当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-059920

漏洞标题:如何实现物联网设备批量开采比特币?(蠕虫实现剖析)---物联网安全

相关厂商:各大厂商

漏洞作者: Z-0ne

提交时间:2014-05-08 16:13

修复时间:2014-06-22 16:14

公开时间:2014-06-22 16:14

漏洞类型:基础设施弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-08: 细节已通知厂商并且等待厂商处理中
2014-05-11: 厂商已经确认,细节仅向厂商公开
2014-05-21: 细节向核心白帽子及相关领域专家公开
2014-05-31: 细节向普通白帽子公开
2014-06-10: 细节向实习白帽子公开
2014-06-22: 细节向公众公开

简要描述:

昨天各大互联网媒体都转载了如下一条新闻:
震惊!黑客竟可通过数字录像机等联网设备开采比特币。
系统网络安全协会(SANS institute)的研究人员们表示,有事实证明,诸如数字录像机(DVR)在内的联网设备,竟然也有被感染恶意软件,并被黑客用于开采特比特。最让研究人员震惊的是,攻击者竟然使用了一系列的Unix命令,向DVR上传了一个Wget包(包含了通过HTTP/HTTPS/FTP等用于检索文件的一系列软件)。
在该软件就位之后,攻击者就能够轻而易举地连接到一台服务器,然后顺利地下载比特币挖矿程序。显然,出问题的DVR只是一系列脆弱的联网设备中的一小部分。
连接:http://digi.163.com/14/0507/10/9RKTL8G000162OUT.html
下面就是实际的案例以及对整个事件的简单还原分析,之所以简单,是因为昨天出了新闻后只是花了较少的时间去复现某些问题,至于对攻击者的反追踪和程序逆向感兴趣的童鞋可以私信我或到SANS博客围观,对于第一个实现自动化攻击的攻击者,所用到的思路还是非常值得借鉴和参考的,居然把分布式扫描玩到了ARM和MIPS的linux上,根据分析目前也不止一批人在控制这些嵌入式设备,从拿到的程序来看,这套自动化攻击程序涉及ARM,MIPS,甚至是X86等架构,同时也借这个事件也提醒了我们暴露在公网的设备、诸如PLC、传感器、UPS,定向的黑掉只是分分钟的事情,新闻中只是提到了利用设备去挖矿,然而他忽略了攻击者借着蠕虫式循环传播,控制大量世界各地的设备肉鸡,并且可以通过程序控制整个僵尸网络,对指定目标实现分布式拒绝服务攻击。
注意:该套模式可不止单单只套用在DVR设备上,这里举个最简单的例子,如核总曾经捅过的指纹门禁等,以及从后门程序中拿到的字符串描述还涉及到多种设备,主要基于http和telnet,好吧具体的就不透露了,大家都明白,建议cert还是急时封杀吧。

详细说明:

这里以hikvision的设备为例:
案例一:
1、hikvision海康作为领先的安防产品厂商,产品应用还是非常广泛的,大家也都知道互联网上跑着很多摄像头设备,或是DVR数录设备等,通常情况下一般中小型设备使用的都为精简式架构,如ARM、MIPS等,一是成本低廉,二是低功耗,大多数嵌入式设备的系统为裁剪的LINUX,内部跑着厂商开发的相关应用程序,有busybox命令集,可以运行简单的调试命令,一般telnet或者设备的com口作为系统登录的途径,针对存在弱口令的设备,攻击者基于指纹识别或SHODAN这种大数据,就能轻松实现自动化攻击,如下图。

0.jpg


2、以如图一台hikvision DVR设备举例,telnet方式root存在若口令,查看网络连接,设备有频繁连接未知IP,23,80端口的迹象,疑似扫描状态,这里查看详细进程ID,以及操作连接的进程。

1.jpg


2.jpg


3.jpg


3、虽然进程显示程序路径在/dev下,但实际并没有找到后门程序,/dev/下留了可疑文档,根据时间排序很快就翻到了可疑脚本。

6.jpg


4、终端看着不是很方便,我们可以使用ftpput的方式将文件上传取回,如下图

5.jpg


7.jpg


5、通过如上的脚本我们基本可以看出,使用重定向方式输出了一个执行程序,功能应该是一个类似wget的工具,并且从固定IP上下载了另一个程序执行。
6、同时还能下载mips下的二进制文件。

8.jpg


7、通过字符串基本确定了为攻击者的后门程序,其中可以利用多个设备漏洞如linksys等实现自动化扫描。

9.jpg


8、在批量测试中发现了甚至更全的集成后门攻击程序。

QQ截图20140508142504.jpg


9、尝试passwd_nfs备份密码文件中的提供的密码和admin/12345,root/12345对hikvision设备有较高的命中率,SHODAN收录基数也比较多,

QQ截图20140508145938.jpg


10、同样该套思路用在互联网上有很多实体设备的中控指纹机上(同时存在默认密码),搞不好也应该行得通,不过这个就当我没说。

QQ截图20140508152643.jpg

漏洞证明:

综上所述~

修复方案:

健壮出厂默认口令

版权声明:转载请注明来源 Z-0ne@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-05-11 21:12

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-05-08 16:17 | Moc ( 路人 | Rank:23 漏洞数:12 | 屌丝何苦为难屌丝)

    高端大气上档次

  2. 2014-05-08 16:19 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    我都说了这事没那么简单吧。 赤裸裸的后门啊!!!!

  3. 2014-05-08 16:43 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    我去,太给力咯

  4. 2014-05-08 16:53 | 一剑萧寒 ( 实习白帽子 | Rank:45 漏洞数:8 | 岁月无情人愿意,为你闯开新故事...)

    不知道我的小霸王游戏机能不能挖矿?

  5. 2014-05-08 18:13 | aaaaty ( 实习白帽子 | Rank:83 漏洞数:28 | 爱情就像,我问服务器whoami,它说root)

    mark

  6. 2014-05-08 18:18 | Free14X ( 路人 | Rank:30 漏洞数:2 | 一个爱幻想控制核弹发射终端的菜B白帽子,...)

    我看到了"后门"两个字..

  7. 2014-05-08 19:03 | nzk1912 ( 实习白帽子 | Rank:41 漏洞数:10 | 软件开发8年了,也来挖挖漏洞,为创建安全...)

    @一剑萧寒 这个可以有!

  8. 2014-05-08 19:15 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    貌似很牛逼,楼主你挖过某站比特币了吗?

  9. 2014-05-08 19:50 | insight-labs 认证白帽子 ( 普通白帽子 | Rank:623 漏洞数:75 | Security guys)

    某团队又调皮了啊……我记得上次听某人说的功能远不止这些。

  10. 2014-05-12 21:01 | 小红猪 ( 普通白帽子 | Rank:194 漏洞数:30 | Wow~~~哈哈~~~)

    高大上啊,MARK

  11. 2014-06-22 16:22 | 小杰哥 ( 普通白帽子 | Rank:155 漏洞数:25 | 逆水行舟,不进则退。)

    楼主是黑客

  12. 2014-06-22 17:46 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    @zeracker 这个案例最后实在有点遗憾,后面虽然找到了后门程序的源码,普通环境下编译运行也没什么问题,本来想放到中控的ZEM500 MIPS架构的指纹考勤机上,交叉编译这些也没出什么错,普通的不调什么的hello world到是能轻松打出来,可惜这系统裁得太厉害,缺了libpthread库不知道又会缺什么。即使是新机器也只给用户留了1M左右的存储空间,难怪打卡机经常会满 = =!

  13. 2014-06-22 23:51 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @Z-0ne 继续深入啊

  14. 2014-09-14 18:13 | hydoor ( 普通白帽子 | Rank:147 漏洞数:32 | -Q)

    @Z-0ne 请问下 最近在日考勤机这个默认密码您是怎么得到的呢