查看原文
其他

物联网安全威胁情报(2020年8月)


1总体概述

根据CNCERT监测数据,自2020年8月1日至31日,共监测到物联网(IoT)设备恶意样本12444个,发现样本传播服务器IP地址36770个,境内被攻击的设备地址达501万个。


2传播IP情况
本月共发现36770个恶意样本传播服务器IP,境外国家/地区的传播服务器IP主要位于俄罗斯(17.8%)、巴西(11.7%)、泰国(10.5%)、伊朗(6.1%)等,地域分布如图1所示。

图1 恶意程序服务器IP地址国家(地区)分布图

在本月发现的恶意样本传播IP地址中,有25107个为新增,11663个在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。

图2 本期传播IP在往期监测月份出现的数量
按样本分发数量排序,分发最多的10个C段为:
表1 样本分发数量最多的10个C段

目前仍活跃的恶意程序传播服务器IP地址中,按攻击设备的地址数量排序,前10为:

表2 攻击设备最多的10个恶意程序传播服务器IP地址

除了使用集中的地址进行传播,还有很多物联网恶意程序使用P2P方式进行传播,根据监测情况,境内物联网两大P2P僵尸网络——Hajime和Mozi本月新增传播IP共24380个(其中Hajime有13142个,Mozi有11238个)。


3被攻击IP情况

境内被攻击IoT设备地址分布,其中,浙江占比最高,为18.4%,其次是台湾(15.4%)、北京(13.7%)、香港(9.6%)等,如图3所示。

图3 境内被攻击IoT设备IP地址省市分布图

黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现2亿1589万个物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:

表3 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)




4样本情况

对监测到的12444个恶意样本进行家族统计分析,发现主要是Gafgyt、Mirai、Tsunami、Hajime等家族的变种,样本家族分布如图4所示。

图4 恶意样本家族分布

样本传播时常用的文件名有mips、loligang、sparc等,按样本数量统计如图5所示。

图5 恶意样本文件名分布
按样本数量进行统计,漏洞利用方式在样本中的分布如图6所示。
图6 漏洞利用方式在恶意样本中的分布
按攻击IoT设备的IP地址数量排序,排名前10的样本为:

表4 攻击设备最多的10个样本信息


5最新在野漏洞利用情况

2020年8月,值得关注的物联网相关的在野漏洞利用如下:

CVE-2020-10987

漏洞信息:

腾达(Tenda) AC 系列是由腾达发布的针对家庭用户的无线路由器,市场占用率比较高,为综合类别较全的家庭无线路由器。Tenda AC15 AC1900 15.03.05.19版本中goform/setUsbUnload端点存在安全漏洞。远程攻击者可借助‘deviceName’ POST参数利用该漏洞执行任意系统命令。

捕获的在野利用POC:

参考资料:

http://www.webray.com.cn/skippath/abce1e/abce1e_1265.html

https://blog.securityevaluators.com/tenda-ac1900-vulnerabilities-discovered-and-exploited-e8e26aa0bc68

https://nvd.nist.gov/vuln/detail/CVE-2020-10987

CVE-2020-10173

漏洞信息:

Comtrend VR-3033是康全电讯(Comtrend)公司的一款无线路由器。使用DE11-416SSG-C01_R02.A2pvI042j1.d26m版本固件的ComtrendVR-3033中存在操作系统命令注入漏洞。该漏洞源于外部输入数据构造操作系统可执行命令过程中,网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。

捕获的在野利用POC:

参考资料:

https://www.exploit-db.com/exploits/48142

https://nvd.nist.gov/vuln/detail/CVE-2020-10173

https://research-labs.net/search/exploits/comtrend-vr-3033-command-injection


6往期回顾

物联网安全威胁情报(2020年1月)

物联网安全威胁情报(2020年3月)

物联网安全威胁情报(2020年4月)

物联网安全威胁情报(2020年5月)

物联网安全威胁情报(2020年6月)

物联网安全威胁情报(2020年7月)



转载请注明来自:关键基础设施安全应急响应中心

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存