1 總體概述
2 物聯(lián)網(wǎng)惡意程序樣本及傳播情況
本月共捕獲物聯(lián)網(wǎng)惡意樣本433,255個(gè)��,按惡意樣本的家族統(tǒng)計(jì)情況如下圖所示:
圖2:僵尸家族惡意樣本家族數(shù)量統(tǒng)計(jì)
本月監(jiān)測(cè)發(fā)現(xiàn)惡意樣本傳播節(jié)點(diǎn)IP地址91,960個(gè),其中位于境外的IP地址主要位于印度(89%)����,巴西(2%)���,巴基斯坦(1%)國(guó)家/地區(qū)���,地域分布如圖3所示。
圖3:境外惡意程序傳播服務(wù)器IP地址國(guó)家/地區(qū)分布
其中傳播惡意程序數(shù)量最多的10個(gè)C段IP地址及其區(qū)域位置如表1所示:
表1:傳播惡意程序數(shù)量top-10 IP地址及位置
其中傳播惡意最廣的10個(gè)樣本如表2所示:
表2:傳播最廣的ToP-10樣本
3 C&C控制服務(wù)器情況
本月監(jiān)測(cè)到活躍的控制端主機(jī)(C&C服務(wù)器)地址2120個(gè)���,其每日活躍情況按照惡意家族和天數(shù)統(tǒng)計(jì)如下�。
圖4:C&C服務(wù)器按照僵尸家族每日數(shù)量
監(jiān)測(cè)發(fā)現(xiàn)C&C控制節(jié)點(diǎn)IP大部分為位于美國(guó)(31.6%),法國(guó)(6.1%)�����,澳大利亞(5.7%)等國(guó)家地區(qū)���,按照所在國(guó)家分布統(tǒng)計(jì)如下圖所示
圖5:物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)c&c地址國(guó)家地區(qū)分布(ToP30)
其中�,本月最活躍的TOP10的C&C服務(wù)器如表2所示:
表3:本月活躍的C&C地址列表
4 感染節(jié)點(diǎn)情況
本月監(jiān)測(cè)到境內(nèi)的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)感染節(jié)點(diǎn)IP地址有355550個(gè)�����,主要位于河南省(25.6%)���,廣東省(17.6%)����,浙江省(12.6%)等地域分布如下表所示:
圖6:僵尸網(wǎng)絡(luò)受感染及節(jié)點(diǎn)IP數(shù)境內(nèi)各省市分布情況
每日活躍情況統(tǒng)計(jì)如下:
圖7:每日活躍被控端服務(wù)器總量
感染節(jié)點(diǎn)按照IP屬性分布�,感染節(jié)點(diǎn)大多數(shù)屬于住宅用戶(hù)�����、數(shù)據(jù)中心����、企業(yè)專(zhuān)線等類(lèi)型���,具體分布如下圖所示。
圖8:感染節(jié)點(diǎn)IP線圖類(lèi)型統(tǒng)計(jì)
5 物聯(lián)網(wǎng)惡僵尸網(wǎng)絡(luò)情況
本月監(jiān)測(cè)發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)有22個(gè)����,其中最活躍的有mirai(45.6%),hybridmq(28.2%)�,mozi(20.6%)等。每個(gè)僵尸網(wǎng)絡(luò)按照規(guī)模大小統(tǒng)計(jì)情況如下:
圖9:活躍僵尸網(wǎng)絡(luò)規(guī)模統(tǒng)計(jì)
按照每日活躍情況統(tǒng)計(jì)如下:
圖10:僵尸網(wǎng)絡(luò)每日活躍情況統(tǒng)計(jì)
其中最活躍的前三個(gè)僵尸網(wǎng)絡(luò)家族的感染控制節(jié)點(diǎn)分布如下所示���。
圖11:mirai世界分布
圖12:hybridmq世界分布
圖13:mozi世界分布
6 整體攻擊態(tài)勢(shì)
物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)大量利用漏洞利用攻擊進(jìn)行感染傳播��,本月監(jiān)測(cè)發(fā)現(xiàn)650種在野的物聯(lián)網(wǎng)漏洞利用攻擊���,新增12種漏洞利用攻擊,監(jiān)測(cè)到物聯(lián)網(wǎng)(IoT)設(shè)備攻擊行為17.95億次����。漏洞攻擊每日活躍情況如圖所示:
圖14:物聯(lián)網(wǎng)漏動(dòng)攻擊種類(lèi)每日活躍圖
圖15:物聯(lián)網(wǎng)漏動(dòng)攻擊次數(shù)每日活躍圖
表4:被利用最多的10個(gè)已知IoT漏洞
7 本月值得關(guān)注的物聯(lián)網(wǎng)在野漏洞
1. Nortek Linear eMerge E3-Series 賬戶(hù)接管漏洞(CVE-2022-31798)
漏洞信息:
Nortek Control Linear eMerge E3-Series是美國(guó)Nortek Control公司的一種門(mén)禁控制器??芍付ㄈ藛T在指定時(shí)間可以使用哪些門(mén)進(jìn)出指定地點(diǎn)。
Nortek Control Linear eMerge E3-Series 0.32-07p版本存在安全漏洞,該漏洞源于攻擊者利用反射型跨站腳本連接本地會(huì)話(huà)導(dǎo)致接管管理員賬戶(hù)或權(quán)限較低的賬戶(hù)��。
在野利用POC:
參考資料:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31798
https://packetstormsecurity.com/files/167992/Nortek-Linear-eMerge-E3-Series-Account-Takeover.html
2. Zyxel USG FLEX 5.21 命令注入漏洞(CVE-2022-30525)
漏洞信息:
Zyxel USG FLEX是中國(guó)合勤科技(Zyxel)公司的一款防火墻��,提供靈活的 VPN 選項(xiàng)(IPsec���、SSL 或 L2TP)��,為遠(yuǎn)程工作和管理提供靈活的安全遠(yuǎn)程訪問(wèn)����。Zyxel USG FLEX 的5.00版本至5.21版本存在安全漏洞���,該漏洞允許在未經(jīng)身份驗(yàn)證的情況下在受影響設(shè)備上以nobody用戶(hù)身份執(zhí)行任意命令�。這可能允許攻擊者修改特定文件��,然后在易受攻擊的設(shè)備上執(zhí)行一些操作系統(tǒng)命令��。在野利用POC:
參考資料:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-30525https://packetstormsecurity.com/files/167372/Zyxel-USG-FLEX-5.21-Command-Injection.html
文章來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
在線咨詢(xún)
在線咨詢(xún)
0371-63319761