物联网安全威胁情报(2021年3月)
1总体概述
根据CNCERT监测数据,自2021年3月1日至31日,共监测到物联网(IoT)设备攻击行为6亿1682万次,捕获IoT恶意样本2738个,发现IoT恶意程序传播IP地址21万1085个、威胁资产(IP地址)155万余个,境内被攻击的设备地址达771万个。
2恶意程序传播情况
本月发现21万1085个IoT恶意程序传播地址,位于境外的IP地址主要位于印度(57.06%)、科索沃(21.67%)、巴西(8.33%)、俄罗斯(3.07%)等国家/地区,地域分布如图1所示。
图1 境外恶意程序传播服务器IP地址国家/地区分布
在本月发现的恶意样本传播IP地址中,有11万8496个为新增,其余在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。
3攻击源分析
黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现6亿1682万个物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:
表1 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)
漏洞利用 | 攻击次数 | 百分比 |
Netgear_DGN1000 | 66785701 | 30.6% |
CVE_2015_2051_DLink_HNAP | 60916121 | 27.9% |
JAWS_DVR | 55009123 | 25.2% |
Vacron_NVR | 11811739 | 5.4% |
CVE_2018_10561_GPON_Router | 7142621 | 3.3% |
DLink_OS_Command_Injection | 6629200 | 3.0% |
Zyxel_EirD1000_Router | 3088832 | 1.4% |
CVE_2014_8361_Realtek_SDK_UPnP | 2611554 | 1.2% |
NetLink_Router | 1615049 | 0.7% |
CVE_2014_6271_GNU_bash | 495231 | 0.2% |
发起攻击的IP地址 | 攻击次数 |
134.209.101.7 | 6716650 |
209.141.40.190 | 6409522 |
194.5.249.238 | 4167755 |
107.189.8.176 | 1258214 |
203.159.80.241 | 1045361 |
31.210.20.83 | 797345 |
31.210.20.175 | 787410 |
111.202.167.52 | 731756 |
35.202.146.172 | 527885 |
107.189.1.220 | 526596 |
本月共发现155万6753个IoT设备威胁资产(IP地址),其中,绝大多数资产向网络中的其他设备发起攻击,一部分资产提供恶意程序下载服务。境外威胁资产主要位于美国(43.87%)、印度(7.11%)、加拿大(3.97%)、英国(3.46%)等国家或地区,地域分布如图3所示。
图3 境外威胁资产的国家/地区分布(前30个)
境内威胁资产主要位于河南(29.07%)、广东(14.4%)、香港(13.05%)、台湾(8.32%)等行政区,地域分布如图4所示。
4被攻击情况
境内被攻击的IoT设备的IP地址有771万4848个,主要位于浙江(20%)、台湾(16.45%)、北京(16%)、广东(7.92%)等,地域分布如图5所示。
图5 境内被攻击的IoT设备IP地址的地域分布5
图6 恶意程序文件名分布(前30种)
按样本数量统计,漏洞利用方式在恶意程序中的分布如图7所示。
序号 | IP | 数量 |
1 | 117.242.211.0/24 | 448 |
2 | 117.222.172.0/24 | 448 |
3 | 117.222.161.0/24 | 443 |
4 | 59.96.36.0/24 | 441 |
5 | 117.202.69.0/24 | 440 |
6 | 59.94.180.0/24 | 440 |
7 | 117.192.225.0/24 | 439 |
8 | 117.242.210.0/24 | 438 |
9 | 117.202.66.0/24 | 438 |
10 | 117.202.65.0/24 | 436 |
按攻击IoT设备的IP地址数量排序,排名前10的样本为:
表4 攻击设备最多的10个样本
序号 | 样本哈希 | 家族 |
1 | 12013662c71da69de977c04cd7021f13a70cf7bed4ca6c82acbc100464d4b0ef | Mozi |
2 | 2e4506802aedea2e6d53910dfb296323be6620ac08c4b799a879eace5923a7b6 | Mozi |
3 | 4293c1d8574dc87c58360d6bac3daa182f64f7785c9d41da5e0741d2b1817fc7 | Mirai |
4 | d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8 | Mozi |
5 | b5cf68c7cb5bb2d21d60bf6654926f61566d95bfd7c9f9e182d032f1da5b4605 | Mozi |
6 | f6c97b1e2ed02578ca1066c8235ba4f991e645f89012406c639dbccc6582eec8 | Mirai |
7 | 9e0a15a4318e3e788bad61398b8a40d4916d63ab27b47f3bdbe329c462193600 | Mozi |
8 | e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0 | Mozi |
9 | 2916f8d5b9b94093d72a6b9cdf0a4c8f5f38d70d5cea4444869ab33cd7e1f243 | Mirai |
10 | b7ba5aa2f8f7781d408e87b2131fa2cc9b95cdf3460f9778229398c9e851772a | Mirai |
6最新在野漏洞利用情况
DLink DIR 825 R1 Pre Authentication RCE(CVE-2020-29557)
漏洞信息:
D-Link DIR-825是中国台湾友讯(D-Link)公司的一款路由器。D-Link DIR-825 R1 devices 版本 3.0.1 至 2020-11-20 存在缓冲区错误漏洞,该漏洞源于web界面的缓冲区溢出,攻击者可利用该漏洞在身份验证前实现远程代码执行。
在野利用POC:
参考资料:
https://shaqed.github.io/dlink/
https://www.anquanke.com/vul/id/2335033
https://twitter.com/cvenew/status/1355255842782773250
Netgear ProSAFE Plus UnauthenticatedRCE(CVE-2020-26919)
漏洞信息:
NETGEAR JGS516PE是美国网件(NETGEAR)公司的一款交换机。NETGEAR JGS516PE devices 2.6.0.43之前版本存在安全漏洞,该漏洞源于设备在功能级别上受到缺少访问控制。
在野利用POC:
参考资料:
https://f5.pm/go-61386.html
https://www.anquanke.com/vul/id/2187757
https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/
DLink DNS 320 v2.06B01 system_mgr.cgiCommand Injection(CVE-2020-25506)
漏洞信息:
D-Link DNS-320是中国台湾友讯(D-Link)公司的一款NAS(网络附属存储)设备。D-Link DNS-320 FW v2.06B01 Revision 存在命令注入漏洞,该漏洞源于system_mgr.cgi组件中的命令注入影响,可能导致远程任意执行代码。
在野利用POC:
参考资料:
https://vuldb.com/?id.169016
https://www.anquanke.com/vul/id/2337297
https://gist.github.com/WinMin/6f63fd1ae95977e0e2d49bd4b5f00675
7往期回顾