根据CNCERT监测数据,自2020年10月1日至31日,共监测到物联网(IoT)设备恶意样本8298个,发现样本传播服务器IP地址29.4万个,境内被攻击的设备地址达763万个。本月共发现29.4万恶意样本传播服务器IP,其中有27.6万个IP在传播Mozi恶意程序。在Mozi僵尸网络以外,境外国家/地区的传播服务器IP主要位于美国(11.8%)、巴西(11.5%)、俄罗斯(7.9%)、韩国(6.3%)等,地域分布如图1所示。图1 恶意程序服务器IP地址国家(地区)分布图
在本月发现的恶意样本传播IP地址中,有19.7万个为新增,9.5万个在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。
目前仍活跃的恶意程序传播服务器IP地址中,按攻击设备的地址数量排序,前10为:
表2 攻击设备最多的10个恶意程序传播服务器IP地址
除了使用集中的地址进行传播,还有很多物联网恶意程序使用P2P方式进行传播,根据监测情况,境内物联网两大P2P僵尸网络——Hajime和Mozi本月新增传播IP共19万8717个(其中Hajime有2万5062个,Mozi有19万3555个)。境内被攻击IoT设备地址分布,其中,浙江占比最高,为21.3%,其次是北京(15.2%)、台湾(12.8%)、广东(8.5%)等,如图3所示。
黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现2.44亿次物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:表3 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)
对监测到的8298个恶意样本进行家族统计分析,发现主要是Gafgyt、Mirai、Tsunami、Hajime等家族的变种,样本家族分布如图4所示。样本传播时常用的文件名有Mozi、loligang、mips等,按样本数量统计如图5所示。
按样本数量进行统计,漏洞利用方式在样本中的分布如图6所示。按攻击IoT设备的IP地址数量排序,排名前10的样本为:表4 攻击设备最多的10个样本信息
2020年10月,值得关注的物联网相关的在野漏洞利用如下:
LinuxKI 安全漏洞(CVE-2020-7209)
漏洞信息:
LinuxKI v6.0-1及之前版本中存在安全漏洞。攻击者可利用该漏洞执行代码。我们在近期的某个Mirai家族变种中发现了相关漏洞利用代码。
参考资料:
https://unit42.paloaltonetworks.com/iot-vulnerabilities-mirai-payloads/
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202002-743
DrayTek Vigor2960、Vigor3900和Vigor300B 注入漏洞(CVE-2020-8515)
漏洞信息:
DrayTek Vigor2960、Vigor3900和Vigor300B中存在安全漏洞。攻击者可通过向cgi-bin/mainfunction.cgiURI发送shell元字符利用该漏洞不经过身份验证以root权限执行代码。以下产品及版本受到影响:DrayTek Vigor2960 1.3.1_Beta版本;Vigor39001.4.4_Beta版本;Vigor300B 1.3.3_Beta版本,1.4.2.1_Beta版本,1.4.4_Beta版本。CVE-2020-8515也是Mozi新变种增加的3个新漏洞利用之一。
在野利用POC:
https://zhuanlan.zhihu.com/p/128108458https://blog.netlab.360.com/two-zero-days-are-targeting-draytek-broadband-cpe-devices/http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202002-001