磊科路由器后门蜜罐捕获的事件分布情况

news2024/11/18 7:29:43

重点物联网

漏洞利用情况本节我们选取了两个漏洞进行分析。UPnP 相关的漏洞我们将在 4.4.3 进行分析,除去 UPnP 相关漏 洞外,被利用最多的是 Eir D1000
路由器的一个漏洞 [44](CVE-2016-10372),我们将对其进行分析。 另外磊科路由器后门漏洞在刚披露时,影响严重,我们也将对其进行分析。#### 路由器
漏洞利用情况3.4.1.1 简介
Eir是爱尔兰的一家公司,NVD中只记录了一个漏洞,漏洞编号为 CVE-2016-10372,针对 D1000 这款路由器 1,由于在软件实现中没有正确地限制 TR-064 协议,远程攻击者可以通过 7547 端口执行任
意命令。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XmNuq7ID-1672367666599)(http://public.host.github5.com/imgs/img/pdf1189.pdf.013.png)]
1 由于很多调制解调器也具备路由的功能,因此,在资产角度,我们并未对调制解调器和路由器进行区分,统一归为路由器一类。
3.4.1.2 Eir D1000 路由器漏洞利用情况分析
在本小节中,我们将借助绿盟威胁捕获系统捕获的数据来说明 Eir D1000 路由器相关的威胁态势。 下面我们将分别从攻击源、攻击事件、样本下载地址三个维度对蜜罐捕获的日志进行分析。
观察 4: Eir D1000 路由器的漏洞(CVE-2016-10372)利用情况为,23%的攻击源位于巴西,10 月攻击者变得活跃起来,样本下载地址的国家分布与攻击源的分布大致相同。
攻击源分析
对捕获日志中的源 IP 去重之后,发现共有约 900 个 IP 进行过漏洞利用。图 3.8 是 Eir D1000 路由 器漏洞利用的日志源 IP 的国家分布情况,从中可以看出,巴西最多,占比达到了 23%。
中国 英国 波兰
印度尼西亚 乌克兰
国家名称 土耳其 印度
俄罗斯 伊朗 巴西
IP数量
图 3.8 Eir D1000 路由器漏洞利用的日志源 IP 的国家分布情况
攻击事件分析
我们对 Eir D1000 路由器日志数据中的攻击事件进行了分析,如图 3.9 所示,这里我们将一天内一 个独立 IP 的日志看作一次事件,事件的数量我们将以月为单位进行呈现。从图中可以看出,从 10 月开 始,漏洞利用变得活跃起来。
数量(个)
月份
图 3.9 Eir D1000 路由器相关的事件分布情况
样本下载地址分析
更进一步,我们对样本下载地址进行了分析,经过去重,得到有效样本下载地址 860 个。图 3.10 是 Eir D1000 路由器相关漏洞利用的样本下载地址的国家分布情况。从图中可以看出巴西和伊朗占比最 大,与攻击源 IP 的分布大致相同。我们猜测攻击者从这些国家发动攻击,并利用失陷设备对恶意样本 进行进一步传播。
巴西 13%
其他
伊朗 28%
瑞典
2% 俄罗斯 9%
印度尼西亚
2% 摩尔多瓦
7% 土耳其
3% 乌克兰
4% 韩国
印度 7%
5% 美国 中国
图 3.10 Eir D1000 路由器相关漏洞利用的样本下载地址的国家分布情况

