根据CNCERT监测数据,自2020年9月1日至30日,共监测到物联网(IoT)设备恶意样本8688个,发现样本传播服务器IP地址348407个,境内被攻击的设备地址达803万个。本月共发现348407个恶意样本传播服务器IP,约为上个月(2020年8月)发现数量的10倍,这是因为Mozi僵尸网络在9月10日爆发。我们监测到,自2020年9月10日16时开始,Mozi恶意程序传播服务器IP地址数量呈跳跃式增长,如图1所示,自2020年8月20日至9月9日,Mozi恶意程序传播服务器IP地址数量一直维持在2千个左右,9月10日该数量上升至3万个,9月11日至20日维持在13万个左右,9月21日起开始下降,9月27日至30日稳定在5万个左右。除Mozi僵尸网络外,境外国家/地区的传播服务器IP主要位于巴西(11.7%)、美国(11.2%)、俄罗斯(8.1%)、韩国(7%)等,地域分布如图2所示。图2 恶意程序服务器IP地址国家(地区)分布图
在本月发现的恶意样本传播IP地址中,有338712个为新增,9695个在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图3所示。目前仍活跃的恶意程序传播服务器IP地址中,按攻击设备的地址数量排序,前10为:
表2 攻击设备最多的10个恶意程序传播服务器IP地址
除了使用集中的地址进行传播,还有很多物联网恶意程序使用P2P方式进行传播,根据监测情况,境内物联网两大P2P僵尸网络——Hajime和Mozi本月新增传播IP共310095个(其中Hajime有18337个,Mozi有291758个)。境内被攻击IoT设备地址分布,其中,浙江占比最高,为22.3%,其次是北京(15.0%)、台湾(9.8%)、广东(9.2%)等,如图4所示。黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现2亿4403万个物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:表3 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)对监测到的8688个恶意样本进行家族统计分析,发现主要是Gafgyt、Mirai、Tsunami、Hajime、Mozi等家族的变种,样本家族分布如图5所示。
样本传播时常用的文件名有Mozi、mips、loligang等,按样本数量统计如图6所示。
按样本数量进行统计,漏洞利用方式在样本中的分布如图7所示。按攻击IoT设备的IP地址数量排序,排名前10的样本为:表4 攻击设备最多的10个样本信息
2020年9月,值得关注的物联网相关的在野漏洞利用如下:
CVE-2020-12109
漏洞信息:
这是TP-Link设备的命令注入漏洞,影响NC2002.1.9 build 200225、NC210 1.0.9 build 200304、NC220 1.3.0 build 200304、NC230 1.3.0 build200304、NC2501.3.0 build 200304、NC260 1.5.2 build 200304、NC450 1.5.3 build 200304等固件版本。自从该漏洞被发现后,仅有人发布它的PoC信息及漏洞原理的简要分析,并未完全指出漏洞利用思路,直到9月18日,该漏洞的利用链被披露于Metasploit平台。接下来,我们很快就发现了新型物联网恶意程序Fetch利用该漏洞传播,并于9月28日发布了《关于物联网恶意程序Fetch最新攻击的报告》。
在野利用POC:
参考资料:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12109https://nvd.nist.gov/vuln/detail/CVE-2020-12109https://seclists.org/fulldisclosure/2020/May/2LILIN DVR 在野 0-day
漏洞信息:
近期,国内安全公司(360Netlab)发表文章,表示从2019年8月30日开始就监测到多个攻击团伙使用LILINDVR的0day漏洞构建多个僵尸网络。漏洞主要涉及硬编码登陆帐号密码,/z/zbin/dvr_box命令注入漏洞和/z/zbin/net_html.cgi任意文件读取漏洞。在野利用POC:
参考资料:
https://blog.netlab.360.com/multiple-botnets-are-spreading-using-lilin-dvr-0-day/
https://www.meritlilin.com/tw/about
https://nosec.org/home/detail/4372.html