《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 物聯(lián)網(wǎng)安全威脅情報(bào)(2021年3月)

物聯(lián)網(wǎng)安全威脅情報(bào)(2021年3月)

2021-04-14
來(lái)源: 關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
關(guān)鍵詞: 物聯(lián)網(wǎng) 安全

  1

  總體概述

  根據(jù)CNCERT監(jiān)測(cè)數(shù)據(jù),自2021年3月1日至31日,共監(jiān)測(cè)到物聯(lián)網(wǎng)(IoT)設(shè)備攻擊行為6億1682萬(wàn)次,捕獲IoT惡意樣本2738個(gè),發(fā)現(xiàn)IoT惡意程序傳播IP地址21萬(wàn)1085個(gè)、威脅資產(chǎn)(IP地址)155萬(wàn)余個(gè),境內(nèi)被攻擊的設(shè)備地址達(dá)771萬(wàn)個(gè)。

  2

  惡意程序傳播情況

  本月發(fā)現(xiàn)21萬(wàn)1085個(gè)IoT惡意程序傳播地址,位于境外的IP地址主要位于印度(57.06%)、科索沃(21.67%)、巴西(8.33%)、俄羅斯(3.07%)等國(guó)家/地區(qū),地域分布如圖1所示。

 1.png

  圖1 境外惡意程序傳播服務(wù)器IP地址國(guó)家/地區(qū)分布

  在本月發(fā)現(xiàn)的惡意樣本傳播IP地址中,有11萬(wàn)8496個(gè)為新增,其余在往期監(jiān)測(cè)月份中也有發(fā)現(xiàn)。往前追溯半年,按監(jiān)測(cè)月份排列,歷史及新增IP分布如圖2所示。

 2.png

  圖2 歷史及新增傳播IP地址數(shù)量

  3

  攻擊源分析

  黑客采用密碼爆破和漏洞利用的方式進(jìn)行攻擊,根據(jù)監(jiān)測(cè)情況,共發(fā)現(xiàn)6億1682萬(wàn)個(gè)物聯(lián)網(wǎng)相關(guān)的漏洞利用行為,被利用最多的10個(gè)已知IoT漏洞分別是:

  表1 本月被利用最多的10個(gè)已知IoT漏洞(按攻擊次數(shù)統(tǒng)計(jì))

微信截圖_20210414151353.png

  發(fā)起攻擊次數(shù)最多的10個(gè)威脅資產(chǎn)(IP地址)是:

  表2 本月發(fā)起攻擊次數(shù)最多的10個(gè)IP地址

  2.png

  本月共發(fā)現(xiàn)155萬(wàn)6753個(gè)IoT設(shè)備威脅資產(chǎn)(IP地址),其中,絕大多數(shù)資產(chǎn)向網(wǎng)絡(luò)中的其他設(shè)備發(fā)起攻擊,一部分資產(chǎn)提供惡意程序下載服務(wù)。境外威脅資產(chǎn)主要位于美國(guó)(43.87%)、印度(7.11%)、加拿大(3.97%)、英國(guó)(3.46%)等國(guó)家或地區(qū),地域分布如圖3所示。

  3.png

  圖3 境外威脅資產(chǎn)的國(guó)家/地區(qū)分布(前30個(gè))

  境內(nèi)威脅資產(chǎn)主要位于河南(29.07%)、廣東(14.4%)、香港(13.05%)、臺(tái)灣(8.32%)等行政區(qū),地域分布如圖4所示。

4.png

  圖4 境內(nèi)威脅資產(chǎn)的省市分布

  4

  被攻擊情況

  境內(nèi)被攻擊的IoT設(shè)備的IP地址有771萬(wàn)4848個(gè),主要位于浙江(20%)、臺(tái)灣(16.45%)、北京(16%)、廣東(7.92%)等,地域分布如圖5所示。

 5.png

  圖5 境內(nèi)被攻擊的IoT設(shè)備IP地址的地域分布

  5

  樣本情況

  本月捕獲IoT惡意程序樣本2738個(gè),惡意程序傳播時(shí)常用的文件名有Mozi、i、bin等,按樣本數(shù)量統(tǒng)計(jì)如圖6所示。

  6.png

  圖6 惡意程序文件名分布(前30種)

  按樣本數(shù)量統(tǒng)計(jì),漏洞利用方式在惡意程序中的分布如圖7所示。

  微信圖片_20210414151626.jpg

  圖7 漏洞利用方式在惡意程序中的分布(前10種)

  按樣本數(shù)量統(tǒng)計(jì),分發(fā)惡意程序數(shù)量最多的10個(gè)C段IP地址為:

  表3 分發(fā)惡意程序數(shù)量最多的10個(gè)C段IP地址

  微信截圖_20210414151659.png

  按攻擊IoT設(shè)備的IP地址數(shù)量排序,排名前10的樣本為:

  表4 攻擊設(shè)備最多的10個(gè)樣本

  3.png

  6.最新在野漏洞利用情況

  DLink DIR 825 R1 Pre Authentication RCE(CVE-2020-29557)

  漏洞信息:

  8.png

  D-Link DIR-825是中國(guó)臺(tái)灣友訊(D-Link)公司的一款路由器。D-Link DIR-825 R1 devices 版本 3.0.1 至 2020-11-20 存在緩沖區(qū)錯(cuò)誤漏洞,該漏洞源于web界面的緩沖區(qū)溢出,攻擊者可利用該漏洞在身份驗(yàn)證前實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

  在野利用POC:

 9.png

  參考資料:

  https://shaqed.github.io/dlink/

  https://www.anquanke.com/vul/id/2335033

  https://twitter.com/cvenew/status/1355255842782773250

  Netgear ProSAFE Plus UnauthenticatedRCE(CVE-2020-26919)

  漏洞信息:

  NETGEAR JGS516PE是美國(guó)網(wǎng)件(NETGEAR)公司的一款交換機(jī)。NETGEAR JGS516PE devices 2.6.0.43之前版本存在安全漏洞,該漏洞源于設(shè)備在功能級(jí)別上受到缺少訪問(wèn)控制。

  在野利用POC:

 10.png

  參考資料:

  https://f5.pm/go-61386.html

  https://www.anquanke.com/vul/id/2187757

  https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/

  DLink DNS 320 v2.06B01 system_mgr.cgiCommand Injection(CVE-2020-25506)

  漏洞信息:

  D-Link DNS-320是中國(guó)臺(tái)灣友訊(D-Link)公司的一款NAS(網(wǎng)絡(luò)附屬存儲(chǔ))設(shè)備。D-Link DNS-320 FW v2.06B01 Revision 存在命令注入漏洞,該漏洞源于system_mgr.cgi組件中的命令注入影響,可能導(dǎo)致遠(yuǎn)程任意執(zhí)行代碼。

  在野利用POC:

 11.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。