查看原文
其他

物联网安全威胁情报(2021年1月)


1总体概述

据CNCERT监测数据,自2021年1月1日至31日,共监测到物联网(IoT)设备恶意样本5175个,发现样本传播服务器IP地址21万5084个,境内被攻击的设备地址达769万个。


2大规模僵尸网络本月发现20万644个传播Mozi僵尸网络恶意程序的服务器IP,其中属于境外国家/地区的IP地址主要位于印度(65.9%)、巴西(16.8%)、俄罗斯(4.9%)、韩国(1.9%)等,地域分布如图1所示。

图1 境外Mozi僵尸网络传播服务器IP地址国家/地区分布

境内被Mozi僵尸网络攻击的IoT设备的IP地址达711万个,主要位于浙江(20.0%)、台湾(19.2%)、北京(15.9%)、广东(7.8%)等,地域分布如图2所示。

图2 境内被Mozi僵尸网络攻击的IoT设备IP地址的地域分布

3传播IP情况

本月共发现21万5084个恶意样本传播服务器IP,在Mozi僵尸网络以外,境外国家/地区的传播服务器IP主要位于巴西(11.6%)、美国(8.9%)、俄罗斯(8.8%)、伊朗(7.3%)等,地域分布如图3所示。

图3 境外恶意程序服务器IP地址国家/地区分布

在本月发现的恶意样本传播IP地址中,有13万8517个为新增,7万6567个在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图4所示。

图4 本期传播IP在往期监测月份出现的数量

按样本分发数量排序,分发最多的10个C段为:

表1 样本分发数量最多的10个C段

序号

IP

数量

1

59.99.94.0/24

950

2

117.242.209.0/24

898

3

59.99.92.0/24

898

4

59.99.95.0/24

897

5

117.192.226.0/24

885

6

59.96.38.0/24

881

7

59.96.37.0/24

875

8

59.97.168.0/24

873

9

117.222.171.0/24

864

10

117.242.208.0/24

860

目前仍活跃的恶意程序传播服务器IP地址中,按攻击设备的地址数量排序,前10为:

表2 攻击设备最多的10个恶意程序传播服务器IP地址

序号

IP

数量

1

193.239.147.174

美国

2

37.46.150.46

摩尔多瓦

3

193.239.147.182

美国

4

37.49.230.223

荷兰

5

107.172.79.205

美国

6

104.168.11.84

美国

7

205.185.127.14

美国

8

45.145.185.229

美国

9

94.102.50.158

荷兰

10

80.211.31.159

意大利











4被攻击IP情况

境内被攻击IoT设备地址分布,其中,浙江占比最高,为20.8%,其次是台湾(17.9%)、北京(15.3%)、广东(7.7%)等,如图5所示。

图5 境内被攻击IoT设备IP地址省市分布图

黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现8亿751万个物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:

表3 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)




5样本情况

对监测到的5175个恶意样本进行家族统计分析,发现主要是Gafgyt、Mirai、Tsunami、Hajime等家族的变种。样本传播时常用的文件名有Mozi、i、bin等,按样本数量统计如图6所示。

图6 恶意样本文件名分布
按样本数量进行统计,漏洞利用方式在样本中的分布如图7所示。

图7 漏洞利用方式在恶意样本中的分布
按攻击IoT设备的IP地址数量排序,排名前10的样本为:
表4 攻击设备最多的10个样本信息


6最新在野漏洞利用情况

2021年1月,值得关注的物联网相关的在野漏洞利用如下:

Zend Framework 3.0.0. UnsecuredDeserialization RCE(CVE-2021-3007)

漏洞信息:

ZEND Zend Framework(ZF)是美国Zend(ZEND)公司的一套开源的PHP开发框架,它主要用于开发Web程序和服务。Zend Framework 3.0.0版本存在安全漏洞,该漏洞源于有一个反序列化漏洞,攻击者可利用该漏洞远程代码执行。

该漏洞于2021年1月3日左右公开,CNCERT物联网威胁数据平台于1月7日捕捉到利用该漏洞传播的新型僵尸网络家族FreakOut,具体信息请见我们稍后发布的专题报告。

在野利用POC:

参考资料:

https://www.4hou.com/posts/7YpA

https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/

TerraMaster TOS Unauthenticated RCE(CVE-2020-28188,CVE-2020-35665)

漏洞信息:

Terramaster TOS是图美电子技术(Terramaster)公司的一款基于Linux平台的,专用于erraMaster云存储NAS服务器的操作系统。

TerraMaster TOS4.2.06及之前版本存在远程命令执行漏洞。未经身份认证的远程攻击者可通过Event参数中的/include/makecvs.php注入任意OS命令。

在野利用POC:

参考资料:

https://www.4hou.com/posts/7YpA

https://blog.netlab.360.com/not-really-new-pyhton-ddos-bot-n3cr0m0rph-necromorph/

https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/


7往期回顾

物联网安全威胁情报(2020年1月)

物联网安全威胁情报(2020年3月)

物联网安全威胁情报(2020年4月)

物联网安全威胁情报(2020年5月)

物联网安全威胁情报(2020年6月)

物联网安全威胁情报(2020年7月)

物联网安全威胁情报(2020年8月)

物联网安全威胁情报(2020年9月)

物联网安全威胁情报(2020年10月)

物联网安全威胁情报(2020年11月)

物联网安全威胁情报(2020年12月)



转载请注明来自:关键基础设施安全应急响应中心

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存