根据《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》对关键信息基础设施定义和范围的阐述,关键信息基础设施(Critical InformationInfrastructure,CII)是指一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息基础设施,包括能源、交通、水利、金融、电子政务、公共通信和信息服务等关键行业和领域。
2.1 活跃物联网设备总体情况
本月国内活跃物联网设备数132,275台,包括工业控制、视频监控、网络交换等8个大类,涉及西门子、罗克韦尔、海康威视、大华、思科等40个主流厂商。
在所发现的活跃物联网设备中,判别疑似物联网蜜罐设备227个,蜜罐伪装成可编程逻辑控制器、视频监控设备设备等,仿真了HTTP、SNMP、Modbus等常用协议。实际活跃的物联网设备132,048台分布在全国各个省份,重点分布在广东、浙江、江苏等省份。各省份设备数量分布情况如图1所示 。
2.2 特定类型物联网设备重点分析
在发现的活跃物联网设备中,本月针对对工业控制设备开展重点分析。国内活跃工控设备511台,包括可编程逻辑控制器、工业交换机、串口服务器等6种类型,涉及西门子、罗克韦尔、施耐德等15个主流厂商。
在本月所发现的工控设备中,基于资产的的Banner信息和ISP归属信息等进行综合研判,识别疑似蜜罐设备159个,占比31%,仿真协议包括Modbus、S7Comm、SNMP等,典型蜜罐特征如表1所示。
表1 工控设备蜜罐特征
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
以设备132.232.*.202为例,设备指纹信息为Siemens S7 PLC,IP的地理位置为四川省成都市。由于其节点类型属于公有云节点,且具有指纹信息不完整、服务端口开放众多等特征,可判定其为蜜罐设备。设备的端口开放信息如图2所示。
图2 疑似工控设备蜜罐的端口开放情况
去除占比31%的工控设备蜜罐,本月实际监测发现活跃工控设备352台。对这些设备进行漏洞识别,151台设备识别到安全风险,包括高危漏洞设备103台和中危漏洞设备48台。这些具有漏洞的工控设备主要分布在辽宁、天津、江苏等20个省份,详细的设备省份分布如图3所示。
3.1 探测组织活跃性分析
本月监测发现来自Shodan、ShadowServer和Umich和Rapid7等扫描探测组织的111个探测节点针对境内9,299万个IP发起探测活动,探测事件总计17,157万余起,涉及探测目标端口35,000余个,境内IP地址分布于31个省份,以北京、上海、广东等省市居多。重点组织的探测活动情况如表2所示。
表2 重点组织的探测活跃情况
探测组织名称 |
探测事件数 |
节点数量 |
目的IP数 |
探测端口数 |
目标省份数 |
Shadowserver |
49423327 |
23 |
35170364 |
4389 |
31 |
Shodan |
122117778 |
21 |
70705734 |
31436 |
31 |
Umich |
32204 |
57 |
1317 |
7111 |
30 |
Rapid7 |
2652 |
10 |
220 |
141 |
18 |
监测发现的111个探测组织活跃节点,分别包括Shodan探测节点21个、Shadowserver探测节点23个、Umich探测节点57个和Rapid7探测节点10个,主要分布在美国、荷兰、冰岛等地区,详细的地理位置分布如图4所示。
按照探测组织节点活跃情况进行排序,表3为最活跃的10个节点信息,主要是Shodan和Shadowserver组织的节点,这十个节点的探测事件数达13,025万起,占总事件的70.56%。
表3 探测组织活跃节点Top10
探测节点 |
所属组织 |
节点位置 |
探测事件 |
93.174.95.106 |
Shodan |
荷兰 |
29713559 |
89.248.167.131 |
Shodan |
荷兰 |
15140401 |
71.6.135.131 |
Shodan |
美国 |
12968797 |
71.6.146.185 |
Shodan |
美国 |
12613435 |
71.6.146.186 |
Shodan |
美国 |
12488072 |
94.102.49.190 |
Shodan |
荷兰 |
12181883 |
184.105.247.235 |
Shadowserver |
美国 |
8073000 |
184.105.247.194 |
Shadowserver |
美国 |
7115798 |
71.6.167.142 |
Shodan |
美国 |
5981894 |
66.240.236.119 |
Shodan |
美国 |
4790379 |
3.2 探测组织行为分析:Shodan
为详细了解探测组织的探测行为,本月对Shodan组织的探测行为进行了重点监测分析。
( 1 ) Shodan探测节点整体活动情况
监测发现Shodan组织活跃节点21个,探测事件4,345万起,探测目标端口19,604个,目标涉及境内2,964万个IP地址,覆盖全国31个省级行政区。监测发现的最为活跃节点信息如表4所示。
表4 Shodan探测节点活跃度排序
探测节点 |
节点位置 |
探测事件 |
探测端口 |
熟知端口(0~1023) |
93.174.95.106 |
荷兰 |
10661832 |
6049 |
73 |
89.248.167.131 |
荷兰 |
5477298 |
4484 |
70 |
71.6.146.186 |
美国 |
4728690 |
3469 |
72 |
71.6.146.185 |
美国 |
4718271 |
3034 |
71 |
71.6.135.131 |
美国 |
4356243 |
3365 |
71 |
94.102.49.190 |
荷兰 |
4264296 |
1551 |
69 |
71.6.167.142 |
美国 |
1846920 |
2590 |
69 |
66.240.236.119 |
美国 |
1593182 |
2563 |
70 |
71.6.165.200 |
美国 |
1432553 |
1465 |
73 |
66.240.219.146 |
美国 |
1292613 |
1529 |
69 |
66.240.192.138 |
美国 |
1174921 |
1139 |
70 |
94.102.49.193 |
荷兰 |
958837 |
1035 |
69 |
89.248.172.16 |
荷兰 |
447470 |
882 |
70 |
71.6.158.166 |
美国 |
157047 |
11 |
3 |
198.20.99.130 |
美国 |
113869 |
36 |
5 |
82.221.105.7 |
冰岛 |
60383 |
36 |
2 |
82.221.105.6 |
冰岛 |
49859 |
14 |
3 |
198.20.70.114 |
美国 |
43450 |
49 |
6 |
198.20.69.98 |
美国 |
39994 |
39 |
2 |
198.20.87.98 |
美国 |
28693 |
11 |
2 |
71.6.167.124 |
美国 |
5915 |
120 |
29 |
( 2 ) Shodan探测节点时间行为分析
图5为Shodan活跃节点按天的活跃热度图。首先,从节点每天探测数据趋势可以看出,每个节点的活跃度相对稳定,基本保持在同一个数量级下;其次,不同节点的探测活跃度存在明显差异,探测活跃高的节点日探测事件高达百万起,而探测活跃低的节点日探测事件仅有数千起。同时,结合表4的节点信息可以看出,位于荷兰的探测节点数量虽然不多,但无论是探测事件还是探测端口的数量,量级都比较高。
图5 Shodan节点日活跃热度图
( 3 ) Shodan探测节点协议行为分析
图6为Shodan节点按协议统计的探测行为热度图。从图中可以看出如下几点特征:第一,对于多数节点而言,同一节点针对不同协议的探测频率分布是比较均匀的;第二,对比不同的节点差异,93.174.95.106等节点的探测频度及协议数都比较高,198.20.99.130等节点的探测频度比较低,探测的目标特定协议种类也比较少(HTTP、HTTPS等);第三,对比不同协议的被探测频率,整体来讲,针对传统IT类协议的探测频度占比较高,而对于工控物联网协议(如Modbus)的探测频度则占比较小。
图6 Shodan节点协议探测频度热度图
( 4 ) 特定协议探测行为分析
针对Modbus协议的探测行为进行重点分析发现,Shodan针对Modbus协议进行探测的节点共13个,主要分布在美国(8个,事件数占比41.7%)和荷兰(5个,事件数占比58.3%),探测端口为TCP:502。
根据探测特征分析,活跃节点基于图7的固定格式对Modbus协议进行探测:从站地址填充0,即广播地址,表示不强制要求从站响应;功能码填充17,表示报告从机标识,可使主机判断编址从站的类型及该从机运行指示灯的状态。与探测特征对应的响应格式如图8所示,可以看出携带了厂商和型号等信息。
图7 Modbus协议探测格式示例
图8 Modbus协议响应格式示例
根据CNCERT监测数据,自2021年2月1日至28日,共监测到物联网恶意样本3,314个。发现样本传播服务器IP地址16.08万个,主要位于印度(63.3%)、科索沃(13.1%)、巴西(8.4%)、俄罗斯(3.3%)等;境内疑似被感染的设备地址达121万余个,主要位于河南(32.2%)、香港(14.1%)、广东(12.5%)等,见图9所示。详情参见威胁情报月报。
图9 境内被感染设备地域分布
5.1 整体情况概述
为了解重点行业物联网网络安全态势,本月筛选了电力、石油、车联网和轨道交通等行业的2,396个资产(含物联网设备及物联网相关的web资产)进行抽样监测。监测发现,本月遭受攻击的资产有1,074个,主要分布在北京、广西、浙江等30个省份,涉及攻击事件6,939起。其中,各行业被攻击资产数量及攻击事件分布如表5所示,被攻击资产的省份分布如图10所示。
表5 行业资产及攻击事件分布
行业类别 |
监测资产数 |
被攻击资产数 |
攻击事件数 |
电力 |
1738 |
751 |
5350 |
车联网 |
275 |
143 |
640 |
石油石化 |
246 |
118 |
682 |
轨道交通 |
137 |
59 |
267 |
对上述网络攻击事件进行分析,境外攻击源涉及美国、韩国等在内的国家2,303个,攻击节点数总计1,367个。其中,其中,攻击事件源IP主要位于美国、韩国、印度、日本和俄罗斯等国家。
对网络攻击事件的类型进行分析,本月面向行业资产的网络攻击中,攻击类型涵盖了远程代码执行攻击、任意命令执行攻击、Web应用攻击、逻辑漏洞利用攻击、目录遍历攻击等。详细的攻击类型分布如图11所示。
图11 物联网行业资产攻击类型分布
5.2 特定攻击类型分析
在针对重点行业物联网资产的网络攻击事件中,本月占比最高的攻击类型是PHPUnit远程代码执行漏洞攻击(CVE-2017-9841),攻击事件高达1,919余起,占比27.7%。
漏洞背景:PHPUnit是PHP中最常见的单元测试框架。通过PHPUnit会使用依赖管理器Composer进行部署,从而会在当前目录创建一个vendor文件夹。如果PHPUnit生产环境中仍然安装了它,且编写器模块存在于Web可访问目录,则存在远程代码执行漏洞。
漏洞分析:PHPUnit远程代码执行漏洞存在于phpunit/src/Util/PHP/eval-stdin.php,攻击者可以通过向vendor/phpunit/src/Util/PHP/eval-stdin.php发送请求执行PHP代码。本月攻击事件中PHPUnit远程代码执行漏洞攻击示例如图12所示所示。
图12 PHPUnit远程代码执行漏洞攻击示例
如图12所示,攻击者请求目标IP的vendor/phpunit/src/Util/PHP/eval-stdin.php页面,请求数据为可执行的PHP代码md5(“phpunit”)。如果被攻击目标存在该漏洞,则将执行PHP代码并返回执行结果。
5.3 物联网数据跨境流转情况
针对重点行业物联网资产的数据流转情况进行监测,本月共有2,396个行业资产存在与境外节点的通信行为,通信频次为28,932万次。通联境外国家Top10排名如图13所示,其中排名最高的是美国(通信11,319万次,节点327万个)。各行业通联事件及资产数量分布如图14所示,其中通信频次最多的为电力行业,涉及1,738个资产的21,463万余次通信。
图13 境外通联国家事件Top10
图14 行业通联事件资产分布
5.4 重点行业物联网安全威胁情报
( 1 ) 攻击节点威胁情报
在针重点行业物联网资产的网络攻击中,本月发起攻击事件最多的境外IPTop10信息如表6所示,涉及攻击事件2,725起,占攻击总事件的39.27%。
表6 境外攻击IP Top10
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
( 2 ) 数据访问威胁情报
在针对重点行业物联网资产的数据访问事件中,本月与境内行业资产访问频次最多的境外IP Top10信息如表7所示。
表7 数据访问IP Top10
IP |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
转载请注明来源:关键基础设施安全应急响应中心
本文始发于微信公众号(关键基础设施安全应急响应中心):关键信息基础设施网络安全(物联网安全专题)监测月报202102期
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论