1
總體概述
根據(jù)CNCERT監(jiān)測數(shù)據(jù),,自2021年3月1日至31日,,共監(jiān)測到物聯(lián)網(wǎng)(IoT)設備攻擊行為6億1682萬次,捕獲IoT惡意樣本2738個,,發(fā)現(xiàn)IoT惡意程序傳播IP地址21萬1085個,、威脅資產(chǎn)(IP地址)155萬余個,境內(nèi)被攻擊的設備地址達771萬個,。
2
惡意程序傳播情況
本月發(fā)現(xiàn)21萬1085個IoT惡意程序傳播地址,,位于境外的IP地址主要位于印度(57.06%)、科索沃(21.67%),、巴西(8.33%),、俄羅斯(3.07%)等國家/地區(qū),地域分布如圖1所示,。
圖1 境外惡意程序傳播服務器IP地址國家/地區(qū)分布
在本月發(fā)現(xiàn)的惡意樣本傳播IP地址中,,有11萬8496個為新增,其余在往期監(jiān)測月份中也有發(fā)現(xiàn),。往前追溯半年,,按監(jiān)測月份排列,歷史及新增IP分布如圖2所示,。
圖2 歷史及新增傳播IP地址數(shù)量
3
攻擊源分析
黑客采用密碼爆破和漏洞利用的方式進行攻擊,,根據(jù)監(jiān)測情況,共發(fā)現(xiàn)6億1682萬個物聯(lián)網(wǎng)相關的漏洞利用行為,,被利用最多的10個已知IoT漏洞分別是:
表1 本月被利用最多的10個已知IoT漏洞(按攻擊次數(shù)統(tǒng)計)
發(fā)起攻擊次數(shù)最多的10個威脅資產(chǎn)(IP地址)是:
表2 本月發(fā)起攻擊次數(shù)最多的10個IP地址
本月共發(fā)現(xiàn)155萬6753個IoT設備威脅資產(chǎn)(IP地址),,其中,絕大多數(shù)資產(chǎn)向網(wǎng)絡中的其他設備發(fā)起攻擊,,一部分資產(chǎn)提供惡意程序下載服務,。境外威脅資產(chǎn)主要位于美國(43.87%),、印度(7.11%)、加拿大(3.97%),、英國(3.46%)等國家或地區(qū),,地域分布如圖3所示。
圖3 境外威脅資產(chǎn)的國家/地區(qū)分布(前30個)
境內(nèi)威脅資產(chǎn)主要位于河南(29.07%),、廣東(14.4%),、香港(13.05%)、臺灣(8.32%)等行政區(qū),,地域分布如圖4所示,。
圖4 境內(nèi)威脅資產(chǎn)的省市分布
4
被攻擊情況
境內(nèi)被攻擊的IoT設備的IP地址有771萬4848個,主要位于浙江(20%),、臺灣(16.45%),、北京(16%)、廣東(7.92%)等,,地域分布如圖5所示,。
圖5 境內(nèi)被攻擊的IoT設備IP地址的地域分布
5
樣本情況
本月捕獲IoT惡意程序樣本2738個,惡意程序傳播時常用的文件名有Mozi,、i,、bin等,按樣本數(shù)量統(tǒng)計如圖6所示,。
圖6 惡意程序文件名分布(前30種)
按樣本數(shù)量統(tǒng)計,,漏洞利用方式在惡意程序中的分布如圖7所示。
圖7 漏洞利用方式在惡意程序中的分布(前10種)
按樣本數(shù)量統(tǒng)計,,分發(fā)惡意程序數(shù)量最多的10個C段IP地址為:
表3 分發(fā)惡意程序數(shù)量最多的10個C段IP地址
按攻擊IoT設備的IP地址數(shù)量排序,,排名前10的樣本為:
表4 攻擊設備最多的10個樣本
6.最新在野漏洞利用情況
DLink DIR 825 R1 Pre Authentication RCE(CVE-2020-29557)
漏洞信息:
D-Link DIR-825是中國臺灣友訊(D-Link)公司的一款路由器。D-Link DIR-825 R1 devices 版本 3.0.1 至 2020-11-20 存在緩沖區(qū)錯誤漏洞,,該漏洞源于web界面的緩沖區(qū)溢出,,攻擊者可利用該漏洞在身份驗證前實現(xiàn)遠程代碼執(zhí)行。
在野利用POC:
參考資料:
https://shaqed.github.io/dlink/
https://www.anquanke.com/vul/id/2335033
https://twitter.com/cvenew/status/1355255842782773250
Netgear ProSAFE Plus UnauthenticatedRCE(CVE-2020-26919)
漏洞信息:
NETGEAR JGS516PE是美國網(wǎng)件(NETGEAR)公司的一款交換機,。NETGEAR JGS516PE devices 2.6.0.43之前版本存在安全漏洞,,該漏洞源于設備在功能級別上受到缺少訪問控制。
在野利用POC:
參考資料:
https://f5.pm/go-61386.html
https://www.anquanke.com/vul/id/2187757
https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/
DLink DNS 320 v2.06B01 system_mgr.cgiCommand Injection(CVE-2020-25506)
漏洞信息:
D-Link DNS-320是中國臺灣友訊(D-Link)公司的一款NAS(網(wǎng)絡附屬存儲)設備,。D-Link DNS-320 FW v2.06B01 Revision 存在命令注入漏洞,,該漏洞源于system_mgr.cgi組件中的命令注入影響,可能導致遠程任意執(zhí)行代碼,。
在野利用POC: