《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 物聯(lián)網(wǎng)安全威脅情報(2021年3月)

物聯(lián)網(wǎng)安全威脅情報(2021年3月)

2021-04-14
來源: 關鍵基礎設施安全應急響應中心

  1

  總體概述

  根據(jù)CNCERT監(jiān)測數(shù)據(jù),,自2021年3月1日至31日,,共監(jiān)測到物聯(lián)網(wǎng)(IoT)設備攻擊行為6億1682萬次,捕獲IoT惡意樣本2738個,,發(fā)現(xiàn)IoT惡意程序傳播IP地址21萬1085個,、威脅資產(chǎn)(IP地址)155萬余個,境內(nèi)被攻擊的設備地址達771萬個,。

  2

  惡意程序傳播情況

  本月發(fā)現(xiàn)21萬1085個IoT惡意程序傳播地址,,位于境外的IP地址主要位于印度(57.06%)、科索沃(21.67%),、巴西(8.33%),、俄羅斯(3.07%)等國家/地區(qū),地域分布如圖1所示,。

 1.png

  圖1 境外惡意程序傳播服務器IP地址國家/地區(qū)分布

  在本月發(fā)現(xiàn)的惡意樣本傳播IP地址中,,有11萬8496個為新增,其余在往期監(jiān)測月份中也有發(fā)現(xiàn),。往前追溯半年,,按監(jiān)測月份排列,歷史及新增IP分布如圖2所示,。

 2.png

  圖2 歷史及新增傳播IP地址數(shù)量

  3

  攻擊源分析

  黑客采用密碼爆破和漏洞利用的方式進行攻擊,,根據(jù)監(jiān)測情況,共發(fā)現(xiàn)6億1682萬個物聯(lián)網(wǎng)相關的漏洞利用行為,,被利用最多的10個已知IoT漏洞分別是:

  表1 本月被利用最多的10個已知IoT漏洞(按攻擊次數(shù)統(tǒng)計)

微信截圖_20210414151353.png

  發(fā)起攻擊次數(shù)最多的10個威脅資產(chǎn)(IP地址)是:

  表2 本月發(fā)起攻擊次數(shù)最多的10個IP地址

  2.png

  本月共發(fā)現(xiàn)155萬6753個IoT設備威脅資產(chǎn)(IP地址),,其中,絕大多數(shù)資產(chǎn)向網(wǎng)絡中的其他設備發(fā)起攻擊,,一部分資產(chǎn)提供惡意程序下載服務,。境外威脅資產(chǎn)主要位于美國(43.87%),、印度(7.11%)、加拿大(3.97%),、英國(3.46%)等國家或地區(qū),,地域分布如圖3所示。

  3.png

  圖3 境外威脅資產(chǎn)的國家/地區(qū)分布(前30個)

  境內(nèi)威脅資產(chǎn)主要位于河南(29.07%),、廣東(14.4%),、香港(13.05%)、臺灣(8.32%)等行政區(qū),,地域分布如圖4所示,。

4.png

  圖4 境內(nèi)威脅資產(chǎn)的省市分布

  4

  被攻擊情況

  境內(nèi)被攻擊的IoT設備的IP地址有771萬4848個,主要位于浙江(20%),、臺灣(16.45%),、北京(16%)、廣東(7.92%)等,,地域分布如圖5所示,。

 5.png

  圖5 境內(nèi)被攻擊的IoT設備IP地址的地域分布

  5

  樣本情況

  本月捕獲IoT惡意程序樣本2738個,惡意程序傳播時常用的文件名有Mozi,、i,、bin等,按樣本數(shù)量統(tǒng)計如圖6所示,。

  6.png

  圖6 惡意程序文件名分布(前30種)

  按樣本數(shù)量統(tǒng)計,,漏洞利用方式在惡意程序中的分布如圖7所示。

  微信圖片_20210414151626.jpg

  圖7 漏洞利用方式在惡意程序中的分布(前10種)

  按樣本數(shù)量統(tǒng)計,,分發(fā)惡意程序數(shù)量最多的10個C段IP地址為:

  表3 分發(fā)惡意程序數(shù)量最多的10個C段IP地址

  微信截圖_20210414151659.png

  按攻擊IoT設備的IP地址數(shù)量排序,,排名前10的樣本為:

  表4 攻擊設備最多的10個樣本

  3.png

  6.最新在野漏洞利用情況

  DLink DIR 825 R1 Pre Authentication RCE(CVE-2020-29557)

  漏洞信息:

  8.png

  D-Link DIR-825是中國臺灣友訊(D-Link)公司的一款路由器。D-Link DIR-825 R1 devices 版本 3.0.1 至 2020-11-20 存在緩沖區(qū)錯誤漏洞,,該漏洞源于web界面的緩沖區(qū)溢出,,攻擊者可利用該漏洞在身份驗證前實現(xiàn)遠程代碼執(zhí)行。

  在野利用POC:

 9.png

  參考資料:

  https://shaqed.github.io/dlink/

  https://www.anquanke.com/vul/id/2335033

  https://twitter.com/cvenew/status/1355255842782773250

  Netgear ProSAFE Plus UnauthenticatedRCE(CVE-2020-26919)

  漏洞信息:

  NETGEAR JGS516PE是美國網(wǎng)件(NETGEAR)公司的一款交換機,。NETGEAR JGS516PE devices 2.6.0.43之前版本存在安全漏洞,,該漏洞源于設備在功能級別上受到缺少訪問控制。

  在野利用POC:

 10.png

  參考資料:

  https://f5.pm/go-61386.html

  https://www.anquanke.com/vul/id/2187757

  https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/

  DLink DNS 320 v2.06B01 system_mgr.cgiCommand Injection(CVE-2020-25506)

  漏洞信息:

  D-Link DNS-320是中國臺灣友訊(D-Link)公司的一款NAS(網(wǎng)絡附屬存儲)設備,。D-Link DNS-320 FW v2.06B01 Revision 存在命令注入漏洞,,該漏洞源于system_mgr.cgi組件中的命令注入影響,可能導致遠程任意執(zhí)行代碼,。

  在野利用POC:

 11.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章,、圖片,、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者,。如涉及作品內(nèi)容,、版權和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]