國家互聯(lián)網(wǎng)應(yīng)急中心-聯(lián)網(wǎng)智能設(shè)備安全態(tài)勢季度報(bào)告2021年第2季度-11正式版

聯(lián)網(wǎng)智能設(shè)備安全態(tài)勢季度報(bào)告（2021年第2季度）1、總體概述聯(lián)網(wǎng)智能設(shè)備泛指通過公共互聯(lián)網(wǎng)連接的嵌入了傳感器、軟件和其他技術(shù)具有一定計(jì)算能力的設(shè)備，主要包括手機(jī)設(shè)備、智能監(jiān)控平臺、防火墻、網(wǎng)絡(luò)攝像頭、交換機(jī)、打印機(jī)、GPS設(shè)備、會(huì)議系統(tǒng)、網(wǎng)關(guān)設(shè)備、一卡通等。CNCERT對聯(lián)網(wǎng)智能設(shè)備的安全風(fēng)險(xiǎn)與事件進(jìn)行持續(xù)跟蹤監(jiān)測分析，根據(jù)CNCERT監(jiān)測數(shù)據(jù)，2021年第2季度，共收錄聯(lián)網(wǎng)智能設(shè)備漏洞2365個(gè)，其中通用型漏洞1421個(gè)，事件型漏洞944個(gè)；監(jiān)測到聯(lián)網(wǎng)智能設(shè)備惡意程序樣本511.82萬個(gè)，樣本家族141個(gè)，發(fā)現(xiàn)惡意程序傳播源IP地址36.17萬個(gè)，境內(nèi)惡意程序下載端IP地址67.05萬個(gè)；僵尸網(wǎng)絡(luò)控制端IP地址3.5萬個(gè)，境內(nèi)僵尸網(wǎng)絡(luò)受控端IP地址924.27萬個(gè)。1、聯(lián)網(wǎng)智能設(shè)備漏洞態(tài)勢聯(lián)網(wǎng)智能設(shè)備存在軟硬件漏洞可能導(dǎo)致設(shè)備被攻擊入侵，進(jìn)而導(dǎo)致設(shè)備數(shù)據(jù)和用戶信息泄露、設(shè)備被控、感染僵尸木馬程序、被用作跳板攻擊內(nèi)網(wǎng)主機(jī)和其他信息基礎(chǔ)設(shè)施等安全風(fēng)險(xiǎn)和問題。CNCERT通過CNVD持續(xù)對聯(lián)網(wǎng)智能設(shè)備的漏洞開展跟蹤、收錄和通報(bào)處置，主要情況如下。1.1通用型漏洞收錄情況2021年第2季度，CNVD收錄通用型聯(lián)網(wǎng)智能設(shè)備漏洞1421個(gè)。按收錄漏洞的類型、影響的設(shè)備類型統(tǒng)計(jì)如下：聯(lián)網(wǎng)智能設(shè)備通用型漏洞數(shù)量按漏洞類型分類，排名前三位的是弱口令、權(quán)限繞過和命令執(zhí)行漏洞，分別占公開收錄漏洞總數(shù)的24.70%、19.92%、10.13%，如圖1.1所示。其他15.20%弱口令24.70%二進(jìn)制3.10%設(shè)計(jì)缺陷3.38%拒絕服務(wù)、命令執(zhí)4.29%跨站4.43%拒絕服務(wù)5.49%權(quán)限繞過19.92%信息泄露9.36%命令執(zhí)行10.13%1.1聯(lián)網(wǎng)智能設(shè)備通用型漏洞數(shù)量按漏洞類型統(tǒng)計(jì)情況（2021年第2季度）聯(lián)網(wǎng)智能設(shè)備通用型漏洞數(shù)量按設(shè)備類型分類，排名前三位的是路由器、手機(jī)設(shè)備和智能監(jiān)控平臺，分別占公開收錄漏洞總數(shù)的34.32%、14.63%、13.57%，如圖1.2所示。智能監(jiān)控平臺網(wǎng)關(guān)設(shè)備8.09%13.57%防火墻12.10%網(wǎng)絡(luò)攝像頭7.67%交換機(jī)3.38%手機(jī)設(shè)備打印機(jī)3.31%14.63%會(huì)議系統(tǒng)路由器1.97%34.32%GPS設(shè)備0.91%一卡通0.07%圖1.2聯(lián)網(wǎng)智能設(shè)備通用型漏洞數(shù)量按設(shè)備類型統(tǒng)計(jì)情況（2021第2季度）1.2事件型漏洞收錄情況2021年第2季度，CNVD收錄聯(lián)網(wǎng)智能設(shè)備事件型漏洞944個(gè)。