总体概述

联网智能设备泛指通过公共互联网连接的嵌入了传感器、软件和其他技术具有一定计算能力的设备,主要包括手机设备、智能监控平台、防火墙、网络摄像头、交换机、打印机、GPS设备、会议系统、网关设备、一卡通等。CNCERT对联网智能设备的安全风险与事件进行持续跟踪监测分析,根据CNCERT监测数据,2021年第2季度,共收录联网智能设备漏洞2365个,其中通用型漏洞1421个,事件型漏洞944个;监测到联网智能设备恶意程序样本511.82万个,样本家族141个,发现恶意程序传播源IP地址36.17万个,境内恶意程序下载端IP地址67.05万个;僵尸网络控制端IP地址3.5万个,境内僵尸网络受控端IP地址924.27万个。

1、联网智能设备漏洞态势

联网智能设备存在软硬件漏洞可能导致设备被攻击入侵,进而导致设备数据和用户信息泄露、设备被控、感染僵尸木马程序、被用作跳板攻击内网主机和其他信息基础设施等安全风险和问题。CNCERT通过CNVD持续对联网智能设备的漏洞开展跟踪、收录和通报处置,主要情况如下。

1.1 通用型漏洞收录情况

2021年第2季度,CNVD收录通用型联网智能设备漏洞1421个。按收录漏洞的类型、影响的设备类型统计如下:

联网智能设备通用型漏洞数量按漏洞类型分类,排名前三位的是弱口令、权限绕过和命令执行漏洞,分别占公开收录漏洞总数的24.70%、19.92%、10.13%,如图1.1所示。

图1.1 联网智能设备通用型漏洞数量按漏洞类型统计情况(2021年第2季度)

联网智能设备通用型漏洞数量按设备类型分类,排名前三位的是路由器、手机设备和智能监控平台,分别占公开收录漏洞总数的34.32%、14.63%、13.57%,如图1.2所示。

图1.2 联网智能设备通用型漏洞数量按设备类型统计情况(2021第2季度)

1.2 事件型漏洞收录情况

2021年第2季度,CNVD收录联网智能设备事件型漏洞944个。按设备类型分类,排名前三位的是防火墙、智能监控平台和会议系统,分别占公开收录漏洞总数的38.14%、32.52%、20.34%,如图1.3所示。

图1.3 联网智能设备事件型漏洞数量按设备类型统计情况(2021年第2季度)

2、恶意程序传播态势

CNCERT对感染控制联网智能设备的恶意程序开展抽样监测分析,主要情况如下。

2.1 样本捕获情况

2021年第2季度,CNCERT共捕获511.82万个联网智能设备恶意程序样本,样本家族141个。其中,排名前两位的为恶意程序Mirai家族、恶意程序Gafgyt家族及其变种,占比分别为40.51%和36.60%。按所属家族统计,排名靠前的恶意程序样本数情况如图2.1所示。

图2.1 联网智能设备恶意程序样本数按所属家族统计情况(2021年第2季度)

按恶意程序样本MD5维度统计,恶意程序样本传播次数TOP10情况如图2.2所示。

图2.2 联网智能设备恶意程序样本传播次数按MD5维度统计情况(2021年第2季度)

联网智能设备恶意程序样本数量按月统计情况如图2.3所示。

图2.3 联网智能设备恶意程序样本数按月统计情况(2021年第2季度)

2.2 恶意程序传播源监测情况

2021年第2季度,CNCERT监测发现36.17万个联网智能设备恶意程序传播地址。境外传播源主要位于印度(48.72%)、塞尔维亚(26.08%)、美国(3.18%)、越南(2.91%)、俄罗斯(2.51%)等国家或地区;境内传播源主要位于河南(52.26%)、广东(26.26%)、山东(8.52%)、浙江(1.98%)、江苏(1.40%)等省份。

按国家或地区分布统计,恶意程序传播源IP数量TOP10情况如图2.4所示。

图2.4 联网智能设备恶意程序传播源IP数境外国家分布情况(2021年第2季度)

按省市分布维度统计,境内恶意程序传播源IP数量TOP10情况如图2.5所示。

图2.5 联网智能设备恶意程序传播源IP数境内省市分布情况(2021年第2季度)

