网络摄像头的地盘争夺战——四款僵尸软件的技术解析

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 本文讲的是网络摄像头的地盘争夺战——四款僵尸软件的技术解析,2017年5月,趋势科技就报告了他们的最新发现——一种新型物联网僵尸网络Persirai,由趋势科技公司定义为ELF_PERSIRAI.A恶意软件,这可能是继Mirai和Hajime之后又一波针对物联网设备的新型攻击力量。
本文讲的是 网络摄像头的地盘争夺战——四款僵尸软件的技术解析

网络摄像头的地盘争夺战——四款僵尸软件的技术解析

2017年5月,趋势科技就报告了他们的最新发现——一种新型物联网僵尸网络Persirai,由趋势科技公司定义为ELF_PERSIRAI.A恶意软件,这可能是继Mirai和Hajime之后又一波针对物联网设备的新型攻击力量。

趋势科技通过Shodan发现,大约有1000多种型号(总共12万台)的网络摄像头被Persirai感染,而摄像头的使用者却一点察觉也没有。

但是,因为这些摄像头是所有僵尸网络进行DDoS攻击的重要工具,Persirai和其他恶意软件之间也存在着竞争关系,所以它还会拦截具有同样0day漏洞的代码,以阻止其他攻击者攻击同样的互联网摄像头。

研究人员发现,目前有四种不同的恶意软件家族(Persirai,DvrHelper,Mirai,TheMoon)都专注于攻击网络摄像头,且每个恶意软件都有自己独特的攻击手段,不过由于目标总量是有限的,它们不可避免的会竞争,并通过防御来阻止对手的恶意软件。

网络摄像头的地盘争夺战——四款僵尸软件的技术解析

Persirai

毫无疑问,Mirai是首个大规模感染物联网的恶意软件,再加上其代码的开源性特点,它造成的影响就特别大,比如其后的很多了物联网恶意软件都以它为参考,。Persirai似乎就是构建于Mirai源代码基础之上的。

由于在用户内部网络中,网络摄像头使用的是路由器的即插即用(UPnP)协议功能进行端口映射,所以用户菜可以通过广域网远程访问网络摄像头,这样就把网络摄像头暴露在网络中。Persirai正是利用恶意软件ELF_PERSIRAI.A,对暴露的网络摄像头进行传播感染。进入网络摄像头的网络管理接口后,通过注入恶意命令强制摄像头连接到一个下载网站执行恶意文件下载,之后,远端下载网站将会给出以下命令响应,通知被控制的网络摄像头从域名连接

ntp.gtpnet.ir处下载恶意shell脚本文件。

Persirai的一个有趣特征是,当它对网络摄像头进行攻击时,利用的是三个已知的漏洞:

1.存在于自定义网络服务器程序中的漏洞:

1.1. login.cgi – 允许攻击者绕过身份验证并获取管理员密码

1.2. set_ftp.cgi – 当攻击者获取管理员密码时,就可以将其用于命令注入和恶意软件部署

Realtek rtl81xx SDK远程代码执行漏洞(CVE-2014-8361),存在远程代码执行漏洞,远程攻击者通过构造的NewInternalClient请求,利用此漏洞可执行任意代码。这样攻击者将能够获得用户密码,无论密码强度如何,都可以部署命令注入。

Mirai

在Persirai被曝光之前,一谈起DDoS攻击,大家都想到的是Mirai。因为在2016年8月,Mirai发动了史上最大规模的DDOS攻击后,让物联网攻击被大众所熟知。Mirai源码是2016年9月30日由黑客Anna-senpai在论坛上公布,其公布在github上的源码被star了2538次,被fork了1371次。这样,任何人都能Mirai

进行修改并创建新的变体了。

最近,研究人员已经发现,Mirai正在通过Windows 木马扩展其感染功能,可以扫描比以前版本更多的端口。它会检查以下端口是否打开:22(SSH),23(Telnet),135(DCE / RPC),445(Active Directory),1433(MSSQL),3306(MySQL)和3389(RDP)

