1 總體概述
根據(jù)CNCERT監(jiān)測數(shù)據(jù)����,自2022年07月01日至31日���,共捕獲物聯(lián)網(wǎng)惡意樣本471,158個��,發(fā)現(xiàn)物聯(lián)網(wǎng)惡意程序傳播IP地址55,163個����,發(fā)現(xiàn)活躍的僵尸網(wǎng)絡C&C服務器地址2021個��,其地址位置主要分布在美國(33.6%)��,中國(8.5%)���,俄羅斯(6.7%)等國家����。其中來自美國的680個C&C服務器控制了中國境內(nèi)的373,080個設備
黑客主要使用密碼爆破�、漏洞利用等方式進行感染設備,根據(jù)CNCERT監(jiān)測數(shù)據(jù)����,本月監(jiān)測發(fā)現(xiàn)632種物聯(lián)網(wǎng)漏洞攻擊,監(jiān)測到物聯(lián)網(wǎng)(IoT)設備攻擊行為7億8140萬次,發(fā)現(xiàn)活躍的被感染僵尸節(jié)點有815,253個�,其中境內(nèi)主要分布在廣東省(17.9%),浙江省(13.0%), 河南省(7.4%)等�����,境外主要分布在印度(7.8%)����,俄羅斯(0.8%),巴西(0.3%)等國家����。
這些控制節(jié)點和感染節(jié)點共同組成了數(shù)量龐大的各類物聯(lián)網(wǎng)僵尸網(wǎng)絡���,根據(jù)CNCERT研究分析�,本月發(fā)現(xiàn)的主要物聯(lián)網(wǎng)僵尸網(wǎng)絡有rapperbot(28.1%)����,mirai(24.2%),hybridmq(17.1%)等����。上月我們曾經(jīng)預警過的rapperbot僵尸網(wǎng)絡,在本月發(fā)展迅速感染規(guī)模迅速上升��。這些僵尸網(wǎng)絡的存在及傳播對網(wǎng)絡空間帶來了極大危害。
2 物聯(lián)網(wǎng)惡意程序樣本及傳播情況
本月共捕獲物聯(lián)網(wǎng)惡意樣本471,158個�����,按惡意樣本的家族統(tǒng)計情況如下圖所示:
圖2:僵尸家族惡意樣本家族數(shù)量統(tǒng)計
本月監(jiān)測發(fā)現(xiàn)惡意樣本傳播節(jié)點IP地址55,163個����,其中位于境外的IP地址主要位于印度(47%),巴西(2%)��,玻利維亞(1%)國家/地區(qū)����,地域分布如圖3所示。
圖3:境外惡意程序傳播服務器IP地址國家/地區(qū)分布
其中傳播惡意程序數(shù)量最多的10個C段IP地址及其區(qū)域位置如表1所示:
表1:傳播惡意程序數(shù)量top-10 IP地址及位置
其中傳播惡意最廣的10個樣本如表2所示:
表2:傳播最廣的ToP-10樣本
3 C&C控制服務器情況
本月監(jiān)測到活躍的控制端主機(C&C服務器)地址2021個�����,其每日活躍情況按照惡意家族和天數(shù)統(tǒng)計如下��。
圖4:C&C服務器按照僵尸家族每日數(shù)量
監(jiān)測發(fā)現(xiàn)C&C控制節(jié)點IP大部分為位于美國(33.6%)��,中國(8.5%)���,俄羅斯(6.7%)等國家地區(qū)��,按照所在國家分布統(tǒng)計如下圖所示
圖5:物聯(lián)網(wǎng)僵尸網(wǎng)絡c&c地址國家地區(qū)分布(ToP30)
其中����,本月最活躍的TOP10的C&C服務器如表2所示:
表3:本月活躍的C&C地址列表
4 感染節(jié)點情況
本月監(jiān)測到境內(nèi)的物聯(lián)網(wǎng)僵尸網(wǎng)絡感染節(jié)點IP地址有815,253個,主要位于廣東省(17.9%)����,江蘇省(7.5%), 河南省(7.4%)等地域分布如下表所示:
圖6:僵尸網(wǎng)絡受感染及節(jié)點IP數(shù)境內(nèi)各省市分布情況
每日活躍情況統(tǒng)計如下:
圖7:每日活躍被控端服務器總量
感染節(jié)點按照IP屬性分布,感染節(jié)點大多數(shù)屬于住宅用戶����、數(shù)據(jù)中心、企業(yè)專線等類型�����,具體分布如下圖所示��。
圖8:感染節(jié)點IP線圖類型統(tǒng)計
5 主要惡僵尸網(wǎng)絡情況
本月監(jiān)測發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)僵尸網(wǎng)絡有48個��,其中最活躍的有rapperbot(28.1%),mirai(24.2%),hybridmq(17.1%)等����。每個僵尸網(wǎng)絡按照規(guī)模大小統(tǒng)計情況如下:
圖9:活躍僵尸網(wǎng)絡規(guī)模統(tǒng)計
按照每日活躍情況統(tǒng)計如下:
圖10:僵尸網(wǎng)絡每日活躍情況統(tǒng)計
其中最活躍的前三個僵尸網(wǎng)絡家族的控制和感染節(jié)點分布如下所示。其中rapporbot僵尸網(wǎng)絡的控制節(jié)點主要來自美國����,其余兩個僵尸網(wǎng)絡的控制節(jié)點分布在多個國家。
圖11:rapporbot世界分布
圖12:mirai世界分布
圖13:hybridmq世界分布
6 整體攻擊態(tài)勢
物聯(lián)網(wǎng)僵尸網(wǎng)絡大量利用漏洞利用攻擊進行感染傳播��,本月監(jiān)測發(fā)現(xiàn)632種物聯(lián)網(wǎng)漏洞攻擊��,新增25種漏洞攻擊����,監(jiān)測到物聯(lián)網(wǎng)(IoT)設備攻擊行為15.16億次。漏洞攻擊每日活躍情況如圖所示:
圖14:物聯(lián)網(wǎng)漏動攻擊種類每日活躍圖
圖15:物聯(lián)網(wǎng)漏動攻擊次數(shù)每日活躍圖
被利用最多的10個已知IoT漏洞分別為:
表4:被利用最多的10個已知IoT漏洞
來源:關(guān)鍵基礎設施安全應急響應中心
在線咨詢
在線咨詢
0371-63319761