关键信息基础设施网络安全(物联网安全专题)监测月报202103期

  • A+
所属分类:云安全

1
概述

根据《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》对关键信息基础设施定义和范围的阐述,关键信息基础设施(Critical InformationInfrastructure,CII)是指一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息基础设施,包括能源、交通、水利、金融、电子政务、公共通信和信息服务等关键行业和领域。

随着“新基建”、“工业互联网”等战略的快速推进以及Lora、NB-IOT、eMTC、5G等技术的快速发展,物联网与关键信息基础设施已开始深度融合,在提高行业的运行效率和便捷性的同时,也面临严峻的网络安全和数据安全挑战。因此,亟需对关键信息基础设施的物联网安全问题加以重视和防护。

CNCERT依托宏观数据,对关键信息基础设施中的物联网网络安全和数据安全等方面的问题进行专项监测,以下是本月的监测情况。


2
物联网终端设备监测情况

2.1 活跃物联网设备总体情况

本月对物联网设备的抽样监测显示,国内活跃物联网设备数170,981台,包括工业控制设备、视频监控设备、网络交换设备等10个大类,涉及西门子、罗克韦尔、海康威视、大华、思科等36个主流厂商。

在本月所发现的活跃物联网设备中,判别疑似物联网蜜罐设备308个,蜜罐伪装成可编程逻辑控制器、视频监控设备等设备,仿真了HTTP、SNMP、Modbus、BACnet等常用协议。实际活跃的物联网设备170,673台分布在全国各个省份,重点分布在广东、浙江、江苏等省份。各省份设备数量分布情况如图1所示。

关键信息基础设施网络安全(物联网安全专题)监测月报202103期

图1 活跃物联网设备省份分布

2.2 特定类型物联网设备重点分析

在发现的活跃物联网设备中,本月针对对工业控制设备开展重点分析。国内活跃工控设备682台,包括可编程逻辑控制器、工业交换机、串口服务器等6种类型,涉及西门子、罗克韦尔、施耐德等10个主流厂商。

在本月所发现的工控设备中,基于资产的的Banner信息和ISP归属信息等进行综合研判,识别疑似蜜罐设备235个,占比34%,仿真协议包括Modbus、S7Comm、SNMP和EtherNetIP等,典型蜜罐特征如表1所示。

表1  工控设备蜜罐特征

仿真协议

仿真端口

蜜罐资产数量

蜜罐特征

SNMP

161

198

1. 唯一性标识信息重复

EtherNetIP

44818

5

1. ISP为云服务提供商

2. 服务端口开放众多

BACnet

47808

7

1. ISP为云服务提供商

FINS

9600

2

1. ISP为云服务提供商

2. 服务端口开放众多

Modbus

502

4

1. ISP为云服务提供商

2. 服务端口开放众多

3. 多个工控协议并存

S7Comm

102

19

1. ISP为云服务提供商

2. 服务端口开放众多

3. 唯一性标识信息重复

4. 标识信息不符合规约

以设备113.227.*.229为例,设备指纹信息如表2所示。监测发现,113.227.0.0/16网段内同时存活四台同型号设备,且设备序列号(设备唯一性标识)均为“S C-W3T223932008”,可以判定为属于蜜罐仿真设备。

表2  113.227.*.229设备指纹信息

厂商

Siemens

品牌

SIMATIC  S7

型号

CPU  314

序列号

S  C-W3T223932008

去除占比34%的工控设备蜜罐,本月实际监测发现活跃工控设备447台。对这些设备进行漏洞识别,187台设备识别到安全风险,包括高危漏洞设备135台和中危漏洞设备52台。这些具有漏洞的工控设备主要分布在辽宁、江苏、天津等19个省份,详细的设备省份分布如图2所示。

关键信息基础设施网络安全(物联网安全专题)监测月报202103期

图2 具有漏洞的工控设备省份分布

3
扫描探测组织活动监测情况

3.1 扫描探测组织活跃性分析

本月监测发现来自Shodan、ShadowServer和密歇根大学等扫描探测组织的122个探测节点针对境内12629万个IP发起探测活动,探测事件总计25520万余起,涉及探测目标端口35186余个,境内IP地址分布于31个省份,以北京、上海、广东等省市居多。重点组织的探测活动情况如表3所示。

