物联网安全威胁情报(2020年12月)
1总体概述
根据CNCERT监测数据,自2020年12月1日至31日,共监测到物联网(IoT)设备恶意样本5620个,发现样本传播服务器IP地址23万4179个,境内被攻击的设备地址达761万个。
2大规模僵尸网络
本月发现22万3179个传播Mozi僵尸网络恶意程序的服务器IP,其中属于境外国家/地区的IP地址主要位于印度(67.9%)、巴西(12.9%)等,地域分布如图1所示。
图1 境外Mozi僵尸网络传播服务器IP地址国家/地区分布
境内被Mozi僵尸网络攻击的IoT设备的IP地址达714万个,主要位于台湾(20.4%)、浙江(19.7%)、北京(15.5%)等,地域分布如图2所示。
3传播IP情况
本月共发现23万4179个恶意样本传播服务器IP,在Mozi僵尸网络以外,境外国家/地区的传播服务器IP的地域分布较为均衡,如图3所示。
图4 本期传播IP在往期监测月份出现的数量
按样本分发数量排序,分发最多的10个C段为:
表1 样本分发数量最多的10个C段
序号 | IP | 数量 |
1 | 59.97.169.0/24 | 817 |
2 | 59.99.93.0/24 | 793 |
3 | 59.97.168.0/24 | 792 |
4 | 117.242.211.0/24 | 788 |
5 | 117.202.79.0/24 | 784 |
6 | 117.192.224.0/24 | 784 |
7 | 59.97.171.0/24 | 779 |
8 | 59.95.173.0/24 | 777 |
9 | 117.211.41.0/24 | 773 |
10 | 59.99.92.0/24 | 773 |
序号 | IP | 数量 |
1 | 2.57.122.214 | 罗马尼亚 |
2 | 37.49.230.52 | 荷兰 |
3 | 107.174.192.221 | 美国 |
4 | 193.239.147.182 | 美国 |
5 | 193.109.217.15 | 俄罗斯 |
6 | 80.211.31.159 | 意大利 |
7 | 205.185.116.78 | 美国 |
8 | 2.57.122.223 | 罗马尼亚 |
9 | 51.81.91.243 | 美国 |
10 | 46.249.33.36 | 荷兰 |
除了使用集中的地址进行传播,还有很多物联网恶意程序使用P2P方式进行传播,根据监测情况,境内物联网两大P2P僵尸网络——Hajime和Mozi本月新增传播IP共19万9573个(其中Hajime有4万8190个,Mozi有15万1383个)。
4被攻击IP情况
境内被攻击IoT设备地址分布,其中,浙江占比最高,为19.6%,其次是台湾(19.2%)、北京(14.9%)、广东(7.9%)等,如图5所示。
表3 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)
漏洞利用 | 攻击次数 | 百分比 |
Netgear_DGN1000 | 71034602 | 31.4% |
D_Link_Devices_HNAP_SoapAction_Header_VideoGallery_Command_Injection | 65159024 | 28.8% |
JAWS_Webserver_unauthenticated_Shell_Command_Injection | 53123129 | 23.5% |
Vacron_NVR_Remote_Command_Execution | 12571311 | 5.6% |
CVE_2018_10561_GPON_Router | 9325769 | 4.1% |
DLink_OS_Command_Injection | 6737128 | 3.0% |
Zyxel_EirD1000_Router | 2885463 | 1.3% |
CVE_2014_8361_Realtek_SDK_UPnP | 2569693 | 1.1% |
ThinkPHP_5X_Remote_Command_Injection | 1075414 | 0.5% |
CVE_2017_17215_Huawei_Router | 779509 | 0.3% |
5样本情况
对监测到的5620个恶意样本进行家族统计分析,发现主要是Gafgyt、Mirai、Tsunami、Hajime等家族的变种。样本传播时常用的文件名有Mozi、i、mips等,按样本数量统计如图6所示。
序号 | 样本哈希 | 家族 |
1 | b5cf68c7cb5bb2d21d60bf6654926f61566d95bfd7c9f9e182d032f1da5b4605 | Mozi |
2 | 12013662c71da69de977c04cd7021f13a70cf7bed4ca6c82acbc100464d4b0ef | Mozi |
3 | 2e4506802aedea2e6d53910dfb296323be6620ac08c4b799a879eace5923a7b6 | Mozi |
4 | f6c97b1e2ed02578ca1066c8235ba4f991e645f89012406c639dbccc6582eec8 | Mirai |
5 | c672798dca67f796972b42ad0c89e25d589d2e70eb41892d26adbb6a79f63887 | Mozi |
6 | d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8 | Mozi |
7 | 9e0a15a4318e3e788bad61398b8a40d4916d63ab27b47f3bdbe329c462193600 | Mozi |
8 | 4293c1d8574dc87c58360d6bac3daa182f64f7785c9d41da5e0741d2b1817fc7 | Mirai |
9 | e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0 | Mozi |
10 | 2916f8d5b9b94093d72a6b9cdf0a4c8f5f38d70d5cea4444869ab33cd7e1f243 | Mirai |
6最新在野漏洞利用情况
2020年12月,值得关注的物联网相关的在野漏洞利用如下:
D Link DIR 865L Ax120B01 Command Injection(CVE-2020-13782)
漏洞信息:
D-Link DIR-865L Ax 1.20B01 Beta 设备可以被注入并执行任意命令。
在野利用POC:
Zyxel NAS RCE Attempt Inbound(CVE-2020-9054)
7往期回顾