物联网安全威胁情报(2021年7月)
1总体概述
根据CNCERT监测数据,自2021年7月1日至31日,共监测到物联网(IoT)设备攻击行为9亿4388万次,捕获IoT恶意样本2397个,发现IoT恶意程序传播IP地址29万3146个、威胁资产(IP地址)239万7213个,境内被攻击的设备地址达553万个。
2恶意程序传播情况
本月发现29万3146个IoT恶意程序传播地址,位于境外的IP地址主要位于印度(80.0%)、巴西(7.1%)、俄罗斯(3.0%)、越南(2.3%)等国家/地区,地域分布如图1所示。
图1 境外恶意程序传播服务器IP地址国家/地区分布
在本月发现的恶意样本传播IP地址中,有12万7843个为新增,其余在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。
图2 历史及新增传播IP地址数量
3
攻击源分析
黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现9亿4388万次物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:
表1 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)
发起攻击次数最多的10个威胁资产(IP地址)是:
表2 本月发起攻击次数最多的10个IP地址
本月共发现239万7213个IoT设备威胁资产(IP地址),其中,绝大多数资产向网络中的其他设备发起攻击,一部分资产提供恶意程序下载服务。境外威胁资产主要位于美国(38.9%)、印度(7.1%)、韩国(4.4%)、加拿大(3.4%)等国家或地区,地域分布如图3所示。
图3 境外威胁资产的国家/地区分布(前30个)
境内威胁资产主要位于广东(17.6%)、河南(17.4%)、香港(12.2%)、湖南(6.4%)等行政区,地域分布如图4所示。
图4 境内威胁资产数量的省市分布
4被攻击情况
境内被攻击的IoT设备的IP地址有553万8635个,主要位于香港(22.2%)、浙江(11.7%)、北京(11.1%)、台湾(9.5%)等,地域分布如图5所示。
图5 境内被攻击的IoT设备IP地址的地域分布
5
样本情况
本月捕获IoT恶意程序样本2397个,恶意程序传播时常用的文件名有Mozi、i、bin等,按样本数量统计如图6所示。
图6 恶意程序文件名分布(前20种)
按样本数量统计,漏洞利用方式在恶意程序中的分布如图7所示。
图7 漏洞利用方式在恶意程序中的分布(前10种)
按样本数量统计,分发恶意程序数量最多的10个C段IP地址为:
表3 分发恶意程序数量最多的10个C段IP地址
按攻击IoT设备的IP地址数量排序,排名前10的样本为:
表4 攻击设备最多的10个样本信息
监测到活跃的控制端主机(C&C服务器)IP地址1812 个,共与5万1563个有通联行为。按通联IP数量排序,排名前10的C&C地址为:
表5 通联节点最多的10个控制端主机(C&C服务器)IP地址
6最新在野漏洞利用情况
2021年7月,值得关注的物联网相关的在野漏洞利用如下:
TOTOLINK A3002RU-V2.0.0 B20190814.1034 Remote Command Execution(CVE-2020-25499)
漏洞信息:
Totolink TOTOLINK A3002RU是中国台湾吉翁电子(Totolink)公司的一款无线路由器产品。TOTOLINK A3002RU-V2.0.0 B20190814.1034 存在命令注入漏洞,该漏洞允许通过身份验证的远程用户修改系统的“运行命令”。攻击者可利用该漏洞可以使用此功能在路由器上执行任意OS命令。
在野利用POC:
参考资料:
https://www.anquanke.com/vul/id/2269134
https://github.com/kdoos/Vulnerabilities/blob/main/RCE_TOTOLINK-A3002RU-V
7往期回顾
物联网安全威胁情报(2020年8月)
物联网安全威胁情报(2020年9月)
物联网安全威胁情报(2020年10月)
物联网安全威胁情报(2020年11月)