概述

近年来,利用物联网设备(IoT)漏洞攻击的案例正日益增多。近日,腾讯安全御见威胁情报中心联合知道创宇捕获一例利用Avtech摄像监控等IoT设备漏洞(CNVD-2016-08737)进行入侵的攻击事件。攻击者利用AVTECH DVR设备中的命令注入漏洞实现远程sh脚本下载执行,最后植入bot后门(该后门为Gafgtyt僵尸网络), bot后门会扫描网络中的设备进行爆破攻击,可发起DDoS网络攻击活动。

Sh脚本salviaw1.sh会下载多个bot后门木马执行,这些木马功能一致主要是为了适配支持不同CPU架构设备,包括ARM、Intel,MIPS等多个不同架构类型。Salvia意为”鼠尾草”,腾讯御见威胁情报中心将该系列病毒命名为”鼠尾草”木马。

Avtech是创立于中国台湾的一家智能安防设备制造商,主要产品有安防监控、网络摄像机、录像机等。

据知道创宇Zoomeye数据显示,全球约有160多万Avtech设备,其中东南亚及中国地区Avtech设备都较多。目前,我们在Avtech官网未发现有关产品更新的资讯,这些智能摄像头设备、DVR设备均可能隐藏被漏洞攻击的风险。

漏洞入侵阶段

AVTECH DVR/NVR/IPC设备存在远程命令执行漏洞,攻击者可以利用漏洞远程命令执行,成功获取shell 。向存在漏洞的设备发送构造好的URL请求实现未经身份验证的命令注入漏洞攻击,知道创宇云图产品检测到的漏洞攻击载荷如下:

Sh脚本功能分析

Sh脚本功能主要是通过wget下载bot 后门并执行,下载的木马保存到temp目录下。下载地址hxxp://46.29.167.2/hellonigger.xxxx。之所以会在sh脚本里下载这么多个版本的病毒执行,主要是因为攻击之前无法判断被攻击设备的CPU架构类型,只能全部下载并执行一遍。目前salviw 木马支持ARM、Intel,MIPS等多个不同CPU架构类型

Bot 后门分析

该文件是一个linux的BOT后门程序,会连接远程C&C Server 接收命令,进行DDos攻击,对IoT设备进行扫描及爆破等功能。

由于适配不同架构版本的bot后门功能一样,下面以hellonigger.x86为例进行分析。在其主函数main函数里面,其主要功能是在一个while循环里,不断的连接服务器,获取指令,处理指令。服务器地址为46.29.167.2

mian函数功能架构

判断首字符是否为33即!符,如果不是则继续循环读取,是则进入命令操作, 以” ”空格符为标志切割获取命令控制字, 最后在processcmd函数中执行对应的命令控制字

C2控制指令及其功能。

Telnet /on控制指令会对网络中的设备进行扫描并尝试爆破,代码中内置了一系列常用用户名及弱密码,爆破成功后下载执行sh脚本。

根据不同控制指令对目标服务器进行DDoS攻击,包括TCP洪水攻击, UDP flood,http flood, http flood会随机获取用户代理构造http头,代码中内置了多个user-agent。

结束进程:

安全建议:

1.及时更新Avtech设备漏洞补丁,防止被漏洞入侵攻击;

2.服务器等设备密码要设置成强密码类型并定期更换防止被爆破入侵;

IOC:

MD5:

ae4759a6c89f95b3e5268fecded09b07

d550581b48a365f2380dd63ba7acc8d7

837af620c6ca65212ed952a3ddb82998

d2e8593757d6cc495661f6ef00e15b56

59aac9a69304f2a95ba15da747e0d180

52ec12268ed5fdec15db31e64fc38bde

C2:

46.29.167.2

AVTECH摄像监控存漏洞 可被控组建僵尸网络发起DDoS攻击相关推荐

  1. wordpress表单数据验证_微软发布最大规模周二补丁修复129个漏洞;UPnP协议中的漏洞CallStranger,可导致数据泄露或DDoS攻击...

    维他命安全简讯 10 星期三 2020年06月 [漏洞补丁] 微软发布最大规模的周二补丁程序,共修复129个漏洞 [安全漏洞] UPnP协议中的漏洞CallStranger,可导致数据泄露或DDoS攻 ...

  2. 这个TsuNAME 新漏洞可对关键 DNS 服务器发动 DDoS 攻击

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 新西兰和荷兰国家域名注册商(.nz 和 .nl)的运营商在 DNS 流量权威服务器中检测到异常情况后,在域名服务器 (DNS) 生态系统中 ...

