物联网安全威胁情报(2021年6月)

  • A+
所属分类:安全新闻

1
总体概述

根据CNCERT监测数据,自2021年6月1日至30日,共监测到物联网(IoT)设备攻击行为4亿2370万次,捕获IoT恶意样本2838个,发现IoT恶意程序传播IP地址31万5183个、威胁资产(IP地址)656万余个,境内被攻击的设备地址达852万个。 


2
恶意程序传播情

本月发现31万5183个IoT恶意程序传播地址,位于境外的IP地址主要位于印度(42.3%0、科索沃(6.5%)、巴西(3.5%)、俄罗斯(3.4%)等国家/地区,地域分布如图1所示。

物联网安全威胁情报(2021年6月)

图1 境外恶意程序传播服务器IP地址国家/地区分布

在本月发现的恶意样本传播IP地址中,有15万6442个为新增,其余在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。

物联网安全威胁情报(2021年6月)

图2 历史及新增传播IP地址数量


3
攻击源分析

黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现4亿2370万次物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是

表1 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)

物联网安全威胁情报(2021年6月)

发起攻击次数最多的10个威胁资产(IP地址)是:

表2 本月发起攻击次数最多的10个IP地址

物联网安全威胁情报(2021年6月)
本月共发现656万9940个IoT设备威胁资产(IP地址),其中,绝大多数资产向网络中的其他设备发起攻击,一部分资产提供恶意程序下载服务。境外威胁资产主要位于美国(42.3%)、德国(6.5%)、印度(3.5%)、法国(3.4%)等国家或地区,地域分布如图3所示。
物联网安全威胁情报(2021年6月)

图3 境外威胁资产的国家/地区分布(前30个)

境内威胁资产主要位于广东(16.6%)、香港(13.0%)、河南(11.7%)、北京(9.2%)等行政区,地域分布如图4所示。

物联网安全威胁情报(2021年6月)

图4 境内威胁资产数量的省市分布


4
被攻击情况

境内被攻击的IoT设备的IP地址有852万689个,主要位于香港(28.7%)、北京(11.8%)、台湾(11.3%)、广东(9.2%)等,地域分布如图5所示。

物联网安全威胁情报(2021年6月)

图5 境内被攻击的IoT设备IP地址的地域分布


5
样本情况

本月捕获IoT恶意程序样本2838个,恶意程序传播时常用的文件名有Mozi、i、bin等,按样本数量统计如图6所示。

物联网安全威胁情报(2021年6月)

图6 恶意程序文件名分布(前30种)

按样本数量统计,漏洞利用方式在恶意程序中的分布如图7所示。

物联网安全威胁情报(2021年6月)

图7 漏洞利用方式在恶意程序中的分布(前10种)

按样本数量统计,分发恶意程序数量最多的10个C段IP地址为:

表3 分发恶意程序数量最多的10个C段IP地址

物联网安全威胁情报(2021年6月)

按攻击IoT设备的IP地址数量排序,排名前10的样本为:

表4 攻击设备最多的10个样本信息

物联网安全威胁情报(2021年6月)

监测到活跃的控制端主机(C&C服务器)IP地址1603个,共与130万余个IP有通联行为。按通联IP数量排序,排名前10的C&C地址为:

表5 通联节点最多的10个控制端主机(C&C服务器)IP地址

物联网安全威胁情报(2021年6月)

6
最新在野漏洞利用情况

2021年6月,值得关注的物联网相关的在野漏洞利用如下:

Tenda AC11 Router Stack Buffer Overflow Vulnerability(CVE-2021-31755)

漏洞信息:

Tenda AC11是中国腾达(Tenda)公司的一款路由器。Tenda AC11 devices with firmware 02.03.01.104_CN版本及之前版本存在安全漏洞,该漏洞源于/goform/setmac,攻击者可利用该漏洞通过一个精心制作的post请求在系统上执行任意代码。

在野利用POC:

物联网安全威胁情报(2021年6月)

参考资料:

https://www.anquanke.com/vul/id/2439592

https://github.com/Yu3H0/IoT_CVE/tree/main/Tenda/CVE_3

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-31755

https://twitter.com/unit42_intel/status/1402655493735206915

TamronOS IPTV VOD RCE

漏洞信息:

TamronOS IPTV/VOD系统是一套基于Linux内核开发的宽带运营商、酒店、学校直播点播一体解决方案,系统提供了多种客户端(Android机顶盒、电视、PC版点播、手机版点播)方便用户通过不同的设备接入。由于未对ping接口进行限制,造成了命令执行漏洞。并且可以前台命令执行。

在野利用POC:

物联网安全威胁情报(2021年6月)

参考资料:

https://twitter.com/sec715/status/1405336456923471874


7
往期回顾

物联网安全威胁情报(2020年8月)

物联网安全威胁情报(2020年9月)

物联网安全威胁情报(2020年10月)

物联网安全威胁情报(2020年11月)

物联网安全威胁情报(2020年12月)

物联网安全威胁情报(2021年1月)

物联网安全威胁情报(2021年2月)

物联网安全威胁情报(2021年3月)

物联网安全威胁情报(2021年4月)

物联网安全威胁情报(2021年5月)



转载请注明来源:关键基础设施安全应急响应中心

物联网安全威胁情报(2021年6月)

本文始发于微信公众号(关键基础设施安全应急响应中心):物联网安全威胁情报(2021年6月)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: