關(guān)鍵信息基礎設施網(wǎng)絡安全(物聯(lián)網(wǎng)安全專題)監(jiān)測月報202104期
1 概述
根據(jù)《網(wǎng)絡安全法》和《關(guān)鍵信息基礎設施安全保護條例(征求意見稿)》對關(guān)鍵信息基礎設施定義和范圍的闡述,關(guān)鍵信息基礎設施(Critical InformationInfrastructure,CII)是指一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的信息基礎設施,包括能源、交通、水利、金融、電子政務、公共通信和信息服務等關(guān)鍵行業(yè)和領(lǐng)域。
隨著“新基建”、“工業(yè)互聯(lián)網(wǎng)”等戰(zhàn)略的快速推進以及Lora、NB-IOT、eMTC、5G等技術(shù)的快速發(fā)展,物聯(lián)網(wǎng)與關(guān)鍵信息基礎設施已開始深度融合,在提高行業(yè)的運行效率和便捷性的同時,也面臨嚴峻的網(wǎng)絡安全和數(shù)據(jù)安全挑戰(zhàn)。因此,亟需對關(guān)鍵信息基礎設施的物聯(lián)網(wǎng)安全問題加以重視和防護。
CNCERT依托宏觀數(shù)據(jù),對關(guān)鍵信息基礎設施中的物聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全等方面的問題進行專項監(jiān)測,以下是本月的監(jiān)測情況。
2 物聯(lián)網(wǎng)終端設備監(jiān)測情況
2.12.1 活躍物聯(lián)網(wǎng)設備檢測情況
本月對物聯(lián)網(wǎng)設備的抽樣監(jiān)測顯示,國內(nèi)活躍物聯(lián)網(wǎng)設備數(shù)162065臺,包括工業(yè)控制設備、視頻監(jiān)控設備、網(wǎng)絡交換設備等10個大類,涉及西門子、羅克韋爾、海康威視、大華、思科等37個主流廠商。
在本月所發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)設備中,判別疑似物聯(lián)網(wǎng)蜜罐設備288個,蜜罐偽裝成可編程邏輯控制器、視頻監(jiān)控設備等設備,仿真了HTTP、SNMP、Modbus、BACnet等常用協(xié)議。實際活躍的物聯(lián)網(wǎng)設備161777臺分布在全國各個省份,重點分布在廣東、浙江、江蘇等省份。各省份設備數(shù)量分布情況如圖1所示。
圖1 活躍物聯(lián)網(wǎng)設備省份分布
2.2特定類型物聯(lián)網(wǎng)設備重點分析
在發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)設備中,本月針對對工業(yè)控制設備開展重點分析。國內(nèi)活躍工控設備655臺,包括可編程邏輯控制器、工業(yè)交換機、串口服務器等6種類型,涉及西門子、羅克韋爾、施耐德等13個主流廠商。
在本月所發(fā)現(xiàn)的工控設備中,基于資產(chǎn)的的Banner信息和ISP歸屬信息等進行綜合研判,識別疑似蜜罐設備205個,占比31.3%,仿真協(xié)議包括Modbus、S7Comm、SNMP和EtherNetIP等,典型蜜罐特征如表1所示。
表1工控設備蜜罐特征
以設備113.227.*.229為例,設備監(jiān)測信息如表2所示。判定該資產(chǎn)為蜜罐仿真設備的原因主要是:1)資產(chǎn)序列號為“31209715”,不符合西門子PLC設備序列號形式;2)資產(chǎn)開放端口終端,高達42個;3)資產(chǎn)IP所屬運營商為國內(nèi)某公有云。
表2. 118.24.*.209設備監(jiān)測信息
去除占比31.3%的工控設備蜜罐,本月實際監(jiān)測發(fā)現(xiàn)活躍工控設備450臺。對這些設備進行漏洞識別,179臺設備識別到安全風險,包括高危漏洞設備133臺和中危漏洞設備46臺。這些具有漏洞的工控設備主要分布在遼寧、江蘇、天津等20個省份,詳細的設備省份分布如圖2所示。
圖2 具有漏洞的工控設備省份分
3 掃描探測組織活動監(jiān)測情況
3.1 掃描探測組織活躍性分析
本月監(jiān)測發(fā)現(xiàn)來自Shodan、ShadowServer和密歇根大學等掃描探測組織的131個探測節(jié)點針對境內(nèi)11744萬個IP發(fā)起探測活動,探測事件總計23609萬余起,涉及探測目標端口31578余個,境內(nèi)IP地址分布于31個省份,以北京、上海、廣東等省市居多。重點組織的探測活動情況如表3所示。
表3 重點組織的探測活躍情況
探測事件數(shù) | 節(jié)點數(shù)量 | 目的IP數(shù) | 探測端口數(shù) | 目標省份數(shù) | |
Rapid7 | 11399 | 10 | 379 | 285 | 23 |
UMich | 197759 | 62 | 2411917 | 10453 | 31 |
Shadowserver | 109070047 | 21 | 66930555 | 2055 | 31 |
Shodan | 126820543 | 38 | 78104740 | 28939 | 31 |
監(jiān)測發(fā)現(xiàn)的131個探測組織活躍節(jié)點,分別包括Shodan探測節(jié)點38個、Shadowserver探測節(jié)點21個、Umich探測節(jié)點62個和Rapid7探測節(jié)點10個,主要分布在美國、荷蘭、冰島等地區(qū),詳細的地理位置分布如圖3所示。
圖3 探測組織活躍節(jié)點地理位置分布
按照探測組織節(jié)點活躍情況進行排序,表3為最活躍的10個節(jié)點信息,主要是Shodan和Shadowserver組織的節(jié)點,這十個節(jié)點的探測事件數(shù)達12537萬起,占總事件的53.1%。
表4 探測組織活躍節(jié)點Top10
探測節(jié)點 | 所屬組織 | 節(jié)點位置 | 探測事件 |
93.174.95.106 | Shodan | 荷蘭 | 28123371 |
184.105.247.235 | Shadowserver | 美國 | 13460718 |
94.102.49.190 | Shodan | 荷蘭 | 12601783 |
184.105.247.194 | Shadowserver | 美國 | 12518955 |
71.6.146.185 | Shodan | 美國 | 11290609 |
71.6.167.142 | Shodan | 美國 | 10262694 |
71.6.146.186 | Shodan | 荷蘭 | 10128620 |
66.240.236.119 | Shodan | 美國 | 9127493 |
184.105.247.208 | Shadowserver | 美國 | 9059504 |
71.6.165.200 | Shodan | 美國 | 8797241 |
3.2 掃描探測節(jié)點發(fā)現(xiàn)
為發(fā)現(xiàn)更多未知的探測節(jié)點,我們基于Shodan組織針對Modbus協(xié)議的探測特征進行了監(jiān)測,新增發(fā)現(xiàn)Shodan探測節(jié)點7個,如表5所示;發(fā)現(xiàn)疑似未知組織探測節(jié)點23個。這些節(jié)點針對Modbus協(xié)議的探測行為主要包括兩種,分別為報告從站ID(Func: 17, Report Slave ID)和讀取設備標識(Func:43, Read Device Identification), 示例如圖4和圖5所示。
表5 新增Shodan節(jié)點信息
節(jié)點IP | 節(jié)點域名 | 節(jié)點位置 |
185.165.190.17 | purple.census.shodan.io | 美國 |
185.142.236.36 | green.census.shodan.io | 美國 |
64.227.107.188 | mod.ug.scan.shodan.io | 美國 |
167.172.219.157 | tab.census.shodan.io | 美國 |
64.227.90.185 | draft.census.shodan.io | 美國 |
157.245.164.170 | editor.census.shodan.io | 美國 |
66.240.219.133 | wall.census.shodan.io | 美國 |
圖4. Modbus協(xié)議探測示例-報告從站ID
圖5. Modbus協(xié)議探測示例-讀取設備標識
3.3 探測組織行為重點分析——UMich組織
為詳細了解探測組織的探測行為,本月對UMich組織的探測行為進行了重點監(jiān)測分析。
( 1 ) UMich探測節(jié)點整體活動情況
監(jiān)測發(fā)現(xiàn)UMich組織活躍節(jié)點62個,探測事件197759起,探測目標端口10453個,目標涉及境內(nèi)241萬個IP地址,覆蓋全國31個省級行政區(qū)。監(jiān)測發(fā)現(xiàn)的最為活躍節(jié)點信息Top 10如表6所示。
表6 UMich探測節(jié)點活躍度Top 10排序
探測節(jié)點 | 節(jié)點位置 | 探測事件 | 探測端口 | 熟知端口 (0~1023) |
141.212.122.81 | 美國 | 34216 | 611 | 6 |
141.212.122.106 | 美國 | 10344 | 714 | 6 |
141.212.122.160 | 美國 | 10148 | 584 | 3 |
141.212.122.130 | 美國 | 8095 | 624 | 4 |
141.212.122.55 | 美國 | 8030 | 632 | 3 |
141.212.122.132 | 美國 | 6140 | 644 | 4 |
141.212.122.79 | 美國 | 5530 | 629 | 6 |
141.212.122.133 | 美國 | 5138 | 607 | 4 |
141.212.122.123 | 美國 | 3884 | 532 | 5 |
141.212.122.48 | 美國 | 3257 | 618 | 3 |
( 2 ) UMich探測節(jié)點時間行為分析
圖6為UMich活躍節(jié)點按天的活躍熱度圖。首先,從節(jié)點每天探測數(shù)據(jù)趨勢可以看出,每個節(jié)點的活躍度相對穩(wěn)定,基本保持在同一個數(shù)量級下;其次,不同節(jié)點的探測活躍度存在一定程度的差異,探測活躍高的節(jié)點日探測事件為上千起,而探測活躍低的節(jié)點日探測事件為幾十起。
圖6 UMich節(jié)點日活躍熱度圖
( 3 ) UMich探測節(jié)點協(xié)議行為分析
圖7為UMich節(jié)點按協(xié)議統(tǒng)計的探測行為熱度圖。從圖中可以看出如下幾點特征:第一,對于多數(shù)節(jié)點而言,針對同一協(xié)議的探測頻率分布差異比較明顯,如針對HTTP協(xié)議的探測,節(jié)點141.212.122.81探測事件高達1萬余起,而節(jié)點141.212.122.61探測事件僅有16起;第二,同一節(jié)點針對不同協(xié)議的探測頻度不同,如節(jié)點141.212.122.106的探測事件主要分布在FTP協(xié)議和HTTP協(xié)議;第三,對比不同協(xié)議的被探測頻率,整體來講,針對傳統(tǒng)IT類協(xié)議的探測頻度占比較高,且協(xié)議分布比較集中,多數(shù)節(jié)點重點探測的協(xié)議均為FTP、DNS、HTTP和HTTPS協(xié)議。
圖7 UMich節(jié)點協(xié)議探測頻度熱度圖
( 4 ) 特定協(xié)議探測行為分析
針對DNS協(xié)議的探測行為進行重點分析發(fā)現(xiàn),UMich針對DNS協(xié)議進行探測的節(jié)點共16個,歸屬于141.212.122.1/24網(wǎng)段,節(jié)點全部分布在美國,探測端口為UDP:53。
針對DNS協(xié)議的探測特征進行重點分析發(fā)現(xiàn), Umich節(jié)點的探測特征一致,即都是通過向目標節(jié)點發(fā)送只帶header的Server status request請求,并根據(jù)響應信息識別目標主機是否存在DNS服務。探測特征分別如圖8所示。
圖8 UMich節(jié)點DNS協(xié)議探測示例
4 惡意代碼攻擊
根據(jù)CNCERT監(jiān)測數(shù)據(jù),自2021年4月1日至30日,共監(jiān)測到物聯(lián)網(wǎng)(IoT)設備惡意樣本3825個。發(fā)現(xiàn)樣本傳播服務器IP地址28萬568個,主要位于美國(24.05%)、印度(6.52%)等國家。境內(nèi)疑似被感染的設備地址達1125萬1670個個,其中,香港占比最高,為25.99%,其次是臺灣(14.16%)、北京(11.49%)、浙江(9.62%)等。詳情參見威脅情報月報。
5 代碼重點行業(yè)物聯(lián)網(wǎng)網(wǎng)絡安全
5.1 物聯(lián)網(wǎng)行業(yè)安全概述
為了解重點行業(yè)物聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢,本月篩選了電力、石油、車聯(lián)網(wǎng)和軌道交通等行業(yè)的2396個資產(chǎn)(含物聯(lián)網(wǎng)設備及物聯(lián)網(wǎng)相關(guān)的web資產(chǎn))進行監(jiān)測。監(jiān)測發(fā)現(xiàn),本月遭受攻擊的資產(chǎn)有1240個,主要分布在北京、廣東、浙江、四川、上海等32個省份,涉及攻擊事件11490起。其中,各行業(yè)被攻擊資產(chǎn)數(shù)量及攻擊事件分布如表7所示,被攻擊資產(chǎn)的省份分布如圖9所示。
表7 行業(yè)資產(chǎn)及攻擊事件分布
行業(yè)類別 | 監(jiān)測資產(chǎn)數(shù) | 被攻擊資產(chǎn)數(shù) | 攻擊事件數(shù) |
電力 | 1738 | 873 | 8705 |
車聯(lián)網(wǎng) | 275 | 186 | 1551 |
石油石化 | 246 | 121 | 829 |
軌道交通 | 137 | 60 | 405 |
圖9 重點行業(yè)被攻擊資產(chǎn)的省份分布
對上述網(wǎng)絡攻擊事件進行分析,境外攻擊源涉及美國、韓國等在內(nèi)的國家67個,攻擊節(jié)點數(shù)總計3006個。其中,按照攻擊事件源IP的國家分布,排名前5分別為美國(3182起)、韓國(820起)、印度(669起)、俄羅斯(579起)和科索沃(499起)。
對網(wǎng)絡攻擊事件的類型進行分析,本月面向行業(yè)資產(chǎn)的網(wǎng)絡攻擊中,攻擊類型涵蓋了遠程代碼執(zhí)行攻擊、命令執(zhí)行攻擊、SQL注入攻擊、漏洞利用攻擊、目錄遍歷攻擊等。詳細的攻擊類型分布如圖10所示。
圖10物聯(lián)網(wǎng)行業(yè)資產(chǎn)攻擊類型分布
5.2 特定攻擊類型分析
在針對重點行業(yè)物聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡攻擊事件中,本月占比最高的攻擊類型是PHPUnit遠程代碼執(zhí)行漏洞攻擊(CVE-2017-9841),攻擊事件高達4338余起,占比37.8%;其次是GPON Home Gateway遠程命令執(zhí)行漏洞攻擊,攻擊事件1951余起,占比17%。
漏洞分析:Dasan GPON是韓國Dasan公司的一款家用路由器產(chǎn)品,該產(chǎn)品在2018年4月被vpnMentor披露了兩個高危漏洞,分別是身份認證繞過漏洞(CVE-2018-10561)和命令注入漏洞(CVE-2018-10562),兩個漏洞形成的攻擊鏈可以在設備上執(zhí)行任意系統(tǒng)命令。
1)身份認證繞過漏洞(CVE-2018-10561)
設備上運行的HTTP服務器在進行身份驗證時會檢查特定路徑,攻擊者可以利用這一特性繞過任意終端上的身份驗證,通過在URL后添加特定參數(shù)?images/,最終獲得訪問權(quán)限。
2)命令注入漏洞(CVE-2018-10562)
該設備提供了診斷功能,通過ping和traceroute對設備進行診斷,但并未對用戶輸入進行檢測,直接通過拼接參數(shù)的形式進行執(zhí)行導致了命令注入,通過反引號``和分號;可以進行常規(guī)命令注入執(zhí)行。該診斷功能會在/tmp目錄保存命令執(zhí)行結(jié)果并在用戶訪問/diag.html時返回結(jié)果,所以結(jié)合CVE-2018-10561身份認證繞過漏洞可以輕松獲取執(zhí)行結(jié)果。
本月攻擊事件中GPON Home Gateway遠程命令執(zhí)行漏洞攻擊示例如圖11所示。如圖可以看出,攻擊執(zhí)行方式與漏洞背景分析一致,同時利用了身份認證繞過漏洞和命令注入漏洞。此外,由注入的wget命令可知,攻擊者試圖讓目標主機下載名為Mozi.m的惡意樣本。如果攻擊成功,目標主機將失陷淪為Mozi僵尸網(wǎng)絡節(jié)點。
圖11 GPON Home Gateway遠程命令執(zhí)行漏洞攻擊示例
5.3 物聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)流轉(zhuǎn)情況
針對重點行業(yè)物聯(lián)網(wǎng)資產(chǎn)的數(shù)據(jù)流轉(zhuǎn)情況進行監(jiān)測,本月共有2396個行業(yè)資產(chǎn)存在與境外節(jié)點的通信行為,通信頻次為37919萬次。通聯(lián)境外國家Top10排名如圖12所示,其中排名最高的是美國(通信12553萬次,節(jié)點285萬個)。各行業(yè)通聯(lián)事件及資產(chǎn)數(shù)量分布如圖13所示,其中通信頻次最多的為電力行業(yè),涉及1738個資產(chǎn)的27131萬余次通信。
圖12 境外通聯(lián)國家事件Top10
圖13 行業(yè)通聯(lián)事件資產(chǎn)分布
5.4 重點行業(yè)物聯(lián)網(wǎng)安全威脅情報
( 1 ) 攻擊節(jié)點威脅情報
在針重點行業(yè)物聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡攻擊中,本月發(fā)起攻擊事件最多的境外IPTop10信息如表8所示,涉及攻擊事件4770起,占攻擊總事件的41.51%。
表8 境外攻擊IP Top10
IP | 攻擊事件數(shù) | 攻擊類型 | 攻擊行業(yè) |
