1 總體概述
2 物聯(lián)網(wǎng)惡意程序樣本及傳播情況
本月共捕獲物聯(lián)網(wǎng)惡意樣本311,518個�,按惡意樣本的家族統(tǒng)計情況如下圖所示:
圖2:僵尸家族惡意樣本家族數(shù)量統(tǒng)計
本月監(jiān)測發(fā)現(xiàn)惡意樣本傳播節(jié)點IP地址51,454個����,其中位于境外的IP地址主要位于印度(85%),巴西(3%),玻利維亞(2%)國家/地區(qū)����,地域分布如圖3所示����。
圖3:境外惡意程序傳播服務(wù)器IP地址國家/地區(qū)分布
其中傳播惡意程序數(shù)量最多的10個C段IP地址及其區(qū)域位置如表1所示:
表1:傳播惡意程序數(shù)量top-10 IP地址及位置
其中傳播惡意最廣的10個樣本如表2所示:
表2:傳播最廣的ToP-10樣本
3 C&C控制服務(wù)器情況
本月監(jiān)測到活躍的控制端主機(C&C服務(wù)器)地址461個,其每日活躍情況按照惡意家族和天數(shù)統(tǒng)計如下�。
圖4:C&C服務(wù)器按照僵尸家族每日數(shù)量
監(jiān)測發(fā)現(xiàn)C&C控制節(jié)點IP大部分為位于中國(38.2%),美國(37.5%),澳大利亞(6.8%)等國家地區(qū),按照所在國家分布統(tǒng)計如下圖所示
圖5:物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)c&c地址國家地區(qū)分布(ToP30)
其中���,本月最活躍的TOP10的C&C服務(wù)器如表2所示:
表3:本月活躍的C&C地址列表
4 感染節(jié)點情況
本月監(jiān)測到境內(nèi)的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)感染節(jié)點IP地址有269.537個��,主要位于河南省(13.8%),廣東省(12.4%),浙江省(11.5%)等地域分布如下表所示:
圖6:僵尸網(wǎng)絡(luò)受感染及節(jié)點IP數(shù)境內(nèi)各省市分布情況
每日活躍情況統(tǒng)計如下:
圖7:每日活躍被控端服務(wù)器總量
感染節(jié)點按照IP屬性分布��,感染節(jié)點大多數(shù)屬于住宅用戶�、數(shù)據(jù)中心�����、企業(yè)專線等類型���,具體分布如下圖所示�。
圖8:感染節(jié)點IP線圖類型統(tǒng)計
5 主要僵尸網(wǎng)絡(luò)情況
本月監(jiān)測發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)有24個,其中最活躍的有mirai(53.0%),hybridmq(16.4%),mozi(15.5%)等��。每個僵尸網(wǎng)絡(luò)按照規(guī)模大小統(tǒng)計情況如下:
圖9:活躍僵尸網(wǎng)絡(luò)規(guī)模統(tǒng)計
按照每日活躍情況統(tǒng)計如下:
圖10:僵尸網(wǎng)絡(luò)每日活躍情況統(tǒng)計
其中最活躍的前三個僵尸網(wǎng)絡(luò)家族的感染控制節(jié)點分布如下所示��。
圖11:mirai世界分布
圖12:hybridmq世界分布
圖13:mozi世界分布
6 整體攻擊態(tài)勢
物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)大量利用漏洞利用攻擊進行感染傳播�����,本月監(jiān)測發(fā)現(xiàn)672種物聯(lián)網(wǎng)漏洞攻擊���,新增12種漏洞攻擊����,監(jiān)測到物聯(lián)網(wǎng)(IoT)設(shè)備攻擊行為19.84億次�。漏洞攻擊每日活躍情況如圖所示:
圖14:物聯(lián)網(wǎng)漏洞攻擊種類每日活躍圖
圖15:物聯(lián)網(wǎng)漏動攻擊次數(shù)每日活躍圖
被利用最多的10個已知IoT漏洞分別為:
表4:被利用最多的10個已知IoT漏洞
7 本月值得關(guān)注的在野漏洞
1. Bitbucket Git命令注入漏洞(CVE-2022-36804)
漏洞信息:
Bitbucket是Atlassian公司提供的一個基于web的版本庫托管服務(wù)(Shared web hosting service)�,支持Mercurial和Git版本控制系統(tǒng)。
Bitbucket服務(wù)器和數(shù)據(jù)中心在7.0.0至8.3.0的版本中存在安全漏洞�,這種漏洞可以使得具有公共項目訪問權(quán)限或私人項目可讀權(quán)限的遠程攻擊者發(fā)送惡意HTTP請求來執(zhí)行任意代碼。
在野利用POC:
參考資料:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36804
https://packetstormsecurity.com/files/168470/Bitbucket-Git-Command-Injection.html
2. Airspan AirSpot 5410 遠程命令注入漏洞(CVE-2022-36267)
漏洞信息:
AirSpot 5410是一款高級的LTE�,CAT12,戶外����,多服務(wù)產(chǎn)品,專門為滿足住宅,商業(yè)和企業(yè)用戶的數(shù)據(jù)需求而設(shè)計��。
Airspan AirSpot 5410 0.3.4.1至4及以前版本存在安全漏洞����,該漏洞使得攻擊者可以利用經(jīng)過base32編碼的payload生成請求導(dǎo)致惡意腳本注入用戶設(shè)置界面。
在野利用POC:
參考資料:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36267
https://packetstormsecurity.com/files/168047/AirSpot-5410-0.3.4.1-4-Remote-Command-Injection.html
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
在線咨詢
在線咨詢
0371-63319761