物联网安全威胁情报(2021年4月)
1总体概述
根据CNCERT监测数据,自2021年4月1日至30日,共监测到物联网(IoT)设备攻击行为9亿8788万次,捕获IoT恶意样本3825个,发现IoT恶意程序传播IP地址28万568个、威胁资产(IP地址)122万余个,境内被攻击的设备地址达1125万个。
2恶意程序传播情况
本月发现28万568个IoT恶意程序传播地址,位于境外的IP地址主要位于美国(24.05%)、印度(6.52%)、俄罗斯(4.87%)、日本(4.84%)等国家/地区,地域分布如图1所示。
图1 境外恶意程序传播服务器IP地址国家/地区分布
在本月发现的恶意样本传播IP地址中,有16万4543个为新增,其余在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。
3攻击源分析
黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现9亿8788万个物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:
表1 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)
本月共发现122万547个IoT设备威胁资产(IP地址),其中,绝大多数资产向网络中的其他设备发起攻击,一部分资产提供恶意程序下载服务。境外威胁资产主要位于美国(42.2%)、印度(7.35%)、加拿大(3.94%)、英国(3.64%)等国家或地区,地域分布如图3所示。
图3 境外威胁资产的国家/地区分布(前30个)
境内威胁资产主要位于河南(32.34%)、香港(14.26%)、广东(12.53%)、台湾(9.16%)等行政区,地域分布如图4所示。
4被攻击情况
境内被攻击的IoT设备的IP地址有1125万1670个,主要位于浙香港(25.99%)、台湾(14.16%)、北京(11.49%)、浙江(9.62%)等,地域分布如图5所示。
5
图6 恶意程序文件名分布(前30种)
按样本数量统计,漏洞利用方式在恶意程序中的分布如图7所示。
按攻击IoT设备的IP地址数量排序,排名前10的样本为:
表4 攻击设备最多的10个样本
6最新在野漏洞利用情况
2021年4月,值得关注的物联网相关的在野漏洞利用如下:
Genexis PLATINUM 4410 2.1 P4410-V2-1.28 RemoteCode Execute(CVE-2021-29003)
漏洞信息:
Genexis Platinum-4410是英国Genexis公司的一款无线路由器。GenexisPLATINUM 4410 version 2.1 P4410-V2-1.28 存在远程命令执行漏洞,允许攻击者通过exeshell参数远程执行命令sys_config_valid.xgi?exeshell=%60telnetd%20%26%60。
在野利用POC:
参考资料:
https://www.anquanke.com/vul/id/2415106
https://hackerworld.home.blog/2021/03/19/rce-in-genexis-router/
https://packetstormsecurity.com/files/162174/Genexis-PLATINUM-4410-2.1-P4410-V2-1.28-Remote-Command-Execution.html
Phoenix Exploit Kit Remote Code Execution
漏洞信息:
Phoenix ExploitKit是很流行的商业漏洞利用工具,它可以探测访问者的浏览器以获取更多信息,包括存在过时和不安全的浏览器插件版本,如Java、Adobe Flash和Reader等,然后悄悄安装恶意软件。PhoenixExploit Kit的web控制面板存在远程代码执行漏洞,可以通过geoip.php触发。
在野利用POC:
参考资料:
https://www.exploit-db.com/exploits/40294
https://vulners.com/metasploit/MSF:EXPLOIT/MULTI/HTTP/PHOENIX_EXEC
https://packetstormsecurity.com/files/138469/Phoenix-Exploit-Kit-Remote-Code-Execution.html
7往期回顾