我的位置 首页  >  新闻动态  >  国内新闻

物联网安全威胁情报2019No.1

来源:科技成果转化中心时间:2019-05-23
      

根据CNCERT监测数据,自2019年4月16日至2019年5月4日,共监测到2161个物联网IoT恶意样本;发现样本传播服务器IP地址共463个,受感染的IoT设备为36769个。

恶意样本传播IP主要位于中国(25.3%)、美国(23.8%)、柬埔寨(13.4%)、荷兰(9.3%)和俄罗斯(6.0%)等,地域分布如图1所示。

 

图1:恶意样本传播服务器IP国家(地区)分布图

境内受感染的IoT设备中,浙江省占比最高,为21.1%,其次是山东省(7.4%)、山东(7.4%)、广东(6.9%)、江苏(6.9%)等,如图2所示。根据被感染设备的探测结果分析,设备类型主要为家庭网关、智能路由器、智能摄像头等。

 

图2:境内受感染IoT设备IP地址省市分布图

对2161个监测到的恶意样本进行分析,发现主要是Gafgyt、Mirai等家族的变种,样本的家族分布图如图3所示。

 

图3:恶意样本家族分布

附件、IOC信息

1、Gafgyt家族

a.传播地址168个(仅列出前10个):

  • 206.189.187.4美国

  • 178.128.178.70希腊

  • 177.54.156.159巴西

  • 68.183.68.103美国

  • 192.236.209.10美国

  • 205.185.120.241美国

  • 46.29.166.40俄罗斯

  • 209.141.55.254美国

  • 159.65.201.107美国

  • 107.174.13.128美国

b.恶意样本HASH值(仅列出前10个):

  • d188058cfc3aa6afe2cb895e63e603ca8ff538533647ead75c094d9e1ec03552

  • 50dd32ef1bf45d3b0ccae583b32abf1c576381cb7ae315ebe816951c61c00fbe

  • c71ca723ee561c0a47d32817c4785f65df5488965714a97ba4d868dfa3570fdc

  • bbf82ec14c2acf60182427fafac81abd1fe25629bb83be0a70e5cd6613bfc97d

  • d9d285a8f4214058eaf2a3139dcc53e749f9461990da89b29f6ab7a024517dda

  • 3eb465c1f2fe11efdc12582c09ab7256dfb4e56f5aa8863c12d86cba1d3743a7

  • b88d03e6bb613aed08990886bb7597fa204dd4852010e9a22176da4160d7f28e

  • bdf69f327c4a8dc4367dceffbafca32b1df32ba605a20e55e00fc222310a426a

  • 0c8492d2910fbe27b72fdaa30caf758d78713513fefa4bc781b7b732476a2c69

  • 24575f5d37d347a28ac313bcf7c113d3ebc3a1095c5b96dc397f058f65933e85

2、Mirai家族

a.传播地址76个(仅列出前10个):

  • 65.181.124.42美国

  • 157.230.4.62美国

  • 52.234.231.142美国

  • 147.135.121.116美国

  • 178.128.110.206希腊

  • 185.172.110.231荷兰

  • 157.230.130.173美国

  • 104.248.31.55美国

  • 185.244.25.188荷兰

  • 198.199.72.181美国

b.恶意样本HASH值(仅列出前10个):

  • 61dfd6c0eed94b9d426ac172fd9b6bc4784966cec5591e64450ef6cbfaee718a

  • b9b0ae8c9072d4e7ac8f821303a89eb425ae6815f0a228158423df64c727ac70

  • 0fe174770c24ddcdd2abdf63a22aa310d0c9970c0f9e29adfddcff4a43a82555

  • dc5c6e167b333463496b0f095165e3305e5c719b02a60e319ea3d94defa8a02e

  • f1c326c64a4061d2b8579a0b2fa28b6ff2e9e8f3724a394eb8581714bfbabba1

  • 6aa54aa8072026e274187a965b715189b6dd4531b4354d648aaeb832e41e7ad4

  • 4cef99c2584853d2d328c8212df63159331445585874a97c7aa3a81a27f41403

  • e2b403c7d474837d7c78a2ba1bba17aa570dfc1e69c2df1a61f79afccaa4bc44

  • 0ed1fac4a583f267bda562071093f6bb8150ddf742a15917b6dd42c8e95454ca

  • 2aa7ba495f3168377aa6e870eea7b32f80c25f97776dd399edf4a94fc5032e63

3、Hajime家族

a.传播地址215个(仅列出前10个):

  • 222.95.78.10中国

  • 114.238.113.249中国

  • 203.189.150.69柬埔寨

  • 114.220.80.151中国

  • 114.239.129.181中国

  • 182.139.79.73中国

  • 190.184.221.122阿根廷

  • 39.73.235.222中国

  • 221.3.88.199中国

  • 61.177.47.86中国

b.恶意样本HASH值:

  • 020f1fa6072108c79ed6f553f4f8b08e157bf17f9c260a76353300230fed09f0

4、Tsunami家族

a.传播地址2个:

  • 71.127.148.69美国

  • 89.46.223.199罗马尼亚

b.恶意样本HASH值:

  • 5b9ebd8daf721ac382de7aadcccf9dc4c9d42e23262b47c06bc255876dc64e9a

  • 3a558e4e5ba6a5fb9a5d9969f5f72f3a9e58854770cdb78c8d81f8959f55157e

  • 20a1f22d45e90904a8f785cf5f1216eb0927bf043289d53933c99bfe5aa54a8f

  • b8e0d51884523ed4a8e79246faafff4a8c2f4070bec0cd9e526be36d9b0d4c0d

  • 8f344573af7935dc6f4b31fa26840d509c8884f1e9930e652c6dbefe2494743b

 

更多IOC信息请联系:罗冰 010-82992195





       (科技成果转化中心供稿)