物联网安全威胁情报（2020年7月）

1

总体概述

根据CNCERT监测数据，自2020年7月1日至31日，共监测到物联网（IoT）设备恶意样本10259个，发现样本传播服务器IP地址46800个，境内被攻击的设备地址达746万个。

2

传播IP情况

本月共发现46800个恶意样本传播服务器IP，境外国家/地区的传播服务器IP主要位于俄罗斯（16.7%）、巴西（11.6%）、格鲁吉亚（10.6%）、伊朗（6.2%）等，地域分布如图1所示。

图1 恶意程序服务器IP地址国家（地区）分布图

在本月发现的恶意样本传播IP地址中，有35326个为新增，11474个在往期监测月份中也有发现。往前追溯半年，按监测月份排列，历史及新增IP分布如图2所示。

图2 本期传播IP在往期监测月份出现的数量

按样本分发数量排序，分发最多的10个C段为：

表1 样本分发数量最多的10个C段

目前仍活跃的恶意程序传播服务器IP地址中，按攻击设备的地址数量排序，前10为：

表2 攻击设备最多的10个恶意程序传播服务器IP地址

除了使用集中的地址进行传播，还有很多物联网恶意程序使用P2P方式进行传播，根据监测情况，境内物联网两大P2P僵尸网络——Hajime和Mozi本月新增传播IP共34345个（其中Hajime有21325个，Mozi有13020个）。

3

被攻击IP情况

境内被攻击IoT设备地址分布，其中，浙江占比最高，为19.6%，其次是北京（14.7%）、台湾（12.9%）、广东（8.7%）等，如图3所示。

图3 境内被攻击IoT设备IP地址省市分布图

黑客采用密码爆破和漏洞利用的方式进行攻击，根据监测情况，共发现3亿8245万个物联网相关的漏洞利用行为，被利用最多的10个已知IoT漏洞分别是：

表3 本月被利用最多的10个已知IoT漏洞（按攻击次数统计）

4

样本情况

对监测到的10259个恶意样本进行家族统计分析，发现主要是Gafgyt、Mirai、Tsunami、Hajime等家族的变种，样本家族分布如图4所示。

图4 恶意样本家族分布

样本传播时常用的文件名有mips、sora、sparc等，按样本数量统计如图5所示。

图5 恶意样本文件名分布

按样本数量进行统计，漏洞利用方式在样本中的分布如图6所示。

图6 漏洞利用方式在恶意样本中的分布

按攻击IoT设备的IP地址数量排序，排名前10的样本为：

表4 攻击设备最多的10个样本信息

5

往期回顾

物联网安全威胁情报（2020年1月）

物联网安全威胁情报（2020年3月）

物联网安全威胁情报（2020年4月）

物联网安全威胁情报（2020年5月）

物联网安全威胁情报（2020年6月）

原文来源：关键基础设施安全应急响应中心