物聯網安全威脅情報(2021年3月)

2022-01-02 網絡安全應急技術國家工程實驗室

根據CNCERT監測數據,自2021年3月1日至31日,共監測到物聯網(IoT)設備攻擊行為6億1682萬次,捕獲IoT惡意樣本2738個,發現IoT惡意程序傳播IP位址21萬1085個、威脅資產(IP位址)155萬餘個,境內被攻擊的設備地址達771萬個。

本月發現21萬1085個IoT惡意程序傳播地址,位於境外的IP位址主要位於印度(57.06%)、科索沃(21.67%)、巴西(8.33%)、俄羅斯(3.07%)等國家/地區,地域分布如圖1所示。

圖1 境外惡意程序傳播伺服器IP位址國家/地區分布

在本月發現的惡意樣本傳播IP位址中,有11萬8496個為新增,其餘在往期監測月份中也有發現。往前追溯半年,按監測月份排列,歷史及新增IP分布如圖2所示。

黑客採用密碼爆破和漏洞利用的方式進行攻擊,根據監測情況,共發現6億1682萬個物聯網相關的漏洞利用行為,被利用最多的10個已知IoT漏洞分別是:

表1 本月被利用最多的10個已知IoT漏洞(按攻擊次數統計)

漏洞利用

攻擊次數

百分比

Netgear_DGN1000

66785701

30.6%

CVE_2015_2051_DLink_HNAP

60916121

27.9%

JAWS_DVR

55009123

25.2%

Vacron_NVR

11811739

5.4%

CVE_2018_10561_GPON_Router

7142621

3.3%

DLink_OS_Command_Injection

6629200

3.0%

Zyxel_EirD1000_Router

3088832

1.4%

CVE_2014_8361_Realtek_SDK_UPnP

2611554

1.2%

NetLink_Router

1615049

0.7%

CVE_2014_6271_GNU_bash

495231

0.2%

發起攻擊的IP位址

攻擊次數

134.209.101.7

6716650

209.141.40.190

6409522

194.5.249.238

4167755

107.189.8.176

1258214

203.159.80.241

1045361

31.210.20.83

797345

31.210.20.175

787410

111.202.167.52

731756

35.202.146.172

527885

107.189.1.220

526596

本月共發現155萬6753個IoT設備威脅資產(IP位址),其中,絕大多數資產向網絡中的其他設備發起攻擊,一部分資產提供惡意程序下載服務。境外威脅資產主要位於美國(43.87%)、印度(7.11%)、加拿大(3.97%)、英國(3.46%)等國家或地區,地域分布如圖3所示。

圖3 境外威脅資產的國家/地區分布(前30個)

境內威脅資產主要位於河南(29.07%)、廣東(14.4%)、香港(13.05%)、臺灣(8.32%)等行政區,地域分布如圖4所示。

境內被攻擊的IoT設備的IP位址有771萬4848個,主要位於浙江(20%)、臺灣(16.45%)、北京(16%)、廣東(7.92%)等,地域分布如圖5所示。

本月捕獲IoT惡意程序樣本2738個,惡意程序傳播時常用的文件名有Mozi、i、bin等,按樣本數量統計如圖6所示。

圖6 惡意程序文件名分布(前30種)

按樣本數量統計,漏洞利用方式在惡意程序中的分布如圖7所示。

按樣本數量統計,分發惡意程序數量最多的10個C段IP位址為:

序號

IP

數量

1

117.242.211.0/24

448

2

117.222.172.0/24

448

3

117.222.161.0/24

443

4

59.96.36.0/24

441

5

117.202.69.0/24

440

6

59.94.180.0/24

440

7

117.192.225.0/24

439

8

117.242.210.0/24

438

9

117.202.66.0/24

438

10

117.202.65.0/24

436

按攻擊IoT設備的IP位址數量排序,排名前10的樣本為:

表4 攻擊設備最多的10個樣本

序號

樣本哈希

家族

1

12013662c71da69de977c04cd7021f13a70cf7bed4ca6c82acbc100464d4b0ef

Mozi

2

2e4506802aedea2e6d53910dfb296323be6620ac08c4b799a879eace5923a7b6

Mozi

3

4293c1d8574dc87c58360d6bac3daa182f64f7785c9d41da5e0741d2b1817fc7

Mirai

4

d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8

Mozi

5

b5cf68c7cb5bb2d21d60bf6654926f61566d95bfd7c9f9e182d032f1da5b4605

Mozi

6

f6c97b1e2ed02578ca1066c8235ba4f991e645f89012406c639dbccc6582eec8

Mirai

7

9e0a15a4318e3e788bad61398b8a40d4916d63ab27b47f3bdbe329c462193600

Mozi

8

e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0

Mozi

9

2916f8d5b9b94093d72a6b9cdf0a4c8f5f38d70d5cea4444869ab33cd7e1f243

Mirai

10

b7ba5aa2f8f7781d408e87b2131fa2cc9b95cdf3460f9778229398c9e851772a

Mirai

DLink DIR 825 R1 Pre Authentication RCE(CVE-2020-29557)

漏洞信息:

D-Link DIR-825是中國臺灣友訊(D-Link)公司的一款路由器。D-Link DIR-825 R1 devices 版本 3.0.1 至 2020-11-20 存在緩衝區錯誤漏洞,該漏洞源於web界面的緩衝區溢出,攻擊者可利用該漏洞在身份驗證前實現遠程代碼執行。

在野利用POC:

參考資料:

https://shaqed.github.io/dlink/

https://www.anquanke.com/vul/id/2335033

https://twitter.com/cvenew/status/1355255842782773250

Netgear ProSAFE Plus UnauthenticatedRCE(CVE-2020-26919)

漏洞信息:

NETGEAR JGS516PE是美國網件(NETGEAR)公司的一款交換機。NETGEAR JGS516PE devices 2.6.0.43之前版本存在安全漏洞,該漏洞源於設備在功能級別上受到缺少訪問控制。

在野利用POC:

參考資料:

https://f5.pm/go-61386.html

https://www.anquanke.com/vul/id/2187757

https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/

DLink DNS 320 v2.06B01 system_mgr.cgiCommand Injection(CVE-2020-25506)

漏洞信息:

D-Link DNS-320是中國臺灣友訊(D-Link)公司的一款NAS(網絡附屬存儲)設備。D-Link DNS-320 FW v2.06B01 Revision 存在命令注入漏洞,該漏洞源於system_mgr.cgi組件中的命令注入影響,可能導致遠程任意執行代碼。

在野利用POC:

參考資料:

https://vuldb.com/?id.169016

https://www.anquanke.com/vul/id/2337297

https://gist.github.com/WinMin/6f63fd1ae95977e0e2d49bd4b5f00675

物聯網安全威脅情報(2020年12月)

物聯網安全威脅情報(2021年1月)

物聯網安全威脅情報(2021年2月)

