《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 物联网安全威胁情报(2021年3月)

物联网安全威胁情报(2021年3月)

2021-04-14
来源: 关键基础设施安全应急响应中心
关键词: 物联网 安全

  1

  总体概述

  根据CNCERT监测数据,自2021年3月1日至31日,共监测到物联网(IoT)设备攻击行为6亿1682万次,捕获IoT恶意样本2738个,发现IoT恶意程序传播IP地址21万1085个、威胁资产(IP地址)155万余个,境内被攻击的设备地址达771万个。

  2

  恶意程序传播情况

  本月发现21万1085个IoT恶意程序传播地址,位于境外的IP地址主要位于印度(57.06%)、科索沃(21.67%)、巴西(8.33%)、俄罗斯(3.07%)等国家/地区,地域分布如图1所示。

 1.png

  图1 境外恶意程序传播服务器IP地址国家/地区分布

  在本月发现的恶意样本传播IP地址中,有11万8496个为新增,其余在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。

 2.png

  图2 历史及新增传播IP地址数量

  3

  攻击源分析

  黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现6亿1682万个物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:

  表1 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)

微信截图_20210414151353.png

  发起攻击次数最多的10个威胁资产(IP地址)是:

  表2 本月发起攻击次数最多的10个IP地址

  2.png

  本月共发现155万6753个IoT设备威胁资产(IP地址),其中,绝大多数资产向网络中的其他设备发起攻击,一部分资产提供恶意程序下载服务。境外威胁资产主要位于美国(43.87%)、印度(7.11%)、加拿大(3.97%)、英国(3.46%)等国家或地区,地域分布如图3所示。

  3.png

  图3 境外威胁资产的国家/地区分布(前30个)

  境内威胁资产主要位于河南(29.07%)、广东(14.4%)、香港(13.05%)、台湾(8.32%)等行政区,地域分布如图4所示。

4.png

  图4 境内威胁资产的省市分布

  4

  被攻击情况

  境内被攻击的IoT设备的IP地址有771万4848个,主要位于浙江(20%)、台湾(16.45%)、北京(16%)、广东(7.92%)等,地域分布如图5所示。

 5.png

  图5 境内被攻击的IoT设备IP地址的地域分布

  5

  样本情况

  本月捕获IoT恶意程序样本2738个,恶意程序传播时常用的文件名有Mozi、i、bin等,按样本数量统计如图6所示。

  6.png

  图6 恶意程序文件名分布(前30种)

  按样本数量统计,漏洞利用方式在恶意程序中的分布如图7所示。

  微信图片_20210414151626.jpg

  图7 漏洞利用方式在恶意程序中的分布(前10种)

  按样本数量统计,分发恶意程序数量最多的10个C段IP地址为:

  表3 分发恶意程序数量最多的10个C段IP地址

  微信截图_20210414151659.png

  按攻击IoT设备的IP地址数量排序,排名前10的样本为:

  表4 攻击设备最多的10个样本

  3.png

  6.最新在野漏洞利用情况

  DLink DIR 825 R1 Pre Authentication RCE(CVE-2020-29557)

  漏洞信息:

  8.png

  D-Link DIR-825是中国台湾友讯(D-Link)公司的一款路由器。D-Link DIR-825 R1 devices 版本 3.0.1 至 2020-11-20 存在缓冲区错误漏洞,该漏洞源于web界面的缓冲区溢出,攻击者可利用该漏洞在身份验证前实现远程代码执行。

  在野利用POC:

 9.png

  参考资料:

  https://shaqed.github.io/dlink/

  https://www.anquanke.com/vul/id/2335033

  https://twitter.com/cvenew/status/1355255842782773250

  Netgear ProSAFE Plus UnauthenticatedRCE(CVE-2020-26919)

  漏洞信息:

  NETGEAR JGS516PE是美国网件(NETGEAR)公司的一款交换机。NETGEAR JGS516PE devices 2.6.0.43之前版本存在安全漏洞,该漏洞源于设备在功能级别上受到缺少访问控制。

  在野利用POC:

 10.png

  参考资料:

  https://f5.pm/go-61386.html

  https://www.anquanke.com/vul/id/2187757

  https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/

  DLink DNS 320 v2.06B01 system_mgr.cgiCommand Injection(CVE-2020-25506)

  漏洞信息:

  D-Link DNS-320是中国台湾友讯(D-Link)公司的一款NAS(网络附属存储)设备。D-Link DNS-320 FW v2.06B01 Revision 存在命令注入漏洞,该漏洞源于system_mgr.cgi组件中的命令注入影响,可能导致远程任意执行代码。

  在野利用POC:

 11.png


本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。

相关内容