45.155.205.211 | 1713 | 遠程代碼執(zhí)行攻擊 | |
45.135.232.125 | 1011 | SQL注入攻擊 XSS攻擊 | 1. 電力 |
45.155.205.27 | 593 | 遠程代碼執(zhí)行攻擊 | 1. 電力 2. 石油石化 3. 車聯(lián)網(wǎng) 4. 軌道交通 |
45.155.205.151 | 419 | 遠程代碼執(zhí)行攻擊 | 1. 電力 2. 石油石化 3. 車聯(lián)網(wǎng) 4. 軌道交通 |
45.146.165.165 | 302 | 遠程代碼執(zhí)行攻擊 | 1. 電力 2. 石油石化 3. 車聯(lián)網(wǎng) 4. 軌道交通 |
210.108.70.119 | 235 | 命令注入攻擊 漏洞利用攻擊 遠程代碼執(zhí)行攻擊 | 1. 電力 2. 石油石化 3. 車聯(lián)網(wǎng) |
2.56.149.136 | 143 | 命令注入攻擊 SQL注入攻擊 | 1. 電力 2. 石油石化 3. 車聯(lián)網(wǎng) |
在針對重點行業(yè)物聯(lián)網(wǎng)資產(chǎn)的數(shù)據(jù)訪問事件中,本月與境內(nèi)行業(yè)資產(chǎn)訪問頻次最多的境外IP Top10信息如表9所示。
( 2 ) 數(shù)據(jù)訪問威脅情報
表9 數(shù)據(jù)訪問IP Top10
IP | 國家 | 數(shù)據(jù)訪問事件數(shù) | 數(shù)據(jù)訪問資產(chǎn)數(shù) | 端口 | 涉及行業(yè) |
53.139.250.253 | 新加坡 | 531965 | 289 | 443 | 1. 電力 2. 石油石化 3. 車聯(lián)網(wǎng) 4. 軌道交通 |
40.90.189.152 | 新加坡 | 499974 | 271 | 443 | 1.?電力 2. 石油石化 3. 車聯(lián)網(wǎng) 4. 軌道交通 |
40.119.211.203 | 新加坡 | 466685 | 306 | 500/443 | 1.?電力 2. 石油石化 3. 車聯(lián)網(wǎng) 4. 軌道交通 |
45.155.205.209 | 荷蘭 | 365169 | 1338 | 9999/3306/8888/3309 | 1.?電力 2. 石油石化 3. 車聯(lián)網(wǎng) 5. 軌道交通 |
117.18.237.29 | 澳大利亞 | 331158 | 477 | 500 | 1.?電力 2. 石油石化 3. 車聯(lián)網(wǎng) 4. 軌道交通 |
125.141.231.111 | 韓國 | 305520 | 39 | 5555/4001/9000/6666 | 1.?電力 2. 石油石化 3. 車聯(lián)網(wǎng) 4. 軌道交通 |
203.231.146.133 | 韓國 | 300129 | 40 | 5555/3388/9000/6666 | 1.?電力 2. 石油石化 3. 車聯(lián)網(wǎng) 4. 軌道交通 |
40.64.66.113 | 美國 | 295992 | 257 | 443 | 1.?電力 2. 石油石化 3. 車聯(lián)網(wǎng) 4. 軌道交通 |
52.139.251.88 | 新加坡 | 290204 | 109 | 2343/2050/2311/2113 | 1.?電力 2. 石油石化 3. 車聯(lián)網(wǎng) 4. 軌道交通 |
185.191.171.1 | 美國 | 288255 | 268 | 80/443/9006/8080 | 1.?電力 2. 石油石化 3. 車聯(lián)網(wǎng) 4. 軌道交通 |
對重點行業(yè)物聯(lián)網(wǎng)安全態(tài)勢進行評估,目前重點行業(yè)中的物聯(lián)網(wǎng)資產(chǎn)仍然面臨較多網(wǎng)絡安全風險,頻繁遭受攻擊,各行業(yè)應提高防護意識,加強本行業(yè)的網(wǎng)絡安全技術(shù)防護手段建設。
6 總結(jié)
CNCERT通過宏觀數(shù)據(jù)監(jiān)測,在活躍設備、探測組織、重點行業(yè)攻擊事件等方面發(fā)現(xiàn)多種物聯(lián)網(wǎng)安全問題,然而需要指出的是,目前所發(fā)現(xiàn)的問題只是物聯(lián)網(wǎng)網(wǎng)絡安全的冰山一角,CNCERT將長期關(guān)注物聯(lián)網(wǎng)網(wǎng)絡安全問題,持續(xù)開展安全監(jiān)測和定期通報工作,同時期望與各行業(yè)共同攜手,提高行業(yè)物聯(lián)網(wǎng)安全防護水平。
來源:關(guān)鍵基礎設施安全應急響應中心
