趋势科技资安研究人员Tim Yeh、Dove Chiu、Kenney Lu于5月9日揭露,黑客锁定1,000多种型号的中国制网络摄影机,利用装置上的UPnP(即插即用)漏洞来入侵,并同时植入殭尸病毒Persirai,接着再透过装置存在的零时差漏洞,攻击其他的网络摄影机,*后,黑客控制这些装置发动DDoS攻击。 他们利用Shodan搜索引擎来检测,发现全球有120,000台网络摄影机装置信息公开曝露在网络上,容易受到黑客的攻击。
首先,黑客利用TCP 81埠,进入这些网络摄影机的Web接口,输入厂商默认的账号密码来登入,接着通过C&C服务器植入和执行恶意软件,并封锁装置存在的零时差漏洞避免受到其他恶意软件的攻击,之后,黑客再利用这些零时差漏洞攻击其他装置,来窃取其他装置的帐密,成为殭尸装置,*后,黑客传送UDP协议传输封包至受感染装置, 锁定受害目标发动洪水式DDoS攻击。
黑客不仅利用网络摄影机漏洞来发动DDoS攻击,还攻击其他摄影机成为殭尸网络Persirai的攻击装置。 图片来源:趋势科技
先前,另一位资安研究人员Pierre Kim于今年3月已经在部落格指出,虽然这些被黑客锁定的网络摄影机都是由不同代工厂商制造,但同时都具有相同的5个零时差漏洞,包含CVE-2017-8224、CVE-2017-8222、CVE-2017-8225、CVE-2017-8223和CVE-2017-8221。 黑客可利用这些漏洞,除了入侵装置来控制之外,还可以窃取用户的电子邮件账号数据,甚至拦截受害装置传回云端主机的数据。
由于,这些网络摄影机都内嵌客制化的GoAhead Web接口,Pierre原先认为,这应该是原本嵌入GoAhead Web接口业者的疏失,才造成装置内含有这些漏洞。 但是,Pierre与业者交流后,认为漏洞不是原先设计GoAhead Web接口业者的问题,而是中国代工厂商在导入GoAhead Web接口至装置的过程中,在原始码里面增加了后门账号与其他容易受攻击的程序代码。
目前,部分制造商已经提供了*新的韧体版本,来解决这些漏洞。 趋势科技研究人员同时发现,C&C服务器目录出现了国家代码IR,而且恶意软件程序代码也有出现特殊的波斯文字,作者疑似是伊朗研究机构的人员。
公安机关备案号:
