1 我国 联网智能设备安全 情况 报告 (2018 年第一季度 ) 国家计算机网络应急技术处理协调中心 2018 年 4 月 2 2018 年 第 一季度 ， CNCERT 继续 对 联网智能设备安全 情况开展 跟踪 监测 和数据 分析 ， 发现 联网 智能 设备 （以下简称“智能设备” 或“ IOT 设备” ） 在 安全 漏洞、恶意代码 攻击 活动 等方面 主要表现出如下特点 ： 1、在 安全 漏洞方面，智能设备漏洞数量继续大幅增加。国家信息安全漏洞共享平台（ CNVD） 2018 年第一季度公开收录智能设备通用型漏洞 644 个，较去年同期增长 76%。按漏洞类型统计，权限绕过、信息泄露、命令执行漏洞数量位列前三，分别占公开收录漏洞总数的 20%、 17%、 16%。手机设备、路由器、网络摄像头、智能监控平台、防火墙等类型设备漏洞数量较 多，是漏洞 利用 的重要目标。 2、在恶意代码攻击活动方面，境外控制服务器控制 了 我国境内大量智能设备 ，每日活跃受控设备 IP 地址和控制服务器 IP 地址的 数量较 2017 年下半年 有所上升 。 CNCERT 抽样监测发现 2018年第一季度我国境内感染恶意代码的智能设备 IP地址数量约 52.7 万， 位于 浙江、河南、山东、江苏、河北 的IP 地址 占比较大 。控制我国智能设备的境外控制服务器 IP 地址数量约 1.08 万个， 位于 美国、俄罗斯、日本 的 IP 地址占比较大 。受控设备规模在万以上的智能设备僵尸网络有 13 个，受控设备规模在 5 万以上的僵尸网络有 3 个。 每日活跃的受控智能设备 IP 地址平均数量约 2.8 万个、控制服务器 IP 地址平均数量 288 个，分别较 2017 年 下半年 有所上升。 3 一、智能设备漏洞 收录 情况 智能设备存在的软硬件漏洞可能导致设备数据和用户信息泄露、设备瘫痪、感染 木马僵尸网络恶意 代码 、被用作跳板攻击内网主机 或 其他信息基础设施等安全风险。 2018 年第一季度， CNVD 持续对智能设备（ IOT 设备）漏洞开展跟踪、收录和通报处臵。 （一） 通用型漏洞收录情况 通用型漏洞一般是指对某类软硬件产品都会构成安全威胁的漏洞。 2018年第一季度 CNVD收录通用型 IOT设备漏洞 644个，与去年同期的 366 个相比增长 76%。按收录漏洞所涉及厂商、漏洞的类型、影响的设备类型统计如下： 漏洞涉及厂商包括谷歌、华为、思科、普联、施耐德等厂商。其中，收录谷歌 IOT 设备漏洞 164 条，占全 季度 IOT 设备漏洞的 25%；华为位列第二，共收录 82 条；思科和普联分列第三和第四，如图所示。 4 图 1 IOT 设备漏洞数量 TOP 厂商排名 漏洞类型包括权限绕过、信息泄露、命令执行、跨站、拒绝服务、缓冲区溢出、 SQL 注入、文件上传、设计缺陷等漏洞。其中，权限绕过、信息泄露、命令执行漏洞数量位列前三，分别占公开收录漏洞总数的 20%、 17%、 16%，如图所示。 图 2 按漏洞类型 TOP 分布 漏洞影响的设备类型包括手机设备、路由器、网络摄像头、1648231 28 25 23 16 1010020406080100120140160180IOT设备漏洞数量 TOP厂商排名权限绕过20%信息泄露17%命令执行16%跨站11%拒绝服务10%缓冲区溢出7%SQL注入2% 其他17%按漏洞类型 TOP分布5 智能监控平台、防火墙、网关设备、交换机、会议系统等。其中，手机设备、路由器、网络摄像头的数量位列前三，分别占公开收录漏洞总数的 28%、 18%、 17%，如图所示。 图 3 漏洞（通用）按设备类型 TOP 分布 （二） 事件型漏洞收录情况 事件型漏洞一般是指对一个具体应用构成安全威胁的漏洞 。 2018 年第一季度 CNVD 收录 IOT 设备事件型漏洞 44 个 ，影响的设备包括智能监控平台、网络摄像头、 GPS 设备、路由器、网关设备、防火墙、会议系统、一 卡通、打印机、交换机等。其中，智能监控平台、网络摄像头、会议系统漏洞数量位列前三，分别占公开收录漏洞总数的 27%， 18%， 15%，如图所示。 手机设备28%路由器18%网络摄像头17%智能监控平台12%防火墙6%网关设备6%交换机5%会议系统5%其他3%漏洞（通用）按设备类型 TOP分布6 图 4 漏洞（ 事件型 ）按设备类型 TOP 分布 二 、 智能设备恶意代码 攻击 活动情况 （一）恶意代码活动总体监测情况 2018年第一季度， CNCERT继续 对智能设备 相关 的 Gafgyt、MrBlack、 Tsunami、 Mirai、 Reaper、 Ddostf、 Satori、 TheMoon等 流行 恶意代码 的 网络 攻击活动开展 抽样监测， 详细情况如下。 