物联网安全威胁情报(2022年7月)
1总体概述
根据CNCERT监测数据,自2022年07月01日至31日,共捕获物联网恶意样本471,158个,发现物联网恶意程序传播IP地址55,163个,发现活跃的僵尸网络C&C服务器地址2021个,其地址位置主要分布在美国(33.6%),中国(8.5%),俄罗斯(6.7%)等国家。其中来自美国的680个C&C服务器控制了中国境内的373,080个设备
黑客主要使用密码爆破、漏洞利用等方式进行感染设备,根据CNCERT监测数据,本月监测发现632种物联网漏洞攻击,监测到物联网(IoT)设备攻击行为7亿8140万次,发现活跃的被感染僵尸节点有815,253个,其中境内主要分布在广东省(17.9%),浙江省(13.0%), 河南省(7.4%)等,境外主要分布在印度(7.8%),俄罗斯(0.8%),巴西(0.3%)等国家。
这些控制节点和感染节点共同组成了数量庞大的各类物联网僵尸网络,根据CNCERT研究分析,本月发现的主要物联网僵尸网络有rapperbot(28.1%),mirai(24.2%),hybridmq(17.1%)等。上月我们曾经预警过的rapperbot僵尸网络,在本月发展迅速感染规模迅速上升。这些僵尸网络的存在及传播对网络空间带来了极大危害。
2物联网恶意程序样本及传播情况
本月共捕获物联网恶意样本471,158个,按恶意样本的家族统计情况如下图所示:
本月监测发现恶意样本传播节点IP地址55,163个,其中位于境外的IP地址主要位于印度(47%),巴西(2%),玻利维亚(1%)国家/地区,地域分布如图3所示。
其中传播恶意程序数量最多的10个C段IP地址及其区域位置如表1所示:
表1:传播恶意程序数量top-10 IP地址及位置
其中传播恶意最广的10个样本如表2所示:
表2:传播最广的ToP-10样本
本月监测到活跃的控制端主机(C&C服务器)地址2021个,其每日活跃情况按照恶意家族和天数统计如下。
监测发现C&C控制节点IP大部分为位于美国(33.6%),中国(8.5%),俄罗斯(6.7%)等国家地区,按照所在国家分布统计如下图所示
其中,本月最活跃的TOP10的C&C服务器如表2所示:
4感染节点情况
本月监测到境内的物联网僵尸网络感染节点IP地址有815,253个,主要位于广东省(17.9%),江苏省(7.5%), 河南省(7.4%)等地域分布如下表所示:
每日活跃情况统计如下:
感染节点按照IP属性分布,感染节点大多数属于住宅用户、数据中心、企业专线等类型,具体分布如下图所示。
图8:感染节点IP线图类型统计
5
主要恶僵尸网络情况
本月监测发现的活跃物联网僵尸网络有48个,其中最活跃的有rapperbot(28.1%),mirai(24.2%),hybridmq(17.1%)等。每个僵尸网络按照规模大小统计情况如下:
图9:活跃僵尸网络规模统计
按照每日活跃情况统计如下:
图10:僵尸网络每日活跃情况统计
其中最活跃的前三个僵尸网络家族的控制和感染节点分布如下所示。其中rapporbot僵尸网络的控制节点主要来自美国,其余两个僵尸网络的控制节点分布在多个国家。
图11:rapporbot世界分布
图12:mirai世界分布
图13:hybridmq世界分布
6整体攻击态势
物联网僵尸网络大量利用漏洞利用攻击进行感染传播,本月监测发现632种物联网漏洞攻击,新增25种漏洞攻击,监测到物联网(IoT)设备攻击行为15.16亿次。漏洞攻击每日活跃情况如图所示:
被利用最多的10个已知IoT漏洞分别为:
7往期回顾