《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 物聯(lián)網(wǎng)安全威脅情報(2021年9月)

物聯(lián)網(wǎng)安全威脅情報(2021年9月)

2021-10-26
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
關(guān)鍵詞: 物聯(lián)網(wǎng)安全

  1

  總體概述

  根據(jù)CNCERT監(jiān)測數(shù)據(jù),自2021年9月1日至30日,共監(jiān)測到物聯(lián)網(wǎng)(IoT)設(shè)備攻擊行為2億1318萬次,捕獲IoT惡意樣本2749 個,發(fā)現(xiàn)IoT惡意程序傳播IP地址30萬4430個、威脅資產(chǎn)(IP地址)342萬742個,境內(nèi)被攻擊的設(shè)備地址達(dá)620萬個。

  2

  惡意程序傳播情況

  本月發(fā)現(xiàn)30萬4430個IoT惡意程序傳播地址,位于境外的IP地址主要位于印度(38.1%)、巴西(7.4%)、多米尼加聯(lián)邦(5.6%)、俄羅斯(4.9%)等國家/地區(qū),地域分布如圖1所示。

  微信圖片_20211026101915.jpg

  圖1 境外惡意程序傳播服務(wù)器IP地址國家/地區(qū)分布

  在本月發(fā)現(xiàn)的惡意樣本傳播IP地址中,有13萬7469個為新增,其余在往期監(jiān)測月份中也有發(fā)現(xiàn)。往前追溯半年,按監(jiān)測月份排列,歷史及新增IP分布如圖2所示。

  微信圖片_20211026101917.jpg

  圖2 歷史及新增傳播IP地址數(shù)量

  3

  攻擊源分析

  黑客采用密碼爆破和漏洞利用的方式進(jìn)行攻擊,根據(jù)監(jiān)測情況,共發(fā)現(xiàn)2億1318萬次物聯(lián)網(wǎng)相關(guān)的漏洞利用行為,被利用最多的10個已知IoT漏洞分別是:

  表1 本月被利用最多的10個已知IoT漏洞(按攻擊次數(shù)統(tǒng)計)

  微信圖片_20211026101920.jpg

  發(fā)起攻擊次數(shù)最多的10個威脅資產(chǎn)(IP地址)是:

  表2 本月發(fā)起攻擊次數(shù)最多的10個IP地址

  微信圖片_20211026101922.jpg

  本月共發(fā)現(xiàn)342萬742個IoT設(shè)備威脅資產(chǎn)(IP地址),其中,絕大多數(shù)資產(chǎn)向網(wǎng)絡(luò)中的其他設(shè)備發(fā)起攻擊,一部分資產(chǎn)提供惡意程序下載服務(wù)。境外威脅資產(chǎn)主要位于美國(38.1%)、韓國(7.4%)、印度(5.6%)、法國(4.9%)等國家或地區(qū),地域分布如圖3所示。

  微信圖片_20211026101927.jpg

  圖3 境外威脅資產(chǎn)的國家/地區(qū)分布(前30個)

  境內(nèi)威脅資產(chǎn)主要位于河南(16.3%)、廣東(16.3%)、香港(15.1%)、北京(6.9%)等行政區(qū),地域分布如圖4所示。

  微信圖片_20211026101931.jpg

  圖4 境內(nèi)威脅資產(chǎn)數(shù)量的省市分布

  4

  被攻擊情況

  境內(nèi)被攻擊的IoT設(shè)備的IP地址有620萬7667個,主要位于香港(22.6%)、北京(10.8%)、浙江(10.5%)、臺灣(8.3%)等,地域分布如圖5所示。

  微信圖片_20211026101934.jpg

  圖5 境內(nèi)被攻擊的IoT設(shè)備IP地址的地域分布

  5

  樣本情況

  本月捕獲IoT惡意程序樣本2749個,惡意程序傳播時常用的文件名有Mozi、i、bin等,按樣本數(shù)量統(tǒng)計如圖6所示。

  微信圖片_20211026101936.jpg

  圖6 惡意程序文件名分布(前20種)

  按樣本數(shù)量統(tǒng)計,漏洞利用方式在惡意程序中的分布如圖7所示。

  微信圖片_20211026101942.jpg

  圖7 漏洞利用方式在惡意程序中的分布(前10種)

  按樣本數(shù)量統(tǒng)計,分發(fā)惡意程序數(shù)量最多的10個C段IP地址為:

  表3 分發(fā)惡意程序數(shù)量最多的10個C段IP地址

  微信圖片_20211026101945.jpg

  按攻擊IoT設(shè)備的IP地址數(shù)量排序,排名前10的樣本為:

  表4 攻擊設(shè)備最多的10個樣本信息

  微信圖片_20211026101947.jpg

  監(jiān)測到活躍的控制端主機(jī)(C&C服務(wù)器)地址1821 個,共與3萬2705 個IP地址有通聯(lián)行為。按通聯(lián)IP數(shù)量排序,排名前10的C&C地址為:

  表5 通聯(lián)節(jié)點(diǎn)最多的10個控制端主機(jī)(C&C服務(wù)器)IP地址

  微信圖片_20211026101949.jpg

  6

  最新在野漏洞利用情況

  2021年9月,值得關(guān)注的物聯(lián)網(wǎng)相關(guān)的在野漏洞利用如下:

  UDP Technology Geutebruck IP Cameras Command Injection(CVE-2021-33544)

  漏洞信息:

  UDPTechnology公司為許多IP攝像機(jī)供應(yīng)商提供固件,包括:

  Geutebruck、Ganz、Visualint、Cap、THRIVEIntelligence、Sophus、VCA、TripCorps、SprinxTechnologies、Smartec、Riva。UDPTechnology提供給GeutebruckIPCamera的最新固件(版本號1.12.0.27)里存在命令注入漏洞。遠(yuǎn)程攻擊者可借助多個參數(shù)利用該漏洞執(zhí)行命令。

  在野利用POC:

  微信圖片_20211026101951.jpg

  參考資料:

  https://www.randorisec.fr/udp-technology-ip-camera-vulnerabilities/

  https://dev2ero.gitbook.io/notes-cs/practice/shi-jian/ru-qin-udp-technology-gu-jian

  https://packetstormsecurity.com/files/164036/Geutebruck-Remote-Command-Execution.html

  Azure OMIGOD Agent Unauthenticated Remote Command Execution(CVE-2021-38647)

  漏洞信息:

  OpenManagementInfrastructure(OMI)是微軟贊助的開源項(xiàng)目,和Windows管理基礎(chǔ)架構(gòu)(WMI)類似,但適用于UNIX/Linux系統(tǒng)。

  微軟的Azure服務(wù)包括:

  AzureAutomation

  AzureAutomaticUpdate、

  AzureOperationsManagementSuite(OMS)、

  AzureLogAnalytics、

  AzureConfigurationManagement、

  AzureDiagnostics、

  AzureContainerInsights

  廣泛使用該項(xiàng)目。OMI存在未授權(quán)遠(yuǎn)程命令執(zhí)行漏洞,目前已發(fā)現(xiàn)Mirai變種利用此漏洞進(jìn)行傳播。

在野利用POC:

微信圖片_20211026101954.jpg



電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。