国家计算机网络应急处理中心2018年Q1我国联网智能设备安全情况报告2018414页

1我国联网智能设备安全情况报告(2018年第一季度)国家计算机网络应急技术处理协调中心2018年4月22018年第一季度，CNCERT继续对联网智能设备安全情况开展跟踪监测和数据分析，发现联网智能设备（以下简称“智能设备”或“IOT设备”）在安全漏洞、恶意代码攻击活动等方面主要表现出如下特点：1、在安全漏洞方面，智能设备漏洞数量继续大幅增加。国家信息安全漏洞共享平台（CNVD）2018年第一季度公开收录智能设备通用型漏洞644个，较去年同期增长76%。按漏洞类型统计，权限绕过、信息泄露、命令执行漏洞数量位列前三，分别占公开收录漏洞总数的20%、17%、16%。手机设备、路由器、网络摄像头、智能监控平台、防火墙等类型设备漏洞数量较多，是漏洞利用的重要目标。2、在恶意代码攻击活动方面，境外控制服务器控制了我国境内大量智能设备，每日活跃受控设备IP地址和控制服务器IP地址的数量较2017年下半年有所上升。CNCERT抽样监测发现2018年第一季度我国境内感染恶意代码的智能设备IP地址数量约52.7万，位于浙江、河南、山东、江苏、河北的IP地址占比较大。控制我国智能设备的境外控制服务器IP地址数量约1.08万个，位于美国、俄罗斯、日本的IP地址占比较大。受控设备规模在１万以上的智能设备僵尸网络有13个，受控设备规模在5万以上的僵尸网络有3个。每日活跃的受控智能设备IP地址平均数量约2.8万个、控制服务器IP地址平均数量288个，分别较2017年下半年有所上升。3一、智能设备漏洞收录情况智能设备存在的软硬件漏洞可能导致设备数据和用户信息泄露、设备瘫痪、感染木马僵尸网络恶意代码、被用作跳板攻击内网主机或其他信息基础设施等安全风险。2018年第一季度，CNVD持续对智能设备（IOT设备）漏洞开展跟踪、收录和通报处臵。（一）通用型漏洞收录情况通用型漏洞一般是指对某类软硬件产品都会构成安全威胁的漏洞。2018年第一季度CNVD收录通用型IOT设备漏洞644个，与去年同期的366个相比增长76%。按收录漏洞所涉及厂商、漏洞的类型、影响的设备类型统计如下：漏洞涉及厂商包括谷歌、华为、思科、普联、施耐德等厂商。其中，收录谷歌IOT设备漏洞164条，占全季度IOT设备漏洞的25%；华为位列第二，共收录82条；思科和普联分列第三和第四，如图１所示。4图1IOT设备漏洞数量TOP厂商排名漏洞类型包括权限绕过、信息泄露、命令执行、跨站、拒绝服务、缓冲区溢出、SQL注入、文件上传、设计缺陷等漏洞。其中，权限绕过、信息泄露、命令执行漏洞数量位列前三，分别占公开收录漏洞总数的20%、17%、16%，如图２所示。图2按漏洞类型TOP分布漏洞影响的设备类型包括手机设备、路由器、网络摄像头、1648231282523161010020406080100120140160180IOT设备漏洞数量TOP厂商排名权限绕过20%信息泄露17%命令执行16%跨站11%拒绝服务10%缓冲区溢出7%SQL注入2%其他17%按漏洞类型TOP分布5智能监控平台、防火墙、网关设备、交换机、会议系统等。其中，手机设备、路由器、网络摄像头的数量位列前三，分别占公开收录漏洞总数的28%、18%、17%，如图３所示。图3漏洞（通用）按设备类型TOP分布（二）事件型漏洞收录情况事件型漏洞一般是指对一个具体应用构成安全威胁的漏洞。2018年第一季度CNVD收录IOT设备事件型漏洞44个，影响的设备包括智能监控平台、网络摄像头、GPS设备、路由器、网关设备、防火墙、会议系统、一卡通、打印机、交换机等。其中，智能监控平台、网络摄像头、会议系统漏洞数量位列前三，分别占公开收录漏洞总数的27%，18%，15%，如图４所示。手机设备28%路由器18%网络摄像头17%智能监控平台12%防火墙6%网关设备6%交换机5%会议系统5%其他3%漏洞（通用）按设备类型TOP分布6图4漏洞（事件型）按设备类型TOP分布二、智能设备恶意代码攻击活动情况（一）恶意代码活动总体监测情况2018年第一季度，CNCERT继续对智能设备相关的Gafgyt、MrBlack、Tsunami、Mirai、Reaper、Ddostf、Satori、TheMoon等流行恶意代码的网络攻击活动开展抽样监测，详细情况如下。1、恶意代码控制服务器数量及分布情况2018年第一季度CNCERT抽样监测发现智能设备恶意代码控制服务器IP地址累计数量约1.23万个，位于境外的控制服务器IP地址约占88.1%，该比例较去年有所上升，其中位于美国（3696个）、俄罗斯（740个）和日本（725个）的IP地址位列前三，详细分布如图5所示。位于我国境内的控制服务智能监控平台48%网络摄像头18%GPS设备2%路由器2%网关设备2%防火墙7%会议系统12%一卡通5%打印机2%交换机2%漏洞（事件）按设备类型TOP分布7器IP地址数量为1467个，排名前三的省市依次是河南273个、北京156个、广东130个。图52018年第一季度IOT恶意代码控制服务器IP地址分布2、受控设备数量及分布情况2018年第一季度，CNCERT抽样监测发现的受控智能设备IP地址累计数量为159.5万个,位于我国境内的受控IP数量为52.7万,占比约33.1%，其中受控IP地址数量在2万以上的地区依次是浙江、河南、山东、江苏、河北、辽宁、广东、重庆,详细分布如图6所示。8图62018年第一季度IOT恶意代码受控设备IP地址分布3、木马僵尸网络规模统计分析CNCERT对智能设备木马僵尸网络规模进行分析，2018年第一季度智能设备木马僵尸网络控制规模（单个控制服务器所控制的受控设备IP地址的累计数量）在１千以上的僵尸网络有143个，在１万以上的僵尸网络有13个，在5万以上的僵尸网络有3个。规模较大的僵尸网络控制端主要分布在荷兰、西班牙、俄罗斯、美国、法国、加拿大、意大利、中国大陆等国家或地区，详细情况见表1。9表12018年第一季度智能设备木马僵尸网络控制规模统计情况木马僵尸网络控制规模木马僵尸网络个数（按控制端IP地址统计）木马僵尸网络控制端IP地址地理位置分布5万以上3荷兰、西班牙和中国大陆各1个1万至5万10俄罗斯3个、中国大陆2个，罗马尼亚、意大利、加拿大、荷兰和瑞典各1个5千至1万13法国4个、加拿大3个、俄罗斯2个，卢森堡、荷兰、泰国和南非各1个1千至5千117美国40个、荷兰15个、法国13个、加拿大11个、俄罗斯10个、意大利8个、英国3个、欧盟3个、罗马尼亚2个、新加坡2个、中国2个，摩尔多瓦、拉脱维亚、保加利亚、西班牙、乌克兰、韩国、波兰、捷克各1个100至1000297美国129个、意大利39个、荷兰21个、加拿大19个、法国18个、俄罗斯16个、德国9个、罗马尼亚7个、英国6个、印度5个、西班牙4个、新加坡4个、欧盟4个、中国大陆4个、保加利亚3个、瑞士2个，巴布亚新几内亚、澳大利亚、拉脱维亚、葡萄牙、立陶宛、孟加拉、乌克兰各1个4、恶意代码攻击活动变化趋势2018年第一季度，CNCERT抽样监测发现每日活跃的受控智能设备IP地址平均数量约2.8万个、控制服务器IP地址平均数量288个，分别较2017年下半年有所上升。恶意代码攻击活动处于持续活跃态势，1月10日至1月1２日、1月22日至1月24日、2月8日至2月15日恶意代码攻击活动更加频繁，其中1月10日的单日活跃受控IP地址数量达到峰值35731个、2月14日的单日活跃控制服务器IP地址数量达到峰值550个，如图7所示。10图72018年第一季度IOT恶意代码攻击活动变化趋势（二）典型恶意代码活动的监测情况以下是在境内感染量较大的Gafgyt、Mirai等典型恶意代码的网络攻击监测情况。1、Gafgyt恶意代码监测情况Gafgyt恶意代码的通用命名为Backdoor.Linux.Gafgyt。2018年第一季度，CNCERT对Gafgyt僵尸网络攻击活动开展抽样监测，共发现活跃控制服务器IP地址990个，疑似被控IP地址27.32万个。这些控制服务器向疑似被控IP地址发送DDoS攻击指令，分别对境内外约3.8万个IP地址实施UDPFlood（占比89.7%）、TCPSYNFlood（占比10.2%）等类型分布式拒绝服务攻击。11CNCERT抽样监测数据显示，Gafgyt木马僵尸网络的受控端IP地址绝大多数位于境内，约27万个（占比高达98.8%），其中位于山东、河南、浙江、辽宁、河北等省受控端IP地址规模都在2万以上，国内各省（市、区）具体分布如图8所示。图82018年第一季度IOT恶意代码Gafgyt受控设备IP地址分布Gafgyt木马僵尸网络控制服务器IP地址绝大多数位于境外，主要分布在美国、意大利、荷兰、加拿大等国家或地区，主要分布情况与2017年下半年大致相同，详细数据见图9。12图92018年第一季度IOT恶意代码Gafgyt控制服务器IP地址按国家或地区分布2、Mirai恶意代码监测情况Mirai恶意代码的通用命名为Trojan[DDoS]/Linux.Mi-rai。2018年第一季度，CNCERT对Linux.Mirai木马僵尸程序网络攻击情况进行抽样监测，共发现控制服务器IP地址10520个，疑似被控智能设备IP地址约18.8万个，主要恶意代码下载服务器IP地址260个。恶意代码下载方式主要为telnet远程执行wget或tftp下载，下载文件恶意代码文件名主要是mirai.arm7、mirai.arm、mirai.mips、mirai.x86和mirai.ppc，恶意代码下载后启动名称主要包括dvrHelper（占比47.5%）、dvrpelper（占比44.5%）、Wordmemy（占比6.7%）、WsGA4@F6F（1%）、McLuvin（1%）、zxcvbnm（1%）。从Mirai源代码和恶意代码文件名上可以看出Mirai支持多种硬件平13台。CNCERT监测发现的Mirai木马僵尸受控端IP地址绝大多数位于境内，如图10所示，受控端IP地址数量最多的是位于浙江、河南、重庆、江苏、广东、河北等省市，受控端IP地址数量均在1万以上，其中位于河南受控端数量增长趋势明显。境外受控端IP地址数量相对较多的是位于美国（2642个）、日本（390个）和英国（215个）。图102018年第一季度Mirai恶意代码受控设备IP地址分布Mirai木马僵尸程序控制端IP地址主要位于境外，排名前三的是美国3066个、日本716个、俄罗斯696个,如图11所示。位于中国大陆控制端IP地址1084个，主要分布在北京、14广东、江苏、浙江、上海、山东、辽宁等省市。图112018年第一季度Mirai恶意代码控制服务器IP地址分布图