  3. 乌云漏洞平台、果壳网等遭到不明DDoS攻击

    弹幕视频网站AcFun.国内知名漏洞平台网站"乌云"及果壳网今日相继遭到不明DDoS攻击,出现不同程度的访问故障,其中"乌云"仍处在暂时关闭状态. 今日下午,弹 ...

  4. 支付宝存漏洞?这10招保护个人信息赶紧保存起来!

    这两天,"支付宝实名认证存漏洞"的消息在微博上疯传,同时也引来了很多新闻媒体的关注,事件的起因是一位网友在不知情的情况下,支付宝账户莫名多出5个陌生子账户,支付宝方面表示是其泄露信 ...

  5. 微博实名制存漏洞 SNS市场出现转机

    北京市互联网信息管理办公室要求3月16日前各微博网站要完成规范用户真实身份信息注册工作,未通过真实身份信息比对的微博用户将不能在微博上发言.转帖,只能浏览相关内容.强制性微博实名时刻即将到来,多数微博 ...

  6. 苹果帐户被指存漏洞 用户帐户被盗

    苹果帐户被指存漏洞 用户帐户被盗 2011-08-11 08:29:16 来源: 北京日报 "我一直都把信用卡看得挺严实,怎么还是被人盗刷了,而且刷的都是美元!"陈小姐近日突然收到 ...

  7. 基于 HTML5 WebGL 的计量站三维可视化监控系统 Web 组态工控应用

    前言 得益于 HTML5 WebGL 技术的成熟,从技术上对工控管理的可视化,数据可视化变得简单易行!完成对工控设备的管理效率,资源管理,风险管理等的大幅度提高,同时也对国家工业4.0计划作出有力响应 ...

  8. 基于 HTML5 的计量站三维可视化监控系统 Web 组态工控应用

    得益于 HTML5 WebGL 技术的成熟,从技术上对工控管理的可视化,数据可视化变得简单易行!完成对工控设备的管理效率,资源管理,风险管理等的大幅度提高,同时也对国家工业4.0计划作出有力响应! 如 ...

  9. 10月第2周安全回顾 Web安全认证架构成型 PDF阅读器存漏洞

    本文同时发表在: [url]http://netsecurity.51cto.com/art/200710/58091.htm[/url] 本周(1008至1014)安全方面值得关注的新闻集中在Web ...

最新文章

  1. xml c libxml类库使用
  2. mysql删除重复记录
  3. java跳槽原因_跳槽求职必看:Java程序猿面试失败的5大原因!
  4. Activiti 工作流引擎的初步使用
  5. JavaWeb(四)——在IDEA中配置Tomcat、pom文件
  6. vim 删除多行_Vim神器的五个高效插件,新老司机别错过!
  7. 示范NTFS 卷上的流
  8. Open3d之坐标变换
  9. 【代码笔记】iOS-竖状图
  10. 程序设计导引及在线实践之显示器
  11. 企业网络工程设计——局域网中的冗余链路
  12. 16岁的雅虎问答,因“不再受欢迎”将永久关闭
  13. jquery colorbox图片弹出效果制作
  14. SONY PS3 摄像头windows驱动CL-Eye-Driver-5.3.0.0341
  15. 里氏代换原则——及之我见
  16. OS模块--批量修改文件名字(一)创建和修改文件路径
  17. FFMPEG 参数详细说明
  18. python爬取启信宝_requests,lxml爬启信宝
  19. mysql 字段名称规范_数据库表及字段命名规范
  20. 索罗斯等华尔街金融大鳄,为什么名声那么臭?

热门文章

  1. kali安装步骤失败 选择并安装软件_Adobe类软件安装失败的解决方法
  2. dw重新定义html标记,扩展DW:自定义第三方标签解析
  3. win11 任务栏全屏不隐藏解决办法
  4. 安徽对口计算机高考本科学校,计算机专业对口高考安徽那些本科
  5. 云南省级计算机一级b类考试题型,云南省计算机一级B类考试上机考试归纳.doc
  6. 微软即将在 IE 10 中默认启用 Flash
  7. 谁可以告诉我在sqlhelper中Command Type 的含义,不甚感激
  8. avue table crud
  9. Tesla FSD 自动驾驶软件升级版本说明书解析二(Beta v10.12 Release Notes)
  10. android电子书App、自定义图表、仿腾讯漫画App、仿淘宝优惠券、3D选择容器等源码