磊科路由器后门利用情况

  1. 简介
    磊科路由器后门是由趋势科技的安全研究人员 [45] 在 2014 年发现的,当时给出的暴露数量在 200 万台以上。在 5 年后的今天,我们的威胁捕获系统每天依旧可以捕获到对于该漏洞的利用。因此,我们 将在本节对其暴露情况和漏洞利用情况进行分析。
    磊科路由器的后门端口是 53413,对外提供 UDP服务,后门采用硬编码的密码,因此,当存在问 题的设备暴露在互联网上时,攻击者可以轻易进行登录并在该设备上执行任意代码。
    观察 5: 相比于 5 年前,磊科路由器所面临的后门利用风险已经大幅降低,当前具有后门的磊科路 由器暴露数量不足三千台,但依旧有攻击者在对其进行漏洞利用。
  2. 具有后门的磊科路由器暴露情况分析 为了了解当前全球还有多少易受感染的设备,我们对暴露在互联网上的具有后门的磊科路由器进行
    了测绘。
    如无特殊说明,本节所提到的数据为全球单轮次测绘数据(2019 年 8 月)。 具有后门的磊科路由器暴露数量最多的国家是中国,数量接近 3000 台,其他国家暴露数量相对较少。
    测绘数据显示,具有后门的磊科路由器的暴露数量相比 2014 年该后门被发现时的设备暴露数量, 已经少了很多(二百万→三千)。图 3.11 是具有后门的磊科路由器的国家分布情况,从中可以看出, 虽然中国的暴露数量占比达到了 89%,但是从实际暴露数量来看,也不算多。中国暴露数量相对较多的 原因我们猜测是磊科为中国厂商,市场以国内为主。磊科路由器扫描项目 [46] 给出数据为 1028 台(2019 年 10 月 18 日扫描),猜测暴露数量的差异可能与扫描 IP的地理位置有关,具体差异原因我们并未深究。
    同时,我们也对其进行了登录验证,发现所有的路由器均可登录成功。至于登录成功之后是否能够 进行命令执行,我们并未进行验证。
    暴露数量(台)1000
    中国 韩国 巴西 印度 美国
    乌克兰 俄罗斯
    巴基斯坦罗马尼亚 委内瑞拉 保加利亚 白俄罗斯
    塔吉克斯坦
    摩尔多瓦共和国
    国家名称
    图 3.11 具有后门的磊科路由器的国家分布情况
    3.4.2.3 磊科路由器后门利用情况分析
    在本小节中,我们将借助绿盟威胁捕获系统捕获的数据来说明当前磊科路由器后门相关的威胁态势。 数据来源于从 2019.3.21 至 2019.10.30 的日志数据。下面我们将分别从攻击源、攻击事件、样本三个 维度对蜜罐捕获的日志进行分析。
    攻击源分析
    对蜜罐日志中的源 IP 去重之后,发现共有 348 个独立的 IP 连接过蜜罐,其中 229 个 IP 进行过后 门利用。图 3.12 是磊科路由器后门蜜罐的日志源 IP 的国家分布情况,从进行过后门利用的 IP 的国家 分布情况来看,美国最多,占比达到了 51%。
    数量(个)
    美国 荷兰 新加坡 加拿大 德国 法国 俄罗斯 英国 中国 印度
    国家名称
    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j1glmtJl-1672367666603)(http://public.host.github5.com/imgs/img/pdf1191.pdf.021.png)]所有出现过的IP 包含命令执行的IP
    图 3.12 磊科路由器后门蜜罐的日志源 IP 的国家分布情况
    攻击事件分析
    我们对磊科路由器后门蜜罐日志数据中的攻击事件进行了分析,如图 3.13 所示,这里我们将一天 内一个独立 IP 的日志看作一次事件,事件的数量我们将以天为单位进行呈现。从图中可以看出,除了 最初部署的一段时间事件数量相对较少外,之后的每日事件数量、后门利用事件数量并没有出现过太大 的波动。
    15 事件数量
    0 2019/3/21 2019/4/21 2019/5/21 2019/6/21 2019/7/21 2019/8/21 2019/9/21 2019/10/21 日期
    总事件数量 后门利用事件数量
    图 3.13 磊科路由器后门蜜罐捕获的事件分布情况
    样本分析
    更进一步,我们对样本下载地址和 C&C进行了分析,经过去重,得到有效样本下载地址 31 个, C&C 29个。通过对样本下载地址和 C&C进行关联分析,发现绝对多数的样本下载地址和 C&C是相同的。 因此,下面仅对样本下载地址的国家分布进行分析。从图 3.14 中可以看出美国和荷兰的占比最大,这
    也与进行过后门利用的 IP 的国家分布保持一致。
    说明:样本数据为 2019 年 9 月和 10 月两个月的数据。
    加拿大 瑞士 意大利 3% 3%
    3% 立陶宛
    英国 美国 6% 36%
    罗马尼亚
    法国 荷兰 10% 29%
    图 3.14 磊科路由器后门蜜罐捕获的样本下载地址的国家分布情况
    通过对样本下载的脚本进行分析,我们发现其一般会支持多种架构,在我们给出的示例(图 3.15 )中, 该攻击团伙的样本支持了 12 种架构,包括 MIPS、ARM、x86、PowerPC 等,而且样本下载脚本也不 会区分被攻破的设备到底是什么架构,而是均进行下载,并尝试运行。
    图 3.15 磊科路由器后门蜜罐捕获的样本下载脚本示例
    3.5 小结
    本章分析了漏洞利用与物联网威胁的关系,首先通过分析 NVD数据库中历年漏洞总量及物联网漏 洞数量的变化趋势,发现与利用物联网设备日益泛滥的攻击趋势不同,物联网漏洞的数量没有明显的上 升趋势,其在漏洞总量的占比在 10%-15%之间波动,也没有明显的上升趋势。我们推测与漏洞本身相比, 攻击者更关注有价值的漏洞利用,于是分析了 Exploit-DB中利用的变化趋势,发现物联网漏洞利用无论 是数量还是占比,总体上均呈上升趋势。结合绿盟威胁捕获系统捕获的针对物联网设备的攻击,我们发 现大部分攻击手法均可在 Exploit-DB上找到相关利用,我们推测,互联网中公开的利用,为攻击者提供 了丰富的武器库,一定程度上刺激了攻击者将僵尸主机的目标转向物联网设备。
    在绿盟威胁捕获系统中,我们共捕获到 30 余种对于物联网漏洞的利用行为,其中以远程命令执行 类漏洞居多。这也说明了,从全网物联网威胁的角度来讲,虽然每年都会有几百到几千不等的物联网漏 洞被公开出来,但是真正能够造成大范围影响的漏洞并不多。另外我们发现,已经捕获的漏洞利用所对 应目标设备以路由器和频监控设备为主,这也与互联网上暴露的物联网设备以路由器和频监控设备 为主相一致,说明攻击者偏向于对暴露数量较多的设备进行攻击,从而扩大其影响范围。

