全球不同廠商1250種型號的攝像頭存在共同漏洞

E安全5月12日訊
Persirai控制眾多存在安全缺陷之IP攝像頭。一款名為Persirai的殭屍網路構建軟體再次掀起波瀾，其採用部分Mirai殭屍網路（去年十月披露）代碼片段，已將高達15萬可被Mirai入侵的台IP攝像頭收入自身麾下，並利用其發動大規模分布式拒絕服務攻擊。

Persirai殭屍網路至少已經向四大目標發動攻勢，而Trend Micro公司的研究人員則開始從中找到一種可預測模式。

本文系E安全官網獨家編譯報道

Persirai殭屍網路感染方式

Persirai利用一項已知安全漏洞對各攝像頭進行感染，引導其通過某台命令與控制伺服器下載惡意軟體，而後利用這些設備感染其它攝像頭或者發動DDoS攻擊。

研究人員們表示，「根據觀察結果，一旦受害者的IP攝像頭收取到準時於每天午夜12點發出的命令與控制指令，DDoS攻擊即宣告開始。」目前至少已經有四位受害者遭遇相關DDoS攻擊的侵擾，但他們不方便透露其具體身份。

Persirai殭屍網路能夠通過UDP洪水發動DDoS攻擊並且在不欺騙IP地址的情況下通過SSDP包發動攻擊。

Persirai在易受攻擊的設備上執行，即在惡意軟體下載完成後，會自動將磁碟上的保存痕迹徹底刪除，然後只在內存中運行。由於惡意代碼在內存中運行，因此重啟還會讓設備更易受到攻擊。

有趣的是，Trend公司研究人員表示，受感染 IP 攝像機還將遠程報告給 C&C 伺服器、接受命令並自動利用近期公布的 0day 漏洞防禦其他黑客再度攻擊已被感染的 IP 攝像機,從而獲得用戶密碼文件並執行命令注入。

奇怪：被感染設備數量在減少

Trend公司認為，目前來自多家製造商的超過1000種型號的攝像頭易受到攻擊威脅。研究人員同時表示，今年4月前兩周在進行初始調查時，該殭屍網路當時就已經感染了約15萬台攝像頭。但在5月10日最新調查後發現，其感染量為9萬9千台。另外，通過物聯網搜索引擎Shodan發現，約有12萬台攝像頭易受到攻擊影響。多數受害者未能察覺自身設備已經暴露於互聯網之中。

本文系E安全官網獨家編譯報道

根據Trend方面的判斷，發現其命令與控制伺服器當中使用了.IR國家碼，其中可能暗含著與Persirai編寫者相關的線索。這條國家碼由健康研究機構負責管理，並確保僅供伊朗人使用。我們還發現惡意軟體作者在編寫中使用了部分特殊的波斯語字元。」

獨立研究人員皮埃爾·基姆（Pierre Kim）闡述了Persirai如何入侵攝像頭。「首先由『雲』協議利用目標攝像頭的產品序列號在攻擊者與攝像頭間建立起明文UDP通道（旨在繞過NAT及防火牆）。在此之後，攻擊者即可通過自動方式暴力破解攝像頭憑證。」

根源：內置Mirai片段

基姆同時解釋稱，這項漏洞存在於總計1250種型號的攝像頭之內，且涵蓋眾多廠商及品牌。

攻擊者能通過TCP埠81輕易訪問設備的web介面。由於互聯網攝像頭一般使用的是UPnP協議，設備能夠打開路由器上的一個埠並起到伺服器的作用，因此它們是物聯網惡意軟體非常容易發現的目標。通過訪問這些設備易受攻擊的介面，攻擊者能夠注入命令強制設備連接至某個站點，並下載執行惡意shell腳本。

「因此，儘管各款攝像頭擁有不同的產品名稱、品牌與功能，且各供應商使用的HTTP介面有所區別，但其仍然共享有同樣的漏洞。OEM廠商使用了GoAhead（一款嵌入式Web伺服器）的定製化版本，並向其中添加了易受攻擊的代碼片段。」

Alien

Vault則發現Persirai當中包含部分Mirai代碼。即此殭屍網路借用了來自Mirai的部分代碼，例如埠掃描模塊，但在感染鏈、C2通信協議以及攻擊模塊方面則完全不同。儘管直接借用了Mirai中的部分二進位名稱，但E安全小編建議不應簡單將其視為Mirai的變體。」

除此之外，E安全小編強烈建議大家立即斷開攝像頭與互聯網間的連接。

E安全註：本文系E安全官網獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。