国家互联网应急中心-联网智能设备安全态势季度报告（2021年第2季度)-11正式版.docx

联网智能设备安全态势季度报告（2021年第2季度）1、总体概述联网智能设备泛指通过公共互联网连接的嵌入了传感器、软件和其他技术具有一定计算能力的设备，主要包括手机设备、智能监控平台、防火墙、网络摄像头、交换机、打印机、GPS设备、会议系统、网关设备、一卡通等。CNCERT对联网智能设备的安全风险与事件进行持续跟踪监测分析，根据CNCERT监测数据，2021年第2季度，共收录联网智能设备漏洞2365个，其中通用型漏洞1421个，事件型漏洞944个；监测到联网智能设备恶意程序样本511.82万个，样本家族141个，发现恶意程序传播源IP地址36.17万个，境内恶意程序下载端IP地址67.05万个；僵尸网络控制端IP地址3.5万个，境内僵尸网络受控端IP地址924.27万个。1、联网智能设备漏洞态势联网智能设备存在软硬件漏洞可能导致设备被攻击入侵，进而导致设备数据和用户信息泄露、设备被控、感染僵尸木马程序、被用作跳板攻击内网主机和其他信息基础设施等安全风险和问题。CNCERT通过CNVD持续对联网智能设备的漏洞开展跟踪、收录和通报处置，主要情况如下。Ll通用型漏洞收录情况2021年第2季度，CNVD收录通用型联网智能设备漏洞1421个。按收录漏洞的类型、影响的设备类型统计如下：联网智能设备通用型漏洞数量按漏洞类型分类，排名前三位的是弱口令、权限绕过和命令执行漏洞，分别占公开收录漏洞总数的24.70%.19.92%>10.13%,如图1.1所示。其他15.20%弱口令24.70%权限绕过19.92%二进制3.10%_设计缺陷3.38%_拒绝服务、命令执_行4.29%跨站4.43%一拒绝月艮务5.49%_/信息泄露9.36%J命令执行10.13%图1.1联网智能设备通用型漏洞数量按漏洞类型统计情况（2021年第2季度）联网智能设备通用型漏洞数量按设备类型分类，排名前三位的是路由器、手机设备和智能监控平台,分别占公开收录漏洞总数的34.32%、14.63%、13.57%,如图L2所示。智能监控平台13.57%、防12.10%L网络摄像头手机设备.14.63%3.38%打印机3.31%会议系统.GPS设备0.91%.一卡通0.07%图1.2联网智能设备通用型漏洞数量按设备类型统计情况（2021第2季度）1.2事件型漏洞收录情况2021年第2季度，CNVD收录联网智能设备事件型漏洞944个。按设备类型分类，排名前三位的是防火墙、智能监控平台和会议系统，分别占公开收录漏洞总数的38.14%、32.52%、20.34%,如图1.3所示。智能监控平台32.52%会议系统20.34%网关设备6.14%路由器防火墙38.14%1.17%一卡通0.95%GPS设备0.32%交换机0.32%网络摄像头0.11%图13联网智能设备事件型漏洞数量按设备类型统计情况（2021年第2季度）2、恶意程序传播态势CNCERT对感染控制联网智能设备的恶意程序开展抽样监测分析，主要情况如下。2.1 样本捕获情况2021年第2季度，CNCERT共捕获511.82万个联网智能设备恶意程序样本，样本家族141个。其中，排名前两位的为恶意程序Mirai家族、恶意程序Gafgyt家族及其变种，占比分别为40.51%和36.60%。按所属家族统计，排名靠前的恶意程序样本数情况如图2.1所示。Tsunami 3.62 万DarkNexus 1.01 万Ioligang7514CoinMiner'7488图2.1联网智能设备恶意程序样本数按所属家族统计情况（2021年第2季度）恶成MJ；样本传播次数HBM占比eec5c6c219535fba3a0492ea8118b39750442472551.28%fbe51695e97a45dc61967dc3241a37dc21843375322.21%59ce0baball893f90527fc951ac69912942706109.58%f664df976eb62a5deea63e3ac9031bd9341285333.47%4dde761681684d7edad4e5e1ffdb940b268976712.73%a73ddd6ec22462db955439f665cad4e6162249021.65%3849f30b51a5c49e8d1546960cc206c7152749191.55%b67b7920ad6846302b180f59a9366b1666514810.68%9e935bedb7801200b407febdb793951e35217220.36%3313e9cc72e7cf75851dc62b84ca932c33457040.34%图2.2联网智能设备恶意程序样本传播次数按MD5维度统计情况（2021年第2季度）联网智能设备恶意程序样本数量按月统计情况如图2.3所示。图2.3联网智能设备恶意程序样本数按月统计情况（2021年第2季度）2.2 恶意程序传播源监测情况2021年第2季度，CNCERT监测发现36.17万个联网智能设备恶意程序传播地址。境外传播源主要位于印度（48.72%）、塞尔维亚（26.08%）、美国（3.18%）、越南（2.91%）、俄罗斯（2.51%）等国家或地区；境内传播源主要位于河南（52.26%）、广东（26.26%）、山东（8.52%）、浙江（1.98%）、江苏（1.40%）等省份。塞尔维亚26.08%_2.91%,/俄罗斯2.51%3.18%越南48.72%0.75%0.77%5.04%112.*.*.197209.*.*.190112.*.*.168112.*.*.29175.*.26112.*.*.68112.*.*.155112/.*.51120.*.*.202107.*.*.23巴西1.70%一韩国泰国1.22%1.03%、_中国台湾1.01%多米尼加0.95%其他10.70%图2.4联网智能设备恶意程序传播源IP数境外国家分布情况（2021年第2季度）按省市分布维度统计，境内恶意程序传播源IP数量TOPlO情况如图2.5所示。山东8.52%浙江1.98%江苏1.40%辽宁图2.5联网智能设备恶意程序传播源IP数境内省市分布情况（2021年第2季度）按IP维度统计，恶意程序传播次数TOPlO情况如图2.6所示。333.90万315.52万237.40万227.91万220.63万216.28万197.53万194.42万19233万188.22TJ15000014.86 万图2.7联网智能设备慈意程序传播源IP数按月统计情况（2021年第2季度）2.3恶意程序下载端监测情况2021年第2季度，CNCERT监测发现67.05万个联网智能设备恶意程序境内下载端地址，主要位于辽宁（9.91%）、江苏（9.49%）、安徽（9.19%）、福建（8.63%）、河南（7.12%）等省份。按省份分布统计，境内恶意程序下载端IP数量TOPlO情况如图2.8所示。图2.8联网智能设备恶意程序下就端IP数境内省市分布情况（2021年第2季度）62.*.*.41221.*.*.218112.*.*.20311.87万111.*.*.1751111.*.*.393.37万Ill.*.*.12787.60Jj148.*.*.19585.94万Ill.*.*.17179.40万111.*.5778.81万Ill.*.*.11768.16万图2.9联网智能设备恶意程序下载次数按IP维度统计情况(2021年第2季度)联网智能设备下载端IP数量按月统计情况如图2.10所示。图2.10联网智能设备恶意程序下载端IP数按月统计情况(2021年第2季度)3、僵尸网络活动态势CNCERT对联网智能设备感染恶意程序并被控形成的僵尸网络开展抽样监测分析，主要情况如下。3.1 控制端监测情况2021年第2季度，CNCERT监测发现3.5万个联网智能设备僵尸网络控制端地址，境外控制端主要位于中国香港(37.98%)、美国(24.91%)、日本(4.01%)、德国(3.53%)、韩国(2.82%)等国家或地区；境内控制端主要位于广东(15.03%)、吉林(13.54%)X北京(8.16%)X四川(6.90%)、上海(3.87%)等省份或地市。按国家或地区分布统计，僵尸网络控制端IP数量TOPlO情况如图3.1所示。簿国中国香港37.98%法国 1.43%其他 16.72%日本 4.01%2.13%新加坡2.08%英国1.95%3.53%吉林13.54%广东15.03%其他 37.47%J江苏2.38%上海 3.87%福建,宁夏 2.93%3.68%北乐8.16%韩国2.82%荷兰2.44%俄罗斯图3.1联网智能设备僵尸网络控制端IP数境外国家分布情况（2021年第2季度）按省市分布统计，境内僵尸网络控制端IP数量TOPlO情况如图3.2所示。山东3.06%浙江2.97%图3.2联网智能设备僵尸网络控制端IP数境内省市分布情况（2021年第2季度）205*1647780万157*227672175198*1565492万198.*.*.1745236万23.*.*.2144152万172.*.*.10840.05万45.*.*.8538.64万23.*.*.11737.15万104.*.*.13236.85万164.6836.30万图3.3联网智能设备僵尸网络控制次数按IP维度统计情况（2021年2季度）僵尸网络控制端IP数量按月统计情况如图3.4所示。图3.4联网智能设备僵尸网络控制端IP数按月统计情况（2021年第2季度）3.2 受控端监测情况2021年第2季度，CNCERT监测发现924.27万个联网智能设备僵尸网络境内受控端地址，主要位于浙江（16.01%）,河南（8.60%）、江苏（8.54%）、广东（5.32%）、山东（4.82%）等省份。按所在省份分布统计，境内僵尸网络受控端IP数量TOPlO情况如图3.5所示。图3.5联网智能设备僵尸网络受控端IP数境内省市分布情况（2021年第2季度）僵尸网络受控端IP数量按月统计情况如图3.6所示。图3.6联网智能设备僵尸网络受控端IP数按月统计情况（2021年第2季度）3.3 利用联网智能设备僵尸网络进行攻击活动情况CNCERT对通过控制联网智能设备发起的DDoS攻击开展抽样监测分析，主要情况如下。按IP维度统计，DDoS攻击控制端发起DDoS次数TOPlO情况如图3.7所示。12924图3.7联网智能设备DDoS攻击控制端发起DDoS次数按IP维度统计情况（2021年第2季度）按端口维度统计，DDoS攻击控制端发起DDoS次数TOPlO情况如图3.8所示。7.77 万图3.8联网智能设备DDoS攻击控制端发起DDoS次数按端口维度统计情况（2021年第2季度）联网智能设备DDoS攻击控制端TP数量按月统计情况如图3.9所示。