关键信息基础设施网络安全(物联网安全专题)监测月报202102期

  • A+
所属分类:云安全

1
概述

根据《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》对关键信息基础设施定义和范围的阐述,关键信息基础设施(Critical InformationInfrastructure,CII)是指一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息基础设施,包括能源、交通、水利、金融、电子政务、公共通信和信息服务等关键行业和领域。

随着“新基建”、“工业互联网”等国家战略的快速推进以及Lora、NB-IOT、eMTC、5G等技术的快速发展,物联网与关键信息基础设施已开始深度融合,在提高行业的运行效率和便捷性的同时,也面临严峻的网络安全和数据安全挑战。因此,亟需对关键信息基础设施的物联网安全问题加以重视和防护。
以下是CNCERT 20212月的监测情况。

2
物联网终端设备监测情况

2.1 活跃物联网设备总体情况

本月国内活跃物联网设备数132,275台,包括工业控制、视频监控、网络交换等8个大类,涉及西门子、罗克韦尔、海康威视、大华、思科等40个主流厂商。

在所发现的活跃物联网设备中,判别疑似物联网蜜罐设备227个,蜜罐伪装成可编程逻辑控制器、视频监控设备设备,仿真了HTTP、SNMP、Modbus等常用协议。实际活跃的物联网设备132,048台分布在全国各个省份,重点分布在广东、浙江、江苏等省份。各省份设备数量分布情况如图1所示 。

关键信息基础设施网络安全(物联网安全专题)监测月报202102期

图1 活跃物联网设备省份分布

2.2 特定类型物联网设备重点分析

在发现的活跃物联网设备中,本月针对对工业控制设备开展重点分析。国内活跃工控设备511台,包括可编程逻辑控制器、工业交换机、串口服务器等6种类型,涉及西门子、罗克韦尔、施耐德等15个主流厂商。

在本月所发现的工控设备中,基于资产的的Banner信息和ISP归属信息等进行综合研判,识别疑似蜜罐设备159个,占比31%,仿真协议包括Modbus、S7Comm、SNMP等,典型蜜罐特征如表1所示。

表1 工控设备蜜罐特征

仿真协议
仿真端口
蜜罐资产数量
蜜罐特征
SNMP
161
140
 
1. 唯一性标识信息重复

Modbus
502
8
1. IPS为云服务提供商
2. 服务端口开放众多
3. 多个工控协议并存
S7Comm
102
23
1. ISP为云服务提供商
2. 服务端口开放众多
3. 唯一性标识信息重复
4. 标识信息不符合规约

以设备132.232.*.202为例,设备指纹信息为Siemens S7 PLC,IP的地理位置为四川省成都市。由于其节点类型属于公有云节点,且具有指纹信息不完整、服务端口开放众多等特征,可判定其为蜜罐设备。设备的端口开放信息如图2所示。

关键信息基础设施网络安全(物联网安全专题)监测月报202102期

图2 疑似工控设备蜜罐的端口开放情况

去除占比31%的工控设备蜜罐,本月实际监测发现活跃工控设备352台。对这些设备进行漏洞识别,151台设备识别到安全风险,包括高危漏洞设备103台和中危漏洞设备48台。这些具有漏洞的工控设备主要分布在辽宁、天津、江苏等20个省份,详细的设备省份分布如图3所示。

关键信息基础设施网络安全(物联网安全专题)监测月报202102期
图3 具有漏洞的工控设备省份分布

3
探测组织活动监测

3.1 探测组织活跃性分析

本月监测发现来自Shodan、ShadowServer和Umich和Rapid7等扫描探测组织的111个探测节点针对境内9,299万个IP发起探测活动,探测事件总计17,157万余起,涉及探测目标端口35,000余个,境内IP地址分布于31个省份,以北京、上海、广东等省市居多。重点组织的探测活动情况如表2所示。

表2 重点组织的探测活跃情况

探测组织名称

探测事件数

节点数量

目的IP数

探测端口数

目标省份数

Shadowserver

49423327

23

35170364

4389

31

Shodan

122117778

21

70705734

31436

31

Umich

32204

57

1317

7111

30

Rapid7

2652

10

220

141

18

监测发现的111个探测组织活跃节点,分别包括Shodan探测节点21个、Shadowserver探测节点23个、Umich探测节点57个和Rapid7探测节点10个,主要分布在美国、荷兰、冰岛等地区,详细的地理位置分布如图4所示。

关键信息基础设施网络安全(物联网安全专题)监测月报202102期
图4 探测组织活跃节点地理位置分布

按照探测组织节点活跃情况进行排序,表3为最活跃的10个节点信息,主要是Shodan和Shadowserver组织的节点,这十个节点的探测事件数达13,025万起,占总事件的70.56%。

表3 探测组织活跃节点Top10

探测节点

所属组织

节点位置

探测事件

93.174.95.106

Shodan

荷兰

29713559

89.248.167.131

Shodan

荷兰

15140401

71.6.135.131

Shodan

美国

12968797

71.6.146.185

Shodan

美国

12613435

71.6.146.186

Shodan

美国

12488072

94.102.49.190

Shodan

荷兰

12181883

184.105.247.235

Shadowserver

美国

8073000

184.105.247.194

Shadowserver

美国

7115798

71.6.167.142

Shodan

美国

5981894

66.240.236.119

Shodan

美国

4790379

3.2 探测组织行为分析:Shodan

为详细了解探测组织的探测行为,本月对Shodan组织的探测行为进行了重点监测分析。

( 1 ) Shodan探测节点整体活动情况

监测发现Shodan组织活跃节点21个,探测事件4,345万起,探测目标端口19,604个,目标涉及境内2,964万个IP地址,覆盖全国31个省级行政区。监测发现的最为活跃节点信息如表4所示。

表4  Shodan探测节点活跃度排序

探测节点

节点位置

探测事件

探测端口

熟知端口(0~1023)

93.174.95.106

荷兰

10661832

6049

73

89.248.167.131

荷兰

5477298

4484

70

71.6.146.186

美国

4728690

3469

72

71.6.146.185

美国

4718271

3034

71

71.6.135.131

美国

4356243

3365

71

94.102.49.190

荷兰

4264296

1551

69

71.6.167.142

美国

1846920

2590

69

66.240.236.119

美国

1593182

2563

70

71.6.165.200

美国

1432553

1465

73

66.240.219.146

美国

1292613

1529

69

66.240.192.138

美国

1174921

1139

70

94.102.49.193

荷兰

958837

1035

69

89.248.172.16

荷兰

447470

882

70

71.6.158.166

美国

157047

11

3

198.20.99.130

美国

113869

36

5

82.221.105.7

冰岛

60383

36

2

82.221.105.6

冰岛

49859

14

3

198.20.70.114

美国

43450

49

6

198.20.69.98

美国

39994

39

2

198.20.87.98

美国

28693

11

2

71.6.167.124

美国

5915

120

29

( 2 ) Shodan探测节点时间行为分析

图5为Shodan活跃节点按天的活跃热度图。首先,从节点每天探测数据趋势可以看出,每个节点的活跃度相对稳定,基本保持在同一个数量级下;其次,不同节点的探测活跃度存在明显差异,探测活跃高的节点日探测事件高达百万起,而探测活跃低的节点日探测事件仅有数千起。同时,结合表4的节点信息可以看出,位于荷兰的探测节点数量虽然不多,但无论是探测事件还是探测端口的数量,量级都比较高。

关键信息基础设施网络安全(物联网安全专题)监测月报202102期

图5 Shodan节点日活跃热度图

( 3 ) Shodan探测节点协议行为分析

图6为Shodan节点按协议统计的探测行为热度图。从图中可以看出如下几点特征:第一,对于多数节点而言,同一节点针对不同协议的探测频率分布是比较均匀的;第二,对比不同的节点差异,93.174.95.106等节点的探测频度及协议数都比较高,198.20.99.130等节点的探测频度比较低,探测的目标特定协议种类也比较少(HTTP、HTTPS等);第三,对比不同协议的被探测频率,整体来讲,针对传统IT类协议的探测频度占比较高,而对于工控物联网协议(如Modbus)的探测频度则占比较小。

关键信息基础设施网络安全(物联网安全专题)监测月报202102期

图6 Shodan节点协议探测频度热度图

( 4 ) 特定协议探测行为分析

针对Modbus协议的探测行为进行重点分析发现,Shodan针对Modbus协议进行探测的节点共13个,主要分布在美国(8个,事件数占比41.7%)和荷兰(5个,事件数占比58.3%),探测端口为TCP:502。

根据探测特征分析,活跃节点基于图7的固定格式对Modbus协议进行探测:从站地址填充0,即广播地址,表示不强制要求从站响应;功能码填充17,表示报告从机标识,可使主机判断编址从站的类型及该从机运行指示灯的状态。与探测特征对应的响应格式如图8所示,可以看出携带了厂商和型号等信息。

关键信息基础设施网络安全(物联网安全专题)监测月报202102期

图7 Modbus协议探测格式示例

关键信息基础设施网络安全(物联网安全专题)监测月报202102期

图8 Modbus协议响应格式示例


4
物联网恶意代码监测

根据CNCERT监测数据,自2021年2月1日至28日,共监测到物联网恶意样本3,314个。发现样本传播服务器IP地址16.08万个,主要位于印度(63.3%)、科索沃(13.1%)、巴西(8.4%)、俄罗斯(3.3%)等;境内疑似被感染的设备地址达121万余个,主要位于河南(32.2%)、香港(14.1%)、广东(12.5%)等,见图9所示。详情参见威胁情报月报。

关键信息基础设施网络安全(物联网安全专题)监测月报202102期

图9 境内被感染设备地域分布


5
重点行业物联网安全

5.1 整体情况概述

为了解重点行业物联网网络安全态势,本月筛选了电力、石油、车联网和轨道交通等行业的2,396个资产(含物联网设备及物联网相关的web资产)进行抽样监测。监测发现,本月遭受攻击的资产有1,074个,主要分布在北京、广西、浙江等30个省份,涉及攻击事件6,939起。其中,各行业被攻击资产数量及攻击事件分布如表5所示,被攻击资产的省份分布如图10所示。

表5 行业资产及攻击事件分布

行业类别

监测资产数

被攻击资产数

攻击事件数

电力

1738

751

5350

车联网

275

143

640

石油石化

246

118

682

轨道交通

137

59

267

关键信息基础设施网络安全(物联网安全专题)监测月报202102期
图10 重点行业被攻击资产的省份分布

对上述网络攻击事件进行分析,境外攻击源涉及美国、韩国等在内的国家2,303个,攻击节点数总计1,367个。其中,其中,攻击事件源IP主要位于美国、韩国、印度、日本和俄罗斯等国家。

对网络攻击事件的类型进行分析,本月面向行业资产的网络攻击中,攻击类型涵盖了远程代码执行攻击、任意命令执行攻击、Web应用攻击、逻辑漏洞利用攻击、目录遍历攻击等。详细的攻击类型分布如图11所示。

关键信息基础设施网络安全(物联网安全专题)监测月报202102期

图11 物联网行业资产攻击类型分布

5.2 特定攻击类型分析

在针对重点行业物联网资产的网络攻击事件中,本月占比最高的攻击类型是PHPUnit远程代码执行漏洞攻击(CVE-2017-9841),攻击事件高达1,919余起,占比27.7%。

漏洞背景:PHPUnit是PHP中最常见的单元测试框架。通过PHPUnit会使用依赖管理器Composer进行部署,从而会在当前目录创建一个vendor文件夹。如果PHPUnit生产环境中仍然安装了它,且编写器模块存在于Web可访问目录,则存在远程代码执行漏洞。

漏洞分析:PHPUnit远程代码执行漏洞存在于phpunit/src/Util/PHP/eval-stdin.php,攻击者可以通过向vendor/phpunit/src/Util/PHP/eval-stdin.php发送请求执行PHP代码。本月攻击事件中PHPUnit远程代码执行漏洞攻击示例如图12所示所示。

关键信息基础设施网络安全(物联网安全专题)监测月报202102期

图12  PHPUnit远程代码执行漏洞攻击示例

如图12所示,攻击者请求目标IP的vendor/phpunit/src/Util/PHP/eval-stdin.php页面,请求数据为可执行的PHP代码md5(“phpunit”)。如果被攻击目标存在该漏洞,则将执行PHP代码并返回执行结果。

5.3 物联网数据跨境流转情况

针对重点行业物联网资产的数据流转情况进行监测,本月共有2,396个行业资产存在与境外节点的通信行为,通信频次为28,932万次。通联境外国家Top10排名如图13所示,其中排名最高的是美国(通信11,319万次,节点327万个)。各行业通联事件及资产数量分布如图14所示,其中通信频次最多的为电力行业,涉及1,738个资产的21,463万余次通信。

关键信息基础设施网络安全(物联网安全专题)监测月报202102期

图13 境外通联国家事件Top10

关键信息基础设施网络安全(物联网安全专题)监测月报202102期

图14 行业通联事件资产分布

5.4 重点行业物联网安全威胁情报

( 1 ) 攻击节点威胁情报

在针重点行业物联网资产的网络攻击中,本月发起攻击事件最多的境外IPTop10信息如表6所示,涉及攻击事件2,725起,占攻击总事件的39.27%。

表6 境外攻击IP Top10

IP
国家
攻击事件数
攻击类型
攻击行业
45.155.205.108
俄罗斯
1687
远程代码执行攻击
1. 电力
2. 石油石化
3. 车联网
4. 轨道交通
210.108.70.119
韩国
288
远程代码执行攻击
命令注入攻击
漏洞利用攻击
1. 电力
2. 石油石化
3. 车联网
4. 轨道交通
45.155.205.225
俄罗斯
179
远程代码执行攻击
1. 电力
2. 石油石化
3. 车联网
4. 轨道交通
103.124.147.22
印度
尼西亚
157
命令注入攻击
1. 电力
2. 车联网
65.49.27.189
美国
98
远程代码执行攻击
命令注入攻击
漏洞利用攻击
1. 电力
2. 石油石化
3. 车联网
4. 轨道交通
34.94.93.161
美国
88
命令注入攻击
1. 电力
2. 石油石化
3. 车联网
4. 轨道交通
195.85.33.109
美国
61
远程代码执行攻击
1. 电力
2. 石油石化
3. 轨道交通
212.8.247.179
俄罗斯
58
命令注入攻击
1. 电力
2. 石油石化
3. 车联网
209.141.40.190
美国
56
漏洞利用攻击
1. 电力
2. 石油石化
3. 车联网
4. 轨道交通
45.146.167.88
俄罗斯
53
SQL注入攻击
1. 电力

( 2 ) 数据访问威胁情报

在针对重点行业物联网资产的数据访问事件中,本月与境内行业资产访问频次最多的境外IP Top10信息如表7所示。

表7 数据访问IP Top10

IP

国家
数据访问事件数
数据访问资产数
端口
涉及行业
52.139.250.253
新加坡
761303
373
443
1. 电力
2. 车联网
3. 石油石化
4. 轨道交通
40.119.211.203
新加坡
700293
354
80
1. 电力
2. 车联网
3. 石油石化
4. 轨道交通
125.141.231.111
韩国
663987
56
9000/5555/9993/4490
1. 电力
2. 车联网
3. 石油石化
4. 轨道交通
40.90.189.152
新加坡
661282
337
80
1. 电力
2. 车联网
3. 石油石化
4. 轨道交通
52.139.251.88
新加坡
560465
168
 
443
1. 电力
2. 车联网
3. 石油石化
4. 轨道交通
188.124.36.170
俄罗斯
449308
208
8090/3333/8090/3389/7126/6666
1. 电力
2. 车联网
3. 石油石化
4. 轨道交通
40.64.66.113
美国
392405
319
443
1. 电力
2. 车联网
3. 石油石化
4. 轨道交通
40.119.249.228
新加坡
377918
510
443
1. 电力
2. 车联网
3. 石油石化
4. 轨道交通
40.74.108.123
日本
375133
500
443
1. 电力
2. 车联网
3. 石油石化
4. 轨道交通
117.18.237.29
澳大利亚
353952
676
443
1. 电力
2. 车联网
3. 石油石化
4. 轨道交通
对重点行业物联网安全态势进行评估,目前重点行业中的物联网资产仍然面临较多网络安全风险,频繁遭受攻击,各行业应提高防护意识,加强本行业的网络安全技术防护手段建设。



转载请注明来源:关键基础设施安全应急响应中心

关键信息基础设施网络安全(物联网安全专题)监测月报202102期

本文始发于微信公众号(关键基础设施安全应急响应中心):关键信息基础设施网络安全(物联网安全专题)监测月报202102期

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: