文件名有UnHanaAW、loligang、hoho、Hilix等,按样本数量统计如图5所示。

图5 恶意样本文件名分布
按样本数量进行统按样本数量进行统计,漏洞利用方式在样本中的分布如图6所示。

图6 漏洞利用方式在恶意样本中的分布
攻击IoT设备IP地址数量排序,排名前10的样本为:
表4 攻击设备最多的10个样本信息



转载请注明来自:关键基础设施安全应急响应中心(微信号CII-SRC)

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存