奇安信攻防社区-在HUNTER平台纵览俄乌局势—

在HUNTER平台纵览俄乌局势——基于网络空间测绘视角

我们对俄乌当前的网络资产分布分析发现，资产的整体分布与省份的人口有直接关系。本次俄乌战争虽然并未对整体互联网开放服务的数量造成影响，但有近一半的乌克兰政府网站自2月起便停止了服务，未被扫描更新。

**导语**
------

**Hunter鹰图平台持续测绘全球网络空间资产**，截止目前，共扫得**IP地址6亿**。根据扫描结果，**俄乌两国**的省一级行政区均有可触达的互联网资产，属于**网络资产较为丰富**的国家。

且两国的IP地址和服务数量排名较高，分别位列**第15位和第37位**。(共计200多个国家)

我们对俄乌当前的网络资产分布分析发现，资产的整体分布与省份的人口有直接关系。**NAS，摄像头，打印机，路由器为主要可探测到的物联网设备，根据测绘结果，**中国厂商生产的物联网设备在俄乌区域有很高的占有率。\*\*

通过持续的扫描监测，我们发现，**本次俄乌战争虽然并未对整体互联网开放服务的数量造成影响，但有近一半的乌克兰政府网站自2月起便停止了服务，未被扫描更新。**

Hunter分析认为，**这是由于乌克兰运营商的TR069路由服务默认开放在59000，存在极大的暴露面风险。**而乌克兰网络服务集中分布在基辅，破坏**基辅的光缆，便会间接对整个乌克兰网络空间环境造成极大危害。**

第一部分 俄乌网络当前服务概览
---------------

### 1.1 网络资产总体分布

Hunter鹰图平台近一年扫描覆盖了俄罗斯(83)和乌克兰(27)地理全域的州一级行政区域。

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-1132500563b7da5dfb26cea0db7adce67e86efb3.png)

在俄乌两国一共探测到九千七百万（97,168,759）网络服务。

其中**俄罗斯**有**八千四百万(84,855,576)**,**乌克兰**有**一千二百万(12,313,183)**。  
在俄乌两国共探测到**一千九百万(19,180,042)服务器。**其中**俄罗斯有一千六百万（16,632,773）**，**乌克兰有两百五十万（2,547,269）**。

### 1.2 俄乌资产分布与人口和GRP

通常情况下，**经济发达和人口聚集的区域网络设备和服务也会更多。**

Hunter团队将IP地址及人口数和GRP投影到热力图上，得到的测绘数据结果恰好也印证了这一点。

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-d72eb9f5296461c1142099f1f9664d146d29f015.png)

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-bb03419952fc9fa70f426bc0d0ce231ec3151f4f.png)

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-c17f2951dc1c2d94d3b44574a1d8a4af1a3be1bc.png)

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-415befe438939d67447457a2b6abd9ec229c2443.png)

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-f4bc563e5c745467dbc45f730d57b4a6a53f3a47.png)

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-bbdcaf577e019dec6a67f4214f5b9dea3d8b1d8e.png)

### 1.3 俄乌物联网服务特点

和世界上大部分互联网资源充足的国家相似（下图仅列出了中美做对比），**俄乌的路由器，摄像头和NAS是最主要的物联网设备。**

**乌克兰**此类服务关联的IP地址占比超过了**8%**，**俄罗斯**超过了**5%**。

![0880c08b0110f0879a1c.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-856eea3e568253c88d99e747da26963079aed5df.png)

除了上述总体分布状况外，我们还发现俄罗斯和乌克兰物联网服务有以下几个特点。

**特点一：俄罗斯乌克兰两地的互联网可探测摄像头都以中国品牌为主，尤其是海康威视。**

![0880c08b0110f087f81f.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-df0f4f717e44d4e67875cef5d005d206b5f5aa80.png)

![0880c08b0110f0c7c01a.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-5ff5bc49c53b29f1d5e5dd739a6c7625bb3c9c2b.png)

**特点二：俄罗斯本地可能部署了大量和当地运营商绑定的中兴CPE路由器。**

**该路由设备关联的IP数占比在路由器关联IP占比中高达82%。远高于其他单一品牌路由器在俄罗斯的占比。**

![0880c08b0110f0c7841e.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-e2ca0037b75d56d2580baaeef6329a66763f1182.png)

第二部分 战争影响：乌克兰政府网站关停
-------------------

根据Hunter鹰图平台近一年的测绘结果，虽然**乌克兰有2,757个提供政府网站服务的IP，但是其中的1,323个IP自2月24日俄乌战争开打后便未更新。  
这些资产可能受到网络攻击关停，也可能由于战局无人维护停摆。**

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-068e92bfc2488fd574bd117d1e67efd6c7c04cf6.png)

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-3f7345ca7e3b33df0c4aac9d14a52fea247e421c.png)

![0880c08b0110f087fe1c.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-72b43a5d9189bd8d01a53dcf664aaa69f7749f71.png)

第三部分 网络安全风险
-----------

### 3.1 乌克兰运营商默认服务

根据Hunter鹰图平台近一年的测绘结果，全球和乌克兰TOP 开放端口排名如下(根据关联主机数排名)。

其中**乌克兰的58000端口排序稳居第一位，乌克兰28%的主机都开放了58000端口。**

![0880c08b0110f0879118.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-1d8226ee069607ec36a2fc874c601e5a4b9358ac.png)

我们对乌克兰58000端口开放的服务分析发现，**存在大量TR069相关的路由服务。检索结果表明，在150,472台主机中，\*\***约21% 的主机开放了58000端口。\*\*

备注：TR069服务可能还有其他指纹特征。

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-92e1d610f7c5a8348ea782a4280aab3f2914128b.png)

通过对乌克兰最主要网络运营商 PJSC "Ukrtelecom"进行检索，我们发现其**服务器开放最多的端口为58000，占比高达94%（687,446/734,746）。**

**据此推测58000端口为乌克兰运营商相关的TR069默认服务，该服务存在极大的网络安全风险。**

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-c9e2afc26344c4a07a997d441b8759aeb7891254.png)

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-f681590c67cb26399d5edc2dff4c987ab1a7dd44.png)

### 3.3乌克兰核心区域受到攻击

由上文的热力图可知俄罗斯和乌克兰的资产都集中分布在他们的首都附近，实际上基辅市及基辅州的IP数占比为**32%**。整个乌克兰**29%**被探测到的IP地址都归属于ASN6849，该Autonomous System **25%**的IP地址都被基辅或基辅州的服务器使用。如果乌克兰基辅的网络基础设施遭到破坏，整个乌克兰的网络将会受到极大的影响。

第四部分 鹰图平台HUNTER介绍
-----------------

### 4.1 平台简介

奇安信网络空间测绘**鹰图平台（简称HUNTER）**，可对**全球暴露在互联网上的服务器和设备进行：资产探测、端口探活、 协议解析、应用识别，刻画资产画像与主机画像。**

通过网络空间测绘技术，**发现互联网资产暴露面、识别资产类型，**实现互联网资产的可查、可定位。

### 4.2 平台官网

<https://hunter.qianxin.com>

### 4.3 平台优势

![0880c08b0110f0c9d71e.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2022/11/attach-ccd1b7277e381cf146f2c3e7395ae11ce0d78b0d.png)

#### 4.3.1数据总量丰富

独立IP数**6.3亿+** 资产总数**159亿+**

域名资产数**38亿+** ICP备案资产数**600万+**

#### 4.3.2数据更新周期短

**国内**高频端口**4-7天更新**

**海外**高频端口**10-30天更新**

#### 4.3.3数据覆盖面广

全端口覆盖 **全球国家覆盖239个+**

全球ASN**网络自治域覆盖97%**

发表于 2022-11-11 10:38:08
阅读 ( 13506 )
分类：其他

在HUNTER平台纵览俄乌局势——基于网络空间测绘视角

0 条评论