按IP维度统计,恶意程序传播次数TOP10情况如图2.6所示。

图2.6 联网智能设备恶意程序传播次数按IP维度统计情况(2021年第2季度)

联网智能设备传播源IP数量按月统计情况如图2.7所示。

图2.7 联网智能设备恶意程序传播源IP数按月统计情况(2021年第2季度)

2.3 恶意程序下载端监测情况

2021年第2季度,CNCERT监测发现67.05万个联网智能设备恶意程序境内下载端地址,主要位于辽宁(9.91%)、江苏(9.49%)、安徽(9.19%)、福建(8.63%)、河南(7.12%)等省份。按省份分布统计,境内恶意程序下载端IP数量TOP10情况如图2.8所示。

图2.8 联网智能设备恶意程序下载端IP数境内省市分布情况(2021年第2季度)

按IP维度统计,恶意程序下载次数TOP10情况如图2.9所示。

图2.9 联网智能设备恶意程序下载次数按IP维度统计情况(2021年第2季度)

联网智能设备下载端IP数量按月统计情况如图2.10所示。

图2.10 联网智能设备恶意程序下载端IP数按月统计情况(2021年第2季度)

3、僵尸网络活动态势

CNCERT对联网智能设备感染恶意程序并被控形成的僵尸网络开展抽样监测分析,主要情况如下。

3.1 控制端监测情况

2021年第2季度,CNCERT监测发现3.5万个联网智能设备僵尸网络控制端地址,境外控制端主要位于中国香港(37.98%)、美国(24.91%)、日本(4.01%)、德国(3.53%)、韩国(2.82%)等国家或地区;境内控制端主要位于广东(15.03%)、吉林(13.54%)、北京(8.16%)、四川(6.90%)、上海(3.87%)等省份或地市。

按国家或地区分布统计,僵尸网络控制端IP数量TOP10情况如图3.1所示。

图3.1 联网智能设备僵尸网络控制端IP数境外国家分布情况(2021年第2季度)

按省市分布统计,境内僵尸网络控制端IP数量TOP10情况如图3.2所示。

图3.2 联网智能设备僵尸网络控制端IP数境内省市分布情况(2021年第2季度)

按IP维度统计,僵尸网络规模TOP10情况如图3.3所示。

图3.3 联网智能设备僵尸网络控制次数按IP维度统计情况(2021年2季度)

僵尸网络控制端IP数量按月统计情况如图3.4所示。

图3.4 联网智能设备僵尸网络控制端IP数按月统计情况(2021年第2季度)

3.2 受控端监测情况

2021年第2季度,CNCERT监测发现924.27万个联网智能设备僵尸网络境内受控端地址,主要位于浙江(16.01%)、河南(8.60%)、江苏(8.54%)、广东(5.32%)、山东(4.82%)等省份。按所在省份分布统计,境内僵尸网络受控端IP数量TOP10情况如图3.5所示。

图3.5 联网智能设备僵尸网络受控端IP数境内省市分布情况(2021年第2季度)

僵尸网络受控端IP数量按月统计情况如图3.6所示。

图3.6 联网智能设备僵尸网络受控端IP数按月统计情况(2021年第2季度)

3.3 利用联网智能设备僵尸网络进行攻击活动情况

CNCERT对通过控制联网智能设备发起的DDoS攻击开展抽样监测分析,主要情况如下。

按IP维度统计,DDoS攻击控制端发起DDoS次数TOP10情况如图3.7所示。

图3.7 联网智能设备DDoS攻击控制端发起DDoS次数按IP维度统计情况(2021年第2季度)

按端口维度统计,DDoS攻击控制端发起DDoS次数TOP10情况如图3.8所示。

图3.8 联网智能设备DDoS攻击控制端发起DDoS次数按端口维度统计情况(2021年第2季度)

联网智能设备DDoS攻击控制端IP数量按月统计情况如图3.9所示。

图3.9 联网智能设备DDoS攻击控制端IP数按月统计趋势情况(2021年第2季度)

声明:本文来自国家互联网应急中心CNCERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。