根据CNCERT监测数据,自2021年1月1日至31日,共监测到物联网(IoT)设备恶意样本5175个,发现样本传播服务器IP地址21万5084个,境内被攻击的设备地址达769万个。
图1 境外Mozi僵尸网络传播服务器IP地址国家/地区分布
境内被Mozi僵尸网络攻击的IoT设备的IP地址达711万个,主要位于浙江(20.0%)、台湾(19.2%)、北京(15.9%)、广东(7.8%)等,地域分布如图2所示。
本月共发现21万5084个恶意样本传播服务器IP,在Mozi僵尸网络以外,境外国家/地区的传播服务器IP主要位于巴西(11.6%)、美国(8.9%)、俄罗斯(8.8%)、伊朗(7.3%)等,地域分布如图3所示。
在本月发现的恶意样本传播IP地址中,有13万8517个为新增,7万6567个在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图4所示。
图4 本期传播IP在往期监测月份出现的数量
按样本分发数量排序,分发最多的10个C段为:
表1 样本分发数量最多的10个C段
|
序号 |
IP |
数量 |
|
1 |
59.99.94.0/24 |
950 |
|
2 |
117.242.209.0/24 |
898 |
|
3 |
59.99.92.0/24 |
898 |
|
4 |
59.99.95.0/24 |
897 |
|
5 |
117.192.226.0/24 |
885 |
|
6 |
59.96.38.0/24 |
881 |
|
7 |
59.96.37.0/24 |
875 |
|
8 |
59.97.168.0/24 |
873 |
|
9 |
117.222.171.0/24 |
864 |
|
10 |
117.242.208.0/24 |
860 |
目前仍活跃的恶意程序传播服务器IP地址中,按攻击设备的地址数量排序,前10为:
|
序号 |
IP |
数量 |
|
1 |
193.239.147.174 |
美国 |
|
2 |
37.46.150.46 |
摩尔多瓦 |
|
3 |
193.239.147.182 |
美国 |
|
4 |
37.49.230.223 |
荷兰 |
|
5 |
107.172.79.205 |
美国 |
|
6 |
104.168.11.84 |
美国 |
|
7 |
205.185.127.14 |
美国 |
|
8 |
45.145.185.229 |
美国 |
|
9 |
94.102.50.158 |
荷兰 |
|
10 |
80.211.31.159 |
意大利 |
境内被攻击IoT设备地址分布,其中,浙江占比最高,为20.8%,其次是台湾(17.9%)、北京(15.3%)、广东(7.7%)等,如图5所示。
黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现8亿751万个物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:
表3 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)
对监测到的5175个恶意样本进行家族统计分析,发现主要是Gafgyt、Mirai、Tsunami、Hajime等家族的变种。样本传播时常用的文件名有Mozi、i、bin等,按样本数量统计如图6所示。
2021年1月,值得关注的物联网相关的在野漏洞利用如下:
Zend Framework 3.0.0. UnsecuredDeserialization RCE(CVE-2021-3007)
漏洞信息:
ZEND Zend Framework(ZF)是美国Zend(ZEND)公司的一套开源的PHP开发框架,它主要用于开发Web程序和服务。Zend Framework 3.0.0版本存在安全漏洞,该漏洞源于有一个反序列化漏洞,攻击者可利用该漏洞远程代码执行。
该漏洞于2021年1月3日左右公开,CNCERT物联网威胁数据平台于1月7日捕捉到利用该漏洞传播的新型僵尸网络家族FreakOut,具体信息请见我们稍后发布的专题报告。
在野利用POC:
https://www.4hou.com/posts/7YpA
https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/
TerraMaster TOS Unauthenticated RCE(CVE-2020-28188,CVE-2020-35665)
漏洞信息:
Terramaster TOS是图美电子技术(Terramaster)公司的一款基于Linux平台的,专用于erraMaster云存储NAS服务器的操作系统。
TerraMaster TOS4.2.06及之前版本存在远程命令执行漏洞。未经身份认证的远程攻击者可通过Event参数中的/include/makecvs.php注入任意OS命令。
https://www.4hou.com/posts/7YpA
https://blog.netlab.360.com/not-really-new-pyhton-ddos-bot-n3cr0m0rph-necromorph/
https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/
物联网安全威胁情报(2020年1月)
物联网安全威胁情报(2020年3月)
物联网安全威胁情报(2020年4月)
物联网安全威胁情报(2020年5月)
物联网安全威胁情报(2020年6月)
物联网安全威胁情报(2020年7月)
物联网安全威胁情报(2020年8月)
物联网安全威胁情报(2020年9月)
物联网安全威胁情报(2020年10月)
物联网安全威胁情报(2020年11月)
本文始发于微信公众号(网络安全应急技术国家工程实验室):物联网安全威胁情报(2021年1月)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论