查看原文
其他

物联网安全威胁情报(2021年3月)


1总体概述

根据CNCERT监测数据,自2021年3月1日至31日,共监测到物联网(IoT)设备攻击行为6亿1682万次,捕获IoT恶意样本2738个,发现IoT恶意程序传播IP地址21万1085个、威胁资产(IP地址)155万余个,境内被攻击的设备地址达771万个。


2恶意程序传播情况

本月发现21万1085个IoT恶意程序传播地址,位于境外的IP地址主要位于印度(57.06%)、科索沃(21.67%)、巴西(8.33%)、俄罗斯(3.07%)等国家/地区,地域分布如图1所示。

图1 境外恶意程序传播服务器IP地址国家/地区分布

在本月发现的恶意样本传播IP地址中,有11万8496个为新增,其余在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。

图2 历史及新增传播IP地址数量

3攻击源分析

黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现6亿1682万个物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:

表1 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)

漏洞利用

攻击次数

百分比

Netgear_DGN1000

66785701

30.6%

CVE_2015_2051_DLink_HNAP

60916121

27.9%

JAWS_DVR

55009123

25.2%

Vacron_NVR

11811739

5.4%

CVE_2018_10561_GPON_Router

7142621

3.3%

DLink_OS_Command_Injection

6629200

3.0%

Zyxel_EirD1000_Router

3088832

1.4%

CVE_2014_8361_Realtek_SDK_UPnP

2611554

1.2%

NetLink_Router

1615049

0.7%

CVE_2014_6271_GNU_bash

495231

0.2%

发起攻击次数最多的10个威胁资产(IP地址)是:
表2 本月发起攻击次数最多的10个IP地址

发起攻击的IP地址

攻击次数

134.209.101.7

6716650

209.141.40.190

6409522

194.5.249.238

4167755

107.189.8.176

1258214

203.159.80.241

1045361

31.210.20.83

797345

31.210.20.175

787410

111.202.167.52

731756

35.202.146.172

527885

107.189.1.220

526596

本月共发现155万6753个IoT设备威胁资产(IP地址),其中,绝大多数资产向网络中的其他设备发起攻击,一部分资产提供恶意程序下载服务。境外威胁资产主要位于美国(43.87%)、印度(7.11%)、加拿大(3.97%)、英国(3.46%)等国家或地区,地域分布如图3所示。

图3 境外威胁资产的国家/地区分布(前30个)

境内威胁资产主要位于河南(29.07%)、广东(14.4%)、香港(13.05%)、台湾(8.32%)等行政区,地域分布如图4所示。

图4 境内威胁资产的省市分布










4被攻击情况

境内被攻击的IoT设备的IP地址有771万4848个,主要位于浙江(20%)、台湾(16.45%)、北京(16%)、广东(7.92%)等,地域分布如图5所示。

图5 境内被攻击的IoT设备IP地址的地域分布



5
样本情况
本月捕获IoT恶意程序样本2738个,恶意程序传播时常用的文件名有Mozi、i、bin等,按样本数量统计如图6所示。

图6 恶意程序文件名分布(前30种)

按样本数量统计,漏洞利用方式在恶意程序中的分布如图7所示。

图7 漏洞利用方式在恶意程序中的分布(前10种)
按样本数量统计,分发恶意程序数量最多的10个C段IP地址为:
表3 分发恶意程序数量最多的10个C段IP地址

序号

IP

数量

1

117.242.211.0/24

448

2

117.222.172.0/24

448

3

117.222.161.0/24

443

4

59.96.36.0/24

441

5

117.202.69.0/24

440

6

59.94.180.0/24

440

7

117.192.225.0/24

439

8

117.242.210.0/24

438

9

117.202.66.0/24

438

10

117.202.65.0/24

436

按攻击IoT设备的IP地址数量排序,排名前10的样本为:

表4 攻击设备最多的10个样本

序号

样本哈希

家族

1

12013662c71da69de977c04cd7021f13a70cf7bed4ca6c82acbc100464d4b0ef

Mozi

2

2e4506802aedea2e6d53910dfb296323be6620ac08c4b799a879eace5923a7b6

Mozi

3

4293c1d8574dc87c58360d6bac3daa182f64f7785c9d41da5e0741d2b1817fc7

Mirai

4

d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8

Mozi

5

b5cf68c7cb5bb2d21d60bf6654926f61566d95bfd7c9f9e182d032f1da5b4605

Mozi

6

f6c97b1e2ed02578ca1066c8235ba4f991e645f89012406c639dbccc6582eec8

Mirai

7

9e0a15a4318e3e788bad61398b8a40d4916d63ab27b47f3bdbe329c462193600

Mozi

8

e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0

Mozi

9

2916f8d5b9b94093d72a6b9cdf0a4c8f5f38d70d5cea4444869ab33cd7e1f243

Mirai

10

b7ba5aa2f8f7781d408e87b2131fa2cc9b95cdf3460f9778229398c9e851772a

Mirai







6最新在野漏洞利用情况

DLink DIR 825 R1 Pre Authentication RCE(CVE-2020-29557)

漏洞信息:

D-Link DIR-825是中国台湾友讯(D-Link)公司的一款路由器。D-Link DIR-825 R1 devices 版本 3.0.1 至 2020-11-20 存在缓冲区错误漏洞,该漏洞源于web界面的缓冲区溢出,攻击者可利用该漏洞在身份验证前实现远程代码执行。

在野利用POC:

参考资料:

https://shaqed.github.io/dlink/

https://www.anquanke.com/vul/id/2335033

https://twitter.com/cvenew/status/1355255842782773250

Netgear ProSAFE Plus UnauthenticatedRCE(CVE-2020-26919)

漏洞信息:

NETGEAR JGS516PE是美国网件(NETGEAR)公司的一款交换机。NETGEAR JGS516PE devices 2.6.0.43之前版本存在安全漏洞,该漏洞源于设备在功能级别上受到缺少访问控制。

在野利用POC:

参考资料:

https://f5.pm/go-61386.html

https://www.anquanke.com/vul/id/2187757

https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/

DLink DNS 320 v2.06B01 system_mgr.cgiCommand Injection(CVE-2020-25506)

漏洞信息:

D-Link DNS-320是中国台湾友讯(D-Link)公司的一款NAS(网络附属存储)设备。D-Link DNS-320 FW v2.06B01 Revision 存在命令注入漏洞,该漏洞源于system_mgr.cgi组件中的命令注入影响,可能导致远程任意执行代码。

在野利用POC:

参考资料:

https://vuldb.com/?id.169016

https://www.anquanke.com/vul/id/2337297

https://gist.github.com/WinMin/6f63fd1ae95977e0e2d49bd4b5f00675


7往期回顾

物联网安全威胁情报(2020年8月)

物联网安全威胁情报(2020年9月)

物联网安全威胁情报(2020年10月)

物联网安全威胁情报(2020年11月)

物联网安全威胁情报(2020年12月)

物联网安全威胁情报(2021年1月)

物联网安全威胁情报(2021年2月)



转载请注明来自:关键基础设施安全应急响应中心

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存