参考资料

绿盟 2019物联网安全年报

友情链接

GB-T 22240-2020 网络安全等级保护定级指南

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/128591.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Apollo浅解2

目录 用户、角色、权限 三者间的关系 权限Permission 新增一个应用时 新增一个命名空间时 角色Role 新增一个应用时 新增一个命名空间时 第三方应用 用户、角色、权限 三者间的关系 apollo也采用经典的三层权限设计,用户关联角色,角色关联权限…

DOM基础

一、DOM的概念 文档对象模型(DOM,Document Object Module)是W3C组织推荐的处理可扩展标志语言的标准编程接口,它允许程序和脚本动态的访问和更新文档的内容、结构和样式。 HTML的DOM操作是将文档里所有的内容(包括标签、标签里的内容、标签属性甚至注释等)都当做一…

51单片机入门 第一篇:LED灯

文章目录前言一、LED原理图二、创建keil5工程三、代码的编写四、程序的烧录总结前言 本篇文章讲正式带大家开始学习51单片机,希望这些文章能够很好的帮助到大家学习51单片机。 一、LED原理图 一般的51单片机上都带有8个LED灯,这里8个LED灯分别接到了板…

JS逆向——工信部ICP、IP、域名信息备案管理平台

问题:(1)数据列表接口token参数验证(2)authKey参数加密生成 1、页面中请求接口,观察请求头可发现,校验参数token为加密的字符串,根据该字符串并不能直观得到所用的加密方式是什么。 …

数据库大小写不敏感后,值也不敏感了

现象:我有一个账号admin,结果莫名多了一个ADMIN、Admin、AdMin等一些列账号;细品你的密码就算密文签名,是不是在你不知情的情况下也有很多。 原因:数据库安装的时候设置的大小写不敏感导致 解决:建议第三…

Spark 的学习笔记

Spark 的学习笔记 文章目录Spark 的学习笔记1. 概述Spark 优势及特点优秀的数据模型和丰富计算抽象Spark 生态圈Spark 特点Spark 与 HadoopSpark与MRSpark Streaming与StormSpark SQL与HiveSpark 运行模式2. 快速入门使用 Spark Shell 进行交互式分析基础Dataset 上的更多操作缓…

【机器学习】LDA算法原理

问题 线性判别分析(Linear Discriminant Analysis,LDA)是机器学习中常用的降维方法之一,本文旨在介绍LDA算法的思想,其数学推导过程可能会稍作简化。 LDA的思想 ● LDA是一种线性的、有监督的降维方法,即…

销售流程标准化重要吗?

各行各业都存在销售,但并不是每个销售都可以成为优秀的销售,优秀的销售往往有一套完整的销售流程,为了保证销售新人销售工作的顺利进行,销售流程标准化很有必要。 前言 各行各业都存在销售,但并不是每个销售都可以成为…

前端面试题之计算机网络篇--WebSocket基本使用

WebSocket 普通的包的请求和响应过程 1. 对 WebSocket 的理解 WebSocket是HTML5提供的一种浏览器与服务器进行全双工通讯的网络技术,属于应用层协议。它基于TCP传输协议,并复用HTTP的握手通道。浏览器和服务器只需要完成一次握手,两者之间…

HDLBits练习汇总-13-时序逻辑设计测试--状态机(一)

简单摩尔状态机1(Fsm1) 是一个摩尔状态机,具有两种状态,一种输入,一种输出。实现此状态机。请注意,重置状态为 B。使用异步复位。 模块声明 module top_module(input clk,input areset, // Asynchrono…

基础数学复习(3)——曲线拟合

文章目录基础概念曲线拟合的流程极小化损失函数线性最小二乘超定方程组的最小二乘解(必考)例题(必考)使用法方程计算拟合方程使用最小二乘法求解总结基础概念 曲线拟合的流程 选取函数类选取参数的准则:极小化损失函…

实习-------数据库基础

检索数据 1、如果使用DISTINCT关键字,它必须直接放在列名的前面。不能部分使用DISTINCT,DISTINCT关键字应用于所有列而不仅是前置它的列 例如:SELECT DISTINCT vend_id告诉MySQL只返回不同(唯一)的vend_id行 2、带一…

(六)devops持续集成开发——jenkins的全局工具配置之node环境安装及配置

前言 本节内容主要是关于jenkins集成node组件,从而实现前端node项目的流水线CICD发布功能。我们需要先安装好前端组件node,并在jenkins中配置好node组件,这样就可以流水线发布一个前端工程了。 正文 安装node组件①上传node安装包 ②解压node安装包 t…

用纯python脚本玩转UU加速器

1. 前言 之前几期内容,我们出过纯py形式的Android自动化脚本。同学们一直让再出一下纯py形式的Windows脚本,今天我们以UU加速器为例,给大家出一个简单的学习demo。 2. UU加速器的自动化demo 今天的练习demo也非常简单,大致内容…

张勇用最严厉的内部信,敲打阿里云,也在提振阿里士气

“「客户第一」的价值观,从来都不是高高挂在公司墙上的标语,而是支撑我们每一天获得成长的基石”。这应该是阿里巴巴董事局主席兼CEO张勇,自2015年来最严厉的一封内部信。信件里,张勇一改往日温情形象,措辞严厉的批评了…

pybind11 | 绑定CGAL几何算法(numpy数据交换)

文章目录一 前言二 numpy数据交换2.1 pybind11对numpy的支持2.2 Numpy VF(py::array_t)与CGAL mesh(Surface Mesh)之间的转换三 绑定CGAL算法示例3.1 示例函数3.2 绑定部分代码3.3 示例完整代码四 编译生成和测试4.1 编译生成pyd文件4.2 Python调用测试五 总结参考和拓展一 前言…

day04 IDEA数组

第一部分 : IDEA开发工具 参见 :IEDA的安装请参考文件夹PPT中的 04_IDEA.ppt 1.数组 1.1 数组介绍 ​ 数组就是存储数据长度固定的容器,存储多个数据的数据类型要一致。 1.2 数组的定义格式 1.2.1 第一种格式 ​ 数据类型[] 数组名 ​ 示例&…

【Linux】进程创建|进程终止|进程等待|进程程序替换

索引1.进程创建fork函数初识😊我们先来看这样的一个程序:写时拷贝fork返回值的三个问题2.进程终止进程退出场景进程常见退出方法进程退出码:3.进程等待进程等待的方法wait方法waitpid方法获取子进程status进程的阻塞等待方式:进程的非阻塞等待…

vue实现导入表格数据【纯前端实现】

一、文章引导 #mermaid-svg-3VJi5rNvrLDOy2MT {font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-3VJi5rNvrLDOy2MT .error-icon{fill:#552222;}#mermaid-svg-3VJi5rNvrLDOy2MT .error-text{fill:#552222;stroke:#55222…

WSL Ubuntu SSH

WSL中的IP wsl中的ubuntu的ip是动态分配的,每次开机都不一样,而且动态分配的ip和windows系统中的ip不在同一网段,但是我发现在windows中能ping通wsl中ubuntu的ip,这说明子系统与虚拟机不同,在查看ubuntu系统ip时&…