關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全(物聯(lián)網(wǎng)安全專題)監(jiān)測(cè)月報(bào)202106期
? 1、概? 述??
根據(jù)《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施定義和范圍的闡述,關(guān)鍵信息基礎(chǔ)設(shè)施(Critical Information Infrastructure,CII)是指一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的信息基礎(chǔ)設(shè)施,包括能源、交通、水利、金融、電子政務(wù)、公共通信和信息服務(wù)等關(guān)鍵行業(yè)和領(lǐng)域。
隨著“新基建”、“工業(yè)互聯(lián)網(wǎng)”等戰(zhàn)略的快速推進(jìn)以及Lora、NB-IOT、eMTC、5G等技術(shù)的快速發(fā)展,物聯(lián)網(wǎng)與關(guān)鍵信息基礎(chǔ)設(shè)施已開(kāi)始深度融合,在提高行業(yè)的運(yùn)行效率和便捷性的同時(shí),也面臨嚴(yán)峻的網(wǎng)絡(luò)安全和數(shù)據(jù)安全挑戰(zhàn)。因此,亟需對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的物聯(lián)網(wǎng)安全問(wèn)題加以重視和防護(hù)。
CNCERT依托宏觀數(shù)據(jù),對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施中的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全等方面的問(wèn)題進(jìn)行專項(xiàng)監(jiān)測(cè),以下是本月的監(jiān)測(cè)情況。
? 2、物聯(lián)網(wǎng)終端設(shè)備監(jiān)測(cè)情況??
2.1 活躍物聯(lián)網(wǎng)設(shè)備監(jiān)測(cè)情況
本月對(duì)物聯(lián)網(wǎng)設(shè)備的抽樣監(jiān)測(cè)顯示,國(guó)內(nèi)活躍物聯(lián)網(wǎng)設(shè)備數(shù)178182臺(tái),包括工業(yè)控制設(shè)備、視頻監(jiān)控設(shè)備、網(wǎng)絡(luò)存儲(chǔ)設(shè)備(NAS)、網(wǎng)絡(luò)交換設(shè)備、串口服務(wù)器、打印機(jī)等20個(gè)大類(lèi),涉及西門(mén)子、羅克韋爾、歐姆龍、海康威視、大華、思科等46個(gè)主流廠商。
在本月所發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)設(shè)備中,判別疑似物聯(lián)網(wǎng)蜜罐設(shè)備96個(gè),蜜罐偽裝成可編程邏輯控制器、視頻監(jiān)控設(shè)備等設(shè)備,仿真了HTTP、SNMP、S7Comm、Modbus、BACnet等常用協(xié)議。實(shí)際活躍的物聯(lián)網(wǎng)設(shè)備178086臺(tái)分布在全國(guó)各個(gè)省份,重點(diǎn)分布在廣東、浙江、江蘇等省份。各省份設(shè)備數(shù)量分布情況如圖1所示。
圖1 活躍物聯(lián)網(wǎng)設(shè)備省份分布
2.2 特定類(lèi)型物聯(lián)網(wǎng)設(shè)備重點(diǎn)分析
在發(fā)現(xiàn)的活躍物聯(lián)網(wǎng)設(shè)備中,本月針對(duì)對(duì)工業(yè)控制設(shè)備開(kāi)展重點(diǎn)分析。國(guó)內(nèi)活躍工控設(shè)備1429臺(tái),包括可編程邏輯控制器、工業(yè)交換機(jī)、串口服務(wù)器、通信適配器等14種類(lèi)型,涉及西門(mén)子、羅克韋爾、施耐德、霍尼韋爾、歐姆龍等23個(gè)主流廠商。
在本月所發(fā)現(xiàn)的工控設(shè)備中,基于資產(chǎn)的的Banner信息和ISP歸屬信息等進(jìn)行綜合研判,識(shí)別疑似蜜罐設(shè)備39個(gè),占比2.73 %,仿真協(xié)議包括Modbus、S7Comm、SNMP和EtherNetIP等,典型蜜罐特征如表1所示。
表1工控設(shè)備蜜罐特征
以設(shè)備106.14.*.121為例,設(shè)備監(jiān)測(cè)信息如表2和圖2所示。判定該資產(chǎn)為蜜罐仿真設(shè)備的原因主要是:1)資產(chǎn)開(kāi)放端口終端,高達(dá)49個(gè);2)資產(chǎn)IP所屬運(yùn)營(yíng)商為國(guó)內(nèi)某公有云。
表2 106.14.*.121設(shè)備監(jiān)測(cè)信息
圖2 106.14.*.121設(shè)備端口開(kāi)放信息
去除占比2.73%的工控設(shè)備蜜罐,本月實(shí)際監(jiān)測(cè)發(fā)現(xiàn)活躍工控設(shè)備1390臺(tái)。對(duì)這些設(shè)備進(jìn)行漏洞識(shí)別,165臺(tái)設(shè)備識(shí)別到安全風(fēng)險(xiǎn),包括高危漏洞設(shè)備93臺(tái)和中危漏洞設(shè)備93臺(tái)。這些具有漏洞的工控設(shè)備主要分布在江蘇、廣東、安徽等22個(gè)省份,詳細(xì)的設(shè)備省份分布如圖3所示。
圖3 具有漏洞的工控設(shè)備省份分布
? 3、掃描探測(cè)組織活動(dòng)監(jiān)測(cè)情況??
