物聯網安全威脅情報(2020年12月)

2021-02-13 網絡安全應急技術國家工程實驗室

根據CNCERT監測數據,自2020年12月1日至31日,共監測到物聯網(IoT)設備惡意樣本5620個,發現樣本傳播伺服器IP位址23萬4179個,境內被攻擊的設備地址達761萬個。

本月發現22萬3179個傳播Mozi殭屍網絡惡意程序的伺服器IP,其中屬於境外國家/地區的IP位址主要位於印度(67.9%)、巴西(12.9%)等,地域分布如圖1所示。

圖1 境外Mozi殭屍網絡傳播伺服器IP位址國家/地區分布

境內被Mozi殭屍網絡攻擊的IoT設備的IP位址達714萬個,主要位於臺灣(20.4%)、浙江(19.7%)、北京(15.5%)等,地域分布如圖2所示。

圖2 境內被Mozi殭屍網絡攻擊的IoT設備IP位址的地域分布

本月共發現23萬4179個惡意樣本傳播伺服器IP,在Mozi殭屍網絡以外,境外國家/地區的傳播伺服器IP的地域分布較為均衡,如圖3所示。

在本月發現的惡意樣本傳播IP位址中,有15萬8678個為新增,7萬5501個在往期監測月份中也有發現。往前追溯半年,按監測月份排列,歷史及新增IP分布如圖4所示。

圖4 本期傳播IP在往期監測月份出現的數量

按樣本分發數量排序,分發最多的10個C段為:

表1 樣本分發數量最多的10個C段

序號

IP

數量

1

59.97.169.0/24

817

2

59.99.93.0/24

793

3

59.97.168.0/24

792

4

117.242.211.0/24

788

5

117.202.79.0/24

784

6

117.192.224.0/24

784

7

59.97.171.0/24

779

8

59.95.173.0/24

777

9

117.211.41.0/24

773

10

59.99.92.0/24

773

目前仍活躍的惡意程序傳播伺服器IP位址中,按攻擊設備的地址數量排序,前10為:表2 攻擊設備最多的10個惡意程序傳播伺服器IP位址

序號

IP

數量

1

2.57.122.214

羅馬尼亞

2

37.49.230.52

荷蘭

3

107.174.192.221

美國

4

193.239.147.182

美國

5

193.109.217.15

俄羅斯

6

80.211.31.159

義大利

7

205.185.116.78

美國

8

2.57.122.223

羅馬尼亞

9

51.81.91.243

美國

10

46.249.33.36

荷蘭

除了使用集中的地址進行傳播,還有很多物聯網惡意程序使用P2P方式進行傳播,根據監測情況,境內物聯網兩大P2P殭屍網絡——Hajime和Mozi本月新增傳播IP共19萬9573個(其中Hajime有4萬8190個,Mozi有15萬1383個)。

境內被攻擊IoT設備地址分布,其中,浙江佔比最高,為19.6%,其次是臺灣(19.2%)、北京(14.9%)、廣東(7.9%)等,如圖5所示。

黑客採用密碼爆破和漏洞利用的方式進行攻擊,根據監測情況,共發現7億2023萬個物聯網相關的漏洞利用行為,被利用最多的10個已知IoT漏洞分別是:

表3 本月被利用最多的10個已知IoT漏洞(按攻擊次數統計)

漏洞利用

攻擊次數

百分比

Netgear_DGN1000

71034602

31.4%

D_Link_Devices_HNAP_SoapAction_Header_VideoGallery_Command_Injection

65159024

28.8%

JAWS_Webserver_unauthenticated_Shell_Command_Injection

53123129

23.5%

Vacron_NVR_Remote_Command_Execution

12571311

5.6%

CVE_2018_10561_GPON_Router

9325769

4.1%

DLink_OS_Command_Injection

6737128

3.0%

Zyxel_EirD1000_Router

2885463

1.3%

CVE_2014_8361_Realtek_SDK_UPnP

2569693

1.1%

ThinkPHP_5X_Remote_Command_Injection

1075414

0.5%

CVE_2017_17215_Huawei_Router

779509

0.3%

對監測到的5620個惡意樣本進行家族統計分析,發現主要是Gafgyt、Mirai、Tsunami、Hajime等家族的變種。樣本傳播時常用的文件名有Mozi、i、mips等,按樣本數量統計如圖6所示。