表3 重点组织的探测活跃情况

探测组织名称

探测事件数

节点数量

目的IP数

探测端口数

目标省份数

Rapid7

12993

10

467

350

24

UMich

260624

58

2412

11843

31

Shadowserver

113905147

22

69869355

2145

31

Shodan

141028924

32

82814687

30399

31

监测发现的122个探测组织活跃节点,分别包括Shodan探测节点32个、Shadowserver探测节点22个、Umich探测节点58个和Rapid7探测节点10个,主要分布在美国、荷兰、冰岛等地区,详细的地理位置分布如图3所示。

关键信息基础设施网络安全(物联网安全专题)监测月报202103期
图3  探测组织活跃节点地理位置分布

按照探测组织节点活跃情况进行排序,表3为最活跃的10个节点信息,主要是Shodan和Shadowserver组织的节点,这十个节点的探测事件数达15271万起,占总事件的59.84%。

表4  探测组织活跃节点Top10

探测节点

所属组织

节点位置

探测事件

93.174.95.106

Shodan

荷兰

34946105

184.105.247.235

Shadowserver

美国

18189633

71.6.167.142

Shodan

美国

15376806

184.105.247.194

Shadowserver

美国

15228511

71.6.146.186

Shodan

美国

12476229

74.82.47.57

Shadowserver

美国

12099952

94.102.49.190

Shodan

荷兰

11780816

71.6.146.185

Shodan

美国

11535312

184.105.247.216

Shadowserver

美国

10753780

184.105.247.208

Shadowserver

美国

10323272

3.2 扫描探测节点发现

为发现更多未知的探测节点,我们基于Shodan组织针对Modbus协议的探测特征进行了监测,新增发现Shodan探测节点9个,如表5所示;发现疑似未知组织探测节点11个。这些节点针对Modbus协议的探测行为主要包括两种,分别为报告从站ID(Func: 17,  Report Slave ID)和读取设备标识(Func:43,  Read Device Identification), 示例如图4和图5所示。

表5  新增Shodan节点信息

节点IP

节点域名

节点位置

80.82.77.33

sky.census.shodan.io

荷兰

71.6.199.23

einstein.census.shodan.io

美国

80.82.77.139

dojo.census.shodan.io

荷兰

185.165.190.34

red.census.shodan.io

荷兰

185.142.236.34

hat.census.shodan.io

荷兰

185.142.236.35

wine.census.shodan.io

荷兰

185.142.239.16

red2.census.shodan.io

荷兰

195.144.21.56

red3.census.shodan.io

乌克兰

185.181.102.18

turtle.census.shodan.io

罗马尼亚

关键信息基础设施网络安全(物联网安全专题)监测月报202103期

图4  Modbus协议探测示例-报告从站ID

关键信息基础设施网络安全(物联网安全专题)监测月报202103期

图5  Modbus协议探测示例-读取设备标识

3.3 探测组织行为重点分析——ShadowServer组织

为详细了解探测组织的探测行为,本月对Shadowserver组织的探测行为进行了重点监测分析。

( 1 ) Shadowserver探测节点整体活动情况

监测发现Shadowserver组织活跃节点22个,探测事件11390万起,探测目标端口2145个,目标涉及境内6986万个IP地址,覆盖全国31个省级行政区。监测发现的最为活跃节点信息如表6所示。

表6  Shadowserver探测节点活跃度排序

探测节点

节点位置

探测事件

探测端口

熟知端口

(0~1023)

184.105.247.235

美国

18189633

386

13

184.105.247.194

美国

15228511

688

22

74.82.47.57

美国

12099952

168

11

184.105.247.216

美国

10753780

150

10

184.105.247.208

美国

10323272

145

12

184.105.139.102

美国

4230957

100

12

184.105.139.110

美国

4048535

85

12

216.218.206.75

美国

3994831

98

12

74.82.47.39

美国

3827650

145

11

216.218.206.115

美国

3653599

106

12

74.82.47.51

美国

3242356

125

10

74.82.47.59

美国

3145820

106

12

184.105.247.232

美国

2947781

93

11

184.105.139.91

美国

2478251

87

10

74.82.47.58

美国

2162175

115

13

216.218.206.88

美国

1832191

90

12

74.82.47.42

美国

1828833

97

12

184.105.247.226

美国

1826889

102

11

74.82.47.40

美国

1793224

110

12

184.105.139.80

美国

1763238

99

11

184.105.247.242

美国

1729467

102

11

( 2 ) Shadowserver探测节点时间行为分析

图6为Shadowserver活跃节点按天的活跃热度图。首先,从节点每天探测数据趋势可以看出,每个节点的活跃度相对稳定,基本保持在同一个数量级下;其次,不同节点的探测活跃度存在一定程度的差异,探测活跃高的节点日探测事件几十万起,而探测活跃低的节点日探测事件为几万起。同时,位于同网段的探测节点,探测活跃度也存在不同,如IP为184.105.139.102和184.105.139.110的节点,日探测事件远高于IP为184.105.139.80和184.105.139.91的节点。

关键信息基础设施网络安全(物联网安全专题)监测月报202103期

图6  Shadowserver 节点日活跃热度图

( 3 ) Shadowserver探测节点协议行为分析

图7为Shadowserver节点按协议统计的探测行为热度图。从图中可以看出如下几点特征:第一,对于多数节点而言,针对同一协议的探测频率分布比较均匀,存在个别节点(如184.105.247.194),探测频率比较高;第二,同一节点针对不同协议的探测频度不同;第三,不同节点的探测协议分布不同,如DNS、TFTP、NTP等协议,只有部分节点存在探测行为;第四,对比不同协议的被探测频率,整体来讲,针对传统IT类协议的探测频度占比较高,而对于工控物联网协议(如Modbus)的探测本次分析未发现。

关键信息基础设施网络安全(物联网安全专题)监测月报202103期

图7  Shadowserver节点协议探测频度热度图

( 4 ) 特定协议探测行为分析

针对DNS协议的探测行为进行重点分析发现,Shadowserver针对DNS协议进行探测的节点共4个,归属于184.105.247.1/24网段和74.82.47.1/24网段,节点全部分布在美国,探测端口为UDP:53。

针对DNS协议的探测特征进行重点分析发现,不同网段节点的探测特征不同。其中,184.105.247.1/24网段内的节点通过随机域名的方式识别目标主机是否存在DNS服务,而74.82.47.1/24网段内的节点则是固定查询“dnsscan.shadowserver.org”域名的方式识别目标主机是否存在DNS服务。探测特征分别如图8和图9所示。

关键信息基础设施网络安全(物联网安全专题)监测月报202103期

图8  184.105.247.1/24节点DNS协议探测示例

关键信息基础设施网络安全(物联网安全专题)监测月报202103期

图9  74.82.47.1/24节点DNS协议探测示例


4
恶意代码攻击

根据CNCERT监测数据,自2021年3月1日至30日,共监测到物联网(IoT)设备恶意样本2738个。发现样本传播服务器IP地址21万1085个,主要位于印度等国家。境内疑似被感染的设备地址达771万个,其中,浙江占比最高,为20%,其次是台湾(16.45%)、北京(16%)、广东(7.92%)等。详情参见威胁情报月报。


5
重点行业物联网网络安全

5.1 物联网行业安全概述

为了解重点行业物联网网络安全态势,本月筛选了电力、石油、车联网和轨道交通等行业的2396个资产(含物联网设备及物联网相关的web资产)进行监测。监测发现,本月遭受攻击的资产有1355个,主要分布在北京、广东、浙江等31个省份,涉及攻击事件12454起。其中,各行业被攻击资产数量及攻击事件分布如表7所示,被攻击资产的省份分布如图10所示。

表7  行业资产及攻击事件分布

行业类别

监测资产数

被攻击资产数

攻击事件数

电力

1738

948

9156

车联网

275

206

1569

石油石化

246

131

1110

轨道交通

137

70

619

关键信息基础设施网络安全(物联网安全专题)监测月报202103期

图10  重点行业被攻击资产的省份分布

对上述网络攻击事件进行分析,境外攻击源涉及美国、韩国等在内的国家85个,攻击节点数总计2401个。其中,按照攻击事件源IP的国家分布,排名前5分别为美国(1978起)、韩国(1144起)、印度(610起)、俄罗斯(481起)和科索沃(429起)。

对网络攻击事件的类型进行分析,本月面向行业资产的网络攻击中,攻击类型涵盖了远程代码执行攻击、命令执行攻击、SQL注入攻击、漏洞利用攻击、目录遍历攻击等。详细的攻击类型分布如图11所示。

关键信息基础设施网络安全(物联网安全专题)监测月报202103期

图11  物联网行业资产攻击类型分布

5.2 特定攻击类型分析

在针对重点行业物联网资产的网络攻击事件中,本月占比最高的攻击类型是PHPUnit远程代码执行漏洞攻击(CVE-2017-9841),攻击事件高达4411余起,占比35.4%;其次是SQL联合查询注入攻击,攻击事件938余起,占比7.5%。

