国内物联网设备省份分布
恶意挖矿行为分析
对于 2018 年 4 月份发生的 20 万台 MikroTik路由器
遭到恶意攻击沦为挖矿帮凶的事件,本节对其 进行持续后续跟踪,对 2018 年 10 月份的恶意挖矿数据进行分析,发现 Coinhive 家族控制的物联网设 备数量尚在 2.6 万左右。
观点 5: Coinhiv
e 在 2018 年 10 月控制的物联网设备仍有 2.6 万台,绝大部分仍是 MikroTik的路由器, 巴西为重灾区,物联网设备难升级修复是物联网安全的巨大挑战。
可知,在 2018 年 10 月份可监控到的 Coinhive 家族控制的物联网
设备数量为 2.6 万,虽 较 2018 年 4 月有减少,但危害依然存在。我们接下来将对 Coinhive 家族控制的物联网设备类型以及重 要类型的厂商进行分析。
我们发现 Coinhive 家族控制的物联网设备主要为路由器,占所有类型的 90% 以上,且 MikroTik的 路由器占所有路由器的 96% 以上,与 2018 年 4月份 Coinhive 控制的 MikroTik的路由器分布一样,在 2018 年 10 月份巴西仍然是重灾区。 从 2018 年 3 月漏洞爆出,4 月出现大规模恶意挖矿事件,到 10 月依然有大量的设备受控,这说明大量物联网设备没有得到妥善维护,其原因一方面与用户安全意识不强有关,另一方面,普通用户对这些 物联网设备知之甚少,物联网厂商也没有提供自动化
升级或其他有良好用户体验的升级机制。
异常物联网设备的区域分布分析
3.2 节分析了异常物联网设备的攻击类型、设备类型、开放端口和恶意挖矿,本节将物联网设备数 据与 NTI的威胁数据和设备日志告警数据进行关联,通过物联网设备的地理信息
进行分析,给出整体物 联网设备与异常物联网设备的地理分布情况。
全球物联网设备的国家分布
我们以地理维度对全球物联网设备数据进分析,得到的物联网设备数量图如图 3.10 所示,图中各 个国家的物联网设备数量均超过 100 万,其中中国和美国为前两名,均超过 600 万台,前五还包括墨 西哥、巴西、越南。
中国的物联网设备最多,值得重点关注,因此下面将会在 3.3.3 小节和 3.3.4 小节专门叙述国内物联 网设备情况。接下来先介绍除中国外的全球其他国家的异常物联网设备的分布情况和各国异常物联网设备的异常行为情况。3.3.3 小节叙述国内物联网设备情况。接下来先介绍除中国外的全球其他国家的异 常物联网设备的分布情况和各个国家的异常行为情况。
全球异常物联网设备国家分布
观察 6: 2018 年国外物联网设备暴露数量前五名为美国、墨西哥、巴西、越南和印尼,异常物联 网设备以越南、美国和巴西较为显著,越南的异常物联网设备以扫描探测为主,美国以漏洞利用为主, 巴西以恶意挖矿为主。
通过对异常物联网设备的国家维度进行分析得到图 3.11 ,图中的国外各个国家异常物联网设备均 超过 3000 个。通过图中的数据可知,越南异常物联网设备最多,前五名还包括:美国、印度、印度尼 西亚和泰国。接下来将对国外的异常物联网设备的异常行为进行分析,图 3.12 描述了国外的异常物联 网设备的各类异常行为的国家排名情况。
可知,以异常行为维度对国家(除中国外)排名,越南在 DDoS 攻击、僵尸网络通信 和垃圾邮件方面均是第一名,在漏洞利用美国排名第一;在恶意挖矿恶意方面,巴西排名第一。由此可 见,越南是物联网设备攻击的重灾区,巴西则与 2018 那年 4 月份曝光的 MikroTik生产的路由器被挖矿 的事件相关联。接下来将对越南、美国和巴西进行的异常行为和异常设备类型进行关联分析。
(a)越南物联网设备的类型
可知,越南的异常物联网设备类型最主要的是摄像头,其次是路由器,主要以 扫描探测为主,其次是僵尸网络通信和发送垃圾邮件;美国的异常物联网设备类型以路由器和摄像头为 主,主要的异常行为是安全漏洞利用、僵尸网络通信和 DDoS 攻击;巴西的异常物联网设备类型主要是 路由器和摄像头,主要以恶意挖矿恶意行为和扫描探测异常行为为主。
此外,越南、美国和巴西主要的异常物联网设备类型均是路由器和摄像头,接下来将这三个国家的 异常的路由器和摄像头的异常行为做进一步的分析。
由图 3.14 可知,越南的异常摄像头以扫描探测、僵尸网络通信、发送垃圾邮件恶意行为和 DDoS 攻击为主;美国的异常路由器和异常摄像头是以漏洞利用为主,巴西的异常路由器主要以恶意挖矿为主。 虽然各国的异常设备主要都是路由器和摄像头,但是这两类异常设备的异常行为却不尽相同,存在偏好 差异。
国内物联网设备省份分布
本小节以省份维度对 2018 年 5 月 1 日到 2018 年 11 月 12 日半年左右的国内的物联网设备数据进 行分析,给出国内物联网设备省份分布,以及重要省份各个设备类型的数量,
上图中的省份的物联网设备均超过 10 万,根据数量排序最多的省份分别为台湾、江苏、广东、山 东和浙江,我们发现这个排名与省份的 GDP(Gross Domestic Product)数据具有很强的相关性。从公 布的中国省份(含台湾)GDP 统计可知,前 6 名为广东、江苏、山东、浙江、河南和台湾 1。
我们认为物联网设备的大批量普及与当地的高科技水平和服务业的繁荣是分不开的,经济发达的省 份更有财力和动力采购和部署物联网设备和相关智能系统。
具体地,我们通过对各省份 GDP组成可发现,广东、江苏、山东、浙江和台湾的 GDP组成中第三 产业服务业的产值均为其 GDP的重要组成部分,所以上述省份的经济总量与物联网设备的部署量一致 的。
此外,我们发现通过对其 GDP组成分析可知,河南省主要以第一和第二产业为主,第三产业与前 几个重要省份对比相对较弱,因此可以解释其为何河南 GDP虽高,但物联网设备数排名不高的原因。
由此可见物联网设备普及程度在一定的情况下体现该地区的经济发展情况,因此物联网对于经济蓬 勃发展的区域来说是一种驱动力,但其安全问题也值得关注,我们在下一小节继续分析异常物联网设备 的省份分布。
参考资料
绿盟 2018物联网安全年报
友情链接
CSA SDP抗DDos攻击