作者:知道創宇404實驗室
時間:2019年3月21日
ZoomEye 專題:https://www.zoomeye.org/topic?id=ZoomEye-series-report
PDF報告:下載
English Version: http://www.jmbmsq.com/871/
一.前言
委內瑞拉,是一個位于南美洲北部的熱帶國家,也是南美洲最重要的產油國。根據《2012年度世界能源統計數據報告》,委內瑞拉已探明石油儲量為2965億桶,占全球18%,石油出口也成為了該國主要的經濟支柱。
由于該國政策、國際形勢等多方面因素的影響,近些年該國石油產量逐年下滑,國內局勢動蕩。2019年3月7日晚,委內瑞拉發生了大面積停電事件,全國大范圍陷入黑暗。
本文將從網絡空間測繪的視角對該國的網絡建設情況和停電事件進行一定的分析判斷。
二.委內瑞拉網絡建設情況
截止2019年3月15日,ZoomEye 一共收錄了委內瑞拉 1637553 個 IP 的 3067202 條 banner 信息。
2.1 設備類型統計
已識別的設備組件約占該國總設備組件的三分之二,其中 ZTE ZXV10 W300 路由器的web管理界面約占總設備組件數的十分之一。
值得一提的是,一共識別出 306444 臺 ZTE ZXV10 W300 路由器,299250 個 Dropbear sshd服務,即是 ZTE ZXV10 W300路由器又存在 Dropbear sshd服務的IP數量高達 244111 個。依次可以做出判斷:該路由器可能被廣泛用作家庭路由器。這也就意味著,一旦該路由器存在漏洞被攻擊,可能會導致委內瑞拉大范圍的家庭網絡癱瘓。
2.2 開放端口統計
端口分布情況如下:
根據 1.1 已知的結論,該國已經識別出的banner主要是ZTE ZXV10 W300 路由器。80、443、22、7547端口占比較高也和該路由器占比較高有關。
值得注意的是,5357端口出現在第十位,其中有 62139 個 banner 被識別為 Microsoft-HTTPAPI/2.0。經過判斷,這些 IP 都屬于 Movilnet公司。根據其官網介紹, Movilnet 是委內瑞拉移動通信的領先公司,屬于委內瑞拉的國營電話和互聯網服務提供商 CANTV 的子公司。
2.3 ISP歸屬統計
根據 IP 所屬ISP(互聯網服務供應商)統計結果如下:
委內瑞拉的國營電話和互聯網服務提供商 CANTV 占據了絕對的優勢,百分之85的IP都屬于該公司。
注: CANTV 是委內瑞拉的國營電話和互聯網服務提供商,是委內瑞拉最大的電信提供商。1991年私有化后,2007年重新國有化。細觀該 ISP 下的路由器,也大多是 ZTE ZXV10 W300。 還有少量其它品牌的路由器,例如: D-Link、 TP-Link 等。部分路由器可能存在漏洞(例如D-Link DIR系列,該系列路由器歷史上存在大量安全漏洞。而在該ISP下,存在三個D-Link DIR系列路由器 )
排名第二的 Corporación Telemic C.A. 為委內瑞拉電視廣播公司和電信提供商。相比于 CANTV 中存在的組件而言,該 ISP 下并未存在大量民用路由器,取而代之的是存在 11219 臺被識別為 Microsoft HTTPAPI httpd 的組件。經過驗證,這部分 IP 背后對應著真實的 Windows 系統。
2.4 HTTPS證書統計
ZoomEye網絡空間搜索引擎一共識別出 252144 個 HTTPS 證書信息,去除路由器的證書、自簽名證書 等證書信息后,一共提取出 645 個域名信息,其中域名類型如下:
政府和教育類網站占據了總網站數量的四分之一,郵件類網站占比為 12%,其它類型網站僅占比 62%。從 HTTPS 證書的角度來看,該國互聯網發展較為落后,政府/教育類網站仍然是該國互聯網發展的主要力量。
2.5 安全響應能力
2017年永恒之藍漏洞泄露后,能否快速修復相關漏洞也從側面反映出安全響應能力。
可以看到,委內瑞拉在 2017年4月24日,漏洞剛爆發時,僅僅只有3個主機被植入 Doublepulsar 后門。這也從側面反映出該國并非網絡戰爭的首要目標。但是在漏洞已經爆發了三個星期后,該國存在漏洞的主機數量仍然有 132 臺,僅僅比最開始的 179 臺減少了 47 臺,這也從側面反映出該國安全應急響應能力十分欠缺。
2.6 石油銷售渠道
在對該國背景的了解中,可以知道:該國主要依賴于石油出口。但在對已有的 banner進行搜索之后,我們僅僅發現了一家石油生產相關的公司(http://200.*.*.*)和一個出口各類物品(包括石油)的公司(http://201.*.*.*)。
從側面也反映出該國石油出口有固定的經銷渠道,印證了石油開采被國有企業把控的事實。
2.7 工控端口分布情況
根據 ZoomEye 網絡空間搜索引擎的數據,委內瑞拉少量工控設備暴露在公網。已知的工控設備或工控協議有(近一年內活躍過的):
| 工控設備/協議 | 數量 |
| Siemens S7 PLC Device | 1 |
| Modbus | 6 |
| BACnet | 1 |
| Crimson V3 | 1 |
| OMRON FINS | 1 |
三.停電事件所造成的影響
ZoomEye 網絡空間搜索引擎對外探測是具有一定周期性和規律性的。
根據前文我們已知委內瑞拉公網上的設備有很大比例的家用路由器。
上圖是ZoomEye每日錄入位于委內瑞拉的banner數量,在3月初,有明顯的數據變化。我們認為這和委內瑞拉的停電事件有較強的關聯。
三月具體的數據如下:
可以看到,3月8日開始,ZoomEye 錄入 banner數量驟減,在3月11日錄入數量有所回升。3月13日錄入數量恢復到正常水平。這和已知的委內瑞拉停電事件信息基本吻合(3月7日傍晚開始停電)。這也從另一個層面說明從2019年3月13日開始,委內瑞拉的供電已經正常。
統計 3月9日至3月12日 ZoomEye 網絡空間搜索引擎收錄的 banner 數據,委內瑞拉全國大范圍停電期間,這些地區仍然存在部分能夠聯網的設備:
| 地區 | 停電期間收錄數量 |
| Capital(委內瑞拉首都加拉加斯) | 250 |
| Carabobo(委內瑞拉卡拉沃沃州) | 66 |
| Mérida(委內瑞拉梅里達) | 52 |
| 未知地區 | 16 |
| Anzoátegui | 14 |
| Miranda | 13 |
| Aragua | 9 |
| Zulia | 8 |
| Táchira | 6 |
| Lara | 6 |
| Vargas | 5 |
| Portuguesa | 2 |
| Guárico | 2 |
| Falcón | 2 |
| Bolívar | 1 |
| Barinas | 1 |
| Amazonas | 1 |
可以看到,在全國大范圍停電期間,委內瑞拉首都加拉加斯、首都附近的卡拉沃沃州(該州有自己的發電廠)以及西邊的梅里達仍然能有電力供應。
注: ZoomEye 網絡空間搜索引擎使用 GeoIP 提供的 IP 數據庫獲取 IP 地址對應的地理信息。理論上,IP 地址可以精確到市級。
統計斷電期間識別出的組件,主要包括路由器、攝像頭、Windows系統等。在前文中已知的民眾常用的路由器類型 ZTE ZXV10 W300 則沒有出現。可見在全國大范圍停電期間,有限的電力僅僅被用于國家機器的正常運轉。
四.結語
有關此次停電事件,在沒有實際有力的證據曝光之前,并不能從網絡空間測繪的角度證明停電是由于網絡攻擊所造成的。
本文從ZoomEye網絡空間搜索引擎的角度去探討委內瑞拉的互聯網發展情況和停電事件的恢復情況。主要的結論如下:
- 該國互聯網建設較為落后。
- 該國停電事件在 2019年3月13日 (停電后第六天)基本恢復。
- 如果說停電事件背后存在網絡攻擊,該國暴露在公網上的眾多 ZTE 路由器、Movilnet公司的相關主機都可能會成為下一步的被攻擊目標。
網絡安全建設并非一蹴而就,委內瑞拉在這方面要走的路還很長。
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.jmbmsq.com/869/
暫無評論