根据CNCERT监测数据,自2020年12月1日至31日,共监测到物联网(IoT)设备恶意样本5620个,发现样本传播服务器IP地址23万4179个,境内被攻击的设备地址达761万个。
本月发现22万3179个传播Mozi僵尸网络恶意程序的服务器IP,其中属于境外国家/地区的IP地址主要位于印度(67.9%)、巴西(12.9%)等,地域分布如图1所示。
图1 境外Mozi僵尸网络传播服务器IP地址国家/地区分布
境内被Mozi僵尸网络攻击的IoT设备的IP地址达714万个,主要位于台湾(20.4%)、浙江(19.7%)、北京(15.5%)等,地域分布如图2所示。
本月共发现23万4179个恶意样本传播服务器IP,在Mozi僵尸网络以外,境外国家/地区的传播服务器IP的地域分布较为均衡,如图3所示。
图4 本期传播IP在往期监测月份出现的数量
按样本分发数量排序,分发最多的10个C段为:
表1 样本分发数量最多的10个C段
|
序号 |
IP |
数量 |
|
1 |
59.97.169.0/24 |
817 |
|
2 |
59.99.93.0/24 |
793 |
|
3 |
59.97.168.0/24 |
792 |
|
4 |
117.242.211.0/24 |
788 |
|
5 |
117.202.79.0/24 |
784 |
|
6 |
117.192.224.0/24 |
784 |
|
7 |
59.97.171.0/24 |
779 |
|
8 |
59.95.173.0/24 |
777 |
|
9 |
117.211.41.0/24 |
773 |
|
10 |
59.99.92.0/24 |
773 |
|
序号 |
IP |
数量 |
|
1 |
2.57.122.214 |
罗马尼亚 |
|
2 |
37.49.230.52 |
荷兰 |
|
3 |
107.174.192.221 |
美国 |
|
4 |
193.239.147.182 |
美国 |
|
5 |
193.109.217.15 |
俄罗斯 |
|
6 |
80.211.31.159 |
意大利 |
|
7 |
205.185.116.78 |
美国 |
|
8 |
2.57.122.223 |
罗马尼亚 |
|
9 |
51.81.91.243 |
美国 |
|
10 |
46.249.33.36 |
荷兰 |
除了使用集中的地址进行传播,还有很多物联网恶意程序使用P2P方式进行传播,根据监测情况,境内物联网两大P2P僵尸网络——Hajime和Mozi本月新增传播IP共19万9573个(其中Hajime有4万8190个,Mozi有15万1383个)。
境内被攻击IoT设备地址分布,其中,浙江占比最高,为19.6%,其次是台湾(19.2%)、北京(14.9%)、广东(7.9%)等,如图5所示。
表3 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)
|
漏洞利用 |
攻击次数 |
百分比 |
|
Netgear_DGN1000 |
71034602 |
31.4% |
|
D_Link_Devices_HNAP_SoapAction_Header_VideoGallery_Command_Injection |
65159024 |
28.8% |
|
JAWS_Webserver_unauthenticated_Shell_Command_Injection |
53123129 |
23.5% |
|
Vacron_NVR_Remote_Command_Execution |
12571311 |
5.6% |
|
CVE_2018_10561_GPON_Router |
9325769 |
4.1% |
|
DLink_OS_Command_Injection |
6737128 |
3.0% |
|
Zyxel_EirD1000_Router |
2885463 |
1.3% |
|
CVE_2014_8361_Realtek_SDK_UPnP |
2569693 |
1.1% |
|
ThinkPHP_5X_Remote_Command_Injection |
1075414 |
0.5% |
|
CVE_2017_17215_Huawei_Router |
779509 |
0.3% |
对监测到的5620个恶意样本进行家族统计分析,发现主要是Gafgyt、Mirai、Tsunami、Hajime等家族的变种。样本传播时常用的文件名有Mozi、i、mips等,按样本数量统计如图6所示。
|
序号 |
样本哈希 |
家族 |
|
1 |
b5cf68c7cb5bb2d21d60bf6654926f61566d95bfd7c9f9e182d032f1da5b4605 |
Mozi |
|
2 |
12013662c71da69de977c04cd7021f13a70cf7bed4ca6c82acbc100464d4b0ef |
Mozi |
|
3 |
2e4506802aedea2e6d53910dfb296323be6620ac08c4b799a879eace5923a7b6 |
Mozi |
|
4 |
f6c97b1e2ed02578ca1066c8235ba4f991e645f89012406c639dbccc6582eec8 |
Mirai |
|
5 |
c672798dca67f796972b42ad0c89e25d589d2e70eb41892d26adbb6a79f63887 |
Mozi |
|
6 |
d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8 |
Mozi |
|
7 |
9e0a15a4318e3e788bad61398b8a40d4916d63ab27b47f3bdbe329c462193600 |
Mozi |
|
8 |
4293c1d8574dc87c58360d6bac3daa182f64f7785c9d41da5e0741d2b1817fc7 |
Mirai |
|
9 |
e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0 |
Mozi |
|
10 |
2916f8d5b9b94093d72a6b9cdf0a4c8f5f38d70d5cea4444869ab33cd7e1f243 |
Mirai |
2020年12月,值得关注的物联网相关的在野漏洞利用如下:
D Link DIR 865L Ax120B01 Command Injection(CVE-2020-13782)
漏洞信息:
D-Link DIR-865L Ax 1.20B01 Beta 设备可以被注入并执行任意命令。
在野利用POC:
Zyxel NAS RCE Attempt Inbound(CVE-2020-9054)
物联网安全威胁情报(2020年1月)
物联网安全威胁情报(2020年3月)
物联网安全威胁情报(2020年4月)
物联网安全威胁情报(2020年5月)
物联网安全威胁情报(2020年6月)
物联网安全威胁情报(2020年7月)
物联网安全威胁情报(2020年8月)
物联网安全威胁情报(2020年9月)
物联网安全威胁情报(2020年10月)
物联网安全威胁情报(2020年11月)
本文始发于微信公众号(网络安全应急技术国家工程实验室):物联网安全威胁情报(2020年12月)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论