相關焦點

  • 物聯網安全威脅情報(2021年7月)
    圖2 歷史及新增傳播IP位址數量黑客採用密碼爆破和漏洞利用的方式進行攻擊,根據監測情況,共發現9億4388萬次物聯網相關的漏洞利用行為,被利用最多的10個已知IoT漏洞分別是:表1 本月被利用最多的圖6 惡意程序文件名分布(前20種)按樣本數量統計,漏洞利用方式在惡意程序中的分布如圖7所示。
  • 安全威脅情報周報(08.09-08.15)
    1)建立可再生能源發電項目開發建設按月調度機制,對可再生能源發電項目從核准(審批、備案)、開工、建設、併網到投產進行全過程調度;2)相關單位於每月15日前將本省可再生能源發電項目開發建設情況統計匯總後直報『國家能源局新能源司』;3)國家電網於每月15日前將上月可再生能源項目開發建設情況報國家能源局能源司,南方電網、內蒙古電力公司將將企業經營區域內可再生能源項目併網、投產信息每月15日前報國家能源局新能源司
  • 騰訊安全威脅情報中心推出11月必修安全漏洞清單
    >騰訊安全攻防團隊A&D Team騰訊安全 企業安全運營團隊騰訊安全威脅情報中心今天推出2021年11月份必修安全漏洞清單,所謂必修漏洞,就是運維人員必須修復、不可拖延、影響範圍較廣的漏洞,不修復就意味著被黑客攻擊入侵後會造成十分嚴重的後果。
  • 物聯網安全威脅情報(2020年10月)
    在Mozi殭屍網絡以外,境外國家/地區的傳播伺服器IP主要位於美國(11.8%)、巴西(11.5%)、俄羅斯(7.9%)、韓國(6.3%)等,地域分布如圖1所示。圖1 惡意程序伺服器IP位址國家(地區)分布圖在本月發現的惡意樣本傳播IP位址中,有19.7萬個為新增,9.5萬個在往期監測月份中也有發現。往前追溯半年,按監測月份排列,歷史及新增IP分布如圖2所示。
  • 2021年,物聯網安全會發生什麼?
    TCP/IP作為物聯網的動脈系統,承載著作為其生命線的數據,這些漏洞再次證明了為什麼所有組織都需要一個計劃來快速對其物聯網設備執行固件更新——如果他們想從這些漏洞中及時「止血」的話。那麼,在物聯網安全方面,新的一年會帶來什麼?我不能說我的水晶球足夠透亮,但是我願意就2021年的物聯網安全發展做出以下三個預測。
  • CSO需掌握的2021年新興網絡安全威脅
    2020年,全球範圍內發生了許多急劇的變化,世界各地的機構都在努力適應新冠疫情下的新常態。在這種轉變中,網絡威脅領域也出現了重大變化。2021年以後,隨著新的智能邊緣的崛起,我們將面臨另一個重大變化,受到影響的不僅僅是終端用戶和遠程連接到網絡的設備。
  • 兩大殺毒巨頭2017年安全威脅趨勢預測:勒索軟體、雲安全、物聯網被劃重點
    而邁克菲則認為,雖然近兩年勒索軟體的數量一直呈上升趨勢,且收入不菲(CryptoWall 3.0這一單個勒索軟體系列收入可能超過3.25億美元),但是隨著「停止勒索」等相關計劃的展開,安全行業和國際執法機構的聯手合作,2017年下半年全球勒索攻擊的規模和效果會開始下降。2.
  • 綠盟威脅情報專欄|6月威脅熱點
    6月,綠盟科技威脅情報中心(NTI)發布了多個漏洞和威脅事件通告,其中,月末披露的Treck TCP/IP協議庫「 Ripple20」 漏洞極為引人關注,影響多個廠商的物聯網設備,可能導致其受到拒絕服務和遠程命令執行等攻擊。
  • 安全威脅情報周報(06.28-07.04)
    受害者主要集中於美國(佔45%)、英國(佔10%) 、德國、加拿大地區的 36 個國家。這次攻擊活動大多沒有成功的入侵目標,截至微軟發表文章前,只發現了3個被成功入侵的實體。MSTIC 跟蹤 Nobelium 攻擊活動時發現,該組織針對部分目標使用了密碼噴射在內的暴力破解等攻擊手法。
  • 物聯網安全威脅情報(2020年12月)
    本月發現22萬3179個傳播Mozi殭屍網絡惡意程序的伺服器IP,其中屬於境外國家/地區的IP位址主要位於印度(67.9%)、巴西(12.9%)等,地域分布如圖1所示。5193.109.217.15俄羅斯680.211.31.159義大利7205.185.116.78美國82.57.122.223羅馬尼亞
  • 微軟發布2021年2月安全更新
    北京時間2021年2月10日,微軟發布了2021年2月例行安全更新,本次發布包括Windows、Office、Edge瀏覽器、Visual
  • 騰訊安全威脅事件響應月報(2020年7月)
    (三)漏洞情報2020年7月安全漏洞增長趨勢如下:亡命徒(Outlaw)殭屍網絡感染約2萬臺Linux伺服器發布時間:2020年7月1日情報連結:https://mp.weixin.qq.com/s/4_E6kPuodxb3_inVCq2fqg情報摘要:亡命徒(Outlaw)殭屍網絡最早於2018年被發現,其主要特徵為通過SSH爆破攻擊目標系統,同時傳播基於
  • 今日威脅情報2021/1/16-19(第340期)
    你再品上一篇情報中,NSA號召大家使用DOH技術,冥冥中是巧合?年,超過220億條記錄因數據洩露而暴露https://www.crn.in/news/over-22-bn-records-exposed-in-data-breaches-in-2020-report/網絡戰與網絡情報
  • 每周高級威脅情報解讀(2021.01.28~02.04)
    披露時間:2021年01月28日情報來源:https://www.microsoft.com/security/blog/2021/01/28/zinc-attacks-against-security-researchers/相關信息:
  • 今日威脅情報2021/1/25-26(第342期)
    1、Google TAG發布朝鮮網絡攻擊組織對定向攻擊網絡安全人員,思路社工手段:聊天聊天啊聊天,建立感情後,幫忙分析個樣本、分析個工具、共享個數據唄……然後把帶後門的文件發給你,你就中招了……就這個事兒,多家安全廠商發布了看法
  • 攻擊者利用漏洞攻擊Edimax WiFi橋接器,綠盟威脅情報中心已支持相關檢測
    2020年4月14日,Exploit DB公布了一個針對Edimax WiFi橋接器的遠程執行漏洞的利用(EDB-ID:48318),綠盟科技格物實驗室結合綠盟威脅情報中心(NTI)對相應設備的暴露情況進行驗證,發現2020年年初至今,Edimax WiFi橋接器暴露數量達到6000臺以上。
  • 2019年最嚴重的網絡安全威脅:人工智慧、物聯網、山寨APP
    ,2019年最大的網絡安全威脅將是人工智慧、物聯網和山寨APP。  關注網絡安全的人可能不會對這份名單感到意外,但Avast會詳細介紹每一種威脅。  「今年,我們慶祝了網際網路誕生30周年。快進30年,威脅的版圖以指數形式變得更加複雜,可用的攻擊面比科技歷史上任何時候都增長得更快,」Avast消費者業務總裁Ondrej Vlcek評論道。
  • 《數字產業:2019年度網絡安全威脅情報分析》全文
    2020年3月4日,中共中央政治局常務委員會召開會議,強調要加快 5G 基建、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數據中心、人工智慧、工業網際網路等「新型基礎設施建設」的建設進度。為提升數位化轉型企業的網絡安全意識,鼓勵企業充分利用威脅情報應對層出不窮的網絡安全風險,督促數位化轉型企業履行網絡安全主體責任,中國信息通信研究院安全研究所產業網際網路安全實驗室聯合騰訊安全威脅情報中心從網絡安全、終端安全、雲安全等維度對 2019 年的威脅情報現狀進行監測匯總,同時對重點網絡安全威脅事件進行復盤說明,詳細分析威脅成因並給出了針對性的對策建議,供相關機構人員參考。
  • 今日威脅情報(2019/10/--28)
    寫公眾號的初衷是想通過發布威脅情報新聞激發網絡安全愛好者對APT攻擊與溯源分析技術的興趣,所以採集的情報數據主要圍繞著APT攻擊技術姿勢、漏洞、工具、
  • 青天科技——專注物聯網安全
    2018年08月08日上午,市軟體協會新會員——美國青天科技(NewSky Security)公司代表李逸飛先生前來協會交流,協會秘書長助理林健鋒接待李逸飛先生一行