近期黑客攻击我国视频监控设备的情况分析
攻击者从2018年开始,每年2月13日都会尝试攻击我国,域名涉及gov.cn等政府网站。与往年不同的是,攻击者今年重点提到了视频监控,主要是因为对方认为这些设备会侵犯人权,让人完全处于被监控的状态。
在2月13日之前,作为攻击预热,攻击者公布了一些攻击信息,其中包含了一些暴露在互联网上的视频监控设备的地址[3]。经分析,这些地址对应的暴露端口均为60001,是九安的视频监控系统。经绿盟威胁情报中心的测绘,近一个月内,全国暴露在互联网上的“九安”视频设备共有2126个[1]。
绿盟安全服务部已于一周前通告了漏洞和防护手段[2],本文则重点对绿盟威胁捕获系统捕获到的攻击者对于视频监控设备相关的访问日志进行分析,以期展示近期国内视频监控设备被攻击的情况。
图 2.1 是2020年初至今绿盟威胁捕获系统中视频监控设备相关日志变化情况,从其线性趋势图中可以看出,从1月开始,我们的威胁捕获系统捕获到的视频监控设备相关日志是在不断增多的。而攻击者2月3日在pastebin[3]上公开了若干暴露在互联网上的九安视频监控设备的IP。因此,我们推测攻击者为了2月13日的活动,在2020年中下旬开始做了一些前期的“踩点”工作。
图 2.1 2020年至今视频监控设备相关日志变化情况
图 2.2 是2020年初至今绿盟威胁捕获系统中国外视频监控设备相关日志和漏洞利用的变化情况,我们发现与国内有相同的趋势。我们推测虽然本次事件的攻击者公开说是专门攻击国内的设备,但其实有人浑水摸鱼,谋取私利。
图 2.3 是2020年初至今视频监控设备相关日志中源IP的国家分布情况。这些IP共位于54个国家和地区,其中位于美国和中国的IP数量是最多的。
图 2.3 2020年初至今视频监控设备相关日志中源IP的国家分布情况
表 2.1 是我们捕获到的2020年至今视频监控系统威胁类型分布情况。这里的占比我们采用的是对日志源IP去重之后的数量的占比,我们认为这样更能反映特定威胁的受关注度。从中可以看出,无论是九安相关的漏洞还是对于九安视频监控设备的探测,都是最受攻击者关注的。这也与本次事件中攻击者提前公布的若干九安视频监控设备的IP信息相匹配。
图 3.1 是2020年初至今视频监控设备漏洞利用相关日志变化情况,从其线性趋势图中可以看出,从1月开始,我们的威胁捕获系统捕获到的视频监控设备漏洞相关日志是在不断增多的,与图 2.1 中的监控设备相关日志变化情况相一致。我们推测攻击者为了2月13日的活动,在做一些前期的准备工作。
需要说明的是,在2月10日,漏洞利用数暴增到8434次,涉及18个源IP,考虑到这个数据(数量较大)的加入会使得整体的变化趋势不够直观,因此,在图 2.1 和图 3.1 中,我们并没有将这一天的数据放进去。但攻击事件前的暴增让我们有理由相信这与本次攻击事件的关联很大。
图 3.1 2020年初至今视频监控设备漏洞利用相关日志变化情况(整体的变化情况)
图 3.2 是2020年初至今视频监控设备漏洞利用相关日志中源IP国家的分布情况,从中可以看出,国家分布情况基本上与图 2.2 中的视频监控设备相关日志的整体的分布情况一致。中国和美国的IP数量依旧是最多的,只不过顺序进行了交换。
图 3.2 2020年初至今视频监控设备漏洞利用相关日志中源IP国家分布情况
如表 2.1 所示,我们共捕获到6种对于视频监控设备的漏洞利用方式。这说明,虽然视频监控设备相关的漏洞为数不少,但是真正被攻击利用的漏洞并不多。作为用户、安全厂商,对这些漏洞利用进行检测和防护即可大大提高整个视频监控网络的安全性。
从2020年中旬至今,我们在视频监控设备相关日志中共捕获了约200个唯一的样本投递请求。我们对捕获的样本进行了取样分析,大部分样本属于Mirai家族。而本次事件的攻击者也在Twitter中提到,我国有超过50万的IP感染了Mirai僵尸网络。1月中下旬的漏洞利用增多有可能是本次事件的攻击者试图控制更多的设备。
表 3.1 一些样本IOC
表 3.2 可疑样本URL示例
由于视频监控设备可能开放的Telnet服务和HTTP服务均涉及弱口令问题,因此,本章将分别对这两个服务进行分析。
1针对Telnet服务默认口令爆破分析
图 4.1 是2020年初至今针对Telnet服务的口令爆破次数及视频监控设备相关次数,从中可以看出,整体的口令爆破次数相对稳定,但是从今年2月初开始,攻击者针对视频监控设备默认口令的攻击明显增多。我们推测是在得知2月13日的攻击活动后,有更多的攻击组织加入其中,通过默认口令探测,以发现更多的暴露在互联网上的高危视频监控设备。
图 4.1 2020年初至今针对Telnet服务的口令爆破次数及视频监控设备相关次数
2针对HTTP服务的弱口令爆破分析
图 4.2 是2020年初至今针对视频监控设备的HTTP服务的弱口令爆破次数,从中并未看出明显趋势。
参考链接:
[1].绿盟威胁情报中心测绘发现:全国有159万视频设备暴露在互联网上, https://mp.weixin.qq.com/s/deMbEPfue212yIrSDiTJJQ
[2].境外黑客攻击我国视频监控系统的威胁通告, https://mp.weixin.qq.com/s/2Gi9P3ktpPVhXF3P-bgM2w
[3].一些位于中国的暴露的视频监控设备地址, https://pastebin.com/br36CCmd
格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。 致力于以场景为导向,智能设备为中心的漏洞挖掘、研究与安全分析,关注物联网资产、漏洞、威胁分析。目前已发布多篇研究报告,包括《物联网安全白皮书》、《物联网安全年报2017》、《物联网安全年报2018》、《物联网安全年报2019》、《国内物联网资产的暴露情况分析》、《智能设备安全分析手册》等。与产品团队联合推出绿盟物联网安全风控平台,定位运营商行业物联网卡的风险管控;推出固件安全检测平台,以便快速发现设备中可能存在的漏洞,以避免因弱口令、溢出等漏洞引起设备控制权限的泄露。
往期回顾
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我们