全球12萬臺中國製網路攝影機,恐受殭屍病毒Persirai感染

趨勢科技資安研究人員Tim Yeh、Dove Chiu、Kenney Lu於5月9日揭露,駭客鎖定1,000多種型號的中國製網路攝影機,利用裝置上的UPnP(隨插即用)漏洞來入侵,並同時植入殭屍病毒Persirai,接著再透過裝置存在的零時差漏洞,攻擊其他的網路攝影機,最後,駭客控制這些裝置發動DDoS攻擊。他們利用Shodan搜尋引擎來檢測,發現全球有120,000臺網路攝影機裝置資訊公開曝露在網路上,容易受到駭客的攻擊。

首先,駭客利用TCP 81埠,進入這些網路攝影機的Web介面,輸入廠商預設的帳號密碼來登入,接著通過C&C伺服器植入和執行惡意程式,並封鎖裝置存在的零時差漏洞避免受到其他惡意程式的攻擊,之後,駭客再利用這些零時差漏洞攻擊其他裝置,來竊取其他裝置的帳密,成為殭屍裝置,最後,駭客傳送UDP協定傳輸封包至受感染裝置,鎖定受害目標發動洪水式DDoS攻擊。

駭客不僅利用網路攝影機漏洞來發動DDoS攻擊,還攻擊其他攝影機成為殭屍網路Persirai的攻擊裝置。圖片來源:趨勢科技

先前,另一位資安研究人員Pierre Kim於今年3月已經在部落格指出,雖然這些被駭客鎖定的網路攝影機都是由不同代工廠商製造,但同時都具有相同的5個零時差漏洞,包含CVE-2017-8224、CVE-2017-8222、CVE-2017-8225、CVE-2017-8223和CVE-2017-8221。駭客可利用這些漏洞,除了入侵裝置來控制之外,還可以竊取用戶的電子郵件帳號資料,甚至攔截受害裝置傳回雲端主機的資料。

由於,這些網路攝影機都內嵌客製化的GoAhead Web介面,Pierre原先認為,這應該是原本嵌入GoAhead Web介面業者的疏失,才造成裝置內含有這些漏洞。但是,Pierre與業者交流後,認為漏洞不是原先設計GoAhead Web介面業者的問題,而是中國代工廠商在導入GoAhead Web介面至裝置的過程中,在原始碼裡面增加了後門帳號與其他容易受攻擊的程式碼。

目前,部分製造商已經提供了最新的韌體版本,來解決這些漏洞。趨勢科技研究人員同時發現,C&C伺服器目錄出現了國家代碼IR,而且惡意軟體程式碼也有出現特殊的波斯文字,作者疑似是伊朗研究機構的人員。

原文來自 iThome