1

　　總體概述

　　根據CNCERT監測數據，自2021年9月1日至30日，共監測到物聯網（IoT）設備攻擊行為2億1318萬次，捕獲IoT惡意樣本2749 個，發現IoT惡意程序傳播IP地址30萬4430個、威脅資產（IP地址）342萬742個，境內被攻擊的設備地址達620萬個。

　　2

　　惡意程序傳播情況

　　本月發現30萬4430個IoT惡意程序傳播地址，位于境外的IP地址主要位于印度（38.1%）、巴西（7.4%）、多米尼加聯邦（5.6%）、俄羅斯（4.9%）等國家/地區，地域分布如圖1所示。

　　圖1 境外惡意程序傳播服務器IP地址國家/地區分布

　　在本月發現的惡意樣本傳播IP地址中，有13萬7469個為新增，其余在往期監測月份中也有發現。往前追溯半年，按監測月份排列，歷史及新增IP分布如圖2所示。

　　圖2 歷史及新增傳播IP地址數量

　　3

　　攻擊源分析

　　黑客采用密碼爆破和漏洞利用的方式進行攻擊，根據監測情況，共發現2億1318萬次物聯網相關的漏洞利用行為，被利用最多的10個已知IoT漏洞分別是：

　　表1 本月被利用最多的10個已知IoT漏洞（按攻擊次數統計）

　　發起攻擊次數最多的10個威脅資產（IP地址）是：

　　表2 本月發起攻擊次數最多的10個IP地址

　　本月共發現342萬742個IoT設備威脅資產（IP地址），其中，絕大多數資產向網絡中的其他設備發起攻擊，一部分資產提供惡意程序下載服務。境外威脅資產主要位于美國（38.1%）、韓國（7.4%）、印度（5.6%）、法國（4.9%）等國家或地區，地域分布如圖3所示。

　　圖3 境外威脅資產的國家/地區分布（前30個）

　　境內威脅資產主要位于河南（16.3%）、廣東（16.3%）、香港（15.1%）、北京（6.9%）等行政區，地域分布如圖4所示。

　　圖4 境內威脅資產數量的省市分布

　　4

　　被攻擊情況

　　境內被攻擊的IoT設備的IP地址有620萬7667個，主要位于香港（22.6%）、北京（10.8%）、浙江（10.5%）、臺灣（8.3%）等，地域分布如圖5所示。

　　圖5 境內被攻擊的IoT設備IP地址的地域分布

　　5

　　樣本情況

　　本月捕獲IoT惡意程序樣本2749個，惡意程序傳播時常用的文件名有Mozi、i、bin等，按樣本數量統計如圖6所示。

　　圖6 惡意程序文件名分布（前20種）

　　按樣本數量統計，漏洞利用方式在惡意程序中的分布如圖7所示。

　　圖7 漏洞利用方式在惡意程序中的分布（前10種）

　　按樣本數量統計，分發惡意程序數量最多的10個C段IP地址為：

　　表3 分發惡意程序數量最多的10個C段IP地址

　　按攻擊IoT設備的IP地址數量排序，排名前10的樣本為：

　　表4 攻擊設備最多的10個樣本信息

　　監測到活躍的控制端主機（C&C服務器）地址1821 個，共與3萬2705 個IP地址有通聯行為。按通聯IP數量排序，排名前10的C&C地址為：

　　表5 通聯節點最多的10個控制端主機（C&C服務器）IP地址

　　6

　　最新在野漏洞利用情況

　　2021年9月，值得關注的物聯網相關的在野漏洞利用如下：

　　UDP Technology Geutebruck IP Cameras Command Injection（CVE-2021-33544）

　　漏洞信息：

　　UDPTechnology公司為許多IP攝像機供應商提供固件，包括：

　　Geutebruck、Ganz、Visualint、Cap、THRIVEIntelligence、Sophus、VCA、TripCorps、SprinxTechnologies、Smartec、Riva。UDPTechnology提供給GeutebruckIPCamera的最新固件（版本號1.12.0.27）里存在命令注入漏洞。遠程攻擊者可借助多個參數利用該漏洞執行命令。

　　在野利用POC：

　　參考資料：

　　https://www.randorisec.fr/udp-technology-ip-camera-vulnerabilities/

　　https://dev2ero.gitbook.io/notes-cs/practice/shi-jian/ru-qin-udp-technology-gu-jian

　　https://packetstormsecurity.com/files/164036/Geutebruck-Remote-Command-Execution.html

　　Azure OMIGOD Agent Unauthenticated Remote Command Execution（CVE-2021-38647）

　　漏洞信息：

　　OpenManagementInfrastructure（OMI）是微軟贊助的開源項目，和Windows管理基礎架構（WMI）類似，但適用于UNIX/Linux系統。

　　微軟的Azure服務包括：

　　AzureAutomation

　　AzureAutomaticUpdate、

　　AzureOperationsManagementSuite（OMS）、

　　AzureLogAnalytics、

　　AzureConfigurationManagement、

　　AzureDiagnostics、

　　AzureContainerInsights

　　廣泛使用該項目。OMI存在未授權遠程命令執行漏洞，目前已發現Mirai變種利用此漏洞進行傳播。

在野利用POC：