关键信息基础设施网络安全（物联网安全专题）监测月报202106期

  1、概  述  

根据《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》对关键信息基础设施定义和范围的阐述，关键信息基础设施(Critical Information Infrastructure，CII)是指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施，包括能源、交通、水利、金融、电子政务、公共通信和信息服务等关键行业和领域。

随着“新基建”、“工业互联网”等战略的快速推进以及Lora、NB-IOT、eMTC、5G等技术的快速发展，物联网与关键信息基础设施已开始深度融合，在提高行业的运行效率和便捷性的同时，也面临严峻的网络安全和数据安全挑战。因此，亟需对关键信息基础设施的物联网安全问题加以重视和防护。

CNCERT依托宏观数据，对关键信息基础设施中的物联网网络安全和数据安全等方面的问题进行专项监测，以下是本月的监测情况。

  2、物联网终端设备监测情况  

2.1 活跃物联网设备监测情况

本月对物联网设备的抽样监测显示，国内活跃物联网设备数178182台，包括工业控制设备、视频监控设备、网络存储设备(NAS)、网络交换设备、串口服务器、打印机等20个大类，涉及西门子、罗克韦尔、欧姆龙、海康威视、大华、思科等46个主流厂商。

在本月所发现的活跃物联网设备中，判别疑似物联网蜜罐设备96个，蜜罐伪装成可编程逻辑控制器、视频监控设备等设备，仿真了HTTP、SNMP、S7Comm、Modbus、BACnet等常用协议。实际活跃的物联网设备178086台分布在全国各个省份，重点分布在广东、浙江、江苏等省份。各省份设备数量分布情况如图1所示。

图1 活跃物联网设备省份分布

2.2 特定类型物联网设备重点分析

在发现的活跃物联网设备中，本月针对对工业控制设备开展重点分析。国内活跃工控设备1429台，包括可编程逻辑控制器、工业交换机、串口服务器、通信适配器等14种类型，涉及西门子、罗克韦尔、施耐德、霍尼韦尔、欧姆龙等23个主流厂商。

在本月所发现的工控设备中，基于资产的的Banner信息和ISP归属信息等进行综合研判，识别疑似蜜罐设备39个，占比2.73 %，仿真协议包括Modbus、S7Comm、SNMP和EtherNetIP等，典型蜜罐特征如表1所示。

表1工控设备蜜罐特征

以设备106.14.*.121为例，设备监测信息如表2和图2所示。判定该资产为蜜罐仿真设备的原因主要是：1)资产开放端口终端，高达49个;2)资产IP所属运营商为国内某公有云。

表2 106.14.*.121设备监测信息

图2 106.14.*.121设备端口开放信息

去除占比2.73%的工控设备蜜罐，本月实际监测发现活跃工控设备1390台。对这些设备进行漏洞识别，165台设备识别到安全风险，包括高危漏洞设备93台和中危漏洞设备93台。这些具有漏洞的工控设备主要分布在江苏、广东、安徽等22个省份，详细的设备省份分布如图3所示。

图3 具有漏洞的工控设备省份分布

  3、扫描探测组织活动监测情况  

3.1 扫描探测组织活跃性分析

本月监测发现来自Shodan、ShadowServer和密歇根大学等扫描探测组织的407个探测节点针对境内8536万个IP发起探测活动，探测事件总计21809万余起，涉及探测目标端口24695余个，境内IP地址分布于33个省级行政区，以北京、上海、广东等省市居多。重点组织的探测活动情况如表3所示。

表3 重点组织的探测活跃情况

监测发现的407个探测组织活跃节点，分别包括Shodan探测节点41个、Shadowserver探测节点288个、Umich探测节点68个和Rapid7探测节点10个，主要分布在美国、荷兰、冰岛等地区，详细的地理位置分布如图4所示。

图4 探测组织活跃节点地理位置分布

按照探测组织节点活跃情况进行排序，表3为最活跃的10个节点信息，主要是Shodan和Shadowserver组织的节点，这十个节点的探测事件数达15180万起，占总事件的69.61%。

