1、聯網智能設備漏洞態勢

　　聯網智能設備存在的軟硬件漏洞可能導致設備數據和用戶信息泄露、設備癱瘓、感染僵尸木馬程序、被用作跳板攻擊內網主機和其他信息基礎設施等安全風險和問題。CNCERT通過CNVD持續對聯網智能設備的漏洞開展跟蹤、收錄和通報處置，主要情況如下。

　　1.1  通用型漏洞收錄情況

　　2020年，CNVD收錄通用型聯網智能設備漏洞3047個（同比上升28%）。按收錄漏洞的類型、影響的設備類型統計如下：

　　聯網智能設備通用型漏洞數量按漏洞類型分類，排名前三位的是權限繞過、信息泄露和緩沖區溢出漏洞，分別占公開收錄漏洞總數的17.03%、13.32%、12.54%，如圖1所示。

　　圖1  聯網智能設備通用型漏洞數量按漏洞類型統計情況（2020年）

　　聯網智能設備通用型漏洞數量按設備類型分類，排名前三位的是手機設備、路由器和智能監控平臺，分別占公開收錄漏洞總數的38.33%、20.97%、19.53%，如圖2所示。

　　圖2  聯網智能設備通用型漏洞數量按設備類型統計情況

　　1.2  事件型漏洞收錄情況

　　2020年，CNVD收錄聯網智能設備事件型漏洞2141個。按設備類型分類，排名前三位的是智能監控平臺、網絡攝像頭和防火墻，分別占公開收錄漏洞總數的44.84%、31.62%、9.34%，如圖3所示。

　　圖3  聯網智能設備事件型漏洞數量按設備類型統計情況

　　2、聯網智能設備惡意程序傳播態勢

　　CNCERT對可用于感染、控制聯網智能設備的惡意程序開展抽樣監測分析，主要情況如下。

　　2.1  樣本捕獲情況

　　2020年，CNCERT捕獲341.10萬個聯網智能設備惡意樣本（同比上升5.25%）。其中，排名前兩位的為Mirai、Gafgyt家族及其變種，占比分別為77.48%和13.86%，其他樣本數量較多的家族還有Tsunami、Mozi、Darknexus、Loligang、Hajime、Yakuza、Muhstik、Vpnfilter、Chalubo等，如圖4所示。

　　圖4  聯網智能設備惡意樣本數量按所屬家族分布情況（2020年）

　　聯網智能設備惡意樣本數量整體呈現上升態勢，在10月出現峰值74.94萬個（較2019年月度峰值增長44.37%），如圖5所示。

　　圖5  聯網智能設備惡意樣本數量按月統計情況（2020年）

　　2.2  傳播源監測情況

　　2020年，CNCERT監測發現51.99萬個聯網智能設備惡意程序傳播源IP地址。2020年境外傳播源IP數量大幅增長（同比上升9倍），其中Mozi家族通過P2P傳播方式迅速擴大感染規模，成為境外傳播源IP數量最多的家族，境外傳播源IP數量較多的家族還包括Mirai、Gafgyt、Hajime等，如圖6所示。

　　圖6  聯網智能設備惡意程序境外傳播源IP數量按所屬家族分布情況（2020年）

　　從境外傳播源IP數量的趨勢來看，9月Mozi家族境外傳播源IP數量突增，同一時期Mirai家族的境外傳播源IP數量也顯著增加（由于Mozi家族樣本復用Mirai部分代碼），如圖7所示。

　　圖7  聯網智能設備惡意程序境外傳播源IP數量月度統計情況（2020年）

　　2.3  下載端監測情況

　　2020年，CNCERT監測發現132.18萬個境內IP地址下載聯網智能設備惡意程序（同比下降35.14%）。其中，排名前四位的為Mirai、Gafgyt、Mozi、Hajime家族及其變種，如圖8所示。

　　圖8  聯網智能設備惡意程序境內下載端IP數量按所屬家族分布情況（2020年）

　　從下載端IP數量的趨勢來看，Mirai、Gafgyt家族的境內下載端IP數量呈緩慢下降趨勢，Mozi家族的境內下載端IP數量3至4月、9至12月均處于較高水平，如圖9所示。

　　圖9  聯網智能設備惡意程序境內下載端IP數量月度統計情況（2020年）

　　境內下載端IP地址主要分布在江蘇、浙江、安徽、山東、廣東等省份，如圖10所示。

　　圖10  聯網智能設備惡意程序境內下載端IP數量TOP10省市（2020年）

　　3、聯網智能設備僵尸網絡活動態勢

　　CNCERT對聯網智能設備設備感染惡意程序并被控形成的僵尸網絡開展抽樣監測分析，主要情況如下。

　　3.1  控制端監測情況

　　2020年，CNCERT監測到20.93萬個境外控制端IP地址控制我國境內聯網智能設備組成僵尸網絡。其中，排名前三位的惡意家族為Dofloo、Moobot、Mirai，如圖11所示。

　　圖11  聯網智能設備僵尸網絡境外控制端IP數量按所屬家族分布情況（2020年）

　　2020年上半年，在CNCERT對聯網智能設備僵尸網絡控制端的持續打擊下，控制端IP數量趨勢平穩，保持在月均2萬個以下的水平。從8月開始，Moobot、Fbot等家族僵尸網絡活躍度增高，控制端IP數量迅速上升至月均3萬以上。隨著打擊力度加大，12月控制端IP數量重新下降至月均3萬以下，如圖12所示。

　　圖12  聯網智能設備僵尸網絡境外控制端IP數量按月統計情況（2020年）

　　3.2  被控端監測情況

　　2020年，CNCERT監測發現2929.73萬個境內聯網智能設備IP地址被控制。其中，排名前三位的家族為Pinkbot、Tsunami、Gafgyt，如圖13所示。

　　圖13  聯網智能設備境內被控端IP數量按所屬家族分布情況（2020年）

　　從3月起，CNCERT監測發現Pinkbot家族僵尸網絡迅速擴張，被控端IP數量月均峰值超過800萬。通過對其集中控制端的治理，從6月開始被控端數量持續下降。但未清理惡意程序的受感染設備之間會繼續通過P2P通信保持聯系，截至12月仍能監測到約200萬個被控端的通信行為。除此之外，其他家族的被控端IP數量保持平穩，約在100萬左右規模，如圖14所示。

　　圖14  聯網智能設備境內被控端IP數量月度統計情況（2020年）

　　2020年，通過控制聯網智能設備而形成的僵尸網絡規模明顯增大。累計控制規模大于10萬的僵尸網絡共53個，1至10萬的共471個，控制規模較大的惡意家族包括Tsunami、Gafgyt、Moobot、Cayosin、Fbot、Mirai等。

　　3.3  利用聯網智能設備僵尸網絡進行攻擊活動情況

　　2020年，通過控制聯網智能設備發起的DDoS攻擊日均3000余起。其中，排名前四位的惡意家族為Mirai、Gafgyt、Cayosin、Moobot，如圖15所示。

　　圖15  主要惡意家族控制聯網智能設備發起DDoS攻擊情況（2020年）

　　本報告的撰寫過程中，恒安嘉新（北京）科技股份有限公司、北京奇虎科技有限公司向CNCERT提供了協助和分析線索，特此致謝。