物联网安全物联网恶意样本分布

小结

从物联网
漏洞的披露情况来看，2002 年至 2020 年，NVD 漏洞平台披露的物联网漏洞数量通常占 漏洞总量的 10%-15%，没有明显变化趋势。但值得注意的是，2020 年 NVD平台公布的物联网相关漏 洞具有攻击复杂度低、危害评级高的特点，且数量有望创历史新高，对攻击者而言物联网漏洞是一种成 本低、收益高攻击手段，极有可能被其纳入其武器库。从物联网漏洞的利用情况来看，2020 年 1 月至 10 月，在 Exploit-DB披露的 69 个物联网相关漏洞 利用中，有 12 个被绿盟威胁捕获系统捕获到被攻击者利用，占比约 17.39%，从 Exploit-DB披露漏洞利 用到攻击者首次利用漏洞，最短仅相隔一天。说明除关注 NVD披露的物联网相关漏洞外，攻击者同样 非常关注 Exploit-DB漏洞利用平台新出现的漏洞利用，且对部分漏洞利用跟进速度非常快。

借助 CNCERT物联网威胁情报平台和绿盟威胁捕获系统的监测数据，我们从物联网漏洞利用攻击趋 势，攻击者利用的物联网设备类型和漏洞利用类型等角度对物联网漏洞利用情况进行分析。可以观察到 上半年数据的波动与攻击者使用数量最多的漏洞之间有很强的关联性，随着攻击者使用数量最多的漏洞 的攻击数在 2020 年 7 月份骤然下降，总体的漏洞利用攻击数量也产生了一个较大幅度的下滑。所捕获 到的上百种物联网漏洞的利用行为中，远程命令执行类漏洞居多，占比约 80%。另外，攻击者往往会关 注路由器和摄像头的漏洞及其利用，原因是互联网上暴露的物联网设备主要是路由器和摄像头设备，并 且各类路由器和各类摄像头设备具有一定共性，攻击难度较小、广度较大。

物联网威胁分析

引言

本章将对物联网威胁进行分析。首先，我们利用采集到的现网数据对来自境外的攻击源进行分析； 接着我们对物联网相关的恶意样本的分布情况进行分析；最后，我们选择了一些物联网安全威胁专题进 行说明。

境外攻击源分析

根据现网流量监控，2020 年监控到的境外攻击源如图 4.1 所示，国内捕获的来自境外攻击的源 IP 地址中，占比最高的是美国，总量高达 23%，每个月平均有约 30 万个 IP 地址被发现有 5.2 亿余次攻击 行为；其次是德国，占比达 11%，每个月平均有近 15 万个 IP 源攻击中国境内的物联网设备；之后紧居 德国之下的是印度、法国，相应的攻击 IP 地址占比分别为 5% 和 4%；剩余的还有韩国、意大利、巴西 等国，其单个攻击源占比均不足 7%，但累加后合计占比达到了将近 55% 左右。
图 4.1　攻击源地理位置分布（来源：CNCERT 物联网威胁情报平台）
根据每个月攻击源数量排名前三的国家进行统计发现，美国是主要的攻击源所在国家，且其攻击源 IP 数量一直保持稳定，如图 4.2 所示； 7 月来自埃及的攻击源 IP 数量达到 42 万余个，9 月来自印度的 攻击源 IP 数量达到 30 万余个，均出现了较为异常的大幅度增长，猜测这两国分别有较大规模的物联网 设备入侵事件发生。

图 4.2　排名前三国家每月攻击源数（来源：CNCERT 物联网威胁情报平台）
2020 年初以来攻击目的端口分布如图 4.3 所示，针对 52869 端口的攻击数量最多，占总比 40%， 推测这一端口与 Mozi 僵尸网络的爆发有关；其次是 80 端口，其可能用于尝试固件 Web 管理页面的漏 洞；排名第三的是 23 端口，占比达 8%，可能是僵尸网络使用弱密码或暴力破解的方式尝试使用 Telnet 登录目标机器进行传播。接下来的 37215 端口，是华为某款路由器
的漏洞暴露端口；5500 是 VNC远 程桌面默认的端口。图 4.3　攻击源目的端口分布（来源：CNCERT 物联网威胁情报平台）

