根据CNCERT监测数据,自2019年4月16日至2019年5月4日,共监测到2161个物联网IoT恶意样本;发现样本传播服务器IP地址共463个,受感染的IoT设备为36769个。
恶意样本传播IP主要位于中国(25.3%)、美国(23.8%)、柬埔寨(13.4%)、荷兰(9.3%)和俄罗斯(6.0%)等,地域分布如图1所示。
图1:恶意样本传播服务器IP国家(地区)分布图
境内受感染的IoT设备中,浙江省占比最高,为21.1%,其次是山东省(7.4%)、山东(7.4%)、广东(6.9%)、江苏(6.9%)等,如图2所示。根据被感染设备的探测结果分析,设备类型主要为家庭网关、智能路由器、智能摄像头等。
图2:境内受感染IoT设备IP地址省市分布图
对2161个监测到的恶意样本进行分析,发现主要是Gafgyt、Mirai等家族的变种,样本的家族分布图如图3所示。
图3:恶意样本家族分布
a.传播地址168个(仅列出前10个):
206.189.187.4美国
178.128.178.70希腊
177.54.156.159巴西
68.183.68.103美国
192.236.209.10美国
205.185.120.241美国
46.29.166.40俄罗斯
209.141.55.254美国
159.65.201.107美国
107.174.13.128美国
b.恶意样本HASH值(仅列出前10个):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、Mirai家族
a.传播地址76个(仅列出前10个):
65.181.124.42美国
157.230.4.62美国
52.234.231.142美国
147.135.121.116美国
178.128.110.206希腊
185.172.110.231荷兰
157.230.130.173美国
104.248.31.55美国
185.244.25.188荷兰
198.199.72.181美国
b.恶意样本HASH值(仅列出前10个):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、Hajime家族
a.传播地址215个(仅列出前10个):
222.95.78.10中国
114.238.113.249中国
203.189.150.69柬埔寨
114.220.80.151中国
114.239.129.181中国
182.139.79.73中国
190.184.221.122阿根廷
39.73.235.222中国
221.3.88.199中国
61.177.47.86中国
b.恶意样本HASH值:
020f1fa6072108c79ed6f553f4f8b08e157bf17f9c260a76353300230fed09f0
4、Tsunami家族
a.传播地址2个:
71.127.148.69美国
89.46.223.199罗马尼亚
b.恶意样本HASH值:
5b9ebd8daf721ac382de7aadcccf9dc4c9d42e23262b47c06bc255876dc64e9a
3a558e4e5ba6a5fb9a5d9969f5f72f3a9e58854770cdb78c8d81f8959f55157e
20a1f22d45e90904a8f785cf5f1216eb0927bf043289d53933c99bfe5aa54a8f
b8e0d51884523ed4a8e79246faafff4a8c2f4070bec0cd9e526be36d9b0d4c0d
8f344573af7935dc6f4b31fa26840d509c8884f1e9930e652c6dbefe2494743b
更多IOC信息请联系:罗冰 010-82992195