1、 恶意代码控制服务器 数量及 分布 情况 2018年 第一季度 CNCERT抽样 监测发现 智能设备 恶意代码控制服务器 IP 地址 累计 数量约 1.23 万个，位于境外 的控制服务器 IP 地址约占 88.1%， 该比例较 去年有所上升 ， 其中位于美国（ 3696 个 ）、俄罗斯（ 740 个 ）和日本（ 725 个 ）的 IP 地址位列前三 ，详细分布如图 5 所示 。 位于 我国境内 的 控制服务智能监控平台48%网络摄像头18%GPS设备2% 路由器2%网关设备2%防火墙7%会议系统12%一卡通5%打印机2%交换机 2%漏洞（事件）按设备类型 TOP分布7 器 IP 地址数量为 1467 个，排名前 三 的 省市 依次是 河南 273个、 北京 156 个 、广东 130 个 。 图 5 2018 年第一季度 IOT 恶意代码控制服务器 IP 地址分布 2、 受控设备 数量及 分布 情况 2018 年第一季度 ， CNCERT 抽样 监测发现的 受控智能设备IP 地址 累计数量为 159.5 万个 ,位于 我国境内 的 受控 IP 数量为 52.7 万 ,占比约 33.1%， 其中 受控 IP 地址数量 在 2 万以上的 地区 依次是 浙江、河南、山东、江苏、河北、辽宁、广东、重庆 , 详细分布 如图 6 所示 。 8 图 6 2018 年第一季度 IOT 恶意代码受控设备 IP 地址分布 3、木马僵尸网络规模统计分析 CNCERT 对智能设备木马僵尸网络 规模进行 分析， 2018 年第一季度 智能设备 木马僵尸网络控制规模（ 单个 控制服务器所控制的受控设备 IP 地址的累计数量）在千以上的僵尸网络有 143 个 ， 在万以上的僵尸网络有 13 个，在 5 万以上的僵尸网络有 3 个 。 规模较大的僵尸网络 控制端主要分布在荷兰、西班牙、俄罗斯、 美国、法国、 加拿大、意大利、 中国大陆 等国家 或 地区 ， 详细情况见表 1。 9 表 1 2018 年第一季度 智能设备木马僵尸网络控制规模统计情况 木马僵尸网络 控制 规模 木马僵尸网络个数（按控制端IP 地址统计） 木马僵尸网络控制端 IP 地址 地理位置 分布 5 万以上 3 荷兰 、西班牙 和 中国 大陆各 1 个 1 万至 5 万 10 俄罗斯 3 个、中国大陆 2 个，罗马尼亚、意大利、加拿大、荷兰和瑞典各 1 个 5 千至 1 万 13 法国 4 个、加拿大 3 个、俄罗斯 2 个，卢森堡、荷兰、泰国和南非各 1 个 1 千至 5 千 117 美国 40 个、荷兰 15 个、法国 13 个、加拿大 11 个、俄罗斯 10 个、意大利 8 个、英国 3 个、欧盟 3 个、罗马尼亚 2 个、新加坡 2 个、中国 2 个 ， 摩尔多瓦、拉脱维亚、保加利亚、西班牙、乌克兰、韩国、波兰、捷克 各 1 个 100 至 1000 297 美国 129 个、意大利 39 个、荷兰 21 个、加拿大 19个、法国 18 个、俄罗斯 16 个、德国 9 个、罗马尼亚7 个、英国 6 个、印度 5 个、西班牙 4 个、新加坡 4个、欧盟 4 个、中国 大陆 4 个、保加利亚 3 个、瑞士2 个，巴布亚新几内亚、澳大利亚、拉脱维亚、葡萄牙、立陶宛、孟加拉、乌克兰各 1 个 4、恶意代码攻击活动变化趋势 2018 年第一季度 ， CNCERT 抽样监测发现每日活跃 的 受 控智能设备 IP 地址平均数量 约 2.8 万个 、 控制服务器 IP 地址平均数量 288 个 ， 分别 较 2017 年下半年有所上升 。 恶意代码攻击活动 处于持续活跃态势， 1 月 10 日至 1 月 1日、 1 月 22日至 1 月 24 日、 2 月 8 日至 2 月 15 日 恶意代码 攻击 活动 更加频繁，其中 1 月 10 日 的单日 活跃受控 IP 地址数量达到峰值35731 个、 2 月 14 日的 单 日 活跃控制服务器 IP 地址数量达到峰值 550 个，如图 7 所示。 10 图 7 2018 年第一季度 IOT 恶意代码攻击活动变化趋势 （二）典型恶意代码活动的监测情况 以下是 在境内感染量较大 的 Gafgyt、 Mirai 等典型恶意代码的网络攻击监测情况。 1、 Gafgyt 恶意代码监测情况 Gafgyt 恶意代码的通用命名为 Backdoor.Linux.Gafgyt。2018 年第一季度 ， CNCERT 对 Gafgyt 僵尸网络攻击活动开展抽样监测，共发现活跃控制服务器 IP 地址 990 个，疑似被控 IP地址 27.32 万个。 这些控制服务器向疑似被控 IP 地址发送DDoS 攻击指令，分别对境内外约 3.8 万个 IP 地址实施 UDP Flood（占比 89.7%） 、 TCP SYN Flood（占比 10.2%） 等类型分布式拒绝服务攻击。