物(wù)联网安(ān)全威胁情报（2021年2月）

物(wù)联网安(ān)全威胁情报（2021年2月）_

栏目：行业新(xīn)闻发布时间：2021-04-06 04:10

1 总體(tǐ)概述根据CNCERT监测数据，自2021年2月1日至28日，共监测到物(wù)联网（IoT）设备攻击行為(wèi)4亿

总體(tǐ)概述

根据CNCERT监测数据，自2021年2月1日至28日，共监测到物(wù)联网（IoT）设备攻击行為(wèi)4亿3212万次，捕获IoT恶意程序样本3314个，发现IoT恶意程序传播IP地址16万余个、威胁资产(chǎn)（IP地址）121万余个，境内被攻击的IoT设备地址达689万个。

恶意程序传播情况

本月发现16万8988个IoT恶意程序传播地址，位于境外的IP地址主要位于印度（60.9%）、科(kē)索沃（12.6%）、巴西（8.4%）、俄罗斯（3.5%）等國(guó)家/地區(qū)，地域分(fēn)布如图1所示。

图1 境外恶意程序传播服務(wù)器IP地址國(guó)家/地區(qū)分(fēn)布

在本月发现的恶意样本传播IP地址中(zhōng)，有(yǒu)9万4千余个為(wèi)新(xīn)增，6万9千余个在往期监测月份中(zhōng)也有(yǒu)发现。往前追溯半年，按监测月份排列，历史及新(xīn)增IP分(fēn)布如图2所示。

图2 历史及新(xīn)增传播IP地址数量

攻击源分(fēn)析

黑客采用(yòng)密码爆破和漏洞利用(yòng)的方式进行攻击，根据监测情况，共发现4亿3212万个物(wù)联网相关的漏洞利用(yòng)行為(wèi)，被利用(yòng)最多(duō)的10个已知IoT漏洞分(fēn)别是：

表1 本月被利用(yòng)最多(duō)的10个已知IoT漏洞（按攻击次数统计）

漏洞利用(yòng)	攻击次数	百分(fēn)比
Netgear_DGN1000	61649576	32.3%
CVE_2015_2051_DLink_HNAP	56012463	29.4%
JAWS_DVR	43794330	23.0%
Vacron_NVR	10604309	5.6%
CVE_2018_10561_GPON_Router	5886485	3.1%
DLink_OS_Command_Injection	5802812	3.0%
Zyxel_EirD1000_Router	2775595	1.5%
CVE_2014_8361_Realtek_SDK_UPnP	2290649	1.2%
Linksys_Eseries	532482	0.3%
CVE_2014_6271_GNU_bash	451084	0.2%

发起攻击次数最多(duō)的10个威胁资产(chǎn)（IP地址）是：

表2 本月发起攻击次数最多(duō)的10个IP地址

发起攻击的IP地址	攻击次数
209.141.40.190	5859608
194.5.249.238	5605527
185.239.242.171	1165485
99.79.27.147	587054
139.162.119.9	577830
85.90.247.61	569555
172.104.47.64	498050
115.221.84.62	483087
175.203.179.215	470293
209.197.29.186	466831

本月共发现121万5650个IoT设备威胁资产(chǎn)（IP地址），其中(zhōng)，绝大多(duō)数资产(chǎn)向网络中(zhōng)的其他(tā)设备发起攻击，一部分(fēn)资产(chǎn)提供恶意程序下载服務(wù)。境外威胁资产(chǎn)主要位于美國(guó)（36.3%）、印度（13.7%）、加拿(ná)大（6.4%）、英國(guó)（3.4%）等國(guó)家或地區(qū)，地域分(fēn)布如图3所示。

图3 境外威胁资产(chǎn)的國(guó)家/地區(qū)分(fēn)布（前30个）

境内威胁资产(chǎn)主要位于河南（32.2%）、香港（14.1%）、广东（12.5%）等行政區(qū)，地域分(fēn)布如图4所示。

图4 境内威胁资产(chǎn)的省市分(fēn)布

被攻击情况

境内被攻击的IoT设备的IP地址有(yǒu)689万3462个，主要位于浙江（20.6%）、台湾（17.2%）、北京（16.4%）、广东（7.9%）等，地域分(fēn)布如图5所示。

