1、聯(lián)網(wǎng)智能設(shè)備漏洞態(tài)勢

　　聯(lián)網(wǎng)智能設(shè)備存在的軟硬件漏洞可能導致設(shè)備數(shù)據(jù)和用戶信息泄露、設(shè)備癱瘓、感染僵尸木馬程序、被用作跳板攻擊內(nèi)網(wǎng)主機和其他信息基礎(chǔ)設(shè)施等安全風險和問題。CNCERT通過CNVD持續(xù)對聯(lián)網(wǎng)智能設(shè)備的漏洞開展跟蹤、收錄和通報處置，主要情況如下。

　　1.1  通用型漏洞收錄情況

　　2020年，CNVD收錄通用型聯(lián)網(wǎng)智能設(shè)備漏洞3047個（同比上升28%）。按收錄漏洞的類型、影響的設(shè)備類型統(tǒng)計如下：

　　聯(lián)網(wǎng)智能設(shè)備通用型漏洞數(shù)量按漏洞類型分類，排名前三位的是權(quán)限繞過、信息泄露和緩沖區(qū)溢出漏洞，分別占公開收錄漏洞總數(shù)的17.03%、13.32%、12.54%，如圖1所示。

　　圖1  聯(lián)網(wǎng)智能設(shè)備通用型漏洞數(shù)量按漏洞類型統(tǒng)計情況（2020年）

　　聯(lián)網(wǎng)智能設(shè)備通用型漏洞數(shù)量按設(shè)備類型分類，排名前三位的是手機設(shè)備、路由器和智能監(jiān)控平臺，分別占公開收錄漏洞總數(shù)的38.33%、20.97%、19.53%，如圖2所示。

　　圖2  聯(lián)網(wǎng)智能設(shè)備通用型漏洞數(shù)量按設(shè)備類型統(tǒng)計情況

　　1.2  事件型漏洞收錄情況

　　2020年，CNVD收錄聯(lián)網(wǎng)智能設(shè)備事件型漏洞2141個。按設(shè)備類型分類，排名前三位的是智能監(jiān)控平臺、網(wǎng)絡(luò)攝像頭和防火墻，分別占公開收錄漏洞總數(shù)的44.84%、31.62%、9.34%，如圖3所示。

　　圖3  聯(lián)網(wǎng)智能設(shè)備事件型漏洞數(shù)量按設(shè)備類型統(tǒng)計情況

　　2、聯(lián)網(wǎng)智能設(shè)備惡意程序傳播態(tài)勢

　　CNCERT對可用于感染、控制聯(lián)網(wǎng)智能設(shè)備的惡意程序開展抽樣監(jiān)測分析，主要情況如下。

　　2.1  樣本捕獲情況

　　2020年，CNCERT捕獲341.10萬個聯(lián)網(wǎng)智能設(shè)備惡意樣本（同比上升5.25%）。其中，排名前兩位的為Mirai、Gafgyt家族及其變種，占比分別為77.48%和13.86%，其他樣本數(shù)量較多的家族還有Tsunami、Mozi、Darknexus、Loligang、Hajime、Yakuza、Muhstik、Vpnfilter、Chalubo等，如圖4所示。

　　圖4  聯(lián)網(wǎng)智能設(shè)備惡意樣本數(shù)量按所屬家族分布情況（2020年）

　　聯(lián)網(wǎng)智能設(shè)備惡意樣本數(shù)量整體呈現(xiàn)上升態(tài)勢，在10月出現(xiàn)峰值74.94萬個（較2019年月度峰值增長44.37%），如圖5所示。

　　圖5  聯(lián)網(wǎng)智能設(shè)備惡意樣本數(shù)量按月統(tǒng)計情況（2020年）

　　2.2  傳播源監(jiān)測情況

　　2020年，CNCERT監(jiān)測發(fā)現(xiàn)51.99萬個聯(lián)網(wǎng)智能設(shè)備惡意程序傳播源IP地址。2020年境外傳播源IP數(shù)量大幅增長（同比上升9倍），其中Mozi家族通過P2P傳播方式迅速擴大感染規(guī)模，成為境外傳播源IP數(shù)量最多的家族，境外傳播源IP數(shù)量較多的家族還包括Mirai、Gafgyt、Hajime等，如圖6所示。

　　圖6  聯(lián)網(wǎng)智能設(shè)備惡意程序境外傳播源IP數(shù)量按所屬家族分布情況（2020年）

　　從境外傳播源IP數(shù)量的趨勢來看，9月Mozi家族境外傳播源IP數(shù)量突增，同一時期Mirai家族的境外傳播源IP數(shù)量也顯著增加（由于Mozi家族樣本復(fù)用Mirai部分代碼），如圖7所示。

　　圖7  聯(lián)網(wǎng)智能設(shè)備惡意程序境外傳播源IP數(shù)量月度統(tǒng)計情況（2020年）

　　2.3  下載端監(jiān)測情況

　　2020年，CNCERT監(jiān)測發(fā)現(xiàn)132.18萬個境內(nèi)IP地址下載聯(lián)網(wǎng)智能設(shè)備惡意程序（同比下降35.14%）。其中，排名前四位的為Mirai、Gafgyt、Mozi、Hajime家族及其變種，如圖8所示。

　　圖8  聯(lián)網(wǎng)智能設(shè)備惡意程序境內(nèi)下載端IP數(shù)量按所屬家族分布情況（2020年）

　　從下載端IP數(shù)量的趨勢來看，Mirai、Gafgyt家族的境內(nèi)下載端IP數(shù)量呈緩慢下降趨勢，Mozi家族的境內(nèi)下載端IP數(shù)量3至4月、9至12月均處于較高水平，如圖9所示。

　　圖9  聯(lián)網(wǎng)智能設(shè)備惡意程序境內(nèi)下載端IP數(shù)量月度統(tǒng)計情況（2020年）

　　境內(nèi)下載端IP地址主要分布在江蘇、浙江、安徽、山東、廣東等省份，如圖10所示。

　　圖10  聯(lián)網(wǎng)智能設(shè)備惡意程序境內(nèi)下載端IP數(shù)量TOP10省市（2020年）

　　3、聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)活動態(tài)勢

　　CNCERT對聯(lián)網(wǎng)智能設(shè)備設(shè)備感染惡意程序并被控形成的僵尸網(wǎng)絡(luò)開展抽樣監(jiān)測分析，主要情況如下。

　　3.1  控制端監(jiān)測情況

　　2020年，CNCERT監(jiān)測到20.93萬個境外控制端IP地址控制我國境內(nèi)聯(lián)網(wǎng)智能設(shè)備組成僵尸網(wǎng)絡(luò)。其中，排名前三位的惡意家族為Dofloo、Moobot、Mirai，如圖11所示。

　　圖11  聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)境外控制端IP數(shù)量按所屬家族分布情況（2020年）

　　2020年上半年，在CNCERT對聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)控制端的持續(xù)打擊下，控制端IP數(shù)量趨勢平穩(wěn)，保持在月均2萬個以下的水平。從8月開始，Moobot、Fbot等家族僵尸網(wǎng)絡(luò)活躍度增高，控制端IP數(shù)量迅速上升至月均3萬以上。隨著打擊力度加大，12月控制端IP數(shù)量重新下降至月均3萬以下，如圖12所示。

　　圖12  聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)境外控制端IP數(shù)量按月統(tǒng)計情況（2020年）

　　3.2  被控端監(jiān)測情況

　　2020年，CNCERT監(jiān)測發(fā)現(xiàn)2929.73萬個境內(nèi)聯(lián)網(wǎng)智能設(shè)備IP地址被控制。其中，排名前三位的家族為Pinkbot、Tsunami、Gafgyt，如圖13所示。

　　圖13  聯(lián)網(wǎng)智能設(shè)備境內(nèi)被控端IP數(shù)量按所屬家族分布情況（2020年）

　　從3月起，CNCERT監(jiān)測發(fā)現(xiàn)Pinkbot家族僵尸網(wǎng)絡(luò)迅速擴張，被控端IP數(shù)量月均峰值超過800萬。通過對其集中控制端的治理，從6月開始被控端數(shù)量持續(xù)下降。但未清理惡意程序的受感染設(shè)備之間會繼續(xù)通過P2P通信保持聯(lián)系，截至12月仍能監(jiān)測到約200萬個被控端的通信行為。除此之外，其他家族的被控端IP數(shù)量保持平穩(wěn)，約在100萬左右規(guī)模，如圖14所示。

　　圖14  聯(lián)網(wǎng)智能設(shè)備境內(nèi)被控端IP數(shù)量月度統(tǒng)計情況（2020年）

　　2020年，通過控制聯(lián)網(wǎng)智能設(shè)備而形成的僵尸網(wǎng)絡(luò)規(guī)模明顯增大。累計控制規(guī)模大于10萬的僵尸網(wǎng)絡(luò)共53個，1至10萬的共471個，控制規(guī)模較大的惡意家族包括Tsunami、Gafgyt、Moobot、Cayosin、Fbot、Mirai等。

　　3.3  利用聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)進行攻擊活動情況

　　2020年，通過控制聯(lián)網(wǎng)智能設(shè)備發(fā)起的DDoS攻擊日均3000余起。其中，排名前四位的惡意家族為Mirai、Gafgyt、Cayosin、Moobot，如圖15所示。

　　圖15  主要惡意家族控制聯(lián)網(wǎng)智能設(shè)備發(fā)起DDoS攻擊情況（2020年）

　　本報告的撰寫過程中，恒安嘉新（北京）科技股份有限公司、北京奇虎科技有限公司向CNCERT提供了協(xié)助和分析線索，特此致謝。