物联网恶意样本分布

2020 年全年共捕获到来自全球总计 18 万余个物联网恶意样本，传播这些样本的 IP 地址共有 2.4 万 余个，分布于全球 140 个国家和地区，排名前五的分别是印度、美国、俄罗斯、荷兰和巴西。其中印 度 6 千余个传播 IP 地址，美国 4 千余个，其他三国均超过 1 千个。

全球样本下载随时间走势可以观察到，美国的样本下载源 IP 数目基数大，总体呈现缓慢 递减的趋势；印度的样本下载源 IP 数在 2020 年 1 月和 9 月分别有一个异常的大幅度升过程，推测 在这两个时间段中，印度本国有较大范围的物联网安全威胁事件发生；其它几个国家的下载源 IP 数量 保持相对稳定，并且处于一个相对较低的数目。

已捕获的 18 万余个物联网恶意样本中，有针对各种不同 CPU 架构的版本。物联网中主流的 MIPS、ARM 和 X86 架构总共占据了被感染设备的 99% 以上。其中，MIPS 架构的设备占比超过 60%， 占据了样本总数的半壁江山，紧随其后的是 ARM和 X86，分别占比 27% 左右和 6% 左右。在剩余不足 1%的硬件架构类型中，AMD64最多，以及 PowerPC、MC68k、Sparc 等较为古老或不常见的架构类型， 其数量相比于常见的主流物联网架构而言十分微小。

从捕获的物联网僵尸网络样本中，我们筛选了具有代表性的一些僵尸网络家族，并统计它们的数 量,以发现捕获的 Mirai 样本数量位列第一，是第二名 Gafgyt 家族的两倍 有余。Mirai 是早在 2016 年以前就开始活的僵尸网络，其作为早期僵尸网络的代表之一，在今天仍 有广泛的影响力，从图Mirai僵尸网络样本数量得以证明。排名第二的 Gafgyt 僵尸网络，也被称为 bashlite，是 2014 年左右被发现的僵尸网络，我们捕获的 Gafgyt 样本数量将近 Mirai样本数量的二分之一， 在全球范围内也广泛流行。
图 4.7　样本家族的样本数量占比（来源：CNCERT 物联网威胁情报平台）
从样本的活跃天数上看，大多数样本的活跃时间较短（1 到 2天），其中仅活跃 1天的样本数量高达 6.5 万余个，而活跃 2 天的样本数量就大幅减少，仅近 2 万个。从图 4.8 中可以看出，总体上样本活跃天数呈现出这样一种趋势：活时间越长的样本数量越少，反之，活时间越短的样本数量越多。当然其中 也有极少数的个别样本，全年都在活 表 4.1 显示了此类活时间最长的一些样本的详细信息，这些 样本几乎从年初开始统计以来就持续活跃。

图 4.8　样本活跃周期时间统计（来源：CNCERT 物联网威胁情报平台）表 4.1　活跃时间最长的样本 IOC（来源：CNCERT 物联网威胁情报平台）

活跃天数	样本 hash 值	样本家族， CPU 架构等
317	832fb4090879c1bebe75bea939a9c5724dbf87898febd425f94f7e03ee687d3b	Gafgyt，ARM
317	bba18438991935a5fb91c8f315d08792c2326b2ce19f2be117f7dab984c47bdf	Gafgyt，ARM
317	e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0	Gafgyt，ARM
316	020f1fa6072108c79ed6f553f4f8b08e157bf17f9c260a76353300230fed09f0	Hajime，MIPS R3000
	316	83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
316	a04ac6d98ad989312783d4fe3456c53730b212c79a426fb215708b6c6daa3de3	Hajime，ARM
316	c6f6ca23761292552e6ea5f12496dc9c73374be0c5f9d0b2142ca3ae0bb8fe14	Mozi，MIPS R3000
316	d5601202dff3017db238145ff21857415f663031aca9b3d534bec8991b12179a	Hajime，MIPS R3000
315	d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8	Gafgyt，MIPS R3000

参考资料

绿盟 2020物联网安全年报

友情链接

GB-T 20272-2019 信息安全技术 操作系统安全技术要求