3.1 掃描探測(cè)組織活躍性分析
本月監(jiān)測(cè)發(fā)現(xiàn)來(lái)自Shodan、ShadowServer和密歇根大學(xué)等掃描探測(cè)組織的407個(gè)探測(cè)節(jié)點(diǎn)針對(duì)境內(nèi)8536萬(wàn)個(gè)IP發(fā)起探測(cè)活動(dòng),探測(cè)事件總計(jì)21809萬(wàn)余起,涉及探測(cè)目標(biāo)端口24695余個(gè),境內(nèi)IP地址分布于33個(gè)省級(jí)行政區(qū),以北京、上海、廣東等省市居多。重點(diǎn)組織的探測(cè)活動(dòng)情況如表3所示。
表3 重點(diǎn)組織的探測(cè)活躍情況
監(jiān)測(cè)發(fā)現(xiàn)的407個(gè)探測(cè)組織活躍節(jié)點(diǎn),分別包括Shodan探測(cè)節(jié)點(diǎn)41個(gè)、Shadowserver探測(cè)節(jié)點(diǎn)288個(gè)、Umich探測(cè)節(jié)點(diǎn)68個(gè)和Rapid7探測(cè)節(jié)點(diǎn)10個(gè),主要分布在美國(guó)、荷蘭、冰島等地區(qū),詳細(xì)的地理位置分布如圖4所示。
圖4 探測(cè)組織活躍節(jié)點(diǎn)地理位置分布
按照探測(cè)組織節(jié)點(diǎn)活躍情況進(jìn)行排序,表3為最活躍的10個(gè)節(jié)點(diǎn)信息,主要是Shodan和Shadowserver組織的節(jié)點(diǎn),這十個(gè)節(jié)點(diǎn)的探測(cè)事件數(shù)達(dá)15180萬(wàn)起,占總事件的69.61%。
表4 探測(cè)組織活躍節(jié)點(diǎn)Top10
3.2 探測(cè)組織行為重點(diǎn)分析——Shodan組織
為詳細(xì)了解探測(cè)組織的探測(cè)行為,本月對(duì)Shadowserver組織的探測(cè)行為進(jìn)行了重點(diǎn)監(jiān)測(cè)分析。
( 1 ) Shadowserver探測(cè)節(jié)點(diǎn)整體活動(dòng)情況
監(jiān)測(cè)發(fā)現(xiàn)Shadowserver組織活躍節(jié)點(diǎn)288個(gè),探測(cè)事件6047萬(wàn)起,探測(cè)目標(biāo)端口1405個(gè),目標(biāo)涉及境內(nèi)2366萬(wàn)個(gè)IP地址,覆蓋全國(guó)33個(gè)省級(jí)行政區(qū)。監(jiān)測(cè)發(fā)現(xiàn)的最為活躍節(jié)點(diǎn)信息如表5所示。
表5 Shadowserver探測(cè)節(jié)點(diǎn)活躍度Top排序
( 2 ) Shadowserver探測(cè)節(jié)點(diǎn)時(shí)間行為分析