DvrHelper

DvrHelper可以说是Mirai的更新版,使用了mirai的攻击模块,其主要实现对网络服务设备的远程登录服务的扫描并尝试对物联网设备进行暴力破解,并将破解的的ip地址、端口、用户名、密码等信息发送给后台的服务器,同时接收C&C服务器的控制命令对目标发动攻击。

不过,由于Mirai之前引发的灾害太大许多机构已经布置了DDoS预防解决方案。所以,与Mirai不同的是,为了增加攻击的力度并绕过安全监测,DvrHelper还有专门配了八个DDoS攻击模块,这样它也成了第一个绕过DDoS解决方案的恶意僵尸软件。

具体来说,DvrHelper采用了两种通过特定的内容传送网络来绕过DDoS预防措施的方法。

第一种方法针对预防木马的技术,并利用供应商的应对策略:

网络摄像头的地盘争夺战——四款僵尸软件的技术解析

过程如下:

1. DvrHelper向目标网站发送了请求,并通过JavaScript截获预防命令。

2.提取嵌入式JavaScript代码并发送到命令和控制(C&C)服务器, C&C服务器将执行JavaScript代码并作出响应。

3.响应信息和其他信息合并,并向DDoS保护供应商发送响应请求,以获得有效的cookie和用户代理进行DDOS攻击。

自2014年以来,该方法就已经放入到了Python库中。但是,由于嵌入式JavaScript代码要在客户端执行,而物联网设备又太弱,无法在本地执行JavaScript代码。在这种情况下,开发人员对远程调用进行了架构设计。

第二种方法是使用共享的“Google reCAPTCHA响应”令牌:

网络摄像头的地盘争夺战——四款僵尸软件的技术解析

过程如下:

1.DvrHelper向C&C URL发送请求,并获取有效的Google reCAPTCHA响应令牌。

2.DvrHelper往验证器URL发送带有令牌的请求,并获得一个有效的cookie __cfduid(由恶意软件的开发人员用来根据访问者的IP地址来覆盖相关的安全限制)和cf_clearance(如果此cookie存在于请求中,则会绕过)。有了这些信息,DvrHelper就可以绕过DDOS保护。

另外,在最新版本的DvrHelper的C&C服务器中,研究人员发现早期硬编码的C&C服务器(110[.]173[.]49[.]74)被只有一个被动DNS记录的主机名 jbeupq84v7[.]2y[.]net.VirusTotal所代替,目前DNS的A记录已被删除。

网络摄像头的地盘争夺战——四款僵尸软件的技术解析

TheMoon

TheMoon恶意软件算是这四个里面出现最早的了,于2014年被SANS发现并在之后持续对其攻击方法进行迭代,主要以路由器为目标,利用漏洞植入感染,TheMoon使用iptables规则进行通信。

通过新旧版本的比较,我们注意到C&C服务器端口已更改。另外,在新的版本中,会用一个特定的二进制文件专门对付一个特定的漏洞,并且出现了新的iptables规则。

网络摄像头的地盘争夺战——四款僵尸软件的技术解析

如上图所示,当感染完成时,iptables规则将被导入到受感染的设备。通过这些规则,TheMoon会建立了一个防御机制,以防止其他恶意软件感染同样的设备,每个二进制文件所使用的iptables规则不同。

网络摄像头的地盘争夺战——四款僵尸软件的技术解析

网络摄像头的地盘争夺战——四款僵尸软件的技术解析

网络摄像头的地盘争夺战——四款僵尸软件的技术解析

基于iptables规则,我们知道其目标端口包括TCP / 22(SSH远程登录协议),TCP / 23(Telnet),TCP / 80(HTTP),TCP / 443(基于SSL / TLS的HTTP),TCP / 7547(CPE WAN管理协议),TCP / 8080(HTTP的替代端口)和UDP / 9999(华硕路由器信息)。每个端口都会映射到特定设备和漏洞,主要目标是网络摄像头。

当感染完成后,安装脚本将被替换为阿尔巴尼亚语中的“我们完成了”的字符串“ne kemi mbaruar!”。

四款僵尸软件的影响和攻击位置分布

下图是位于美国和日本的具有自定义网络服务器的网络摄像头的感染比例。

网络摄像头的地盘争夺战——四款僵尸软件的技术解析

通过Shodan的调查以及趋势科技的研究,我们看到在美国有一半以上的网络摄像头被上述四个恶意软件家族给感染了。在日本,这个数字甚至更高,64.85%的网络摄像头被感染。

下图是在美国,日本,台湾,韩国的四个恶意软件家庭的感染分布比例。

网络摄像头的地盘争夺战——四款僵尸软件的技术解析

由上图可以清晰地看到,新出现的 Persirai占得比例最大。然而,这个比例还会随着不断曝光的网络摄像头而不断变化。鉴于这四个恶意家族的成功范例,其他恶意开发商肯定也会看上这块市场,发布自己的网路摄像头恶意软件,我们持续对该市场进行关注。

建议和解决方案

目前,大部分受僵尸网络攻击影响的设备都是由于未更改默认出厂密码或存在弱口令,攻击者通过密码组合进行大规模的自动化入侵登录,从而进入网络摄像头的网络管理接口

我们建议大家应尽快更改网路摄像头的密码,最好能创建安全性较好的密码,比如,使用至少15个字符,大小写字母,数字和特殊字符混合的密码。

但从Persirai的案例可以看出,设置强大的密码只是预防网络攻击的第一步,安全的密码并不能完全保证设备安全。 网路摄像头的所有者还应该禁用其路由器上的通用即插即用功能,以防止网络中的设备在无需任何警告的情况下,将端口映射到互联网中。

当然摄像头安全也不完全是终端用户的责任,设备制造商在生产环节也要提高安全的意识,从源头进行预防,另外,对出现的攻击制造商要随时进行固件更新并通知用户升级。把好安全生产关,才能共筑未来物联网安全。




原文发布时间为:2017年6月15日
本文作者:xiaohui
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
10天前
|
存储 监控 安全
单位网络监控软件:Java 技术驱动的高效网络监管体系构建
在数字化办公时代,构建基于Java技术的单位网络监控软件至关重要。该软件能精准监管单位网络活动,保障信息安全,提升工作效率。通过网络流量监测、访问控制及连接状态监控等模块,实现高效网络监管,确保网络稳定、安全、高效运行。
38 11
|
10天前
|
机器学习/深度学习 人工智能 自然语言处理
AI技术深度解析:从基础到应用的全面介绍
人工智能(AI)技术的迅猛发展,正在深刻改变着我们的生活和工作方式。从自然语言处理(NLP)到机器学习,从神经网络到大型语言模型(LLM),AI技术的每一次进步都带来了前所未有的机遇和挑战。本文将从背景、历史、业务场景、Python代码示例、流程图以及如何上手等多个方面,对AI技术中的关键组件进行深度解析,为读者呈现一个全面而深入的AI技术世界。
67 10
|
10天前
|
数据可视化 数据挖掘 BI
团队管理者必读:高效看板类协同软件的功能解析
在现代职场中,团队协作的效率直接影响项目成败。看板类协同软件通过可视化界面,帮助团队清晰规划任务、追踪进度,提高协作效率。本文介绍看板类软件的优势,并推荐五款优质工具:板栗看板、Trello、Monday.com、ClickUp 和 Asana,助力团队实现高效管理。
32 2
|
2天前
|
机器学习/深度学习 安全 网络安全
网络安全词云图与技术浅谈
### 网络安全词云图与技术浅谈 本文介绍了通过词云图展示网络安全关键术语的方法,并探讨了构建现代网络安全体系的关键要素。词云图利用字体大小和颜色突出高频词汇,如恶意软件、防火墙、入侵检测系统等。文中提供了生成词云图的Python代码示例,包括安装依赖库和调整参数。此外,文章详细讨论了恶意软件防护、加密技术、身份验证、DDoS防御、社会工程学防范及威胁情报等核心技术,强调了多层次、多维度的安全策略的重要性。
30 11
网络安全词云图与技术浅谈
|
3天前
|
网络协议
TCP报文格式全解析:网络小白变高手的必读指南
本文深入解析TCP报文格式,涵盖源端口、目的端口、序号、确认序号、首部长度、标志字段、窗口大小、检验和、紧急指针及选项字段。每个字段的作用和意义详尽说明,帮助理解TCP协议如何确保可靠的数据传输,是互联网通信的基石。通过学习这些内容,读者可以更好地掌握TCP的工作原理及其在网络中的应用。
|
3天前
|
存储 监控 网络协议
一次读懂网络分层:应用层到物理层全解析
网络模型分为五层结构,从应用层到物理层逐层解析。应用层提供HTTP、SMTP、DNS等常见协议;传输层通过TCP和UDP确保数据可靠或高效传输;网络层利用IP和路由器实现跨网数据包路由;数据链路层通过MAC地址管理局域网设备;物理层负责比特流的物理传输。各层协同工作,使网络通信得以实现。
|
3天前
|
网络协议 安全 网络安全
探索网络模型与协议:从OSI到HTTPs的原理解析
OSI七层网络模型和TCP/IP四层模型是理解和设计计算机网络的框架。OSI模型包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,而TCP/IP模型则简化为链路层、网络层、传输层和 HTTPS协议基于HTTP并通过TLS/SSL加密数据,确保安全传输。其连接过程涉及TCP三次握手、SSL证书验证、对称密钥交换等步骤,以保障通信的安全性和完整性。数字信封技术使用非对称加密和数字证书确保数据的机密性和身份认证。 浏览器通过Https访问网站的过程包括输入网址、DNS解析、建立TCP连接、发送HTTPS请求、接收响应、验证证书和解析网页内容等步骤,确保用户与服务器之间的安全通信。
25 1
|
17天前
|
机器学习/深度学习 人工智能 自然语言处理
秒级响应 + 99.9%准确率:法律行业文本比对技术解析
本工具基于先进AI技术,采用自然语言处理和语义匹配算法,支持PDF、Word等格式,实现法律文本的智能化比对。具备高精度语义匹配、多格式兼容、高性能架构及智能化标注与可视化等特点,有效解决文本复杂性和法规更新难题,提升法律行业工作效率。
|
14天前
|
数据采集 存储 JavaScript
网页爬虫技术全解析:从基础到实战
在信息爆炸的时代,网页爬虫作为数据采集的重要工具,已成为数据科学家、研究人员和开发者不可或缺的技术。本文全面解析网页爬虫的基础概念、工作原理、技术栈与工具,以及实战案例,探讨其合法性与道德问题,分享爬虫设计与实现的详细步骤,介绍优化与维护的方法,应对反爬虫机制、动态内容加载等挑战,旨在帮助读者深入理解并合理运用网页爬虫技术。
|
9天前
|
监控 数据可视化 搜索推荐
教育行业办公软件全解析!J 人备考能否从中受益?
本文深入剖析了 6 款可视化团队协作办公软件,包括板栗看板、Trello、Asana、Monday.com、Wrike 和 ClickUp,旨在为教育领域的从业者与学习者提供全面且实用的参考。这些软件各具特色,如板栗看板的简洁界面和强大任务操控,Trello 的高度定制化和丰富插件,Asana 的精细任务管理和高效团队沟通,Monday.com 的灵活布局和数据分析,Wrike 的多层次任务架构和智能分配,以及 ClickUp 的多样化视图和深度定制。J 人可根据自身需求选择最适合的工具,提升工作效率与学习效果。
20 0

推荐镜像

更多