1 總體概述
根據(jù)CNCERT監(jiān)測(cè)數(shù)據(jù)����,自2021年9月1日至30日�,共監(jiān)測(cè)到物聯(lián)網(wǎng)(IoT)設(shè)備攻擊行為2億1318萬次�,捕獲IoT惡意樣本2749 個(gè)���,發(fā)現(xiàn)IoT惡意程序傳播IP地址30萬4430個(gè)���、威脅資產(chǎn)(IP地址)342萬742個(gè)�,境內(nèi)被攻擊的設(shè)備地址達(dá)620萬個(gè)。
2 惡意程序傳播情況
本月發(fā)現(xiàn)30萬4430個(gè)IoT惡意程序傳播地址�����,位于境外的IP地址主要位于印度(38.1%)���、巴西(7.4%)�����、多米尼加聯(lián)邦(5.6%)��、俄羅斯(4.9%)等國(guó)家/地區(qū)����,地域分布如圖1所示。
圖1 境外惡意程序傳播服務(wù)器IP地址國(guó)家/地區(qū)分布
在本月發(fā)現(xiàn)的惡意樣本傳播IP地址中�����,有13萬7469個(gè)為新增��,其余在往期監(jiān)測(cè)月份中也有發(fā)現(xiàn)�。往前追溯半年,按監(jiān)測(cè)月份排列���,歷史及新增IP分布如圖2所示���。
圖2 歷史及新增傳播IP地址數(shù)量
3 攻擊源分析
黑客采用密碼爆破和漏洞利用的方式進(jìn)行攻擊,根據(jù)監(jiān)測(cè)情況��,共發(fā)現(xiàn)2億1318萬次物聯(lián)網(wǎng)相關(guān)的漏洞利用行為,被利用最多的10個(gè)已知IoT漏洞分別是:
表1 本月被利用最多的10個(gè)已知IoT漏洞(按攻擊次數(shù)統(tǒng)計(jì))
發(fā)起攻擊次數(shù)最多的10個(gè)威脅資產(chǎn)(IP地址)是:
表2 本月發(fā)起攻擊次數(shù)最多的10個(gè)IP地址
本月共發(fā)現(xiàn)342萬742個(gè)IoT設(shè)備威脅資產(chǎn)(IP地址)��,其中�,絕大多數(shù)資產(chǎn)向網(wǎng)絡(luò)中的其他設(shè)備發(fā)起攻擊,一部分資產(chǎn)提供惡意程序下載服務(wù)���。境外威脅資產(chǎn)主要位于美國(guó)(38.1%)��、韓國(guó)(7.4%)����、印度(5.6%)����、法國(guó)(4.9%)等國(guó)家或地區(qū),地域分布如圖3所示�。
圖3 境外威脅資產(chǎn)的國(guó)家/地區(qū)分布(前30個(gè))
境內(nèi)威脅資產(chǎn)主要位于河南(16.3%)、廣東(16.3%)�����、香港(15.1%)�����、北京(6.9%)等行政區(qū)����,地域分布如圖4所示。
圖4 境內(nèi)威脅資產(chǎn)數(shù)量的省市分布
4 被攻擊情況
境內(nèi)被攻擊的IoT設(shè)備的IP地址有620萬7667個(gè)��,主要位于香港(22.6%)����、北京(10.8%)、浙江(10.5%)����、臺(tái)灣(8.3%)等,地域分布如圖5所示�����。
圖5 境內(nèi)被攻擊的IoT設(shè)備IP地址的地域分布
5 樣本情況
本月捕獲IoT惡意程序樣本2749個(gè)���,惡意程序傳播時(shí)常用的文件名有Mozi��、i���、bin等��,按樣本數(shù)量統(tǒng)計(jì)如圖6所示�����。
圖6 惡意程序文件名分布(前20種)
按樣本數(shù)量統(tǒng)計(jì)����,漏洞利用方式在惡意程序中的分布如圖7所示�����。
圖7 漏洞利用方式在惡意程序中的分布(前10種)
按樣本數(shù)量統(tǒng)計(jì)���,分發(fā)惡意程序數(shù)量最多的10個(gè)C段IP地址為:
表3 分發(fā)惡意程序數(shù)量最多的10個(gè)C段IP地址
按攻擊IoT設(shè)備的IP地址數(shù)量排序�����,排名前10的樣本為:
表4 攻擊設(shè)備最多的10個(gè)樣本信息
監(jiān)測(cè)到活躍的控制端主機(jī)(C&C服務(wù)器)地址1821 個(gè)����,共與3萬2705 個(gè)IP地址有通聯(lián)行為�����。按通聯(lián)IP數(shù)量排序���,排名前10的C&C地址為:
表5 通聯(lián)節(jié)點(diǎn)最多的10個(gè)控制端主機(jī)(C&C服務(wù)器)IP地址
6 最新在野漏洞利用情況
2021年9月���,值得關(guān)注的物聯(lián)網(wǎng)相關(guān)的在野漏洞利用如下:
UDP Technology Geutebruck IP Cameras Command Injection(CVE-2021-33544)
漏洞信息:
UDPTechnology公司為許多IP攝像機(jī)供應(yīng)商提供固件,包括:
Geutebruck���、Ganz���、Visualint、Cap�����、THRIVEIntelligence���、Sophus��、VCA����、TripCorps、SprinxTechnologies���、Smartec�����、Riva���。UDPTechnology提供給GeutebruckIPCamera的最新固件(版本號(hào)1.12.0.27)里存在命令注入漏洞。遠(yuǎn)程攻擊者可借助多個(gè)參數(shù)利用該漏洞執(zhí)行命令��。
在野利用POC:
參考資料:
https://www.randorisec.fr/udp-technology-ip-camera-vulnerabilities/
https://dev2ero.gitbook.io/notes-cs/practice/shi-jian/ru-qin-udp-technology-gu-jian
https://packetstormsecurity.com/files/164036/Geutebruck-Remote-Command-Execution.html
Azure OMIGOD Agent Unauthenticated Remote Command Execution(CVE-2021-38647)
漏洞信息:
OpenManagementInfrastructure(OMI)是微軟贊助的開源項(xiàng)目���,和Windows管理基礎(chǔ)架構(gòu)(WMI)類似����,但適用于UNIX/Linux系統(tǒng)����。
微軟的Azure服務(wù)包括:
AzureAutomation
AzureAutomaticUpdate、
AzureOperationsManagementSuite(OMS)����、
AzureLogAnalytics���、
AzureConfigurationManagement、
AzureDiagnostics�����、
AzureContainerInsights
廣泛使用該項(xiàng)目���。OMI存在未授權(quán)遠(yuǎn)程命令執(zhí)行漏洞,目前已發(fā)現(xiàn)Mirai變種利用此漏洞進(jìn)行傳播��。
在野利用POC:
參考資料:
https://www.horizon3.ai/news/blog/omigod
https://github.com/horizon3ai/CVE-2021-38647
https://www.wiz.io/blog/omigod-critical-vulnerabilities-in-omi-azure
https://censys.io/blog/understanding-the-impact-of-omigod-cve-2021-38647/
https://krebsonsecurity.com/2021/09/microsoft-patch-tuesday-september-2021-edition/
https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
在線咨詢
在線咨詢
0371-63319761