国家互联网应急中心-联网智能设备安全态势季度报告2021年第2季度-11正式版

联网智能设备安全态势季度报告（2021年第2季度）1、总体概述联网智能设备泛指通过公共互联网连接的嵌入了传感器、软件和其他技术具有一定计算能力的设备，主要包括手机设备、智能监控平台、防火墙、网络摄像头、交换机、打印机、GPS设备、会议系统、网关设备、一卡通等。CNCERT对联网智能设备的安全风险与事件进行持续跟踪监测分析，根据CNCERT监测数据，2021年第2季度，共收录联网智能设备漏洞2365个，其中通用型漏洞1421个，事件型漏洞944个；监测到联网智能设备恶意程序样本511.82万个，样本家族141个，发现恶意程序传播源IP地址36.17万个，境内恶意程序下载端IP地址67.05万个；僵尸网络控制端IP地址3.5万个，境内僵尸网络受控端IP地址924.27万个。1、联网智能设备漏洞态势联网智能设备存在软硬件漏洞可能导致设备被攻击入侵，进而导致设备数据和用户信息泄露、设备被控、感染僵尸木马程序、被用作跳板攻击内网主机和其他信息基础设施等安全风险和问题。CNCERT通过CNVD持续对联网智能设备的漏洞开展跟踪、收录和通报处置，主要情况如下。1.1通用型漏洞收录情况2021年第2季度，CNVD收录通用型联网智能设备漏洞1421个。按收录漏洞的类型、影响的设备类型统计如下：联网智能设备通用型漏洞数量按漏洞类型分类，排名前三位的是弱口令、权限绕过和命令执行漏洞，分别占公开收录漏洞总数的24.70%、19.92%、10.13%，如图1.1所示。其他15.20%弱口令24.70%二进制3.10%设计缺陷3.38%拒绝服务、命令执4.29%跨站4.43%拒绝服务5.49%权限绕过19.92%信息泄露9.36%命令执行10.13%1.1联网智能设备通用型漏洞数量按漏洞类型统计情况（2021年第2季度）联网智能设备通用型漏洞数量按设备类型分类，排名前三位的是路由器、手机设备和智能监控平台，分别占公开收录漏洞总数的34.32%、14.63%、13.57%，如图1.2所示。智能监控平台网关设备8.09%13.57%防火墙12.10%网络摄像头7.67%交换机3.38%手机设备打印机3.31%14.63%会议系统路由器1.97%34.32%GPS设备0.91%一卡通0.07%图1.2联网智能设备通用型漏洞数量按设备类型统计情况（2021第2季度）1.2事件型漏洞收录情况2021年第2季度，CNVD收录联网智能设备事件型漏洞944个。按设备类型分类，排名前三位的是防火墙、智能监控平台和会议系统，分别占公开收录漏洞总数的38.14%、32.52%、20.34%，如图1.3所示。会议系统20.34%智能监控平台网关设备32.52%6.14%路由器1.17%一卡通0.95%GPS设备0.32%防火墙交换机38.14%0.32%网络摄像头0.11%图1.3联网智能设备事件型漏洞数量按设备类型统计情况（2021年第2季度）2、恶意程序传播态势CNCERT对感染控制联网智能设备的恶意程序开展抽样监测分析，主要情况如下。2.1样本捕获情况2021年第2季度，CNCERT共捕获511.82万个联网智能设备恶意程序样本，样本家族141个。其中，排名前两位的为恶意程序Mirai家族、恶意程序Gafgyt家族及其变种，占比分别为40.51%和36.60%。按所属家族统计，排名靠前的恶意程序样本数情况如图2.1所示。Mirai207.33万Gafgyt 78.91万Dakkatoni 17.25万mozi 15.77万Tsunami 3.62万DarkNexus 1.01万loligang 7514CoinMiner 7488图2.1 联网智能设备恶意程序样本数按所属家族统计情况（2021年第2季度）按恶意程序样本MD5维度统计，恶意程序样本传播次数TOP10情况如图2.2所示。恶成程序样本MD5传播次数占比eec5c6c219535fba3a0492ea8118b39750442472551.28%fbe51695e97a45dc61967dc3241a37dc21843375322.21%59ce0baba11893f90527fc951ac69912942706109.58%f664df976eb62a5deea63e3ac9031bd9341285333.47%4dde761681684d7edad4e5e1ffdb940b268976712.73%a73ddd6ec22462db955439f665cad4e6162249021.65%3849f30b51a5c49e8d1546960cc206c7152749191.55%b67b7920ad6846302b180f59a9366b1666514810.68%9e935bedb7801200b407febdb793951e35217220.36%3313e9cc72e7cf75851dc62b84ca932c33457040.34%图2.2 联网智能设备恶意程序样本传播次数按MD5维度统计情况（2021年第2季度）联网智能设备恶意程序样本数量按月统计情况如图2.3所示。3000000283.69万250000020000001500000 123.09万 121.84万100000050000002021年4月 2021年5月 2021年6月图2.3 联网智能设备恶意程序样本数按月统计情况（2021年第2季度）2.2恶意程序传播源监测情况2021年第2季度，CNCERT监测发现36.17万个联网智能设备恶意程序传播地址。境外传播源主要位于印度（48.72%）、塞尔维亚（26.08%）、美国（3.18%）、越南（2.91%）、俄罗斯（2.51%）等国家或地区；境内传播源主要位于河南（52.26%）、广东（26.26%）、山东（8.52%）、浙江（1.98%）、江苏（1.40%）等省份。按国家或地区分布统计，恶意程序传播源IP数量TOP10情况如图2.4所示。美国3.18%越南塞尔维亚2.91%俄罗斯26.08%2.51%巴西1.70%韩国泰国1.22%1.03%印度中国台湾48.72%1.01%多米尼加0.95%其他10.70%图2.4 联网智能设备恶意程序传播源IP数境外国家分布情况（2021年第2季度）按省市分布维度统计，境内恶意程序传播源IP数量TOP10情况如图2.5所示。山东8.52%浙江1.98%江苏广东1.40%26.26%辽宁1.31%云南0.95%山西0.77%河北河南0.77%安徽52.26%0.75%其他5.04%图2.5 联网智能设备恶意程序传播源IP数境内省市分布情况（2021年第2季度）按IP维度统计，恶意程序传播次数TOP10情况如图2.6所示。112.*.*.197333.90万209.*.*.190315.52万112.*.*.168237.40万112.*.*.29227.91万175.*.*.26220.63万112.*.*.68216.28万112.*.*.155197.53万112.*.*.51194.42万120.*.*.202192.33万107.*.*.23188.22万图2.6联网智能设备恶意程序传播次数按IP维度统计情况（2021年第2季度）联网智能设备传播源IP数量按月统计情况如图2.7所示。15000014.86万14.62万14500014000013.68万1350001300002021年4月2021年5月2021年6月图2.7 联网智能设备恶意程序传播源IP数按月统计情况（2021年第2季度）2.3恶意程序下载端监测情况2021年第2季度，CNCERT监测发现67.05万个联网智能设备恶意程序境内下载端地址，主要位于辽宁（9.91%）、江苏（9.49%）、安徽（9.19%）、福建（8.63%）、河南（7.12%）等省份。按省份分布统计，境内恶意程序下载端IP数量TOP10情况如图2.8所示。吉林河北5.84%四川6.31%5.76%浙江6.90%其他23.89%广东6.94%河南7.12%江苏安徽9.49%9.19%辽宁9.91%福建8.63%图2.8 联网智能设备恶意程序下载端IP数境内省市分布情况（2021年第2季度）按IP维度统计，恶意程序下载次数TOP10情况如图2.9所示。62.*.*.41543.24万221.*.*.218121.45万112.*.*.203111.87万111.*.*.175111.04万111.*.*.393.37万111.*.*.12787.60万148.*.*.19585.94万111.*.*.17179.40万111.*.*.5778.81万111.*.*.11768.16万图2.9联网智能设备恶意程序下载次数按IP维度统计情况（2021年第2季度）联网智能设备下载端IP数量按月统计情况如图2.10所示。700000600000

57.36万500000 45.38万4000003000002000001000000

48.83万2021年4月 2021年5月 2021年6月图2.10联网智能设备恶意程序下载端IP数按月统计情况（2021年第2季度）3、僵尸网络活动态势CNCERT对联网智能设备感染恶意程序并被控形成的僵尸网络开展抽样监测分析，主要情况如下。3.1控制端监测情况2021年第2季度，CNCERT监测发现3.5万个联网智能设备僵尸网络控制端地址，境外控制端主要位于中国香港（37.98%）、美国（24.91%）、日本（4.01%）、德国（3.53%）、韩国（2.82%）等国家或地区；境内控制端主要位于广东（15.03%）、吉林（13.54%）、北京（8.16%）、四川（6.90%）、上海（3.87%）等省份或地市。按国家或地区分布统计，僵尸网络控制端IP数量TOP10情况如图3.1所示。日本4.01%美国德国3.53%24.91%韩国2.82%荷兰2.44%中国香港俄罗斯2.13%37.98%新加坡2.08%英国1.95%法国1.43%其他16.72%图3.1联网智能设备僵尸网络控制端IP数境外国家分布情况（2021年第2季度）按省市分布统计，境内僵尸网络控制端IP数量TOP10情况如图3.2所示。上海3.87%吉林北京福建四川3.68%13.54%8.16%6.90%山东3.06%浙江2.97%宁夏2.93%江苏2.38%广东15.03%其他37.47%图3.2 联网智能设备僵尸网络控制端IP数境内省市分布情况（2021年第2季度）按IP维度统计，僵尸网络规模TOP10情况如图3.3所示。205.*.*.16477.80万157.*.*.22767.21万198.*.*.15654.92万198.*.*.17452.36万23.*.*.21441.52万172.*.*.10840.05万45.*.*.8538.64万23.*.*.11737.15万104.*.*.13236.85万164.*.*.6836.30万图3.3 联网智能设备僵尸网络控制次数按IP维度统计情况（2021年2季度）僵尸网络控制端IP数量按月统计情况如图3.4所示。2500020000

1.91万15000 1.29万0.94万10000500004月 5月 6月图3.4 联网智能设备僵尸网络控制端IP数按月统计情况（2021年第2季度）3.2受控端监测情况2021年第2季度，CNCERT监测发现924.27万个联网智能设备僵尸网络境内受控端地址，主要位于浙江（16.01%）、河南（8.60%）、江苏（8.54%）、广东（5.32%）、山东（4.82%）等省份。按所在省份分布统计，境内僵尸网络受控端IP数量TOP10情况如图3.5所示。安徽吉林2.61%2.62%其他河北41.71%2.69%四川3.38%辽宁3.70%山东4.82%浙江河南 16.01%8.60%广东5.32%江苏8.54%图3.5 联网智能设备僵尸网络受控端IP数境内省市分布情况（2021年第2季度）僵尸网络受控端IP数量按月统计情况如图3.6所示。6000000500.74万5000000374.14万355.51万400000030000002000000100000004月 5月 6月图3.6联网智能设备僵尸网络受控端IP数按月统计情况（2021年第2季度）3.3利用联网智能设备僵尸网络进行攻击活动情况CNCERT对通过控制联网智能设备发起的DDoS