近期黑客攻擊中國影片監控設備的情況分析

  • 2020 年 2 月 25 日
  • 筆記

一、背景

近日,綠盟威脅情報中心監測到,境外黑客組織發布推文宣布將於2月13日對中國實施網路攻擊。

攻擊者從2018年開始,每年2月13日都會嘗試攻擊中國,域名涉及gov.cn等政府網站。與往年不同的是,攻擊者今年重點提到了影片監控,主要是因為對方認為這些設備會侵犯人權,讓人完全處於被監控的狀態。

在2月13日之前,作為攻擊預熱,攻擊者公布了一些攻擊資訊,其中包含了一些暴露在互聯網上的影片監控設備的地址[3]。經分析,這些地址對應的暴露埠均為60001,是九安的影片監控系統。經綠盟威脅情報中心的測繪,近一個月內,全國暴露在互聯網上的「九安」影片設備共有2126個[1]。

綠盟安全服務部已於一周前通告了漏洞和防護手段[2],本文則重點對綠盟威脅捕獲系統捕獲到的攻擊者對於影片監控設備相關的訪問日誌進行分析,以期展示近期中國影片監控設備被攻擊的情況。

說明:我們所分析的數據和得到的推測均來自綠盟威脅捕獲系統的中國節點所捕獲的數據,除圖2.2外,其餘數據均來自中國節點。

二、整體情況分析

圖 2.1 是2020年初至今綠盟威脅捕獲系統中影片監控設備相關日誌變化情況,從其線性趨勢圖中可以看出,從1月開始,我們的威脅捕獲系統捕獲到的影片監控設備相關日誌是在不斷增多的。而攻擊者2月3日在pastebin[3]上公開了若干暴露在互聯網上的九安影片監控設備的IP。因此,我們推測攻擊者為了2月13日的活動,在2020年中下旬開始做了一些前期的「踩點」工作。

圖 2.1 2020年至今影片監控設備相關日誌變化情況

圖 2.2 是2020年初至今綠盟威脅捕獲系統中國外影片監控設備相關日誌和漏洞利用的變化情況,我們發現與中國有相同的趨勢。我們推測雖然本次事件的攻擊者公開說是專門攻擊中國的設備,但其實有人渾水摸魚,謀取私利。

圖2.2 2020年至今影片監控設備相關日誌和漏洞利用變化情況(國外)

圖 2.3 是2020年初至今影片監控設備相關日誌中源IP的國家分布情況。這些IP共位於54個國家和地區,其中位於美國和中國的IP數量是最多的。

圖 2.3 2020年初至今影片監控設備相關日誌中源IP的國家分布情況

表 2.1 是我們捕獲到的2020年至今影片監控系統威脅類型分布情況。這裡的佔比我們採用的是對日誌源IP去重之後的數量的佔比,我們認為這樣更能反映特定威脅的受關注度。從中可以看出,無論是九安相關的漏洞還是對於九安影片監控設備的探測,都是最受攻擊者關注的。這也與本次事件中攻擊者提前公布的若干九安影片監控設備的IP資訊相匹配。

表 2.1 2020年初至今影片監控系統威脅類型分布情況

三、影片監控設備的漏洞利用分析

圖 3.1 是2020年初至今影片監控設備漏洞利用相關日誌變化情況,從其線性趨勢圖中可以看出,從1月開始,我們的威脅捕獲系統捕獲到的影片監控設備漏洞相關日誌是在不斷增多的,與圖 2.1 中的監控設備相關日誌變化情況相一致。我們推測攻擊者為了2月13日的活動,在做一些前期的準備工作。

需要說明的是,在2月10日,漏洞利用數暴增到8434次,涉及18個源IP,考慮到這個數據(數量較大)的加入會使得整體的變化趨勢不夠直觀,因此,在圖 2.1 和圖 3.1 中,我們並沒有將這一天的數據放進去。但攻擊事件前的暴增讓我們有理由相信這與本次攻擊事件的關聯很大。

圖 3.1 2020年初至今影片監控設備漏洞利用相關日誌變化情況(整體的變化情況)

圖 3.2 是2020年初至今影片監控設備漏洞利用相關日誌中源IP國家的分布情況,從中可以看出,國家分布情況基本上與圖 2.2 中的影片監控設備相關日誌的整體的分布情況一致。中國和美國的IP數量依舊是最多的,只不過順序進行了交換。

圖 3.2 2020年初至今影片監控設備漏洞利用相關日誌中源IP國家分布情況

如表 2.1 所示,我們共捕獲到6種對於影片監控設備的漏洞利用方式。這說明,雖然影片監控設備相關的漏洞為數不少,但是真正被攻擊利用的漏洞並不多。作為用戶、安全廠商,對這些漏洞利用進行檢測和防護即可大大提高整個影片監控網路的安全性。

從2020年中旬至今,我們在影片監控設備相關日誌中共捕獲了約200個唯一的樣本投遞請求。我們對捕獲的樣本進行了取樣分析,大部分樣本屬於Mirai家族。而本次事件的攻擊者也在Twitter中提到,中國有超過50萬的IP感染了Mirai殭屍網路。1月中下旬的漏洞利用增多有可能是本次事件的攻擊者試圖控制更多的設備。

表 3.1 一些樣本IOC

除此之外,還有一些樣本URL的命名規則與之前出現的常見蠕蟲家族有所不同,值得注意。如表 3.2 所示,例如第三個例子中的jaws是九安影片監控設備的標識,說明攻擊者在專門針對九安進行樣本投遞。

表 3.2 可疑樣本URL示例

四、影片監控設備的弱口令爆破分析

由於影片監控設備可能開放的Telnet服務和HTTP服務均涉及弱口令問題,因此,本章將分別對這兩個服務進行分析。

需要說明的是,Telnet服務中非默認口令的弱口令大多沒有辨識度,很難以此關聯到特定廠商,因此,本章對於Telnet服務的分析主要圍繞設備的默認口令。另外,設備的默認口令數據均來自於網路上的公開數據,難免會有遺漏。我們收集到13家廠商的影片監控設備默認口令數據(實際命中11家廠商),對於這些廠商的默認口令爆破分析一定程度上也能說明攻擊趨勢。而對於HTTP服務,可以通過唯一性的URI來對不同廠商進行區分。

1針對Telnet服務默認口令爆破分析

圖 4.1 是2020年初至今針對Telnet服務的口令爆破次數及影片監控設備相關次數,從中可以看出,整體的口令爆破次數相對穩定,但是從今年2月初開始,攻擊者針對影片監控設備默認口令的攻擊明顯增多。我們推測是在得知2月13日的攻擊活動後,有更多的攻擊組織加入其中,通過默認口令探測,以發現更多的暴露在互聯網上的高危影片監控設備。

圖 4.1 2020年初至今針對Telnet服務的口令爆破次數及影片監控設備相關次數

2針對HTTP服務的弱口令爆破分析

圖 4.2 是2020年初至今針對影片監控設備的HTTP服務的弱口令爆破次數,從中並未看出明顯趨勢。

圖 4.2 2020年初至今針對影片監控設備的HTTP服務的弱口令爆破次數

五、小結

我們對攻擊者的Twitter進行了持續跟蹤,發現到了2月13日,攻擊者攻破的目標還是.cn域名相關的網站,只是2月3日在pastebin[3]上公開了若干暴露在互聯網上的九安影片監控設備的IP。通過我們的威脅捕獲系統捕獲到的數據來看,1月中下旬開始到2月份,影片監控設備相關的日誌是在持續增多的,其中的漏洞利用數也在持續增多,其中不乏專門針對九安等影片監控設備的利用。種種跡象表明,對於影片監控設備訪問趨勢的增多是和本次的攻擊事件相關的,攻擊者前期進行了踩點工作,也植入了一些樣本。

參考鏈接:

[1].綠盟威脅情報中心測繪發現:全國有159萬影片設備暴露在互聯網上, https://mp.weixin.qq.com/s/deMbEPfue212yIrSDiTJJQ

[2].境外黑客攻擊中國影片監控系統的威脅通告, https://mp.weixin.qq.com/s/2Gi9P3ktpPVhXF3P-bgM2w

[3].一些位於中國的暴露的影片監控設備地址, https://pastebin.com/br36CCmd

關於格物實驗室

格物實驗室專註於工業互聯網、物聯網和車聯網三大業務場景的安全研究。 致力於以場景為導向,智慧設備為中心的漏洞挖掘、研究與安全分析,關注物聯網資產、漏洞、威脅分析。目前已發布多篇研究報告,包括《物聯網安全白皮書》、《物聯網安全年報2017》、《物聯網安全年報2018》、《物聯網安全年報2019》、《中國物聯網資產的暴露情況分析》、《智慧設備安全分析手冊》等。與產品團隊聯合推出綠盟物聯網安全風控平台,定位運營商行業物聯網卡的風險管控;推出韌體安全檢測平台,以便快速發現設備中可能存在的漏洞,以避免因弱口令、溢出等漏洞引起設備控制許可權的泄露。

內容編輯:格物實驗室 責任編輯:肖晴

往期回顧

本公眾號原創文章僅代表作者觀點,不代表綠盟科技立場。所有原創內容版權均屬綠盟科技研究通訊。未經授權,嚴禁任何媒體以及微信公眾號複製、轉載、摘編或以其他方式使用,轉載須註明來自綠盟科技研究通訊並附上本文鏈接。

關於我們

綠盟科技研究通訊由綠盟科技創新中心負責運營,綠盟科技創新中心是綠盟科技的前沿技術研究部門。包括雲安全實驗室、安全大數據分析實驗室和物聯網安全實驗室。團隊成員由來自清華、北大、哈工大、中科院、北郵等多所重點院校的博士和碩士組成。

綠盟科技創新中心作為「中關村科技園區海淀園博士後工作站分站」的重要培養單位之一,與清華大學進行博士後聯合培養,科研成果已涵蓋各類國家課題項目、國家專利、國家標準、高水平學術論文、出版專業書籍等。

我們持續探索資訊安全領域的前沿學術方向,從實踐出發,結合公司資源和先進技術,實現概念級的原型系統,進而交付產品線孵化產品並創造巨大的經濟價值。