按設(shè)備類型分類，排名前三位的是防火墻、智能監(jiān)控平臺和會(huì)議系統(tǒng)，分別占公開收錄漏洞總數(shù)的38.14%、32.52%、20.34%，如圖1.3所示。會(huì)議系統(tǒng)20.34%智能監(jiān)控平臺網(wǎng)關(guān)設(shè)備32.52%6.14%路由器1.17%一卡通0.95%GPS設(shè)備0.32%防火墻交換機(jī)38.14%0.32%網(wǎng)絡(luò)攝像頭0.11%圖1.3聯(lián)網(wǎng)智能設(shè)備事件型漏洞數(shù)量按設(shè)備類型統(tǒng)計(jì)情況（2021年第2季度）2、惡意程序傳播態(tài)勢CNCERT對感染控制聯(lián)網(wǎng)智能設(shè)備的惡意程序開展抽樣監(jiān)測分析，主要情況如下。2.1樣本捕獲情況2021年第2季度，CNCERT共捕獲511.82萬個(gè)聯(lián)網(wǎng)智能設(shè)備惡意程序樣本，樣本家族141個(gè)。其中，排名前兩位的為惡意程序Mirai家族、惡意程序Gafgyt家族及其變種，占比分別為40.51%和36.60%。按所屬家族統(tǒng)計(jì)，排名靠前的惡意程序樣本數(shù)情況如圖2.1所示。Mirai207.33萬Gafgyt 78.91萬Dakkatoni 17.25萬mozi 15.77萬Tsunami 3.62萬DarkNexus 1.01萬loligang 7514CoinMiner 7488圖2.1 聯(lián)網(wǎng)智能設(shè)備惡意程序樣本數(shù)按所屬家族統(tǒng)計(jì)情況（2021年第2季度）按惡意程序樣本MD5維度統(tǒng)計(jì)，惡意程序樣本傳播次數(shù)TOP10情況如圖2.2所示。惡成程序樣本MD5傳播次數(shù)占比eec5c6c219535fba3a0492ea8118b39750442472551.28%fbe51695e97a45dc61967dc3241a37dc21843375322.21%59ce0baba11893f90527fc951ac69912942706109.58%f664df976eb62a5deea63e3ac9031bd9341285333.47%4dde761681684d7edad4e5e1ffdb940b268976712.73%a73ddd6ec22462db955439f665cad4e6162249021.65%3849f30b51a5c49e8d1546960cc206c7152749191.55%b67b7920ad6846302b180f59a9366b1666514810.68%9e935bedb7801200b407febdb793951e35217220.36%3313e9cc72e7cf75851dc62b84ca932c33457040.34%圖2.2 聯(lián)網(wǎng)智能設(shè)備惡意程序樣本傳播次數(shù)按MD5維度統(tǒng)計(jì)情況（2021年第2季度）聯(lián)網(wǎng)智能設(shè)備惡意程序樣本數(shù)量按月統(tǒng)計(jì)情況如圖2.3所示。3000000283.69萬250000020000001500000 123.09萬 121.84萬100000050000002021年4月 2021年5月 2021年6月圖2.3 聯(lián)網(wǎng)智能設(shè)備惡意程序樣本數(shù)按月統(tǒng)計(jì)情況（2021年第2季度）2.2惡意程序傳播源監(jiān)測情況2021年第2季度，CNCERT監(jiān)測發(fā)現(xiàn)36.17萬個(gè)聯(lián)網(wǎng)智能設(shè)備惡意程序傳播地址。境外傳播源主要位于印度（48.72%）、塞爾維亞（26.08%）、美國（3.18%）、越南（2.91%）、俄羅斯（2.51%）等國家或地區(qū)；境內(nèi)傳播源主要位于河南（52.26%）、廣東（26.26%）、山東（8.52%）、浙江（1.98%）、江蘇（1.40%）等省份。按國家或地區(qū)分布統(tǒng)計(jì)，惡意程序傳播源IP數(shù)量TOP10情況如圖2.4所示。