物联网安全威胁情报(2021年2月)

  • A+
所属分类:安全新闻

1
总体概述

根据CNCERT监测数据,自2021年2月1日至28日,共监测到物联网(IoT)设备攻击行为4亿3212万次,捕获IoT恶意程序样本3314个,发现IoT恶意程序传播IP地址16万余个、威胁资产(IP地址)121万余个,境内被攻击的IoT设备地址达689万个。


2
恶意程序传播情况

本月发现16万8988个IoT恶意程序传播地址,位于境外的IP地址主要位于印度(60.9%)、科索沃(12.6%)、巴西(8.4%)、俄罗斯(3.5%)等国家/地区,地域分布如图1所示。

物联网安全威胁情报(2021年2月)

图1 境外恶意程序传播服务器IP地址国家/地区分布

在本月发现的恶意样本传播IP地址中,有9万4千余个为新增,6万9千余个在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。

物联网安全威胁情报(2021年2月)

图2 历史及新增传播IP地址数量

3
攻击源分析

黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现4亿3212万个物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:

表1 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)

漏洞利用

攻击次数

百分比

Netgear_DGN1000

61649576

32.3%

CVE_2015_2051_DLink_HNAP

56012463

29.4%

JAWS_DVR

43794330

23.0%

Vacron_NVR

10604309

5.6%

CVE_2018_10561_GPON_Router

5886485

3.1%

DLink_OS_Command_Injection

5802812

3.0%

Zyxel_EirD1000_Router

2775595

1.5%

CVE_2014_8361_Realtek_SDK_UPnP

2290649

1.2%

Linksys_Eseries

532482

0.3%

CVE_2014_6271_GNU_bash

451084

0.2%

发起攻击次数最多的10个威胁资产(IP地址)是:

表2 本月发起攻击次数最多的10个IP地址

发起攻击的IP地址

攻击次数

209.141.40.190

5859608

194.5.249.238

5605527

185.239.242.171

1165485

99.79.27.147

587054

139.162.119.9

577830

85.90.247.61

569555

172.104.47.64

498050

115.221.84.62

483087

175.203.179.215

470293

209.197.29.186

466831

本月共发现121万5650个IoT设备威胁资产(IP地址),其中,绝大多数资产向网络中的其他设备发起攻击,一部分资产提供恶意程序下载服务。境外威胁资产主要位于美国(36.3%)、印度(13.7%)、加拿大(6.4%)、英国(3.4%)等国家或地区,地域分布如图3所示。

物联网安全威胁情报(2021年2月)

图3 境外威胁资产的国家/地区分布(前30个)

境内威胁资产主要位于河南(32.2%)、香港(14.1%)、广东(12.5%)等行政区,地域分布如图4所示。

物联网安全威胁情报(2021年2月)
图4 境内威胁资产的省市分布
4
被攻击情况

境内被攻击的IoT设备的IP地址有689万3462个,主要位于浙江(20.6%)、台湾(17.2%)、北京(16.4%)、广东(7.9%)等,地域分布如图5所示。

物联网安全威胁情报(2021年2月)
图5 境内被攻击的IoT设备IP地址的地域分布


5
样本情况

本月捕获IoT恶意程序样本3314个,恶意程序传播时常用的文件名有Mozi、i、bin等,按样本数量统计如图6所示:

物联网安全威胁情报(2021年2月)

图6 恶意程序文件名分布(前30种)

按样本数量统计,漏洞利用方式在恶意程序中的分布如图7所示。

物联网安全威胁情报(2021年2月)

图7 漏洞利用方式在恶意程序中的分布(前10种)
按样本数量统计,分发恶意程序数量最多的10个C段IP地址为:
表3 分发恶意程序数量最多的10个C段IP地址

序号

IP

数量

1

186.33.122.0/24

750

2

117.222.174.0/24

641

3

117.222.166.0/24

637

4

117.242.211.0/24

636

5

59.92.182.0/24

633

6

117.242.210.0/24

627

7

59.92.183.0/24

623

8

117.202.71.0/24

621

9

117.222.168.0/24

620

10

59.94.183.0/24

620

按攻击IoT设备的IP地址数量排序,排名前10的样本为:

表4 攻击设备最多的10个样本

序号

样本哈希

家族

1

12013662c71da69de977c04cd7021f13a70cf7bed4ca6c82acbc100464d4b0ef

Mozi

2

b5cf68c7cb5bb2d21d60bf6654926f61566d95bfd7c9f9e182d032f1da5b4605

Mozi

3

4293c1d8574dc87c58360d6bac3daa182f64f7785c9d41da5e0741d2b1817fc7

Mirai

4

2e4506802aedea2e6d53910dfb296323be6620ac08c4b799a879eace5923a7b6

Mozi

5

d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8

Mozi

6

f6c97b1e2ed02578ca1066c8235ba4f991e645f89012406c639dbccc6582eec8

Mirai

7

9e0a15a4318e3e788bad61398b8a40d4916d63ab27b47f3bdbe329c462193600

Mozi

8

2916f8d5b9b94093d72a6b9cdf0a4c8f5f38d70d5cea4444869ab33cd7e1f243

Mirai

9

e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0

Mozi

10

c6f6ca23761292552e6ea5f12496dc9c73374be0c5f9d0b2142ca3ae0bb8fe14

Gafgyt


6
最新在野漏洞利用情况

2021年2月,值得关注的物联网相关的在野漏洞利用如下:

SSD Advisory – Yealink DM Pre Auth ‘root’level RCE(CVE-2021-27561/CVE-2021-27562)

漏洞信息:

Yealink DM(设备管理)平台提供全面的管理解决方案,主要功能包括统一部署和管理、实时监控和报警、远程故障排除。

yearink DM server中存在多个漏洞,使得未经验证的远程攻击者能够导致服务器执行任意命令,因为用户提供的数据未被正确过滤。

在野利用POC:

物联网安全威胁情报(2021年2月)

参考资料:

https://www.seebug.org/vuldb/ssvid-99135

https://twitter.com/campuscodi/status/1364175295067095043

https://ssd-disclosure.com/ssd-advisory-yealink-dm-pre-auth-root-level-rce/

Vantage Velocity Field Unit OS CodeInjection(CVE-2020-9020)

漏洞信息:

Iteris Vantage Velocity Field Unit是美国Iteris公司的一款道路监测现场设备。IterisVantage Velocity Field Unit 2.3.1版本、2.4.2版本和3.0版本中存在操作系统命令注入漏洞。攻击者借助带有shell元字符的NTPServer字段利用该漏洞执行命令。

在野利用POC:

物联网安全威胁情报(2021年2月)

参考资料:

https://www.anquanke.com/vul/id/1933342

https://blog.netlab.360.com/fbot-is-now-riding-the-traffic-and-transportation-smart-devices/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9020

Mida eFramework 2.8.9 - Remote CodeExecution(CVE-2020-15922)

漏洞信息:

Mida Solutions eFramework是意大利Mida Solutions公司的一套统一通信和协作服务套件。Mida Solutions eFramework 2.9.0版本中存在操作系统命令注入漏洞。远程攻击者可利用该漏洞以root权限执行代码。

在野利用POC:

物联网安全威胁情报(2021年2月)

参考资料:

https://www.anquanke.com/vul/id/2101797

https://www.exploit-db.com/exploits/48835

https://vulners.com/exploitdb/EDB-ID:48835

https://packetstormsecurity.com/files/cve/CVE-2020-15922


7
往期回顾

物联网安全威胁情报(2020年7月)

物联网安全威胁情报(2020年8月)

物联网安全威胁情报(2020年9月)

物联网安全威胁情报(2020年10月)

物联网安全威胁情报(2020年11月)

物联网安全威胁情报(2020年12月)

物联网安全威胁情报(2021年1月)



转载请注明来自:关键基础设施安全应急响应中心

物联网安全威胁情报(2021年2月)

本文始发于微信公众号(关键基础设施安全应急响应中心):物联网安全威胁情报(2021年2月)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: