AVTECH摄像监控存漏洞 可被控组建僵尸网络发起DDoS攻击
概述
近年来,利用物联网设备(IoT)漏洞攻击的案例正日益增多。近日,腾讯安全御见威胁情报中心联合知道创宇捕获一例利用Avtech摄像监控等IoT设备漏洞(CNVD-2016-08737)进行入侵的攻击事件。攻击者利用AVTECH DVR设备中的命令注入漏洞实现远程sh脚本下载执行,最后植入bot后门(该后门为Gafgtyt僵尸网络), bot后门会扫描网络中的设备进行爆破攻击,可发起DDoS网络攻击活动。
Sh脚本salviaw1.sh会下载多个bot后门木马执行,这些木马功能一致主要是为了适配支持不同CPU架构设备,包括ARM、Intel,MIPS等多个不同架构类型。Salvia意为”鼠尾草”,腾讯御见威胁情报中心将该系列病毒命名为”鼠尾草”木马。
Avtech是创立于中国台湾的一家智能安防设备制造商,主要产品有安防监控、网络摄像机、录像机等。
据知道创宇Zoomeye数据显示,全球约有160多万Avtech设备,其中东南亚及中国地区Avtech设备都较多。目前,我们在Avtech官网未发现有关产品更新的资讯,这些智能摄像头设备、DVR设备均可能隐藏被漏洞攻击的风险。
漏洞入侵阶段
AVTECH DVR/NVR/IPC设备存在远程命令执行漏洞,攻击者可以利用漏洞远程命令执行,成功获取shell 。向存在漏洞的设备发送构造好的URL请求实现未经身份验证的命令注入漏洞攻击,知道创宇云图产品检测到的漏洞攻击载荷如下:
Sh脚本功能分析
Sh脚本功能主要是通过wget下载bot 后门并执行,下载的木马保存到temp目录下。下载地址hxxp://46.29.167.2/hellonigger.xxxx。之所以会在sh脚本里下载这么多个版本的病毒执行,主要是因为攻击之前无法判断被攻击设备的CPU架构类型,只能全部下载并执行一遍。目前salviw 木马支持ARM、Intel,MIPS等多个不同CPU架构类型
Bot 后门分析
该文件是一个linux的BOT后门程序,会连接远程C&C Server 接收命令,进行DDos攻击,对IoT设备进行扫描及爆破等功能。
由于适配不同架构版本的bot后门功能一样,下面以hellonigger.x86为例进行分析。在其主函数main函数里面,其主要功能是在一个while循环里,不断的连接服务器,获取指令,处理指令。服务器地址为46.29.167.2
mian函数功能架构
判断首字符是否为33即!符,如果不是则继续循环读取,是则进入命令操作, 以” ”空格符为标志切割获取命令控制字, 最后在processcmd函数中执行对应的命令控制字
C2控制指令及其功能。
Telnet /on控制指令会对网络中的设备进行扫描并尝试爆破,代码中内置了一系列常用用户名及弱密码,爆破成功后下载执行sh脚本。
根据不同控制指令对目标服务器进行DDoS攻击,包括TCP洪水攻击, UDP flood,http flood, http flood会随机获取用户代理构造http头,代码中内置了多个user-agent。
结束进程:
安全建议:
1.及时更新Avtech设备漏洞补丁,防止被漏洞入侵攻击;
2.服务器等设备密码要设置成强密码类型并定期更换防止被爆破入侵;
IOC:
MD5:
ae4759a6c89f95b3e5268fecded09b07
d550581b48a365f2380dd63ba7acc8d7
837af620c6ca65212ed952a3ddb82998
d2e8593757d6cc495661f6ef00e15b56
59aac9a69304f2a95ba15da747e0d180
52ec12268ed5fdec15db31e64fc38bde
C2:
46.29.167.2
AVTECH摄像监控存漏洞 可被控组建僵尸网络发起DDoS攻击相关推荐
- wordpress表单数据验证_微软发布最大规模周二补丁修复129个漏洞;UPnP协议中的漏洞CallStranger,可导致数据泄露或DDoS攻击...
维他命安全简讯 10 星期三 2020年06月 [漏洞补丁] 微软发布最大规模的周二补丁程序,共修复129个漏洞 [安全漏洞] UPnP协议中的漏洞CallStranger,可导致数据泄露或DDoS攻 ...
- 这个TsuNAME 新漏洞可对关键 DNS 服务器发动 DDoS 攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 新西兰和荷兰国家域名注册商(.nz 和 .nl)的运营商在 DNS 流量权威服务器中检测到异常情况后,在域名服务器 (DNS) 生态系统中 ...
- 乌云漏洞平台、果壳网等遭到不明DDoS攻击
弹幕视频网站AcFun.国内知名漏洞平台网站"乌云"及果壳网今日相继遭到不明DDoS攻击,出现不同程度的访问故障,其中"乌云"仍处在暂时关闭状态. 今日下午,弹 ...
- 支付宝存漏洞?这10招保护个人信息赶紧保存起来!
这两天,"支付宝实名认证存漏洞"的消息在微博上疯传,同时也引来了很多新闻媒体的关注,事件的起因是一位网友在不知情的情况下,支付宝账户莫名多出5个陌生子账户,支付宝方面表示是其泄露信 ...
- 微博实名制存漏洞 SNS市场出现转机
北京市互联网信息管理办公室要求3月16日前各微博网站要完成规范用户真实身份信息注册工作,未通过真实身份信息比对的微博用户将不能在微博上发言.转帖,只能浏览相关内容.强制性微博实名时刻即将到来,多数微博 ...
- 苹果帐户被指存漏洞 用户帐户被盗
苹果帐户被指存漏洞 用户帐户被盗 2011-08-11 08:29:16 来源: 北京日报 "我一直都把信用卡看得挺严实,怎么还是被人盗刷了,而且刷的都是美元!"陈小姐近日突然收到 ...
- 基于 HTML5 WebGL 的计量站三维可视化监控系统 Web 组态工控应用
前言 得益于 HTML5 WebGL 技术的成熟,从技术上对工控管理的可视化,数据可视化变得简单易行!完成对工控设备的管理效率,资源管理,风险管理等的大幅度提高,同时也对国家工业4.0计划作出有力响应 ...
- 基于 HTML5 的计量站三维可视化监控系统 Web 组态工控应用
得益于 HTML5 WebGL 技术的成熟,从技术上对工控管理的可视化,数据可视化变得简单易行!完成对工控设备的管理效率,资源管理,风险管理等的大幅度提高,同时也对国家工业4.0计划作出有力响应! 如 ...
- 10月第2周安全回顾 Web安全认证架构成型 PDF阅读器存漏洞
本文同时发表在: [url]http://netsecurity.51cto.com/art/200710/58091.htm[/url] 本周(1008至1014)安全方面值得关注的新闻集中在Web ...
最新文章
- xml c libxml类库使用
- mysql删除重复记录
- java跳槽原因_跳槽求职必看:Java程序猿面试失败的5大原因!
- Activiti 工作流引擎的初步使用
- JavaWeb(四)——在IDEA中配置Tomcat、pom文件
- vim 删除多行_Vim神器的五个高效插件,新老司机别错过!
- 示范NTFS 卷上的流
- Open3d之坐标变换
- 【代码笔记】iOS-竖状图
- 程序设计导引及在线实践之显示器
- 企业网络工程设计——局域网中的冗余链路
- 16岁的雅虎问答,因“不再受欢迎”将永久关闭
- jquery colorbox图片弹出效果制作
- SONY PS3 摄像头windows驱动CL-Eye-Driver-5.3.0.0341
- 里氏代换原则——及之我见
- OS模块--批量修改文件名字(一)创建和修改文件路径
- FFMPEG 参数详细说明
- python爬取启信宝_requests,lxml爬启信宝
- mysql 字段名称规范_数据库表及字段命名规范
- 索罗斯等华尔街金融大鳄,为什么名声那么臭?
热门文章
- kali安装步骤失败 选择并安装软件_Adobe类软件安装失败的解决方法
- dw重新定义html标记,扩展DW:自定义第三方标签解析
- win11 任务栏全屏不隐藏解决办法
- 安徽对口计算机高考本科学校,计算机专业对口高考安徽那些本科
- 云南省级计算机一级b类考试题型,云南省计算机一级B类考试上机考试归纳.doc
- 微软即将在 IE 10 中默认启用 Flash
- 谁可以告诉我在sqlhelper中Command Type 的含义,不甚感激
- avue table crud
- Tesla FSD 自动驾驶软件升级版本说明书解析二(Beta v10.12 Release Notes)
- android电子书App、自定义图表、仿腾讯漫画App、仿淘宝优惠券、3D选择容器等源码