0371-63319761
您的当前位置:主页 > 安全研究 > 安全研究 >

物联网安全威胁情报(2021年10月)

时间:2021-11-30

1、总体概述
 
根据CNCERT监测数据,自2021年10月1日至31日,共监测到物联网(IoT))设备攻击行为7亿8140万次,捕获IoT恶意样本4322个,发现IoT恶意程序传播IP地址34万5295个、威胁资产(IP地址)1074万4880个,境内被攻击的设备地址达1355万个。 
 
2、恶意程序传播情况
 
本月发现34万5295个IoT恶意程序传播地址,位于境外的IP地址主要位于印度(31.9%)、巴西(2.7%)、多米尼加联邦(1.6%)、俄罗斯(1.5%)等国家/地区,地域分布如图1所示。
 
 
图1 境外恶意程序传播服务器IP地址国家/地区分布
 
在本月发现的恶意样本传播IP地址中,有14万5326个为新增,其余在往期监测月份中也有发现。往前追溯半年,按监测月份排列,历史及新增IP分布如图2所示。
 
 
图2 历史及新增传播IP地址数量
 
3、攻击源分析

黑客采用密码爆破和漏洞利用的方式进行攻击,根据监测情况,共发现7亿8140万6534次物联网相关的漏洞利用行为,被利用最多的10个已知IoT漏洞分别是:
 
表1 本月被利用最多的10个已知IoT漏洞(按攻击次数统计)
 
 
发起攻击次数最多的10个威胁资产(IP地址)是:
 
表2 本月发起攻击次数最多的10个IP地址
 
 
本月共发现1074万4880个IoT设备威胁资产(IP地址),其中,绝大多数资产向网络中的其他设备发起攻击,一部分资产提供恶意程序下载服务。境外威胁资产主要位于美国(44.5%)、德国(5.4%)、韩国(3.7%)、法国(3.3%)等国家或地区,地域分布如图3所示。
 
 
图3 境外威胁资产的国家/地区分布(前30个)
 
境内威胁资产主要位于香港(16.3%)、广东(13.9%)、北京(9.7%)、河南(9.4%)等行政区,地域分布如图4所示。
 
 
图4 境内威胁资产数量的省市分布
 
4、被攻击情况

境内被攻击的IoT设备的IP地址有1355万9841个,主要位于香港(21.9%)、台湾(11.2%)、浙江(10.2%)、北京(9.5%)等,地域分布如图5所示。
 

 
图5 境内被攻击的IoT设备IP地址的地域分布
 
5、样本情况

本月捕获IoT恶意程序样本4322个,恶意程序传播时常用的文件名有Mozi、i、bin等,按样本数量统计如图6所示。
 

 
图6 恶意程序文件名分布(前20种)
 
按样本数量统计,漏洞利用方式在恶意程序中的分布如图7所示。
 

 
图7 漏洞利用方式在恶意程序中的分布(前10种)
 
按样本数量统计,分发恶意程序数量最多的10个C段IP地址为:
 
表3 分发恶意程序数量最多的10个C段IP地址
 

按攻击IoT设备的IP地址数量排序,排名前10的样本为:
 
表4 攻击设备最多的10个样本信息
 

 
监测到活跃的控制端主机(C&C服务器)地址1857个,共与1万4159 个IP地址有通联行为。按通联IP数量排序,排名前10的C&C地址为:
 
表5 通联节点最多的10个控制端主机(C&C服务器)IP地址
 
 
6、最新在野漏洞利用情况

2021年10月,值得关注的物联网相关的在野漏洞利用如下:
 
Motorola Baby Monitors Unauthenticated Remote Code Execution(CVE-2021-3577)
漏洞信息:
 
婴儿监视器类型包括一般包括 Wi-Fi、移动app和云平台等。摩托罗拉婴儿监视器(Motorola Crib Baby Monitor Soother Camera)存在未授权远程代码执行漏洞。
 
在野利用POC:
 

 
参考资料:
 
http://www.4hou.com/posts/w7j8
http://randywestergren.com/unauthenticated-remote-code-execution-in-motorola-baby-monitors/

来源:关键基础设施安全应急响应中心

 

Copyright © 2017-2020 冰球突破豪华版官网 版权所有 豫ICP备18011434号-1 豫公网安备 41019702002746号