按樣本數量進行統計,漏洞利用方式在樣本中的分布如圖7所示。

按攻擊IoT設備的IP位址數量排序,排名前10的樣本為:

序號

樣本哈希

家族

1

b5cf68c7cb5bb2d21d60bf6654926f61566d95bfd7c9f9e182d032f1da5b4605

Mozi

2

12013662c71da69de977c04cd7021f13a70cf7bed4ca6c82acbc100464d4b0ef

Mozi

3

2e4506802aedea2e6d53910dfb296323be6620ac08c4b799a879eace5923a7b6

Mozi

4

f6c97b1e2ed02578ca1066c8235ba4f991e645f89012406c639dbccc6582eec8

Mirai

5

c672798dca67f796972b42ad0c89e25d589d2e70eb41892d26adbb6a79f63887

Mozi

6

d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8

Mozi

7

9e0a15a4318e3e788bad61398b8a40d4916d63ab27b47f3bdbe329c462193600

Mozi

8

4293c1d8574dc87c58360d6bac3daa182f64f7785c9d41da5e0741d2b1817fc7

Mirai

9

e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0

Mozi

10

2916f8d5b9b94093d72a6b9cdf0a4c8f5f38d70d5cea4444869ab33cd7e1f243

Mirai

2020年12月,值得關注的物聯網相關的在野漏洞利用如下:

D Link DIR 865L Ax120B01 Command Injection(CVE-2020-13782)

漏洞信息:

D-Link DIR-865L Ax 1.20B01 Beta 設備可以被注入並執行任意命令。

在野利用POC:

https://www.4hou.com/posts/AA8jhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13782Zyxel NAS RCE Attempt Inbound(CVE-2020-9054)多款ZyXEL網絡存儲(NAS)產品中存在作業系統命令注入漏洞。遠程攻擊者可藉助特製的HTTP POST或GET請求利用該漏洞執行任意代碼。以下產品及版本受到影響:使用V5.21(AAZF.7)C0之前版本固件的NAS326;使用V5.21(AASZ.3)C0之前版本固件的NAS520;使用V5.21(AATB.4)C0之前版本固件的NAS540;使用V5.21(ABAG.4)C0之前版本固件的NAS542;ZyXEL NSA210;ZyXEL NSA220;ZyXEL NSA220+;ZyXEL NSA221;ZyXEL NSA310;ZyXEL NSA310S;ZyXEL NSA320;ZyXEL NSA320S;ZyXEL NSA325;ZyXEL NSA325v2。

https://doc.emergingthreats.net/bin/view/Main/2029617https://unit42.paloaltonetworks.com/new-mirai-variant-mukashi/

相關焦點

  • 物聯網安全威脅情報(2021年7月)
    IP位址29萬3146個、威脅資產(IP位址)239萬7213個,境內被攻擊的設備地址達553萬個。 圖6 惡意程序文件名分布(前20種)按樣本數量統計,漏洞利用方式在惡意程序中的分布如圖7所示。通聯節點最多的10個控制端主機(C&C伺服器)IP位址2021年7月,值得關注的物聯網相關的在野漏洞利用如下:TOTOLINK A3002RU-V2.0.0 B20190814.1034 Remote Command Execution(CVE-2020-25499)漏洞信息:Totolink TOTOLINK A3002RU
  • 物聯網安全威脅情報(2021年3月)
    D-Link DIR-825 R1 devices 版本 3.0.1 至 2020-11-20 存在緩衝區錯誤漏洞,該漏洞源於web界面的緩衝區溢出,攻擊者可利用該漏洞在身份驗證前實現遠程代碼執行。/unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/DLink DNS 320 v2.06B01 system_mgr.cgiCommand Injection(CVE-2020-25506)漏洞信息:D-Link DNS-320是中國臺灣友訊
  • 物聯網安全威脅情報(2020年10月)
    在Mozi殭屍網絡以外,境外國家/地區的傳播伺服器IP主要位於美國(11.8%)、巴西(11.5%)、俄羅斯(7.9%)、韓國(6.3%)等,地域分布如圖1所示。圖1 惡意程序伺服器IP位址國家(地區)分布圖在本月發現的惡意樣本傳播IP位址中,有19.7萬個為新增,9.5萬個在往期監測月份中也有發現。往前追溯半年,按監測月份排列,歷史及新增IP分布如圖2所示。
  • 騰訊安全威脅事件響應月報(2020年7月)
    (三)漏洞情報2020年7月安全漏洞增長趨勢如下:永恆之藍下載器最新變種重啟EXE文件攻擊,新變種已感染1.5萬臺伺服器發布時間:2020年7月13日情報連結:https://mp.weixin.qq.com/s/YXnmVzAFVD5fc6lQIFWE1A情報摘要:騰訊安全威脅情報中心檢測到永恆之藍下載器木馬再次出現新變種,此次變種利用Python
  • 綠盟威脅情報專欄|6月威脅熱點
    6月,綠盟科技威脅情報中心(NTI)發布了多個漏洞和威脅事件通告,其中,月末披露的Treck TCP/IP協議庫「 Ripple20」 漏洞極為引人關注,影響多個廠商的物聯網設備,可能導致其受到拒絕服務和遠程命令執行等攻擊。
  • 騰訊安全威脅事件月報(2020年12月):挖礦木馬有較明顯上升
    從2020年12月份挖礦木馬感染趨勢看,挖礦木馬影響相對穩定。(二)企業安全威脅情報2020年12月,以下安全威脅事件對政企用戶威脅嚴重,攻擊者可能對目標網絡製造嚴重破壞,可能竊取政企機構敏感信息,加密勒索及通過挖礦獲利。
  • 每周高級威脅情報解讀(2020.12.10~12.17)
    同時,SolarWinds在其官網發布安全通告稱,受影響的產品為2020年3月至2020年6月間發布的2019.4到2020.2.1版本的SolarWinds Orion管理軟體,並表示約有18000名客戶下載使用了受影響的軟體產品,但攻擊者並未對所有使用者採取進一步的攻擊行動,而僅選擇感興趣的目標開展後續攻擊活動。
  • 安全威脅情報周報(08.09-08.15)
    1)建立可再生能源發電項目開發建設按月調度機制,對可再生能源發電項目從核准(審批、備案)、開工、建設、併網到投產進行全過程調度;2)相關單位於每月15日前將本省可再生能源發電項目開發建設情況統計匯總後直報『國家能源局新能源司』;3)國家電網於每月15日前將上月可再生能源項目開發建設情況報國家能源局能源司,南方電網、內蒙古電力公司將將企業經營區域內可再生能源項目併網、投產信息每月15日前報國家能源局新能源司
  • 2020年Android平臺安全態勢分析報告
    而相比之下,國內的移動網際網路安全治理更有成效,整體安全環境明顯好於全球,特別是網銀盜號木馬等傳統移動安全威脅,在國內已經比較少見。2020年,AdbMiner挖礦木馬家族攻擊活躍,在全球範圍內攻陷數以萬計的物聯網設備,國內被攻陷的物聯網設備數量也接近千級。
  • 埃森哲2020年網絡威脅報告