漏洞分析:SQL联合查询(UNION)注入攻击是比较简单的注入方式,但是很常见。UNION操作符用于合并两个或多个SELECT语句的结果集,而且UNION内部的SELECT语句必须拥有相同数量的列,列也必须拥有相似的数据类型,同时,每条SELCCT语句中的列的顺序必须相同。通过UNION注入的应用场景一般需要满足两个条件:1)只有最后一个SELECT子句允许有ORDER BY或LIMIT;2)注入点页面有回显。

本月攻击事件中SQL联合查询注入攻击示例如图12所示。攻击者请求目标IP的NewsType.asp页面,并注入了UNION查询语句。如果注入成功,则页面将回显查询结果信息,造成数据泄露。

关键信息基础设施网络安全(物联网安全专题)监测月报202103期

图12  SQL联合查询注入攻击示例

5.3 物联网资产数据流转情况

针对重点行业物联网资产的数据流转情况进行监测,本月共有2396个行业资产存在与境外节点的通信行为,通信频次为40144万次。通联境外国家Top10排名如图13所示,其中排名最高的是美国(通信13423万次,节点294万个)。各行业通联事件及资产数量分布如图14所示,其中通信频次最多的为电力行业,涉及1740个资产的28831万余次通信。

关键信息基础设施网络安全(物联网安全专题)监测月报202103期

图13  境外通联国家事件Top10

关键信息基础设施网络安全(物联网安全专题)监测月报202103期

图14  行业通联事件资产分布

5.4 重点行业物联网安全威胁情报

( 1 ) 攻击节点威胁情报

在针重点行业物联网资产的网络攻击中,本月发起攻击事件最多的境外IP Top10信息如表8所示,涉及攻击事件2725起,占攻击总事件的39.27%。

表8  境外攻击IP Top10

IP

攻击事件数

攻击类型

攻击行业

45.155.205.225

2573

远程代码执行攻击

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

45.146.165.157

1017

远程代码执行攻击

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

45.148.10.190

271

远程代码执行攻击

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

2.57.122.97

195

目录遍历攻击

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

210.108.70.119

169

命令注入攻击

远程代码执行攻击

漏洞利用攻击

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

185.204.1.224

137

远程代码执行攻击

1. 电力

2. 石油石化

3. 车联网

45.146.164.135

108

SQL注入攻击

1. 电力

162.251.95.117

95

命令注入攻击

远程代码执行攻击

漏洞利用攻击

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

103.249.87.117

88

远程代码执行攻击

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

185.12.95.70

87

命令注入攻击

1. 电力

2. 石油石化

3. 车联网

( 2 ) 数据访问威胁情报

在针对重点行业物联网资产的数据访问事件中,本月与境内行业资产访问频次最多的境外IP Top10信息如表9所示。

表9  数据访问IP Top10

IP

国家

数据访问事件数

数据访问资产数

端口

涉及行业

40.119.211.203

新加坡

513186

277

151/137/443/154

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

40.90.189.152

新加坡

499974

281

443

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

52.139.250.253

新加坡

478674

277

500/443

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

117.18.237.29

澳大利亚

385705

525

500

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

45.155.205.209

荷兰

365169

1579

9999/443/3306/8888/8000/3309

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

40.64.66.113

美国

355909

253

443

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

125.141.231.111

韩国

354528

45

5555/4001/9000/6666

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

52.139.251.88

新加坡

327274

122

2343/2050/2311/2113

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

203.231.146.133

韩国

322912

43

5555/3388/9000/6666

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

185.191.171.1

美国

296275

276

80/443/9006/8080

1. 电力

2. 石油石化

3. 车联网

4. 轨道交通

对重点行业物联网安全态势进行评估,目前重点行业中的物联网资产仍然面临较多网络安全风险,频繁遭受攻击,各行业应提高防护意识,加强本行业的网络安全技术防护手段建设。


6
总结

CNCERT通过宏观数据监测,在活跃设备、探测组织、重点行业攻击事件等方面发现多种物联网安全问题,然而需要指出的是,目前所发现的问题只是物联网网络安全的冰山一角,CNCERT将长期关注物联网网络安全问题,持续开展安全监测和定期通报工作,同时期望与各行业共同携手,提高行业物联网安全防护水平。



转载请注明来源:关键基础设施安全应急响应中心

关键信息基础设施网络安全(物联网安全专题)监测月报202103期

本文始发于微信公众号(关键基础设施安全应急响应中心):关键信息基础设施网络安全(物联网安全专题)监测月报202103期

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: