根据《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》对关键信息基础设施定义和范围的阐述,关键信息基础设施(Critical InformationInfrastructure,CII)是指一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息基础设施,包括能源、交通、水利、金融、电子政务、公共通信和信息服务等关键行业和领域。
随着“新基建”、“工业互联网”等战略的快速推进以及Lora、NB-IOT、eMTC、5G等技术的快速发展,物联网与关键信息基础设施已开始深度融合,在提高行业的运行效率和便捷性的同时,也面临严峻的网络安全和数据安全挑战。因此,亟需对关键信息基础设施的物联网安全问题加以重视和防护。
CNCERT依托宏观数据,对关键信息基础设施中的物联网网络安全和数据安全等方面的问题进行专项监测,以下是本月的监测情况。
2.1 活跃物联网设备总体情况
本月对物联网设备的抽样监测显示,国内活跃物联网设备数170,981台,包括工业控制设备、视频监控设备、网络交换设备等10个大类,涉及西门子、罗克韦尔、海康威视、大华、思科等36个主流厂商。
在本月所发现的活跃物联网设备中,判别疑似物联网蜜罐设备308个,蜜罐伪装成可编程逻辑控制器、视频监控设备等设备,仿真了HTTP、SNMP、Modbus、BACnet等常用协议。实际活跃的物联网设备170,673台分布在全国各个省份,重点分布在广东、浙江、江苏等省份。各省份设备数量分布情况如图1所示。
2.2 特定类型物联网设备重点分析
在发现的活跃物联网设备中,本月针对对工业控制设备开展重点分析。国内活跃工控设备682台,包括可编程逻辑控制器、工业交换机、串口服务器等6种类型,涉及西门子、罗克韦尔、施耐德等10个主流厂商。
在本月所发现的工控设备中,基于资产的的Banner信息和ISP归属信息等进行综合研判,识别疑似蜜罐设备235个,占比34%,仿真协议包括Modbus、S7Comm、SNMP和EtherNetIP等,典型蜜罐特征如表1所示。
表1 工控设备蜜罐特征
|
仿真协议 |
仿真端口 |
蜜罐资产数量 |
蜜罐特征 |
|
SNMP |
161 |
198 |
1. 唯一性标识信息重复 |
|
EtherNetIP |
44818 |
5 |
1. ISP为云服务提供商 2. 服务端口开放众多 |
|
BACnet |
47808 |
7 |
1. ISP为云服务提供商 |
|
FINS |
9600 |
2 |
1. ISP为云服务提供商 2. 服务端口开放众多 |
|
Modbus |
502 |
4 |
1. ISP为云服务提供商 2. 服务端口开放众多 3. 多个工控协议并存 |
|
S7Comm |
102 |
19 |
1. ISP为云服务提供商 2. 服务端口开放众多 3. 唯一性标识信息重复 4. 标识信息不符合规约 |
以设备113.227.*.229为例,设备指纹信息如表2所示。监测发现,113.227.0.0/16网段内同时存活四台同型号设备,且设备序列号(设备唯一性标识)均为“S C-W3T223932008”,可以判定为属于蜜罐仿真设备。
表2 113.227.*.229设备指纹信息
|
厂商 |
Siemens |
|
品牌 |
SIMATIC S7 |
|
型号 |
CPU 314 |
|
序列号 |
S C-W3T223932008 |
去除占比34%的工控设备蜜罐,本月实际监测发现活跃工控设备447台。对这些设备进行漏洞识别,187台设备识别到安全风险,包括高危漏洞设备135台和中危漏洞设备52台。这些具有漏洞的工控设备主要分布在辽宁、江苏、天津等19个省份,详细的设备省份分布如图2所示。
3.1 扫描探测组织活跃性分析
本月监测发现来自Shodan、ShadowServer和密歇根大学等扫描探测组织的122个探测节点针对境内12629万个IP发起探测活动,探测事件总计25520万余起,涉及探测目标端口35186余个,境内IP地址分布于31个省份,以北京、上海、广东等省市居多。重点组织的探测活动情况如表3所示。
表3 重点组织的探测活跃情况
|
探测组织名称 |
探测事件数 |
节点数量 |
目的IP数 |
探测端口数 |
目标省份数 |
|
Rapid7 |
12993 |
10 |
467 |
350 |
24 |
|
UMich |
260624 |
58 |
2412 |
11843 |
31 |
|
Shadowserver |
113905147 |
22 |
69869355 |
2145 |
31 |
|
Shodan |
141028924 |
32 |
82814687 |
30399 |
31 |
监测发现的122个探测组织活跃节点,分别包括Shodan探测节点32个、Shadowserver探测节点22个、Umich探测节点58个和Rapid7探测节点10个,主要分布在美国、荷兰、冰岛等地区,详细的地理位置分布如图3所示。
按照探测组织节点活跃情况进行排序,表3为最活跃的10个节点信息,主要是Shodan和Shadowserver组织的节点,这十个节点的探测事件数达15271万起,占总事件的59.84%。
表4 探测组织活跃节点Top10
|
探测节点 |
所属组织 |
节点位置 |
探测事件 |
|
93.174.95.106 |
Shodan |
荷兰 |
34946105 |
|
184.105.247.235 |
Shadowserver |
美国 |
18189633 |
|
71.6.167.142 |
Shodan |
美国 |
15376806 |
|
184.105.247.194 |
Shadowserver |
美国 |
15228511 |
|
71.6.146.186 |
Shodan |
美国 |
12476229 |
|
74.82.47.57 |
Shadowserver |
美国 |
12099952 |
|
94.102.49.190 |
Shodan |
荷兰 |
11780816 |
|
71.6.146.185 |
Shodan |
美国 |
11535312 |
|
184.105.247.216 |
Shadowserver |
美国 |
10753780 |
|
184.105.247.208 |
Shadowserver |
美国 |
10323272 |
3.2 扫描探测节点发现
为发现更多未知的探测节点,我们基于Shodan组织针对Modbus协议的探测特征进行了监测,新增发现Shodan探测节点9个,如表5所示;发现疑似未知组织探测节点11个。这些节点针对Modbus协议的探测行为主要包括两种,分别为报告从站ID(Func: 17, Report Slave ID)和读取设备标识(Func:43, Read Device Identification), 示例如图4和图5所示。
表5 新增Shodan节点信息
|
节点IP |
节点域名 |
节点位置 |
|
80.82.77.33 |
sky.census.shodan.io |
荷兰 |
|
71.6.199.23 |
einstein.census.shodan.io |
美国 |
|
80.82.77.139 |
dojo.census.shodan.io |
荷兰 |
|
185.165.190.34 |
red.census.shodan.io |
荷兰 |
|
185.142.236.34 |
hat.census.shodan.io |
荷兰 |
|
185.142.236.35 |
wine.census.shodan.io |
荷兰 |
|
185.142.239.16 |
red2.census.shodan.io |
荷兰 |
|
195.144.21.56 |
red3.census.shodan.io |
乌克兰 |
|
185.181.102.18 |
turtle.census.shodan.io |
罗马尼亚 |
图4 Modbus协议探测示例-报告从站ID
图5 Modbus协议探测示例-读取设备标识
3.3 探测组织行为重点分析——ShadowServer组织
为详细了解探测组织的探测行为,本月对Shadowserver组织的探测行为进行了重点监测分析。
( 1 ) Shadowserver探测节点整体活动情况
监测发现Shadowserver组织活跃节点22个,探测事件11390万起,探测目标端口2145个,目标涉及境内6986万个IP地址,覆盖全国31个省级行政区。监测发现的最为活跃节点信息如表6所示。
表6 Shadowserver探测节点活跃度排序
|
探测节点 |
节点位置 |
探测事件 |
探测端口 |
熟知端口 (0~1023) |
|
184.105.247.235 |
美国 |
18189633 |
386 |
13 |
|
184.105.247.194 |
美国 |
15228511 |
688 |
22 |
|
74.82.47.57 |
美国 |
12099952 |
168 |
11 |
|
184.105.247.216 |
美国 |
10753780 |
150 |
10 |
|
184.105.247.208 |
美国 |
10323272 |
145 |
12 |
|
184.105.139.102 |
美国 |
4230957 |
100 |
12 |
|
184.105.139.110 |
美国 |
4048535 |
85 |
12 |
|
216.218.206.75 |
美国 |
3994831 |
98 |
12 |
|
74.82.47.39 |
美国 |
3827650 |
145 |
11 |
|
216.218.206.115 |
美国 |
3653599 |
106 |
12 |
|
74.82.47.51 |
美国 |
3242356 |
125 |
10 |
|
74.82.47.59 |
美国 |
3145820 |
106 |
12 |
|
184.105.247.232 |
美国 |
2947781 |
93 |
11 |
|
184.105.139.91 |
美国 |
2478251 |
87 |
10 |
|
74.82.47.58 |
美国 |
2162175 |
115 |
13 |
|
216.218.206.88 |
美国 |
1832191 |
90 |
12 |
|
74.82.47.42 |
美国 |
1828833 |
97 |
12 |
|
184.105.247.226 |
美国 |
1826889 |
102 |
11 |
|
74.82.47.40 |
美国 |
1793224 |
110 |
12 |
|
184.105.139.80 |
美国 |
1763238 |
99 |
11 |
|
184.105.247.242 |
美国 |
1729467 |
102 |
11 |
( 2 ) Shadowserver探测节点时间行为分析
图6为Shadowserver活跃节点按天的活跃热度图。首先,从节点每天探测数据趋势可以看出,每个节点的活跃度相对稳定,基本保持在同一个数量级下;其次,不同节点的探测活跃度存在一定程度的差异,探测活跃高的节点日探测事件几十万起,而探测活跃低的节点日探测事件为几万起。同时,位于同网段的探测节点,探测活跃度也存在不同,如IP为184.105.139.102和184.105.139.110的节点,日探测事件远高于IP为184.105.139.80和184.105.139.91的节点。
图6 Shadowserver 节点日活跃热度图
( 3 ) Shadowserver探测节点协议行为分析
图7为Shadowserver节点按协议统计的探测行为热度图。从图中可以看出如下几点特征:第一,对于多数节点而言,针对同一协议的探测频率分布比较均匀,存在个别节点(如184.105.247.194),探测频率比较高;第二,同一节点针对不同协议的探测频度不同;第三,不同节点的探测协议分布不同,如DNS、TFTP、NTP等协议,只有部分节点存在探测行为;第四,对比不同协议的被探测频率,整体来讲,针对传统IT类协议的探测频度占比较高,而对于工控物联网协议(如Modbus)的探测本次分析未发现。
图7 Shadowserver节点协议探测频度热度图
( 4 ) 特定协议探测行为分析
针对DNS协议的探测行为进行重点分析发现,Shadowserver针对DNS协议进行探测的节点共4个,归属于184.105.247.1/24网段和74.82.47.1/24网段,节点全部分布在美国,探测端口为UDP:53。
针对DNS协议的探测特征进行重点分析发现,不同网段节点的探测特征不同。其中,184.105.247.1/24网段内的节点通过随机域名的方式识别目标主机是否存在DNS服务,而74.82.47.1/24网段内的节点则是固定查询“dnsscan.shadowserver.org”域名的方式识别目标主机是否存在DNS服务。探测特征分别如图8和图9所示。
图8 184.105.247.1/24节点DNS协议探测示例
图9 74.82.47.1/24节点DNS协议探测示例
根据CNCERT监测数据,自2021年3月1日至30日,共监测到物联网(IoT)设备恶意样本2738个。发现样本传播服务器IP地址21万1085个,主要位于印度等国家。境内疑似被感染的设备地址达771万个,其中,浙江占比最高,为20%,其次是台湾(16.45%)、北京(16%)、广东(7.92%)等。详情参见威胁情报月报。
5.1 物联网行业安全概述
为了解重点行业物联网网络安全态势,本月筛选了电力、石油、车联网和轨道交通等行业的2396个资产(含物联网设备及物联网相关的web资产)进行监测。监测发现,本月遭受攻击的资产有1355个,主要分布在北京、广东、浙江等31个省份,涉及攻击事件12454起。其中,各行业被攻击资产数量及攻击事件分布如表7所示,被攻击资产的省份分布如图10所示。
表7 行业资产及攻击事件分布
|
行业类别 |
监测资产数 |
被攻击资产数 |
攻击事件数 |
|
电力 |
1738 |
948 |
9156 |
|
车联网 |
275 |
206 |
1569 |
|
石油石化 |
246 |
131 |
1110 |
|
轨道交通 |
137 |
70 |
619 |
对上述网络攻击事件进行分析,境外攻击源涉及美国、韩国等在内的国家85个,攻击节点数总计2401个。其中,按照攻击事件源IP的国家分布,排名前5分别为美国(1978起)、韩国(1144起)、印度(610起)、俄罗斯(481起)和科索沃(429起)。
对网络攻击事件的类型进行分析,本月面向行业资产的网络攻击中,攻击类型涵盖了远程代码执行攻击、命令执行攻击、SQL注入攻击、漏洞利用攻击、目录遍历攻击等。详细的攻击类型分布如图11所示。
图11 物联网行业资产攻击类型分布
5.2 特定攻击类型分析
在针对重点行业物联网资产的网络攻击事件中,本月占比最高的攻击类型是PHPUnit远程代码执行漏洞攻击(CVE-2017-9841),攻击事件高达4411余起,占比35.4%;其次是SQL联合查询注入攻击,攻击事件938余起,占比7.5%。
漏洞分析:SQL联合查询(UNION)注入攻击是比较简单的注入方式,但是很常见。UNION操作符用于合并两个或多个SELECT语句的结果集,而且UNION内部的SELECT语句必须拥有相同数量的列,列也必须拥有相似的数据类型,同时,每条SELCCT语句中的列的顺序必须相同。通过UNION注入的应用场景一般需要满足两个条件:1)只有最后一个SELECT子句允许有ORDER BY或LIMIT;2)注入点页面有回显。
本月攻击事件中SQL联合查询注入攻击示例如图12所示。攻击者请求目标IP的NewsType.asp页面,并注入了UNION查询语句。如果注入成功,则页面将回显查询结果信息,造成数据泄露。
图12 SQL联合查询注入攻击示例
5.3 物联网资产数据流转情况
针对重点行业物联网资产的数据流转情况进行监测,本月共有2396个行业资产存在与境外节点的通信行为,通信频次为40144万次。通联境外国家Top10排名如图13所示,其中排名最高的是美国(通信13423万次,节点294万个)。各行业通联事件及资产数量分布如图14所示,其中通信频次最多的为电力行业,涉及1740个资产的28831万余次通信。
图13 境外通联国家事件Top10
图14 行业通联事件资产分布
5.4 重点行业物联网安全威胁情报
( 1 ) 攻击节点威胁情报
在针重点行业物联网资产的网络攻击中,本月发起攻击事件最多的境外IP Top10信息如表8所示,涉及攻击事件2725起,占攻击总事件的39.27%。
表8 境外攻击IP Top10
|
IP |
攻击事件数 |
攻击类型 |
攻击行业 |
|
45.155.205.225 |
2573 |
远程代码执行攻击 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
45.146.165.157 |
1017 |
远程代码执行攻击 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
45.148.10.190 |
271 |
远程代码执行攻击 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
2.57.122.97 |
195 |
目录遍历攻击 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
210.108.70.119 |
169 |
命令注入攻击 远程代码执行攻击 漏洞利用攻击 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
185.204.1.224 |
137 |
远程代码执行攻击 |
1. 电力 2. 石油石化 3. 车联网 |
|
45.146.164.135 |
108 |
SQL注入攻击 |
1. 电力 |
|
162.251.95.117 |
95 |
命令注入攻击 远程代码执行攻击 漏洞利用攻击 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
103.249.87.117 |
88 |
远程代码执行攻击 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
185.12.95.70 |
87 |
命令注入攻击 |
1. 电力 2. 石油石化 3. 车联网 |
( 2 ) 数据访问威胁情报
在针对重点行业物联网资产的数据访问事件中,本月与境内行业资产访问频次最多的境外IP Top10信息如表9所示。
表9 数据访问IP Top10
|
IP |
国家 |
数据访问事件数 |
数据访问资产数 |
端口 |
涉及行业 |
|
40.119.211.203 |
新加坡 |
513186 |
277 |
151/137/443/154 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
40.90.189.152 |
新加坡 |
499974 |
281 |
443 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
52.139.250.253 |
新加坡 |
478674 |
277 |
500/443 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
117.18.237.29 |
澳大利亚 |
385705 |
525 |
500 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
45.155.205.209 |
荷兰 |
365169 |
1579 |
9999/443/3306/8888/8000/3309 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
40.64.66.113 |
美国 |
355909 |
253 |
443 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
125.141.231.111 |
韩国 |
354528 |
45 |
5555/4001/9000/6666 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
52.139.251.88 |
新加坡 |
327274 |
122 |
2343/2050/2311/2113 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
203.231.146.133 |
韩国 |
322912 |
43 |
5555/3388/9000/6666 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
|
185.191.171.1 |
美国 |
296275 |
276 |
80/443/9006/8080 |
1. 电力 2. 石油石化 3. 车联网 4. 轨道交通 |
对重点行业物联网安全态势进行评估,目前重点行业中的物联网资产仍然面临较多网络安全风险,频繁遭受攻击,各行业应提高防护意识,加强本行业的网络安全技术防护手段建设。
CNCERT通过宏观数据监测,在活跃设备、探测组织、重点行业攻击事件等方面发现多种物联网安全问题,然而需要指出的是,目前所发现的问题只是物联网网络安全的冰山一角,CNCERT将长期关注物联网网络安全问题,持续开展安全监测和定期通报工作,同时期望与各行业共同携手,提高行业物联网安全防护水平。
转载请注明来源:关键基础设施安全应急响应中心
本文始发于微信公众号(关键基础设施安全应急响应中心):关键信息基础设施网络安全(物联网安全专题)监测月报202103期
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论