物聯網安全威脅情報（2021年9月）

1 總體概述

根據CNCERT監測數據，自2021年9月1日至30日，共監測到物聯網(IoT)設備攻擊行為2億1318萬次，捕獲IoT惡意樣本2749 個，發現IoT惡意程序傳播IP地址30萬4430個、威脅資產(IP地址)342萬742個，境內被攻擊的設備地址達620萬個。 

2 惡意程序傳播情況

本月發現30萬4430個IoT惡意程序傳播地址，位于境外的IP地址主要位于印度(38.1%)、巴西(7.4%)、多米尼加聯邦(5.6%)、俄羅斯(4.9%)等國家/地區，地域分布如圖1所示。

圖1 境外惡意程序傳播服務器IP地址國家/地區分布

在本月發現的惡意樣本傳播IP地址中，有13萬7469個為新增，其余在往期監測月份中也有發現。往前追溯半年，按監測月份排列，歷史及新增IP分布如圖2所示。

圖2 歷史及新增傳播IP地址數量

3 攻擊源分析

黑客采用密碼爆破和漏洞利用的方式進行攻擊，根據監測情況，共發現2億1318萬次物聯網相關的漏洞利用行為，被利用最多的10個已知IoT漏洞分別是：

表1 本月被利用最多的10個已知IoT漏洞(按攻擊次數統計)

發起攻擊次數最多的10個威脅資產(IP地址)是：

表2 本月發起攻擊次數最多的10個IP地址

本月共發現342萬742個IoT設備威脅資產(IP地址)，其中，絕大多數資產向網絡中的其他設備發起攻擊，一部分資產提供惡意程序下載服務。境外威脅資產主要位于美國(38.1%)、韓國(7.4%)、印度(5.6%)、法國(4.9%)等國家或地區，地域分布如圖3所示。

圖3 境外威脅資產的國家/地區分布（前30個）

境內威脅資產主要位于河南(16.3%)、廣東（16.3%）、香港(15.1%)、北京(6.9%)等行政區，地域分布如圖4所示。

圖4 境內威脅資產數量的省市分布

4 被攻擊情況

境內被攻擊的IoT設備的IP地址有620萬7667個，主要位于香港(22.6%)、北京(10.8%)、浙江(10.5%)、臺灣(8.3%)等，地域分布如圖5所示。

圖5 境內被攻擊的IoT設備IP地址的地域分布

5 樣本情況

本月捕獲IoT惡意程序樣本2749個，惡意程序傳播時常用的文件名有Mozi、i、bin等，按樣本數量統計如圖6所示。

圖6 惡意程序文件名分布（前20種）

按樣本數量統計，漏洞利用方式在惡意程序中的分布如圖7所示。

圖7 漏洞利用方式在惡意程序中的分布（前10種）

按樣本數量統計，分發惡意程序數量最多的10個C段IP地址為：

表3 分發惡意程序數量最多的10個C段IP地址

按攻擊IoT設備的IP地址數量排序，排名前10的樣本為：

表4 攻擊設備最多的10個樣本信息

監測到活躍的控制端主機(C&C服務器)地址1821 個，共與3萬2705 個IP地址有通聯行為。按通聯IP數量排序，排名前10的C&C地址為：

表5 通聯節點最多的10個控制端主機（C&C服務器）IP地址

6 最新在野漏洞利用情況

2021年9月，值得關注的物聯網相關的在野漏洞利用如下：

UDP Technology Geutebruck IP Cameras Command Injection(CVE-2021-33544)

漏洞信息：

UDPTechnology公司為許多IP攝像機供應商提供固件，包括：

Geutebruck、Ganz、Visualint、Cap、THRIVEIntelligence、Sophus、VCA、TripCorps、SprinxTechnologies、Smartec、Riva。UDPTechnology提供給GeutebruckIPCamera的最新固件(版本號1.12.0.27)里存在命令注入漏洞。遠程攻擊者可借助多個參數利用該漏洞執行命令。

在野利用POC：

參考資料：

https://www.randorisec.fr/udp-technology-ip-camera-vulnerabilities/

https://dev2ero.gitbook.io/notes-cs/practice/shi-jian/ru-qin-udp-technology-gu-jian

https://packetstormsecurity.com/files/164036/Geutebruck-Remote-Command-Execution.html

Azure OMIGOD Agent Unauthenticated Remote Command Execution(CVE-2021-38647)

漏洞信息：

OpenManagementInfrastructure(OMI)是微軟贊助的開源項目，和Windows管理基礎架構(WMI)類似，但適用于UNIX/Linux系統。

微軟的Azure服務包括：

• AzureAutomation
• AzureAutomaticUpdate、
• AzureOperationsManagementSuite(OMS)、
• AzureLogAnalytics、
• AzureConfigurationManagement、
• AzureDiagnostics、
• AzureContainerInsights

廣泛使用該項目。OMI存在未授權遠程命令執行漏洞，目前已發現Mirai變種利用此漏洞進行傳播。

在野利用POC：

參考資料：

https://www.horizon3.ai/news/blog/omigod

https://github.com/horizon3ai/CVE-2021-38647

https://www.wiz.io/blog/omigod-critical-vulnerabilities-in-omi-azure

https://censys.io/blog/understanding-the-impact-of-omigod-cve-2021-38647/

https://krebsonsecurity.com/2021/09/microsoft-patch-tuesday-september-2021-edition/

https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution