物聯(lián)網(wǎng)安全威脅情報(bào)(2022年11月)
1 總體概述
2 物聯(lián)網(wǎng)惡意程序樣本及傳播情況
本月共捕獲物聯(lián)網(wǎng)惡意樣本101921個(gè)��,按惡意樣本的家族統(tǒng)計(jì)情況如下圖所示:
圖2:僵尸家族惡意樣本家族數(shù)量統(tǒng)計(jì)
本月監(jiān)測(cè)發(fā)現(xiàn)惡意樣本傳播節(jié)點(diǎn)IP地址82703個(gè)���,其中位于境外的IP地址主要位于印度(87%),巴西(5%),巴基斯坦(1%)國(guó)家/地區(qū),地域分布如圖3所示�����。
圖3:境外惡意程序傳播服務(wù)器IP地址國(guó)家/地區(qū)分布
其中傳播惡意程序數(shù)量最多的10個(gè)C段IP地址及其區(qū)域位置如表1所示:
表1:傳播惡意程序數(shù)量top-10 IP地址及位置
其中傳播惡意最廣的10個(gè)樣本如表2所示:
表2:傳播最廣的ToP-10樣本
3 C&C控制服務(wù)器情況
本月監(jiān)測(cè)到活躍的控制端主機(jī)(C&C服務(wù)器)地址337個(gè),其每日活躍情況按照惡意家族和天數(shù)統(tǒng)計(jì)如下�。
圖4:C&C服務(wù)器按照僵尸家族每日數(shù)量
監(jiān)測(cè)發(fā)現(xiàn)C&C控制節(jié)點(diǎn)IP大部分為位于美國(guó)(21.7%),德國(guó)(6.5%),俄羅斯(6.5%)等國(guó)家地區(qū),按照所在國(guó)家分布統(tǒng)計(jì)如下圖所示:
圖5:物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)c&c地址國(guó)家地區(qū)分布(ToP30)
其中���,本月最活躍的TOP10的C&C服務(wù)器如表2所示:
表3:本月活躍的C&C地址列表
4 感染節(jié)點(diǎn)情況
本月監(jiān)測(cè)到境內(nèi)的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)感染節(jié)點(diǎn)IP地址有40604個(gè)����,主要位于廣東省(22.2%),云南省(9.4%),河南省(9.3%)等地域分布如下表所示:
圖6:僵尸網(wǎng)絡(luò)受感染及節(jié)點(diǎn)IP數(shù)境內(nèi)各省市分布情況
每日活躍情況統(tǒng)計(jì)如下:
圖7:每日活躍被控端服務(wù)器總量
感染節(jié)點(diǎn)按照IP屬性分布�,感染節(jié)點(diǎn)大多數(shù)屬于住宅用戶、數(shù)據(jù)中心���、企業(yè)專線等類型,具體分布如下圖所示�����。
圖8:感染節(jié)點(diǎn)IP線圖類型統(tǒng)計(jì)
5 物聯(lián)網(wǎng)惡僵尸網(wǎng)絡(luò)情況
本月監(jiān)測(cè)發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)有28個(gè)�����,其中最活躍的有mirai(58.8%),mozi(26.7%),moobot(4.5%)等�����。每個(gè)僵尸網(wǎng)絡(luò)按照規(guī)模大小統(tǒng)計(jì)情況如下:
圖9:活躍僵尸網(wǎng)絡(luò)規(guī)模統(tǒng)計(jì)
按照每日活躍情況統(tǒng)計(jì)如下:
圖10:僵尸網(wǎng)絡(luò)每日活躍情況統(tǒng)計(jì)
其中最活躍的前三個(gè)僵尸網(wǎng)絡(luò)家族的感染控制節(jié)點(diǎn)分布如下所示。
圖11:mirai世界分布
圖12:mozi世界分布
圖13:moobot世界分布
6 整體攻擊態(tài)勢(shì)
物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)大量利用漏洞利用攻擊進(jìn)行感染傳播�,本月監(jiān)測(cè)發(fā)現(xiàn)698種物聯(lián)網(wǎng)漏洞攻擊,新增12種漏洞攻擊�����,監(jiān)測(cè)到物聯(lián)網(wǎng)(IoT)設(shè)備攻擊行為7.75億次�����。漏洞攻擊每日活躍情況如圖所示:
圖14:物聯(lián)網(wǎng)漏動(dòng)攻擊種類每日活躍圖
圖15:物聯(lián)網(wǎng)漏動(dòng)攻擊次數(shù)每日活躍圖
被利用最多的10個(gè)已知IoT漏洞分別為:
表4:被利用最多的10個(gè)已知IoT漏洞
7 本月值得關(guān)注的在野漏洞
1. Kramer VIAware RCE漏洞(CVE-2019-17124)
漏洞信息:
VIAware 軟件安裝在可以有兩個(gè)網(wǎng)卡的網(wǎng)關(guān)計(jì)算機(jī)上��。一張網(wǎng)卡用于內(nèi)部網(wǎng)絡(luò)�����,一張用于面向訪客的外部網(wǎng)絡(luò)�����。這種情況下�����,網(wǎng)絡(luò)服務(wù)可能會(huì)收到外部網(wǎng)絡(luò)的攻擊。例如��,如果 Web 服務(wù)(使VIAapp對(duì)訪客開放)未被防火墻規(guī)則阻止�����,它就可能會(huì)受到來(lái)自外部網(wǎng)絡(luò)的攻擊�。
在野利用POC:
參考資料:
https://nvd.nist.gov/vuln/detail/CVE-2019-17124
https://packetstormsecurity.com/files/166541/Kramer-VIAware-2.5.0719.1034-Remote-Code-Execution.html
2. Axis IP Camera shell上傳漏洞
漏洞信息:
該漏洞源自Metasploit 模塊對(duì)Axis IP 攝像機(jī)中的“應(yīng)用程序”功能的利用。該功能允許第三方開發(fā)人員在設(shè)備上上傳和執(zhí)行 eap 應(yīng)用程序����。系統(tǒng)不會(huì)驗(yàn)證應(yīng)用程序是否來(lái)自可信來(lái)源,因此惡意攻擊者可以上傳并執(zhí)行任意代碼�。該模塊以root 身份上傳和執(zhí)行stageless meterpreter。
在野利用POC:
參考資料:
https://cxsecurity.com/issue/WLB-2022030006
https://packetstormsecurity.com/files/166168/Axis-IP-Camera-Shell-Upload.html
文章來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
在線咨詢
在線咨詢
0371-63319761