物联网安全威胁情报（2021年1月）

图1 境外Mozi僵尸网络传播服务器IP地址国家/地区分布

境内被Mozi僵尸网络攻击的IoT设备的IP地址达711万个，主要位于浙江（20.0%）、台湾（19.2%）、北京（15.9%）、广东（7.8%）等，地域分布如图2所示。

本月共发现21万5084个恶意样本传播服务器IP，在Mozi僵尸网络以外，境外国家/地区的传播服务器IP主要位于巴西（11.6%）、美国（8.9%）、俄罗斯（8.8%）、伊朗（7.3%）等，地域分布如图3所示。

在本月发现的恶意样本传播IP地址中，有13万8517个为新增，7万6567个在往期监测月份中也有发现。往前追溯半年，按监测月份排列，历史及新增IP分布如图4所示。

图4 本期传播IP在往期监测月份出现的数量

按样本分发数量排序，分发最多的10个C段为：

表1 样本分发数量最多的10个C段

目前仍活跃的恶意程序传播服务器IP地址中，按攻击设备的地址数量排序，前10为：

黑客采用密码爆破和漏洞利用的方式进行攻击，根据监测情况，共发现8亿751万个物联网相关的漏洞利用行为，被利用最多的10个已知IoT漏洞分别是：

表3 本月被利用最多的10个已知IoT漏洞（按攻击次数统计）

对监测到的5175个恶意样本进行家族统计分析，发现主要是Gafgyt、Mirai、Tsunami、Hajime等家族的变种。样本传播时常用的文件名有Mozi、i、bin等，按样本数量统计如图6所示。

2021年1月，值得关注的物联网相关的在野漏洞利用如下：

Zend Framework 3.0.0. UnsecuredDeserialization RCE（CVE-2021-3007）

漏洞信息：

ZEND Zend Framework（ZF）是美国Zend（ZEND）公司的一套开源的PHP开发框架，它主要用于开发Web程序和服务。Zend Framework 3.0.0版本存在安全漏洞，该漏洞源于有一个反序列化漏洞，攻击者可利用该漏洞远程代码执行。

该漏洞于2021年1月3日左右公开，CNCERT物联网威胁数据平台于1月7日捕捉到利用该漏洞传播的新型僵尸网络家族FreakOut，具体信息请见我们稍后发布的专题报告。

在野利用POC：

https://www.4hou.com/posts/7YpA

https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/

TerraMaster TOS Unauthenticated RCE（CVE-2020-28188,CVE-2020-35665）

漏洞信息：

Terramaster TOS是图美电子技术（Terramaster）公司的一款基于Linux平台的，专用于erraMaster云存储NAS服务器的操作系统。

TerraMaster TOS4.2.06及之前版本存在远程命令执行漏洞。未经身份认证的远程攻击者可通过Event参数中的/include/makecvs.php注入任意OS命令。

https://www.4hou.com/posts/7YpA

https://blog.netlab.360.com/not-really-new-pyhton-ddos-bot-n3cr0m0rph-necromorph/

https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/

物联网安全威胁情报（2020年1月）

物联网安全威胁情报（2020年3月）

物联网安全威胁情报（2020年4月）

物联网安全威胁情报（2020年5月）

物联网安全威胁情报（2020年6月）

物联网安全威胁情报（2020年7月）

物联网安全威胁情报（2020年8月）

物联网安全威胁情报（2020年9月）

物联网安全威胁情报（2020年10月）

物联网安全威胁情报（2020年11月）

物联网安全威胁情报（2020年12月）