圖5為Shadowserver活躍節(jié)點(diǎn)按天的活躍熱度圖。首先,從節(jié)點(diǎn)每天探測(cè)數(shù)據(jù)趨勢(shì)可以看出,每個(gè)節(jié)點(diǎn)的活躍度相對(duì)穩(wěn)定,基本保持在同一個(gè)數(shù)量級(jí)下;其次,不同節(jié)點(diǎn)的探測(cè)活躍度存在一定程度的差異,探測(cè)活躍高的節(jié)點(diǎn)日探測(cè)事件幾十萬(wàn)起,而探測(cè)活躍低的節(jié)點(diǎn)日探測(cè)事件為幾萬(wàn)起。同時(shí),位于同網(wǎng)段的探測(cè)節(jié)點(diǎn),探測(cè)活躍度也存在不同,如IP為74.82.47.38的節(jié)點(diǎn),日探測(cè)事件遠(yuǎn)高于IP為74.82.47.59的節(jié)點(diǎn)。對(duì)比3月份關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)月報(bào)中針對(duì)Shadowserver組織的行為分析可以看出,探測(cè)節(jié)點(diǎn)時(shí)間行為分析規(guī)律與前期分析結(jié)果基本保持一致。
圖5 Shadowserver 節(jié)點(diǎn)日活躍熱度圖
( 3 ) Shadowserver 探測(cè)節(jié)點(diǎn)協(xié)議行為分析
圖6為Shadowserver 節(jié)點(diǎn)按協(xié)議統(tǒng)計(jì)的探測(cè)行為熱度圖。從圖中可以看出如下幾點(diǎn)特征:第一,對(duì)于多數(shù)節(jié)點(diǎn)而言,針對(duì)同一協(xié)議的探測(cè)頻率分布比較均勻,存在個(gè)別節(jié)點(diǎn)(如184.105.247.194),探測(cè)頻率比較高;第二,同一節(jié)點(diǎn)針對(duì)不同協(xié)議的探測(cè)頻度不同;第三,不同節(jié)點(diǎn)的探測(cè)協(xié)議分布不同,如DNS、TFTP、NTP等協(xié)議,只有部分節(jié)點(diǎn)存在探測(cè)行為;第四,對(duì)比不同協(xié)議的被探測(cè)頻率,整體來(lái)講,針對(duì)傳統(tǒng)IT類(lèi)協(xié)議的探測(cè)頻度占比較高,而對(duì)于熟知端口內(nèi)工控物聯(lián)網(wǎng)協(xié)議(如Modbus)的探測(cè)本次分析未發(fā)現(xiàn)。
圖6 Shadowserver節(jié)點(diǎn)協(xié)議探測(cè)頻度熱度圖
( 4 ) 特定協(xié)議探測(cè)行為分析
針對(duì)TFTP協(xié)議的探測(cè)行為進(jìn)行重點(diǎn)分析發(fā)現(xiàn),Shadowserver針對(duì)TFTP協(xié)議進(jìn)行探測(cè)的節(jié)點(diǎn)共2個(gè),分別為184.105.139.102和184.105.139.110,節(jié)點(diǎn)全部分布在美國(guó),探測(cè)端口為T(mén)CP:69。
針對(duì)TFTP協(xié)議的探測(cè)特征進(jìn)行重點(diǎn)分析發(fā)現(xiàn),節(jié)點(diǎn)184.105.139.102和184.105.139.110探測(cè)特征相同,均通過(guò)向目標(biāo)主機(jī)發(fā)送操作碼為\x00\x01(表示Read Request)的請(qǐng)求,請(qǐng)求讀取的文件名稱為“a.pdf”,類(lèi)型為octet(表示二進(jìn)制模式)。探測(cè)特征如圖7所示。
圖7 TFTP協(xié)議探測(cè)格式示例
? 4、惡意代碼攻擊??
根據(jù)CNCERT監(jiān)測(cè)數(shù)據(jù),自2021年6月1日至30日,共監(jiān)測(cè)到物聯(lián)網(wǎng)(IoT)設(shè)備攻擊行為4億2370萬(wàn)次,捕獲IoT惡意樣本2838個(gè),發(fā)現(xiàn)IoT惡意程序傳播IP地址31萬(wàn)5183個(gè),其中位于境外的地址主要分布于印度(42.3%)、科索沃(6.5%)、巴西(3.5%)、俄羅斯(3.4%)等國(guó)家/地區(qū)。捕獲的IoT惡意程序樣本中,常用的文件名有Mozi、i、bin等。詳情參見(jiàn)威脅情報(bào)月報(bào)。
? 5、 重點(diǎn)行業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全??
5.1 物聯(lián)網(wǎng)行業(yè)安全概述
為了解重點(diǎn)行業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì),本月篩選了電力、石油、車(chē)聯(lián)網(wǎng)和軌道交通等行業(yè)的2396個(gè)資產(chǎn)(含物聯(lián)網(wǎng)設(shè)備及物聯(lián)網(wǎng)相關(guān)的web資產(chǎn))進(jìn)行監(jiān)測(cè)。監(jiān)測(cè)發(fā)現(xiàn),本月遭受攻擊的資產(chǎn)有1167個(gè),主要分布在北京、廣東、浙江、四川、上海等32個(gè)省份,涉及攻擊事件23411起。其中,各行業(yè)被攻擊資產(chǎn)數(shù)量及攻擊事件分布如表6所示,被攻擊資產(chǎn)的省份分布如圖8所示。
表6 行業(yè)資產(chǎn)及攻擊事件分布
圖8 重點(diǎn)行業(yè)被攻擊資產(chǎn)的省份分布
對(duì)上述網(wǎng)絡(luò)攻擊事件進(jìn)行分析,境外攻擊源涉及美國(guó)、韓國(guó)等在內(nèi)的國(guó)家78個(gè),攻擊節(jié)點(diǎn)數(shù)總計(jì)3200個(gè)。其中,按照攻擊事件源IP的國(guó)家分布,排名前5分別為美國(guó)(10002起)、德國(guó)(1208起)、南非(911起)、俄羅斯(847起)和印度(552起)。
對(duì)網(wǎng)絡(luò)攻擊事件的類(lèi)型進(jìn)行分析,本月面向行業(yè)資產(chǎn)的網(wǎng)絡(luò)攻擊中,攻擊類(lèi)型涵蓋了遠(yuǎn)程代碼執(zhí)行攻擊、命令執(zhí)行攻擊、SQL注入攻擊、漏洞利用攻擊、目錄遍歷攻擊等。詳細(xì)的攻擊類(lèi)型分布如圖 9所示。
圖9 物聯(lián)網(wǎng)行業(yè)資產(chǎn)攻擊類(lèi)型分布
5.2 特定攻擊類(lèi)型分析
在針對(duì)重行業(yè)物聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡(luò)攻擊事件中,本月重點(diǎn)分析了PHPCMS代碼注入漏洞攻擊(CVE-2018-19127),涉及攻擊事件292起。
漏洞背景:PHPCMS網(wǎng)站內(nèi)容管理系統(tǒng)是國(guó)內(nèi)主流CMS系統(tǒng)之一,同時(shí)也是一個(gè)開(kāi)源的PHP開(kāi)發(fā)框架。PHPCMS最早于2008年推出,最新版已出到v9.6.3,但由于穩(wěn)定、靈活、開(kāi)源的特性,時(shí)至今日,PHPCMS2008版本仍被許多網(wǎng)站所使用。2020年11月4日,阿里云安全首次捕獲PHPCMS 2008版本的/type.php遠(yuǎn)程GetShell 0day利用攻擊,攻擊者可以利用該漏洞遠(yuǎn)程植入webshell,導(dǎo)致文件篡改、數(shù)據(jù)泄漏、服務(wù)器被遠(yuǎn)程控制等一系列嚴(yán)重問(wèn)題。
漏洞細(xì)節(jié):當(dāng)攻擊者向安裝有PHPCMS2008的網(wǎng)站發(fā)送uri為“/type.php?template=tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss”的payload時(shí),"@unlink(_FILE_);assert($_POST[1]);"這句惡意php指令將被寫(xiě)入網(wǎng)站的/cache_template/rss.tpl.php文件中,產(chǎn)生這種效果的原因在于PHPCMS2008源碼中的/type.php文件的代碼存在漏洞。通過(guò)利用該漏洞,攻擊者在向路徑可控的文件寫(xiě)入惡意腳本代碼后,后續(xù)將能夠向該文件發(fā)送webshell指令,在服務(wù)器上執(zhí)行任意代碼,因此該代碼注入漏洞的影響較大。
本月攻擊事件中PHPCMS代碼注入漏洞攻擊示例如圖10所示。如圖可以看出,攻擊執(zhí)行方式與漏洞背景分析一致,攻擊者向目標(biāo)站點(diǎn)發(fā)送uri為“/type.php?template=tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss”的請(qǐng)求嘗試進(jìn)行攻擊。
圖10 PHPCMS代碼注入漏洞攻擊示例
5.3 物聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)流轉(zhuǎn)情況
針對(duì)重點(diǎn)行業(yè)物聯(lián)網(wǎng)資產(chǎn)的數(shù)據(jù)流轉(zhuǎn)情況進(jìn)行監(jiān)測(cè),本月共有2242個(gè)行業(yè)資產(chǎn)存在與境外節(jié)點(diǎn)的通信行為,通信頻次為38736萬(wàn)次。通聯(lián)境外國(guó)家Top10排名如圖11所示,其中排名最高的是美國(guó)(通信16912萬(wàn)次,節(jié)點(diǎn)211萬(wàn)個(gè))。各行業(yè)通聯(lián)事件及資產(chǎn)數(shù)量分布如圖12所示,其中通信頻次最多的為電力行業(yè),涉及1637個(gè)資產(chǎn)的29947萬(wàn)余次通信。
圖11 境外通聯(lián)國(guó)家事件Top10
圖12 行業(yè)通聯(lián)事件資產(chǎn)分布
5.4 重點(diǎn)行業(yè)物聯(lián)網(wǎng)安全威脅情報(bào)
( 1 ) 攻擊節(jié)點(diǎn)威脅情報(bào)
在針重點(diǎn)行業(yè)物聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡(luò)攻擊中,本月發(fā)起攻擊事件最多的境外IP Top10信息如表7所示,涉及攻擊事件6863起,占攻擊總事件的29.32%。
表7 境外攻擊IP Top10
( 2 ) 數(shù)據(jù)訪問(wèn)威脅情報(bào)
在針對(duì)重點(diǎn)行業(yè)物聯(lián)網(wǎng)資產(chǎn)的數(shù)據(jù)訪問(wèn)事件中,本月與境內(nèi)行業(yè)資產(chǎn)訪問(wèn)頻次最多的境外IP Top10信息如表8所示。
表8 數(shù)據(jù)訪問(wèn)IP Top10
對(duì)重點(diǎn)行業(yè)物聯(lián)網(wǎng)安全態(tài)勢(shì)進(jìn)行評(píng)估,目前重點(diǎn)行業(yè)中的物聯(lián)網(wǎng)資產(chǎn)仍然面臨較多網(wǎng)絡(luò)安全風(fēng)險(xiǎn),頻繁遭受攻擊,各行業(yè)應(yīng)提高防護(hù)意識(shí),加強(qiáng)本行業(yè)的網(wǎng)絡(luò)安全技術(shù)防護(hù)手段建設(shè)。
? 6、總? 結(jié)??
CNCERT通過(guò)宏觀數(shù)據(jù)監(jiān)測(cè),在活躍設(shè)備、探測(cè)組織、重點(diǎn)行業(yè)攻擊事件等方面發(fā)現(xiàn)多種物聯(lián)網(wǎng)安全問(wèn)題,然而需要指出的是,目前所發(fā)現(xiàn)的問(wèn)題只是物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的冰山一角,CNCERT將長(zhǎng)期關(guān)注物聯(lián)網(wǎng)網(wǎng)絡(luò)安全問(wèn)題,持續(xù)開(kāi)展安全監(jiān)測(cè)和定期通報(bào)工作,同時(shí)期望與各行業(yè)共同攜手,提高行業(yè)物聯(lián)網(wǎng)安全防護(hù)水平。
轉(zhuǎn)載來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
