1、總體概述
根據(jù)CNCERT監(jiān)測(cè)數(shù)據(jù)�����,自2021年10月1日至31日��,共監(jiān)測(cè)到物聯(lián)網(wǎng)(IoT))設(shè)備攻擊行為7億8140萬次���,捕獲IoT惡意樣本4322個(gè)�,發(fā)現(xiàn)IoT惡意程序傳播IP地址34萬5295個(gè)���、威脅資產(chǎn)(IP地址)1074萬4880個(gè)���,境內(nèi)被攻擊的設(shè)備地址達(dá)1355萬個(gè)。
2����、惡意程序傳播情況
本月發(fā)現(xiàn)34萬5295個(gè)IoT惡意程序傳播地址,位于境外的IP地址主要位于印度(31.9%)���、巴西(2.7%)�、多米尼加聯(lián)邦(1.6%)�、俄羅斯(1.5%)等國家/地區(qū),地域分布如圖1所示�����。
圖1 境外惡意程序傳播服務(wù)器IP地址國家/地區(qū)分布
在本月發(fā)現(xiàn)的惡意樣本傳播IP地址中�����,有14萬5326個(gè)為新增,其余在往期監(jiān)測(cè)月份中也有發(fā)現(xiàn)���。往前追溯半年,按監(jiān)測(cè)月份排列�����,歷史及新增IP分布如圖2所示����。
圖2 歷史及新增傳播IP地址數(shù)量
3、攻擊源分析
黑客采用密碼爆破和漏洞利用的方式進(jìn)行攻擊���,根據(jù)監(jiān)測(cè)情況���,共發(fā)現(xiàn)7億8140萬6534次物聯(lián)網(wǎng)相關(guān)的漏洞利用行為,被利用最多的10個(gè)已知IoT漏洞分別是:
表1 本月被利用最多的10個(gè)已知IoT漏洞(按攻擊次數(shù)統(tǒng)計(jì))
發(fā)起攻擊次數(shù)最多的10個(gè)威脅資產(chǎn)(IP地址)是:
表2 本月發(fā)起攻擊次數(shù)最多的10個(gè)IP地址
本月共發(fā)現(xiàn)1074萬4880個(gè)IoT設(shè)備威脅資產(chǎn)(IP地址)���,其中���,絕大多數(shù)資產(chǎn)向網(wǎng)絡(luò)中的其他設(shè)備發(fā)起攻擊����,一部分資產(chǎn)提供惡意程序下載服務(wù)����。境外威脅資產(chǎn)主要位于美國(44.5%)、德國(5.4%)����、韓國(3.7%)、法國(3.3%)等國家或地區(qū)�,地域分布如圖3所示。
圖3 境外威脅資產(chǎn)的國家/地區(qū)分布(前30個(gè))
境內(nèi)威脅資產(chǎn)主要位于香港(16.3%)�、廣東(13.9%)、北京(9.7%)��、河南(9.4%)等行政區(qū)��,地域分布如圖4所示�����。
圖4 境內(nèi)威脅資產(chǎn)數(shù)量的省市分布
4�����、被攻擊情況
境內(nèi)被攻擊的IoT設(shè)備的IP地址有1355萬9841個(gè),主要位于香港(21.9%)��、臺(tái)灣(11.2%)���、浙江(10.2%)���、北京(9.5%)等�����,地域分布如圖5所示�����。
圖5 境內(nèi)被攻擊的IoT設(shè)備IP地址的地域分布
5�����、樣本情況
本月捕獲IoT惡意程序樣本4322個(gè)���,惡意程序傳播時(shí)常用的文件名有Mozi�、i��、bin等,按樣本數(shù)量統(tǒng)計(jì)如圖6所示���。
圖6 惡意程序文件名分布(前20種)
按樣本數(shù)量統(tǒng)計(jì)��,漏洞利用方式在惡意程序中的分布如圖7所示���。
圖7 漏洞利用方式在惡意程序中的分布(前10種)
按樣本數(shù)量統(tǒng)計(jì),分發(fā)惡意程序數(shù)量最多的10個(gè)C段IP地址為:
表3 分發(fā)惡意程序數(shù)量最多的10個(gè)C段IP地址
按攻擊IoT設(shè)備的IP地址數(shù)量排序����,排名前10的樣本為:
表4 攻擊設(shè)備最多的10個(gè)樣本信息
監(jiān)測(cè)到活躍的控制端主機(jī)(C&C服務(wù)器)地址1857個(gè),共與1萬4159 個(gè)IP地址有通聯(lián)行為���。按通聯(lián)IP數(shù)量排序����,排名前10的C&C地址為:
表5 通聯(lián)節(jié)點(diǎn)最多的10個(gè)控制端主機(jī)(C&C服務(wù)器)IP地址
6�、最新在野漏洞利用情況
2021年10月,值得關(guān)注的物聯(lián)網(wǎng)相關(guān)的在野漏洞利用如下:
Motorola Baby Monitors Unauthenticated Remote Code Execution(CVE-2021-3577)
漏洞信息:
嬰兒監(jiān)視器類型包括一般包括 Wi-Fi�����、移動(dòng)app和云平臺(tái)等���。摩托羅拉嬰兒監(jiān)視器(Motorola Crib Baby Monitor Soother Camera)存在未授權(quán)遠(yuǎn)程代碼執(zhí)行漏洞��。
在野利用POC:
參考資料:
https://www.4hou.com/posts/w7j8
https://randywestergren.com/unauthenticated-remote-code-execution-in-motorola-baby-monitors/
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
在線咨詢
在線咨詢
0371-63319761