美國3.18%越南塞爾維亞2.91%俄羅斯26.08%2.51%巴西1.70%韓國泰國1.22%1.03%印度中國臺灣48.72%1.01%多米尼加0.95%其他10.70%圖2.4 聯(lián)網(wǎng)智能設(shè)備惡意程序傳播源IP數(shù)境外國家分布情況（2021年第2季度）按省市分布維度統(tǒng)計(jì)，境內(nèi)惡意程序傳播源IP數(shù)量TOP10情況如圖2.5所示。山東8.52%浙江1.98%江蘇廣東1.40%26.26%遼寧1.31%云南0.95%山西0.77%河北河南0.77%安徽52.26%0.75%其他5.04%圖2.5 聯(lián)網(wǎng)智能設(shè)備惡意程序傳播源IP數(shù)境內(nèi)省市分布情況（2021年第2季度）按IP維度統(tǒng)計(jì)，惡意程序傳播次數(shù)TOP10情況如圖2.6所示。112.*.*.197333.90萬209.*.*.190315.52萬112.*.*.168237.40萬112.*.*.29227.91萬175.*.*.26220.63萬112.*.*.68216.28萬112.*.*.155197.53萬112.*.*.51194.42萬120.*.*.202192.33萬107.*.*.23188.22萬圖2.6聯(lián)網(wǎng)智能設(shè)備惡意程序傳播次數(shù)按IP維度統(tǒng)計(jì)情況（2021年第2季度）聯(lián)網(wǎng)智能設(shè)備傳播源IP數(shù)量按月統(tǒng)計(jì)情況如圖2.7所示。15000014.86萬14.62萬14500014000013.68萬1350001300002021年4月2021年5月2021年6月圖2.7 聯(lián)網(wǎng)智能設(shè)備惡意程序傳播源IP數(shù)按月統(tǒng)計(jì)情況（2021年第2季度）2.3惡意程序下載端監(jiān)測情況2021年第2季度，CNCERT監(jiān)測發(fā)現(xiàn)67.05萬個(gè)聯(lián)網(wǎng)智能設(shè)備惡意程序境內(nèi)下載端地址，主要位于遼寧（9.91%）、江蘇（9.49%）、安徽（9.19%）、福建（8.63%）、河南（7.12%）等省份。按省份分布統(tǒng)計(jì)，境內(nèi)惡意程序下載端IP數(shù)量TOP10情況如圖2.8所示。吉林河北5.84%四川6.31%5.76%浙江6.90%其他23.89%廣東6.94%河南7.12%江蘇安徽9.49%9.19%遼寧9.91%福建8.63%圖2.8 聯(lián)網(wǎng)智能設(shè)備惡意程序下載端IP數(shù)境內(nèi)省市分布情況（2021年第2季度）按IP維度統(tǒng)計(jì)，惡意程序下載次數(shù)TOP10情況如圖2.9所示。62.*.*.41543.24萬221.*.*.218121.45萬112.*.*.203111.87萬111.*.*.175111.04萬111.*.*.393.37萬111.*.*.12787.60萬148.*.*.19585.94萬111.*.*.17179.40萬111.*.*.5778.81萬111.*.*.11768.16萬圖2.9聯(lián)網(wǎng)智能設(shè)備惡意程序下載次數(shù)按IP維度統(tǒng)計(jì)情況（2021年第2季度）聯(lián)網(wǎng)智能設(shè)備下載端IP數(shù)量按月統(tǒng)計(jì)情況如圖2.10所示。700000600000

57.36萬500000 45.38萬4000003000002000001000000

48.83萬2021年4月 2021年5月 2021年6月圖2.10聯(lián)網(wǎng)智能設(shè)備惡意程序下載端IP數(shù)按月統(tǒng)計(jì)情況（2021年第2季度）3、僵尸網(wǎng)絡(luò)活動(dòng)態(tài)勢CNCERT對聯(lián)網(wǎng)智能設(shè)備感染惡意程序并被控形成的僵尸網(wǎng)絡(luò)開展抽樣監(jiān)測分析，主要情況如下。3.1控制端監(jiān)測情況2021年第2季度，CNCERT監(jiān)測發(fā)現(xiàn)3.5萬個(gè)聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)控制端地址，境外控制端主要位于中國香港（37.98%）、美國（24.91%）、日本（4.01%）、德國（3.53%）、韓國（2.82%）等國家或地區(qū)；境內(nèi)控制端主要位于廣東（15.03%）、吉林（13.54%）、北京（8.16%）、四川（6.90%）、上海（3.87%）等省份或地市。按國家或地區(qū)分布統(tǒng)計(jì)，僵尸網(wǎng)絡(luò)控制端IP數(shù)量TOP10情況如圖3.1所示。日本4.01%美國德國3.53%24.91%韓國2.82%荷蘭2.44%中國香港俄羅斯2.13%37.98%新加坡2.08%英國1.95%法國1.43%其他16.72%圖3.1聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)控制端IP數(shù)境外國家分布情況（2021年第2季度）按省市分布統(tǒng)計(jì)，境內(nèi)僵尸網(wǎng)絡(luò)控制端IP數(shù)量TOP10情況如圖3.2所示。上海3.87%吉林北京福建四川3.68%13.54%8.16%6.90%山東3.06%浙江2.97%寧夏2.93%江蘇2.38%廣東15.03%其他37.47%圖3.2 聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)控制端IP數(shù)境內(nèi)省市分布情況（2021年第2季度）按IP維度統(tǒng)計(jì)，僵尸網(wǎng)絡(luò)規(guī)模TOP10情況如圖3.3所示。205.*.*.16477.80萬157.*.*.22767.21萬198.*.*.15654.92萬198.*.*.17452.36萬23.*.*.21441.52萬172.*.*.10840.05萬45.*.*.8538.64萬23.*.*.11737.15萬104.*.*.13236.85萬164.*.*.6836.30萬圖3.3 聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)控制次數(shù)按IP維度統(tǒng)計(jì)情況（2021年2季度）僵尸網(wǎng)絡(luò)控制端IP數(shù)量按月統(tǒng)計(jì)情況如圖3.4所示。2500020000

1.91萬15000 1.29萬0.94萬10000500004月 5月 6月圖3.4 聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)控制端IP數(shù)按月統(tǒng)計(jì)情況（2021年第2季度）3.2受控端監(jiān)測情況2021年第2季度，CNCERT監(jiān)測發(fā)現(xiàn)924.27萬個(gè)聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)境內(nèi)受控端地址，主要位于浙江（16.01%）、河南（8.60%）、江蘇（8.54%）、廣東（5.32%）、山東（4.82%）等省份。按所在省份分布統(tǒng)計(jì)，境內(nèi)僵尸網(wǎng)絡(luò)受控端IP數(shù)量TOP10情況如圖3.5所示。安徽吉林2.61%2.62%其他河北41.71%2.69%四川3.38%遼寧3.70%山東4.82%浙江河南 16.01%8.60%廣東5.32%江蘇8.54%圖3.5 聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)受控端IP數(shù)境內(nèi)省市分布情況（2021年第2季度）僵尸網(wǎng)絡(luò)受控端IP數(shù)量按月統(tǒng)計(jì)情況如圖3.6所示。6000000500.74萬5000000374.14萬355.51萬400000030000002000000100000004月 5月 6月圖3.6聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)受控端IP數(shù)按月統(tǒng)計(jì)情況（2021年第2季度）3.3利用聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)進(jìn)行攻擊活動(dòng)情況CNCERT對通過控制聯(lián)網(wǎng)智能設(shè)備發(fā)起的DDoS