物联网安全威胁情报(2022年11月)

活动&资讯
2022-12-09 16:12
10861

总体概述

image.png

物联网恶意程序样本及传播情况

本月共捕获物联网恶意样本101921个,按恶意样本的家族统计情况如下图所示:

image.png
图2:僵尸家族恶意样本家族数量统计

本月监测发现恶意样本传播节点IP地址82703个,其中位于境外的IP地址主要位于印度(87%),巴西(5%),巴基斯坦(1%)国家/地区,地域分布如图3所示。

image.png
图3:境外恶意程序传播服务器IP地址国家/地区分布

其中传播恶意程序数量最多的10个C段IP地址及其区域位置如表1所示:
表1:传播恶意程序数量top-10 IP地址及位置
image.png

其中传播恶意最广的10个样本如表2所示:
表2:传播最广的ToP-10样本
image.png

C&C控制服务器情况

本月监测到活跃的控制端主机(C&C服务器)地址337个,其每日活跃情况按照恶意家族和天数统计如下。

image.png
图4:C&C服务器按照僵尸家族每日数量

监测发现C&C控制节点IP大部分为位于美国(21.7%),德国(6.5%),俄罗斯(6.5%)等国家地区,按照所在国家分布统计如下图所示:

image.png
图5:物联网僵尸网络c&c地址国家地区分布(ToP30)

其中,本月最活跃的TOP10的C&C服务器如表2所示:

表3:本月活跃的C&C地址列表
image.png

感染节点情况

本月监测到境内的物联网僵尸网络感染节点IP地址有40604个,主要位于广东省(22.2%),云南省(9.4%),河南省(9.3%)等地域分布如下表所示:

image.png
图6:僵尸网络受感染及节点IP数境内各省市分布情况

每日活跃情况统计如下:

image.png
图7:每日活跃被控端服务器总量

感染节点按照IP属性分布,感染节点大多数属于住宅用户、数据中心、企业专线等类型,具体分布如下图所示。

image.png
图8:感染节点IP线图类型统计

物联网恶僵尸网络情况

本月监测发现的活跃物联网僵尸网络有28个,其中最活跃的有mirai(58.8%),mozi(26.7%),moobot(4.5%)等。每个僵尸网络按照规模大小统计情况如下:

image.png
图9:活跃僵尸网络规模统计

按照每日活跃情况统计如下:

image.png
图10:僵尸网络每日活跃情况统计

其中最活跃的前三个僵尸网络家族的感染控制节点分布如下所示。

image.png
图11:mirai世界分布

image.png
图12:mozi世界分布

image.png
图13:moobot世界分布

整体攻击态势

物联网僵尸网络大量利用漏洞利用攻击进行感染传播,本月监测发现698种物联网漏洞攻击,新增12种漏洞攻击,监测到物联网(IoT)设备攻击行为7.75亿次。漏洞攻击每日活跃情况如图所示:

image.png
图14:物联网漏动攻击种类每日活跃图

image.png
图15:物联网漏动攻击次数每日活跃图

被利用最多的10个已知IoT漏洞分别为:

表4:被利用最多的10个已知IoT漏洞
image.png

本月值得关注的在野漏洞

Kramer VIAware RCE漏洞(CVE-2019-17124)
漏洞信息:

VIAware 软件安装在可以有两个网卡的网关计算机上。一张网卡用于内部网络,一张用于面向访客的外部网络。这种情况下,网络服务可能会收到外部网络的攻击。例如,如果 Web 服务(使VIAapp对访客开放)未被防火墙规则阻止,它就可能会受到来自外部网络的攻击。

在野利用POC:

参考资料:

https://nvd.nist.gov/vuln/detail/CVE-2019-17124

https://packetstormsecurity.com/files/166541/Kramer-VIAware-2.5.0719.1034-Remote-Code-Execution.html

Axis IP Camera shell上传漏洞
漏洞信息:

该漏洞源自Metasploit 模块对Axis IP 摄像机中的“应用程序”功能的利用。该功能允许第三方开发人员在设备上上传和执行 eap 应用程序。系统不会验证应用程序是否来自可信来源,因此恶意攻击者可以上传并执行任意代码。该模块以root 身份上传和执行stageless meterpreter。

在野利用POC:

参考资料:

https://cxsecurity.com/issue/WLB-2022030006

https://packetstormsecurity.com/files/166168/Axis-IP-Camera-Shell-Upload.html

原文来源:关键基础设施安全应急响应中心

参与评论

0 / 200

全部评论 2

zebra的头像
学习大佬思路
2023-03-19 12:15
Hacking_Hui的头像
学习了
2023-02-01 14:20
投稿
签到
联系我们
关于我们