    埃森哲網絡威脅情報和事件響應小組多年來一直在創建關聯、及時和可操作的威脅情報,對過去12個月的網絡安全威脅變化進行詳盡分析之後,發布了《2020年網絡威脅報告》。報告提出了影響網絡威脅格局的五個因素,展望了未來形勢發展的五個要點。
  • 攻擊者利用漏洞攻擊Edimax WiFi橋接器,綠盟威脅情報中心已支持相關檢測
    2020年4月14日,Exploit DB公布了一個針對Edimax WiFi橋接器的遠程執行漏洞的利用(EDB-ID:48318),綠盟科技格物實驗室結合綠盟威脅情報中心(NTI)對相應設備的暴露情況進行驗證,發現2020年年初至今,Edimax WiFi橋接器暴露數量達到6000臺以上。
  • 兩大殺毒巨頭2017年安全威脅趨勢預測:勒索軟體、雲安全、物聯網被劃重點
    物聯網設備的安全風險以及可能導致的嚴重後果再次引起人們廣泛重視。除了工業用物聯網設備以外,企業與家用物聯網設備的數量也在與日俱增。印表機、恆溫箱,甚至是洗衣機或者冰箱,一切聯網設備都有可能成為攻擊發起的跳板。目前,大量已進入市場的物聯網設備在設計之初便缺少有效的安全防護機制,且有很大一部分無法通過軟體/固件更新得到改善。2017年針對物聯網設備發起的攻勢可能會進一步增多。
  • 今日威脅情報2020/12/14-16(第330期)
    近期,360安全大腦檢測到多起ClickOnce惡意程序的攻擊活動,通過360高級威脅研究院的深入研判分析,發現這是一起來自朝鮮半島地區未被披露APT組織的攻擊行動,攻擊目標涉及與半島地區有關聯的實體機構和個人,根據360安全大腦的數據分析顯示,該組織的攻擊活動最早可以追溯到2018年。目前還沒有任何安全廠商公開披露該組織的攻擊活動,也沒有安全廠商公開披露利用該技術的真實APT攻擊事件。
  • 每周高級威脅情報解讀(2020-10-08—10-15)
    :       奇安信威脅情報中心紅雨滴安全研究團隊於2011年開始持續對華語來源的攻擊活動進行追蹤。藍寶菇(APT-C-12)組織使用雲存儲技術發起的最新攻擊活動披露披露時間:2020年10月13日情報來源:https://mp.weixin.qq.com/s/Wi67iA3ZwY3o5X9ekRpD2w相關信息:      藍寶菇
  • 2020年網絡安全大事記
    威脅情報和AI是這場變革的兩大動力,而安全行業的人員、技術和流程也將重新配置。無論是遠程辦公新常態下備受關注的端點安全、零信任、雲安全,還是勒索軟體、網絡犯罪和APT攻擊頻繁敲打下的數據安全、SOC安全運營和工控網絡/基礎設施安全,全球網絡安全行業正面臨著斯諾登事件以來最大的不確定性/變革,而這個變革的導火索之一,正是2020年12月席捲美國政府機構和全球重要組織的SolarWinds供應鏈APT攻擊——過去十年最危險的網絡攻擊
  • 今日威脅情報2020/12/23-26(第333期)
    ti.360.cn高級威脅分析
  • 網絡安全資訊動態 2020年第44期(總第100期)
    年12月周二的補丁安全更新解決了58個漏洞,其中22個是遠程代碼問題。微軟2020年12月例行發布的補丁中,有9個漏洞被評為「嚴重」,46個被評為「高危」,3個被評為「中度」。【閱讀原文】信息來源:奇安信威脅情報中心發布時間:2020-12-113、全球頂級安全公司FireEye再遭黑客狙擊 這次還順走了他們的"核武器"關鍵詞:檢測工具;供應鏈;惡意攻擊摘要:2020年12月9日,
  • 本周威脅情報2020/12/7-13(第329期)
    https://www.reuters.com/article/facebook-vietnam-cyber-idCAKBN28L03Y4、Domestic Kitten組織(APT-C-50)針對中東地區反政府群體的監控活動    Domestic Kitten組織(APT-C-50)最早被國外安全廠商披露,自2016年以來一直在進行廣泛而有針對性的攻擊
  • 騰訊安全威脅情報中心推出11月必修安全漏洞清單
    >騰訊安全攻防團隊A&D Team騰訊安全 企業安全運營團隊騰訊安全威脅情報中心今天推出2021年11月份必修安全漏洞清單,所謂必修漏洞,就是運維人員必須修復、不可拖延、影響範圍較廣的漏洞,不修復就意味著被黑客攻擊入侵後會造成十分嚴重的後果。
  • 騰訊安全威脅事件月報(2020年8月):惡意家族呈上升趨勢,挖礦木馬殭屍網絡表現活躍
    2020年8月,騰訊安全大數據顯示,惡意病毒家族活躍情況有上升趨勢。