1 總體概述
2 物聯(lián)網(wǎng)惡意程序樣本及傳播情況
本月共捕獲物聯(lián)網(wǎng)惡意樣本82,121個(gè),按惡意樣本的家族統(tǒng)計(jì)情況如下圖所示:
圖2:僵尸家族惡意樣本家族數(shù)量統(tǒng)計(jì)
本月監(jiān)測(cè)發(fā)現(xiàn)惡意樣本傳播節(jié)點(diǎn)IP地址140255個(gè),其中位于境外的IP地址主要位于印度(82%),巴西(7%),巴基斯坦(2%)國(guó)家/地區(qū)��,地域分布如圖3所示。
圖3:境外惡意程序傳播服務(wù)器IP地址國(guó)家/地區(qū)分布
其中傳播惡意程序數(shù)量最多的10個(gè)C段IP地址及其區(qū)域位置如表1所示:
表1:傳播惡意程序數(shù)量TOP10 IP地址及位置
其中傳播惡意最廣的10個(gè)樣本如表2所示:
表2:傳播最廣的TOP10樣本
3 C&C控制服務(wù)器情況
本月監(jiān)測(cè)到活躍的控制端主機(jī)(C&C服務(wù)器)地址357個(gè),其每日活躍情況按照惡意家族和天數(shù)統(tǒng)計(jì)如下。
圖4:C&C服務(wù)器按照僵尸家族每日數(shù)量
監(jiān)測(cè)發(fā)現(xiàn)C&C控制節(jié)點(diǎn)IP大部分為位于美國(guó)(30.0%),澳大利亞(10.9%),俄羅斯(8.4%)等國(guó)家地區(qū)�����,按照所在國(guó)家分布統(tǒng)計(jì)如下圖所示
圖5:物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)c&c地址國(guó)家地區(qū)分布(ToP30)
其中�,本月最活躍的TOP10的C&C服務(wù)器如表3所示:
表3:本月活躍的C&C地址列表
4 感染節(jié)點(diǎn)情況
本月監(jiān)測(cè)到境內(nèi)的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)感染節(jié)點(diǎn)IP地址有261043個(gè)�����,主要位于廣東省(17.5%),云南省(11.6%),河南省(11.5%)等地域分布如下表所示:
圖6:僵尸網(wǎng)絡(luò)受感染及節(jié)點(diǎn)IP數(shù)境內(nèi)各省市分布情況
每日活躍情況統(tǒng)計(jì)如下:
圖7:每日活躍被控端服務(wù)器總量
感染節(jié)點(diǎn)按照IP屬性分布���,感染節(jié)點(diǎn)大多數(shù)屬于住宅用戶�、數(shù)據(jù)中心����、企業(yè)專線等類型,具體分布如下圖所示����。
圖8:感染節(jié)點(diǎn)IP線圖類型統(tǒng)計(jì)
5 物聯(lián)網(wǎng)惡僵尸網(wǎng)絡(luò)情況
本月監(jiān)測(cè)發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)有28個(gè),其中最活躍的有mirai(62.0%),mozi(30.7%),gafgyt(3.0%)等����。每個(gè)僵尸網(wǎng)絡(luò)按照規(guī)模大小統(tǒng)計(jì)情況如下:
圖9:活躍僵尸網(wǎng)絡(luò)規(guī)模統(tǒng)計(jì)
按照每日活躍情況統(tǒng)計(jì)如下:
圖10:僵尸網(wǎng)絡(luò)每日活躍情況統(tǒng)計(jì)
其中最活躍的前三個(gè)僵尸網(wǎng)絡(luò)家族的感染控制節(jié)點(diǎn)分布如下所示。
圖11:mirai世界分布
圖12:mozi世界分布
圖13:gafgyt世界分布
6 整體攻擊態(tài)勢(shì)
物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)大量利用漏洞利用攻擊進(jìn)行感染傳播��,本月監(jiān)測(cè)發(fā)現(xiàn)734種物聯(lián)網(wǎng)漏洞攻擊��,新增12種漏洞攻擊,監(jiān)測(cè)到物聯(lián)網(wǎng)(IoT)設(shè)備攻擊行為13.48億次�����。漏洞攻擊每日活躍情況如圖所示:
圖14:物聯(lián)網(wǎng)漏動(dòng)攻擊種類每日活躍圖
圖15:物聯(lián)網(wǎng)漏動(dòng)攻擊次數(shù)每日活躍圖
被利用最多的10個(gè)已知IoT漏洞分別為:
表4:被利用最多的10個(gè)已知IoT漏洞
7 本月值得關(guān)注的在野漏洞
1.PfSense PfBlockerNG shell上傳漏洞(CVE-2022-31814)
漏洞信息:
pfBlockerNG是一個(gè)熱門的默認(rèn)未安裝的pfSense插件�。通常用于阻止來(lái)自整個(gè)國(guó)家或IP范圍的入站連接。其2.1.4_26及以下版本包含該漏洞���,攻擊者可以通過(guò)未經(jīng)驗(yàn)證的RCE漏洞來(lái)實(shí)現(xiàn)root訪問���。
在野利用POC:
參考資料:
https://nvd.nist.gov/vuln/detail/CVE-2022-31814
https://packetstormsecurity.com/files/168743/pfSense-pfBlockerNG-2.1.4_26-Shell-Upload.html
2. GLPI命令注入漏洞(CVE-2022-35914)
漏洞信息:
GLPI是一款基于PHP的管理IT資產(chǎn)的開源軟件。該軟件提供功能全面的IT資源管理接口��,可以用來(lái)全面管理電腦����,顯示器,服務(wù)器�����,打印機(jī)��,網(wǎng)絡(luò)設(shè)備�,電話等��。
GLPI10.0.2及之前版本存在安全漏洞��,該漏洞源于htmlawed模塊中的/vendor/htmlawed/htmlawed/htmLawedTest.php����,允許PHP代碼注入���。
在野利用POC:
參考資料:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35914
https://packetstormsecurity.com/files/169501/GLPI-10.0.2-Command-Injection.html
來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
在線咨詢
在線咨詢
0371-63319761