表4 探测组织活跃节点Top10

3.2 探测组织行为重点分析——Shodan组织

为详细了解探测组织的探测行为，本月对Shadowserver组织的探测行为进行了重点监测分析。

( 1 ) Shadowserver探测节点整体活动情况

监测发现Shadowserver组织活跃节点288个，探测事件6047万起，探测目标端口1405个，目标涉及境内2366万个IP地址，覆盖全国33个省级行政区。监测发现的最为活跃节点信息如表5所示。

表5 Shadowserver探测节点活跃度Top排序

( 2 ) Shadowserver探测节点时间行为分析

图5为Shadowserver活跃节点按天的活跃热度图。首先，从节点每天探测数据趋势可以看出，每个节点的活跃度相对稳定，基本保持在同一个数量级下;其次，不同节点的探测活跃度存在一定程度的差异，探测活跃高的节点日探测事件几十万起，而探测活跃低的节点日探测事件为几万起。同时，位于同网段的探测节点，探测活跃度也存在不同，如IP为74.82.47.38的节点，日探测事件远高于IP为74.82.47.59的节点。对比3月份关键信息基础设施网络安全监测月报中针对Shadowserver组织的行为分析可以看出，探测节点时间行为分析规律与前期分析结果基本保持一致。

图5 Shadowserver 节点日活跃热度图

( 3 ) Shadowserver 探测节点协议行为分析

图6为Shadowserver 节点按协议统计的探测行为热度图。从图中可以看出如下几点特征：第一，对于多数节点而言，针对同一协议的探测频率分布比较均匀，存在个别节点(如184.105.247.194)，探测频率比较高;第二，同一节点针对不同协议的探测频度不同;第三，不同节点的探测协议分布不同，如DNS、TFTP、NTP等协议，只有部分节点存在探测行为;第四，对比不同协议的被探测频率，整体来讲，针对传统IT类协议的探测频度占比较高，而对于熟知端口内工控物联网协议(如Modbus)的探测本次分析未发现。

图6 Shadowserver节点协议探测频度热度图

( 4 ) 特定协议探测行为分析

针对TFTP协议的探测行为进行重点分析发现，Shadowserver针对TFTP协议进行探测的节点共2个，分别为184.105.139.102和184.105.139.110，节点全部分布在美国，探测端口为TCP:69。

针对TFTP协议的探测特征进行重点分析发现，节点184.105.139.102和184.105.139.110探测特征相同，均通过向目标主机发送操作码为\x00\x01(表示Read Request)的请求，请求读取的文件名称为“a.pdf”，类型为octet(表示二进制模式)。探测特征如图7所示。

图7 TFTP协议探测格式示例

  4、恶意代码攻击  

根据CNCERT监测数据，自2021年6月1日至30日，共监测到物联网(IoT)设备攻击行为4亿2370万次，捕获IoT恶意样本2838个，发现IoT恶意程序传播IP地址31万5183个，其中位于境外的地址主要分布于印度(42.3%)、科索沃(6.5%)、巴西(3.5%)、俄罗斯(3.4%)等国家/地区。捕获的IoT恶意程序样本中，常用的文件名有Mozi、i、bin等。详情参见威胁情报月报。

  5、 重点行业物联网网络安全  

5.1 物联网行业安全概述

为了解重点行业物联网网络安全态势，本月筛选了电力、石油、车联网和轨道交通等行业的2396个资产(含物联网设备及物联网相关的web资产)进行监测。监测发现，本月遭受攻击的资产有1167个，主要分布在北京、广东、浙江、四川、上海等32个省份，涉及攻击事件23411起。其中，各行业被攻击资产数量及攻击事件分布如表6所示，被攻击资产的省份分布如图8所示。

表6 行业资产及攻击事件分布

图8 重点行业被攻击资产的省份分布

对上述网络攻击事件进行分析，境外攻击源涉及美国、韩国等在内的国家78个，攻击节点数总计3200个。其中，按照攻击事件源IP的国家分布，排名前5分别为美国(10002起)、德国(1208起)、南非(911起)、俄罗斯(847起)和印度(552起)。

对网络攻击事件的类型进行分析，本月面向行业资产的网络攻击中，攻击类型涵盖了远程代码执行攻击、命令执行攻击、SQL注入攻击、漏洞利用攻击、目录遍历攻击等。详细的攻击类型分布如图 9所示。

图9 物联网行业资产攻击类型分布

5.2 特定攻击类型分析

在针对重行业物联网资产的网络攻击事件中，本月重点分析了PHPCMS代码注入漏洞攻击(CVE-2018-19127)，涉及攻击事件292起。

漏洞背景：PHPCMS网站内容管理系统是国内主流CMS系统之一，同时也是一个开源的PHP开发框架。PHPCMS最早于2008年推出，最新版已出到v9.6.3，但由于稳定、灵活、开源的特性，时至今日，PHPCMS2008版本仍被许多网站所使用。2020年11月4日，阿里云安全首次捕获PHPCMS 2008版本的/type.php远程GetShell 0day利用攻击，攻击者可以利用该漏洞远程植入webshell，导致文件篡改、数据泄漏、服务器被远程控制等一系列严重问题。

漏洞细节：当攻击者向安装有PHPCMS2008的网站发送uri为“/type.php?template=tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss”的payload时，"@unlink(_FILE_);assert($_POST[1]);"这句恶意php指令将被写入网站的/cache_template/rss.tpl.php文件中，产生这种效果的原因在于PHPCMS2008源码中的/type.php文件的代码存在漏洞。通过利用该漏洞，攻击者在向路径可控的文件写入恶意脚本代码后，后续将能够向该文件发送webshell指令，在服务器上执行任意代码，因此该代码注入漏洞的影响较大。

本月攻击事件中PHPCMS代码注入漏洞攻击示例如图10所示。如图可以看出，攻击执行方式与漏洞背景分析一致，攻击者向目标站点发送uri为“/type.php?template=tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss”的请求尝试进行攻击。

图10 PHPCMS代码注入漏洞攻击示例

5.3 物联网资产数据流转情况

针对重点行业物联网资产的数据流转情况进行监测，本月共有2242个行业资产存在与境外节点的通信行为，通信频次为38736万次。通联境外国家Top10排名如图11所示，其中排名最高的是美国(通信16912万次，节点211万个)。各行业通联事件及资产数量分布如图12所示，其中通信频次最多的为电力行业，涉及1637个资产的29947万余次通信。

图11 境外通联国家事件Top10

图12 行业通联事件资产分布

5.4 重点行业物联网安全威胁情报

( 1 ) 攻击节点威胁情报

在针重点行业物联网资产的网络攻击中，本月发起攻击事件最多的境外IP Top10信息如表7所示，涉及攻击事件6863起，占攻击总事件的29.32%。

表7 境外攻击IP Top10

( 2 ) 数据访问威胁情报

在针对重点行业物联网资产的数据访问事件中，本月与境内行业资产访问频次最多的境外IP Top10信息如表8所示。

表8 数据访问IP Top10

对重点行业物联网安全态势进行评估，目前重点行业中的物联网资产仍然面临较多网络安全风险，频繁遭受攻击，各行业应提高防护意识，加强本行业的网络安全技术防护手段建设。

  6、总  结  

CNCERT通过宏观数据监测，在活跃设备、探测组织、重点行业攻击事件等方面发现多种物联网安全问题，然而需要指出的是，目前所发现的问题只是物联网网络安全的冰山一角，CNCERT将长期关注物联网网络安全问题，持续开展安全监测和定期通报工作，同时期望与各行业共同携手，提高行业物联网安全防护水平。

转载来源：关键基础设施安全应急响应中心