根据CNCERT监测数据,自2021年3月1日至31日,共监测到物联网(IoT)设备攻击行为6亿1682万次,捕获IoT恶意样本2738个,发现IoT恶意程序传播IP地址21万1085个、威胁资产(IP地址)155万余个,境内被攻击的设备地址达771万个。
本月发现21万1085个IoT恶意程序传播地址,位于境外的IP地址主要位于印度(57.06%)、科索沃(21.67%)、巴西(8.33%)、俄罗斯(3.07%)等国家/地区,地域分布如图1所示。
图1 境外恶意程序传播服务器IP地址国家/地区分布
在本月发现的恶意样本传播IP地址中,有11万8496个为新增,其余在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。
黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现6亿1682万个物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:
表1 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)
|
漏洞利用 |
攻击次数 |
百分比 |
|
Netgear_DGN1000 |
66785701 |
30.6% |
|
CVE_2015_2051_DLink_HNAP |
60916121 |
27.9% |
|
JAWS_DVR |
55009123 |
25.2% |
|
Vacron_NVR |
11811739 |
5.4% |
|
CVE_2018_10561_GPON_Router |
7142621 |
3.3% |
|
DLink_OS_Command_Injection |
6629200 |
3.0% |
|
Zyxel_EirD1000_Router |
3088832 |
1.4% |
|
CVE_2014_8361_Realtek_SDK_UPnP |
2611554 |
1.2% |
|
NetLink_Router |
1615049 |
0.7% |
|
CVE_2014_6271_GNU_bash |
495231 |
0.2% |
|
发起攻击的IP地址 |
攻击次数 |
|
134.209.101.7 |
6716650 |
|
209.141.40.190 |
6409522 |
|
194.5.249.238 |
4167755 |
|
107.189.8.176 |
1258214 |
|
203.159.80.241 |
1045361 |
|
31.210.20.83 |
797345 |
|
31.210.20.175 |
787410 |
|
111.202.167.52 |
731756 |
|
35.202.146.172 |
527885 |
|
107.189.1.220 |
526596 |
本月共发现155万6753个IoT设备威胁资产(IP地址),其中,绝大多数资产向网络中的其他设备发起攻击,一部分资产提供恶意程序下载服务。境外威胁资产主要位于美国(43.87%)、印度(7.11%)、加拿大(3.97%)、英国(3.46%)等国家或地区,地域分布如图3所示。
图3 境外威胁资产的国家/地区分布(前30个)
境内威胁资产主要位于河南(29.07%)、广东(14.4%)、香港(13.05%)、台湾(8.32%)等行政区,地域分布如图4所示。
境内被攻击的IoT设备的IP地址有771万4848个,主要位于浙江(20%)、台湾(16.45%)、北京(16%)、广东(7.92%)等,地域分布如图5所示。
图6 恶意程序文件名分布(前30种)
按样本数量统计,漏洞利用方式在恶意程序中的分布如图7所示。
|
序号 |
IP |
数量 |
|
1 |
117.242.211.0/24 |
448 |
|
2 |
117.222.172.0/24 |
448 |
|
3 |
117.222.161.0/24 |
443 |
|
4 |
59.96.36.0/24 |
441 |
|
5 |
117.202.69.0/24 |
440 |
|
6 |
59.94.180.0/24 |
440 |
|
7 |
117.192.225.0/24 |
439 |
|
8 |
117.242.210.0/24 |
438 |
|
9 |
117.202.66.0/24 |
438 |
|
10 |
117.202.65.0/24 |
436 |
按攻击IoT设备的IP地址数量排序,排名前10的样本为:
表4 攻击设备最多的10个样本
|
序号 |
样本哈希 |
家族 |
|
1 |
12013662c71da69de977c04cd7021f13a70cf7bed4ca6c82acbc100464d4b0ef |
Mozi |
|
2 |
2e4506802aedea2e6d53910dfb296323be6620ac08c4b799a879eace5923a7b6 |
Mozi |
|
3 |
4293c1d8574dc87c58360d6bac3daa182f64f7785c9d41da5e0741d2b1817fc7 |
Mirai |
|
4 |
d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8 |
Mozi |
|
5 |
b5cf68c7cb5bb2d21d60bf6654926f61566d95bfd7c9f9e182d032f1da5b4605 |
Mozi |
|
6 |
f6c97b1e2ed02578ca1066c8235ba4f991e645f89012406c639dbccc6582eec8 |
Mirai |
|
7 |
9e0a15a4318e3e788bad61398b8a40d4916d63ab27b47f3bdbe329c462193600 |
Mozi |
|
8 |
e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0 |
Mozi |
|
9 |
2916f8d5b9b94093d72a6b9cdf0a4c8f5f38d70d5cea4444869ab33cd7e1f243 |
Mirai |
|
10 |
b7ba5aa2f8f7781d408e87b2131fa2cc9b95cdf3460f9778229398c9e851772a |
Mirai |
DLink DIR 825 R1 Pre Authentication RCE(CVE-2020-29557)
漏洞信息:
D-Link DIR-825是中国台湾友讯(D-Link)公司的一款路由器。D-Link DIR-825 R1 devices 版本 3.0.1 至 2020-11-20 存在缓冲区错误漏洞,该漏洞源于web界面的缓冲区溢出,攻击者可利用该漏洞在身份验证前实现远程代码执行。
在野利用POC:
参考资料:
https://shaqed.github.io/dlink/
https://www.anquanke.com/vul/id/2335033
https://twitter.com/cvenew/status/1355255842782773250
Netgear ProSAFE Plus UnauthenticatedRCE(CVE-2020-26919)
漏洞信息:
NETGEAR JGS516PE是美国网件(NETGEAR)公司的一款交换机。NETGEAR JGS516PE devices 2.6.0.43之前版本存在安全漏洞,该漏洞源于设备在功能级别上受到缺少访问控制。
在野利用POC:
参考资料:
https://f5.pm/go-61386.html
https://www.anquanke.com/vul/id/2187757
https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/
DLink DNS 320 v2.06B01 system_mgr.cgiCommand Injection(CVE-2020-25506)
漏洞信息:
D-Link DNS-320是中国台湾友讯(D-Link)公司的一款NAS(网络附属存储)设备。D-Link DNS-320 FW v2.06B01 Revision 存在命令注入漏洞,该漏洞源于system_mgr.cgi组件中的命令注入影响,可能导致远程任意执行代码。
在野利用POC:
参考资料:
https://vuldb.com/?id.169016
https://www.anquanke.com/vul/id/2337297
https://gist.github.com/WinMin/6f63fd1ae95977e0e2d49bd4b5f00675
物联网安全威胁情报(2020年8月)
物联网安全威胁情报(2020年9月)
物联网安全威胁情报(2020年10月)
物联网安全威胁情报(2020年11月)
本文始发于微信公众号(关键基础设施安全应急响应中心):物联网安全威胁情报(2021年3月)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论