图5 境内被攻击的IoT设备IP地址的地域分(fēn)布

样本情况

本月捕获IoT恶意程序样本3314个，恶意程序传播时常用(yòng)的文(wén)件名(míng)有(yǒu)Mozi、i、bin等，按样本数量统计如图6所示：

图6 恶意程序文(wén)件名(míng)分(fēn)布（前30种）

按样本数量统计，漏洞利用(yòng)方式在恶意程序中(zhōng)的分(fēn)布如图7所示。

图7 漏洞利用(yòng)方式在恶意程序中(zhōng)的分(fēn)布（前10种）

按样本数量统计，分(fēn)发恶意程序数量最多(duō)的10个C段IP地址為(wèi)：

表3 分(fēn)发恶意程序数量最多(duō)的10个C段IP地址

序号	IP	数量
1	186.33.122.0/24	750
2	117.222.174.0/24	641
3	117.222.166.0/24	637
4	117.242.211.0/24	636
5	59.92.182.0/24	633
6	117.242.210.0/24	627
7	59.92.183.0/24	623
8	117.202.71.0/24	621
9	117.222.168.0/24	620
10	59.94.183.0/24	620

按攻击IoT设备的IP地址数量排序，排名(míng)前10的样本為(wèi)：

表4 攻击设备最多(duō)的10个样本

序号	样本哈希	家族
1	12013662c71da69de977c04cd7021f13a70cf7bed4ca6c82acbc100464d4b0ef	Mozi
2	b5cf68c7cb5bb2d21d60bf6654926f61566d95bfd7c9f9e182d032f1da5b4605	Mozi
3	4293c1d8574dc87c58360d6bac3daa182f64f7785c9d41da5e0741d2b1817fc7	Mirai
4	2e4506802aedea2e6d53910dfb296323be6620ac08c4b799a879eace5923a7b6	Mozi
5	d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8	Mozi
6	f6c97b1e2ed02578ca1066c8235ba4f991e645f89012406c639dbccc6582eec8	Mirai
7	9e0a15a4318e3e788bad61398b8a40d4916d63ab27b47f3bdbe329c462193600	Mozi
8	2916f8d5b9b94093d72a6b9cdf0a4c8f5f38d70d5cea4444869ab33cd7e1f243	Mirai
9	e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0	Mozi
10	c6f6ca23761292552e6ea5f12496dc9c73374be0c5f9d0b2142ca3ae0bb8fe14	Gafgyt

最新(xīn)在野漏洞利用(yòng)情况

2021年2月，值得关注的物(wù)联网相关的在野漏洞利用(yòng)如下：

SSD Advisory – Yealink DM Pre Auth ‘root’level RCE（CVE-2021-27561/CVE-2021-27562）

漏洞信息：

Yealink DM（设备管理(lǐ)）平台提供全面的管理(lǐ)解决方案，主要功能(néng)包括统一部署和管理(lǐ)、实时监控和报警、遠(yuǎn)程故障排除。

yearink DM server中(zhōng)存在多(duō)个漏洞，使得未经验证的遠(yuǎn)程攻击者能(néng)够导致服務(wù)器执行任意命令，因為(wèi)用(yòng)户提供的数据未被正确过滤。

在野利用(yòng)POC：

参考资料：

https://www.seebug.org/vuldb/ssvid-99135

https://twitter.com/campuscodi/status/1364175295067095043

https://ssd-disclosure.com/ssd-advisory-yealink-dm-pre-auth-root-level-rce/

Vantage Velocity Field Unit OS CodeInjection（CVE-2020-9020）

漏洞信息：

Iteris Vantage Velocity Field Unit是美國(guó)Iteris公(gōng)司的一款道路监测现场设备。IterisVantage Velocity Field Unit 2.3.1版本、2.4.2版本和3.0版本中(zhōng)存在操作(zuò)系统命令注入漏洞。攻击者借助带有(yǒu)shell元字符的NTPServer字段利用(yòng)该漏洞执行命令。

在野利用(yòng)POC：

参考资料：

https://www.anquanke.com/vul/id/1933342

https://blog.netlab.360.com/fbot-is-now-riding-the-traffic-and-transportation-smart-devices/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9020

Mida eFramework 2.8.9 - Remote CodeExecution（CVE-2020-15922）

漏洞信息：

Mida Solutions eFramework是意大利Mida Solutions公(gōng)司的一套统一通信和协作(zuò)服務(wù)套件。Mida Solutions eFramework 2.9.0版本中(zhōng)存在操作(zuò)系统命令注入漏洞。遠(yuǎn)程攻击者可(kě)利用(yòng)该漏洞以root权限执行代码。

在野利用(yòng)POC：

参考资料：

https://www.anquanke.com/vul/id/2101797

https://www.exploit-db.com/exploits/48835

https://vulners.com/exploitdb/EDB-ID:48835

https://packetstormsecurity.com/files/cve/CVE-2020-15922

上一篇：2020年联网智能(néng)设备安(ān)全态势报告

下一篇：2020年IoT终端安(ān)全白皮书

产(chǎn)品中(zhōng)心解决方案新(xīn)闻中(zhōng)心关于我们

地址：福州市高新(xīn)區(qū)海西园创业路8号万福中(zhōng)心2号楼19层1907单元
電(diàn)话：0591-87807919