物联网安全威胁情报（2020年5月）

根据CNCERT监测数据，自2020年5月1日至31日，共监测到物联网（IoT）设备恶意样本10144个，发现样本传播服务器IP地址31095个，境内被攻击的设备地址达826万个。

本月共发现31095个恶意样本传播服务器IP，境外国家/地区的传播服务器IP主要位于美国（42.42%）、荷兰（9.46%）、澳大利亚（8.91%）等，地域分布如图1所示。

在本月发现的恶意样本传播IP地址中，有22364个为新增，8731个在往期监测月份中也有发现。往前追溯半年，按监测月份排列，历史及新增IP分布如图2所示。

目前仍活跃的恶意样本传播IP地址中，按攻击设备的地址数量排序，前10为：

表2 攻击设备最多的10个恶意样本传播IP

除了使用集中的地址进行传播，还有很多物联网恶意程序使用P2P进行传播，根据我们的监测，境内物联网两大P2P僵尸网络——Hajime和Mozi本月新增传播IP 12329个（其中Hajime 6602个、Mozi 5727个）。

境内被攻击IoT设备地址分布，其中，浙江占比最高，为20.90%，其次是北京（13.35%）、台湾（11.83%）、广东（8.66%）等，如图3所示。

黑客采用密码爆破和漏洞利用的方式进行攻击，根据监测情况，共发现8亿9022万个物联网相关的漏洞利用行为，被利用最多的10个已知IoT漏洞分别是：

表3 本月被利用最多的10个已知IoT漏洞

(按攻击次数统计)

对监测到的10144个恶意样本进行家族统计分析，发现主要是Mirai、Gafgyt、Hajime等家族的变种，样本家族分布如图4所示。

样本传播时常用的文件名有mips、loligang、Mozi、sparc等，按样本数量统计如图5所示。