1
總體概述
根據CNCERT監測數據,自2021年3月1日至31日,共監測到物聯網(IoT)設備攻擊行為6億1682萬次,捕獲IoT惡意樣本2738個,發現IoT惡意程序傳播IP地址21萬1085個、威脅資產(IP地址)155萬余個,境內被攻擊的設備地址達771萬個。
2
惡意程序傳播情況
本月發現21萬1085個IoT惡意程序傳播地址,位于境外的IP地址主要位于印度(57.06%)、科索沃(21.67%)、巴西(8.33%)、俄羅斯(3.07%)等國家/地區,地域分布如圖1所示。
圖1 境外惡意程序傳播服務器IP地址國家/地區分布
在本月發現的惡意樣本傳播IP地址中,有11萬8496個為新增,其余在往期監測月份中也有發現。往前追溯半年,按監測月份排列,歷史及新增IP分布如圖2所示。
圖2 歷史及新增傳播IP地址數量
3
攻擊源分析
黑客采用密碼爆破和漏洞利用的方式進行攻擊,根據監測情況,共發現6億1682萬個物聯網相關的漏洞利用行為,被利用最多的10個已知IoT漏洞分別是:
表1 本月被利用最多的10個已知IoT漏洞(按攻擊次數統計)
發起攻擊次數最多的10個威脅資產(IP地址)是:
表2 本月發起攻擊次數最多的10個IP地址
本月共發現155萬6753個IoT設備威脅資產(IP地址),其中,絕大多數資產向網絡中的其他設備發起攻擊,一部分資產提供惡意程序下載服務。境外威脅資產主要位于美國(43.87%)、印度(7.11%)、加拿大(3.97%)、英國(3.46%)等國家或地區,地域分布如圖3所示。
圖3 境外威脅資產的國家/地區分布(前30個)
境內威脅資產主要位于河南(29.07%)、廣東(14.4%)、香港(13.05%)、臺灣(8.32%)等行政區,地域分布如圖4所示。
圖4 境內威脅資產的省市分布
4
被攻擊情況
境內被攻擊的IoT設備的IP地址有771萬4848個,主要位于浙江(20%)、臺灣(16.45%)、北京(16%)、廣東(7.92%)等,地域分布如圖5所示。
圖5 境內被攻擊的IoT設備IP地址的地域分布
5
樣本情況
本月捕獲IoT惡意程序樣本2738個,惡意程序傳播時常用的文件名有Mozi、i、bin等,按樣本數量統計如圖6所示。
圖6 惡意程序文件名分布(前30種)
按樣本數量統計,漏洞利用方式在惡意程序中的分布如圖7所示。
圖7 漏洞利用方式在惡意程序中的分布(前10種)
按樣本數量統計,分發惡意程序數量最多的10個C段IP地址為:
表3 分發惡意程序數量最多的10個C段IP地址
按攻擊IoT設備的IP地址數量排序,排名前10的樣本為:
表4 攻擊設備最多的10個樣本
6.最新在野漏洞利用情況
DLink DIR 825 R1 Pre Authentication RCE(CVE-2020-29557)
漏洞信息:
D-Link DIR-825是中國臺灣友訊(D-Link)公司的一款路由器。D-Link DIR-825 R1 devices 版本 3.0.1 至 2020-11-20 存在緩沖區錯誤漏洞,該漏洞源于web界面的緩沖區溢出,攻擊者可利用該漏洞在身份驗證前實現遠程代碼執行。
在野利用POC:
參考資料:
https://shaqed.github.io/dlink/
https://www.anquanke.com/vul/id/2335033
https://twitter.com/cvenew/status/1355255842782773250
Netgear ProSAFE Plus UnauthenticatedRCE(CVE-2020-26919)
漏洞信息:
NETGEAR JGS516PE是美國網件(NETGEAR)公司的一款交換機。NETGEAR JGS516PE devices 2.6.0.43之前版本存在安全漏洞,該漏洞源于設備在功能級別上受到缺少訪問控制。
在野利用POC:
參考資料:
https://f5.pm/go-61386.html
https://www.anquanke.com/vul/id/2187757
https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/
DLink DNS 320 v2.06B01 system_mgr.cgiCommand Injection(CVE-2020-25506)
漏洞信息:
D-Link DNS-320是中國臺灣友訊(D-Link)公司的一款NAS(網絡附屬存儲)設備。D-Link DNS-320 FW v2.06B01 Revision 存在命令注入漏洞,該漏洞源于system_mgr.cgi組件中的命令注入影響,可能導致遠程任意執行代碼。
在野利用POC:
