物联网安全威胁情报(2022年08月)
1总体概述
2物联网恶意程序样本及传播情况
本月共捕获物联网恶意样本433,255个,按恶意样本的家族统计情况如下图所示:
图2:僵尸家族恶意样本家族数量统计
本月监测发现恶意样本传播节点IP地址91,960个,其中位于境外的IP地址主要位于印度(89%),巴西(2%),巴基斯坦(1%)国家/地区,地域分布如图3所示。
图3:境外恶意程序传播服务器IP地址国家/地区分布
其中传播恶意程序数量最多的10个C段IP地址及其区域位置如表1所示:
表1:传播恶意程序数量top-10 IP地址及位置
其中传播恶意最广的10个样本如表2所示:
表2:传播最广的ToP-10样本
3C&C控制服务器情况
本月监测到活跃的控制端主机(C&C服务器)地址2120个,其每日活跃情况按照恶意家族和天数统计如下。
图5:物联网僵尸网络c&c地址国家地区分布(ToP30)
其中,本月最活跃的TOP10的C&C服务器如表2所示:
表3:本月活跃的C&C地址列表
4感染节点情况
本月监测到境内的物联网僵尸网络感染节点IP地址有355550个,主要位于河南省(25.6%),广东省(17.6%),浙江省(12.6%)等地域分布如下表所示:
图6:僵尸网络受感染及节点IP数境内各省市分布情况
每日活跃情况统计如下:
图7:每日活跃被控端服务器总量
感染节点按照IP属性分布,感染节点大多数属于住宅用户、数据中心、企业专线等类型,具体分布如下图所示。
图8:感染节点IP线图类型统计
5
物联网恶僵尸网络情况
本月监测发现的活跃物联网僵尸网络有22个,其中最活跃的有mirai(45.6%),hybridmq(28.2%),mozi(20.6%)等。每个僵尸网络按照规模大小统计情况如下:
图9:活跃僵尸网络规模统计
按照每日活跃情况统计如下:
图10:僵尸网络每日活跃情况统计
其中最活跃的前三个僵尸网络家族的感染控制节点分布如下所示。
图11:mirai世界分布
图12:hybridmq世界分布
图13:mozi世界分布
6整体攻击态势
图14:物联网漏动攻击种类每日活跃图
图15:物联网漏动攻击次数每日活跃图
表4:被利用最多的10个已知IoT漏洞
1. Nortek Linear eMerge E3-Series 账户接管漏洞(CVE-2022-31798)
漏洞信息:
Nortek Control Linear eMerge E3-Series是美国Nortek Control公司的一种门禁控制器。可指定人员在指定时间可以使用哪些门进出指定地点。
Nortek Control Linear eMerge E3-Series 0.32-07p版本存在安全漏洞,该漏洞源于攻击者利用反射型跨站脚本连接本地会话导致接管管理员账户或权限较低的账户。
在野利用POC:
参考资料:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31798
https://packetstormsecurity.com/files/167992/Nortek-Linear-eMerge-E3-Series-Account-Takeover.html
2. Zyxel USG FLEX 5.21 命令注入漏洞(CVE-2022-30525)
漏洞信息: