物联网安全威胁情报(2020年11月)

  • A+
所属分类:安全新闻

1
总体概述
根据CNCERT监测数据,自2020年11月1日至30日,共监测到物联网(IoT)设备恶意样本7941个,发现样本传播服务器IP地址17万6249个,境内被攻击的设备地址达699万个。

2
传播IP情况
本月共发现17万6249个恶意样本传播服务器IP,其中有16万3135个IP传播Mozi恶意程序。在Mozi僵尸网络以外,境外国家/地区的传播服务器IP主要位于美国(13.2)、巴西(11.2%)、俄罗斯(9.3%)、韩国(7.9%)等,地域分布如图1所示。

物联网安全威胁情报(2020年11月)

图1 恶意程序服务器IP地址国家(地区)分布图

在本月发现的恶意样本传播IP地址中,有104298个为新增,71951个在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。

物联网安全威胁情报(2020年11月)
图2 本期传播IP在往期监测月份出现的数量
按样本分发数量排序,分发最多的10个C段为:
表1 样本分发数量最多的10个C段
物联网安全威胁情报(2020年11月)
目前仍活跃的恶意程序传播服务器IP地址中,按攻击设备的地址数量排序,前10为:

表2 攻击设备最多的10个恶意程序传播服务器IP地址

物联网安全威胁情报(2020年11月)
除了使用集中的地址进行传播,还有很多物联网恶意程序使用P2P方式进行传播,根据监测情况,境内物联网两大P2P僵尸网络——Hajime和Mozi本月新增传播IP共11万9109个(其中Hajime有1万9323个,Mozi有9万9786个)。

3
被攻击IP情况
境内被攻击IoT设备地址分布,其中,浙江占比最高,为21.1%,其次是北京(15.9%)、台湾(13.4%)、广东(8.6%)等,如图3所示。
物联网安全威胁情报(2020年11月)
图3 境内被攻击IoT设备IP地址省市分布图

黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现2亿1881万个物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:

表3 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)
物联网安全威胁情报(2020年11月)


4
样本情况

对监测到的7941个恶意样本进行家族统计分析,发现主要是Gafgyt、Mirai、Tsunami、Hajime等家族的变种,样本家族分布如图4所示。

物联网安全威胁情报(2020年11月)
图4 恶意样本家族分布

样本传播时常用的文件名有Mozi、i、mips等,按样本数量统计如图5所示。

物联网安全威胁情报(2020年11月)
图5 恶意样本文件名分布

按样本数量进行统计,漏洞利用方式在样本中的分布如图6所示。

物联网安全威胁情报(2020年11月)
图6 漏洞利用方式在恶意样本中的分布
按攻击IoT设备的IP地址数量排序,排名前10的样本为:

表4 攻击设备最多的10个样本信息

物联网安全威胁情报(2020年11月)

5
最新在野漏洞利用情况

2020年11月,值得关注的物联网相关的在野漏洞利用如下:

Geutebruck_IP_Cameras_RCE

(CVE-2020-16205)

漏洞信息:

Geutebruck IP Camera是德国Geutebruck公司的一款网络摄像机。使用巧尽心思构建的URL命令,远程认证用户可以在G-Cam和G-Code上以root用户身份执行命令(固件版本1.12.0.25及以前版本以及受限版本1.12.13.2和1.12.14.5)。

在野利用POC:

物联网安全威胁情报(2020年11月)

参考资料:

https://www.seebug.org/vuldb/ssvid-98335
https://packetstormsecurity.com/files/cve/CVE-2020-16205

Weblogic 10.3.6.0版本 Console HTTP RCE漏洞(CVE-2020-14882/CVE-2020-14883)

漏洞信息:

在Oracle官方发布的2020年10月关键补丁更新公告CPU中,包含一个存在于WeblogicConsole中的高危远程代码执行漏洞CVE-2020-14882。该漏洞与CVE-2020-14883权限绕过漏洞配合,可以使得攻击者在未经身份验证的情况下执行任意代码并接管WebLogicServer Console。

在野利用POC:

物联网安全威胁情报(2020年11月)

参考资料:
https://xz.aliyun.com/t/8470
https://paper.seebug.org/1395/
https://www.freebuf.com/vuls/254408.html
https://dl.packetstormsecurity.net/2010-exploits/oraclewls-exec.txt
https://testbnull.medium.com/weblogic-rce-by-only-one-get-request-cve-2020-14882-analysis-6e4b09981dbf

6
往期回顾

物联网安全威胁情报(2020年1月)

物联网安全威胁情报(2020年3月)

物联网安全威胁情报(2020年4月)

物联网安全威胁情报(2020年5月)

物联网安全威胁情报(2020年6月)

物联网安全威胁情报(2020年7月)

物联网安全威胁情报(2020年8月)

物联网安全威胁情报(2020年9月)

物联网安全威胁情报(2020年10月)



原文来自:关键基础设施安全应急响应中心

物联网安全威胁情报(2020年11月)

本文始发于微信公众号(网络安全应急技术国家工程实验室):物联网安全威胁情报(2020年11月)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: