其他
物联网安全威胁情报(2020年5月)
1总体概述
根据CNCERT监测数据,自2020年5月1日至31日,共监测到物联网(IoT)设备恶意样本10144个,发现样本传播服务器IP地址31095个,境内被攻击的设备地址达826万个。
2传播IP情况
本月共发现31095个恶意样本传播服务器IP,境外国家/地区的传播服务器IP主要位于美国(42.42%)、荷兰(9.46%)、澳大利亚(8.91%)等,地域分布如图1所示。
在本月发现的恶意样本传播IP地址中,有22364个为新增,8731个在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。
目前仍活跃的恶意样本传播IP地址中,按攻击设备的地址数量排序,前10为:
表2 攻击设备最多的10个恶意样本传播IP
除了使用集中的地址进行传播,还有很多物联网恶意程序使用P2P进行传播,根据我们的监测,境内物联网两大P2P僵尸网络——Hajime和Mozi本月新增传播IP 12329个(其中Hajime 6602个、Mozi 5727个)。
3被攻击IP情况
境内被攻击IoT设备地址分布,其中,浙江占比最高,为20.90%,其次是北京(13.35%)、台湾(11.83%)、广东(8.66%)等,如图3所示。
黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现8亿9022万个物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:
表3 本月被利用最多的10个已知IoT漏洞
(按攻击次数统计)
4样本情况
对监测到的10144个恶意样本进行家族统计分析,发现主要是Mirai、Gafgyt、Hajime等家族的变种,样本家族分布如图4所示。
样本传播时常用的文件名有mips、loligang、Mozi、sparc等,按样本数量统计如图5所示。