僵尸网络盯上视频监控系统(DVR)发动攻击的现象,时有耳闻,例如,去年可取国际(iCatch)、利凌(Lilin)的DVR系统传出漏洞,可能会被僵尸网络用于DDoS攻击;而台湾多家主机托管企业于去年9月遭到DDoS攻击,起因也疑似是台湾IP地址的DVR遭到入侵所致。我们曾在今年1月报道名为FreakOut(又名Necro、N3Cr0m0rPh)的僵尸网络,这个僵尸网络现锁定数款软件的重大漏洞,大举入侵Linux服务器,但最近黑客也开始转换目标,对于视频监控系统(DVR)下手,利用尚未取得CVE编号的漏洞,下载僵尸网络病毒到受害设备,并用来挖矿。
安全企业Juniper在今年9月的最后一个礼拜,侦测到FreakOut新的攻击行动,锁定Visual Tools DVR VX16视频监视系统而来,并利用此设备的未列管漏洞入侵,目的是要挖取门罗币(XMR)。
FreakOut是僵尸网络病毒脚本,通过Python编写而成,能在Windows与Linux操作系统执行,这个僵尸网络病毒最早可能于2015年就开始活动。而FreakOut今年的活动相当频繁,不只在1月发动攻击,后续于3月、5月加入新的攻击能力,能够攻击的应用系统与程序库类型,变得更为多样。
究竟这个僵尸网络病毒有什么能力?Juniper指出,FreakOut不只具备监听网络的功能,也能在Windows计算机上部署Rootkit,或是感染HTML、JS、PHP文件,以及安装挖矿工具来挖取门罗币。而这个僵尸网络病毒传播的渠道,通常是利用软件漏洞,或是通过暴力破解帐密的方式入侵。不过,究竟有多少系统遭到FreakOut感染?Juniper没有进一步说明。
而本次FreakOut所锁定的DVR设备漏洞,这是一项未经身份验证的操作系统命令注入漏洞,在今年7月被发现,出现在执行4.2.28.0版固件的Visual Tools DVR VX16。一旦攻击者利用这项漏洞,就能在不需身份验证的情况下,在CGI脚本注入任意命令,进而远程执行任意命令(RCE)。
攻击者在利用上述漏洞入侵DVR之外,研究人员也看到FreakOut运用其他应用系统的漏洞。例如,存储设备TerraMaster操作系统TOS的CVE-2020-15568与CVE-2020-28188、无线路由器Genexis PLATINUM 4410的CVE-2021-2900、Xinuos Openserver操作系统的CVE-2020-25494,以及嵌入式操作系统Zeroshell的CVE-2019-12725等。
为了避免被安全防护系统发现有异,FreakOut也运用了域名生成算法(DGA),随机挑选连接的网址。但Juniper表示,有别于之前FreakOut只针对C2中继站使用DGA,新的僵尸网络病毒在取得文件下载网址时,也同样运用这种算法来取得下载服务器的地址,而使得组织要防堵FreakOut下载作案工具更加困难。
附带一提的是,攻击者运用DGA的手法,也波及FreakOut在受害系统的里挟持的HTML、JS、PHP文件,该僵尸网络病毒加入的JavaScript脚本路径,也同样通过DGA产生。