一个月内首现三类漏洞探测活动,僵尸网络又在酝酿攻击?
1 针对NVMS-9000摄像头RCE漏洞的扫描2019年10月2日,我们的绿盟科技威胁捕获系统捕获到了针对型号为NVMS-9000摄像头漏洞利用的探测行为,该漏洞于去年发布,漏洞详情见互联网公开POC第五条[1]。
图 1 针对NVMS-9000摄像头RCE漏洞探测的日志
图 2 10月针对NVMS-9000摄像头RCE漏洞的攻击趋势变化
图 3 针对NVMS-9000摄像头RCE漏洞的攻击源数量变化趋势
目前僵尸网络用于监听反向shell的服务器已经关停,无法直接监测僵尸网络的活动。为了还原漏洞探测活动的全过程,我们统计了不同攻击源对我们威胁捕获系统探测次数的百分比,如图 4所示。发现攻击次数最多的是僵尸网络用于监听反向shell的服务器209.141.34.34和93.174.93.178,其余攻击源大多仅对我们的蜜罐进行 1-2次漏洞探测。从时间线上看,我们发现此次扫描活动,是由僵尸网络的反向shell监听服务器93.174.93.178于10月2日至10月7日发起,在此期间,93.174.93.178完成了其十月以来的所有漏洞探测行为。10月7日之后,93.174.93.178停止了漏洞探测活动,陆续出现了一批仅被我们威胁捕获系统捕获到一次的攻击源。我们推测此次针对NVMS-9000摄像头的漏洞探测活动极有可能为新的僵尸网络变种所为,10月2日至10月7日,该僵尸网络利用反向shell监听服务器,开始对全网NVMS-9000摄像头的RCE漏洞进行探测,10月7日之后,该僵尸网络发动僵尸主机进行漏洞探测,加快其传播速度。
图 4 不同攻击源对威胁捕获系统的漏洞探测次数的
最后,由于大部分攻击源极有可能是僵尸网络攻陷的僵尸主机,我们对攻击源的地区进行了统计。我们发现,攻击源分布在48个国家和地区中,影响范围较大,影响最严重的前五个国家和地区是美国、台湾、墨西哥、巴西、马来西亚。数量排行前十的攻击源地域分布如图 5所示。
图 5 针对NVMS-9000摄像头RCE漏洞数量前十的攻击源地域分布
我们对使用NVMS-9000摄像头的用户提出以下建议:
1.及时更新固件,设备厂商已经在2018年发布了修复漏洞的固件。
2.将您的摄像头配置在NAT之后,不要直接暴露在互联网中。
3.及时修改管理员密码。
2019年9月20日,我们的威胁捕获系统首次捕获到针对Eir D1000无线路由器远程命令注入漏洞[2]的扫描行为,该漏洞的探测活动在十月明显增加,如图 6所示。
图 6 针对Eir D1000无线路由器远程命令注入漏洞的探测活动趋势
该漏洞探测行为向设备的/UD/act路径发送SOAP格式的HTTP POST请求,body中含有命令注入,通过wget、tftp等方式拉取恶意样本并执行,日志示例如图 7所示。
图 7 针对Eir D1000无线路由器远程命令注入漏洞的探测日志样例
通过对漏洞探测行为中下载样本的指令进行统计,如图 8所示。我们发现探测行为在下载样本时,只会选择使用tftp或wget其中的一种,二者的数量基本持平,tftp略高于wget,暂不确定使用两种样本下载方式的扫描活动,是否为同一个僵尸网络所为。
图 8 漏洞探测行为下载样本的方式占比情况
图 9 样本服务器出现在威胁捕获系统中次数占比情况
通过对攻击源IP的统计,如图 10所示。我们发现,大部分攻击源都只对我们的威胁捕获系统继续了一次扫描,个别攻击源对我们的威胁捕获系统进行了不超过4次的扫描。可以推断,进行该漏洞探测活动的僵尸网络已经具备了一定的规模,其扫描活动主要使用僵尸主机进行。
图 10 攻击源漏洞探测次数百分比
我们分析了该探测活动的目标端口,如图 11所示。发现其对80端口的漏洞探测占百分之九十八,说明僵尸网络认为Eir D1000在80端口暴露严重,捕获僵尸主机的效率高,在该端口的漏洞探测活跃。
图 11 僵尸网络对不同端口扫描的百分比
最后,我们对攻击源的地域分布进行了统计,发现攻击源分布在60个国家和地区中,受影响最严重的十个国家如图 12所示。巴西最为严重,紧接着是伊朗、俄罗斯等国家。推测该僵尸网络的规模相对较大,影响范围广,应该引起注意。
图 12 攻击源地域分布的TOP10
2019年9月16日,我们的威胁捕获系统首次捕获到针对Avtech摄像头漏洞的探测行为,漏洞详情参考互联网公开POC第五条[3],该漏洞探测活动在十月逐渐变得活跃,虽然探测活动趋势波动较大,但探测活动的高峰出现在十月,应引起重视,探测趋势如图 13所示。
图 13 针对Avetch摄像头漏洞扫描活动的趋势
通过僵尸网络对样本的命名可以直接看出,该针对该漏洞的探测活动是Demon僵尸网络所为,我们的威胁捕获系统在2018年就已经发现了Demon僵尸网络对某品牌路由器后门[4]的利用。此次漏洞探测活动,我们推测是Demon僵尸网络将Avtech摄像头漏洞构建到自己的武器库中开始扩大自己的规模。探测行为向目标设备的/cgi-bin/nobody/Search.cgi路径发送了一个HTTP GET请求,请求参数中包含命令执行,日志示例如图 14所示。
图 14 针对Avtech摄像头漏洞扫描的样例日志
通过对攻击源IP的统计,如图 15所示。我们发现Demon僵尸网络大部分的扫描是由34.69.91.203、34.70.116.214等几个IP发出的。说明Demon僵尸网络的攻击源集中,漏洞探测活动极有可能是固定在几台服务器上完成的,没有发动僵尸主机参与漏洞探测活动。
图 15 攻击源IP扫描次数
最后,我们统计了Demon僵尸网络漏洞探测目的端口,如图 16所示,发现除8888端口外,5601、9191等端口也有一定数量的探测行为。推测Demon僵尸网络认为Avtech摄像头在8888端口分布较多,对8888端口的探测投入较大,但除了对8888端口进行集中的探测之外也会对其他端口上匹配的目标进行探测。
进入十月以来,针对物联网设备的漏洞探测活动明显增多,且出现了本文所述三个新捕获到的漏洞探测行为。通常,僵尸网络发动漏洞探测活动以捕获更多僵尸主机,是发动更大攻击的前兆。目前,将物联网设备用于DDoS等攻击活动是僵尸网络活动的一种趋势,因此,网络安全研究人员应警惕物联网相关恶意流量,将利用物联网设备进行的攻击行为扼杀在漏洞探测阶段,防患于未然。
致谢
感谢创新中心张浩然提供数据分析平台,用作本文的数据支持。
参考文献:
[1].https://github.com/mcw0/PoC/blob/master/TVT_and_OEM_IPC_NVR_DVR_RCE_Backdoor_and_Information_Disclosure.txt
[2].https://www.exploit-db.com/exploits/40740
[3].https://www.exploit-db.com/exploits/40500
[4].https://www.exploit-db.com/exploits/43387
格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。 致力于以场景为导向,智能设备为中心的漏洞挖掘、研究与安全分析,关注物联网资产、漏洞、威胁分析。目前已发布多篇研究报告,包括《物联网安全白皮书》、《物联网安全年报2017》、《物联网安全年报2018》、《国内物联网资产的暴露情况分析》、《智能设备安全分析手册》等。与产品团队联合推出绿盟物联网安全风控平台,定位运营商行业物联网卡的风险管控;推出固件安全检测平台,以便快速发现设备中可能存在的漏洞,以避免因弱口令、溢出等漏洞引起设备控制权限的泄露。
伏影实验室专注于安全威胁与监测技术研究。 研究目标包括僵尸网络威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。
网络安全发展至今特别是随着威胁情报的兴起和虚拟化技术的不断发展,欺骗技术也越来越受到各方的关注。欺骗技术就是威胁捕获系统关键技术之一。它的高保真、高质量、鲜活性等特征,使之成为研究敌人的重要手段,同时实时捕获一手威胁时间不再具有滞后性,非常适合威胁情报的时效性需求。
绿盟伏影实验室于2017年中旬运营了一套威胁捕获系统,发展至今已逐步成熟,感知节点遍布世界五大洲,覆盖了20多个国家,覆盖常见服务、IOT服务,工控服务等。形成了以全端口模拟为基础,智能交互服务为辅的混合型感知架构,每天从互联网中捕获大量的鲜活威胁情报,实时感知威胁。
往期回顾
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我们