查看原文
其他

物联网安全威胁情报(2020年12月)


1总体概述

根据CNCERT监测数据,自2020年12月1日至31日,共监测到物联网(IoT)设备恶意样本5620个,发现样本传播服务器IP地址23万4179个,境内被攻击的设备地址达761万个。


2大规模僵尸网络

本月发现22万3179个传播Mozi僵尸网络恶意程序的服务器IP,其中属于境外国家/地区的IP地址主要位于印度(67.9%)、巴西(12.9%)等,地域分布如图1所示。

图1 境外Mozi僵尸网络传播服务器IP地址国家/地区分布

境内被Mozi僵尸网络攻击的IoT设备的IP地址达714万个,主要位于台湾(20.4%)、浙江(19.7%)、北京(15.5%)等,地域分布如图2所示。

图2 境内被Mozi僵尸网络攻击的IoT设备IP地址的地域分布

3传播IP情况

本月共发现23万4179个恶意样本传播服务器IP,在Mozi僵尸网络以外,境外国家/地区的传播服务器IP的地域分布较为均衡,如图3所示。

图3 境外恶意程序服务器IP地址国家/地区分布
在本月发现的恶意样本传播IP地址中,有15万8678个为新增,7万5501个在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图4所示。

图4 本期传播IP在往期监测月份出现的数量

按样本分发数量排序,分发最多的10个C段为:

表1 样本分发数量最多的10个C段

序号

IP

数量

1

59.97.169.0/24

817

2

59.99.93.0/24

793

3

59.97.168.0/24

792

4

117.242.211.0/24

788

5

117.202.79.0/24

784

6

117.192.224.0/24

784

7

59.97.171.0/24

779

8

59.95.173.0/24

777

9

117.211.41.0/24

773

10

59.99.92.0/24

773

目前仍活跃的恶意程序传播服务器IP地址中,按攻击设备的地址数量排序,前10为:
表2 攻击设备最多的10个恶意程序传播服务器IP地址

序号

IP

数量

1

2.57.122.214

罗马尼亚

2

37.49.230.52

荷兰

3

107.174.192.221

美国

4

193.239.147.182

美国

5

193.109.217.15

俄罗斯

6

80.211.31.159

意大利

7

205.185.116.78

美国

8

2.57.122.223

罗马尼亚

9

51.81.91.243

美国

10

46.249.33.36

荷兰

除了使用集中的地址进行传播,还有很多物联网恶意程序使用P2P方式进行传播,根据监测情况,境内物联网两大P2P僵尸网络——Hajime和Mozi本月新增传播IP共19万9573个(其中Hajime有4万8190个,Mozi有15万1383个)。





4被攻击IP情况

境内被攻击IoT设备地址分布,其中,浙江占比最高,为19.6%,其次是台湾(19.2%)、北京(14.9%)、广东(7.9%)等,如图5所示。

图5 境内被攻击IoT设备IP地址省市分布图
黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现7亿2023万个物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:

表3 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)

漏洞利用

攻击次数

百分比

Netgear_DGN1000

71034602

31.4%

D_Link_Devices_HNAP_SoapAction_Header_VideoGallery_Command_Injection

65159024

28.8%

JAWS_Webserver_unauthenticated_Shell_Command_Injection

53123129

23.5%

Vacron_NVR_Remote_Command_Execution

12571311

5.6%

CVE_2018_10561_GPON_Router

9325769

4.1%

DLink_OS_Command_Injection

6737128

3.0%

Zyxel_EirD1000_Router

2885463

1.3%

CVE_2014_8361_Realtek_SDK_UPnP

2569693

1.1%

ThinkPHP_5X_Remote_Command_Injection

1075414

0.5%

CVE_2017_17215_Huawei_Router

779509

0.3%


5样本情况

对监测到的5620个恶意样本进行家族统计分析,发现主要是Gafgyt、Mirai、Tsunami、Hajime等家族的变种。样本传播时常用的文件名有Mozi、i、mips等,按样本数量统计如图6所示。

图6 恶意样本文件名分布
按样本数量进行统计,漏洞利用方式在样本中的分布如图7所示。

图7 漏洞利用方式在恶意样本中的分布
按攻击IoT设备的IP地址数量排序,排名前10的样本为:
表4 攻击设备最多的10个样本信息

序号

样本哈希

家族

1

b5cf68c7cb5bb2d21d60bf6654926f61566d95bfd7c9f9e182d032f1da5b4605

Mozi

2

12013662c71da69de977c04cd7021f13a70cf7bed4ca6c82acbc100464d4b0ef

Mozi

3

2e4506802aedea2e6d53910dfb296323be6620ac08c4b799a879eace5923a7b6

Mozi

4

f6c97b1e2ed02578ca1066c8235ba4f991e645f89012406c639dbccc6582eec8

Mirai

5

c672798dca67f796972b42ad0c89e25d589d2e70eb41892d26adbb6a79f63887

Mozi

6

d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8

Mozi

7

9e0a15a4318e3e788bad61398b8a40d4916d63ab27b47f3bdbe329c462193600

Mozi

8

4293c1d8574dc87c58360d6bac3daa182f64f7785c9d41da5e0741d2b1817fc7

Mirai

9

e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0

Mozi

10

2916f8d5b9b94093d72a6b9cdf0a4c8f5f38d70d5cea4444869ab33cd7e1f243

Mirai


6最新在野漏洞利用情况

2020年12月,值得关注的物联网相关的在野漏洞利用如下:

D Link DIR 865L Ax120B01 Command Injection(CVE-2020-13782)

漏洞信息:

D-Link DIR-865L Ax 1.20B01 Beta 设备可以被注入并执行任意命令。

在野利用POC:

参考资料:
https://www.4hou.com/posts/AA8j
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13782

Zyxel NAS RCE Attempt Inbound(CVE-2020-9054)

漏洞信息:
多款ZyXEL网络存储(NAS)产品中存在操作系统命令注入漏洞。远程攻击者可借助特制的HTTP POST或GET请求利用该漏洞执行任意代码。以下产品及版本受到影响:使用V5.21(AAZF.7)C0之前版本固件的NAS326;使用V5.21(AASZ.3)C0之前版本固件的NAS520;使用V5.21(AATB.4)C0之前版本固件的NAS540;使用V5.21(ABAG.4)C0之前版本固件的NAS542;ZyXEL NSA210;ZyXEL NSA220;ZyXEL NSA220+;ZyXEL NSA221;ZyXEL NSA310;ZyXEL NSA310S;ZyXEL NSA320;ZyXEL NSA320S;ZyXEL NSA325;ZyXEL NSA325v2。
在野利用POC:

参考资料:
https://doc.emergingthreats.net/bin/view/Main/2029617
https://unit42.paloaltonetworks.com/new-mirai-variant-mukashi/

7往期回顾

物联网安全威胁情报(2020年1月)

物联网安全威胁情报(2020年3月)

物联网安全威胁情报(2020年4月)

物联网安全威胁情报(2020年5月)

物联网安全威胁情报(2020年6月)

物联网安全威胁情报(2020年7月)

物联网安全威胁情报(2020年8月)

物联网安全威胁情报(2020年9月)

物联网安全威胁情报(2020年10月)

物联网安全威胁情报(2020年11月)



转载请注明来自:关键基础设施安全应急响应中心

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存